瞭解 VMware Aria Operations for Logs 如何處理訊息和事件是有效使用 VMware Aria Operations for Logs 的關鍵。

記錄訊息或事件的生命週期具有多個階段,包括讀取、剖析、擷取、索引、警示、查詢應用程式、封存,以及刪除。

事件和訊息轉換會經歷下列階段。

  1. 事件產生於裝置上 (在 VMware Aria Operations for Logs 外部)。
  2. 提取事件,並使用下列方式之一傳送至 VMware Aria Operations for Logs
    • 藉由使用擷取 API 或 syslog 的 VMware Aria Operations for Logs 代理程式
    • 透過使用 syslog 的第三方代理程式,例如 rsyslog、syslog-ng 或 log4j
    • 藉由對擷取 API 的自訂寫入 (例如 log4j 附加器)
    • 藉由對 syslog 的自訂寫入 (例如 log4j 附加器)
  3. VMware Aria Operations for Logs 接收事件。
    • 如果您使用整合式負載平衡器 (ILB),則事件會導向至負責處理事件的單一節點。
    • 如果事件遭到拒絕,用戶端會透過 UDP 捨棄、具有通訊協定設定的 TCP,或具有磁碟支援佇列的 CFAPI 來處理拒絕作業。
    • 如果接受事件,則系統會通知用戶端。
  4. 透過 VMware Aria Operations for Logs 擷取管線傳遞事件;此時會發生下列步驟:
    • 建立或更新關鍵字索引。索引會以專屬格式儲存在本機磁碟中。
    • 將機器學習套用至叢集事件。
    • 事件會以壓縮的專屬格式儲存在本機磁碟的值區中。
  5. 查詢事件。
    • 將關鍵字和 Glob 查詢與關鍵字索引比對。
    • 將 Regex 與壓縮事件比對。
  6. 將事件移至值區並封存。
    • 當值區到達 0.5 GB,將會密封並封存。
  7. 刪除事件。
    • 值區會依照 FIFO 順序刪除。

取得詳細資訊

如需詳細資訊,請參閱 VMware Technical Publications 影片