瞭解 VMware Aria Operations for Logs 如何處理訊息和事件是有效使用 VMware Aria Operations for Logs 的關鍵。
記錄訊息或事件的生命週期具有多個階段,包括讀取、剖析、擷取、索引、警示、查詢應用程式、封存,以及刪除。
事件和訊息轉換會經歷下列階段。
- 事件產生於裝置上 (在 VMware Aria Operations for Logs 外部)。
- 提取事件,並使用下列方式之一傳送至 VMware Aria Operations for Logs:
- 藉由使用擷取 API 或 syslog 的 VMware Aria Operations for Logs 代理程式
- 透過使用 syslog 的第三方代理程式,例如 rsyslog、syslog-ng 或 log4j
- 藉由對擷取 API 的自訂寫入 (例如 log4j 附加器)
- 藉由對 syslog 的自訂寫入 (例如 log4j 附加器)
- VMware Aria Operations for Logs 接收事件。
- 如果您使用整合式負載平衡器 (ILB),則事件會導向至負責處理事件的單一節點。
- 如果事件遭到拒絕,用戶端會透過 UDP 捨棄、具有通訊協定設定的 TCP,或具有磁碟支援佇列的 CFAPI 來處理拒絕作業。
- 如果接受事件,則系統會通知用戶端。
- 透過 VMware Aria Operations for Logs 擷取管線傳遞事件;此時會發生下列步驟:
- 建立或更新關鍵字索引。索引會以專屬格式儲存在本機磁碟中。
- 將機器學習套用至叢集事件。
- 事件會以壓縮的專屬格式儲存在本機磁碟的值區中。
- 查詢事件。
- 將關鍵字和 Glob 查詢與關鍵字索引比對。
- 將 Regex 與壓縮事件比對。
- 將事件移至值區並封存。
- 當值區到達 0.5 GB,將會密封並封存。
- 刪除事件。
- 值區會依照 FIFO 順序刪除。
取得詳細資訊
如需詳細資訊,請參閱 VMware Technical Publications 影片