vRealize Log Insight 可為您提供有關系統健全狀況的兩組通知:適用於所有產品組態的一般通知,以及與叢集式部署之叢集相關的通知。

若要檢視系統通知,請在警示索引標籤上按一下系統警示。您可以使用適當的權限啟用或停用通知。如需詳細資訊,請參閱《使用 vRealize Log Insight中的檢視和管理警示

備註: 在這個主題中,「管理員」使用者是指與「超級管理員」角色相關聯的使用者,或是與具有相關權限的角色相關聯的使用者,如 建立和修改角色中所述。

下表列出並說明 vRealize Log Insight 的系統通知。

一般系統通知

vRealize Log Insight 會發出可能需要管理介入情況的相關通知,這些情況包括封存失敗或警示排程延遲。

通知名稱 說明
最舊的資料即將無法搜尋

vRealize Log Insight 將根據可搜尋資料的預期大小、儲存空間和目前擷取速率,從虛擬應用裝置儲存區淘汰舊資料。如果已設定封存,系統會封存已轉出的資料;如果未設定封存,則會刪除這些資料。

若要解決此問題,請新增儲存區或調整保留通知臨界值。如需詳細資訊,請參閱設定 vRealize Log Insight 以傳送健全狀況通知

每次重新啟動 vRealize Log Insight 服務後,都會傳送此通知。

存放庫保留時間

保留期間是指資料保留在 vRealize Log Insight 執行個體之本機磁碟上的時間長度。保留期間由系統可保存的資料量以及目前的擷取速率決定。例如,如果您一天收到 10 GB 的資料 (建立索引後),且您擁有 300 GB 的空間,則保留率為 30 天。

當您達到儲存區限制時,系統將會移除舊資料,以便將空間提供給新擷取的資料使用。此通知會在 vRealize Log Insight 依目前的擷取速率可儲存的可搜尋資料量超過虛擬應用裝置上可用的儲存空間時告知您。

您可能會在使用保留通知臨界值設定的期間之前用盡儲存空間。新增儲存區或調整保留通知臨界值。

已捨棄事件

vRealize Log Insight 無法擷取所有傳入記錄訊息。

  • 如果丟棄 vRealize Log Insight 伺服器追蹤的任何 TCP 訊息,系統通知會按照如下方式傳送:
    • 一天一次
    • 每次手動或自動重新啟動 vRealize Log Insight 服務時
  • 電子郵件包含自上次傳送通知電子郵件以來丟棄的訊息數目以及自上次重新啟動 vRealize Log Insight 以來丟棄的訊息總數。
備註: 寄件日期行中的時間由電子郵件用戶端進行控制,並處於當地時區,而電子郵件內文則顯示 UTC 時間。
索引值區損毀

部分磁碟上索引已損毀。索引損毀通常表示基礎儲存區系統有嚴重問題。索引的損毀部分將排除在服務查詢之外。損毀的索引會影響新資料的擷取。服務啟動時,vRealize Log Insight 會檢查索引的完整性。如果偵測到損毀情況,vRealize Log Insight 會按照如下方式傳送系統通知:

  • 一天一次
  • 每次手動或自動重新啟動 vRealize Log Insight 服務時
磁碟空間不足

vRealize Log Insight 即將耗盡配置的磁碟空間。vRealize Log Insight 最有可能遇到與儲存區相關的問題。

封存空間即將滿載 NFS 伺服器上用於封存 vRealize Log Insight 資料的磁碟空間即將耗盡。如果 NFS 伺服器能以目前擷取速率保存的封存資料量少於七天,則會傳送系統通知。例如,如果您以每天 708.9 MB 的磁碟耗用率來進行封存,且您有 2000 MB 的空間,則您有大約三天的容量,而這低於臨界值。在此情況下,您將收到低於此容量的通知。
磁碟空間總計變更

vRealize Log Insight 資料儲存區的磁碟分割大小總計已減少。這個通知一般表示基礎儲存區系統中存在嚴重問題。當 vRealize Log Insight 偵測到上述情況時,將會按照如下方式傳送此通知:

  • 立即
  • 一天一次
擱置中封存 vRealize Log Insight 無法如預期般封存資料。此通知通常表示為資料封存設定的 NFS 儲存區存在問題。
已配置的記錄檔記錄儲存磁碟區已達到記錄檔記錄儲存容量上限的 75%。 vRealize Log Insight 已設定為確保 STIG 合規性,並且已配置的記錄檔記錄儲存磁碟區已達到存放庫的記錄檔記錄儲存容量上限的 75%。
備註: 此通知會針對每個節點傳送。
授權即將到期 vRealize Log Insight 的授權即將到期。
授權已到期 vRealize Log Insight 的授權已到期。
SSL 憑證即將到期 vRealize Log Insight 叢集的 SSL 憑證將在 30 天後到期。
無法連線到 AD 伺服器 vRealize Log Insight 無法連線至設定的 Active Directory 伺服器。
無法接管 High Availability IP 位址 [IP Address],因為它已經由其他機器保留 vRealize Log Insight 叢集無法接管針對整合式負載平衡器 (ILB) 設定的 IP 位址。此通知的最常見原因是相同網路內的其他主機已保留該 IP 位址,因此叢集無法接管該 IP 位址。

從目前保留該 IP 位址的主機釋放該 IP 位址,或為 Log Insight 整合式負載平衡器設定網路中可用的靜態 IP 位址,可以解決此衝突。變更 ILB IP 位址時,您必須重新設定所有用戶端,藉此將記錄傳送至新 IP 位址或是解析為此 IP 位址的 FQDN/URL。您也必須從 [vSphere 整合] 頁面中取消設定每個與 vRealize Log Insight 整合的 vCenter Server,然後再重新設定。

由於存在太多節點故障,High Availability IP 位址 [IP Address] 無法使用。 針對整合式負載平衡器 (ILB) 設定的 IP 位址無法使用。對於嘗試透過 ILB IP 位址或解析為此 IP 位址的 FQDN/URL,將記錄傳送到 vRealize Log Insight 叢集的用戶端而言,其將顯示為無法使用。此通知的最常見原因是 vRealize Log Insight 叢集中的大多數節點狀況不良、無法使用或無法從主節點連線。另一個常見原因是 NTP 時間同步化尚未啟用,或設定的 NTP 伺服器之間具有明顯的時間偏離。您可以嘗試對 IP 位址執行 Ping 動作 (如果允許) 並驗證它是否無法連線,以確認問題是否仍然存在。

若要解決此問題,請確保大多數叢集節點狀況良好且可連線,並為準確的 NTP 伺服器啟用 NTP 時間同步化。

vRealize Log Insight 節點之間有太多次 High Availability IP 位址 [您的 IP 位址] 移轉 針對整合式負載平衡器 (ILB) 設定的 IP 位址在過去 10 分鐘內已移轉太多次。

在一般運作情況下,IP 位址很少在 vRealize Log Insight 叢集節點之間移動。不過,如果目前的擁有者節點重新啟動或置於維護模式,IP 位址可能會移動。另一個原因可能是 Log Insight 叢集節點之間缺少時間同步化,這是叢集正常運作的必要條件。若要解決後者的問題,請對準確的 NTP 伺服器啟用 NTP 時間同步化。

SSL 憑證錯誤

Syslog 來源已透過 SSL 起始與 vRealize Log Insight 的連線,但突然終止該連線。此通知可能表示 Syslog 來源無法確認 SSL 憑證是否有效。若要使 vRealize Log Insight 透過 SSL 接受 Syslog 訊息,需要具有由用戶端驗證的憑證,並且必須同步系統的時脈。SSL 憑證或網路時間服務可能存在問題。

您可以驗證 SSL 憑證是否受 syslog 來源信任,將來源重新設定為不使用 SSL,或重新安裝 SSL 憑證。請參閱 設定 vRealize Log Insight 代理程式 SSL 參數安裝自訂 SSL 憑證

vCenter 收集失敗

vRealize Log Insight 無法收集 vCenter 事件、工作和警示。若要尋找導致收集失敗的確切錯誤並查看收集目前是否運作,請查看 /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log 檔案。

vCenter Kubernetes 服務事件收集失敗

vRealize Log Insight 無法收集 vCenter Kubernetes 系統事件、工作和警示。若要尋找導致收集失敗的確切錯誤並查看收集目前是否運作,請查看 /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log 檔案。

已捨棄事件轉送站的事件

轉送站因連線或超載問題而捨棄事件。

範例:

Log Insight Admin Alert: Event Forwarder Events Dropped 
This alert is about your Log Insight installation on https://<your_url>

Event Forwarder Events Dropped triggered at 2016-08-02T18:41:06.972Z

Log Insight just dropped 670 events for forwarder target 'Test',
reason: Pending queue is full.
排程之後的警示查詢

vRealize Log Insight 無法在其設定的時間執行使用者定義的警示。延遲的原因可能是一或多個無效率的使用者定義警示,或未針對擷取和查詢負載正確設定系統大小。

自動停用的警示

如果使用者定義的警示已執行至少 10 次且平均執行時間超過一小時,則系統會將該警示視為無效率並將其停用,避免影響其他使用者定義的警示。

無效率的警示查詢

如果使用者定義的警示需要超過一小時的時間才能完成,則系統會將該警示視為無效率。

新使用者已建立,或是第一次登入的使用者 vRealize Log Insight 已設定為確保 STIG 合規性以及新使用者已建立或 Active Directory 或是 VMware Identity Manager 使用者第一次登入。

叢集的系統通知

vRealize Log Insight 會傳送與叢集拓撲變更相關的通知,包括新增叢集成員或暫時性節點通訊問題。

傳送者 通知名稱 說明
主要節點 需要對新工作節點進行核准

工作節點正在傳送加入叢集的要求。管理員使用者必須核准或拒絕該要求。

主要節點 新工作節點已獲核准

管理員使用者已核准來自工作節點之加入 vRealize Log Insight 叢集的成員資格要求。

主要節點 新工作節點已遭拒絕

管理員使用者已拒絕來自工作節點之加入 vRealize Log Insight 叢集的成員資格要求。如果要求誤遭拒絕,管理員使用者可從工作節點重新放置要求,然後在主要節點上核准。

主要節點 由於工作節點的原因,已超過支援的節點數上限

由於新工作節點的原因,Log Insight 叢集中的工作節點數已超過支援的數量上限。

主要節點 超過允許的節點數,新工作節點遭拒

使用者嘗試新增到叢集的節點數超過允許的節點數上限,因此節點遭拒。

主要節點 工作節點已中斷連線

先前連線的工作節點已從 vRealize Log Insight 叢集中斷連線。

主要節點 工作節點已重新連線

工作節點已重新連線至 vRealize Log Insight 叢集。

主要節點 工作節點已撤銷

管理員使用者已撤銷工作節點成員資格,且節點不再屬於 vRealize Log Insight 叢集。

主要節點 未知工作節點遭拒

由於工作節點是主要節點未知的節點,因此 vRealize Log Insight 主要節點已拒絕來自該工作節點的要求。如果工作是有效的節點且應新增到叢集,請登入工作節點,移除其 Token 檔案和使用者組態 (位於 /storage/core/loginsight/config/ 中),然後在工作節點上執行 restart loginsight service

主要節點 工作節點已進入維護模式

工作節點已進入維護模式,管理員使用者必須先將工作節點從維護模式中移除,然後此節點才可接收組態變更和提供查詢。

主要節點 工作節點已返回到服務模式

工作節點已結束維護模式並返回到服務模式。

工作節點 主要節點故障或與工作節點中斷連線

傳送通知的工作節點無法連線到 vRealize Log Insight 主要節點。此通知可能表示主要節點故障,且可能需要重新啟動。如果主要節點故障,則無法設定叢集且無法提交查詢,直到此節點再次上線為止。工作節點將繼續擷取訊息。

備註: 您可能會收到大量此類通知,因為許多工作節點可能會獨立偵測主要節點故障並發出通知。
工作節點 主要節點已連線到工作節點

傳送通知的工作節點已重新連線到 vRealize Log Insight 主要節點。