文档详细内容(约60页)
使用 vRealize Log Insight 智能分组 rEalize Log Insight使用一种新的计算机学习技术。智能分组扫描入站的非结构化数据,并按问题类型将消 息组合在一起,从而使您能够快速了解可能跨物理、虚拟和混合云环境的问题。 汇总 从日志数据中提取的字段可用于汇总。这与 GROUP-BY查询在关系数据库提供的功能或 Microsoft exce中 的数据透视表相类似。区别在于无需提取、转换和加载(ETL)过程,并且 rEalize Log Insight可扩展为任 意大小的数据。 您可以生成数据的汇总视图,并识别特定事件或错误,而无需访问多个系统和应用程序。例如,查看重要的 系统衡量指标(如每分钟错误数)时,可以向下细分到特定时间范围的事件,并检査环境中岀现的错误 运行时字段提取 原始日志数据并不总是容易理解,可能会需要处理一些数据来确定对搜索和汇总至关重要的字段。 vRealize Log Insight提供了运行时字段提取来解决此问题。可以通过提供正则表达式从数据中动态提取任何 字段。提取的字段可用于选择、投影和汇总,与在解析时提取的字段的使用方式相类似 仪表板 可以创建要严密监控的有用衡量指标的仪表板。任何查询都可以转换为仪表板小组件,并按任意时间范围进 行汇总。可以选择最近五分钟、一小时或一天的系统性能。可以按小时查看错误的细分,并观察日志事件中 的趋势。 安全注意事项 决策者、架构师、管理员以及必须自行熟悉 vRealize Log Insight安全组件的其他人员都必须阅读管理 vRealize Log Insight中的安全主题。 这些主题提供了对 rEalize Log Insight安全功能的简明参考。主题包括产品外部接口、端口、身份验证机 制和用于配置和管理安全功能的选项。 本章讨论了以下主题 vRealize Log Insight Web用户界面概览 搜索和筛选日志事件 使用“交互式分析”图表分析日志 动态字段提取 管理搜索查询 使用仪表板 使用内容包
智能分组 vRealize Log Insight 使用一种新的计算机学习技术。智能分组扫描入站的非结构化数据,并按问题类型将消 息组合在一起,从而使您能够快速了解可能跨物理、虚拟和混合云环境的问题。 汇总 从日志数据中提取的字段可用于汇总。这与 GROUP-BY 查询在关系数据库提供的功能或 Microsoft Excel 中 的数据透视表相类似。区别在于无需提取、转换和加载 (ETL) 过程,并且 vRealize Log Insight 可扩展为任 意大小的数据。 您可以生成数据的汇总视图,并识别特定事件或错误,而无需访问多个系统和应用程序。例如,查看重要的 系统衡量指标(如每分钟错误数)时,可以向下细分到特定时间范围的事件,并检查环境中出现的错误。 运行时字段提取 原始日志数据并不总是容易理解,可能会需要处理一些数据来确定对搜索和汇总至关重要的字段。 vRealize Log Insight 提供了运行时字段提取来解决此问题。可以通过提供正则表达式从数据中动态提取任何 字段。提取的字段可用于选择、投影和汇总,与在解析时提取的字段的使用方式相类似。 仪表板 可以创建要严密监控的有用衡量指标的仪表板。任何查询都可以转换为仪表板小组件,并按任意时间范围进 行汇总。可以选择最近五分钟、一小时或一天的系统性能。可以按小时查看错误的细分,并观察日志事件中 的趋势。 安全注意事项 IT 决策者、架构师、管理员以及必须自行熟悉 vRealize Log Insight 安全组件的其他人员都必须阅读管理 vRealize Log Insight 中的安全主题。 这些主题提供了对 vRealize Log Insight 安全功能的简明参考。主题包括产品外部接口、端口、身份验证机 制和用于配置和管理安全功能的选项。 本章讨论了以下主题: n vRealize Log Insight Web 用户界面概览 n 搜索和筛选日志事件 n 使用“交互式分析”图表分析日志 n 动态字段提取 n 管理搜索查询 n 使用仪表板 n 使用内容包 使用 vRealize Log Insight VMware, Inc. 6
使用 vRealize Log Insight 创建内容包 rEalize Log Insight中的警示查询 vRealize Log Insight Web用户界面概览 您可以访问的功能取决于登录到 vRealize Log Insight Web用户界面所使用的用户帐户 “仪表板”选项卡 仪表板选项卡包含自定义仪表板和内容包仪表板。在仪表板选项卡上,可以查看环境中日志事件的图表,或 创建自定义小组件集以访问对您来说最重要的信息。 “交互式分析”选项卡 在交互式分析选项卡上,可以搜索和筛选日志事件,并创建查询以基于日志事件中的时间戳、文本、源和字 段提取事件。 vRealize Log Insight提供了查询结果的图表。可以保存这些图表,以便以后在仪表板选项卡上 查找它们。 内容包 内容包包含与特定产品或日志集相关的仪表板、已提取字段、已保存查询和警示。可以从 rEalize Log Insight Web用户界面右上角的下拉菜单中访问内容包 内容包可由 rEalize Log Insight用户导入或创建。请参见使用内容包。 管理用户界面 rEalize Log Insight管理员可以管理用户帐户,配置存储位置和存档,为电子邮件通知配置出站SMTP服 务器,以及更改多个其他参数。管理U的URL格式为htps:∥/ og insight-host/admin/,其中 og insight host是 vRealize Log Insight虚拟设备的地址或主机名。 搜索和筛选日志事件 可以在交互式分析选项卡上搜索和筛选日志事件。 您可以在搜索文本框中键入任何完整的关键字、通配符匹配操作符或短语,然后单击搜索以仅查找包含指定 关键字的事件 可以在Web用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围 可以搜索与特定字段的特定值匹配的日志事件。在主搜索字段中使用引用文本将匹配确切的短语。在主搜索 段中输入空格表示逻辑AND运算符。搜索仅使用完整令牌:搜索“er”将不会查找“eror”作为匹配项。 可以通过使用日志事件列表上方的下拉菜单和文本框来指定字段搜索条件或筛选器
n 创建内容包 n vRealize Log Insight 中的警示查询 vRealize Log Insight Web 用户界面概览 您可以访问的功能取决于登录到 vRealize Log Insight Web 用户界面所使用的用户帐户。 “仪表板”选项卡 仪表板选项卡包含自定义仪表板和内容包仪表板。在仪表板选项卡上,可以查看环境中日志事件的图表,或 创建自定义小组件集以访问对您来说最重要的信息。 “交互式分析”选项卡 在交互式分析选项卡上,可以搜索和筛选日志事件,并创建查询以基于日志事件中的时间戳、文本、源和字 段提取事件。vRealize Log Insight 提供了查询结果的图表。可以保存这些图表,以便以后在仪表板选项卡上 查找它们。 内容包 内容包包含与特定产品或日志集相关的仪表板、已提取字段、已保存查询和警示。可以从 vRealize Log Insight Web 用户界面右上角的下拉菜单中访问内容包。 内容包可由 vRealize Log Insight 用户导入或创建。请参见使用内容包。 管理用户界面 vRealize Log Insight 管理员可以管理用户帐户,配置存储位置和存档,为电子邮件通知配置出站 SMTP 服 务器,以及更改多个其他参数。管理 UI 的 URL 格式为 https://log_insight-host/admin/,其中 log_insighthost 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 搜索和筛选日志事件 可以在交互式分析选项卡上搜索和筛选日志事件。 您可以在搜索文本框中键入任何完整的关键字、通配符匹配操作符或短语,然后单击搜索以仅查找包含指定 关键字的事件。 可以在 Web 用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 可以搜索与特定字段的特定值匹配的日志事件。在主搜索字段中使用引用文本将匹配确切的短语。在主搜索 字段中输入空格表示逻辑 AND 运算符。搜索仅使用完整令牌:搜索“err”将不会查找“error”作为匹配项。 可以通过使用日志事件列表上方的下拉菜单和文本框来指定字段搜索条件或筛选器。 使用 vRealize Log Insight VMware, Inc. 7
使用 vRealize Log Insight 在单行筛选器内,可以使用逗号分隔值列出OR筛选器。例如,选择 hostname contains,并键入 127.0.0.1,127.0.0.2。搜索将返回包含主机名127.0.0.1或127002的事件。 注意文本包含筛选器将每个逗号分隔的值视为一个完整关键字。 无法处理且不应使用包含使用内部查询语言语法名称(如from或in)的字段的查询。 以通过为每个字段创建一个新的筛选器行来组合多个字段筛选器。可以切换应用于多行筛选器的运算符。 选择全部以应用AND运算符。 选择任何以应用OR运算符 注意无论切换值如何,单个筛选器行内逗号分隔值的运算符始终为OR。 可以在搜索词中使用通配符匹配操作符。例如,Wm*或mw?re。 使用*表示0或更多个字符 使用?表示一个字符。 注意不能将通配符匹配操作符用作搜索词的第一个字符。例如,可以在筛选查询中使用1921680*,但不 能使用*168.0.0。 事件类型分组 Log Insight使用机器学习将相似事件分组在一起。事件类型分组使故障排除和根本原因分析变得更容易。 在 Log Insight中运行查询时,结果数取决于查询和时间范围。通常,查询会返回大量结果。机器学习可从 导入到 Log Insight的事件中动态学习和调整模式 事件类型选项卡位于“交互式分析”页面上的搜索栏下方。单击事件类型选项卡时,您会看到组合在一起的 相似事件的列表。 机器学习可分析这些事件并发现相似日志消息所包含的字段类型。例如,类型可能是时间戳、字符串、整 数、十六进制数等。发现的类型在事件类型列表中显示为超链接。 机器学习发现的每种类型都表示一种新的字段类型,称为智能字段。智能字段的默认名称采用以下格式:智 能宇段-类型数字[事件类到。可以更改智能字段的默认名称。命名智能字段后,它将像其他字段那样显示 在“字段”部分中。可以重命名或删除智能字段,但无法修改其定义。 机器学习引入了一种新的静态字段,称为事件类型。可以使用“事件类型”作为筛选器,以在查询中包括或 排除特定的事件类型。 日志事件中的信息 vRealize Log Insight收集和分析计算机生成的所有类型的日志数据,其中包括应用程序日志、网络跟踪、配 置文件、消息、性能数据和系统状况转储。 可以将 vRealize Log Insight连接到您环境中的一切元素(包括操作系统、应用程序、存储、防火墙和网络 设备)以供企业级使用日志分析进行查看
在单行筛选器内,可以使用逗号分隔值列出 OR 筛选器。例如,选择 hostname contains,并键入 127.0.0.1, 127.0.0.2。搜索将返回包含主机名 127.0.0.1 或 127.0.0.2 的事件。 注意 文本包含筛选器将每个逗号分隔的值视为一个完整关键字。 无法处理且不应使用包含使用内部查询语言语法名称(如 from 或 in)的字段的查询。 可以通过为每个字段创建一个新的筛选器行来组合多个字段筛选器。可以切换应用于多行筛选器的运算符。 n 选择全部以应用 AND 运算符。 n 选择任何以应用 OR 运算符。 注意 无论切换值如何,单个筛选器行内逗号分隔值的运算符始终为 OR。 可以在搜索词中使用通配符匹配操作符。例如,vm* 或 vmw?re。 n 使用 * 表示 0 或更多个字符 n 使用 ? 表示一个字符。 注意 不能将通配符匹配操作符用作搜索词的第一个字符。例如,可以在筛选查询中使用 192.168.0.*,但不 能使用 *.168.0.0。 事件类型分组 Log Insight 使用机器学习将相似事件分组在一起。事件类型分组使故障排除和根本原因分析变得更容易。 在 Log Insight 中运行查询时,结果数取决于查询和时间范围。通常,查询会返回大量结果。机器学习可从 导入到 Log Insight 的事件中动态学习和调整模式。 事件类型选项卡位于“交互式分析”页面上的搜索栏下方。单击事件类型选项卡时,您会看到组合在一起的 相似事件的列表。 机器学习可分析这些事件并发现相似日志消息所包含的字段类型。例如,类型可能是时间戳、字符串、整 数、十六进制数等。发现的类型在事件类型列表中显示为超链接。 机器学习发现的每种类型都表示一种新的字段类型,称为智能字段。智能字段的默认名称采用以下格式:智 能字段 - 类型数字 [事件类型]。可以更改智能字段的默认名称。命名智能字段后,它将像其他字段那样显示 在“字段”部分中。可以重命名或删除智能字段,但无法修改其定义。 机器学习引入了一种新的静态字段,称为事件类型。可以使用“事件类型”作为筛选器,以在查询中包括或 排除特定的事件类型。 日志事件中的信息 vRealize Log Insight 收集和分析计算机生成的所有类型的日志数据,其中包括应用程序日志、网络跟踪、配 置文件、消息、性能数据和系统状况转储。 可以将 vRealize Log Insight 连接到您环境中的一切元素(包括操作系统、应用程序、存储、防火墙和网络 设备)以供企业级使用日志分析进行查看。 使用 vRealize Log Insight VMware, Inc. 8
使用 vRealize Log Insight 配置好 rEalize Log Insight且准备好收集日志时,您可以通过许多方法来载入日志数据,其中包括 vSphere集成一 rEalize Log Insight可与 vSphere集成以自动载入 vCenter server中的事件和ESXi 主机中的日志。 ■ vRealize Operations Manager集成一 rEalize Log Insight可与 vRealize Operations Manager集成以 启用各类警示从而向管理员发送 vRealize Operations Manager中的通知事件以及电子邮件。 代理一 vRealize Log Insight拥有可用的收集代理以将文件和事件日志从 Linux或 Windows发送到 Syslog-vRealize Log Insight可通过 syslog载入任何源中的数据。只需将 vRealize Log Insight服务器 设置为您的 syslog目标。 CFAP—使用 capi将事件以其原始格式发送到 rEalize Log Insight。通过 capi发送的事件不需要遵 守 syslog事件的准则,也不需要进行修改以符合 syslog RFO。 每个事件均包含以下信息 时间戳 事件发生的时间 事件的起源地。这可能是 syslog消息的发 送方(如ESX主机)或转发方(如 syslog 文本 事件的原始文本。 字段 从事件中提取的名称-值对。仅当代理使用 CFAP协议时,将字段作为静态字段传送 到服务器 注意 Realize Log Insight不负责来自其他 VMware产品的日志消息的内容。如果您对日志内容有疑问, 请联系生成此日志消息的产品团队。 按时间范围筛选日志事件 可以筛选日志事件以仅查看特定时段内的事件 可以在Web用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 前提条件 验证是否已登录到vRealizeLogInsightWeb用户界面。URL格式为https∥loginsight-host其中 og insight-host是 rEalize Log Insight虚拟设备的|P地址或主机名。 1从搜索按钮左侧的下拉菜单中,选择一个预定义时段。 2(可选)要设置时间范围的始点和终点,请选择自定义时间范围
配置好 vRealize Log Insight 且准备好收集日志时,您可以通过许多方法来载入日志数据,其中包括: n vSphere 集成—vRealize Log Insight 可与 vSphere 集成以自动载入 vCenter Server 中的事件和 ESXi 主机中的日志。 n vRealize Operations Manager 集成—vRealize Log Insight 可与 vRealize Operations Manager 集成以 启用各类警示从而向管理员发送 vRealize Operations Manager 中的通知事件以及电子邮件。 n 代理—vRealize Log Insight 拥有可用的收集代理以将文件和事件日志从 Linux 或 Windows 发送到 vRealize Log Insight。 n Syslog—vRealize Log Insight 可通过 syslog 载入任何源中的数据。只需将 vRealize Log Insight 服务器 设置为您的 syslog 目标。 n Syslogd — n CFAPI—使用 cfapi 将事件以其原始格式发送到 vRealize Log Insight。通过 cfapi 发送的事件不需要遵 守 syslog 事件的准则,也不需要进行修改以符合 syslog RFC。 每个事件均包含以下信息。 类型 描述 时间戳 事件发生的时间 源 事件的起源地。这可能是 syslog 消息的发 送方(如 ESXi 主机)或转发方(如 syslog 聚合)。 文本 事件的原始文本。 字段 从事件中提取的名称-值对。仅当代理使用 CFAPI 协议时,将字段作为静态字段传送 到服务器。 注意 vRealize Log Insight 不负责来自其他 VMware 产品的日志消息的内容。如果您对日志内容有疑问, 请联系生成此日志消息的产品团队。 按时间范围筛选日志事件 可以筛选日志事件以仅查看特定时段内的事件。 可以在 Web 用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 从搜索按钮左侧的下拉菜单中,选择一个预定义时段。 2 (可选) 要设置时间范围的始点和终点,请选择自定义时间范围。 使用 vRealize Log Insight VMware, Inc. 9
使用 vRealize Log Insight 搜索包含完整关键字的日志事件 可以搜索包含完整关键字的日志事件。关键字包含字母数字、连字符和下划线字符。 前提条件 验证是否已登录到 vRealize Log Insight Web用户界面。URL格式为htps∥ log insight-host,其中 og_ insight-host是 rEalize Log Insight虚拟设备的|P地址或主机名 步骤 1导航到交互式分析选项卡。 2在搜索文本框中,键入要在日志事件中搜索的完整关键字,然后单击搜索按钮。 包含指定完整关键字的日志事件将显示在列表中。 您搜索的字符串会以黄色突出显示。 可以保存当前查询,以便在以后加载。 按字段运算搜索日志事件 可以使用现有字段的列表搜索其中某个字段具有特定值的日志事件。 重要事项 vRealize Log Insight会对完整、字母数字、连字符和下划线字符编制索引。 前提条件 验证是否已登录到vRealizeLogInsightWeb用户界面。∪RL格式为https∥loginsight-host其中 og insight-host是 vRealize Log Insight虚拟设备的P地址或主机名 步骤 1导航到交互式分析选项卡。 2单击添加筛选器。 3在搜索文本框下方的筛选器行中,使用第一个下拉菜单选择在 vRealize Log Insight中定义的任何字段。 例如, hostname。 此列表包含在内容包和自定义内容中静态可用的所有定义字段。这些字段按名称排序,但text字段除 外。因为text是一个表示消息文本的特殊字段,text显示在列表顶部,默认情况下处于选中状态。 注意数字字段包含字符串字段不包含的其他运算符:=、>、<、>=、<=。这些运算符执行数字比较 与使用字符串运算符相比,使用它们可生成不同的结果。例如,筛选器 response time=02将匹配包 含值为2的 response_time字段的事件。筛选器 response time contains02将不会具有相同匹配
搜索包含完整关键字的日志事件 可以搜索包含完整关键字的日志事件。关键字包含字母数字、连字符和下划线字符。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 导航到交互式分析选项卡。 2 在搜索文本框中,键入要在日志事件中搜索的完整关键字,然后单击搜索按钮。 包含指定完整关键字的日志事件将显示在列表中。 您搜索的字符串会以黄色突出显示。 下一步 可以保存当前查询,以便在以后加载。 按字段运算搜索日志事件 可以使用现有字段的列表搜索其中某个字段具有特定值的日志事件。 重要事项 vRealize Log Insight 会对完整、字母数字、连字符和下划线字符编制索引。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 导航到交互式分析选项卡。 2 单击添加筛选器。 3 在搜索文本框下方的筛选器行中,使用第一个下拉菜单选择在 vRealize Log Insight 中定义的任何字段。 例如,hostname。 此列表包含在内容包和自定义内容中静态可用的所有定义字段。这些字段按名称排序,但 text 字段除 外。因为 text 是一个表示消息文本的特殊字段,text 显示在列表顶部,默认情况下处于选中状态。 注意 数字字段包含字符串字段不包含的其他运算符:=、>、<、>=、<=。这些运算符执行数字比较, 与使用字符串运算符相比,使用它们可生成不同的结果。例如,筛选器 response_time = 02 将匹配包 含值为 2 的 response_time 字段的事件。筛选器 response_time contains 02 将不会具有相同匹配。 使用 vRealize Log Insight VMware, Inc. 10
