使用 vRealize Log Insight 在搜索文本框下方的筛选器行中,使用第二个下拉菜单选择要应用于在第一个下拉菜单中选择的字段的 运算。 例如,选择 contains。 contains筛选器匹配完整令牌:搜索“er”将不会查找“eror”作为匹配项。 5在此筛选器下拉菜单右侧的文本框中,键入要用作筛选器的值。 可以列出以逗号分隔的多个值。这些值之间的运算符是OR。 注意如果在第二个下拉菜单中选择 exists运算符,则此文本框不可用 6(可选)要添加更多筛选器,请单击添加筛选器。 此时将在筛选器行上方显示一个切换按钮 7(可选)对于多个筛选器行,请选择筛选器之间的运算符。 描述 全部 选择以在筛选器行之间应用AND运算 任何 选择以在筛选器行之间应用OR运算 默认情况下,全部处于选中状态 8单击搜索按钮。 示例:搜索其名称中包含常见字符串的主机组 假定您拥有多个主机,其中一个主机称为W-stvc205-prod3,另一个主机称为W1-stc206-prod5 要查找这两个主机的所有日志,请创建以下查询 11.保留搜索文本框为空。 2定义筛选器。 a从第一个下拉菜单中选择主机名。 b从运算符下拉菜单中选择开头为。 c在值文本框中键入w1-stvc。 或者,您可以使用 contains运算符,但之后必须在搜索值中使用通配符匹配操作符。在此示例中,必 须在值文本框中键入w1-stv 单击搜索按钮 可以保存当前查询,以便在以后加载 搜索某个事件之前、之后或附近发生的事件 可以在日志事件列表中搜索列表中的某个事件之前、之后和附近发生的事件。 如果要了解有关某个事件之前和之后的环境状态的更多信息,可以检查附近事件
4 在搜索文本框下方的筛选器行中,使用第二个下拉菜单选择要应用于在第一个下拉菜单中选择的字段的 运算。 例如,选择 contains。contains 筛选器匹配完整令牌:搜索“err”将不会查找“error”作为匹配项。 5 在此筛选器下拉菜单右侧的文本框中,键入要用作筛选器的值。 可以列出以逗号分隔的多个值。这些值之间的运算符是 OR。 注意 如果在第二个下拉菜单中选择 exists 运算符,则此文本框不可用。 6 (可选) 要添加更多筛选器,请单击添加筛选器。 此时将在筛选器行上方显示一个切换按钮。 7 (可选) 对于多个筛选器行,请选择筛选器之间的运算符。 选项 描述 全部 选择以在筛选器行之间应用 AND 运算 任何 选择以在筛选器行之间应用 OR 运算 默认情况下,全部处于选中状态。 8 单击搜索按钮。 示例:搜索其名称中包含常见字符串的主机组 假定您拥有多个主机,其中一个主机称为 w1-stvc-205-prod3,另一个主机称为 w1-stvc-206-prod5。 要查找这两个主机的所有日志,请创建以下查询。 1 1. 保留搜索文本框为空。 2 定义筛选器。 a 从第一个下拉菜单中选择主机名。 b 从运算符下拉菜单中选择开头为。 c 在值文本框中键入 w1-stvc。 或者,您可以使用 contains 运算符,但之后必须在搜索值中使用通配符匹配操作符。在此示例中,必 须在值文本框中键入 w1-stvc-*。 3 单击搜索按钮。 下一步 可以保存当前查询,以便在以后加载。 搜索某个事件之前、之后或附近发生的事件 可以在日志事件列表中搜索列表中的某个事件之前、之后和附近发生的事件。 如果要了解有关某个事件之前和之后的环境状态的更多信息,可以检查附近事件。 使用 vRealize Log Insight VMware, Inc. 11
使用 vRealize Log Insight 前提条件 验证是否已登录到 vRealize Log Insight Web用户界面。URL格式为htps:∥ log insight-host,其中 og insight-host是 vRealize Log Insight虚拟设备的|P地址或主机名。 步骤 1在交互式分析选项卡上,在列表中找到此事件 2在事件行左侧,单击,然后选择设置起自此事件的时间范围。 3在“通过事件设置时间范围”对话框中,使用下拉菜单选择时间范围的时段和方向。 可以在预定义时段列表中从1秒到10分钟之间进行选择 单击设置范围 先定事件附近的事件将显示在列表中。 注意此操作可清除之前已指定的所有搜索参数和筛选器。 在环境中查看事件 您可以查看某个日志事件的环境,并浏览在该日志事件前后到达的日志事件, 如果要了解有关某个事件之前和之后的环境状态的更多信息,可以检查附近事件 前提条件 验证是否已登录到 vRealize Log Insight Web用户界面。URL格式为htts∥lg_ insight-host,其中 og insight-host是 vRealize Log Insight虚拟设备的P地址或主机名。 在交互式分析选项卡上,在列表中找到此事件。 在事件行左侧,单击,然后选择在环境中查看事件。 3(可选)向上或向下滚动至窗口边沿以加载更多事件。 4(可选)单击紫色时间戳,以向后滚动到突出显示的消息。 5(可选)要添加筛选器,请单击顶部的添加筛选器,或单击突出显示的事件中的某个字段 6(可选)通过指向某个事件并单击豪,可添加或移除特定的事件类型。 分析事件趋势 您可以分析日志事件以了解趋势和异常情况。 前提条件 验证是否已登录到rEalizeLogInsightWeb用户界面。URL格式为https:/loginsight-host,其中 og_ insight-host是 rEalize Log Insight虚拟设备的P地址或主机名
前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 在交互式分析选项卡上,在列表中找到此事件。 2 在事件行左侧,单击 ,然后选择设置起自此事件的时间范围。 3 在“通过事件设置时间范围”对话框中,使用下拉菜单选择时间范围的时段和方向。 可以在预定义时段列表中从 1 秒到 10 分钟之间进行选择。 4 单击设置范围。 选定事件附近的事件将显示在列表中。 注意 此操作可清除之前已指定的所有搜索参数和筛选器。 在环境中查看事件 您可以查看某个日志事件的环境,并浏览在该日志事件前后到达的日志事件。 如果要了解有关某个事件之前和之后的环境状态的更多信息,可以检查附近事件。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 在交互式分析选项卡上,在列表中找到此事件。 2 在事件行左侧,单击 ,然后选择在环境中查看事件。 3 (可选) 向上或向下滚动至窗口边沿以加载更多事件。 4 (可选) 单击紫色时间戳,以向后滚动到突出显示的消息。 5 (可选) 要添加筛选器,请单击顶部的添加筛选器,或单击突出显示的事件中的某个字段。 6 (可选) 通过指向某个事件并单击 ,可添加或移除特定的事件类型。 分析事件趋势 您可以分析日志事件以了解趋势和异常情况。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 使用 vRealize Log Insight VMware, Inc. 12
使用 vRealize Log Insight 步骤 1导航到交互式分析选项卡。 2通过使用搜索文本框和应用筛选器来构建并运行您的查询 3在“通过事件设置时间范围”对话框中,使用下拉菜单选择时间范围的时段和方向。 单击事件趋势选项卡。 vRealize Log Insight会将您的查询与之前的同一时间段进行比较,并显示相应结果。 清除所有筛选规则 可以清除筛选和搜索结果以查看所有日志事件的列表。 对事件列表执行搜索后,搜索结果将始终保留在屏幕上,直到清除所有査询。 前提条件 验证是否已登录到 vRealize Log Insight Web用户界面。URL格式为htps:∥ log insight-host,其中 og insight-host是 rEalize Log Insight虚拟设备的P地址或主机名。 步骤 1在交互式分析选项卡上,移除所有筛选器。 2如果在搜索文本框中显示文本,请将其删除 3单击搜索按钮。 搜索查询示例 在 vRealize Log Insight的交互式分析选项卡上构建查询时,可以使用这些示例。 示例:查询昨天上午9-10点由ESX/ ESXi hostd进程报告的所有检测信号事件 重要事项 rEalize Log Insight会对完整、字母数字、连字符和下划线字符编制索引。 要查询由 ESX/ESXi hostd进程报告的所有检测信号事件,请执行以下操作: 在搜索文本框中,键入 heartbeat*。 2定义筛选器。 a从第一个下拉菜单中选择 appname b从第二个下拉菜单中选择 contains。 c在值文本框中键入 hostd 3定义时间范围。 a在时间范围下拉菜单中,选择自定义。 b在第一个文本框中,输入昨天的日期和9am
步骤 1 导航到交互式分析选项卡。 2 通过使用搜索文本框和应用筛选器来构建并运行您的查询。 3 在“通过事件设置时间范围”对话框中,使用下拉菜单选择时间范围的时段和方向。 4 单击事件趋势选项卡。 vRealize Log Insight 会将您的查询与之前的同一时间段进行比较,并显示相应结果。 清除所有筛选规则 可以清除筛选和搜索结果以查看所有日志事件的列表。 对事件列表执行搜索后,搜索结果将始终保留在屏幕上,直到清除所有查询。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 在交互式分析选项卡上,移除所有筛选器。 2 如果在搜索文本框中显示文本,请将其删除。 3 单击搜索按钮。 搜索查询示例 在 vRealize Log Insight 的交互式分析选项卡上构建查询时,可以使用这些示例。 示例:查询昨天上午 9-10 点由 ESX/ESXi hostd 进程报告的所有检测信号事件 重要事项 vRealize Log Insight 会对完整、字母数字、连字符和下划线字符编制索引。 要查询由 ESX/ESXi hostd 进程报告的所有检测信号事件,请执行以下操作: 1 在搜索文本框中,键入 heartbeat*。 2 定义筛选器。 a 从第一个下拉菜单中选择 appname。 b 从第二个下拉菜单中选择 contains。 c 在值文本框中键入 hostd。 3 定义时间范围。 a 在时间范围下拉菜单中,选择自定义。 b 在第一个文本框中,输入昨天的日期和 9am。 使用 vRealize Log Insight VMware, Inc. 13
使用 vRealize Log Insight c在第二个文本框中,输入昨天的日期和10am。 4单击搜索按钮 示例:搜索其名称中包含常见字符串的主机组 假定您拥有多个主机,其中一个主机称为w1-stvc205-prod3,另一个主机称为w1-stvc206-prod5。 要查找这两个主机的所有日志,请创建以下查询。 11.保留搜索文本框为空 2定义筛选器。 a从第一个下拉菜单中选择主机名。 b从运算符下拉菜单中选择开头为。 c在值文本框中键入w1-stvc 或者,您可以使用 contains运算符,但之后必须在搜索值中使用通配符匹配操作符。在此示例中,必 须在值文本框中键入w1-stvc-* 3单击搜索按钮。 示例:查询由 vCenter Server任务、事件和警报报告的所有错误 要查询由 vCenter Server任务、事件和警报报告的所有错误,请执行以下操作: 1在搜索文本框中,键入 error 2定义筛选器。 a从第一个下拉菜单中选择vc_ event type. b从第二个下拉菜单中选择 exists运算符。 3单击搜索按钮。 示例:查询由EsX/ES×i报告的超过一秒的ScS延迟 要查询由 ESX/ESXi报告的超过一秒的SCS延迟,请执行以下操作 1在搜索文本框中,键入 scsi latency" performance has"。 2定义筛选器。 a从第一个下拉菜单中选择 vmw_vob component。 b从第二个下拉菜单中选择 contains运算符 c在文本框中键入 scsiCorrelator。 3定义另一个筛选器。 a从第一个下拉菜单中选择 vmw_latency_in_micros。 b从第二个下拉菜单中选择>运算符
c 在第二个文本框中,输入昨天的日期和 10am。 4 单击搜索按钮。 示例:搜索其名称中包含常见字符串的主机组 假定您拥有多个主机,其中一个主机称为 w1-stvc-205-prod3,另一个主机称为 w1-stvc-206-prod5。 要查找这两个主机的所有日志,请创建以下查询。 1 1. 保留搜索文本框为空。 2 定义筛选器。 a 从第一个下拉菜单中选择主机名。 b 从运算符下拉菜单中选择开头为。 c 在值文本框中键入 w1-stvc。 或者,您可以使用 contains 运算符,但之后必须在搜索值中使用通配符匹配操作符。在此示例中,必 须在值文本框中键入 w1-stvc-*。 3 单击搜索按钮。 示例:查询由 vCenter Server 任务、事件和警报报告的所有错误 要查询由 vCenter Server 任务、事件和警报报告的所有错误,请执行以下操作: 1 在搜索文本框中,键入 error。 2 定义筛选器。 a 从第一个下拉菜单中选择 vc_event_type。 b 从第二个下拉菜单中选择 exists 运算符。 3 单击搜索按钮。 示例:查询由 ESX/ESXi 报告的超过一秒的 SCSI 延迟 要查询由 ESX/ESXi 报告的超过一秒的 SCSI 延迟,请执行以下操作: 1 在搜索文本框中,键入 scsi latency "performance has"。 2 定义筛选器。 a 从第一个下拉菜单中选择 vmw_vob_component。 b 从第二个下拉菜单中选择 contains 运算符。 c 在文本框中键入 scsiCorrelator。 3 定义另一个筛选器。 a 从第一个下拉菜单中选择 vmw_latency_in_micros。 b 从第二个下拉菜单中选择 > 运算符。 使用 vRealize Log Insight VMware, Inc. 14
使用 vRealize Log Insight c在文本框中键入100000 4单击搜索按钮 正则表达式示例 可以在字段值的文本框中键入正则表达式,以从日志事件中提取字段 键入的表达式必须使用Java正则表达式语法 表1-1字符运算符 正则表达式 对特殊字符进行转义处理 单词边界 不是单词边界 一个数字 换行符 回车符 一个空格 除空格之外的任何字符 选项卡 一个字母数字或下划线字符 一个非字母数字或下划线字符 例如,如果您具有字符串1234-5678并应用以下正则表达式 E则表达式结果 1234-5678 表1-2限定符运算符 正则表达式 除换行符之外的任何字符 零个或多个尽可能长的字符 零个或一个字符或尽可能短的字符 一个或多个
c 在文本框中键入 1000000。 4 单击搜索按钮。 正则表达式示例 可以在字段值的文本框中键入正则表达式,以从日志事件中提取字段。 键入的表达式必须使用 Java 正则表达式语法。 表 1‑1 字符运算符 正则表达式 描述 \ 对特殊字符进行转义处理 \b 单词边界 \B 不是单词边界 \d 一个数字 \D 一个非数字 \n 换行符 \r 回车符 \s 一个空格 \S 除空格之外的任何字符 \t 选项卡 \w 一个字母数字或下划线字符 \W 一个非字母数字或下划线字符 例如,如果您具有字符串 1234-5678 并应用以下正则表达式 正则表达式 结果 \d 1 \d+ 1234 \w+ 1234 \S 1234-5678 表 1‑2 限定符运算符 正则表达式 描述 . 除换行符之外的任何字符 * 零个或多个尽可能长的字符 ? 零个或一个字符或尽可能短的字符 + 一个或多个 使用 vRealize Log Insight VMware, Inc. 15