《云计算与虚拟化技术 Cloud and virtualization technology》参考资料：VMware vRealize Log Insight 4.7 CHS 3.使用 vRealize Log Insight-vRealize-Log-Insight-4.7-users-guide

使用 REalize Log Insight 2018年9月20日 vRealize Log Insight 4.7 VmWare

使用 vRealize Log Insight 2018 年 9 月 20 日 vRealize Log Insight 4.7

使用 vRealize Log Insight 新的技术文档可以从 VMware网站下载: https://docs.vmwarecom/cn/ 您如果对本文档有任何意见或建议,请把反馈信息提交至 上海办公室 广州办公室 3401 Hillview Ave 北京市海淀区科学院南路2号上海市浦东新区浦东南路999广州市天河北路233号 融科资讯中心C座南8层号 中信广场7401室 www.vmware.com/cn 新梅联合广场23楼 ww. vmware. com/cn ww. vmware. com/cn 版权所有e2014-2018 VMware,nc.保留所有权利。版权和商标信息

使用 vRealize Log Insight VMware, Inc. 2 最新的技术文档可以从 VMware 网站下载： https://docs.vmware.com/cn/ 您如果对本文档有任何意见或建议，请把反馈信息提交至： docfeedback@vmware.com 版权所有 © 2014–2018 VMware, Inc. 保留所有权利。 版权和商标信息。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 北京办公室 北京市海淀区科学院南路 2 号 融科资讯中心 C 座南 8 层 www.vmware.com/cn 上海办公室 上海市浦东新区浦东南路 999 号 新梅联合广场 23 楼 www.vmware.com/cn 广州办公室 广州市天河北路 233 号 中信广场 7401 室 www.vmware.com/cn

目录 vRealize Log Insight 4 使用 vRealize Log Insight功能5 vRealize Log Insight Web用户界面概览7 搜索和筛选日志事件7 使用“交互式分析”图表分析日志17 动态字段提取 管理搜索查询24 使用仪表板27 使用内容包33 创建内容包38 vRealize Log Insight中的警示查询48

目录 vRealize Log Insight 4 1 使用 vRealize Log Insight 功能 5 vRealize Log Insight Web 用户界面概览 7 搜索和筛选日志事件 7 使用“交互式分析”图表分析日志 17 动态字段提取 20 管理搜索查询 24 使用仪表板 27 使用内容包 33 创建内容包 38 vRealize Log Insight 中的警示查询 48 VMware, Inc. 3

rEalize Log Insight 使用 vRealize Log Insight主题提供了有关使用web用户界面的信息,包括有关筛选和搜索日志消息,执行 分析和可视化搜索结果,处理警示查询,以及从基于自定义查询的日志消息中动态提取字段的步骤 这些信息专为需要使用 vRealize Log Insight的用户提供

vRealize Log Insight 使用 vRealize Log Insight 主题提供了有关使用 Web 用户界面的信息，包括有关筛选和搜索日志消息，执行 分析和可视化搜索结果，处理警示查询，以及从基于自定义查询的日志消息中动态提取字段的步骤。 这些信息专为需要使用 vRealize Log Insight 的用户提供。 VMware, Inc. 4

使用 rEalize Log Insight功能 rEalize Log Insight提供可扩展的日志汇总和 vCloud suite索引(包括所有的 vSphere版本),并提供接 近实时的搜索和分析功能。 vRealize Log Insight可收集、导入并分析日志,以便对与系统、服务和应用程序相关的问题给出解答,并从 中获取重要信息。 高性能载入 vRealize Log Insight可以处理任何类型的日志生成数据或计算机生成数据。它支持高吞吐率和低延迟,并通 过 syslog和数据获取APl接受数据。 可扩展性 通过使用多个虚拟设备实例, vRealize Log Insight可以扩展。这将实现载入吞吐量的线性增长,提高查询性 能,并实现载入高可用性。在群集模式下, vRealize Log Insight提供主节点和工作线程节点。主节点和工作 线程节点均负责数据子集。主节点和查询节点可以查询所有数据子集并汇总结果 接近实时的搜索 由 rEalize Log Insight载入的数据在几秒钟之内即可用于搜索。而且,历史数据也可以通过相同的界面进 行搜索,延迟也是同样的低。 vRealize Log Insight支持完整关键字查询。关键字可定义为任意字母数字、连字符或下划线字符。除了完整 关键字查询外, vRealize Log Insight还支持通配符匹配操作符查询(例如,erro?或Ⅷm*)和基于字段的筛 (例如,主机名“不”与test相匹配、IP包含“10.64”)。而且,包含数字值的日志消息字段还可用于 定义选择筛选器(例如,CPU>80、10<线程数<100等等)。 搜索结果展示为各个不同的事件。每个事件来自单个源,但搜索结果可能来自多个源。可以使用 rEalize Log Insight关联一个或多个维度中的数据(例如时间和请求标识符),从而在堆栈中提供一致的视 图。这样,根本原因的分析就变得简单得多。 Windows和 Linux代理 rEalize Log Insight包含用于在 Linux和 Windows计算机上收集事件和文件的代理

使用 vRealize Log Insight 功能 1 vRealize Log Insight 提供可扩展的日志汇总和 vCloud Suite 索引（包括所有的 vSphere 版本），并提供接 近实时的搜索和分析功能。 vRealize Log Insight 可收集、导入并分析日志，以便对与系统、服务和应用程序相关的问题给出解答，并从 中获取重要信息。 高性能载入 vRealize Log Insight 可以处理任何类型的日志生成数据或计算机生成数据。它支持高吞吐率和低延迟，并通 过 syslog 和数据获取 API 接受数据。 可扩展性 通过使用多个虚拟设备实例，vRealize Log Insight 可以扩展。这将实现载入吞吐量的线性增长，提高查询性 能，并实现载入高可用性。在群集模式下，vRealize Log Insight 提供主节点和工作线程节点。主节点和工作 线程节点均负责数据子集。主节点和查询节点可以查询所有数据子集并汇总结果。 接近实时的搜索 由 vRealize Log Insight 载入的数据在几秒钟之内即可用于搜索。而且，历史数据也可以通过相同的界面进 行搜索，延迟也是同样的低。 vRealize Log Insight 支持完整关键字查询。关键字可定义为任意字母数字、连字符或下划线字符。除了完整 关键字查询外，vRealize Log Insight 还支持通配符匹配操作符查询（例如，erro? 或 vm*）和基于字段的筛 选（例如，主机名“不”与 test* 相匹配、IP 包含“10.64”）。而且，包含数字值的日志消息字段还可用于 定义选择筛选器（例如，CPU>80、10<线程数<100 等等）。 搜索结果展示为各个不同的事件。每个事件来自单个源，但搜索结果可能来自多个源。可以使用 vRealize Log Insight 关联一个或多个维度中的数据（例如时间和请求标识符），从而在堆栈中提供一致的视 图。这样，根本原因的分析就变得简单得多。 Windows 和 Linux 代理 vRealize Log Insight 包含用于在 Linux 和 Windows 计算机上收集事件和文件的代理。 VMware, Inc. 5

使用 vRealize Log Insight 智能分组 rEalize Log Insight使用一种新的计算机学习技术。智能分组扫描入站的非结构化数据,并按问题类型将消 息组合在一起,从而使您能够快速了解可能跨物理、虚拟和混合云环境的问题。 汇总 从日志数据中提取的字段可用于汇总。这与 GROUP-BY查询在关系数据库提供的功能或 Microsoft exce中 的数据透视表相类似。区别在于无需提取、转换和加载(ETL)过程,并且 rEalize Log Insight可扩展为任 意大小的数据。 您可以生成数据的汇总视图,并识别特定事件或错误,而无需访问多个系统和应用程序。例如,查看重要的 系统衡量指标(如每分钟错误数)时,可以向下细分到特定时间范围的事件,并检査环境中岀现的错误 运行时字段提取 原始日志数据并不总是容易理解,可能会需要处理一些数据来确定对搜索和汇总至关重要的字段。 vRealize Log Insight提供了运行时字段提取来解决此问题。可以通过提供正则表达式从数据中动态提取任何 字段。提取的字段可用于选择、投影和汇总,与在解析时提取的字段的使用方式相类似 仪表板 可以创建要严密监控的有用衡量指标的仪表板。任何查询都可以转换为仪表板小组件,并按任意时间范围进 行汇总。可以选择最近五分钟、一小时或一天的系统性能。可以按小时查看错误的细分,并观察日志事件中 的趋势。 安全注意事项 决策者、架构师、管理员以及必须自行熟悉 vRealize Log Insight安全组件的其他人员都必须阅读管理 vRealize Log Insight中的安全主题。 这些主题提供了对 rEalize Log Insight安全功能的简明参考。主题包括产品外部接口、端口、身份验证机 制和用于配置和管理安全功能的选项。 本章讨论了以下主题 vRealize Log Insight Web用户界面概览 搜索和筛选日志事件 使用“交互式分析”图表分析日志 动态字段提取 管理搜索查询 使用仪表板 使用内容包

智能分组 vRealize Log Insight 使用一种新的计算机学习技术。智能分组扫描入站的非结构化数据，并按问题类型将消 息组合在一起，从而使您能够快速了解可能跨物理、虚拟和混合云环境的问题。 汇总 从日志数据中提取的字段可用于汇总。这与 GROUP-BY 查询在关系数据库提供的功能或 Microsoft Excel 中 的数据透视表相类似。区别在于无需提取、转换和加载 (ETL) 过程，并且 vRealize Log Insight 可扩展为任 意大小的数据。 您可以生成数据的汇总视图，并识别特定事件或错误，而无需访问多个系统和应用程序。例如，查看重要的 系统衡量指标（如每分钟错误数）时，可以向下细分到特定时间范围的事件，并检查环境中出现的错误。 运行时字段提取 原始日志数据并不总是容易理解，可能会需要处理一些数据来确定对搜索和汇总至关重要的字段。 vRealize Log Insight 提供了运行时字段提取来解决此问题。可以通过提供正则表达式从数据中动态提取任何 字段。提取的字段可用于选择、投影和汇总，与在解析时提取的字段的使用方式相类似。 仪表板 可以创建要严密监控的有用衡量指标的仪表板。任何查询都可以转换为仪表板小组件，并按任意时间范围进 行汇总。可以选择最近五分钟、一小时或一天的系统性能。可以按小时查看错误的细分，并观察日志事件中 的趋势。 安全注意事项 IT 决策者、架构师、管理员以及必须自行熟悉 vRealize Log Insight 安全组件的其他人员都必须阅读管理 vRealize Log Insight 中的安全主题。 这些主题提供了对 vRealize Log Insight 安全功能的简明参考。主题包括产品外部接口、端口、身份验证机 制和用于配置和管理安全功能的选项。 本章讨论了以下主题： n vRealize Log Insight Web 用户界面概览 n 搜索和筛选日志事件 n 使用“交互式分析”图表分析日志 n 动态字段提取 n 管理搜索查询 n 使用仪表板 n 使用内容包 使用 vRealize Log Insight VMware, Inc. 6

使用 vRealize Log Insight 创建内容包 rEalize Log Insight中的警示查询 vRealize Log Insight Web用户界面概览 您可以访问的功能取决于登录到 vRealize Log Insight Web用户界面所使用的用户帐户 “仪表板”选项卡 仪表板选项卡包含自定义仪表板和内容包仪表板。在仪表板选项卡上,可以查看环境中日志事件的图表,或 创建自定义小组件集以访问对您来说最重要的信息。 “交互式分析”选项卡 在交互式分析选项卡上,可以搜索和筛选日志事件,并创建查询以基于日志事件中的时间戳、文本、源和字 段提取事件。 vRealize Log Insight提供了查询结果的图表。可以保存这些图表,以便以后在仪表板选项卡上 查找它们。 内容包 内容包包含与特定产品或日志集相关的仪表板、已提取字段、已保存查询和警示。可以从 rEalize Log Insight Web用户界面右上角的下拉菜单中访问内容包 内容包可由 rEalize Log Insight用户导入或创建。请参见使用内容包。 管理用户界面 rEalize Log Insight管理员可以管理用户帐户,配置存储位置和存档,为电子邮件通知配置出站SMTP服 务器,以及更改多个其他参数。管理U的URL格式为htps:∥/ og insight-host/admin/,其中 og insight host是 vRealize Log Insight虚拟设备的地址或主机名。 搜索和筛选日志事件 可以在交互式分析选项卡上搜索和筛选日志事件。 您可以在搜索文本框中键入任何完整的关键字、通配符匹配操作符或短语,然后单击搜索以仅查找包含指定 关键字的事件 可以在Web用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围 可以搜索与特定字段的特定值匹配的日志事件。在主搜索字段中使用引用文本将匹配确切的短语。在主搜索 段中输入空格表示逻辑AND运算符。搜索仅使用完整令牌:搜索“er”将不会查找“eror”作为匹配项。 可以通过使用日志事件列表上方的下拉菜单和文本框来指定字段搜索条件或筛选器

n 创建内容包 n vRealize Log Insight 中的警示查询 vRealize Log Insight Web 用户界面概览 您可以访问的功能取决于登录到 vRealize Log Insight Web 用户界面所使用的用户帐户。 “仪表板”选项卡 仪表板选项卡包含自定义仪表板和内容包仪表板。在仪表板选项卡上，可以查看环境中日志事件的图表，或 创建自定义小组件集以访问对您来说最重要的信息。 “交互式分析”选项卡 在交互式分析选项卡上，可以搜索和筛选日志事件，并创建查询以基于日志事件中的时间戳、文本、源和字 段提取事件。vRealize Log Insight 提供了查询结果的图表。可以保存这些图表，以便以后在仪表板选项卡上 查找它们。 内容包 内容包包含与特定产品或日志集相关的仪表板、已提取字段、已保存查询和警示。可以从 vRealize Log Insight Web 用户界面右上角的下拉菜单中访问内容包。 内容包可由 vRealize Log Insight 用户导入或创建。请参见使用内容包。 管理用户界面 vRealize Log Insight 管理员可以管理用户帐户，配置存储位置和存档，为电子邮件通知配置出站 SMTP 服 务器，以及更改多个其他参数。管理 UI 的 URL 格式为 https://log_insight-host/admin/，其中 log_insight￾host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 搜索和筛选日志事件 可以在交互式分析选项卡上搜索和筛选日志事件。 您可以在搜索文本框中键入任何完整的关键字、通配符匹配操作符或短语，然后单击搜索以仅查找包含指定 关键字的事件。 可以在 Web 用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 可以搜索与特定字段的特定值匹配的日志事件。在主搜索字段中使用引用文本将匹配确切的短语。在主搜索 字段中输入空格表示逻辑 AND 运算符。搜索仅使用完整令牌：搜索“err”将不会查找“error”作为匹配项。 可以通过使用日志事件列表上方的下拉菜单和文本框来指定字段搜索条件或筛选器。 使用 vRealize Log Insight VMware, Inc. 7

使用 vRealize Log Insight 在单行筛选器内,可以使用逗号分隔值列出OR筛选器。例如,选择 hostname contains,并键入 127.0.0.1,127.0.0.2。搜索将返回包含主机名127.0.0.1或127002的事件。 注意文本包含筛选器将每个逗号分隔的值视为一个完整关键字。 无法处理且不应使用包含使用内部查询语言语法名称(如from或in)的字段的查询。 以通过为每个字段创建一个新的筛选器行来组合多个字段筛选器。可以切换应用于多行筛选器的运算符。 选择全部以应用AND运算符。 选择任何以应用OR运算符 注意无论切换值如何,单个筛选器行内逗号分隔值的运算符始终为OR。 可以在搜索词中使用通配符匹配操作符。例如,Wm*或mw?re。 使用*表示0或更多个字符 使用?表示一个字符。 注意不能将通配符匹配操作符用作搜索词的第一个字符。例如,可以在筛选查询中使用1921680*,但不 能使用*168.0.0。 事件类型分组 Log Insight使用机器学习将相似事件分组在一起。事件类型分组使故障排除和根本原因分析变得更容易。 在 Log Insight中运行查询时,结果数取决于查询和时间范围。通常,查询会返回大量结果。机器学习可从 导入到 Log Insight的事件中动态学习和调整模式 事件类型选项卡位于“交互式分析”页面上的搜索栏下方。单击事件类型选项卡时,您会看到组合在一起的 相似事件的列表。 机器学习可分析这些事件并发现相似日志消息所包含的字段类型。例如,类型可能是时间戳、字符串、整 数、十六进制数等。发现的类型在事件类型列表中显示为超链接。 机器学习发现的每种类型都表示一种新的字段类型,称为智能字段。智能字段的默认名称采用以下格式:智 能宇段-类型数字[事件类到。可以更改智能字段的默认名称。命名智能字段后,它将像其他字段那样显示 在“字段”部分中。可以重命名或删除智能字段,但无法修改其定义。 机器学习引入了一种新的静态字段,称为事件类型。可以使用“事件类型”作为筛选器,以在查询中包括或 排除特定的事件类型。 日志事件中的信息 vRealize Log Insight收集和分析计算机生成的所有类型的日志数据,其中包括应用程序日志、网络跟踪、配 置文件、消息、性能数据和系统状况转储。 可以将 vRealize Log Insight连接到您环境中的一切元素(包括操作系统、应用程序、存储、防火墙和网络 设备)以供企业级使用日志分析进行查看

在单行筛选器内，可以使用逗号分隔值列出 OR 筛选器。例如，选择 hostname contains，并键入 127.0.0.1, 127.0.0.2。搜索将返回包含主机名 127.0.0.1 或 127.0.0.2 的事件。 注意 文本包含筛选器将每个逗号分隔的值视为一个完整关键字。 无法处理且不应使用包含使用内部查询语言语法名称（如 from 或 in）的字段的查询。 可以通过为每个字段创建一个新的筛选器行来组合多个字段筛选器。可以切换应用于多行筛选器的运算符。 n 选择全部以应用 AND 运算符。 n 选择任何以应用 OR 运算符。 注意 无论切换值如何，单个筛选器行内逗号分隔值的运算符始终为 OR。 可以在搜索词中使用通配符匹配操作符。例如，vm* 或 vmw?re。 n 使用 * 表示 0 或更多个字符 n 使用 ? 表示一个字符。 注意 不能将通配符匹配操作符用作搜索词的第一个字符。例如，可以在筛选查询中使用 192.168.0.*，但不 能使用 *.168.0.0。 事件类型分组 Log Insight 使用机器学习将相似事件分组在一起。事件类型分组使故障排除和根本原因分析变得更容易。 在 Log Insight 中运行查询时，结果数取决于查询和时间范围。通常，查询会返回大量结果。机器学习可从 导入到 Log Insight 的事件中动态学习和调整模式。 事件类型选项卡位于“交互式分析”页面上的搜索栏下方。单击事件类型选项卡时，您会看到组合在一起的 相似事件的列表。 机器学习可分析这些事件并发现相似日志消息所包含的字段类型。例如，类型可能是时间戳、字符串、整 数、十六进制数等。发现的类型在事件类型列表中显示为超链接。 机器学习发现的每种类型都表示一种新的字段类型，称为智能字段。智能字段的默认名称采用以下格式：智 能字段 - 类型数字 [事件类型]。可以更改智能字段的默认名称。命名智能字段后，它将像其他字段那样显示 在“字段”部分中。可以重命名或删除智能字段，但无法修改其定义。 机器学习引入了一种新的静态字段，称为事件类型。可以使用“事件类型”作为筛选器，以在查询中包括或 排除特定的事件类型。 日志事件中的信息 vRealize Log Insight 收集和分析计算机生成的所有类型的日志数据，其中包括应用程序日志、网络跟踪、配 置文件、消息、性能数据和系统状况转储。 可以将 vRealize Log Insight 连接到您环境中的一切元素（包括操作系统、应用程序、存储、防火墙和网络 设备）以供企业级使用日志分析进行查看。 使用 vRealize Log Insight VMware, Inc. 8

使用 vRealize Log Insight 配置好 rEalize Log Insight且准备好收集日志时,您可以通过许多方法来载入日志数据,其中包括 vSphere集成一 rEalize Log Insight可与 vSphere集成以自动载入 vCenter server中的事件和ESXi 主机中的日志。 ■ vRealize Operations Manager集成一 rEalize Log Insight可与 vRealize Operations Manager集成以 启用各类警示从而向管理员发送 vRealize Operations Manager中的通知事件以及电子邮件。 代理一 vRealize Log Insight拥有可用的收集代理以将文件和事件日志从 Linux或 Windows发送到 Syslog-vRealize Log Insight可通过 syslog载入任何源中的数据。只需将 vRealize Log Insight服务器 设置为您的 syslog目标。 CFAP—使用 capi将事件以其原始格式发送到 rEalize Log Insight。通过 capi发送的事件不需要遵 守 syslog事件的准则,也不需要进行修改以符合 syslog RFO。 每个事件均包含以下信息 时间戳 事件发生的时间 事件的起源地。这可能是 syslog消息的发 送方(如ESX主机)或转发方(如 syslog 文本 事件的原始文本。 字段 从事件中提取的名称-值对。仅当代理使用 CFAP协议时,将字段作为静态字段传送 到服务器 注意 Realize Log Insight不负责来自其他 VMware产品的日志消息的内容。如果您对日志内容有疑问, 请联系生成此日志消息的产品团队。 按时间范围筛选日志事件 可以筛选日志事件以仅查看特定时段内的事件 可以在Web用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 前提条件 验证是否已登录到vRealizeLogInsightWeb用户界面。URL格式为https∥loginsight-host其中 og insight-host是 rEalize Log Insight虚拟设备的|P地址或主机名。 1从搜索按钮左侧的下拉菜单中,选择一个预定义时段。 2(可选)要设置时间范围的始点和终点,请选择自定义时间范围

配置好 vRealize Log Insight 且准备好收集日志时，您可以通过许多方法来载入日志数据，其中包括： n vSphere 集成—vRealize Log Insight 可与 vSphere 集成以自动载入 vCenter Server 中的事件和 ESXi 主机中的日志。 n vRealize Operations Manager 集成—vRealize Log Insight 可与 vRealize Operations Manager 集成以 启用各类警示从而向管理员发送 vRealize Operations Manager 中的通知事件以及电子邮件。 n 代理—vRealize Log Insight 拥有可用的收集代理以将文件和事件日志从 Linux 或 Windows 发送到 vRealize Log Insight。 n Syslog—vRealize Log Insight 可通过 syslog 载入任何源中的数据。只需将 vRealize Log Insight 服务器 设置为您的 syslog 目标。 n Syslogd — n CFAPI—使用 cfapi 将事件以其原始格式发送到 vRealize Log Insight。通过 cfapi 发送的事件不需要遵 守 syslog 事件的准则，也不需要进行修改以符合 syslog RFC。 每个事件均包含以下信息。 类型 描述 时间戳 事件发生的时间 源 事件的起源地。这可能是 syslog 消息的发 送方（如 ESXi 主机）或转发方（如 syslog 聚合）。 文本 事件的原始文本。 字段 从事件中提取的名称-值对。仅当代理使用 CFAPI 协议时，将字段作为静态字段传送 到服务器。 注意 vRealize Log Insight 不负责来自其他 VMware 产品的日志消息的内容。如果您对日志内容有疑问， 请联系生成此日志消息的产品团队。 按时间范围筛选日志事件 可以筛选日志事件以仅查看特定时段内的事件。 可以在 Web 用户界面的仪表板或交互式分析页面上指定时间范围。筛选时包含时间范围。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host，其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 从搜索按钮左侧的下拉菜单中，选择一个预定义时段。 2 （可选） 要设置时间范围的始点和终点，请选择自定义时间范围。 使用 vRealize Log Insight VMware, Inc. 9

使用 vRealize Log Insight 搜索包含完整关键字的日志事件 可以搜索包含完整关键字的日志事件。关键字包含字母数字、连字符和下划线字符。 前提条件 验证是否已登录到 vRealize Log Insight Web用户界面。URL格式为htps∥ log insight-host,其中 og_ insight-host是 rEalize Log Insight虚拟设备的|P地址或主机名 步骤 1导航到交互式分析选项卡。 2在搜索文本框中,键入要在日志事件中搜索的完整关键字,然后单击搜索按钮。 包含指定完整关键字的日志事件将显示在列表中。 您搜索的字符串会以黄色突出显示。 可以保存当前查询,以便在以后加载。 按字段运算搜索日志事件 可以使用现有字段的列表搜索其中某个字段具有特定值的日志事件。 重要事项 vRealize Log Insight会对完整、字母数字、连字符和下划线字符编制索引。 前提条件 验证是否已登录到vRealizeLogInsightWeb用户界面。∪RL格式为https∥loginsight-host其中 og insight-host是 vRealize Log Insight虚拟设备的P地址或主机名 步骤 1导航到交互式分析选项卡。 2单击添加筛选器。 3在搜索文本框下方的筛选器行中,使用第一个下拉菜单选择在 vRealize Log Insight中定义的任何字段。 例如, hostname。 此列表包含在内容包和自定义内容中静态可用的所有定义字段。这些字段按名称排序,但text字段除 外。因为text是一个表示消息文本的特殊字段,text显示在列表顶部,默认情况下处于选中状态。 注意数字字段包含字符串字段不包含的其他运算符:=、>、=、<=。这些运算符执行数字比较 与使用字符串运算符相比,使用它们可生成不同的结果。例如,筛选器 response time=02将匹配包 含值为2的 response_time字段的事件。筛选器 response time contains02将不会具有相同匹配

搜索包含完整关键字的日志事件 可以搜索包含完整关键字的日志事件。关键字包含字母数字、连字符和下划线字符。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host，其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 导航到交互式分析选项卡。 2 在搜索文本框中，键入要在日志事件中搜索的完整关键字，然后单击搜索按钮。 包含指定完整关键字的日志事件将显示在列表中。 您搜索的字符串会以黄色突出显示。 下一步 可以保存当前查询，以便在以后加载。 按字段运算搜索日志事件 可以使用现有字段的列表搜索其中某个字段具有特定值的日志事件。 重要事项 vRealize Log Insight 会对完整、字母数字、连字符和下划线字符编制索引。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host，其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 步骤 1 导航到交互式分析选项卡。 2 单击添加筛选器。 3 在搜索文本框下方的筛选器行中，使用第一个下拉菜单选择在 vRealize Log Insight 中定义的任何字段。 例如，hostname。 此列表包含在内容包和自定义内容中静态可用的所有定义字段。这些字段按名称排序，但 text 字段除 外。因为 text 是一个表示消息文本的特殊字段，text 显示在列表顶部，默认情况下处于选中状态。 注意 数字字段包含字符串字段不包含的其他运算符：=、>、=、<=。这些运算符执行数字比较， 与使用字符串运算符相比，使用它们可生成不同的结果。例如，筛选器 response_time = 02 将匹配包 含值为 2 的 response_time 字段的事件。筛选器 response_time contains 02 将不会具有相同匹配。 使用 vRealize Log Insight VMware, Inc. 10