.shock - Fotolia

Einführung in die Analytics-Funktionen von vRealize Log Insight

vRealize Log Insight ist VMwares primäres Logging-Tool. Anders als oft wahrgenommen ist es aber weit mehr als nur ein zentraler Logging-Server.

Für die meisten Administratoren ist VMware vRealize Log Insight (früher vCenter Log Insight) nicht mehr als ein Logging-Host, der Log-Daten aus der IT-Umgebung sammelt. Tatsächlich kann Log Insight aber noch weit mehr, und trotzdem hatten viele VMware-Admins noch nie Berührungspunkte mit VMwares Logging-Produkt. Auch wenn Log Insight nicht kostenfrei ist – das Produkt muss lizenziert werden – haben viele Unternehmen eine Produkt-Suite gekauft, die auch eine entsprechende Lizenz für Log Insight enthält, ohne das Produkt je zu installieren.

Abseits der Funktion als zentraler Logging-Host analysiert Log Insight auch die eingehenden Log-Einträge und ermöglicht das Aufsetzen intelligenter Aktionen, die auf den unterschiedlichen Content-Arten basieren, die eingehen. Log Insight verlässt sich dabei nicht auf externe Systeme, um die Log-Daten zu erhalten, sondern bringt Agents für Windows und Linux mit, durch die Log Insight selbst Log-Daten sammelt und an vRealize Log Insight weitergibt.

Mit Stand zum Juli 2016 ist vRealize Log Insight 3.3 die aktuellste Version. Zu Beginn muss zunächst eine Appliance von VMware heruntergeladen und auf einem ESXi-Host in der Umgebung bereitgestellt werden. Wer nicht gleich eine Lizenz kaufen will, dem steht auch eine 60-tägige Testversion zur Verfügung.

Nach der Bereitstellung muss nur noch den Anweisungen der Appliance gefolgt werden, um über ein Web-Interface Zugang zur Konsole zu erhalten und Log Insight konfigurieren zu können. Hier sind grundsätzlich zwei Handlungen nötig: Erstens eine Lizenz hinzuzufügen (auch für die Testphase), und zweitens Log Insight mit einem vCenter Server zu verbinden.

Bei der Konfiguration können auch alle ESXi-Hosts automatisch so eingestellt werden, dass sie ihre Daten an Log Insight senden. Nach diesem Anfangs-Setup hat man die grundlegende Konfiguration auch schon erledigt, mit der die Log-Dateien an einem zentralen Ort gespeichert werden – zumindest für vSpere-Umgebungen. Wie sich Log-Dateien von anderen Servern sammeln lassen, wird weiter unten gezeigt.

Abhängig von der konkreten Umgebung könnte ein nächster Schritt darin bestehen, vRealize Log Insight mit vRealize Operations Manager (vROps) zu verbinden. Damit wäre es beispielsweise möglich, Benachrichtigungen von Log Insight an vROps weiterzuleiten, womit vROps weiterhin die zentrale Anlaufstelle für Warnmeldungen aller Art bleiben könnte.

Wer vROps nicht nutzt, der findet entsprechende Hinweise und Meldungen über das Web-Interface von Log Insight, diese können aber auch per SMTP (Simple Mail Transfer Protocol) als E-Mail versendet werden, wie ebenfalls später gezeigt wird.

Das Dashboard von vRealize Log Insight

Sobald Log Insight fertig installiert und konfiguriert ist, sollte man zunächst einen Blick auf das Dashboard werfen. Abbildung 1 zeigt, wie ein typisches Dashboard von Log Insight aufgebaut ist. Darüber lässt sich auf einen Blick erkennen, welche Hosts die meisten Benachrichtigungen übermitteln, wie viele Ereignisse empfangen und welche Ereignisarten am häufigsten gemeldet werden.

Mit Log Insight lassen sich auch mit unterschiedlichen Filtern individuell angepasste Dashboards erstellen, um zum Beispiel eine spezielle Gruppe an Servern oder Ereignisse im Auge zu behalten. Abbildung 1 zeigt aber auch, dass ein ESXi-Host wesentlich mehr Ereignisse meldet als die anderen, was Grund genug für eine genauere Untersuchung der Server sein könnte.

Abbildung 1: Das individuell anpassbare Dashboard von Log Insight.

Jeder Anwender kann sich also eigens angepasste Dashboards mit genau die für ihn relevanten Informationen erstellen. Anschließend können die Dashboards auch mit Kollegen geteilt werden. Auf diese Weise können konsistente Dashboards erstellt werden, die für alle Administratoren gleich sind. Zudem lassen sich geteilte Dashboards auch über zugewiesene Rollen verwalten. So kann einem Kollegen nur der Lesezugriff, Zugriff auf die interaktive Analyse oder voller Administratorzugriff gewährt werden.

Interaktive Analysen von Log Insight

Die meisten Administratoren dürften keine große Lust haben, den ganzen Tag auf die Ereignisanzeige eines Dashboards zu starren. Daher bietet Log Insight die Möglichkeit, über die Funktion Interaktive Analysen Abfragen nach bestimmten Ereignissen zu starten und auf Basis dieser Abfragen Benachrichtigungen aufzusetzen.

Abbildung 2 zeigt eine Abfrage nach dem Keyword sshd zusammen mit dem zweiten Filter all hostnames that contain esxi* - damit werden alle Einträge angezeigt, deren Name mit esxi beginnt. In diesem Beispiel wurde als Intervall 24 Stunden gewählt, die Zeitabständen können aber auch kürzer oder länger sein.

Abbildung 2: Abfragen über die Funktion Interaktive Analysen.

Die Abfragen können dabei beliebig komplex sein, daher ist es äußerst hilfreich, einmal erstellte Abfragen als Favoriten abspeichern zu können, die dann im Drop-Down-Menü gespeichert werden. Damit können Abfragen zu einem späteren Zeitpunkt mit einem einfachen Klick wiederholt werden, zudem lassen sich gespeicherte Abfragen wie Dashboards mit anderen Personen teilen.

Über Interaktive Analysen können auf Basis der Abfragen auch Benachrichtigungen erstellt werden, was eine der mächtigeren Funktionen von Log Insight ist. Sobald sich ein Vorfall regelmäßig ereignet oder wenn man bei einem bestimmten Ereignis benachrichtigt werden will, kann einfach eine Abfrage erstellt und in eine Benachrichtigung umgewandelt werden. Auch diese Benachrichtigungen können per E-Mail versendet oder an vROps weitergeleitet werden.

Wie Abbildung 3 zeigt, kann auch nachverfolgt werden, wie oft ein Ereignis in einem bestimmten Zeitraum bereits vorgekommen ist. Zudem lässt sich hier ein Schwellenwert einstellen, ab dem ebenfalls eine Benachrichtigung erfolgt. Falls eine Benachrichtigung an vROps weitergeleitet werden soll, kann gleichzeitig angegeben werden, welchem Objekt in welchem Inventar sie zugeordnet werden soll. Da manche Benachrichtigungen zu keinem bestimmten Objekt gehören, würde die Benachrichtigung in diesem Beispiel einfach dem Data Center Objekt angehängt werden.

Abbildung 3: Einstellen einer Benachrichtigung in Log Insight.

Log Insight mit Content Packs erweitern

Die bisher beschriebenen Funktionen können standardmäßig für jeden Host genutzt werden, die ihre Log-Einträge an Log Insight versenden. Wie bereits beschrieben, stimmt das zunächst nur für ESXi-Hosts, die automatisch konfiguriert wurden.

Im Standard-Deployment sind allerdings auch Linux- und Windows-Agents enthalten. Damit lassen sich auch Log-Daten anderer Systeme an Log Insight übermitteln. Abhängig von der tatsächlichen Applikation, die auf den Servern ausgeführt werden, könnte es notwendig sein, spezifische Log-Dateien zu sammeln. Für Windows-Systeme andererseits muss man sich in Event-Channels einklinken, die über den Event Viewer analysiert werden können. Diese zusätzliche Funktionalität erhält man über Content Packs.

Zunächst muss das Content Pack installiert werden, anschließend erstellt man eine Agent-Konfiguration für jeden gewünschten Channel und installiert den Windows-Agent auf jedem Server, von dem Log-Dateien gesammelt werden sollen. Während der Installation wird dann die Adresse von Log Insight angegeben. Im Beispiel von Abbildung 4 sieht man die Einträge eines Windows Server, dessen Service gestoppt wurde.

Abbildung 4: Windows-Agent von vRealize Log Insight.

Wenn über die Funktion Interaktive Analysen Abfragen gestartet werden, können auch Snapshots der Ereignisse für einen bestimmten Zeitraum erstellt werden. Damit kann also der aktuelle Zustand der Abfrage für spätere Analysen gespeichert werden. Hilfreich ist dies zum Beispiel, wenn sehr viele Ereignisse auf einmal übermittelt werden und sie später untersucht werden sollen, ohne dabei Gefahr zu laufen, dass sie bereits von Log Insight gelöscht wurden. Allerdings löscht vRealize Log Insight nur dann alte Einträge, wenn der gesamte zugewiesene Speicherplatz voll ist.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Data-Center-Betrieb

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close