Dashboards, interaktive Analysen und Content Packs in Log Insight for vCenter

Log Insight for vCenter bietet umfassende Möglichkeiten zur Log-Analyse. Diese Tipps helfen beim Arbeiten mit Dashboards und interaktiven Analysen.

Haben VMware-Admins VMware Log Insight in der Variante Log Insight for vCenter als OVA erfolgreich ausgerollt und konfiguriert, können sie erste Erfahrungen mit der Arbeitsweise des komplexen Tools sammeln, denn LogInsight bietet mehr, als nur als Ersatz für den vCenter-eigenen oder einen externen Syslog-Server zu fungieren.

VMware Log Insight for vCenter ist eine komplexe Lösung zum Überwachen von Event-Daten und Logs von vCenter-Servern, ESXi-Hosts und physischen sowie virtuellen Maschinen, sofern auf den beiden letztgenannten Typen entsprechende Agents installiert sind. Agents sorgen dafür, dass Log Insight selbstständig auch die Log- und Event-Daten externer Systeme (Windows und Linux) einsammeln kann.

Abgeleitet ist Log Insight for vCenter von vRealize Log Insight, das für das Auswerten von Event-Daten in großen Cloud-Umgebungen konzipiert ist. Angelehnt an Funktions- und Arbeitsweise von Splunk schlägt vRealize Log Insight allerdings mit einem nicht unerheblichen Kostenbudget zu Buche.

VMware Log Insight for vCenter richtet sich dagegen an Betreiber kleinerer, On-Premise betriebener vSphere-Umgebungen und kann mit der seit Kurzem beim Erwerb einer vCenter-Suite enthaltenen Log-Insight-Lizenz bis zu 25 ESXi-Server ohne Zusatzkosten überwachen. Das Produkt ist also nicht kostenfrei, für den Käufer einer vSphere-/vCenter-Linzenz fallen aber bis zu einer gewissen Größe der Umgebung keine zusätzlichen Mehrkosten an.

Selbstverständlich lässt sich Log Insight for vCenter einfach als Log-Host konfigurieren. Übrigens überträgt ein in Log Insight konfiguriertes vCenter per Default nur Events, Tasks und Alarme. Das Übermitteln von Log-Dateien muss für vCenter und ESXi-Hosts optional eingerichtet werden. Log Insight sammelt aber nicht nur die übermittelten Log- und Event-Daten an einem zentralen Punkt, sondern analysiert die eingehenden Daten auch nach definierten Kriterien.

Damit nicht genug, kann Log Insight als Ergebnis der Analyse Aktionen einleiten, die sich wiederum auf bestimmte Analyse-Muster stützen. Dazu können optional so genannte Content-Packs im zugehörigen vRealsize Content-Pack-Market-Place komfortabel über die GUI eingebunden werden. Ein Content-Pack für vSphere ist standardmäßig an Bord.

Die Dashboards von VMware Log Insight

Ähnlich wie vRealize Operations – mit dem Log Insight übrigens auch optimal zur proaktiven Analyse und Risikoabschätzung zusammenarbeitet – stellt auch dieses Tool dem Admin so genannte Dashboards zur Verfügung. Neben den aufgrund des vorinstallierten vSphere-Content-Packs vorhanden Dashboards – welche das genau sind, kann in der Ansicht Administration im Menü Installed Content Packs zum Beispiel unter VMware vSphere konfiguriert werden – können auch individuelle Dashboards gebaut werden, mit deren Hilfe die für die eigene Umgebung wichtigsten Informationen jederzeit mit einem schnellen Blich erfasst werden können.

Abbildung 1: Die mitgelieferten vSphere-Dashboards auf einen Blick.

Die mitgelieferten Dashboards für vSphere liefern unter anderem einen schnellen Überblick der Hosts mit den meisten Events, den meisten Warnings oder den meisten Fehlermeldungen, beziehungsweise der Anzahl der Events, Warnings und Fehler pro Zeit. Fährt man mit der Maus über die jeweilige Grafik, zeigt Log Insight die zugehörigen numerischen Werte an. In Abbildung 2 generiert der Host hv1 beispielweise deutlich weniger Fehlermeldungen als der Host hv2, was sich in der Dashboard-Ansicht mit einem Blick erfassen lässt.

Abbildung 2: Dashboards ermöglichen ein schnelles Erfassen der gegenwärtigen Situation.

Sinnvoller ist meist das Erstellen individueller Dashboards, was jeder berechtigte Nutzer machen kann. Dashboards lassen sich sogar problemlos zwischen Nutzern teilen. Das funktioniert auch unter Verwendung von Rollen, so dass ausgewählte Admins zum Beispiel nur Leserechte auf bestimmte Dashboards haben können.

Interaktive Analysen mit Log Insight for vCenter

Neben der Dashboard-Ansicht bietet Log Insight eine zweite Ansicht zur interaktiven Analyse. Hier kann der Admin proaktiv den gegenwärtigen Log- und Event-Output nach bestimmten Ereignisse filtern und analysieren. Ferner lassen sich auf den Ergebnissen der Abfragen basierende Aktionen auslösen. Die Arbeitsweise ist weitgehend selbsterklärend und intuitiv.

Am oben Rand des Analytcs-Bereichs findet sich eine Query-Line. Hier lassen sich wie bei einer klassischen Volltextsuche beliebige, nicht näher formatierte Begriffe absetzen, um die vorhandenen Logs zu durchsuchen, etwa Firewall. Um den Filter umzusetzen, klickt der Nutzer oben rechts auf die Lupe, nachdem er mit der Schaltfläche links davon das zu untersuchende Zeitinterfall eingestellt hat. Hat man beispielsweise Log Insight gerade erst gestartet, wird sich in dem per Default eingestellten Intervall von fünf Minuten möglicherweise kein Ereignis finden, dass zu einem Firewall-Event passt.

Ist Log Insight schon länger aktiv, dürfte ein Umschalten auf die letzten 24 Stunden Ergebnisse liefern. Exemplarisch kann man auch selbst ein Firewall-Event auslösen. So zieht zum Beispiel das Ein- beziehungsweise Ausschalten von vSphere High Availability das Installieren beziehungsweise Deinstallieren des FDM-Agents (Fault Domain Manager) auf den betreffenden Hosts nach sich, was wiederum ein Öffnen oder Schließen der zugehörigen Firewall-Ports bedingt.

Mit dem Kontextmenüeintrag im Web Client Reconfigure for vSphere HA auf dem betreffenden Host kann der Admin den Effekt testen und sollte anschließend in der interaktiveren Analyse eine Output sehen, wie in Abbildung 3.

Abbildung 3: Interaktive Analyse mit Log Insight for vCenter.

Trefferquote fokussieren

Etwas übersichtlicher wird der Output, wenn der Nutzer in den Spaltenköpfen der Log-Ausgabe auf den Reiter Event Types klickt. Die Ausgabe wird dann nach Ereignisarten gruppiert, wobei sich jeder einzelne Event-Type dann mit Expand aufklappen lässt. Die Event Types-Ansicht dient vorrangig dazu, die Ausgabe möglichst schnell auf eine überschaubare Anzahl relevanter Informationen einzuschränken.

Die Ausgabe dürfte dann noch immer sehr umfangreich sein. Für ein weiteres Fokussieren des Outputs steht die Schaltfläche Add Filter zur Verfügung, mit der sich komfortabel pro Zeile ein Filter setzen lässt. In Abbildung 4 filtert Log Insight zunächst nach dem Schlüsselwort (Feldnamen) hostname mit dem Operator contains nach allen Firewall-Ereignissen, die den Host hv1 bestreffen.

Im Vergleich zur Abbildung 3 verschwindet dann die Zeile, welche die Rekonfiguration der Firewall auf dem vCenter-Server vcsa betrifft. Interessiert man sich vorrangig für Änderungen der Firewall-Konfiguration, verwendet man in der Query-Line statt Firewall den Begriff Firewall Configuration, was die Ausgabe in der Abbildung auf 2 Zeilen reduziert.

Abbildung 4: So reduziert man die Trefferquote in Log Insight auf das Wesentliche.

Die Liste der Filtermöglichkeiten ist lang. Neben hostname kann man den event_type auch direkt als Filter einsetzen, um die Ausgabe weiter zu reduzieren. Durch das Setzen von Filtern werden keine Log-Einträge gelöscht. Man kann irrelevante Einträge auch direkt mit dem Löschsymbol aus der Anzeige entfernen, das nur erscheint, wenn man mit der Maus direkt auf den Log-Eintrag schwebt.

Auch hiermit wird kein Log-Eintrag gelöscht, sondern lediglich ein Filter gesetzt, wie man bei genauerem Hinsehen in der Filterzeile erkennt, in Abbildung 5 zum Beispiel nur nfs-Ereignisse, aber nicht solche mit dem event_type v4_5c265967. Der Filter event_type is not, v4_5c265967 in Abbildung 5 wurde also nicht manuell gesetzt, sondern durch das vorherigen Löschen des nicht relevanten Eintrages ausgelöst. Beim Schweben über den Zeilenköpfen wird neben dem Löschsymbol auch das Einstellungen-Symbol (Zahnrad) sichtbar. Mit dessen Hilfe können Admins zum Beispiel nach gleichartigen, wiederkehrenden Events filtern, Events in einem bestimmten Timeframe herausfiltern oder Events markieren.

Abbildung 5: Durch das Löschen von irrelevanten Logs automatisch gesetzte Filter.

Statt Operatoren wie contains oder is/is not können übrigens auch reguläre Ausdrücke (Regex) verwendet werden.

Beliebig komplexe Abfragen in Log Insight

Die Komplexität möglicher Abfragen und Filterkombinationen ist nicht begrenzt. Admins können Abfragen daher auch abspeichern, so dass sie zu jedem Zeitpunkt wieder zur Verfügung stehen, auch für andere berechtigte Nutzer. Neben der Möglichkeit, Abfragen als Favoriten zu speichern, steht bei den zugehörigen Icons ganz oben rechts auch eines zur Verfügung, um eine Abfrage in ein individuelles Dashboard zu überführen.

Interaktive Analysen dienen aber nicht nur der temporären Informationsbeschaffung. Admins können sich zum Beispiel bei Auftreten eines bestimmten Ereignisses benachrichtigen lassen, indem sie die Abfrage in eine Benachrichtigung konvertieren. Diese lässt sich zum Beispiel per E-Mail versenden oder an vRealize Operations weitergeben. Auch ist es so relativ einfach nachzuverfolgen, wie häufig ein Ereignis pro Zeitintervall auftritt. Hier könnte auch ein Grenzwert gesetzt werden, der eine Benachrichtigung auslöst.

Log Insight mit Content Packs erweitern

Ohne weiteres Zutun werden nur ESXi-Hosts automatisch für die Log-Analyse mit Log Insight eingerichtet. Agents für Windows- und Linux-Maschinen sind aber im Standardlieferumfang enthalten und lassen sich jederzeit in den Gastsystemen oder physischen Systemen installieren. Log-Insight-Nutzer können bei Bedarf aber auch Logs von ganz spezifischen Applikationen oder Applikationsservern überwachen. Dazu müssen die betreffenden Systeme zum Exportieren ihrer im Einzelfall spezifischen Logs an LogInsight „überredet“ werden.

Abbildung 6: Content Pack für MS Exchange.

Bei Windows-Systemen, wie etwa einem Exchange-Server, ist es notwendig, sich an die jeweiligen Event-Channels anzudocken, um diese im Event Viewer analysieren zu können. Die dazu benötigte Funktionalität stellen die beschriebenen Content Packs bereit. Diese gibt es über den in Log Insight angebundenen Marketplace für viele spezielle Szenarien und Systeme, nicht nur für Windows Server.

Wurde das gewünschte Content Pack installiert, wird im nächsten Schritt eine Agent-Konfiguration für jeden Channel erstellt, der analysiert werden soll. Anschließend wird der Windows-Agent auf jedem Server installiert. Beim Installieren des Agents wird dann nach dem Namen des Log-Insight-Servers gefragt. Das mitgelieferte Content Pack für VMware vSphere bringt, wie man Abbildung 7 entnehmen kann, nicht nur die oben beschriebenen vorbereitete Dashboards für das Analysieren von vSphere-Umgebungen mit, sondern auch vorbereitete Abfragen, Alarme, Agent Groups und Extracted Fields.

Log Insight for vCenter – die kostengünstige Alternative zu Splunk?

Nutzer einer VMware vCenter Lizenz kommen seit einiger Zeit in den Genuss einer Lizenz für VMware Log Insight for vCenter. Wer das noch nicht bemerkt hat, sollte sich umgehend mit der umfassenden Log- und Event-Management-Suite befassen. Offenbar hat VMware erkannt, dass man sich mit den Verkaufspreisen von vRealize Log Insight zwar gemessen am Funktionsumfang durchaus im Splunk-Umfeld positionieren kann – immerhin ist vRealize Log Insight im Gegensatz zu Splunk auf VMware-Umgebungen spezialisiert – die Verkaufszahlen aber gerade wegen der Popularität von Splunk & Co. nicht zwangsläufig anziehen.

Die vCenter-Variante ist also ein nicht ungeschickter strategischer Schachzug, um die installierte Basis von Log Insight zu verbreitern. Nutzer der vCenter-Version, so das Kalkül, werden das Produkt von sich aus bekannt machen und beim Migrieren ihrer Virtualisierungs-Umgebungen irgendwann die kostenpflichtige Variante benötigen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VMware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close