Accueil > vCLog > vCenter Log Insight: prise en main de l’interface
Août/132

L’interface principale de vCLog est une interface Web de présentation et d’analyse des messages. Le contenu de cette interface est personnalisable par chaque utilisateur et/ou partageable pour tous. Le contenu personnalisable est le suivant:

  • Dashboard: les tableaux de bord sont personnels aux utilisateurs. L’administrateur peut créer des tableaux de bord visibles (en lecture-seule) pour tous les utilisateurs.
  • Queries: l’utilisateur peut enregistrer ces propres requêtes. Elles ne sont partageables que par l’intermédiaire d’un tableau de bord.
  • Fields: l’utilisateur peut extraire ses propres champs. L’administrateur peut optionnellement les rendre disponibles pour tous.
  • Alerts: les alertes sont créées par les utilisateurs ou l’administrateur. Elles sont personnelles, même l’administrateur ne peut les voir. L’administrateur peut les désactiver individuellement, il peut simplement désactiver toutes les alertes depuis l’interface Admin.

L’interface de visualisation est très claire et synthétique, mais voici quand même une visite guidée des différents composants de cette interface.

Interface « Interactive Analytics »

L’interface d’analyse interactive des logs permet aux administrateurs de :

  • faire du troubleshooting sur un problème,
  • découvrir les données et d’extraire des champs (pour transforme les données non-structurées en données utilisables),
  • créer des alarmes,
  • et construire des requêtes et des visualisations puis de les sauvegarder dans des Dashboards.

Voici un premier aperçu de la partie « Interactive Analysis » que l’on va parcourir en détail par la suite:

vCLog-InteractiveAnalytics

Représentation graphique des messages

Cette zone graphique générale permet une visualisation interactive des résultats des requêtes. Par défaut, la vue est en barre, où chaque barre représente la quantité de messages sur 5 minutes.
Les manipulations effectuées sur la zone graphique ne changent rien aux requêtes, elles changent juste la visualisation.
Aux 4 coins du graphique, on dispose:

  • en bas à gauche, des fonctions d’agrégation et des regroupements pour créer le graphique
  • en haut à droite, l’intervalle temporel représenté par chaque barre ou point.
  • en bas à droite, remise par défaut de l’affichage du graphique
  • en haut à gauche, enregistrer l’affichage courant vers le Dashboard

vClog-Chart
Les fonctions d’agrégations Max/Min/Avg peuvent être appliqué aux champs numériques et produisent des graphiques en lignes.
La fonction « Group By » (bouton « Over Time« ) permet de séparer la représentation graphique des différents résultats des champs sélectionnés. En regroupant par temps et un autre champ, on obtient un graphique en barre empilée de différente couleur. En regroupant par champ numérique, on choisit un regroupement par zone de valeur (exemple: 1-10, 10-20 …).
Voici 3 exemples de graphiques en fonction des agrégateurs et des regroupements:

vCLog-Charts

La construction de requête

Cette zone permet la construction de requête composée de mots-clé de recherche et de contraintes.
Les termes de recherche prennent en compte les variables génériques comme « * » et « ?« . Mais pas en tant que préfixes de requêtes, par exemple « *rror » n’est pas valide.
Il est possible d’ajouter une ou plusieurs contrainte(s) (« constraints« ) à la recherche. S’il y a plusieurs contraintes, on peut choisir si elles doivent toutes être validées (« all« ) ou si au moins une doit l’être (« any« ). Il est possible également d’utiliser « , » pour préciser plusieurs valeurs, ce séparateur est considéré comme un OR.
L’autocompletion est utilisé pour les mots-clé et les contraintes. Le nombre de messages comptant ce terme est indiqué en gris en bout de ligne. Les mots-clé de la recherche (pas les contraintes) sont surlignés en jaune dans les messages pour améliorer la visibilité.
Le bouton à droite de « Search » permet de sauvegarde la requête, de la partager ou de créer une alerte basée sur cette requête.

vCLog-query

Flux des messages

Cette partie contient le flux continu des données arrivant en temps-réel dans vCLog. Les messages affichés ici sont ceux correspondant à la requête.
La colonne de gauche en gris correspond à l’heure d’arrivé des messages dans vCLog. En noir, on a le message avec les mots-clé surlignés en jaune. Et en dessous du message en bleu, on a les champs standard de Syslog (comme défini dans les RFC), sauf le dernier champ « opID » qui indique le Content Pack.
En sélectionnant un morceau du message, un bouton « Extract Field » apparait permettant de créer une contrainte basée sur cette portion (voir plus bas).
En haut à droite de la zone de flux de messages, on a « out of » qui indique le nombre total de messages correspondant à la requête.

vCLog-messages

La sélection temporelle

La zone « Time Range » au milieu à droite, dispose d’un menu déroulant permettant de faire un filtre des messages sur la période que vous souhaitez. Le champ « Custom » reconnait certaines appellations en anglais, comme par exemple: last week/day/hour, yesterday, day before, now
Pour information:

  • Les messages syslog sont estampillés à l’heure d’arriver dans vCLog (ce qui explique un léger décalage avec l’heure du message).
  • L’heure affichée est celle de la timezone du navigateur.

vCLog-TimeRange

Les champs autogénérés

Les champs (« Fields« ) sont automatiquement extraits du flux de messages et sont proposés comme catégorie de répartition des objets. En développant un champ, on a une représentation graphique de la répartition des objets concernés par les messages avec la quantité de messages concernant ces objets.
Il y a 3 catégorise de champs:

  • ceux avec un crayon, sont les champs créés par l’utilisateur en extraction de champs
  • ceux avec un oeil, sont champs provenant d’un Content Pack
  • et ceux sans icône sont les champs standard de Syslog

vCLog-Fields

La création de nouveaux champs par extraction

vCLog-ExtractField1Pour extraire un champ, il faut sélectionner une portion de message et cliquer sur « Extract Field » dans le message ou dans la zone des champs. Cette extraction préremplie la règle de détection de ce champ, mais l’utilisateur peut modifier cette règle.
Dans la partie « value« , on a le type et le format de la donnée. Dans la partie « Context« , on a la portion de texte avant et/ou après la donnée pour la repérer. La partie « Name« , sera le nom de ce champ pour le manipuler dans les requêtes.
On peut définir si ce champ est propre à l’utilisateur ou commun à tous.
Et avant de sauvegarder ce champ, on peut le tester. On a de surligné en vert foncé le champ et en vert clair la partie du contexte pour retrouver ce champ.
Nb: Ces champs extraits ne sont pas ajoutés aux index, donc les requêtes peuvent être un peu plus lentes.

vCLog-ExtractField2

Dashboard

Les tableaux de bord (« Dashboards« ) permettent de créer des vues de synthèse de l’état sur un sujet. Il existe 3 types de Dashboard:

  • Personel: tableau de bord créé par l’utilisateur et visible seulement par lui
  • Partagé: tableau de bord commun et partagé entre tous les utilisateurs
  • Content Pack: plug-in de modèle prédéfini et importé dans vCLog (voir plus bas)

Le contenu de ces tableaux de bord est créé à partir de la vue « Interactive Analysis » en exportant une vue avec le bouton « Add to Dashboard ».
Chacune des zones graphiques d’un tableau de bord est comme un widget: on peut les déplacer, les redimensionner, changer leur titre. On dispose en plus de 3 icônes:

  • (i) info pour afficher l’URL et les metadatas que l’utilisateur à créer en enregistrant la requête,
  • (->) la flèche pour retourner dans la vue Interactive Analytics en exécutant la requête utilisée pour ce widget
  • (*) l’engrenage pour copier/déplacer/supprimer ce widget vers un autre Dashboard

Et on retrouve également en haut la partie « Time Range » qui s’applique sur tous les graphiques à la fois.

vCLog-MyDashboard

Content Pack

Les contents pack sont un ensemble de tableaux de bord, de requête, de champs extraits et d’alertes préconfigurées pour un environnement, utilisables comme un plug-in. Le contenu d’un Content Pack est comme un tableau de bord partagé: il est d’office visible par tous les utilisateurs, mais non modifiable.
Le content pack vSphere est fourni de base avec vCLog. Il contient des tableaux de bord préconfigurés (hosts, stockage, vCenter & tâches/événement/alarmes) basés sur les best-practices (des experts VMware et de la communauté).
On peut facilement en créer un en cliquant sur l’engrenage au niveau d’un tableau de bord personnalisé et en sélectionnant « Export as Content Pack« . En plus de futur Content Pack VMware pour d’autres produits et ceux d’autres éditeurs/constructeurs, la communauté peut aussi en produire, comme par exemple celui sur « ESXi host AD Auth Issues » (présent dans le forum de l’Open Beta).

vCLog-CP-vSphere

Alertes personnelles aux utilisateurs

Il est possible de créer des alertes personnalisées pour les utilisateurs. Ces alertes sont différentes des alertes système et l’administrateur ne peut désactiver ces alertes individuellement.
Pour créer une alerte, il faut passer par le menu à droite du bouton « Search » et choisir « Add Alert« .
Il est possible envoyer ces alertes par email et/ou à vCOps, de par l’intégration effectuée dans la configuration initiale de vCLog.
On définit si l’alerte se déclenche à chaque occurrence ou au-delà d’un seuil (nombre d’occurrences dans un intervalle temps).
La troisième option (visible de la capture d’écran ci-dessous) est disponible si l’on utilise une fonction d’agrégation dans le graphique général, on dispose en plus d’un graphique de la quantité de messages et le seuil de cette alerte.

vCLog-Alert

Interface d’Administration

L’interface d’administration est disponible depuis l’interface Web de vCLog pour tous les utilisateurs ayant le droit « admin ». Pour cela, aller sur le bouton « engrenage » et choisir « Administration ». Voici un aperçu de l’interface admin:
vCLog-admin

Beaucoup d’informations sur cette interface sont disponible dans la documentation Install & Admin Guide et sur le blog de Steve Flanders. Donc sans rentrer dans le détail complet, d’autant plus qu’une bonne partie à déjà été présenté et configuré lors la configuration initiale, voici un aperçu de ce que l’on retrouve dans cette interface:

  • Health: on retrouve l’état de consommation mémoire, CPU et des stockages. On dispose d’un bouton « Generate Support Bundle » pour récupérer les logs de l’appliance pour le support. On retrouve aussi les requêtes en cours dans vCLog et notamment annuler une requêtes qui prendrai trop de temps et de ressources. Et les statistiques, où l’on voit certaines métriques comme par exemple si des messages n’ont pas été par l’ingestion.
  • Users: les comptes utilisateur de vCLog sont seulement locales à vCLog. Il n’y a que 2 niveaux de permissions: Admin (accès à tout) et User (accès à presque tout sauf la modification des fields/dashbords partagés et l’interface admin).
  • License: on peut ici modifier la clé de licence. Pour information la licence est seulement présente ici et pas dans le vCenter Server.
  • General: on a ici la configuration des alertes systèmes avec notamment le seuil d’avertissement sur la retention des messages.
  • Time: la configuration des sources de temps pour l’appliance. De préférence NTP plutôt que l’heure des hôtes.
  • SMTP: la configuration SMTP pour envoyer les alertes et les notifications systèmes.
  • Storage: la configuration du stockage NFS d’archivage.
  • SSL Certificate: les certificats auto-généré de l »appliance. On peut importer un nouveau certificat au format PEM.
  • System Parameters: les paramètres avancés à ne modifier que sur demande du support.

 

Voici quelques sources et exemples intéressant sur l’interface et des tableaux pour vCLog:

Cet article fait parti d’une série sur vCLogInsight, voici les articles composants ce sujet:

  1. 20/08/2013 à 00:15 | #1

    Plus de Content Pack sur la page vCLogInsight du Solution Exchange:
    https://solutionexchange.vmware.com/store/loginsight

  2. 15/03/2014 à 01:27 | #2

    Merci pour votre assistance et je vous souhaite une bonne continuation .

  3. 02/05/2015 à 17:45 | #3

    Article très intéressant, merci de votre contribution

  1. Pas encore de trackbacks