• Escrito por 
  • Publicado en Blog
  • 4 comentarios

Log Insight a fondo

Log InsightEs cada vez mas frecuente hablar con clientes sobre consolidación. Pero esta vez sobre consolidación y gestión de Logs. 

Me llama la atención que sean realmente pocos los que conozcan Log Insight. Y son todavía muchos menos los que conocen el verdadero potencial de esta herramienta que VMware actualiza y mejora de forma frecuente.

 

Desde Marzo de 2016 VMware cambió su política respecto a Log Insight y, con mucho acierto por su parte a mi entender, ofrecen Log Insight para vCenter con derecho de utilizar hasta 25 OSI por cada licencia de vCenter Server que tengamos en nuestra organización. Quién no tiene una licencia de vCenter? Quién tiene licencia de vCenter y no utiliza Log Insight? La gran mayoría!!!

Existen dos ediciones de Log Insight: Log Insight for vCenter y Full Log Insight como parte de la Suite vRealize y la Suite vCloud.

 

Qué es realmente vRealize Log Insight?

Log Insight es una poderosa y versátil herramienta de Almacenamiento y Gestión de Logs que forma parte de la Suite vRealize, junto con vRealize Automation, vRealize Orchestrator, vRealize Bussiness y vRealize Operations Manager.

Log Insight Login 

No se trata simple y únicamente de una herramienta para consolidar Logs de servicios VMware. Podemos gestionar de forma centralizada los Logs de Active Directory, Exchange, SQL Server, Sharepoint, sistemas Linux y soluciones como Almacenamiento, Red y mucho mas. 

 

Licenciamiento

Tal como hemos comentado hay disponibles dos versiones de Log Insight:

-Log Insight para vCenter

-Log Insight (Full, incluido en las Suites vRealize y vCloud)

 

La edicion completa de Log Insight dispone de funcionalidades avanzadas respecto a la version mas simple.

 

Entre las diferencias de las dos ediciones destacan en su version Full la posibilidad de crear Clústers de Alta Disponibilidad (con balanceador incluido), Reenviador de eventos (especialmente útil en entornos Multi-Site), Archiving y Content Packs personalizados.

 

Disponemos de dos formas de licenciamiento de Log Insight.

Licenciamiento por OSI: Instancias de servidores (físicos o virtuales), Hipervisores y Sistemas (Almacenamiento, Switches, Etc)

Licenciamiento por Socket: Hipervisor y todos los Guest’s del Host

 

Si llegamos al límite de 25 OSI del Log Insight para vCenter podemos adquirir OSIs adicionales. Si disponemos de 2 licencias de vCenter entonces contaremos con licencia para 50 OSI. Las licencias se venden en paquetes de 25 OSI y por Socket.

 

Content Packs

Lo que verdaderamente marca la diferencia en Log Insight son los Content Packs, similares a los Management Packs de vROPs. Los mencionados Content Packs nos permiten optimizar el Almacenamiento y Gestión de Logs de otros fabricantes disponiendo de Dashboards específicos, Filtros y Querys.

Desarrollados tanto por VMware como también por los propios fabricantes y empresas como Blue Medora (también desarrollador de Management Packs para vROPs), los Content Packs simplemente nos facilitan enormemente el trabajo a la hora de encontrar la aguja en el pajar.

Log Insight Content Packs 

Content Packs de VMware:

-vSphere (multiples instancias de vCenter)

-vRealize Operations Manager

-vRealize Automation

-vRealize Orchestrator

-Virtual SAN

-NSX (Log Insight for NSX)

-Horizon View

 

Algunos Content Packs de terceros:

-Cisco UCS

-EMC

-NetApp

-HP

-Arista


Mas Content Packs de Log Insight
 

El Cluster de Log Insight

El Cluster de vRealize Log Insight está compuesto (como Best Practice) de un Master Node y, al menos, 2 Nodos adicionales que funcionan como Workers.

Dependiendo de las necesidades de la Infraestructura podemos seguir escalando en modalidad Scale Out desplegando multiples Workers de Log Insight, los cuales se repartiran la carga y añadirán capacidad y disponibilidad.

Importante (letra pequeña del contrato): Un Cluster de Log Insight distribuirá y balanceará la carga. Desde el punto de vista de la disponibilidad de la solución ésta trabajará en modo de Alta Disponibilidad pero la caída de un Nodo supondrá la NO disponibilidad de los Logs almacenados en ese Nodo en concreto hasta que el mismo esté operativo nuevamente, ya sea encendiéndolo nuevamente o bien recuperándolo desde un Backup.

 

Todos los Nodos del Cluster de Log Insight trabajan detrás de un VIP (IP Privada Virtual) que es gestionada por el servicio de Load Balancer integrado en la solución.

Un Cluster de 2 Nodos no está soportado ya que necesitamos un mínimo de 3. Añadir Nodos adicionales al Cluster es simple y totalmente transparente para el usuario.

 

Es de destacar que soluciones como PSC de vCenter o incluso vRealize Automation requieren un balanceador externo cuando Log Insight lo trae incorporado.

Esto es muy habitual en VMware cuando se trata de incorporar un nuevo componente o servicio que está en el Roadmap de otras soluciones.

 

Creando contextos dentro de Log Insight

Al tratarse de una solución de consolidación de Logs que da servicio a multiples plataformas es posible definir los límites de acceso definiendo contextos según el usuario que se loguea. Gracias a RBAC (Role Base Access Control) es posible organizar y filtrar las vistas según los roles: Almacenamiento, Red, Active Directory, Monitorización, etc.


Contextos en Log Insight
 

Event Forwarding

Otra de las características Premium que destaca en Log Insight es la posibilidad de utilizar el reenvío de Eventos. Básicamente se trata de poder reenviar los Eventos, con o sin filtro, tanto a un Syslog estándard como también a otra instancia de Log Insight.

Reenviando Logs en LI

Esto es especialmente útil para entornos Multi-Site/Multi-Datacenter así como también para filtrar y reenviar a otro Syslog Eventos determinados como, por ejemplo, únicamente los relacionados con Almacenamiento.

De forma adicional podemos aplicar un Tag o Etiqueta a todo lo que reenviemos a otro Log Insight y, de esa forma, poder filtrar por Eventos según Datacenter. Excelente!!!

Si bien comentamos que vRealize Log Insight no es una solución Multi-Datacenter, con esta funcionalidad podríamos consolidar Logs de multiples Sites en uno solo.


LIForwarding
 

Archiving

El Archiving nos permite almacenar históricos de Logs en un recurso de Almacenamiento externo. Con el principal objetivo de cumplir con requerimientos legales de archivado y siempre utilizando recursos NFS, podríamos tanto Almacenar externamente el histórico de Logs como también recuperar Logs previamente archivados.

Esta es otra de las funcionalidades que están incluídas únicamente en la version full de Log Insight.

 

Log Insight y vROPs, Pan y Mantequilla

Las capacidades de vRealize Operations Manager (anteriormente vCOPs) hoy en día sorprende a muy pocos, si combinamos vROPs con Log Insight disponemos una extensión de la herramienta para poder identificar, a bajo nivel, qué es lo que está ocurriendo en un objeto en concreto y de forma muy precisa. 

Log Insight se integra con vROPs a través de un Content Pack que viene pre-instalado por defecto y vROPs dispone de un Managment Pack para Log Insight.

Básicamente lo que nos permite es, desde una Alerta concreta en vROPs, saltar directamente a los Logs (con filtro aplicado) de ese objeto en Log Insight para extender el analisis. Interesante verdad?

Integracion Log Insight con vRealize Operations Manager

 

Conclusión

Como hemos visto podemos encontrar en esta herramienta el compañero ideal a la hora de hacer troubleshooting de nuestro Datacenter. Se complementa de forma excelente con vROPs y cuenta con multiples funcionalidades que nos facilitan enormemente las tareas al navegar entre miles de filas de registros.

Iremos descubriendo esas funcionalidades en futuros Posts de Log Insight.

 

En el próximo Post veremos los requerimientos y consideraciones para desplegar una solución de Log Insight.

 

Como siempre espero que te haya resultado útil. Ha sido un placer ;-)

4 comentarios

  • Nacho Pérez
    Nacho Pérez Lunes, 17 Octubre 2016 15:48 Enlace al Comentario

    Magnífico Post!!!

    Yo tengo ELk , para Linux y Windows, e intenté poner los logs de vmware sobre Elk pero era demasiada carga ... Estoy probando Log Insight, pero me he encontrado con que para clientes de Windows 2003 no está soportado ¿ es correcto? .

    Lo que es una maravilla, es disponer de dashboards totalmente funcionales desde el primer momento de uso.

    Esperando el siguiente post sobre este tema!!!

    Saludos
    Nacho

  • Gabriel Adrian vExpert
    Gabriel Adrian vExpert Miércoles, 05 Octubre 2016 12:45 Enlace al Comentario

    Excelente Post Federico!, Exitos en todo lo que hagas!

  • Fede
    Fede Jueves, 29 Septiembre 2016 13:48 Enlace al Comentario

    Excelente Post el tuyo Jorge, muy currado!!! Espero poder conseguir el tiempo de calidad necesario para subir pronto los próximos Posts de Log Insight.

    Un abrazo

  • Jorge
    Jorge Jueves, 29 Septiembre 2016 10:18 Enlace al Comentario

    Saludos Fede, muy buen post! Escribi sobre vRealize Log Insight allá por Enero del 2015, y tuvo bastante buena acogida, si bien es cierto que hay mucho desconocimiento sobre lo que el poder de los logs es capaz de hacer, aquí dejo la entrada sobre Log Insight, con ejemplos práctico de cómo ingerir los logs de una máquina Linux:
    https://www.jorgedelacruz.es/2015/01/07/zimbra-logs-centralizados-con-vmware-vrealize-log-insight/

    Después de un tiempo probando, también le di una oportunidad a ELK (Elasticsearch, logstash y Kibana) y creo que por flexibilidad me quedo con estos últimos, pero los Content Pack ayudan siempre claro.

    Deseando ver más posts con contenido práctico :)

    Un saludo

Deja un comentario

Muchas gracias por tus comentarios!!
Tras la revisión rutinaria, será publicado.

Utilizamos cookies propias y de terceros para facilitar y mejorar nuestros servicios. Al navegar por nuestra página web aceptas nuestras cookies.

Para más información, o para conocer cómo cambiar la configuración, lee nuestra Política de cookies. Saber más

Acepto

Mis Partners