Die wichtigsten Informationsquellen zur Fehleranalyse in IT-Umgebungen und somit auch bei VMware sind Log-Dateien sowie die (sofern aufgezeichnet) die in einem bestimmten zurückliegenden Zeitraum durchgeführten Tasks, bzw. aufgetretenen Ereignisse. Das gilt sowohl für vCenter als auf für ESXi und virtuelle Maschinen. Lesen Sie, wo die wichtigsten Protokolldateien unter vSphere zu finden sind und mit welchen Bordmitteln man sie durchsucht.
Das Überwachen einer vSphere-Umgebung mit geeigneten Tools gehört zu den grundlegenden operativen Pflichten. Dies umfasst sowohl Ereignisse (Events), als auch Tasks (also länger laufende Aufgaben wie etwa vMotion), Alarme und Protokolldateien.
Die Persistenz von Ereignisobjekten hängt von der Systemeinrichtung ab. Bei Standalone-ESXi-Hosts werden sie nur so lange gespeichert, wie der Server sie behalten kann, also bis zum nächsten Neustart von ESXi oder dem Ausschalten einer virtuellen Maschine. In der Regel kann ein Standalone-Host Ereignisdaten über einen Zeitraum von etwa 15 Minuten speichern, abhängig von seiner Verarbeitungslast, der Anzahl der virtuellen Maschinen und anderen Faktoren.
Bei verwalteten Hosts sind Ereignisobjekte dagegen persistent, weil ESXi die Ereignisdaten an den vCenter-Server sendet, der diese Informationen in seiner Datenbank vorhält. Die Ereignisdatenbank von vCenter ist auch primäre Informationsquelle für externe Analyselösungen wie vRealize LogInsight.
Log-Dateien
Auch beim Auswerten von Log-Dateien muss man in einer vSphere-Umgebung zwischen Logs von ESXi, den virtuellen Maschinen und des vCenter-Systems unterscheiden. Hosts schreiben Log-Dateien normalerweise nach /var/log. Ist der Host mit lokalen Platten ausgestattet, bleiben sie dort je nach Größe des Scratch-Bereichs erhalten. Plattenlose Server halten Log-Dateien im RAM bzw. in einer RAM-Disk, so dass sie nach dem Reboot verloren gehen.
Allerdings kann man auch hier mit Hilfe erweiterte Parameter Log-Dateien über den Syslog-Dienst an einen externen Datenspeicher oder einen Syslog-Server streamen. Der Dienst vmsyslogd sollte normalerweise laufen, lässt sich aber bei Bedarf bequem über den Host-Client oder vSphere-Client steuern.
Der Syslog-Service leitet Meldungen vom VMkernel und anderen Systemkomponenten in lokale Dateien bzw. einen Datenspeicher im Netzwerk oder auf einem Remote-Host um. Die Log-Ziele, Protokolle (Syslog) und Ports (Default ist UDP 514) lassen sich über den Befehl syslog des esxcli-Systems konfigurieren oder mit Hilfe erweiterter Parameter in der GUI.
So leitet die Option „Syslog.global.logHost“ Log-Dateien an einen externen Syslog-Server wie vRealize LogInsight weiter, während „Syslog.global.logDir“ den Datenspeicherpfad zum gewünschten Log-Verzeichnis umbiegt. Dieses kann somit problemlos auch auf einem Netzwerkspeicher oder VMFS-Datestore liegen.