جمع سجلات أحداث عميل الجهاز الظاهري

  • 7 دقائق

تساعدك مقاييس Azure Monitor وعدادات أداء رؤى الجهاز الظاهري على تحديد حالات الشذوذ في الأداء والتنبيه عند الوصول إلى الحدود. ولكن لتحليل الأسباب الجذرية للمشكلات التي تكتشفها، تحتاج إلى تحليل بيانات السجل لمعرفة أحداث النظام التي تسببت في المشكلات أو ساهمت فيها. في هذه الوحدة، يمكنك إعداد قاعدة تجميع البيانات (DCR) لجمع بيانات Linux VM Syslog، وعرض بيانات السجل في Azure Monitor Log Analytics باستخدام استعلام Kusto Query Language (KQL) بسيط.

تقوم نتائج تحليلات الجهاز الظاهري بتثبيت عامل Azure Monitor وإنشاء DCR يجمع عدادات الأداء المعرفة مسبقا، ويخريطة تبعيات العمليات، ويعرض البيانات في مصنفات تم إنشاؤها مسبقا. يمكنك إنشاء DCRs الخاصة بك لجمع عدادات أداء الجهاز الظاهري التي لا يجمعها DCR ورؤى الجهاز الظاهري، أو لجمع بيانات السجل.

عند إنشاء DCRs في مدخل Microsoft Azure، يمكنك التحديد من مجموعة من عدادات الأداء ومعدلات أخذ العينات، أو إضافة عدادات أداء مخصصة. أو يمكنك التحديد من مجموعة معرفة مسبقا من أنواع السجلات ومستويات الخطورة أو تحديد مخططات السجل المخصصة. يمكنك إقران DCR واحد بأي أو جميع الأجهزة الظاهرية في اشتراكك، ولكن قد تحتاج إلى DCRs متعددة لجمع أنواع مختلفة من البيانات من أجهزة ظاهرية مختلفة.

إنشاء DCR لجمع بيانات السجل

في مدخل Microsoft Azure، ابحث عن جهاز العرض وحدده للانتقال إلى صفحة نظرة عامة على Azure Monitor.

Screenshot that shows the Azure Monitor Overview page.

إنشاء نقطة نهاية تجميع البيانات

يجب أن يكون لديك نقطة نهاية لجمع البيانات لإرسال بيانات السجل إليها. لإنشاء نقطة نهاية:

  1. في قائمة التنقل اليسرى ل Azure Monitor ضمن الإعدادات، حدد نقاط نهاية مجموعة البيانات.
  2. في صفحة نقاط نهاية مجموعة البيانات، حدد إنشاء.
  3. في صفحة Create data collection endpoint ، بالنسبة إلى Name، أدخل linux-logs-endpoint.
  4. حدد نفس الاشتراك ومجموعة الموارد والمنطقة التي يستخدمها الجهاز الظاهري.
  5. حدد Review + create، ثم حدد Create بعد انتهاء التحقق من الصحة.

إنشاء قاعدة تجميع البيانات

لإنشاء DCR لتجميع سجلات الأحداث:

  1. في قائمة التنقل اليسرى "Monitor" ضمن "الإعدادات"، حدد "Data Collection Rules".

  2. في صفحة قواعد تجميع البيانات، يمكنك مشاهدة DCR الذي أنشأته نتائج تحليلات الجهاز الظاهري. حدد Create لإنشاء قاعدة تجميع بيانات جديدة.

    Screenshot of the Data Collection Rules screen with Create highlighted.

  3. في علامة التبويب Basics في شاشة Create Data Collection Rule ، قم بتوفير المعلومات التالية:

    • اسم القاعدة: أدخل collect-events-linux.
    • الاشتراك ومجموعة الموارد والمنطقة: حدد نفس الجهاز الظاهري الخاص بك.
    • نوع النظام الأساسي: حدد Linux.

  4. حدد Next: Resources أو علامة التبويب Resources .

    Screenshot of the Basics tab of the Create Data Collection Rule screen.

  5. في شاشة الموارد ، حدد إضافة موارد.

  6. في شاشة تحديد نطاق ، حدد الجهاز الظاهري monitored-linux-vm ، ثم حدد Apply.

  7. في شاشة الموارد ، حدد تمكين نقاط نهاية مجموعة البيانات.

  8. ضمن نقطة نهاية جمع البيانات ل monitored-linux-vm، حدد linux-logs-endpoint التي قمت بإنشائها.

  9. حدد Next: Collect and deliver، أو علامة التبويب Collect and deliver .

    Screenshot of the Resources tab of the Create Data Collection Rule screen.

  10. في علامة التبويب Collect and deliver ، حدد Add data source.

  11. في شاشة Add data source ، ضمن Data source type، حدد Linux Syslog.

  12. في شاشة إضافة مصدر بيانات، حدد التالي: الوجهة أو علامة التبويب الوجهة ، وتأكد من تطابق مساحة الاسم أو الحساب مع مساحة عمل Log Analytics التي تريد استخدامها. يمكنك استخدام مساحة عمل Log Analytics الافتراضية التي تقوم نتائج تحليلات الجهاز الظاهري بإعدادها، أو إنشاء مساحة عمل Log Analytics أخرى أو استخدامها.

  13. في شاشة إضافة مصدر بيانات، حدد إضافة مصدر بيانات.

  14. في شاشة إنشاء قاعدة تجميع البيانات، حدد مراجعة + إنشاء، وعند اجتياز التحقق من الصحة، حدد إنشاء.

    Screenshot of Review + create highlighted on the Create Data Collection Rule screen.

عرض بيانات السجل

يمكنك عرض وتحليل بيانات السجل التي تم جمعها بواسطة DCR باستخدام استعلامات سجل KQL. تتوفر مجموعة من نماذج استعلامات KQL للأجهزة الظاهرية، ولكن يمكنك كتابة استعلام بسيط للنظر في الأحداث التي يجمعها DCR.

  1. في صفحة نظرة عامة على الجهاز الظاهري، حدد Logs من قائمة التنقل اليسرى ضمن Monitoring. يفتح Log Analytics نافذة استعلام فارغة مع تعيين النطاق إلى الجهاز الظاهري الخاص بك.

    يمكنك أيضا الوصول إلى بيانات السجل عن طريق تحديد Logs من التنقل الأيسر لصفحة Azure Monitor Overview . إذا لزم الأمر، حدد تحديد النطاق في أعلى نافذة الاستعلام لتحديد نطاق الاستعلام إلى مساحة عمل Log Analytics المطلوبة والجهاز الظاهري.

    إشعار

    قد تفتح نافذة Queries مع نماذج الاستعلامات عند فتح Log Analytics. في الوقت الحالي، أغلق هذه النافذة، لأنك ستقوم بإنشاء استعلام بسيط يدويا.

  2. في نافذة الاستعلام الفارغة، اكتب Syslog، ثم حدد Run. يتم عرض جميع أحداث سجل النظام DCR التي تم جمعها ضمن النطاق الزمني.

  3. يمكنك تحسين الاستعلام لتحديد الأحداث المهمة. على سبيل المثال، يمكنك عرض الأحداث التي تحتوي على مستوى خطورةتحذير فقط.

    Screenshot that shows the events returned from the Syslog by the DCR.

‏‫اختبر معلوماتك

1.

كيف يمكنك جمع بيانات سجل الأحداث من الأجهزة الظاهرية الخاصة بك؟

2.

كيف يمكنك عرض بيانات السجل التي تم جمعها بواسطة DCR؟