Sdílet prostřednictvím

Monitorování a řešení potíží s agenty příjmu dat Azure Operator Insights

  • Článek

Přehled agentů příjmu dat najdete v tématu Přehled agenta příjmu dat.

Pokud si všimnete problémů se shromažďováním dat z agentů příjmu dat, při řešení běžných problémů nebo vytvoření diagnostického balíčku použijte informace v této části. Balíček diagnostiky můžete nahrát do lístků podpory, které vytvoříte na webu Azure Portal.

Agent příjmu dat je softwarový balíček, takže diagnostika je omezená na fungování aplikace. Neposkytujeme monitorování operačního systému ani prostředků. Doporučujeme používat standardní nástroje, jako je snmpd, prometheus node exportér nebo jiné nástroje pro odesílání dat, protokolů a metrik na úrovni operačního systému do vlastních systémů monitorování. Monitorování virtuálních počítačů pomocí služby Azure Monitor popisuje nástroje, které můžete použít v případě, že agenti příjmu dat běží na virtuálních počítačích Azure.

Agent zapisuje protokoly a metriky do souborů v části /var/log/az-aoi-ingestion/. Pokud se agent nespustí z nějakého důvodu, jako je chybná konfigurace, soubor stdout.log obsahuje protokoly, které tento problém vysvětlují.

Metriky se hlásí v jednoduché podobě, která je přívětivá pro člověka.

Požadavky

  • Pro většinu těchto technik řešení potíží potřebujete připojení SSH k virtuálnímu počítači, na kterém běží agent.

Diagnostika agenta příjmu dat

Pokud chcete shromáždit diagnostický balíček, připojte se K virtuálnímu počítači SSH a spusťte příkaz /usr/bin/microsoft/az-aoi-ingestion-gather-diags. Tento příkaz vygeneruje soubor ZIP s razítkem data v aktuálním adresáři, který můžete zkopírovat ze systému.

Pokud jste nakonfigurovali shromažďování protokolů prostřednictvím agenta služby Azure Monitor, můžete zobrazit protokoly agenta příjmu dat v zobrazení portálu pracovního prostoru služby Log Analytics a nemusí být potřeba shromáždit diagnostický balíček pro ladění vašich problémů.

Poznámka:

podpora Microsoftu může při vyšetřování problému požádat o diagnostické balíčky. Diagnostické balíčky neobsahují žádná zákaznická data ani hodnotu jakýchkoli přihlašovacích údajů.

Problémy společné pro všechny zdroje

Problémy obecně spadají do čtyř kategorií.

  • Chybná konfigurace agenta, která brání spuštění agenta.
  • Problém s příjmem dat ze zdroje, obvykle chybnou konfigurací nebo připojením k síti
  • Problém s nahráváním souborů do vstupního účtu úložiště datového produktu, obvykle síťového připojení.
  • Problém s virtuálním počítačem, na kterém je agent spuštěný.

Agent se nedaří spustit

Příznaky: sudo systemctl status az-aoi-ingestion ukazuje, že služba je ve stavu selhání.

  • Ujistěte se, že je služba spuštěná. 
    sudo systemctl start az-aoi-ingestion
  • Prohlédněte si soubor /var/log/az-aoi-ingestion/stdout.log a zkontrolujte případné nahlášené chyby. Opravte všechny problémy s konfiguračním souborem a spusťte agenta znovu.

V Přehledech operátorů Azure se nezobrazují žádná data

Příznaky: V Azure Data Exploreru se nezobrazují žádná data.

  • Zkontrolujte připojení k síti a konfiguraci brány firewall mezi virtuálním počítačem agenta příjmu dat a vstupním účtem úložiště datového produktu.
  • Zkontrolujte chyby při nahrávání do Azure v protokolech z agenta příjmu dat. Pokud protokoly odkazují na problémy s ověřováním, zkontrolujte, jestli má konfigurace agenta správná nastavení jímky a ověřování datového produktu. Potom restartujte agenta.
  • Zkontrolujte, jestli agent příjmu dat přijímá data ze svého zdroje. Zkontrolujte připojení k síti a konfiguraci brány firewall mezi vaší sítí a agentem příjmu dat.

Problémy se zdrojem EDR MCC

Tato část se zabývá problémy souvisejícími se zdrojem EDR MCC.

S identifikací a laděním problémů s příjmem dat můžete použít také diagnostiku, kterou poskytují mccs nebo samotné přehledy operátorů Azure ve službě Azure Monitor.

MCC se nemůže připojit

Příznaky: MCC hlásí alarmy o nedostupnosti MSF.

  • Zkontrolujte, jestli je agent spuštěný.
  • Ujistěte se, že je MCC nakonfigurovaná se správnou IP adresou a portem.
  • Zkontrolujte protokoly z agenta a zjistěte, jestli se jedná o připojení pro vytváření sestav. Pokud ne, zkontrolujte síťové připojení k virtuálnímu počítači agenta a ověřte, že brány firewall neblokují provoz na port 36001.
  • Shromážděte zachytávání paketů, abyste zjistili, kde připojení selhává.

V Přehledech operátorů Azure se nezobrazují žádné EDR

Příznaky: V Azure Data Exploreru se nezobrazují žádná data.

  • Zkontrolujte, jestli jsou agenti MCC v pořádku a že jsou spuštěni agenti příjmu dat.
  • V protokolech agenta příjmu dat v diagnostickém balíčku zkontrolujte chyby nahrání do Azure. Pokud protokoly odkazují na neplatný připojovací řetězec nebo problémy s připojením, opravte konfiguraci, připojovací řetězec nebo token SAS a restartujte agenta.
  • Zkontrolujte připojení k síti a konfiguraci brány firewall v účtu úložiště.

Chybějící nebo neúplná data

Příznaky: Azure Monitor ukazuje nižší příchozí míru EDR v ADX, než se čekalo.

  • Zkontrolujte, jestli je agent spuštěný na všech virtuálních počítačích a nehlásí chyby v protokolech diagnostického balíčku.
  • Ověřte, že se virtuální počítače agenta neodesílají více než jmenovité zatížení.
  • Zkontrolujte metriky agenta v diagnostickém balíčku pro vyřazené bajty nebo vyřazené EDR. Pokud metriky nezobrazují žádná vyřazená data, mcc neodesílá data agentovi. Zkontrolujte metriky přijatých bajtů a zjistěte, kolik dat se z MCC přijímá.
  • Zkontrolujte, že virtuální počítač agenta není přetížený – monitorujte využití procesoru a paměti. Ujistěte se zejména, že žádný jiný proces nepřebírají prostředky z virtuálního počítače.

Problémy se zdrojem vyžádané replikace SFTP

Tato část se zabývá problémy souvisejícími se zdrojem vyžádané replikace SFTP.

K identifikaci a ladění problémů s příjmem dat můžete použít také diagnostiku poskytovanou samotným přehledem operátorů Azure ve službě Azure Monitor.

Agent se nemůže připojit k serveru SFTP

Příznaky: Do Přehledů operátorů Azure se nenahrají žádné soubory. Soubor protokolu agenta / var/log/az-aoi-ingestion/stdout.log obsahuje chyby týkající se připojení serveru SFTP.

  • Ověřte, že je uživatel A PŘIHLAŠOVACÍ údaje SFTP používané agentem platné pro server SFTP.
  • Zkontrolujte připojení k síti a konfiguraci brány firewall mezi agentem a serverem SFTP. Ve výchozím nastavení musí mít server SFTP otevřený port 22 pro příjem připojení SFTP.
  • Zkontrolujte, jestli known_hosts soubor na virtuálním počítači agenta obsahuje platný veřejný klíč SSH pro server SFTP:
    • Na virtuálním počítači agenta spusťte ssh-keygen -l -F *<sftp-server-IP-or-hostname>*příkaz .
    • Pokud žádný výstup neexistuje, known_hosts neobsahuje odpovídající položku. Postupujte podle pokynů v části Nastavení agenta příjmu dat Azure Operator Insights a přidejte known_hosts položku pro server SFTP.

Do Přehledů operátorů Azure se nenahrají žádné soubory.

Příznaky: V Azure Data Exploreru se nezobrazují žádná data. Protokoly kategorie Ingestion se nezobrazují v datech monitorování Azure Operator Insights nebo obsahují chyby. Metrika kvality přijatých řádků pro příslušný datový typ je nula.

  • Zkontrolujte, jestli je agent spuštěný na všech virtuálních počítačích a nehlásí chyby v protokolech.
  • Zkontrolujte, jestli soubory existují ve správném umístění na serveru SFTP a že nejsou vyloučené z důvodu konfigurace zdroje souborů (viz Chybějící soubory).
  • Ujistěte se, že nakonfigurovaný uživatel SFTP může číst všechny adresáře v části base_path, kterou konfiguraci zdroje souborů nevyloučí.
  • Zkontrolujte připojení k síti a konfiguraci brány firewall mezi virtuálním počítačem agenta příjmu dat a vstupním účtem úložiště datového produktu.

Chybí soubory

Příznaky: V Azure Data Exploreru chybí data. Protokoly kategorie Ingestion v datech monitorování Azure Operator Insights jsou nižší, než se čekalo, nebo obsahují chyby. Metrika kvality přijatých řádků pro příslušný datový typ je nižší, než se čekalo.

  • Zkontrolujte, jestli je agent spuštěný na všech virtuálních počítačích a nehlásí chyby v protokolech. Vyhledejte v protokolech diagnostického balíčku název chybějícího souboru a vyhledejte chyby související s tímto souborem.
  • Zkontrolujte, jestli soubory existují na serveru SFTP a že nejsou vyloučené z důvodu konfigurace zdroje souborů. Zkontrolujte konfiguraci zdroje souboru a ověřte, že:
    • Soubory existují na serveru SFTP pod cestou definovanou v base_path. Ujistěte se, že v cestách k souborům k nahrání neexistují žádné symbolické odkazy: Agent příjmu dat ignoruje symbolické odkazy.
    • Čas poslední změny souborů je nejméně settling_time sekund starší než čas posledního spuštění nahrávání pro tento zdroj souborů.
    • Čas poslední změny souborů je pozdější než exclude_before_time (pokud je zadán).
    • Cesta k souboru vzhledem k base_path regulárnímu výrazu zadanému include_pattern (pokud je zadána).
    • Cesta k souboru vzhledem base_path k regulárnímu výrazu exclude_pattern zadanému (pokud je zadána) neodpovídá.
  • Pokud chybí poslední soubory, zkontrolujte protokoly agenta v diagnostickém balíčku a ověřte, že agent příjmu dat provedl spuštění nahrávání pro zdroj v očekávaném čase. Parametr cron ve zdrojové konfiguraci poskytuje očekávaný plán.
  • Zkontrolujte, že virtuální počítač agenta není přetížený – monitorujte využití procesoru a paměti. Ujistěte se zejména, že žádný jiný proces nepřebírají prostředky z virtuálního počítače.

Soubory se nahrají více než jednou.

Příznaky: Duplicitní data se zobrazují v Přehledech operátorů Azure.

  • Zkontrolujte, jestli agent příjmu dat v protokolu diagnostického balíčku na předchozím nahrání narazil na chybu, která se dá opakovat, a pak zkusila nahrát více než 24 hodin po posledním úspěšném nahrání. V takovém případě může agent během pokusu o opakování nahrát duplicitní data. Duplikace dat by měla mít vliv jenom na pokus o opakování.
  • Zkontrolujte, jestli zdroje souborů definované v konfiguračním souboru odkazují na nepřekryvné sady souborů. Pokud je na serveru SFTP nakonfigurováno více zdrojů souborů, které mají na serveru SFTP načíst soubory ze stejného umístění, použijte include_pattern pole a exclude_pattern konfigurační pole k určení jedinečných sad souborů, které by měl každý zdroj souborů zvážit.
  • Pokud používáte více instancí agenta pro příjem dat SFTP, zkontrolujte, jestli se zdroje souborů nakonfigurované pro každého agenta nepřekrývají se zdroji souborů v žádném jiném agentovi. Konkrétně se podívejte na konfiguraci zdroje souborů, která se omylem zkopírovala z konfigurace jiného agenta.
  • Pokud jste nedávno změnili kanál id pro nakonfigurovaný zdroj souborů, použijte exclude_before_time pole, abyste zabránili opětovnému načtení souborů s novým kanálem id. Pokyny najdete v tématu Změna konfigurace agentů příjmu dat pro Přehledy operátorů Azure.

Související obsah

Naučte se: