Überwachen von und Beheben von Problemen mit Azure Operator Insights-Datenerfassungsagents

Eine Übersicht über Datenerfassungsagents finden Sie unter Übersicht über Datenerfassungsagents.

Wenn Sie Probleme mit der Datensammlung durch Ihre Datenerfassungsagents feststellen, nutzen Sie die Informationen in diesem Abschnitt, um allgemeine Probleme zu beheben oder ein Diagnosepaket zu erstellen. Sie können das Diagnosepaket hochladen, um Tickets zu unterstützen, die Sie im Azure-Portal erstellen.

Der Datenerfassungsagent ist ein Softwarepaket, sodass die Diagnose auf das Funktionieren der Anwendung beschränkt ist. Wir stellen keine Betriebssystem- oder Ressourcenüberwachung bereit. Wir empfehlen Ihnen, Standardtools wie snmpd, Prometheus Node Exporter oder andere Tools zu verwenden, um Daten, Protokolle und Metriken auf Betriebssystemebene an Ihre eigenen Überwachungssysteme zu senden. Unter Überwachen virtueller Computer mit Azure Monitor werden Tools beschrieben, die Sie verwenden können, wenn Ihre Datenerfassungsagents auf Azure-VMs ausgeführt werden.

Der Agent schreibt Protokolle und Metriken in Dateien unter /var/log/az-aoi-ingestion/. Wenn der Agent aus irgendeinem Grund, z. B. eine fehlerhafte Konfiguration, nicht gestartet werden kann, enthält die Datei stdout.log für Menschen leserliche Protokolle, die das Problem erklären.

Metriken werden in einem einfachen benutzerfreundlichen Format gemeldet.

Voraussetzungen

• Für die meisten dieser Problembehandlungstechniken benötigen Sie eine SSH-Verbindung mit dem virtuellen Computer, auf dem der Agent ausgeführt wird.

Diagnose für Erfassungsagent

Um ein Diagnosepaket zu sammeln, stellen Sie eine SSH-Verbindung mit dem virtuellen Computer her, und führen Sie den Befehl /usr/bin/microsoft/az-aoi-ingestion-gather-diags aus. Mit diesem Befehl wird eine ZIP-Datei mit Datumsstempel im aktuellen Verzeichnis generiert, die Sie aus dem System kopieren können.

Wenn Sie die Sammlung von Protokollen über den Azure Monitor-Agent konfiguriert haben, können Sie Erfassungs-Agent-Protokolle in der Portalansicht Ihres Log Analytics-Arbeitsbereichs anzeigen und müssen möglicherweise kein Diagnosepaket sammeln, um Ihre Probleme zu debuggen.

Hinweis

Der Microsoft-Support fordert bei der Untersuchung eines Problems möglicherweise Diagnosepakete an. Diagnosepakete enthalten weder irgendwelche Kundendaten noch den Wert von Anmeldeinformationen.

Probleme, die allen Quellen gemeinsam sind

Probleme lassen sich im Wesentlichen in vier Kategorien unterteilen.

• Ein Fehlkonfiguration des Agent, die verhindert, dass der Agent gestartet wird.
• Ein Problem beim Empfangen von Daten aus der Quelle, das in der Regel durch eine Fehlkonfiguration oder die Netzwerkkonnektivität verursacht wird.
• Ein Problem beim Hochladen von Dateien in das Eingabespeicherkonto des Datenprodukts, das in der Regel durch die Netzwerkkonnektivität verursacht wird.
• Ein Problem mit dem virtuellen Computer, auf dem der Agent ausgeführt wird.

Der Agent kann nicht gestartet werden

Symptome: sudo systemctl status az-aoi-ingestion zeigt, dass sich der Dienst in einem fehlerhaften Zustand befindet.

• Stellen Sie sicher, dass der Dienst ausgeführt wird.

  sudo systemctl start az-aoi-ingestion
  

• Sehen Sie sich die Datei /var/log/az-aoi-ingestion/stdout.log an, und überprüfen Sie diese auf gemeldete Fehler. Beheben Sie alle Probleme mit der Konfigurationsdatei, und starten Sie den Agent neu.

In Azure Operator Insights werden keine Daten angezeigt

Symptome: In Azure Data Explorer werden keine Daten angezeigt.

• Überprüfen Sie die Netzwerkkonnektivität und die Firewallkonfiguration zwischen der VM des Datenerfassungsagents und dem Eingabespeicherkonto des Datenprodukts.
• Überprüfen Sie die Protokolle des Datenerfassungsagents auf Fehler beim Hochladen in Azure. Wenn die Protokolle auf Authentifizierungsprobleme hinweisen, überprüfen Sie, ob die Agentkonfiguration über die richtigen Senkeneinstellungen und die richtige Authentifizierung für Ihr Datenprodukt verfügt. Starten Sie den Agent dann neu.
• Überprüfen Sie, ob der Datenerfassungsagent Daten von seiner Quelle empfängt. Überprüfen Sie die Netzwerkkonnektivität und die Firewallkonfiguration zwischen Ihrem Netzwerk und dem Datenerfassungsagent.

Probleme mit der MCC EDR-Quelle

In diesem Abschnitt werden spezifische Probleme mit der MCC EDR-Quelle behandelt.

Sie können auch die von den MCCs oder von Azure Operator Insights in Azure Monitor bereitgestellte Diagnose verwenden, um Probleme bei der Erfassung und Fehlerbehebung zu identifizieren und zu debuggen.

MCC kann keine Verbindung herstellen

Symptome: MCC meldet Alarme über die Nichtverfügbarkeit von MSFs.

• Überprüfen Sie, ob der Agent ausgeführt wird.
• Stellen Sie sicher, dass die MCC mit der richtigen IP und dem richtigen Port konfiguriert ist.
• Überprüfen Sie die Protokolle des Agents, und überprüfen Sie, ob Verbindungen gemeldet werden. Wenn dem nicht so ist, überprüfen Sie die Netzwerkkonnektivität mit der Agent-VM, und stellen Sie sicher, dass die Firewalls den Datenverkehr an Port 36001 nicht blockieren.
• Sammeln Sie eine Paketerfassung, um festzustellen, wo die Verbindung fehlschlägt.

In Azure Operator Insights werden keine EDRs angezeigt

Symptome: In Azure Data Explorer werden keine Daten angezeigt.

• Überprüfen Sie, ob die MCC fehlerfrei ist und die Datenerfassungsagents ausgeführt werden.
• Überprüfen Sie die Erfassungsagentprotokolle im Diagnosepaket auf Fehler, die in Azure hochgeladen werden. Wenn die Protokolle auf eine ungültige Verbindungszeichenfolge oder Verbindungsprobleme hinweisen, korrigieren Sie die Konfiguration, Verbindungszeichenfolge oder das SAS-Token, und starten Sie den Agent neu.
• Überprüfen Sie die Netzwerkkonnektivität und Firewallkonfiguration für das Speicherkonto.

Fehlende oder unvollständige Daten

Symptome: Azure Monitor zeigt eine niedrigere eingehende EDR-Rate in ADX als erwartet an.

• Überprüfen Sie, ob der Agent auf allen virtuellen Computern ausgeführt wird und in den Diagnosepaketprotokollen keine Fehler meldet.
• Stellen Sie sicher, dass nicht mehr als die Nennlast an die Agent-VMs gesendet wird.
• Überprüfen Sie Agentmetriken im Diagnosepaket auf verworfene Bytes/verworfene EDRs. Wenn die Metriken keine verworfenen Daten enthalten, sendet MCC keine Daten an den Agent. Überprüfen Sie die Metriken zu empfangenen Bytes, um zu sehen, wie viele Daten von MCC empfangen werden.
• Vergewissern Sie sich, dass die Agent-VM nicht überlastet ist – überwachen Sie CPU- und Arbeitsspeicherauslastung. Stellen Sie insbesondere sicher, dass kein anderer Prozess Ressourcen von der VM nimmt.

Probleme mit der SFTP-Pullquelle

In diesem Abschnitt werden spezifische Probleme mit der SFTP-Pullquelle behandelt.

Sie können auch die von Azure Operator Insights in Azure Monitor bereitgestellte Diagnose verwenden, um Probleme bei der Erfassung und Fehlerbehebung zu identifizieren und zu debuggen.

Agent kann keine Verbindung mit dem SFTP-Server herstellen

Symptome: Es werden keine Dateien in Azure Operator Insights hochgeladen. Die Agent-Protokolldatei /var/log/az-aoi-ingestion/stdout.logenthält Fehler über das Herstellen einer Verbindung mit dem SFTP-Server.

• Überprüfen Sie, ob das vom Agent verwendete SFTP-Benutzerkonto und die vom Agent verwendeten Anmeldeinformationen für den SFTP-Server gültig sind.
• Überprüfen Sie die Netzwerkkonnektivität und die Firewallkonfiguration zwischen dem Agent und dem SFTP-Server. Standardmäßig muss auf dem SFTP-Server der Port 22 geöffnet sein, um SFTP-Verbindungen zu akzeptieren.
• Überprüfen Sie, ob die Datei known_hosts auf der Agent-VM einen gültigen öffentlichen SSH-Schlüssel für den SFTP-Server enthält:
  • Führen Sie auf der Agent-VM ssh-keygen -l -F *<sftp-server-IP-or-hostname>* aus.
  • Wenn keine Ausgabe vorhanden ist, dann enthält known_hosts keinen übereinstimmenden Eintrag. Befolgen Sie die Anweisungen unter Einrichten des Azure Operator Insights-Datenerfassungsagents, um einen known_hosts-Eintrag für den SFTP-Server hinzuzufügen.

Es werden keine Dateien in Azure Operator Insights hochgeladen.

Symptome: In Azure Data Explorer werden keine Daten angezeigt. Protokolle der Kategorie Ingestion werden nicht in Azure Operator Insights-Überwachungsdaten angezeigt, oder sie enthalten Fehler. Die Datenqualitätsmetrik Anzahl der erfassten Zeilen für den relevanten Datentyp ist Null.

• Überprüfen Sie, ob der Agent auf allen virtuellen Computern ausgeführt wird und in den Protokollen keine Fehler meldet.
• Überprüfen Sie, ob Dateien am richtigen Speicherort auf dem SFTP-Server vorhanden sind und nicht aufgrund der Dateiquellkonfiguration ausgeschlossen werden (siehe Es fehlen Dateien).
• Stellen Sie sicher, dass der konfigurierte SFTP-Benutzer alle Verzeichnisse unter dem base_path lesen kann, die nicht nach der Dateiquellkonfiguration ausgeschlossen sind.
• Überprüfen Sie die Netzwerkkonnektivität und die Firewallkonfiguration zwischen der VM des Datenerfassungsagents und dem Eingabespeicherkonto des Datenprodukts.

Es fehlen Dateien.

Symptome: In Azure Data Explorer fehlen Dateien. Protokolle der Kategorie Ingestion in Azure Operator Insights-Überwachungsdaten sind niedriger als erwartet, oder sie enthalten Fehler. Die Datenqualitätsmetrik Anzahl der erfassten Zeilen für den relevanten Datentyp ist niedriger als erwartet.

• Überprüfen Sie, ob der Agent auf allen virtuellen Computern ausgeführt wird und in den Protokollen keine Fehler meldet. Suchen Sie in den Diagnosepaketprotokollen nach dem Namen der fehlenden Datei, um Fehler im Zusammenhang mit dieser Datei zu finden.
• Überprüfen Sie, ob die Dateien auf dem SFTP-Server vorhanden sind und nicht aufgrund der Dateiquellkonfiguration ausgeschlossen werden. Überprüfen Sie die Dateiquellkonfiguration, und vergewissern Sie sich, dass Folgendes zutrifft:
  • Die Dateien sind auf dem SFTP-Server unter dem in base_path definierten Pfad vorhanden. Stellen Sie sicher, dass in den Dateipfaden der hochzuladenden Dateien keine symbolischen Verknüpfungen vorhanden sind: Der Datenerfassungsagent ignoriert symbolische Verknüpfungen.
  • Die Uhrzeit der letzten Änderung der Dateien liegt mindestens settling_time Sekunden vor dem Zeitpunkt des zuletzt für diese Dateiquelle durchgeführten Uploads.
  • Die Uhrzeit der letzten Änderung der Dateien liegt nach exclude_before_time (sofern angegeben).
  • Der Dateipfad relativ zu base_path entspricht dem regulären Ausdruck, der durch include_pattern angegeben wird (sofern angegeben).
  • Der Dateipfad relativ zu base_path entspricht nicht dem regulären Ausdruck, der durch exclude_pattern angegeben wird (sofern angegeben).
• Wenn zuletzt verwendete Dateien fehlen, überprüfen Sie die Agentprotokolle im Diagnosepaket, um sich zu vergewissern, dass der Datenerfassungsagent zum erwarteten Zeitpunkt einen Upload für die Quelle ausgeführt hat. Der Parameter cron in der Quellkonfiguration gibt den erwarteten Zeitplan an.
• Vergewissern Sie sich, dass die Agent-VM nicht überlastet ist – überwachen Sie CPU- und Arbeitsspeicherauslastung. Stellen Sie insbesondere sicher, dass kein anderer Prozess Ressourcen von der VM nimmt.

Dateien werden mehrmals hochgeladen.

Symptome: In Azure Operator Insights werden doppelte Daten angezeigt.

• Überprüfen Sie, ob im Datenerfassungsagent bei einem vorherigen Upload ein wiederholbarer Fehler im Diagnosepaketprotokoll aufgetreten ist und ob er dann erneut versucht hat, den Upload mehr als 24 Stunden nach dem letzten erfolgreichen Upload hochzuladen. In diesem Fall lädt der Agent während des Wiederholungsversuchs möglicherweise doppelte Daten hoch. Die Duplizierung von Daten sollte sich nur auf den Wiederholungsversuch auswirken.
• Vergewissern Sie sich, dass die in der Konfigurationsdatei definierten Dateiquellen auf sich nicht überlappende Dateien verweisen. Wenn mehrere Dateiquellen so konfiguriert sind, dass Dateien vom gleichen Speicherort auf dem SFTP-Server abgerufen werden, verwenden Sie die Konfigurationsfelder include_pattern und exclude_pattern, um unterschiedliche Dateigruppen anzugeben, die von jeder Dateiquelle berücksichtigt werden sollten.
• Wenn Sie mehrere Instanzen des SFTP-Datenerfassungsagents ausführen, überprüfen Sie, ob sich die für jeden Agent konfigurierten Dateiquellen nicht mit Dateiquellen auf einem anderen Agent überlappen. Achten Sie insbesondere auf eine Dateiquellkonfiguration, die versehentlich aus der Konfiguration eines anderen Agents kopiert wurde.
• Wenn Sie die Pipeline id für eine konfigurierte Dateiquelle kürzlich geändert haben, verwenden Sie das Feld exclude_before_time, um zu vermeiden, dass Dateien mit der neuen Pipeline id erneut geladen werden. Anweisungen finden Sie unter Ändern der Konfiguration für Datenerfassungsagents für Azure Operator Insights.

Zugehöriger Inhalt

In diesem Artikel werden folgende Themen erläutert:

• Ändern der Konfiguration für Datenerfassungsagents.
• Aktualisieren von Erfassungs-Agents
• Rotieren von Geheimnissen für Erfassungs-Agents