Freigeben über

Behandeln von Problemen mit dem Log Analytics-Agent für Windows

Dieser Artikel hilft Ihnen, Fehler zu beheben, die möglicherweise mit dem Log Analytics-Agent für Windows in Azure Monitor auftreten. Es schlägt mögliche Lösungen vor, um sie zu lösen.

Log Analytics-Problembehandlungstool

Der Log Analytics-Agent für windows-Problembehandlungstool ist eine Sammlung von PowerShell-Skripts, die Ihnen helfen, Probleme mit dem Log Analytics-Agent zu finden und zu diagnostizieren. Die Agentinstallation enthält automatisch das Tool. Das Ausführen des Tools sollte Ihr erster Schritt bei der Diagnose eines Problems sein.

Verwenden des Tools zur Problembehandlung

  1. Öffnen Sie die PowerShell-Eingabeaufforderung als Administrator auf dem Computer, auf dem Sie den Log Analytics-Agent installiert haben.

  2. Gehen Sie zu dem Verzeichnis, in dem sich das Tool befindet:

    cd "C:\Program Files\Microsoft Monitoring Agent\Agent\Troubleshooter"

  3. Führen Sie das Hauptskript mithilfe dieses Befehls aus:

    .\GetAgentInfo.ps1

  4. Wählen Sie ein Problembehandlungsszenario aus.

  5. Folgen Sie den Anweisungen auf der Konsole. Die Ablaufverfolgungsprotokolle erfordern einen manuellen Eingriff, um die Protokollsammlung zu unterbrechen. Warten Sie basierend auf der Reproduzierbarkeit des Problems auf die Zeitdauer, und wählen Sie s aus, um die Protokollsammlung zu beenden, und fahren Sie mit dem nächsten Schritt fort.

    Der Prozess protokolliert den Speicherort der Ergebnisdatei nach Abschluss und öffnet ein neues Explorer-Fenster, in dem es hervorgehoben wird.

Installation

Das Problembehandlungstool ist automatisch enthalten, wenn Sie den Log Analytics Agent Build 10.20.18053.0 und höher installieren.

Behandelte Szenarien

Das Problembehandlungstool überprüft die folgenden Szenarien:

  • Der Agent meldet keine Daten, oder es fehlen Heartbeat-Daten.
  • Die Bereitstellung der Agent-Erweiterung ist fehlgeschlagen.
  • Der Agent ist abgestürzt.
  • Der Agent verbraucht viel CPU oder Arbeitsspeicher.
  • Fehler bei der Installation und Deinstallation.
  • Benutzerdefinierte Protokolle haben Probleme.
  • Bei OMS-Gateway sind Probleme aufgetreten.
  • Leistungsindikatoren haben Probleme.
  • Die Agent-Protokolle können nicht erfasst werden.

Hinweis

Führen Sie das Problembehandlungstool aus, wenn ein Problem auftritt. Wenn die Protokolldaten von Anfang an vorliegen, kann das Supportteam Ihr Problem schneller beheben.

Wichtige Quellen für die Problembehandlung

Um Probleme im Zusammenhang mit dem Log Analytics-Agent für Windows zu beheben, protokolliert der Agent Ereignisse im Windows-Ereignisprotokoll. Er verwendet den Abschnitt "Application and Services\Operations Manager ".

Konnektivitätsprobleme

Wenn der Agent über einen Proxyserver oder eine Firewall kommuniziert, können Einschränkungen die Kommunikation zwischen dem Quellcomputer und dem Azure Monitor-Dienst verhindern. Wenn eine Fehlkonfiguration die Kommunikation blockiert, kann die Registrierung bei einem Arbeitsbereich fehlschlagen, wenn versucht wird, den Agent zu installieren oder den Agent nach der Einrichtung so zu konfigurieren, dass er Berichte an einen anderen Arbeitsbereich sendet. Bei der Agent-Kommunikation könnten nach erfolgreicher Registrierung Fehler auftreten. In diesem Abschnitt werden Methoden zum Beheben dieses Problems mithilfe des Windows-Agents beschrieben.

Überprüfen Sie, ob die Firewall oder der Proxy so konfiguriert ist, dass die in der folgenden Tabelle beschriebenen Ports und URLs zulässig sind. Vergewissern Sie sich auch, dass die HTTP-Inspektion für den Webdatenverkehr nicht aktiviert ist. Dadurch kann ein sicherer TLS-Kanal zwischen dem Agent und Azure Monitor verhindert werden.

Agent-Ressource Häfen Direction Umgehung der HTTPS-Überprüfung
*.ods.opinsights.azure.com Port 443 Ausgehend Ja
*.oms.opinsights.azure.com Port 443 Ausgehend Ja
*.blob.core.windows.net Port 443 Ausgehend Ja
*.agentsvc.azure-automation.net Port 443 Ausgehend Ja

Informationen zur Firewall, die für Azure Government erforderlich sind, finden Sie unter Azure Government Management. Sie können den Azure Automation Hybrid Runbook Worker verwenden, um eine Verbindung mit dem Automatisierungsdienst herzustellen und zu registrieren, um Runbooks oder Verwaltungslösungen zu verwenden. Sie muss in der Lage sein, die erforderlichen Ports und URLs zu erreichen, die unter "Konfigurieren Ihres Netzwerks für den Hybrid Runbook Worker" aufgeführt sind.

Sie können überprüfen, ob der Agent erfolgreich mit Azure Monitor kommuniziert, indem Sie mehrere Methoden verwenden:

  • Aktivieren Sie die Agent-Integritätsdiagnose von Azure Log Analytics im Arbeitsbereich. Sehen Sie sich im Dashboard für die Agent-Integritätsdiagnose die Spalte Anzahl der nicht reagierenden Agents an, um schnell festzustellen, ob der Agent aufgeführt ist.

  • Führen Sie die folgende Abfrage aus, um zu bestätigen, dass der Agent einen Heartbeat an seinen konfigurierten Arbeitsbereich meldet. Ersetzen Sie <ComputerName> durch den tatsächlichen Namen des Computers.

    Heartbeat 
| where Computer like "<ComputerName>"
| summarize arg_max(TimeGenerated, * ) by Computer

    Wenn der Computer erfolgreich mit dem Dienst kommuniziert, gibt die Abfrage ein Ergebnis zurück. Wenn die Abfrage kein Ergebnis zurückgibt, überprüfen Sie zuerst, ob der Agent für den Bericht an den richtigen Arbeitsbereich konfiguriert ist. Wenn alles richtig konfiguriert ist, fahren Sie mit Schritt 3 fort. Durchsuchen Sie das Windows-Ereignisprotokoll, um festzustellen, ob der Agent das Problem protokolliert, das möglicherweise die Kommunikation mit Azure Monitor verhindert.

  • Eine weitere Methode zum Identifizieren eines Verbindungsproblems besteht darin, das TestCloudConnectivity-Tool auszuführen. Das Tool wird standardmäßig mit dem Agent im Ordner %SystemRoot%\Programme\Microsoft Monitoring Agent\Agent installiert. Wechseln Sie an einer Eingabeaufforderung mit erhöhten Rechten zum Ordner und führen Sie das Tool aus. Das Tool gibt die Ergebnisse zurück und hebt hervor, wo der Test fehlgeschlagen ist. Beispielsweise kann es sich um einen bestimmten Port oder eine bestimmte URL beziehen, die blockiert wurde.

    Screenshot der Ausführungsergebnisse des TestCloudConnection-Tools.

  • Filtern Sie das Operations Manager-Ereignisprotokoll nach EreignisquellenIntegritätsdienstmodule, Integritätsdienst und Dienst-Connector, und filtern Sie nach EreignisebeneWarnung und Fehler, um zu überprüfen, ob Ereignisse geschrieben wurden, die in der folgenden Tabelle aufgeführt sind. Überprüfen Sie in diesem Fall die enthaltenen Lösungsschritte für jedes mögliche Ereignis.

    Ereignis-ID `Source` BESCHREIBUNG Lösung
    2133 und 2129 Zustandsdienst Fehler bei der Verbindung des Agents mit dem Dienst. Dieser Fehler tritt auf, wenn der Agent nicht direkt oder über eine Firewall oder einen Proxyserver mit dem Azure Monitor-Dienst kommunizieren kann. Überprüfen Sie die Proxyeinstellungen des Agents, und stellen Sie sicher, dass die Netzwerkfirewall oder der Netzwerkproxy den TCP-Datenverkehr vom Computer zum Dienst zulässt.
    2138 Integritätsdienstmodule Proxy erfordert Authentifizierung. Konfigurieren Sie die Agent-Proxyeinstellungen, und geben Sie den Benutzernamen und das Kennwort an, der für die Authentifizierung mit dem Proxyserver erforderlich ist.
    2129 Integritätsdienstmodule Fehler bei der Verbindung. Fehler bei der TLS-Aushandlung. Überprüfen Sie die TCP/IP-Einstellungen des Netzwerkadapters und die Proxyeinstellungen des Agents.
    2127 Integritätsdienstmodule Fehler beim Senden des Daten empfangen-Fehlercodes. Wenn es nur in regelmäßigen Abständen während des Tages geschieht, kann es sich um eine zufällige Anomalie handelt, die Sie ignorieren können. Überwachen Sie dieses Verhalten, um festzustellen, wie häufig dieser Fehler auftritt. Tritt er im Laufe des Tages häufig auf, überprüfen Sie zunächst Ihre Netzwerkkonfiguration und die Proxyeinstellungen. Wenn die Beschreibung DEN HTTP-Fehlercode 404 enthält und es sich um den ersten Versuch des Agents handelt, Daten an den Dienst zu senden, wird auch ein Fehler von 500 angezeigt. Der Fehler 500 enthält einen inneren 404-Fehlercode. Der Fehlercode 404 bedeutet „nicht gefunden“ und gibt an, dass der Speicherbereich für den neuen Arbeitsbereich weiterhin bereitgestellt wird. Bei der nächsten Wiederholung sind Daten wie erwartet erfolgreich in den Arbeitsbereich geschrieben. Ein HTTP-Fehler 403 weist möglicherweise auf ein Problem mit Berechtigungen oder Anmeldeinformationen hin. Der Fehler 403 enthält weitere Informationen, die bei der Problembehandlung helfen.
    4000 Dienstconnector Fehler bei der DNS-Namensauflösung. Der Computer konnte die Internetadresse, die beim Senden von Daten an den Dienst verwendet wurde, nicht auflösen. Dieses Problem kann an den Einstellungen der DNS-Auflösung auf Ihrem Computer, falschen Proxyeinstellungen oder an einem vorübergehenden DNS-Problem bei Ihrem Anbieter liegen. Wenn dies in regelmäßigen Abständen der Fall ist, kann dies zu einem vorübergehenden Netzwerkproblem führen.
    4001 Dienstconnector Fehler bei der Verbindung mit dem Dienst Dieser Fehler tritt auf, wenn der Agent nicht direkt oder über eine Firewall oder einen Proxyserver mit dem Azure Monitor-Dienst kommunizieren kann. Überprüfen Sie die Proxyeinstellungen des Agents, und stellen Sie sicher, dass die Netzwerkfirewall oder der Netzwerkproxy den TCP-Datenverkehr vom Computer zum Dienst zulässt.
    4002 Dienstconnector Der Dienst hat HTTP-Statuscode 403 als Antwort auf eine Abfrage zurückgegeben. Wenden Sie sich an den Dienstadministrator, um die Integrität des Diensts zu prüfen. Die Abfrage wird später erneut überprüft. Dieser Fehler wird während der anfänglichen Registrierungsphase des Agents geschrieben. Sie sehen eine URL ähnlich wie https://<workspaceID>.oms.opinsights.azure.com/AgentService.svc/AgentTopologyRequest. Ein 403-Fehlercode bedeutet "verboten" und kann aus einer falsch eingegebenen Arbeitsbereichs-ID oder einem Schlüssel resultieren. Das Datum und die Uhrzeit auf dem Computer könnten ebenfalls falsch sein. Wenn die Zeit ca. 15 Minuten von der aktuellen Uhrzeit abweicht, tritt beim Onboarding ein Fehler auf. Um dieses Problem zu beheben, aktualisieren Sie das Datum und die Uhrzeit Ihres Windows-Computers.

Probleme bei der Datensammlung

Nachdem Sie den Agent installiert und für den Bericht an einen oder mehrere Arbeitsbereiche konfiguriert haben, kann er den Empfang der Konfiguration beenden. Sie kann auch das Sammeln oder Senden von Leistungsdaten, Protokollen oder anderen Daten an den Dienst beenden. Dieses Problem hängt davon ab, was gezielt verwendet wird und auf dem Computer aktiviert ist. Sie müssen Folgendes festlegen:

  • Handelt es sich um einen bestimmten Datentyp oder sind keinerlei Daten im Arbeitsbereich verfügbar?
  • Wird der Datentyp von einer Lösung oder als Teil der Datensammlungskonfiguration des Arbeitsbereichs angegeben?
  • Wie viele Computer sind betroffen? Sendet ein einzelner Computer oder senden mehrere Computer Berichte an den Arbeitsbereich?
  • War er aktiv und hat er zu einem bestimmten Zeitpunkt des Tages aufgehört, oder wurden noch nie Daten gesammelt?
  • Weist die verwendete Protokollsuchabfrage die korrekte Syntax auf?
  • Hat der Agent jemals seine Konfiguration von Azure Monitor empfangen?

Als erster Schritt bei der Problembehandlung muss festgestellt werden, ob der Computer ein Heartbeat-Ereignis sendet.

Heartbeat 
    | where Computer like "<ComputerName>"
    | summarize arg_max(TimeGenerated, * ) by Computer

Wenn die Abfrage Ergebnisse zurückgibt, müssen Sie ermitteln, ob ein bestimmter Datentyp nicht erfasst und an den Dienst weitergeleitet wird. Dieses Problem kann dazu führen, dass der Agent keine aktualisierte Konfiguration vom Dienst erhält oder ein anderes Symptom, das verhindert, dass der Agent normal funktioniert. Führen Sie zur weiteren Problembehandlung die folgenden Schritte aus.

  1. Öffnen Sie auf dem Computer eine Eingabeaufforderung mit erhöhten Rechten und starten Sie den Agent-Dienst durch Eingabe von net stop healthservice && net start healthservice neu.

  2. Öffnen Sie das Operations Manager-Ereignisprotokoll , und suchen Sie nach Ereignis-IDs7023, 7024, 7025, 7028 und 1210 aus ereignisquelleHealthService. Diese Ereignisse geben an, dass der Agent die Konfiguration von Azure Monitor erfolgreich empfängt und der Computer aktiv überwacht wird. In der Beschreibung für Ereignis-ID 1210 wird außerdem in der letzten Zeile alle Lösungen und Insights angegeben, die im Umfang der Überwachung auf dem Agent enthalten sind.

    Screenshot einer Beschreibung der Ereignis-ID 1210.

  3. Warten Sie einige Minuten. Wenn die erwarteten Daten in den Abfrageergebnissen oder -visualisierungen nicht angezeigt werden, je nachdem, ob Sie die Daten aus einer Lösung oder Insight anzeigen, suchen Sie im Operations Manager-Ereignisprotokoll nach EreignisquellenHealthService und Health Service Modules. Filtern Sie nach EreignisebeneWarnung und Fehler, um zu bestätigen, ob es Ereignisse aus der folgenden Tabelle geschrieben hat.

    Ereignis-ID `Source` BESCHREIBUNG Lösung
    8.000 HealthService Dieses Ereignis gibt an, ob ein Workflow, der sich auf Leistungsdaten, Ereignisse oder andere erfasste Datentypen bezieht, nicht an den Dienst zur Datenaufnahme in den Arbeitsbereich weitergeleitet werden kann. Die Ereignis-ID 2136 aus der Quelle HealthService wird zusammen mit diesem Ereignis geschrieben und kann angeben, dass der Agent nicht mit dem Dienst kommunizieren kann. Mögliche Gründe dafür könnte eine falsche Konfiguration der Proxy- und Authentifizierungseinstellungen, ein Netzwerkausfall oder dass die Netzwerkfirewall oder der Netzwerkproxy keinen TCP-Datenverkehr vom Computer zum Dienst zulässt.
    10102 und 10103 Integritätsdienstmodule Der Workflow konnte die Datenquelle nicht auflösen. Dieses Problem kann auftreten, wenn der angegebene Leistungsindikator oder die angegebene Instanz auf dem Computer nicht vorhanden ist. Es kann auch auftreten, wenn die Arbeitsbereichsdateneinstellungen sie falsch definieren. Wenn es sich um einen vom Benutzer angegebenen Leistungsindikator handelt, überprüfen Sie die angegebenen Informationen nach dem richtigen Format und sind auf den Zielcomputern vorhanden.
    26002 Integritätsdienstmodule Der Workflow konnte die Datenquelle nicht auflösen. Dieses Problem kann auftreten, wenn das angegebene Windows-Ereignisprotokoll nicht auf dem Computer vorhanden ist. Dieser Fehler kann problemlos ignoriert werden, wenn der Computer dieses Ereignisprotokoll nicht registrieren soll. Andernfalls überprüfen Sie, ob die angegebenen Informationen korrekt sind, wenn es sich um ein vom Benutzer angegebenes Ereignisprotokoll handelt.
  • Last updated on