Lernprogramm: Sammeln von Gastprotokollen von einem virtuellen Azure-Computer

Nachdem Sie die Überwachung für einen virtuellen Azure-Computer zum Sammeln von Gastmetriken aktiviert haben, können Sie zusätzliche Datensammlungsregeln (DCRs) erstellen, um Gastprotokolle zu sammeln. Diese Protokolle bieten umfassende Einblicke in das Verhalten des Betriebssystems und der Anwendungen, die auf dem virtuellen Computer ausgeführt werden, die zur Problembehandlung, Leistungsüberwachung und Sicherheitsanalyse verwendet werden können.

In diesem Lernprogramm wird gezeigt, wie Ereignisprotokolle von Windows-Computern und Syslog von Linux-Computern erfasst werden. Dies sind zwei der Datenquellen, die für virtuelle Computer verfügbar sind. Andere Datenquellen werden in "Sammeln von Gastprotokolldaten von virtuellen Computern mit Azure Monitor" dokumentiert.

In diesem Tutorial erfahren Sie, wie:

• Erstellen Sie einen DCR, der Gastprotokolldaten an einen Log Analytics-Arbeitsbereich sendet.
• Anzeigen von Gastprotokollen in Log Analytics.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie entweder:

• Virtueller Computer mit aktivierter Überwachung durch das folgende Lernprogramm: Aktivieren der erweiterten Überwachung für einen virtuellen Azure-Computer
• Virtual Machine Scale Set mit aktivierter Überwachung, aktiviert durch die Vorgehensweise unter Tutorial: Aktivieren der Überwachung für ein Azure Virtual Machine Scale Set.

Erstellen einer Datensammlungsregel

Datensammlungsregeln in Azure Monitor definieren Daten, die erfasst werden sollen und wo sie gesendet werden sollen. Wählen Sie im Menü "Überwachen" im Azure-Portal die Option "Datensammlungsregeln" aus. Wählen Sie dann "Erstellen" aus, um einen neuen DCR zu erstellen.

Geben Sie auf der Registerkarte " Grundlagen " einen Regelnamen ein, bei dem es sich um den Namen der Regel handelt, die im Azure-Portal angezeigt wird. Wählen Sie ein Abonnement, eine Ressourcengruppe und eine Region aus, in der die DCR und die zugehörigen Zuordnungen gespeichert sind. Diese Einstellungen müssen nicht mit den zu überwachenden Ressourcen übereinstimmen.

Der Plattformtyp definiert die Verfügbaren Optionen, während Sie den Rest des DCR definieren. Wählen Sie Windows oder Linux aus, wenn die Regel nur diesen Ressourcen zugeordnet ist, oder wählen Sie "Benutzerdefiniert" aus, wenn sie beiden Typen zugeordnet ist.

Ressourcen auswählen

Wählen Sie auf der Registerkarte " Ressourcen " die Option " Ressourcen hinzufügen" und dann Ihren virtuellen Computer aus. Fügen Sie alle anderen Computer hinzu, die dieselbe Protokollauflistung gemeinsam nutzen sollen. Der DCR gilt für alle virtuellen Computer im ausgewählten Bereich.

Auswählen von Datenquellen

Wählen Sie "Datenquelle hinzufügen" und dann entweder Windows-Ereignisprotokolle oder Linux Syslog aus.

Windows-Ereignisprotokolle

Wählen Sie die Ereignisprotokolle und Ebenen aus, die Sie erfassen möchten. Eine häufige Auswahl ist "Kritisch", "Fehler", "Warnungsereignisse " für Anwendungs - und Systemprotokolle .

Weitere Details zum Konfigurieren dieser Datenquelle finden Sie unter Sammeln von Windows-Ereignissen mit Azure Monitor Agent.

Linux Syslog

Wählen Sie die Dienste und Log-Ebenen aus, die Sie erfassen möchten. Um Warnstufen und höhere für alle Einrichtungen zu sammeln, aktivieren Sie das Kontrollkästchen neben der Einrichtung, um alle Einrichtungen auszuwählen, und wählen Sie dann LOG_WARNING für Mindestprotokollstufe für ausgewählte Einrichtungen festlegen.

Weitere Details zum Konfigurieren dieser Datenquelle finden Sie unter Sammeln von Syslog-Ereignissen mit Azure Monitor Agent.

Ziele auswählen

Wählen Sie die Registerkarte "Ziel " aus. Azure Monitor-Protokolle sollten bereits für den Zieltyp ausgewählt sein. Wählen Sie Ihren Log Analytics-Arbeitsbereich für Konto oder Namespace aus. Wenn Sie noch nicht über einen Arbeitsbereich verfügen, können Sie den Standardarbeitsbereich für Ihr Abonnement auswählen, der automatisch erstellt wird. Wählen Sie "Datenquelle hinzufügen" aus, um die Datenquelle zu speichern.

DCR speichern

Wählen Sie "Überprüfen" und "Erstellen" aus, um den DCR zu erstellen.

Protokolle anzeigen

Daten werden aus einem Log Analytics-Arbeitsbereich mithilfe einer Protokollabfrage abgerufen, die in der Kusto Query Language (KQL) geschrieben wurde. Obwohl eine Reihe vordefinierter Abfragen für virtuelle Computer verfügbar ist, verwenden Sie hier eine einfache Abfrage, um die erfassten Ereignisse zu überprüfen.

Wählen Sie "Protokolle " aus dem Menü Ihres virtuellen Computers aus. Log Analytics wird mit einem leeren Abfragefenster geöffnet, wobei der Bereich auf diesen Computer festgelegt ist. Alle Abfragen enthalten nur Datensätze, die von diesem Computer erfasst werden.

Hinweis

Das Fenster "Abfragen " wird möglicherweise geöffnet, wenn Sie Log Analytics öffnen. Sie enthält vordefinierte Abfragen, die Sie verwenden können. Schließen Sie dieses Fenster, da wir eine einfache Abfrage manuell erstellen werden.

Führen Sie im leeren Abfragefenster je nach konfigurierter Datenquelle eine der folgenden Abfragen aus.

Windows-Ereignisprotokolle

Um zu überprüfen, ob Daten gesammelt werden, überprüfen Sie in der Tabelle "Ereignis " nach Datensätzen. Wählen Sie auf dem virtuellen Computer oder im Log Analytics-Arbeitsbereich im Azure-Portal Protokolle aus, und klicken Sie dann auf die Schaltfläche "Tabellen ". Klicken Sie unter der Kategorie Virtuelle Maschinen auf Ausführen neben Ereignis.

Syslog

Um zu überprüfen, ob Daten gesammelt werden, überprüfen Sie in der Syslog-Tabelle nach Datensätzen. Wählen Sie auf dem virtuellen Computer oder im Log Analytics-Arbeitsbereich im Azure-Portal Protokolle aus, und klicken Sie dann auf die Schaltfläche "Tabellen ". Klicken Sie unter der Kategorie "Virtuelle Computer " auf " Ausführen " neben "Syslog".

Hinweis

Wenn die Abfrage keine Daten zurückgibt, müssen Sie möglicherweise einige Minuten warten, bis Ereignisse auf dem virtuellen Computer erfasst werden. Möglicherweise müssen Sie auch die Datenquelle im DCR ändern, um andere Ereigniskategorien einzuschließen.

Ein Lernprogramm zur Verwendung von Log Analytics zum Analysieren von Protokolldaten finden Sie im Log Analytics-Lernprogramm. Ein Lernprogramm zum Erstellen von Warnungsregeln aus Protokolldaten finden Sie im Lernprogramm: Erstellen einer Protokollsuchbenachrichtigung für eine Azure-Ressource.

Nächste Schritte

Empfohlene Warnungen stellen Warnungen vom Host des virtuellen Computers bereit, haben jedoch keinen Einblick in das Gastbetriebssystem und die zugehörigen Workloads. Nachdem Sie nun Gastprotokolle gesammelt haben, können Sie sie in Log Analytics analysieren und Benachrichtigungen basierend auf den darin enthaltenen Ereignissen erstellen.

Erstellen einer Protokollsuchwarnung für eine Azure-Ressource