Supervisión y solución de problemas de los agentes de ingesta de Azure Operator Insights

Para obtener información general sobre los agentes de ingesta, consulte Introducción a los agentes de ingesta.

Si observa problemas con la recopilación de datos de los agentes de ingesta, use la información de esta sección para corregir problemas comunes o crear un paquete de diagnóstico. Puede cargar el paquete de diagnóstico en las incidencias de soporte técnico que cree en Azure Portal.

El agente de ingesta es un paquete de software, por lo que los diagnósticos se limitan al funcionamiento de la aplicación. No proporcionamos supervisión de los recursos ni del sistema operativo. Se recomienda usar herramientas estándar como snmpd, el exportador de nodos Prometheus u otras para enviar datos, registros y métricas de nivel del sistema operativo a sus sistemas de supervisión propios. En Supervisión de máquinas virtuales con Azure Monitor se describen las herramientas que puede usar si los agentes de ingesta se ejecutan en máquinas virtuales de Azure.

El agente escribe registros y métricas en los archivos en /var/log/az-aoi-ingestion/. Si el agente no se puede iniciar por algún motivo (por ejemplo, un error de configuración), el archivo stdout.log contiene registros en lenguaje natural que explican el problema.

Las métricas se notifican de forma sencilla y descriptiva.

Requisitos previos

• Para la mayoría de estas técnicas de solución de problemas, necesita una conexión SSH a la máquina virtual que ejecuta el agente.

Diagnósticos del agente de ingesta de datos

Para recopilar un paquete de diagnóstico, use SSH en la máquina virtual y ejecute el comando /usr/bin/microsoft/az-aoi-ingestion-gather-diags. Este comando genera un archivo ZIP con marca de fecha en el directorio actual que puede copiar del sistema.

Si configuró la recopilación de registros a través del agente de Azure Monitor, verá los registros del agente de ingesta en la vista del portal del área de trabajo de Log Analytics y es posible que no necesite recopilar un paquete de diagnóstico para depurar los problemas.

Nota:

El soporte técnico de Microsoft puede solicitar paquetes de diagnóstico al investigar un problema. Los paquetes de diagnóstico no contienen datos de cliente ni valores de credenciales.

Problemas comunes a todos los orígenes

Los problemas se dividen en general en cuatro categorías.

• La configuración incorrecta del agente, que impide que este se inicie.
• Problemas con la recepción de los datos de origen, normalmente una configuración incorrecta, o la conectividad de red.
• Problemas con la carga de archivos en la cuenta de almacenamiento de entrada del producto de datos, normalmente la conectividad de red.
• Problemas con la máquina virtual en la que se está ejecutando el agente.

El agente no se inicia

Síntomas: sudo systemctl status az-aoi-ingestion muestra que el servicio está en estado de error.

• Compruebe que el servicio se esté ejecutando.

  sudo systemctl start az-aoi-ingestion
  

• Examine el archivo /var/log/az-aoi-ingestion/stdout.log y compruebe si se han notificado errores. Corrija los problemas con el archivo de configuración y vuelva a iniciar el agente.

No aparecen datos en AOI

Síntomas: no aparece ningún dato en Azure Data Explorer.

• Compruebe la conectividad de red y la configuración del firewall entre la máquina virtual del agente de ingesta y la cuenta de almacenamiento de entrada del producto de datos.
• Compruebe si hay errores que se cargan en Azure en los registros del agente de ingesta. Si los registros indican problemas de autenticación, compruebe que la configuración del agente tenga la configuración del receptor y la autenticación del producto de datos correctas. A continuación, reinicie el agente.
• Compruebe que el agente de ingesta recibe datos del origen. Compruebe la conectividad de red y la configuración del firewall entre la red y el agente de ingesta.

Problemas con el origen EDR de MCC

En esta sección se abordan los problemas específicos del origen EDR de MCC.

También puede usar los diagnósticos que proporcionan las instancias de MCC o el propio Azure Operator Insights en Azure Monitor, para ayudar a identificar y depurar problemas de ingesta.

MCC no se puede conectar

Síntomas: MCC informa de alarmas que indican que las MSF no están disponibles.

• Compruebe que el agente está en funcionamiento.
• Asegúrese de que MCC se haya configurado con la dirección IP y el puerto correctos.
• Compruebe los registros del agente y vea si se notifican conexiones. Si no es así, compruebe la conectividad de red con la máquina virtual del agente y confirme que los firewalls no bloquean el tráfico al puerto 36001.
• Recopile una captura de paquetes para ver dónde se produce el error de conexión.

No aparecen EDR en AOI

Síntomas: no aparece ningún dato en Azure Data Explorer.

• Compruebe que MCC esté en buen estado y que los agentes de ingesta se estén ejecutando.
• Compruebe los registros del agente de ingesta en el paquete de diagnóstico en busca de errores de carga a Azure. Si los registros apuntan a una cadena de conexión no válida o a problemas de conectividad, corrija la configuración, la cadena de conexión o el token de SAS y reinicie el agente.
• Compruebe la conectividad de red y la configuración del firewall en la cuenta de almacenamiento.

Faltan datos o están incompletos

Síntomas: Azure Monitor muestra una tasa de EDR entrante en ADX más baja de la esperada.

• Compruebe que el agente se ejecuta en todas las máquinas virtuales y no notifica errores en los registros del paquete de diagnóstico.
• Compruebe que las máquinas virtuales del agente no estén enviado una carga superior a la nominal.
• Compruebe las métricas del agente en el paquete de diagnóstico para bytes perdidos/EDR perdidos. Si las métricas no muestran datos descartados, entonces MCC no está enviando los datos al agente. Compruebe las métricas de "bytes recibidos" para ver la cantidad de datos que se reciben de MCC.
• Compruebe que la máquina virtual del agente no esté sobrecargada: supervise el uso de la CPU y de la memoria. En concreto, asegúrese de que ningún otro proceso tome recursos de la máquina virtual.

Problemas con el origen de extracción de SFTP

En esta sección se tratan los problemas específicos del origen de extracción de SFTP.

También puede usar los diagnósticos proporcionados por el propio Azure Operator Insights en Azure Monitor para ayudar a identificar y depurar problemas de ingesta.

El agente no se puede conectar al servidor SFTP

Síntomas: no se carga ningún archivo en AOI. El archivo de registro del agente, /var/log/az-aoi-ingestion/stdout.log, contiene errores sobre la conexión del servidor SFTP.

• Compruebe que el usuario y las credenciales de SFTP que utiliza el agente sean válidos para el servidor SFTP.
• Compruebe la conectividad de red y la configuración del firewall entre el agente y el servidor SFTP. De forma predeterminada, el servidor SFTP debe tener el puerto 22 abierto para aceptar conexiones SFTP.
• Compruebe que el archivo known_hosts de la máquina virtual del agente contiene una clave SSH pública válida para el servidor SFTP:
  • En la máquina virtual del agente, ejecute ssh-keygen -l -F *<sftp-server-IP-or-hostname>*.
  • Si no se genera ningún resultado, known_hosts no contiene una entrada coincidente. Siga las instrucciones de Configuración del agente de ingesta de Azure Operator Insights para agregar una entrada known_hosts para el servidor SFTP.

No se cargan ningún archivo en Azure Operator Insights

Síntomas: no aparece ningún dato en Azure Data Explorer. Los registros de la categoría Ingestion no aparecen en los datos de supervisión de Azure Operator Insights o contienen errores. La métrica de calidad de datos Número de filas ingestadas para el tipo de datos pertinente es cero.

• Compruebe que el agente se esté ejecutando en todas las máquinas virtuales y que no notifique ningún error en los registros.
• Compruebe que los archivos existen en la ubicación correcta en el servidor SFTP y que no se excluyen debido a la configuración del origen de archivo (consulte Faltan archivos).
• Asegúrese de que el usuario SFTP configurado pueda leer todos los directorios en el base_path, que la configuración del origen de archivo no excluye.
• Compruebe la conectividad de red y la configuración del firewall entre la máquina virtual del agente de ingesta y la cuenta de almacenamiento de entrada del producto de datos.

Faltan archivos

Síntomas: faltan datos de Azure Data Explorer. Los registros de categoría Ingestion en los datos de supervisión de Azure Operator Insights son inferiores a lo esperado o contienen errores. La métrica de calidad de datos Número de filas ingestadas para el tipo de datos pertinente es inferior a lo esperado.

• Compruebe que el agente se esté ejecutando en todas las máquinas virtuales y que no notifique ningún error en los registros. Busque en los registros del paquete de diagnóstico el nombre del archivo que falta para encontrar errores relacionados con ese archivo.
• Compruebe que los archivos existen en el servidor SFTP y que no se excluyen debido a la configuración del origen de archivo. Compruebe la configuración del origen de archivo y confirme que:
  • Los archivos existen en el servidor SFTP en la ruta de acceso definida en base_path. Asegúrese de que no haya vínculos simbólicos en las rutas de acceso de los archivos que se van a cargar: el agente de ingesta omite los vínculos simbólicos.
  • La hora de "última modificación" de los archivos es al menos settling_time segundos anterior a la hora de la ejecución de carga más reciente de este origen de archivo.
  • La hora de "última modificación" de los archivos es posterior a exclude_before_time (si se especifica).
  • La ruta de acceso del archivo relativa a base_path coincide con la expresión regular que proporciona include_pattern (si se especifica).
  • La ruta de acceso del archivo relativa a base_pathno coincide con la expresión regular que proporciona exclude_pattern (si se especifica).
• Si faltan archivos recientes, compruebe los registros del agente en el paquete de diagnóstico para confirmar que el agente de ingesta realizó una ejecución de carga para el origen en el momento esperado. El parámetro cron de la configuración de origen proporciona la programación esperada.
• Compruebe que la máquina virtual del agente no esté sobrecargada: supervise el uso de la CPU y de la memoria. En concreto, asegúrese de que ningún otro proceso tome recursos de la máquina virtual.

Los archivos se cargan más de una vez

Síntomas: aparecen datos duplicados en Azure Operator Insights.

• Compruebe si el agente de ingesta encontró un error reintentable en el registro del paquete de diagnóstico en una carga anterior y si volvió a intentar esa carga más de 24 horas después de la última carga correcta. En ese caso, puede que el agente cargara datos duplicados durante el reintento. La duplicación de datos debería afectar solo al reintento.
• Compruebe que los orígenes de archivos definidos en el archivo de configuración hagan referencia a conjuntos de archivos no superpuestos. Si hay varios orígenes de archivo configurados para extraer archivos de la misma ubicación en el servidor SFTP, use los campos de configuración include_pattern y exclude_pattern para especificar conjuntos de archivos distintos que debe tener en cuenta cada uno de los orígenes de archivo.
• Si ejecuta varias instancias del agente de ingesta de SFTP, compruebe que los orígenes de archivo configurados para cada agente no se superpongan con los orígenes de archivo en ningún otro agente. En concreto, busque la configuración del origen de archivo que se copió por error de la configuración de otro agente.
• Si ha cambiado recientemente la canalización id de un origen de archivo configurado, use el campo exclude_before_time para evitar que los archivos se vuelvan a cargar con la nueva canalización id. Para obtener instrucciones, consulte Cambio de la configuración de los agentes de ingesta para Azure Operator Insights.

Contenido relacionado

Obtenga información sobre cómo:

• Cambio de la configuración de los agentes de ingesta.
• Actualizar agentes de ingesta.
• Rote los secretos para los agentes de ingesta.