Collecter les journaux des événements du client de machine virtuelle
Les compteurs de performances Azure Monitor Metrics et VM Insights vous aident à identifier les anomalies de performances et les alertes lorsque des seuils sont atteints. Toutefois, pour analyser les causes racines des problèmes que vous détectez, vous devez analyser les données de journal pour voir quels événements système ont provoqué ou contribué aux problèmes. Dans cette unité, vous configurez une règle de collecte de données (DCR) pour collecter des données Syslog de machine virtuelle Linux et afficher les données de journal dans Azure Monitor Log Analytics à l’aide d’une requête KQL (Langage de requête Kusto).
VM Insights installe l’agent Azure Monitor et crée une DCR qui collecte des compteurs de performances prédéfinis, mappe les dépendances de processus et présente les données dans des classeurs prédéfinis. Vous pouvez créer vos propres DCR pour collecter des compteurs de performances de machine virtuelle que la DCR VM Insights ne collecte pas ou pour collecter des données de journal.
Lorsque vous créez des DCR dans le portail Microsoft Azure, vous pouvez choisir parmi une plage de compteurs de performances et de taux d’échantillonnage, ou ajouter des compteurs de performances personnalisés. Vous pouvez également choisir parmi un ensemble prédéfini de types de journaux et de niveaux de gravité ou définir des schémas de journaux personnalisés. Vous pouvez associer une DCR unique à n’importe quelle ou toutes les machines virtuelles de votre abonnement, mais vous aurez peut-être besoin de plusieurs DCR pour collecter différents types de données provenant de différentes machines virtuelles.
Créer une DCR pour collecter des données de journal
Dans le portail Microsoft Azure, recherchez et sélectionnez Monitor pour accéder à la page Vue d’ensemble d’Azure Monitor.
Créer un point de terminaison de collecte de données
Vous devez disposer d’un point de terminaison de collecte de données pour y envoyer des données de journal. Pour créez un point de terminaison :
- Dans le menu de navigation de gauche d’Azure Monitor, sous Paramètres, sélectionnezPoints de terminaison de collecte de données.
- Sur la page Points de terminaison de collecte de données, sélectionnez Créer.
- Sur la page Créer un point de terminaison de collecte de données, pour Nom, entrez linux-logs-endpoint.
- Sélectionnez le même Abonnement, le même Groupe de ressources et la même Région que ceux utilisés par votre machine virtuelle.
- Sélectionnez Vérifier + créer, puis quand la validation réussit, sélectionnez Créer.
Créer la règle de collecte de données
Pour créer la DCR pour collecter les journaux d’événements :
Dans le menu de navigation de gauche de Monitor, sous Paramètres, sélectionnez Règles de collecte de données.
Sur la page Règles de collecte de données, vous pouvez voir la DCR créée par VM Insights. Sélectionnez Créer pour créer une règle de collecte de données.
Sous l’onglet Informations de base de l’écran Créer une règle de collecte de données, fournissez les informations suivantes :
- Nom de la règle : Entrez collect-events-linux.
- Abonnement, Groupe de ressources et Région : Sélectionnez les mêmes que ceux de votre machine virtuelle.
- Type de plateforme : Sélectionnez Linux.
Sélectionnez Suivant : Ressources ou l’onglet Ressources.
Sur l’écran Ressources, sélectionnez Ajouter des ressources.
Sur l’écran Sélectionner une étendue, sélectionnez la machine virtuelle monitored-linux-vm, puis sélectionnez Appliquer.
Sur l’écran Ressources, sélectionnez Activer les points de terminaison de collecte de données.
Sous Point de terminaison de collecte de données pour monitored-linux-vm, sélectionnez linux-logs-endpoint que vous avez créé.
Sélectionnez Suivant : Collecter et livrer, ou l’onglet Collecter et livrer.
Sous l’onglet Collecter et livrer, sélectionnez Ajouter une source de données.
Sur l’écran Ajouter une source de données, sous Type de source de données, sélectionnez Linux Syslog.
Sur l’écran Ajouter une source de données, sélectionnez Suivant : Destination ou l’onglet Destination, et vérifiez que Compte ou espace de noms correspond à l’espace de travail Log Analytics que vous souhaitez utiliser. Vous pouvez utiliser l’espace de travail Log Analytics par défaut que VM Insights a configuré, ou créer ou utiliser un autre espace de travail Log Analytics.
Sur l’écran Ajouter une source de données, sélectionnez Ajouter une source de données.
Sur l’écran Créer une règle de collecte de données, sélectionnez Vérifier + créer et, lorsque la validation réussit, sélectionnez Créer.
Affichage des données de journal
Vous pouvez afficher et analyser les données de journal collectées par votre DCR à l’aide de requêtes de journal KQL. Un ensemble d’exemples de requêtes KQL est disponible pour les machines virtuelles, mais vous pouvez écrire une requête simple pour examiner les événements que votre DCR collecte.
Sur la page Vue d’ensemble de votre machine virtuelle, sélectionnez Journaux dans le menu de navigation de gauche sous Surveillance. Log Analytics ouvre une fenêtre de requête vide avec l’étendue définie sur votre machine virtuelle.
Vous pouvez également accéder aux données de journal en sélectionnant Journaux dans le volet de navigation de gauche de la page Vue d’ensemble d’Azure Monitor. Si nécessaire, sélectionnez Sélectionner l’étendue en haut de la fenêtre de requête pour étendre la requête à l’espace de travail Log Analytics et à la machine virtuelle souhaités.
Remarque
La fenêtre Requêtes avec des exemples de requêtes peut s’ouvrir lorsque vous ouvrez Log Analytics. Pour l’instant, fermez cette fenêtre, car vous allez créer manuellement une requête simple.
Dans la fenêtre de requête vide, saisissez Syslog, puis sélectionnez Exécuter. Tous les événements de journal système collectés par la DCR dans l’Intervalle de temps sont affichés.
Vous pouvez affiner votre requête pour identifier les événements d’intérêt. Par exemple, vous pouvez afficher uniquement les événements ayant un SeverityLevel d’avertissement.
