Működési problémák monitorozása az Azure Monitor Log Analytics-munkaterületen
A Log Analytics-munkaterület teljesítményének és rendelkezésre állásának fenntartásához az Azure Monitorban proaktív módon kell észlelnie a felmerülő problémákat. Ez a cikk bemutatja, hogyan figyelheti a Log Analytics-munkaterület állapotát a Műveleti tábla adatainak használatával. Ez a táblázat minden Log Analytics-munkaterületen megtalálható. A munkaterületen előforduló hibaüzeneteket és figyelmeztetéseket tartalmaz. Javasoljuk, hogy hozzon létre riasztásokat a figyelmeztetés és a hiba szintjével kapcsolatos problémákhoz.
A szükséges engedélyek
Engedélyekkel kell rendelkeznie Microsoft.OperationalInsights/workspaces/query/*/read a lekérdezett Log Analytics-munkaterületekhez, például a Log Analytics-olvasó beépített szerepkörének megfelelően.
_LogOperation függvény
Az Azure Monitor-naplók minden problémáról információt küldenek annak a munkaterületnek a műveleti táblájának, ahol a probléma előfordult. A _LogOperation rendszerfüggvény a Műveleti táblán alapul, és egyszerűsített információkészletet biztosít az elemzéshez és a riasztáshoz.
Oszlopok
A _LogOperation függvény az alábbi táblázat oszlopait adja vissza.
| Oszlop | Leírás |
|---|---|
| TimeGenerated | Az incidens időpontja UTC-ben. |
| Kategória | Műveletkategória-csoport. A műveletek típusainak szűrésére és pontosabb rendszernaplózás és riasztások létrehozására használható. A kategóriák listáját a következő szakaszban találja. |
| Művelet | A művelettípus leírása. A művelet azt jelezheti, hogy elérte a Log Analytics egyik korlátját, egy háttérfolyamattal kapcsolatos problémát vagy bármely más szolgáltatásüzenetet. |
| Level | A probléma súlyossági szintje: - Információ: Nincs szükség különös figyelmet. - Figyelmeztetés: A folyamat nem a várt módon fejeződött be, és figyelmet igényel. - Hiba: A folyamat nem sikerült, és figyelmet igényel. |
| Részlet | A művelet részletes leírása tartalmazza az adott hibaüzenetet. |
| _ResourceId | A művelethez kapcsolódó Azure-erőforrás erőforrás-azonosítója. |
| Számítógép | Számítógépnév, ha a művelet egy Azure Monitor-ügynökhöz kapcsolódik. |
| Korrelációazonosító | Egymást követő kapcsolódó műveletek csoportosítására szolgál. |
Kategóriák
Az alábbi táblázat a függvény kategóriáit _LogOperation ismerteti.
| Kategória | Leírás |
|---|---|
| Lenyelés | Az adatbetöltési folyamat részét képező műveletek. |
| Ügynök | Az ügynök telepítésével kapcsolatos problémát jelez. |
| Adatgyűjtés | Adatgyűjtési folyamatokkal kapcsolatos műveletek. |
| Megoldás célzása | A típusművelet ConfigurationScope feldolgozása megtörtént. |
| Értékelési megoldás | A rendszer kiértékelési folyamatot hajtott végre. |
Lenyelés
A betöltési műveletek olyan problémák, amelyek az adatbetöltés során történtek, és a Log Analytics-munkaterület korlátainak eléréséről szóló értesítéseket is tartalmaznak. Ebben a kategóriában a hibafeltételek adatvesztésre utalhatnak, ezért fontos figyelni őket. A Log Analytics-munkaterületek szolgáltatási korlátait az Azure Monitor szolgáltatáskorlátai között talál.
Fontos
Ha adatgyűjtési szabályt (például Azure Monitor-ügynököt vagy Naplóbetöltési API-t) használó forgatókönyvek adatgyűjtését hárítja el, további hibaelhárítási információkért tekintse meg a DCR-adatgyűjtés monitorozását és hibaelhárítását az Azure Monitorban .
Művelet: Az adatgyűjtés leállt
"Az adatgyűjtés leállt az ingyenes adatok napi korlátja miatt. Betöltési állapot = OverQuota"
Az elmúlt hét napban a naplógyűjtemény elérte a napi korlátot. A korlát úgy van beállítva, hogy a munkaterület ingyenes szintre van állítva, vagy a napi gyűjtési korlát ehhez a munkaterülethez lett konfigurálva. Miután az adatgyűjtés elérte a beállított korlátot, az automatikusan leáll a napra vonatkozóan, és csak a következő gyűjtési napon folytatódik.
Javasolt műveletek:
- Ellenőrizze a táblában,
_LogOperationhogy a gyűjtemény leállt-e, és a gyűjtemény folytatja-e az eseményeket:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Detail has "Data collection" - Hozzon létre egy riasztást a "Adatgyűjtés leállt" műveleteseményhez. Ez a riasztás értesíti Önt, ha eléri a gyűjteménykorlátot.
- A napi gyűjtési korlát elérése után gyűjtött adatok elvesznek. A Workspace Insights panelen áttekintheti az egyes forrásból származó használati arányokat. Dönthet úgy is, hogy a maximális napi adatmennyiséget kezeli, vagy a tarifacsomagot a gyűjteménydíj-mintának megfelelőre módosítja.
- Az adatgyűjtési arány naponta lesz kiszámítva, és a következő nap elején alaphelyzetbe áll. A gyűjtemény folytatási eseményét úgy is figyelheti, hogy riasztást hoz létre az "Adatgyűjtés folytatása" műveleteseményen.
Művelet: Betöltési sebesség
"Az adatbetöltési kötetsebesség átlépte a munkaterület küszöbértékét: {0:0.00} MB/perc, és az adatok elvetése megtörtént."
Javasolt műveletek:
- Ellenőrizze a
_LogOperationtáblában, hogy van-e betöltési sebesség eseménye:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Ingestion rate"A rendszer hat óránként küld egy eseményt a munkaterület Műveleti táblájának, miközben a küszöbérték továbbra is meghaladja a küszöbértéket. - Hozzon létre egy riasztást a "Adatgyűjtés leállt" műveleteseményhez. Ez a riasztás értesíti, ha eléri a korlátot.
- A 100%-ot elérő betöltési arány elérésekor gyűjtött adatok elvesznek és elvesznek. A Workspace Insights panelen áttekintheti a használati mintákat, és megpróbálhatja csökkenteni őket.
További információ:
Művelet: Táblaoszlopok maximális száma
"A táblanév> típusú <adatok elvetve, mert az új mezők< száma> meghaladja az aktuális mezőszám korlátját az egyéni mezők adattípusonkénti korlátja <> felett."
Javasolt művelet: Egyéni táblák esetén áttérhet a lekérdezések adatainak elemzésére.
Művelet: Mezőtartalom ellenőrzése
"A következő mezők értékmezőjének táblanév> típusú <mezőneve> a megengedett maximális méretre lett vágva,< a mezőméretkorlát> bájtja.< Ennek megfelelően módosítsa a bemenetet."
A korlátméretnél nagyobb mezőket az Azure-naplók dolgozták fel. A mező az engedélyezett mezőkorlátra lett vágva. Nem javasoljuk, hogy az engedélyezett korlátnál nagyobb mezőket küldjön, mert az adatvesztéshez vezet.
Javasolt műveletek:
Ellenőrizze az érintett adattípus forrását:
- Ha az adatokat a HTTP Data Collector API-val küldi el, módosítania kell a kód\szkriptet az adatok felosztásához, mielőtt betöltené őket.
- A Log Analytics-ügynök által gyűjtött egyéni naplók esetében módosítsa az alkalmazás vagy eszköz naplózási beállításait.
- Bármilyen más adattípus esetén emelje ki a támogatási esetet. További információkért tekintse meg az Azure Monitor szolgáltatáskorlátait.
Adatgyűjtés
A következő szakasz az adatgyűjtésről nyújt tájékoztatást.
Művelet: Azure-tevékenységnapló-gyűjtemény
"Az előfizetéshez való hozzáférés elveszett. Győződjön meg arról, hogy az <előfizetés-azonosító> előfizetés a< Microsoft Entra-bérlő bérlőazonosítójában> található. Ha az előfizetést egy másik bérlőnek továbbítja, nincs hatással a szolgáltatásokra, de a bérlő adatainak propagálása akár egy órát is igénybe vehet."
Bizonyos esetekben, például ha egy előfizetést egy másik bérlőre helyez át, előfordulhat, hogy az Azure-tevékenységnaplók nem áramlanak a munkaterületre. Ilyen helyzetekben újra kell csatlakoztatnia az előfizetést a cikkben ismertetett folyamat után.
Javasolt műveletek:
- Ha a figyelmeztető üzenetben említett előfizetés már nem létezik, lépjen az Örökölt tevékenységnapló összekötő paneljére a Klasszikus területen. Válassza ki a megfelelő előfizetést, majd válassza a Leválasztás gombot.
- Ha már nincs hozzáférése a figyelmeztető üzenetben említett előfizetéshez:
- Az előfizetés leválasztásához kövesse az előző lépést.
- Ha folytatni szeretné a naplók gyűjtését ebből az előfizetésből, forduljon az előfizetés tulajdonosához az engedélyek kijavításához és a tevékenységnapló-gyűjtemény újbóli engedélyezéséhez.
- Hozzon létre egy diagnosztikai beállítást , amellyel a tevékenységnaplót elküldheti egy Log Analytics-munkaterületre.
Ügynök
Az alábbi szakasz az ügynökökkel kapcsolatos információkat tartalmazza.
Művelet: Linux-ügynök
"Két egymást követő konfigurációs alkalmazás az OMS-beállításokból nem sikerült."
A portál konfigurációs beállításai megváltoztak.
Javasolt művelet: Ez a probléma abban az esetben merül fel, ha az ügynök lekéri az új konfigurációs beállításokat. A probléma megoldásához telepítse újra az ügynököt.
Ellenőrizze az _LogOperation ügynökesemény tábláját:
_LogOperation | where TimeGenerated >= ago(6h) | where Category == "Agent" | where Operation == "Linux Agent" | distinct _ResourceId
A listában azok az erőforrás-azonosítók láthatók, ahol az ügynök konfigurációja nem megfelelő. A probléma megoldásához telepítse újra a felsorolt ügynököket.
Riasztási szabályok
Az Azure Monitor naplókeresési riasztásaival proaktív módon értesülhet, ha hibát észlel a Log Analytics-munkaterületen. Olyan stratégiát használjon, amely lehetővé teszi, hogy időben válaszoljon a problémákra, miközben minimalizálja a költségeket. Az előfizetése az Azure Monitor díjszabásában felsorolt riasztási szabályokért díjat számít fel.
Az ajánlott stratégia két riasztási szabálysal kezdődik a probléma szintje alapján. Használjon rövid gyakoriságot, például 5 percenként hibákat, és hosszabb gyakoriságot, például 24 órát figyelmeztetések esetén. Mivel a hibák potenciális adatvesztést jeleznek, gyorsan kell válaszolnia rájuk a veszteség minimalizálása érdekében. A figyelmeztetések általában olyan problémát jeleznek, amely nem igényel azonnali figyelmet, ezért naponta áttekintheti őket.
Használja a naplókeresési riasztások létrehozását, megtekintését és kezelését az Azure Monitor használatával a naplókeresési riasztási szabályok létrehozásához. Az alábbi szakaszok az egyes szabályok részleteit ismertetik.
| Lekérdezés | Küszöbérték | Időszak | Gyakoriság |
|---|---|---|---|
_LogOperation | where Level == "Error" |
0 | 5 | 5 |
_LogOperation | where Level == "Warning" |
0 | 1,440 | 1,440 |
Ezek a riasztási szabályok minden hibával vagy figyelmeztetéssel rendelkező műveletre ugyanúgy reagálnak. Ha jobban megismerkedik a riasztásokat létrehozó műveletekkel, előfordulhat, hogy másképpen szeretne reagálni az adott műveletekre. Előfordulhat például, hogy különböző személyeknek szeretne értesítéseket küldeni egy adott művelethez.
Ha riasztási szabályt szeretne létrehozni egy adott művelethez, használjon egy lekérdezést, amely tartalmazza a Kategória és a Művelet oszlopokat.
Az alábbi példa figyelmeztetést hoz létre, ha a betöltési mennyiség sebessége elérte a korlát 80 százalékát:
- Cél: A Log Analytics-munkaterület kiválasztása
- Kritérium:
- Jel neve: Egyéni naplókeresés
- Keresési lekérdezés:
_LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning" - Az eredmények száma alapján
- Feltétel: Nagyobb, mint
- Küszöbérték: 0
- Időtartam: 5 (perc)
- Gyakoriság: 5 (perc)
- Riasztási szabály neve: Elérte a napi adatkorlátot
- Súlyosság: Figyelmeztetés (Sev 1)
Az alábbi példa figyelmeztetést hoz létre, ha az adatgyűjtés elérte a napi korlátot:
- Cél: A Log Analytics-munkaterület kiválasztása
- Kritérium:
- Jel neve: Egyéni naplókeresés
- Keresési lekérdezés:
_LogOperation | where Category == "Ingestion" | where Operation == "Data collection Status" | where Level == "Warning" - Az eredmények száma alapján
- Feltétel: Nagyobb, mint
- Küszöbérték: 0
- Időtartam: 5 (perc)
- Gyakoriság: 5 (perc)
- Riasztási szabály neve: Elérte a napi adatkorlátot
- Súlyosság: Figyelmeztetés (Sev 1)
Következő lépések
- További információ a naplókeresési riasztásokról.
- Lekérdezésnaplózási adatok gyűjtése a munkaterülethez.