Linux-naplófájlok monitorozása a System Center Operations Managerben
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Megjegyzés
A System Center Operations Manager nem támogatja a fluentD-alapú naplófájlok monitorozását az OMS-ügynök 2024 augusztusára ütemezett kivonása után.
A System Center Operations Manager mostantól továbbfejlesztett naplófájl-figyelési képességekkel rendelkezik a Linux-kiszolgálókhoz a Fluentdet használó ügynök legújabb verziójával. Ez a frissítés a következő fejlesztéseket biztosítja a naplófájlok korábbi monitorozásához képest:
- A naplófájl nevének és elérési útjának helyettesítő karakterei.
- Új egyeztetési minták a testre szabható naplókereséshez, például egyszerű egyezéshez, kizárólagos egyezéshez, korrelált egyezéshez, ismétlődő korrelációhoz és kizárólagos korrelációhoz.
- A Fluentd közösség által közzétett általános Fluentd beépülő modulok támogatása.
Alapművelet
A naplófájlok linuxos monitorozásának alapművelete a következő lépéseket tartalmazza:
- A rendszer egy Linux-ügynök naplójába írja a rekordot.
- A Fluentd összegyűjti a rekordot, és létrehoz egy eseményt a mintaegyezés alapján.
- Az eseményt a rendszer elküldi a felügyeleti kiszolgáló OMED szolgáltatásának, és naplózza a felügyeleti kiszolgálón a System Center OMED szolgáltatás eseménynaplójába. (A System Center OMED szolgáltatás eseménynaplója csak akkor jön létre, ha egy Fluentd-ügynöktől sikeresen elküldtek egy eseményt)
- Az egyéni felügyeleti csomagok szabályai és figyelői eseményeket gyűjtenek, és riasztásokat hoznak létre az Operations Managerben.
A konfiguráció áttekintése
A naplófájlok Linux-ügynökökön való figyelésének engedélyezéséhez a következő lépések szükségesek. Az alábbi szakaszok részletesen ismertetik ezeket a lépéseket.
- Importálja a legújabb Linux felügyeleti csomagot.
- Telepítse a Linux-ügynök legújabb verzióját minden monitorozni kívánt Linux-számítógépre.
- Hozzon létre Fluentd konfigurációs fájlt a naplók gyűjtéséhez.
- A konfigurációs fájl másolása Linux-ügynökökre.
- Hozzon létre szabályokat és monitorokat a felügyeleti mintacsomag használatával, hogy eseményeket gyűjtsön a naplóból, és riasztásokat hozzon létre.
A Linux-ügynök legújabb verziójának telepítése
A Linux-ügynök legújabb verziója támogatja a Fluentdet, amely a naplófájlok továbbfejlesztett monitorozásához szükséges. Az új ügynök telepítésének részleteit és telepítési folyamatát az Ügynök telepítése UNIX-on és Linuxon című témakörben találja a parancssorból.
Linux-naplófájlok monitorozásának konfigurálása
A Linux felügyeleti csomag csomagja a legújabb Operations Manager-ügynökkel rendelkezik (Fluentd használatával). A Linux-naplófájlok monitorozásának konfigurálásához a felhasználóknak a következőket kell végrehajtaniuk:
- Importálja a legújabb Linux felügyeleti csomagot a felügyeleti csomagok telepítésének szabványos folyamatával.
- Telepítse az új Linux-ügynököt a Linux-kiszolgálókra. Ezt a felderítési varázslóval vagy manuálisan teheti meg.
- Engedélyezze az OMED szolgáltatást a Linux-ügynököket kezelő erőforráskészlet minden felügyeleti kiszolgálóján.
Az OMED szolgáltatás összegyűjti az eseményeket a Fluentdből, és Operations Manager-eseményekké alakítja őket. A felhasználóknak egyéni felügyeleti csomagot kell importálni, amely riasztásokat hozhat létre a Linux-kiszolgálóktól kapott események alapján.
Az OMED szolgáltatást az operatív konzolról vagy manuálisan engedélyezheti a felügyeleti kiszolgálón vagy az átjárókiszolgálón.
Az operatív konzolról
- Az operatív konzolon lépjen azOperations Manager>felügyeleti kiszolgálófelügyeleti>kiszolgálói állapotánakfigyelése> elemre.
- Válassza ki a felügyeleti kiszolgálót a Felügyeleti kiszolgálók állapota panelen.
- A Feladatok panelen válassza az Állapotszolgáltatás-feladatok>System Center OMED-kiszolgáló engedélyezése lehetőséget.
Manuálisan
- Válassza a Start gombot, a Keresés indítása mezőbe írja be a services.msc kifejezést, majd nyomja le az Enter billentyűt.
- A részletek ablaktáblán kattintson a jobb gombbal a System Center Operations Manager External DataSource Service szolgáltatásra, és válassza a Tulajdonságok lehetőséget.
- Az Általános lap Indítás típusa területén válassza az Automatikus lehetőséget, majd kattintson az OK gombra.
- A részletek ablaktáblán kattintson a jobb gombbal a szolgáltatásra, és válassza a Start gombot.
FluentD konfigurációs fájl létrehozása
Konfigurálja a Fluentd-műveletet egy konfigurációs fájllal. A naplómonitorozáshoz létre kell hoznia egy konfigurációs fájlt, amely olyan információkat tartalmaz, mint a forrás naplófájl neve, az elérési út és a szűrők, amelyek meghatározzák, hogy mely adatokat kell összegyűjteni.
Az omsagent.conf fő Fluentd konfigurációs fájl az /etc/opt/microsoft/omsagent/scom/conf/ helyen található. A naplófájl monitorozási konfigurációját közvetlenül is hozzáadhatja ehhez a fájlhoz, de külön konfigurációs fájlt kell létrehoznia a különböző beállítások jobb kezelése érdekében. Ezután egy @include direktívát használ a master fájlban az egyéni fájl belefoglalásához.
Ha például a logmonitoring.conf fájlt az /etc/opt/microsoft/omsagent/scom/conf/omsagent.d fájlban hozta létre, a fluent.conf fájlhoz a következő sorok egyikét kell hozzáadnia:
#Include all configuration files
@include omsagent.d/*.conf
vagy
#include single configuration file
@include omsagent.d/logmonitoring.conf
A Fluentd konfigurációs fájljaival kapcsolatos részleteket a Fluentd konfigurációs fájlszintaxisában találja. A következő szakaszok a konfigurációs fájl különböző irányelveinek beállításait ismertetik, a naplófájlok figyelésének egyediségével. Mindegyik tartalmaz mintabeállításokat, amelyeket beilleszthet egy konfigurációs fájlba, és módosíthatja a követelményeket.
A naplómonitorozáshoz rendelkezésre áll egy teljes mintakonfigurációs fájl , amelyet a saját létrehozása előtt áttekinthet és kiértékelhet.
Forrás
A Forrás irányelv határozza meg a gyűjtött adatok forrását. Itt határozhatja meg a naplófájl részleteit. A Fluentd felveszi a forráshoz írt összes rekordot, és elküld egy eseményt a Fluentd útválasztási motorjába. Ebben az irányelvben meg kell adnia egy címkét. A címke egy sztring, amely a Fluentd belső útválasztási motorjának irányaként szolgál a különböző irányelvek korrelálásához.
Ez a példa az Operations Manager által feldolgozásra gyűjtött és címkézett syslog-rekordokat mutatja be.
<source>
# Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
type tail
# Specify the log file path. Supports wild cards.
path /var/log/syslog
# Recommended so that Fluentd will record the position it last read into this file.
pos_file /home/user1/fluent-test/demo_syslog.log.pos
# Used to correlate the directives.
tag scom.log.syslog
format /(?<message>.*)/
</source>
Match
A találati direktíva határozza meg, hogyan kell feldolgozni a forrásból gyűjtött eseményeket egyező címkékkel. A rendszer csak a mintának megfelelő címkével rendelkező eseményeket küldi el a kimeneti célhelyre. Ha több minta szerepel egy egyezéscímkében , az események bármelyik felsorolt mintával egyezhetnek. A típusparaméter , amely meghatározza, hogy melyik beépülő modult használja ezekhez az eseményekhez.
Ez a példa scom.log megfelelő címkékkel dolgozza fel az eseményeket .** és scom.alert (** nulla vagy több címkerésznek felel meg). Megadja a out_scom beépülő modult, amely lehetővé teszi az események gyűjtését az Operations Manager felügyeleti csomagban.
<match scom.log.** scom.event>
# Output plugin to use
type out_scom
log_level trace
num_threads 5
# Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the
queue and bottom chunk is written out.
buffer_chunk_limit 5m
flush_interval 15s
# Specifies the buffer plugin to use.
buffer_type file
# Specifies the file path for buffer. Fluentd must have write access to this directory.
buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer
# If queue length exceeds the specified limit, events are rejected.
buffer_queue_limit 10
# Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
buffer_queue_full_action drop_oldest_chunk
# Number of times Fluentd will attempt to write the chunk if it fails.
retry_limit 10
# If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
retry_wait 30s
# The retry wait time doubles each time until max_retry_wait.
max_retry_wait 9m
</match>
Megjegyzés
A Fluentd-kommunikációt használó Linux rendszerű gépek kiszolgálói hitelesítésének letiltásához adjon hozzá egy hamis enable_server_auth paramétert a Fluentd SCOM out beépülő modulhoz, például a következőket:
<match scom.log.** scom.event>
type out_scom
max_retry_wait 9m
enable_server_auth false
</match>
Szűrő
A szűrőirányelv szintaxisa megegyezik az egyezés szintaxisával, de összetettebb szűrést tesz lehetővé, hogy mely adatokat dolgozza fel. Az összegyűjtött eseményeknek meg kell egyezniük a kimenethez hozzáadandó összes szűrő feltételével.
Itt hat szűrő beépülő modult ismertetünk a naplófájlok monitorozásához. Ezen szűrők közül egy vagy több használatával meghatározhatja a naplófájlból összegyűjtendő eseményeket.
Egyszerű egyezés: filter_scom_simple_match
Legfeljebb 20 bemeneti mintát vesz igénybe. Eseményt küld az Operations Managernek, ha bármilyen minta megfelel.
<filter tag>
type filter_scom_simple_match
regexp1 <key> <pattern>
event_id1 <event ID>
regexp2 <key> <pattern>
event_id2 <event ID>
.
.
.
regexp20 <key> <pattern>
event_id20 <event ID>
</filter>
Exkluzív mérkőzés: filter_scom_excl_match
Két bemeneti mintát vesz fel. Eseményt küld az Operations Managernek, ha egyetlen rekord megegyezik az 1. mintával, de nem egyezik a 2. mintával.
<filter tag>
type filter_scom_excl_match
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
</filter>
Ismétlődő korreláció: filter_scom_repeated_cor
Három bemenetet vesz fel: egy mintát, egy időintervallumot és számos előfordulást. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha a minta megegyezik az időzítő vége előtt megadott számú alkalommal.
<filter tag>
type filter_scom_repeated_cor
regexp <key> <pattern>
event_id <event ID>
time_interval <interval in seconds>
num_occurences <number of occurrences>
</filter>
Korrelált egyezés: filter_scom_cor_match
Három bemenetet vesz fel: két mintát és egy időintervallumot. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha az időzítő vége előtt megegyezik a második mintával.
<filter tag>
type filter_scom_cor_match
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
time_interval <interval in seconds>
</filter>
Kizárólagos korreláció: filter_scom_excl_correlation
Három bemenetet vesz fel: két mintát és egy időintervallumot. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha nincs egyezés a második mintával az időzítő vége előtt.
<filter tag>
type filter_scom_excl_correlation
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
time_interval <interval in seconds>
</filter>
Operations Manager-konverter: filter_scom_converter
Eseményt küld az Operations Managernek az összes kapott rekordhoz. Elküldi a megadott eseményazonosítót és -leírást az esemény részeként.
<filter tag>
type filter_scom_converter
event_id <event ID>
event_desc <event description>
</filter>
Konfigurációs fájl másolása az ügynökbe
A fluentd konfigurációs fájlt minden figyelni kívánt Linux-számítógépen át kell másolni az /etc/opt/microsoft/omsagent/scom/conf/omsagent.d fájlba. A fenti módon hozzá kell adnia egy @include direktívát is a fő konfigurációs fájlhoz.
Szabályok és figyelők létrehozása
A Linux mp nem biztosít modulokat az események FluentD-ből való gyűjtéséhez. A Linux MP a Linux-ügynökkel van csomagolva. Ez a Linux-ügynök fluentd modulja, valamint a felügyeleti és átjárókiszolgálón futó OMED szolgáltatás, amely biztosítja a bővített naplófájl-figyelési képességeket.
Létre kell hoznia egy saját felügyeleti csomagot egyéni szabályokkal és monitorokkal, amelyek a Microsoft.Linux.OMED.EventDataSource modult használják, amely összegyűjti az eseményeket a Fluentdből.
Az alábbi táblázat a Microsoft.Linux.OMED.EventDataSource paramétereit sorolja fel.
Paraméter | Típus | Description |
---|---|---|
ComputerName | Sztring | Kötelező. Annak a Linux-számítógépnek a nevét adja meg, amelynek az eseményeit be szeretné olvasni. A ComputerName paramétert általában a $Target jelöléssel továbbítja a modulnak, bár bármilyen sztringként megadható. Ez a modul megpróbálja beolvasni az adott Linux-számítógép által létrehozott eseményeket. |
ManagedEntityId | Sztring | Kötelező. A figyelt entitás felügyelt entitásazonosítóját adja meg. A ManagedEntityId paramétert leggyakrabban a $Target\Id$ használatával továbbítja a modulnak. |
EventNumber | Egész szám | Választható. A lekérni kívánt esemény eseményszámát jelzi. Ha ez a beállítás nincs megadva, a modul az adott számítógéphez és felügyelt entitáshoz létrehozott összes eseményt visszaadja. |
A konfiguráció áttekintése
A naplófájlok Linux-ügynökökön való figyelésének engedélyezéséhez a következő lépések szükségesek. Az alábbi szakaszok részletesen ismertetik ezeket a lépéseket.
- Importálja a legújabb Linux felügyeleti csomagot.
- Telepítse a Linux-ügynök legújabb verzióját minden monitorozni kívánt Linux-számítógépre.
- Hozzon létre Fluentd konfigurációs fájlt a naplók gyűjtéséhez.
- A konfigurációs fájl másolása Linux-ügynökökre.
- Hozzon létre szabályokat és monitorokat a felügyeleti mintacsomag használatával, hogy eseményeket gyűjtsön a naplóból, és riasztásokat hozzon létre.
A Linux-ügynök legújabb verziójának telepítése
A Linux-ügynök legújabb verziója támogatja a Fluentdet, amely a naplófájlok továbbfejlesztett monitorozásához szükséges. Az új ügynök telepítésének részleteit és telepítési folyamatát az Ügynök telepítése UNIX-on és Linuxon című témakörben találja a parancssorból.
Linux-naplófájlok monitorozásának konfigurálása
A Linux felügyeleti csomag csomagja a legújabb Operations Manager-ügynökkel rendelkezik (Fluentd használatával). A Linux-naplófájlok monitorozásának konfigurálásához a felhasználóknak a következőket kell végrehajtaniuk:
- Importálja a legújabb Linux felügyeleti csomagot a felügyeleti csomagok telepítésének szabványos folyamatával.
- Telepítse az új Linux-ügynököt a Linux-kiszolgálókra. Ezt a felderítési varázslóval vagy manuálisan teheti meg.
- Engedélyezze az OMED szolgáltatást a Linux-ügynököket kezelő erőforráskészlet minden felügyeleti kiszolgálóján.
Az OMED szolgáltatás összegyűjti az eseményeket a Fluentdből, és Operations Manager-eseményekké alakítja őket. A felhasználóknak egyéni felügyeleti csomagot kell importálni, amely riasztásokat hozhat létre a Linux-kiszolgálóktól kapott események alapján.
Az OMED szolgáltatást az operatív konzolról vagy manuálisan engedélyezheti a felügyeleti kiszolgálón vagy az átjárókiszolgálón.
Az operatív konzolról
- Az operatív konzolon lépjen azOperations Manager>felügyeleti kiszolgálófelügyeleti>kiszolgálói állapotánakfigyelése> elemre.
- Válassza ki a felügyeleti kiszolgálót a Felügyeleti kiszolgálók állapota panelen.
- A Feladatok panelen válassza az Állapotszolgáltatás-feladatok>System Center OMED-kiszolgáló engedélyezése lehetőséget.
Manuálisan
- Válassza a Start gombot, a Keresés indítása mezőbe írja be a services.msc kifejezést, majd nyomja le az Enter billentyűt.
- A részletek ablaktáblán kattintson a jobb gombbal a System Center Operations Manager External DataSource Service szolgáltatásra, és válassza a Tulajdonságok lehetőséget.
- Az Általános lap Indítás típusa területén válassza az Automatikus lehetőséget, majd kattintson az OK gombra.
- A részletek ablaktáblán kattintson a jobb gombbal a szolgáltatásra, és válassza a Start gombot.
FluentD konfigurációs fájl létrehozása
Konfigurálja a Fluentd-műveletet egy konfigurációs fájllal. A naplómonitorozáshoz létre kell hoznia egy konfigurációs fájlt, amely olyan információkat tartalmaz, mint a forrás naplófájl neve, az elérési út és a szűrők, amelyek meghatározzák, hogy mely adatokat kell összegyűjteni.
Az omsagent.conf fő Fluentd konfigurációs fájl az /etc/opt/microsoft/omsagent/scom/conf/ helyen található. A naplófájl monitorozási konfigurációját közvetlenül is hozzáadhatja ehhez a fájlhoz, de külön konfigurációs fájlt kell létrehoznia a különböző beállítások jobb kezelése érdekében. Ezután egy @include direktívát használ a master fájlban az egyéni fájl belefoglalásához.
Ha például a logmonitoring.conf fájlt az /etc/opt/microsoft/omsagent/scom/conf/omsagent.d fájlban hozta létre, a fluent.conf fájlhoz a következő sorok egyikét kell hozzáadnia:
#Include all configuration files
@include omsagent.d/*.conf
vagy
#include single configuration file
@include omsagent.d/logmonitoring.conf
A Fluentd konfigurációs fájljaival kapcsolatos részleteket a Fluentd konfigurációs fájlszintaxisában találja. A következő szakaszok a konfigurációs fájl különböző irányelveinek beállításait ismertetik, a naplófájlok figyelésének egyediségével. Mindegyik tartalmaz mintabeállításokat, amelyeket beilleszthet egy konfigurációs fájlba, és módosíthatja a követelményeket.
A naplómonitorozáshoz rendelkezésre áll egy teljes mintakonfigurációs fájl , amelyet a saját létrehozása előtt áttekinthet és kiértékelhet.
Forrás
A Forrás irányelv határozza meg a gyűjtött adatok forrását. Itt határozhatja meg a naplófájl részleteit. A Fluentd felveszi a forráshoz írt összes rekordot, és elküld egy eseményt a Fluentd útválasztási motorjába. Ebben az irányelvben meg kell adnia egy címkét. A címke egy sztring, amely a Fluentd belső útválasztási motorjának irányaként szolgál a különböző irányelvek korrelálásához.
Ez a példa az Operations Manager által feldolgozásra gyűjtött és címkézett syslog-rekordokat mutatja be.
<source>
# Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
type tail
# Specify the log file path. Supports wild cards.
path /var/log/syslog
# Recommended so that Fluentd will record the position it last read into this file.
pos_file /home/user1/fluent-test/demo_syslog.log.pos
# Used to correlate the directives.
tag scom.log.syslog
format /(?<message>.*)/
</source>
Match
A találati direktíva határozza meg, hogyan kell feldolgozni a forrásból gyűjtött eseményeket egyező címkékkel. A rendszer csak a mintának megfelelő címkével rendelkező eseményeket küldi el a kimeneti célhelyre. Ha több minta szerepel egy egyezéscímkében , az események bármelyik felsorolt mintával egyezhetnek. A típusparaméter , amely meghatározza, hogy melyik beépülő modult használja ezekhez az eseményekhez.
Ez a példa scom.log megfelelő címkékkel dolgozza fel az eseményeket .** és scom.alert (** nulla vagy több címkerésznek felel meg). Megadja a out_scom beépülő modult, amely lehetővé teszi az események gyűjtését az Operations Manager felügyeleti csomagban.
<match scom.log.** scom.event>
# Output plugin to use
type out_scom
log_level trace
num_threads 5
# Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the
queue and bottom chunk is written out.
buffer_chunk_limit 5m
flush_interval 15s
# Specifies the buffer plugin to use.
buffer_type file
# Specifies the file path for buffer. Fluentd must have write access to this directory.
buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer
# If queue length exceeds the specified limit, events are rejected.
buffer_queue_limit 10
# Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
buffer_queue_full_action drop_oldest_chunk
# Number of times Fluentd will attempt to write the chunk if it fails.
retry_limit 10
# If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
retry_wait 30s
# The retry wait time doubles each time until max_retry_wait.
max_retry_wait 9m
</match>
Megjegyzés
A Fluentd-kommunikációt használó Linux rendszerű gépek kiszolgálói hitelesítésének letiltásához adjon hozzá egy hamis enable_server_auth paramétert a Fluentd SCOM out beépülő modulhoz, például a következőket:
<match scom.log.** scom.event>
type out_scom
max_retry_wait 9m
enable_server_auth false
</match>
Szűrő
A szűrőirányelv szintaxisa megegyezik az egyezés szintaxisával, de összetettebb szűrést tesz lehetővé, hogy mely adatokat dolgozza fel. Az összegyűjtött eseményeknek meg kell egyezniük a kimenethez hozzáadandó összes szűrő feltételével.
Itt hat szűrő beépülő modult ismertetünk a naplófájlok monitorozásához. Ezen szűrők közül egy vagy több használatával meghatározhatja a naplófájlból összegyűjtendő eseményeket.
Egyszerű egyezés: filter_scom_simple_match
Legfeljebb 20 bemeneti mintát vesz igénybe. Eseményt küld az Operations Managernek, ha bármilyen minta megfelel.
<filter tag>
type filter_scom_simple_match
regexp1 <key> <pattern>
event_id1 <event ID>
regexp2 <key> <pattern>
event_id2 <event ID>
.
.
.
regexp20 <key> <pattern>
event_id20 <event ID>
</filter>
Exkluzív mérkőzés: filter_scom_excl_match
Két bemeneti mintát vesz fel. Eseményt küld az Operations Managernek, ha egyetlen rekord megegyezik az 1. mintával, de nem egyezik a 2. mintával.
<filter tag>
type filter_scom_excl_match
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
</filter>
Ismétlődő korreláció: filter_scom_repeated_cor
Három bemenetet vesz fel: egy mintát, egy időintervallumot és számos előfordulást. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha a minta megegyezik az időzítő vége előtt megadott számú alkalommal.
<filter tag>
type filter_scom_repeated_cor
regexp <key> <pattern>
event_id <event ID>
time_interval <interval in seconds>
num_occurences <number of occurrences>
</filter>
Korrelált egyezés: filter_scom_cor_match
Három bemenetet vesz fel: két mintát és egy időintervallumot. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha az időzítő vége előtt megegyezik a második mintával.
<filter tag>
type filter_scom_cor_match
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
time_interval <interval in seconds>
</filter>
Kizárólagos korreláció: filter_scom_excl_correlation
Három bemenetet vesz fel: két mintát és egy időintervallumot. Amikor egyezést talál az első mintához, elindul egy időzítő. A rendszer egy eseményt küld az Operations Managernek, ha nincs egyezés a második mintával az időzítő vége előtt.
<filter tag>
type filter_scom_excl_correlation
regexp1 <key> <pattern1>
regexp2 <key> <pattern2>
event_id <event ID>
time_interval <interval in seconds>
</filter>
Operations Manager-konverter: filter_scom_converter
Eseményt küld az Operations Managernek az összes kapott rekordhoz. Elküldi a megadott eseményazonosítót és -leírást az esemény részeként.
<filter tag>
type filter_scom_converter
event_id <event ID>
event_desc <event description>
</filter>
Konfigurációs fájl másolása az ügynökbe
A fluentd konfigurációs fájlt minden figyelni kívánt Linux-számítógépen át kell másolni az /etc/opt/microsoft/omsagent/scom/conf/omsagent.d fájlba. A fenti módon hozzá kell adnia egy @include direktívát is a fő konfigurációs fájlhoz.
Szabályok és figyelők létrehozása
A Linux mp nem biztosít modulokat az események FluentD-ből való gyűjtéséhez. A Linux MP a Linux-ügynökkel van csomagolva. Ez a Linux-ügynök fluentd modulja, valamint a felügyeleti és átjárókiszolgálón futó OMED szolgáltatás, amely biztosítja a bővített naplófájl-figyelési képességeket.
Létre kell hoznia egy saját felügyeleti csomagot egyéni szabályokkal és monitorokkal, amelyek a Microsoft.Linux.OMED.EventDataSource modult használják, amely összegyűjti az eseményeket a Fluentdből.
Az alábbi táblázat a Microsoft.Linux.OMED.EventDataSource paramétereit sorolja fel.
Paraméter | Típus | Description |
---|---|---|
ComputerName | Sztring | Kötelező. Annak a Linux-számítógépnek a nevét adja meg, amelynek az eseményeit be szeretné olvasni. A ComputerName paramétert általában a $Target jelöléssel továbbítja a modulnak, bár bármilyen sztringként megadható. Ez a modul megpróbálja beolvasni az adott Linux-számítógép által létrehozott eseményeket. |
ManagedEntityId | Sztring | Kötelező. A figyelt entitás felügyelt entitásazonosítóját adja meg. A ManagedEntityId paramétert leggyakrabban a $Target\Id$ használatával továbbítja a modulnak. |
EventNumber | Egész szám | Választható. A lekérni kívánt esemény eseményszámát jelzi. Ha ez a beállítás nincs megadva, a modul az adott számítógéphez és felügyelt entitáshoz létrehozott összes eseményt visszaadja. |
A konfiguráció áttekintése
A naplófájlok figyeléséhez a következő lépések szükségesek. A részletes információkat a következő szakaszokban találja:
- Importálja a Legújabb System Center Operations Manager 2019 Linux felügyeleti csomagot.
- Telepítse a Linux-ügynök legújabb verzióját minden monitorozni kívánt Linux-számítógépre.
- Telepítse a legújabb OMSAgentet minden monitorozni kívánt Linux-számítógépre.
- Hozzon létre Fluentd konfigurációs fájlt a naplók gyűjtéséhez.
- A konfigurációs fájl másolása Linux-ügynökökre.
- Hozzon létre szabályokat és monitorokat a felügyeleti mintacsomag használatával, hogy eseményeket gyűjtsön a naplóból, és riasztásokat hozzon létre.
- Importálja a legújabb System Center Operations Manager 2022 Linux felügyeleti csomagot.
- Telepítse a Linux-ügynök legújabb verzióját minden monitorozni kívánt Linux-számítógépre.
- Telepítse a legújabb OMSAgentet minden monitorozni kívánt Linux-számítógépre.
- Hozzon létre Fluentd konfigurációs fájlt a naplók gyűjtéséhez.
- A konfigurációs fájl másolása Linux-ügynökökre.
- Hozzon létre szabályokat és monitorokat a felügyeleti mintacsomag használatával, hogy eseményeket gyűjtsön a naplóból, és riasztásokat hozzon létre.
A naplófigyelési felügyeleti csomag telepítése
Telepítse a Microsoft.Linux.Log.Monitoring felügyeleti csomagot a Linux-naplófájlok monitorozásának engedélyezéséhez.
Megjegyzés
Ha konfigurálta az OMS-ügynököt, és megpróbálja eltávolítani a UNIX- és LINUX-ügynököt a konzolról, akkor az OMS-összetevő nem lesz eltávolítva az ügynökből.
Linux-naplófájlok monitorozásának konfigurálása
A Linux-naplófájlok monitorozásának konfigurálásához hajtsa végre a következő lépéseket:
Importálja a legújabb System Center Operations Manager 2019 Linux felügyeleti csomagot a felügyeleti csomagok telepítésének szabványos folyamatával.
Telepítse az új Linux-ügynököt manuálisan vagy [a Felderítés varázsló használatával](/system-center/System Center Operations Manager/manage-deploy-crossplat-agent-console).
Telepítse a legújabb OMSAgentet minden figyelni kívánt Linux-számítógépre. Az alábbi parancsokat használja:
# Download latest OMS Agent from GitHub wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard_agent.sh # Run onboarding script sh onboard_agent.sh
Hajtsa végre a következő lépéseket a Linux-ügynökön:
Importálja a legújabb System Center Operations Manager 2022 Linux felügyeleti csomagot a felügyeleti csomagok telepítésének szabványos folyamatával.
Telepítse az új Linux-ügynököt manuálisan vagy [a Felderítés varázsló használatával](/system-center/System Center Operations Manager/manage-deploy-crossplat-agent-console).
Telepítse a legújabb OMSAgentet minden figyelni kívánt Linux-számítógépre. Az alábbi parancsokat használja:
# Download latest OMS Agent from GitHub wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard_agent.sh # Run onboarding script sh onboard_agent.sh
Hajtsa végre a következő lépéseket a Linux-ügynökön:
Hozza létre a mappákat az alábbi elérési utakon az alábbi parancsokkal:
# Create omsagent.d folder mkdir -p /etc/opt/microsoft/omsagent/scom/conf/omsagent.d # Create certs folder mkdir /etc/opt/microsoft/omsagent/scom/certs # Create log folder mkdir -p /var/opt/microsoft/omsagent/scom/log # Create run folder mkdir /var/opt/microsoft/omsagent/scom/run # Create state folder mkdir /var/opt/microsoft/omsagent/scom/state # Create tmp folder mkdir /var/opt/microsoft/omsagent/scom/tmp # Create fluent-logging folder (used for log file position file, this location is flexible) mkdir -p /home/omsagent/fluent-logging
A fenti mappák tulajdonjogát állítsa a következőre
omsagent:omiusers
:# Change owner of System Center Operations Manager folder chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom # Change owner of log folder chown omsagent:omiusers /var/opt/microsoft/omsagent/scom/log # Change owner of run folder chown omsagent:omiusers /var/opt/microsoft/omsagent/scom/run # Change owner of state folder chown omsagent:omiusers /var/opt/microsoft/omsagent/scom/state # Change owner of tmp folder chown omsagent:omiusers /var/opt/microsoft/omsagent/scom/tmp # Change owner of fluent-logging folder (used for log file position file, this location is flexible) chown omsagent:omiusers /home/omsagent/fluent-logging
omsagent- és omsconfig-fájlok létrehozása:
# Create omsadmin.conf file touch /etc/opt/microsoft/omsagent/scom/conf/omsadmin.conf # Create omsagent.conf file touch /etc/opt/microsoft/omsagent/scom/conf/omsagent.conf
A fenti fájlok tulajdonjogát állítsa a következőre
omsagent:omiusers
:# Change owner of omsadmin.conf file chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/conf/omsadmin.conf # Change owner of omsagent.conf file chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/conf/omsagent.conf
Szerkessze a fájlt
/etc/opt/microsoft/omsagent/scom/conf/omsadmin.conf
, és adja hozzá a következő információkat a kiemelt információk módosítása után.WORKSPACE_ID=scom System Center Operations Manager_ENDPOINT=https://<mark>\<MSFQDN\></mark>:8886 MONITORING_ID={274F8D7B-DBCA-8FC3-1451-8DCD55092156}
Indítsa újra az OMSAgentet:
/opt/microsoft/omsagent/bin/service_control restart
Ellenőrizze az állapotot az omsagent naplóban:
tail -100 /var/opt/microsoft/omsagent/scom/log/omsagent.log
Az OMED szolgáltatás engedélyezése
Engedélyezze az OMED szolgáltatást az erőforráskészlet minden felügyeleti kiszolgálóján, és kezelje a Linux-ügynököket.
Az OMED szolgáltatás összegyűjti az eseményeket a Fluentdből, és Operations Manager-eseményekké alakítja őket. Importálhat egy egyéni felügyeleti csomagot, amely riasztásokat hozhat létre a Linux-kiszolgálókról érkező események alapján.
Az OMED szolgáltatást az operatív konzolon, vagy manuálisan is engedélyezheti a felügyeleti kiszolgálón vagy az átjárókiszolgálón.
- Az OMED szolgáltatás engedélyezése az operatív konzolról
- Az OMED szolgáltatás manuális engedélyezése
- Az operatív konzolon lépjen a Monitoring Operations Manager Management Server Management Servers State ( Az>Operations Manager>felügyeleti kiszolgálóinak>állapota) elemre.
- Válassza ki a felügyeleti kiszolgálót a Felügyeleti kiszolgálók állapotban.
- A Feladatok területen válassza az Állapotszolgáltatás-feladatok>A System Center OMED-kiszolgáló engedélyezése lehetőséget.
OMED tűzfalszabály hozzáadása
Az OMED tűzfalszabály engedélyezéséhez két lehetőség közül választhat: adja hozzá automatikusan a portot (TCP/8886) a PowerShellen keresztül vagy manuálisan.
Az alábbi lépéseket követve automatikusan hozzáadhat szabályt a PowerShell-lel:
A következő paranccsal automatikusan hozzáadhatja a tűzfalszabályt:
Set-NetFirewallRule -DisplayName "System Center Operations Manager External DataSource Service" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8886
Ügyféltanúsítvány hozzárendelése az OMSAgenthez
Az OMSAgent ügyféltanúsítványának hozzárendeléséhez két lehetősége van.
- Hivatkozás az OMI-ügynök aláírt tanúsítványára.
- Hozzon létre manuálisan egy ügyféltanúsítványt az OMS-ügynökhöz.
Válassza a szükséges lapot az aláírt tanúsítványhoz az OMI-ügynökből való csatoláshoz, vagy hozzon létre manuálisan egy ügyféltanúsítványt az OMS-ügynökből:
- OMI-ügynök tanúsítványának csatolása az OMS-ügynökhöz
- Ügyféltanúsítvány létrehozása az OMS-ügynökhöz
Állítsa be a tulajdonjogot a és
omikey.pem
aomi.pem
fájlban a következőreomsagent:omiusers
:# Change owner of System Center Operations Manager-cert.pem file chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pem # Change owner of System Center Operations Manager-key.pem file chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-key.pem
Futtassa a következő parancsot a Linux-gépen az OMS-ügynök ügyféltanúsítványának OMI-tanúsítványra (Operations Manager Linux-ügynöktanúsítvány) való beállításához:
# Link file omi.pem to System Center Operations Manager-cert.pem ln -s /etc/opt/omi/ssl/omi.pem /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pem # Link file omikey.pem to System Center Operations Manager-key.pem ln -s /etc/opt/omi/ssl/omikey.pem /etc/opt/microsoft/omsagent/scom/certs/scom-key.pem
Fluentd konfigurációs fájl létrehozása
Konfigurálja a Fluentd-műveletet egy konfigurációs fájl használatával. A naplófigyelés használatához létre kell hoznia egy konfigurációs fájlt. A konfigurációs fájl olyan információkat tartalmaz, mint a forrás naplófájljának neve, elérési útja és szűrői az összegyűjtendő adatok meghatározásához.
Az omsagent.conf fő Fluentd konfigurációs fájlja a következő helyen /etc/opt/microsoft/omsagent/scom/conf/
található: . A naplófájl monitorozási konfigurációját közvetlenül is hozzáadhatja ehhez a fájlhoz, de külön konfigurációs fájlt kell létrehoznia a különböző beállítások jobb kezeléséhez. Ezután a mesterfájlban egy @include direktívát használ az egyéni fájl belefoglalásához.
Ha például létrehozta a logmonitoring.conf/etc/opt/microsoft/omsagent/scom/conf/omsagent.d
fájlt, az alábbi sorok egyikét adja hozzá az omsagent.d fájlhoz:
# Include all configuration files
@include omsagent.d/*.conf
vagy
# Include single configuration file
@include omsagent.d/logmonitoring.conf
A Fluentd konfigurációs fájljaival kapcsolatos további információkért lásd: Fluentd Configuration fájlszintaxis.
Az alábbi szakaszok a konfigurációs fájl különböző irányelveinek olyan beállításait ismertetik, amelyek egyediek a naplófájlok figyelésére. Mindegyik tartalmazza a mintabeállításokat, amelyeket beilleszthet egy konfigurációs fájlba, és módosíthatja a követelményeket.
A naplómonitorozáshoz rendelkezésre áll egy teljes mintakonfigurációs fájl , amelyet a saját létrehozása előtt áttekinthet és kiértékelhet.
Forrás
A Forrás irányelv határozza meg a begyűjtött adatok forrását, ahol a naplófájl részleteit határozza meg. A Fluentd felveszi a forráshoz írt összes rekordot, és elküld egy eseményt a Fluentd útválasztási motorjába. Itt adja meg a címkét ebben az irányelvben. A címke egy sztring, amely a Fluentd belső útválasztási motorjának irányaként szolgál a különböző irányelvek korrelálásához.
Az alábbi példa az Operations Manager által feldolgozásra gyűjtött és címkézett syslog-rekordokat mutatja be.
<source>
# Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in\_tail
type tail
# Specify the log file path. Supports wild cards.
path /var/log/syslog
# Recommended so that Fluentd will record the position it last read into this file.
pos_file /home/user1/fluent-test/demo_syslog.log.pos
# Used to correlate the directives.
tag System Center Operations Manager.log.syslog
format /(?<message>.*)/
</source>
Szűrő
A szűrőirányelv szintaxisa megegyezik az Egyezés szintaxissal, de összetettebb szűrést tesz lehetővé, amelyből az adatok feldolgozhatóak. Az összegyűjtött eseményeknek meg kell egyezniük a kimenethez hozzáadandó összes szűrő feltételével.
Itt hat szűrő beépülő modult talál a naplófájlok figyeléséhez. Ezek közül a szűrők közül egy vagy több használatával definiálhatja a naplófájlból összegyűjteni kívánt eseményeket.
- Egyszerű egyeztetés: filter_System Center Operations Manager_simple_match
- Exkluzív egyezés: filter_System Center Operations Manager_excl_match
- Ismétlődő korreláció: filter_System Center Operations Manager_repeated_cor
- Korrelált egyezés: filter_System Center Operations Manager_cor_match
- Kizárólagos korreláció: filter_System Center Operations Manager_excl_correlation
- Operations Manager-konverter: filter_System Center Operations Manager_converter
Válassza ki a szükséges lapot a megfelelő szűrő beépülő modul kódjának másolásához:
- Egyszerű egyezés
- Exkluzív egyezés
- Ismétlődő korreláció
- Korrelált egyezés
- Kizárólagos korreláció
- Operations Manager-konverter
Akár 20 bemeneti mintát is igénybe vehet. Eseményt küld az Operations Managernek, amikor bármilyen minta megfelel.
<filter tag>
type filter_System Center Operations Manager_simple_match
regexp1 <key> <pattern>
event_id1 <event ID>
regexp2 <key> <pattern>
event_id2 <event ID>
.
.
.
regexp20 <key> <pattern>
event_id20 <event ID>
</filter>
Match
A egyeztetési irányelv meghatározza, hogyan lehet feldolgozni a forrásból gyűjtött eseményeket egyező címkékkel. A rendszer csak a mintának megfelelő címkével rendelkező eseményeket küldi el a kimeneti célhelyre. Ha több minta szerepel egy egyezés címkén belül, az események bármelyik felsorolt mintával megegyezhetnek. A típusparaméter meghatározza, hogy milyen típusú beépülő modult használjon ezekhez az eseményekhez.
Ez a példa a System Center Operations Manager.log megfelelő címkékkel dolgozza fel az eseményeket. ** és a System Center Operations Manager.alert (** nulla vagy több címkerésznek felel meg). Meghatározza a out_System Center Operations Manager beépülő modult, amely lehetővé teszi, hogy az eseményeket az Operations Manager felügyeleti csomagja gyűjtse össze.
<match System Center Operations Manager.log.** System Center Operations Manager.event>
# Output plugin to use
type out_System Center Operations Manager
log_level trace
num_threads 5
# Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the
queue and bottom chunk is written out.
buffer_chunk_limit 5m
flush_interval 15s
# Specifies the buffer plugin to use.
buffer_type file
# Specifies the file path for buffer. Fluentd must have write access to this directory.
buffer_path /var/opt/microsoft/omsagent/scom/state/out_System Center Operations Manager_common*.buffer
# If queue length exceeds the specified limit, events are rejected.
buffer_queue_limit 10
# Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
buffer_queue_full_action drop_oldest_chunk
# Number of times Fluentd will attempt to write the chunk if it fails.
retry_limit 10
# If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
retry_wait 30s
# The retry wait time doubles each time until max_retry_wait.
max_retry_wait 9m
</match>
Megjegyzés
Ha le szeretné tiltani a Kiszolgálóhitelesítést a Fluentd-kommunikációt használó Linux-számítógépeken, adjon hozzá egy hamis enable_server_auth paramétert a Fluentd Operations Manager beépülő modulhoz, például a következőket:
<match System Center Operations Manager.log.** System Center Operations Manager.event>
type out_System Center Operations Manager
max_retry_wait 9m
enable_server_auth false
</match>
Konfigurációs fájl másolása az ügynökbe
A Fluentd konfigurációs fájlt minden figyelni kívánt Linux-számítógépen át kell másolni a /etc/opt/microsoft/omsagent/scom/conf/omsagent.d fájlba. A fő konfigurációs fájlban is hozzá kell adnia egy @include direktívát a fent leírt módon.
Az omsagent újraindítása
Az omsagent újraindításához futtassa a következő parancsot:
/opt/microsoft/omsagent/bin/service_control restart
A System Center Operations Manager-munkaterület állapotának ellenőrzése
Futtassa a következő parancsot a System Center Operations Manager-munkaterület ellenőrzéséhez az OMSAgenten:
sh /opt/microsoft/omsagent/bin/omsadmin.sh -l
Megjegyzés
Az OMED szolgáltatást futtató felügyeleti kiszolgálón győződjön meg arról, hogy a tűzfal nyitva van a 8886-os porton, és hogy a köztes hitelesítésszolgáltatók tanúsítványtárolója csak köztes hitelesítésszolgáltatókat tartalmaz.
A System Center Operations Manager külső adatforrás-szolgáltatás eseménynaplója
A System Center OMED szolgáltatás eseménynaplója csak akkor jön létre, ha sikeresen elküld egy eseményt a System Center Operations Manager external DataSource Service (OMED) szolgáltatásnak.
Szabályok és figyelők létrehozása
A Linux felügyeleti csomag nem biztosít modulokat az események FluentD-ből való gyűjtéséhez, a Linux felügyeleti csomag a Linux-ügynökkel van csomagolva. Ez a Linux-ügynök fluentd modulja, valamint a felügyeleti és átjárókiszolgálón futó OMED szolgáltatás, amely biztosítja a bővített naplófájl-figyelési képességeket.
Létre kell hoznia egy saját felügyeleti csomagot egyéni szabályokkal és monitorokkal, amelyek a Microsoft.Linux.OMED.EventDataSource modult használják az események Fluentdből való gyűjtéséhez. Ne feledje, hogy a System Center OMED szolgáltatás eseménynaplójában küldött esemény számítógépnevének meg kell egyeznie a UNIX/Linux rendszerű számítógépek nézetben található gép nevével. Ha a számítógép neve nem egyezik meg, nem fog riasztást kapni.
Az alábbi táblázat a Microsoft.Linux.OMED.EventDataSource paramétereit sorolja fel.
Paraméter | Típus | Description |
---|---|---|
ComputerName | Sztring | Kötelező. Annak a Linux-számítógépnek a nevét adja meg, amelyhez eseményeket szeretne olvasni. A ComputerName paramétert általában a $Target jelöléssel továbbítja a modulnak, bár bármilyen sztringként megadható. Ez a modul megpróbálja beolvasni az adott Linux-számítógép által létrehozott eseményeket. |
ManagedEntityId | Sztring | Kötelező. A figyelt entitás felügyelt entitásazonosítóját adja meg. A ManagedEntityId paramétert leggyakrabban a $Target\Id$ használatával továbbítja a modulnak. |
EventNumber | Egész szám | Választható. A lekérni kívánt esemény eseményszámát jelzi. Ha ez a beállítás nincs megadva, a modul az adott számítógéphez és felügyelt entitáshoz létrehozott összes eseményt visszaadja. |
Következő lépések
Ha egyéni nézetet szeretne létrehozni az egyéni naplófájl felügyeleti csomagjának figyelési adatainak áttekintéséhez, olvassa el a Nézetek használata az Operations Managerben című cikket.
Az egyéni naplófájl-felügyeleti csomag által azonosított problémák kivizsgálásáról az Aktív riasztások és részletek megtekintése című témakörben olvashat.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: