Raccogliere i registri eventi del client della macchina virtuale
- 7 minuti
Le metriche di Azure Monitor e i contatori delle prestazioni degli approfondimenti della macchina virtuale aiutano a identificare le anomalie nelle prestazioni e inviano avvisi quando vengono raggiunte le soglie. Tuttavia, per analizzare le cause radice dei problemi rilevati, è necessario analizzare i dati di log per verificare quali eventi di sistema hanno causato o contribuito a causare i problemi. In questa unità, si configura un DCR per raccogliere i dati Syslog delle macchine virtuali Linux e si visualizzano i dati di log in Azure Monitor Log Analytics usando una semplice query in Kusto Query Language (KQL).
Informazioni dettagliate macchina virtuale installa l'agente di Monitoraggio di Azure e crea una regola di raccolta dati che raccoglie i contatori delle prestazioni predefiniti, esegue il mapping delle dipendenze dei processi e include i dati nelle cartelle di lavoro predefinite. È possibile creare i propri DCR per raccogliere i contatori delle prestazioni delle VM che il DCR di VM Insights non raccoglie, oppure per raccogliere i dati di log.
Quando si creano regole di raccolta dati nel portale di Azure, è possibile selezionare tra una gamma di contatori delle prestazioni e frequenze di campionamento oppure aggiungere contatori delle prestazioni personalizzati. In alternativa, è possibile selezionare un set predefinito di tipi di log e livelli di gravità o definire schemi di log personalizzati. È possibile associare una singola regola di raccolta dati a una macchina virtuale qualsiasi o a tutte le macchine virtuali nella sottoscrizione, ma potrebbero essere necessarie più regole di raccolta dati per raccogliere tipi di dati diversi da macchine virtuali diverse.
Creare una regola di raccolta dati per raccogliere i dati di log
Nel portale di Azure, cercare e selezionare Monitoraggio per passare alla pagina Panoramica di Monitoraggio di Azure.
Creare un endpoint di raccolta dati
È necessario che sia presente un endpoint di raccolta dati a cui inviare i dati di log. Per creare un endpoint:
- Nel menu di navigazione a sinistra di Azure Monitor, sotto Impostazioni, selezionare Endpoint di raccolta dati.
- Nella pagina Endpoint di raccolta dati selezionare Crea.
- Nella pagina Crea endpoint di raccolta dati in Nome immettere linux-logs-endpoint.
- Selezionare la sottoscrizione, il gruppo di risorse e l'area usati dalla macchina virtuale.
- Selezionare Verifica e crea e, quando la convalida ha esito positivo, selezionare Crea.
Creare una regola di raccolta dati
Per creare il DCR per raccogliere i log degli eventi:
Nel menu di spostamento a sinistra di Monitoraggio in Impostazioni selezionare Regole di raccolta dati.
Nella pagina Regole di raccolta dati, puoi vedere le DCR create da Analisi delle macchine virtuali. Selezionare Crea per creare una nuova regola di raccolta dati.
Nella scheda Informazioni di base della schermata Crea regola di raccolta dati specificare le informazioni seguenti:
- Nome regola: Immettere collect-events-linux.
- Sottoscrizione, Gruppo di risorse e Area: Selezionare gli stessi valori della macchina virtuale in uso.
- Tipo di piattaforma: Selezionare Linux.
Al termine, selezionare Avanti: Risorse o la scheda Risorse.
Nella schermata Risorse selezionare Aggiungi risorse.
Nella schermata Selezionare un ambito, selezionare la macchina virtuale monitored-linux-vm e quindi scegliere Applica.
Nella schermata Risorse selezionare Abilitare gli endpoint di raccolta dati.
In Endpoint di raccolta dati selezionare l'endpoint linux-logs-endpoint creato per monitored-linux-vm.
Al termine, selezionare Avanti: Raccogli e recapita oppure la scheda Raccogli e recapita.
Nella scheda Raccogli e recapita selezionare Aggiungi origine dati.
Nella schermata Aggiungi origine dati in Tipo di origine dati selezionare Syslog Linux.
Nella schermata Aggiungi origine dati selezionare Avanti: Destinazione o la scheda Destinazione e assicurarsi che il valore di Account o spazio dei nomi corrisponda a quello dell'area di lavoro di Log Analytics che si vuole usare. È possibile usare l'area di lavoro di Log Analytics predefinita configurata da VM Insights oppure usarne o crearne un'altra.
Nella schermata Aggiungi origine dati selezionare Aggiungi origine dati.
Nella schermata Crea regola di raccolta dati selezionare Rivedi e crea e selezionare Crea quando la convalida viene completata.
Visualizzare i dati dei log
È possibile visualizzare e analizzare i dati di log raccolti dalla regola di raccolta dati tramite una query di log KQL. Per le macchine virtuali è disponibile un set di query KQL di esempio, ma è possibile scrivere una query per recuperare gli eventi raccolti dalla regola di raccolta dati.
Nella pagina Panoramica della macchina virtuale, seleziona Log dal menu di navigazione a sinistra sotto Monitoraggio. Log Analytics apre una finestra di query vuota con l'ambito impostato sulla tua macchina virtuale.
È possibile accedere ai dati di log anche selezionando Log nel riquadro di spostamento a sinistra della pagina Panoramica di Monitoraggio di Azure. Se necessario, scegliere Selezionare ambito nella parte superiore della finestra di query per impostare l'ambito della query sulla macchina virtuale e sull'area di lavoro di Log Analytics desiderate.
Nota
Quando si apre Log Analytics, è possibile che venga visualizzata la finestra Query con query di esempio. Per il momento, chiudi questa finestra perché andrai a creare manualmente una semplice query.
Nella finestra di query vuota digitare Syslog e quindi selezionare Esegui. Sono visualizzati tutti gli eventi del registro di sistema raccolti dalla DCR nell'Intervallo di tempo.
È possibile perfezionare la query per identificare gli eventi desiderati. Ad esempio, è possibile visualizzare solo gli eventi che avevano un SeverityLevel di avviso.
