Gebeurtenislogboeken van VM-client verzamelen

  • 7 minuten

Metrische gegevens van Azure Monitor en prestatiemeteritems voor VM-inzichten helpen u prestatieafwijkingen en waarschuwingen te identificeren wanneer drempelwaarden worden bereikt. Maar als u de hoofdoorzaken wilt analyseren van problemen die u detecteert, moet u logboekgegevens analyseren om te zien welke systeem gebeurtenissen zijn veroorzaakt of bijgedragen aan de problemen. In deze les stelt u een regel voor gegevensverzameling (DCR) in voor het verzamelen van Syslog-gegevens voor Linux-VM's en bekijkt u de logboekgegevens in Azure Monitor Log Analytics met behulp van een eenvoudige KQL-query (Kusto-querytaal).

MET VM-inzichten wordt de Azure Monitor-agent geïnstalleerd en wordt een DCR gemaakt waarmee vooraf gedefinieerde prestatiemeteritems worden verzameld, procesafhankelijkheden worden toegewezen en de gegevens in vooraf gedefinieerde werkmappen worden weergegeven. U kunt uw eigen DCR's maken om prestatiemeteritems voor VM's te verzamelen die de VM Insights DCR niet verzamelt of om logboekgegevens te verzamelen.

Wanneer u DCR's maakt in Azure Portal, kunt u kiezen uit een reeks prestatiemeteritems en samplingfrequenties, of aangepaste prestatiemeteritems toevoegen. U kunt ook kiezen uit een vooraf gedefinieerde set logboektypen en ernstniveaus of aangepaste logboekschema's definiëren. U kunt één DCR koppelen aan een of alle VM's in uw abonnement, maar mogelijk hebt u meerdere DCR's nodig om verschillende typen gegevens van verschillende VM's te verzamelen.

Een DCR maken om logboekgegevens te verzamelen

Zoek en selecteer monitor in Azure Portal om naar de overzichtspagina van Azure Monitor te gaan.

Screenshot that shows the Azure Monitor Overview page.

Een eindpunt voor gegevensverzameling maken

U moet een eindpunt voor gegevensverzameling hebben om logboekgegevens naar te verzenden. Een eindpunt maken:

  1. Selecteer in het linkernavigatiemenu van Azure Monitor onder Instellingen gegevensverzamelingseindpunten.
  2. Selecteer Maken op de pagina Eindpunten voor gegevensverzameling.
  3. Voer op de pagina Eindpunt voor gegevensverzameling maken voor Naam het eindpunt linux-logs-eindpunt in.
  4. Selecteer hetzelfde abonnement, dezelfde resourcegroep en dezelfde regio als uw VM gebruikt.
  5. Selecteer Beoordelen en maken en wanneer de validatie is geslaagd, de optie Maken.

De regel voor gegevensverzameling maken

De DCR maken om de gebeurtenislogboeken te verzamelen:

  1. Selecteer in het linkernavigatiemenu Bewaken onder Instellingen regels voor gegevensverzameling.

  2. Op de pagina Regels voor gegevensverzameling ziet u de DCR die VM-inzichten hebben gemaakt. Selecteer Maken om een nieuwe regel voor gegevensverzameling te maken.

    Screenshot of the Data Collection Rules screen with Create highlighted.

  3. Geef op het tabblad Basis van het scherm Regel voor gegevensverzameling maken de volgende informatie op:

    • Regelnaam: Voer collect-events-linux in.
    • Abonnement, resourcegroep en regio: selecteer hetzelfde als voor uw VIRTUELE machine.
    • Platformtype: Selecteer Linux.

  4. Selecteer Volgende: Resources of het tabblad Resources .

    Screenshot of the Basics tab of the Create Data Collection Rule screen.

  5. Selecteer Resources toevoegen in het scherm Resources.

  6. Selecteer in het scherm Een bereik selecteren de bewaakte virtuele linux-VM en selecteer vervolgens Toepassen.

  7. Selecteer In het scherm Resources de optie Eindpunten voor gegevensverzameling inschakelen.

  8. Selecteer onder Eindpunt voor gegevensverzameling voor de bewaakte linux-vm het linux-logs-eindpunt dat u hebt gemaakt.

  9. Selecteer Volgende: Verzamelen en leveren, of het tabblad Verzamelen en leveren .

    Screenshot of the Resources tab of the Create Data Collection Rule screen.

  10. Selecteer Gegevensbron toevoegen op het tabblad Verzamelen en leveren.

  11. Selecteer Linux Syslog in het scherm Gegevensbron toevoegen onder Gegevensbrontype.

  12. Selecteer in het scherm Gegevensbron toevoegen de optie Volgende: Bestemming of doeltabblad en zorg ervoor dat het account of de naamruimte overeenkomt met de Log Analytics-werkruimte die u wilt gebruiken. U kunt de standaard Log Analytics-werkruimte gebruiken die VM-inzichten heeft ingesteld, of een andere Log Analytics-werkruimte maken of gebruiken.

  13. Selecteer Gegevensbron toevoegen in het scherm Gegevensbron toevoegen.

  14. Selecteer Controleren en maken in het scherm Regel voor gegevensverzameling maken de optie Controleren en maken, en selecteer Maken wanneer de validatie is geslaagd.

    Screenshot of Review + create highlighted on the Create Data Collection Rule screen.

Logboekgegevens weergeven

U kunt de logboekgegevens die door uw DCR zijn verzameld bekijken en analyseren met behulp van KQL-logboekquery's. Er is een set KQL-voorbeeldquery's beschikbaar voor VM's, maar u kunt een eenvoudige query schrijven om te kijken naar de gebeurtenissen die uw DCR verzamelt.

  1. Selecteer op de overzichtspagina van uw VM logboeken in het linkernavigatiemenu onder Bewaking. Log Analytics opent een leeg queryvenster met het bereik dat is ingesteld op uw VIRTUELE machine.

    U kunt ook toegang krijgen tot logboekgegevens door Logboeken te selecteren in de linkernavigatiebalk van de overzichtspagina van Azure Monitor. Selecteer indien nodig het bereik selecteren boven aan het queryvenster om de query te bepalen op de gewenste Log Analytics-werkruimte en -VM.

    Notitie

    Het venster Query's met voorbeeldquery's kan worden geopend wanneer u Log Analytics opent. Sluit dit venster voorlopig, omdat u handmatig een eenvoudige query gaat maken.

  2. Typ Syslog in het lege queryvenster en selecteer Uitvoeren. Alle systeemlogboekgebeurtenissen die de DCR binnen het tijdsbereik heeft verzameld, worden weergegeven.

  3. U kunt uw query verfijnen om interessante gebeurtenissen te identificeren. U kunt bijvoorbeeld alleen de gebeurtenissen met een ernstniveau van de waarschuwing weergeven.

    Screenshot that shows the events returned from the Syslog by the DCR.

Test uw kennis

1.

Hoe kunt u gebeurtenislogboekgegevens van uw VM's verzamelen?

2.

Hoe kunt u logboekgegevens weergeven die zijn verzameld door een DCR?