Udostępnij za pośrednictwem

Monitorowanie i rozwiązywanie problemów z agentami pozyskiwania usługi Azure Operator Insights

  • Artykuł

Aby zapoznać się z omówieniem agentów pozyskiwania, zobacz Omówienie agenta pozyskiwania.

Jeśli zauważysz problemy z zbieraniem danych z agentów pozyskiwania, skorzystaj z informacji w tej sekcji, aby rozwiązać typowe problemy lub utworzyć pakiet diagnostyczny. Pakiet diagnostyczny można przekazać do obsługi biletów utworzonych w witrynie Azure Portal.

Agent pozyskiwania jest pakietem oprogramowania, więc diagnostyka jest ograniczona do działania aplikacji. Nie udostępniamy monitorowania systemu operacyjnego ani zasobów. Zachęcamy do używania standardowych narzędzi, takich jak snmpd, eksporter węzła Prometheus lub inne narzędzia do wysyłania danych na poziomie systemu operacyjnego, dzienników i metryk do własnych systemów monitorowania. Monitorowanie maszyn wirtualnych za pomocą usługi Azure Monitor opisuje narzędzia, których można użyć, jeśli agenci pozyskiwania są uruchomione na maszynach wirtualnych platformy Azure.

Agent zapisuje dzienniki i metryki do plików w obszarze /var/log/az-aoi-ingestion/. Jeśli agent nie może uruchomić się z jakiegokolwiek powodu, na przykład błędna konfiguracja, plik stdout.log zawiera dzienniki czytelne dla człowieka wyjaśniające problem.

Metryki są zgłaszane w prostej formie przyjaznej dla człowieka.

Wymagania wstępne

  • W przypadku większości tych technik rozwiązywania problemów potrzebujesz połączenia SSH z maszyną wirtualną, na której działa agent.

Diagnostyka agenta pozyskiwania

Aby zebrać pakiet diagnostyczny, połączenie SSH z maszyną wirtualną i uruchomienie polecenia /usr/bin/microsoft/az-aoi-ingestion-gather-diags. To polecenie generuje plik zip z sygnaturą daty w bieżącym katalogu, który można skopiować z systemu.

Jeśli skonfigurowano zbieranie dzienników za pośrednictwem agenta usługi Azure Monitor, możesz wyświetlić dzienniki agenta pozyskiwania w widoku portalu obszaru roboczego usługi Log Analytics i może nie być konieczne zebranie pakietu diagnostycznego w celu debugowania problemów.

Uwaga

pomoc techniczna firmy Microsoft może zażądać pakietów diagnostycznych podczas badania problemu. Pakiety diagnostyczne nie zawierają żadnych danych klienta ani wartości żadnych poświadczeń.

Problemy wspólne dla wszystkich źródeł

Problemy zasadniczo dzielą się na cztery kategorie.

  • Błędna konfiguracja agenta, która uniemożliwia uruchamianie agenta.
  • Problem z odbieraniem danych ze źródła, zazwyczaj błędną konfiguracją lub łącznością sieciową.
  • Problem z przekazywaniem plików do wejściowego konta magazynu produktu danych, zazwyczaj łączności sieciowej.
  • Problem z maszyną wirtualną, na której działa agent.

Nie można uruchomić agenta

Objawy: sudo systemctl status az-aoi-ingestion pokazuje, że usługa jest w stanie niepowodzenia.

  • Upewnij się, że usługa jest uruchomiona. 
    sudo systemctl start az-aoi-ingestion
  • Sprawdź plik /var/log/az-aoi-ingestion/stdout.log i sprawdź wszelkie zgłoszone błędy. Rozwiąż wszelkie problemy z plikiem konfiguracji i ponownie uruchom agenta.

Brak danych wyświetlanych w usłudze Azure Operator Insights

Objawy: w usłudze Azure Data Explorer nie są wyświetlane żadne dane.

  • Sprawdź łączność sieciową i konfigurację zapory między maszyną wirtualną agenta pozyskiwania a wejściowym kontem magazynu produktu danych.
  • Sprawdź dzienniki z agenta pozyskiwania pod kątem błędów przekazywanych na platformę Azure. Jeśli dzienniki wskazują problemy z uwierzytelnianiem, sprawdź, czy konfiguracja agenta ma poprawne ustawienia ujścia i uwierzytelnianie dla produktu danych. Następnie uruchom ponownie agenta.
  • Sprawdź, czy agent pozyskiwania odbiera dane ze źródła. Sprawdź łączność sieciową i konfigurację zapory między siecią a agentem pozyskiwania.

Problemy ze źródłem MCC EDR

W tej sekcji opisano problemy specyficzne dla źródła EDR MCC.

Możesz również użyć diagnostyki dostarczonej przez mcc lub przez samą usługę Azure Operator Insights w usłudze Azure Monitor, aby ułatwić identyfikowanie i debugowanie problemów z pozyskiwaniem danych.

Usługa MCC nie może nawiązać połączenia

Objawy: MCC zgłasza alarmy dotyczące niedostępności MSFs.

  • Sprawdź, czy agent jest uruchomiony.
  • Upewnij się, że usługa MCC jest skonfigurowana przy użyciu poprawnego adresu IP i portu.
  • Sprawdź dzienniki z agenta i sprawdź, czy są to połączenia raportowania. Jeśli nie, sprawdź łączność sieciową z maszyną wirtualną agenta i sprawdź, czy zapory nie blokują ruchu na porcie 36001.
  • Zbierz przechwytywanie pakietów, aby zobaczyć, gdzie połączenie kończy się niepowodzeniem.

W usłudze Azure Operator Insights nie są wyświetlane żadne EDR

Objawy: w usłudze Azure Data Explorer nie są wyświetlane żadne dane.

  • Sprawdź, czy agent MCC jest w dobrej kondycji, a agenci pozyskiwania są uruchomione.
  • Sprawdź dzienniki agenta pozyskiwania w pakiecie diagnostycznym pod kątem błędów przekazywanych na platformę Azure. Jeśli dzienniki wskazują na nieprawidłowy parametry połączenia lub problemy z łącznością, rozwiąż konfigurację, parametry połączenia lub token SAS i uruchom ponownie agenta.
  • Sprawdź łączność sieciową i konfigurację zapory na koncie magazynu.

Brak lub niekompletne dane

Objawy: usługa Azure Monitor pokazuje niższą przychodzącą częstotliwość EDR w usłudze ADX niż oczekiwano.

  • Sprawdź, czy agent jest uruchomiony na wszystkich maszynach wirtualnych i nie zgłasza błędów w dziennikach pakietów diagnostycznych.
  • Sprawdź, czy maszyny wirtualne agenta nie są wysyłane więcej niż obciążenie oceniane.
  • Sprawdź metryki agenta w pakiecie diagnostycznym pod kątem porzuconych bajtów/porzuconych jednostek EDR. Jeśli metryki nie pokazują żadnych porzuconych danych, usługa MCC nie wysyła danych do agenta. Sprawdź metryki "odebranych bajtów", aby zobaczyć, ile danych jest odbieranych z mcC.
  • Sprawdź, czy maszyna wirtualna agenta nie jest przeciążona — monitoruj użycie procesora CPU i pamięci. W szczególności upewnij się, że żaden inny proces nie bierze zasobów z maszyny wirtualnej.

Problemy ze źródłem ściągania SFTP

W tej sekcji opisano problemy specyficzne dla źródła ściągania SFTP.

Możesz również użyć diagnostyki udostępnianej przez usługę Azure Operator Insights w usłudze Azure Monitor, aby ułatwić identyfikowanie i debugowanie problemów z pozyskiwaniem danych.

Agent nie może nawiązać połączenia z serwerem SFTP

Objawy: żadne pliki nie są przekazywane do usługi Azure Operator Insights. Plik dziennika agenta / var/log/az-aoi-ingestion/stdout.log zawiera błędy dotyczące łączenia serwera SFTP.

  • Sprawdź, czy użytkownik i poświadczenia SFTP używane przez agenta są prawidłowe dla serwera SFTP.
  • Sprawdź łączność sieciową i konfigurację zapory między agentem a serwerem SFTP. Domyślnie serwer SFTP musi mieć otwarty port 22, aby akceptował połączenia SFTP.
  • Sprawdź, czy known_hosts plik na maszynie wirtualnej agenta zawiera prawidłowy publiczny klucz SSH dla serwera SFTP:
    • Na maszynie wirtualnej agenta uruchom polecenie ssh-keygen -l -F *<sftp-server-IP-or-hostname>*.
    • Jeśli nie ma żadnych danych wyjściowych, known_hosts nie zawiera pasującego wpisu. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie agenta pozyskiwania usługi Azure Operator Insights, aby dodać known_hosts wpis dla serwera SFTP.

Żadne pliki nie są przekazywane do usługi Azure Operator Insights

Objawy: w usłudze Azure Data Explorer nie są wyświetlane żadne dane. Dzienniki kategorii Ingestion nie są wyświetlane w danych monitorowania usługi Azure Operator Insights lub zawierają błędy. Liczba pozyskanych wierszy metryka jakości danych dla odpowiedniego typu danych wynosi zero.

  • Sprawdź, czy agent jest uruchomiony na wszystkich maszynach wirtualnych i nie zgłasza błędów w dziennikach.
  • Sprawdź, czy pliki istnieją w prawidłowej lokalizacji na serwerze SFTP i czy nie są wykluczone z powodu konfiguracji źródła plików (zobacz Brak plików).
  • Upewnij się, że skonfigurowany użytkownik SFTP może odczytać wszystkie katalogi w base_pathobszarze , którego konfiguracja źródła plików nie wyklucza.
  • Sprawdź łączność sieciową i konfigurację zapory między maszyną wirtualną agenta pozyskiwania a wejściowym kontem magazynu produktu danych.

Brak plików

Objawy: brak danych w usłudze Azure Data Explorer. Dzienniki kategorii Ingestion w danych monitorowania usługi Azure Operator Insights są niższe niż oczekiwano lub zawierają błędy. Metryka jakości danych pozyskanych wierszy dla odpowiedniego typu danych jest niższa niż oczekiwano.

  • Sprawdź, czy agent jest uruchomiony na wszystkich maszynach wirtualnych i nie zgłasza błędów w dziennikach. Wyszukaj w dziennikach pakietu diagnostycznego nazwę brakującego pliku, aby znaleźć błędy związane z tym plikiem.
  • Sprawdź, czy pliki istnieją na serwerze SFTP i czy nie są wykluczone z powodu konfiguracji źródła plików. Sprawdź konfigurację źródła pliku i upewnij się, że:
    • Pliki istnieją na serwerze SFTP w ścieżce zdefiniowanej w base_pathpliku . Upewnij się, że w ścieżkach plików do przekazania nie ma żadnych linków symbolicznych: agent pozyskiwania ignoruje łącza symboliczne.
    • Czas ostatniej modyfikacji plików wynosi co najmniej settling_time kilka sekund wcześniej niż czas ostatniego uruchomienia przekazywania dla tego źródła plików.
    • Czas ostatniej modyfikacji plików jest późniejszy niż exclude_before_time (jeśli określono).
    • Ścieżka pliku względem base_path jest zgodna z wyrażeniem regularnym podanym przez include_pattern (jeśli określono).
    • Ścieżka pliku względem base_path elementu nie jest zgodna z wyrażeniem regularnym podanym przez exclude_pattern (jeśli określono).
  • Jeśli brakuje ostatnich plików, sprawdź dzienniki agenta w pakiecie diagnostycznym, aby potwierdzić, że agent pozyskiwania wykonał przebieg przekazywania dla źródła w oczekiwanym czasie. Parametr cron w konfiguracji źródłowej daje oczekiwany harmonogram.
  • Sprawdź, czy maszyna wirtualna agenta nie jest przeciążona — monitoruj użycie procesora CPU i pamięci. W szczególności upewnij się, że żaden inny proces nie bierze zasobów z maszyny wirtualnej.

Pliki są przekazywane więcej niż raz

Objawy: zduplikowane dane są wyświetlane w usłudze Azure Operator Insights.

  • Sprawdź, czy agent pozyskiwania napotkał błąd umożliwiający ponowienie próby w dzienniku pakietu diagnostycznego w poprzednim przekazaniu, a następnie ponowił próbę przekazania więcej niż 24 godziny po ostatnim pomyślnym przekazaniu. W takim przypadku agent może przekazać zduplikowane dane podczas próby ponawiania próby. Duplikowanie danych powinno mieć wpływ tylko na próbę ponawiania próby.
  • Sprawdź, czy źródła plików zdefiniowane w pliku konfiguracji odwołują się do zestawów plików, które nie sąoverlappingowe. Jeśli wiele źródeł plików jest skonfigurowanych do ściągania plików z tej samej lokalizacji na serwerze SFTP, użyj include_pattern pól i exclude_pattern konfiguracji, aby określić odrębne zestawy plików, które należy wziąć pod uwagę w każdym źródle plików.
  • Jeśli używasz wielu wystąpień agenta pozyskiwania SFTP, sprawdź, czy źródła plików skonfigurowane dla każdego agenta nie nakładają się na źródła plików na żadnym innym agencie. W szczególności należy zwrócić uwagę na konfigurację źródła plików, która została przypadkowo skopiowana z konfiguracji innego agenta.
  • Jeśli potok został niedawno zmieniony id dla skonfigurowanego źródła plików, użyj exclude_before_time pola , aby uniknąć ponownego załadowania plików przy użyciu nowego potoku id. Aby uzyskać instrukcje, zobacz Zmienianie konfiguracji agentów pozyskiwania dla usługi Azure Operator Insights.

Powiązana zawartość

Instrukcje: