Zbieranie dzienników zdarzeń klienta maszyny wirtualnej

  • 7 min

Metryki usługi Azure Monitor i liczniki wydajności szczegółowych informacji o maszynach wirtualnych ułatwiają identyfikowanie anomalii wydajności i alertów po osiągnięciu progów. Jednak aby przeanalizować główne przyczyny wykrytych problemów, należy przeanalizować dane dziennika, aby sprawdzić, które zdarzenia systemowe spowodowały lub przyczyniły się do problemów. W tej lekcji skonfigurujesz regułę zbierania danych (DCR) w celu zbierania danych dziennika syslog maszyny wirtualnej z systemem Linux i wyświetlasz dane dziennika w usłudze Azure Monitor Log Analytics przy użyciu prostego zapytania język zapytań Kusto (KQL).

Usługa VM Insights instaluje agenta usługi Azure Monitor i tworzy kontroler domeny, który zbiera wstępnie zdefiniowane liczniki wydajności, mapuje zależności procesów i przedstawia dane we wstępnie utworzonych skoroszytach. Możesz utworzyć własne kontrolery kontrolerów domeny w celu zbierania liczników wydajności maszyn wirtualnych, których kontroler domeny szczegółowych informacji o maszynie wirtualnej nie zbiera ani zbierać danych dziennika.

Podczas tworzenia kontrolerów domeny w witrynie Azure Portal można wybrać z zakresu liczników wydajności i częstotliwości próbkowania lub dodać niestandardowe liczniki wydajności. Możesz też wybrać spośród wstępnie zdefiniowanego zestawu typów dzienników i poziomów ważności lub zdefiniować niestandardowe schematy dziennika. Można skojarzyć pojedynczy kontroler domeny z dowolną lub wszystkimi maszynami wirtualnymi w ramach subskrypcji, ale może być konieczne zebranie różnych typów danych z różnych maszyn wirtualnych.

Tworzenie kontrolera domeny w celu zbierania danych dziennika

W witrynie Azure Portal wyszukaj i wybierz pozycję Monitor, aby przejść do strony Przegląd usługi Azure Monitor.

Screenshot that shows the Azure Monitor Overview page.

Tworzenie punktu końcowego zbierania danych

Aby wysyłać dane dziennika do punktu końcowego zbierania danych, musisz mieć punkt końcowy zbierania danych. Aby utworzyć punkt końcowy:

  1. W menu nawigacji po lewej stronie usługi Azure Monitor w obszarze Ustawienia wybierz pozycję Punkty końcowe zbierania danych.
  2. Na stronie Punkty końcowe zbierania danych wybierz pozycję Utwórz.
  3. Na stronie Tworzenie punktu końcowego zbierania danych w polu Nazwa wprowadź ciąg linux-logs-endpoint.
  4. Wybierz tę samą subskrypcję, grupę zasobów i region , z których korzysta maszyna wirtualna.
  5. Wybierz pozycję Przejrzyj i utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie reguły zbierania danych

Aby utworzyć kontroler domeny w celu zbierania dzienników zdarzeń:

  1. W menu nawigacyjnym Monitorowanie po lewej stronie w obszarze Ustawienia wybierz pozycję Reguły zbierania danych.

  2. Na stronie Reguły zbierania danych możesz zobaczyć, że utworzono szczegółowe informacje dotyczące maszyny wirtualnej. Wybierz pozycję Utwórz , aby utworzyć nową regułę zbierania danych.

    Screenshot of the Data Collection Rules screen with Create highlighted.

  3. Na karcie Podstawowe na ekranie Tworzenie reguły zbierania danych podaj następujące informacje:

    • Nazwa reguły: wprowadź wartość collect-events-linux.
    • Subskrypcja, grupa zasobów i region: wybierz to samo co dla maszyny wirtualnej.
    • Typ platformy: wybierz pozycję Linux.

  4. Wybierz pozycję Dalej: zasoby lub kartę Zasoby .

    Screenshot of the Basics tab of the Create Data Collection Rule screen.

  5. Na ekranie Zasoby wybierz pozycję Dodaj zasoby.

  6. Na ekranie Wybierz zakres wybierz monitorowaną maszynę wirtualną z systemem linux-vm , a następnie wybierz pozycję Zastosuj.

  7. Na ekranie Zasoby wybierz pozycję Włącz punkty końcowe zbierania danych.

  8. W obszarze Punkt końcowy zbierania danych dla monitorowanej maszyny wirtualnej z systemem linux-linux wybierz utworzony punkt końcowy linux-logs-endpoint .

  9. Wybierz pozycję Dalej: zbierz i dostarczaj lub kartę Zbieraj i dostarczaj .

    Screenshot of the Resources tab of the Create Data Collection Rule screen.

  10. Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych.

  11. Na ekranie Dodawanie źródła danych w obszarze Typ źródła danych wybierz pozycję Dziennik systemu Linux.

  12. Na ekranie Dodawanie źródła danych wybierz pozycję Dalej: miejsce docelowe lub miejsce docelowe i upewnij się, że konto lub przestrzeń nazw są zgodne z obszarem roboczym usługi Log Analytics, którego chcesz użyć. Możesz użyć domyślnego obszaru roboczego usługi Log Analytics, który skonfigurował szczegółowe informacje o maszynie wirtualnej, lub utworzyć lub użyć innego obszaru roboczego usługi Log Analytics.

  13. Na ekranie Dodawanie źródła danych wybierz pozycję Dodaj źródło danych.

  14. Na ekranie Tworzenie reguły zbierania danych wybierz pozycję Przejrzyj i utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

    Screenshot of Review + create highlighted on the Create Data Collection Rule screen.

Wyświetlanie danych dziennika

Dane dziennika zebrane przez kontroler domeny można wyświetlać i analizować przy użyciu zapytań dziennika KQL. Zestaw przykładowych zapytań KQL jest dostępny dla maszyn wirtualnych, ale możesz napisać proste zapytanie, aby przyjrzeć się zdarzeń zbieranych przez kontroler domeny.

  1. Na stronie Przegląd maszyny wirtualnej wybierz pozycję Dzienniki z menu nawigacji po lewej stronie w obszarze Monitorowanie. Usługa Log Analytics otwiera puste okno zapytania z zakresem ustawionym na maszynę wirtualną.

    Dostęp do danych dziennika można również uzyskać, wybierając pozycję Dzienniki na lewej stronie przeglądu usługi Azure Monitor. W razie potrzeby wybierz pozycję Wybierz zakres w górnej części okna zapytania, aby ograniczyć zakres zapytania do żądanego obszaru roboczego usługi Log Analytics i maszyny wirtualnej.

    Uwaga

    Okno Zapytania z przykładowymi zapytaniami może zostać otwarte po otwarciu usługi Log Analytics. Na razie zamknij to okno, ponieważ ręcznie utworzysz proste zapytanie.

  2. W pustym oknie zapytania wpisz Syslog, a następnie wybierz pozycję Uruchom. Wyświetlane są wszystkie zdarzenia dziennika systemu zebrane przez kontroler domeny w zakresie czasu.

  3. Zapytanie można uściślić, aby zidentyfikować interesujące zdarzenia. Na przykład można wyświetlić tylko zdarzenia, które miały ważnośćLevelostrzeżenia.

    Screenshot that shows the events returned from the Syslog by the DCR.

Sprawdź swoją wiedzę

1.

Jak można zbierać dane dziennika zdarzeń z maszyn wirtualnych?

2.

Jak można wyświetlać dane dziennika zebrane przez kontroler domeny?