Zbieranie dzienników zdarzeń klienta maszyny wirtualnej

Ukończone

Metryki usługi Azure Monitor i liczniki wydajności szczegółowych informacji o maszynach wirtualnych ułatwiają identyfikowanie anomalii wydajności i alert po osiągnięciu progów. Jednak aby przeanalizować główne przyczyny wykrytych problemów, należy przeanalizować dane dziennika, aby sprawdzić, które zdarzenia systemowe spowodowały lub przyczyniły się do problemów. W tej lekcji skonfigurujesz kontroler domeny w celu zbierania danych dziennika systemowego maszyny wirtualnej z systemem Linux i wyświetlania danych dziennika w usłudze Azure Monitor Log Analytics przy użyciu prostego zapytania język zapytań Kusto (KQL).

Usługa VM Insights instaluje agenta usługi Azure Monitor i tworzy kontroler domeny, który zbiera wstępnie zdefiniowane liczniki wydajności, mapuje zależności procesów i przedstawia dane we wstępnie utworzonych skoroszytach. Możesz utworzyć własne kontrolery kontrolerów domeny w celu zbierania liczników wydajności maszyn wirtualnych, których kontroler domeny szczegółowych informacji o maszynie wirtualnej nie zbiera ani zbierać danych dziennika.

Podczas tworzenia kontrolerów domeny w witrynie Azure Portal można wybrać z zakresu liczników wydajności i częstotliwości próbkowania lub dodać niestandardowe liczniki wydajności. Alternatywnie możesz wybrać ze wstępnie zdefiniowanego zestawu typów dzienników i poziomów ważności lub zdefiniować niestandardowe schematy dziennika. Można skojarzyć pojedynczy kontroler domeny z dowolną lub wszystkimi maszynami wirtualnymi w ramach subskrypcji, ale może być konieczne zebranie różnych typów danych z różnych maszyn wirtualnych.

Tworzenie kontrolera domeny w celu zbierania danych dziennika

W witrynie Azure Portal wyszukaj i wybierz pozycję Monitor, aby przejść do strony Przegląd usługi Azure Monitor.

Zrzut ekranu przedstawiający stronę Przegląd usługi Azure Monitor.

Tworzenie punktu końcowego zbierania danych

Aby wysyłać dane dziennika do punktu końcowego zbierania danych, musisz mieć punkt końcowy zbierania danych. Aby utworzyć punkt końcowy:

  1. W menu nawigacji po lewej stronie usługi Azure Monitor w obszarze Ustawienia wybierz pozycję Punkty końcowe zbierania danych.
  2. Na stronie Punkty końcowe zbierania danych wybierz pozycję Utwórz.
  3. Na stronie Tworzenie punktu końcowego zbierania danych w polu Nazwa wprowadź ciąg linux-logs-endpoint.
  4. Wybierz tę samą subskrypcję, grupę zasobów i region , z których korzysta maszyna wirtualna.
  5. Wybierz pozycję Przejrzyj i utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie reguły zbierania danych

Aby utworzyć kontroler domeny w celu zbierania dzienników zdarzeń:

  1. W menu nawigacyjnym Monitorowanie po lewej stronie w obszarze Ustawienia wybierz pozycję Reguły zbierania danych.

  2. Na stronie Reguły zbierania danych możesz zobaczyć, że utworzono szczegółowe informacje dotyczące maszyny wirtualnej. Wybierz pozycję Utwórz , aby utworzyć nową regułę zbierania danych.

    Zrzut ekranu przedstawiający ekran Reguły zbierania danych z wyróżnioną pozycją Utwórz.

  3. Na karcie Podstawowe na ekranie Tworzenie reguły zbierania danych podaj następujące informacje:

    • Nazwa reguły: wprowadź wartość collect-events-linux.
    • Subskrypcja, grupa zasobów i region: wybierz to samo co dla maszyny wirtualnej.
    • Typ platformy: wybierz pozycję Linux.
  4. Wybierz pozycję Dalej: zasoby lub kartę Zasoby .

    Zrzut ekranu przedstawiający kartę Podstawy ekranu Tworzenie reguły zbierania danych.

  5. Na ekranie Zasoby wybierz pozycję Dodaj zasoby.

  6. Na ekranie Wybierz zakres wybierz monitorowaną maszynę wirtualną z systemem linux-vm , a następnie wybierz pozycję Zastosuj.

  7. Na ekranie Zasoby wybierz pozycję Włącz punkty końcowe zbierania danych.

  8. W obszarze Punkt końcowy zbierania danych dla monitorowanej maszyny wirtualnej z systemem linux-linux wybierz utworzony punkt końcowy linux-logs-endpoint .

  9. Wybierz pozycję Dalej: zbierz i dostarczaj lub kartę Zbieraj i dostarczaj .

    Zrzut ekranu przedstawiający kartę Zasoby ekranu Tworzenie reguły zbierania danych.

  10. Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych.

  11. Na ekranie Dodawanie źródła danych w obszarze Typ źródła danych wybierz pozycję Dziennik systemu Linux.

  12. Na ekranie Dodawanie źródła danych wybierz pozycję Dalej: miejsce docelowe lub miejsce docelowe i upewnij się, że konto lub przestrzeń nazw są zgodne z obszarem roboczym usługi Log Analytics, którego chcesz użyć. Możesz użyć domyślnego obszaru roboczego usługi Log Analytics, który skonfigurował szczegółowe informacje o maszynie wirtualnej, lub utworzyć lub użyć innego obszaru roboczego usługi Log Analytics.

  13. Na ekranie Dodawanie źródła danych wybierz pozycję Dodaj źródło danych.

  14. Na ekranie Tworzenie reguły zbierania danych wybierz pozycję Przejrzyj i utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający przeglądanie i tworzenie wyróżnione na ekranie Tworzenie reguły zbierania danych.

Wyświetlanie danych dziennika

Dane dziennika zebrane przez kontroler domeny można wyświetlać i analizować przy użyciu zapytań dziennika KQL. Zestaw przykładowych zapytań KQL jest dostępny dla maszyn wirtualnych, ale możesz napisać zapytanie, aby przyjrzeć się zdarzeń zbieranych przez kontroler domeny.

  1. Na stronie Przegląd maszyny wirtualnej wybierz pozycję Dzienniki z menu nawigacji po lewej stronie w obszarze Monitorowanie. Usługa Log Analytics otwiera puste okno zapytania z zakresem ustawionym na maszynę wirtualną.

    Dostęp do danych dziennika można również uzyskać, wybierając pozycję Dzienniki na lewej stronie przeglądu usługi Azure Monitor. W razie potrzeby wybierz pozycję Wybierz zakres w górnej części okna zapytania, aby ograniczyć zakres zapytania do żądanego obszaru roboczego usługi Log Analytics i maszyny wirtualnej.

    Uwaga

    Okno Zapytania z przykładowymi zapytaniami może zostać otwarte po otwarciu usługi Log Analytics. Na razie zamknij to okno, ponieważ ręcznie utworzysz proste zapytanie.

  2. W pustym oknie zapytania wpisz Syslog, a następnie wybierz pozycję Uruchom. Wyświetlane są wszystkie zdarzenia dziennika systemu zebrane przez kontroler domeny w zakresie czasu.

  3. Zapytanie można uściślić, aby zidentyfikować interesujące zdarzenia. Na przykład można wyświetlić tylko zdarzenia, które miały ważnośćLevel ostrzeżenia.

    Zrzut ekranu przedstawiający zdarzenia zwrócone z dziennika systemowego przez kontroler domeny.

Sprawdź swoją wiedzę

1.

Jak można zbierać dane dziennika zdarzeń z maszyn wirtualnych?

2.

Jak można wyświetlać dane dziennika zebrane przez kontroler domeny?