Руководство. Сбор гостевых журналов с виртуальной машины Azure

После включения мониторинга для виртуальной машины Azure для сбора гостевых метрик можно создать дополнительные правила сбора данных (DCR) для сбора гостевых журналов. Эти журналы предоставляют широкие сведения о поведении операционной системы и приложений, работающих на виртуальной машине, которые можно использовать для устранения неполадок, мониторинга производительности и анализа безопасности.

В этом руководстве показано, как собирать журналы событий с компьютеров Windows и системного журнала с компьютеров Linux. Это два источника данных, доступные для виртуальных машин. Другие источники данных задокументированы в статье Сбор данных гостевого журнала из виртуальных машин с помощью Azure Monitor.

В этом руководстве вы узнаете, как:

• Создайте DCR, который отправляет данные гостевого журнала в рабочую область Log Analytics.
• Просмотр гостевых журналов в Log Analytics.

Необходимые условия

Чтобы завершить работу с этим руководством, вам потребуется:

• Виртуальная машина с включенным мониторингом с помощью следующего руководства. Включение расширенного мониторинга для виртуальной машины Azure
• Масштабируемый набор виртуальных машин с включенным мониторингом с помощью следующего руководства. Включите мониторинг для масштабируемого набора виртуальных машин Azure.

Создание правила сбора данных

Правила сбора данных в Azure Monitor определяют данные для сбора и места его отправки. В меню "Монитор " на портале Azure выберите правила сбора данных. Затем нажмите кнопку "Создать" , чтобы создать новый DCR.

На вкладке "Основы" введите имя правила, которое является именем правила, отображаемого на портале Azure. Выберите подписку, группу ресурсов и регион , в котором хранятся DCR и его связи. Эти параметры не обязаны совпадать с параметрами отслеживаемых ресурсов.

Тип платформы определяет параметры, доступные при определении остальной части DCR. Выберите Windows или Linux , если правило связано только с этими ресурсами или выберите "Настраиваемый", если он связан с обоими типами.

Выбор ресурсов

На вкладке "Ресурсы" выберите "Добавить ресурсы " и выберите виртуальную машину. Добавьте все другие компьютеры, которые должны совместно использовать ту же коллекцию журналов. DCR применяется ко всем виртуальным машинам в выбранной области.

Выбор источников данных

Выберите "Добавить источник данных ", а затем журналы событий Windows или Системный журнал Linux.

Журналы событий Windows

Выберите журналы событий и уровни, которые требуется собрать. Распространенный выбор — критические, ошибки, предупреждения для журналов приложений и систем .

Дополнительные сведения о настройке этого источника данных см. в разделе "Сбор событий Windows с помощью агента Azure Monitor".

Системный журнал Linux

Выберите функции и уровни журналов, которые вы хотите собрать. Чтобы собрать уровни предупреждений и выше для всех объектов, отметьте флажок рядом с объектом, чтобы выбрать все объекты, а затем выберите LOG_WARNING для задания минимального уровня журнала для выбранных объектов.

Дополнительные сведения о настройке этого источника данных см. в разделе "Сбор событий системного журнала" с помощью агента Azure Monitor.

Выбор направлений

Выберите вкладку «Пункт назначения». Журналы Azure Monitor уже должны быть выбраны в качестве типа назначения. Выберите рабочую область Log Analytics для учетной записи или пространства имен. Если у вас еще нет рабочей области, можно выбрать рабочую область по умолчанию для подписки, которая создается автоматически. Выберите "Добавить источник данных ", чтобы сохранить источник данных.

Сохранить DCR

Нажмите кнопку "Рецензирование" и "Создать ", чтобы создать DCR.

Просмотреть журналы

Данные извлекаются из рабочей области Log Analytics с помощью запроса журнала, написанного на языке запросов Kusto (KQL). Хотя набор предварительно созданных запросов доступен для виртуальных машин, здесь вы используете простой запрос для проверки собираемых событий.

Выберите Логи в меню виртуальной машины. Log Analytics открывается с пустым окном запроса с областью, заданной для этого компьютера. Все запросы включают только записи, собранные с этого компьютера.

Замечание

Окно "Запросы" может открываться при открытии Log Analytics. Он включает предварительно созданные запросы, которые можно использовать. Теперь закройте это окно, так как мы собираемся вручную создать простой запрос.

В окне пустого запроса выполните один из следующих запросов в зависимости от настроенного источника данных.

журналы событий Windows

Чтобы убедиться, что данные собираются, проверьте наличие записей в таблице событий . На виртуальной машине или в рабочей области Log Analytics на портале Azure выберите журналы и нажмите кнопку "Таблицы ". В категории "Виртуальные машины" нажмите "Выполнить" рядом с Событием.

Syslog

Чтобы убедиться, что данные собираются, проверьте наличие записей в таблице Syslog . На виртуальной машине или в рабочей области Log Analytics на портале Azure выберите журналы и нажмите кнопку "Таблицы ". В категории "Виртуальные машины" нажмите кнопку "Выполнить рядом с системным журналом".

Замечание

Если запрос не возвращает данные, возможно, вам придется подождать несколько минут, пока события не будут созданы на виртуальной машине для сбора. Кроме того, может потребоваться изменить источник данных в DCR, чтобы включить другие категории событий.

Руководство по использованию Log Analytics для анализа данных журнала см. в руководстве по Log Analytics. Руководство по созданию правил генерации оповещений из данных журнала см. в руководстве по созданию оповещения поиска по журналам для ресурса Azure.

Дальнейшие действия

Рекомендуемые оповещения предоставляют оповещения с узла виртуальной машины, но они не имеют видимости гостевой операционной системы и ее рабочих нагрузок. Теперь, когда вы собираете гостевые журналы, их можно проанализировать в Log Analytics и создать оповещения на основе событий, содержащихся в них.

Создание оповещения поиска по журналам для ресурса Azure