Сбор журналов событий клиента виртуальной машины

Завершено

Счетчики производительности Метрик Azure Monitor и аналитики виртуальных машин помогают выявлять аномалии производительности и предупреждать о достижении пороговых значений. Но чтобы проанализировать первопричины обнаруженных проблем, необходимо проанализировать данные журнала, чтобы узнать, какие системные события вызвали или способствовали проблемам. В этом уроке вы настроите DCR для сбора данных системного журнала виртуальной машины Linux и просмотрите данные журнала в Azure Monitor Log Analytics с помощью простого запроса язык запросов Kusto (KQL).

Аналитика виртуальных машин устанавливает агент Azure Monitor и создает DCR, который собирает предопределенные счетчики производительности, сопоставляет зависимости процессов и представляет данные в предварительно созданных книгах. Вы можете создать собственные контроллеры домена для сбора счетчиков производительности виртуальных машин, которые служба DCR аналитики виртуальных машин не собирает или собирает данные журнала.

При создании контроллеров домена в портал Azure можно выбрать из диапазона счетчиков производительности и частот выборки или добавить настраиваемые счетчики производительности. Кроме того, можно выбрать определенный набор типов журналов и уровней серьезности или определить пользовательские схемы журналов. Вы можете связать один DCR с любой или всеми виртуальными машинами в подписке, но может потребоваться несколько контроллеров домена для сбора различных типов данных из разных виртуальных машин.

Создание DCR для сбора данных журнала

В портал Azure найдите и выберите монитор, чтобы перейти на страницу обзора Azure Monitor.

Создание конечной точки сбора данных

Для отправки данных в журнал необходимо иметь конечную точку сбора данных. Чтобы создать конечную точку, выполните приведенные действия.

1. В меню навигации слева в разделе "Параметры" в меню навигации Azure Monitor выберите конечные точки сбора данных.
2. На странице "Конечные точки сбора данных" нажмите кнопку "Создать".
3. На странице "Создание конечной точки сбора данных" в поле "Имя" введите linux-logs-endpoint.
4. Выберите ту же подписку, группу ресурсов и регион, что и виртуальную машину.
5. Выберите Проверка и создание, а после завершения проверки нажмите Создать.

Создание правила сбора данных

Чтобы создать DCR для сбора журналов событий, выполните следующие действия.

1. В меню навигации "Монитор слева" в разделе "Параметры" выберите "Правила сбора данных".

2. На странице "Правила сбора данных" вы увидите DCR, созданный аналитикой виртуальных машин. Выберите "Создать", чтобы создать новое правило сбора данных.

   

3. На вкладке "Основы " на экране "Создание правила сбора данных" укажите следующие сведения:

   • Имя правила: введите collect-events-linux.
   • Подписка, группа ресурсов и регион: выберите ту же, что и для виртуальной машины.
   • Тип платформы: выберите Linux.

4. Нажмите кнопку "Далее": ресурсы или вкладка "Ресурсы".

   

5. На экране "Ресурсы" выберите "Добавить ресурсы".

6. На экране "Выбор области" выберите отслеживаемую виртуальную машину linux-vm, а затем нажмите кнопку "Применить".

7. На экране "Ресурсы" выберите "Включить конечные точки сбора данных".

8. В разделе "Конечная точка сбора данных" для отслеживаемой виртуальной машины linux выберите созданную конечную точку linux-logs-.

9. Нажмите кнопку "Далее": сбор и доставка, а также вкладка "Сбор и доставка ".

   

10. На вкладке "Сбор и доставка " выберите " Добавить источник данных".

11. На экране "Добавление источника данных" в разделе "Тип источника данных" выберите Системный журнал Linux.

12. На экране "Добавить источник данных" нажмите кнопку "Далее" или "Назначение" и убедитесь, что учетная запись или пространство имен соответствуют рабочей области Log Analytics, которую вы хотите использовать. Вы можете использовать рабочую область Log Analytics по умолчанию, настроенную аналитикой виртуальных машин, или создать или использовать другую рабочую область Log Analytics.

13. На экране "Добавить источник данных" выберите "Добавить источник данных".

14. На экране "Создание правила сбора данных" выберите "Проверка и создание" и при прохождении проверки нажмите кнопку "Создать".

    

Просмотр данных журналов

Вы можете просматривать и анализировать данные журнала, собранные DCR, с помощью запросов журнала KQL. Набор примеров запросов KQL доступен для виртуальных машин, но вы можете написать запрос для просмотра событий, собираемых DCR.

1. На странице обзора виртуальной машины выберите "Журналы" в меню навигации слева в разделе "Мониторинг". Log Analytics открывает пустое окно запроса с заданной областью виртуальной машины.

   Вы также можете получить доступ к данным журнала, выбрав "Журналы" в области навигации слева на странице обзора Azure Monitor. При необходимости выберите область выбора в верхней части окна запроса, чтобы ограничить запрос требуемой рабочей областью Log Analytics и виртуальной машиной.

   Примечание.

   Окно "Запросы" с примерами запросов может открываться при открытии Log Analytics. Теперь закройте это окно, так как вы собираетесь вручную создать простой запрос.

2. В пустом окне запроса введите системный журнал и нажмите кнопку "Выполнить". Отображаются все события системного журнала, собранные в диапазоне времени.

3. Вы можете уточнить запрос, чтобы определить интересующие события. Например, можно отобразить только события с предупреждением серьезности.

   

Проверьте свои знания

1.

Как собирать данные журнала событий с виртуальных машин?

Создайте DCR.

Включите функцию аналитики виртуальных машин.

Включите диагностика загрузки.

2.

Как просмотреть данные журнала, собранные DCR?

На вкладке "Мониторинг" страницы обзора виртуальной машины.

Выбрав правила сбора данных в Azure Monitor.

С помощью запроса KQL в рабочей области Log Analytics.

Вы должны ответить на все вопросы перед проверкой.