Övervaka driftproblem på Azure Monitor Log Analytics-arbetsytan
För att upprätthålla prestanda och tillgänglighet för din Log Analytics-arbetsyta i Azure Monitor måste du proaktivt kunna identifiera eventuella problem som uppstår. Den här artikeln beskriver hur du övervakar hälsotillståndet för din Log Analytics-arbetsyta med hjälp av data i tabellen Åtgärd . Den här tabellen ingår i varje Log Analytics-arbetsyta. Den innehåller felmeddelanden och varningar som inträffar på din arbetsyta. Vi rekommenderar att du skapar aviseringar för problem med varnings- och felnivån.
Behörigheter som krävs
Du måste ha Microsoft.OperationalInsights/workspaces/query/*/read behörighet till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader.
funktionen _LogOperation
Azure Monitor-loggar skickar information om eventuella problem till tabellen Åtgärd på arbetsytan där problemet inträffade. Systemfunktionen _LogOperation baseras på tabellen Operation och innehåller en förenklad uppsättning information för analys och aviseringar.
Kolumner
Funktionen _LogOperation returnerar kolumnerna i följande tabell.
| Kolumn | beskrivning |
|---|---|
| TimeGenerated | Tid då incidenten inträffade i UTC. |
| Kategori | Åtgärdskategorigrupp. Kan användas för att filtrera efter typer av åtgärder och skapa mer exakta systemgranskningar och aviseringar. Se följande avsnitt för en lista över kategorier. |
| Åtgärd | Beskrivning av åtgärdstypen. Åtgärden kan indikera att en av Log Analytics-gränserna har nåtts, ett problem med backend-processen eller något annat tjänstmeddelande. |
| Nivå | Allvarlighetsgrad för problemet: - Info: Ingen särskild uppmärksamhet behövs. – Varning: Processen slutfördes inte som förväntat och det krävs uppmärksamhet. – Fel: Processen misslyckades och det krävs uppmärksamhet. |
| Detalj | Detaljerad beskrivning av åtgärden innehåller det specifika felmeddelandet. |
| _ResourceId | Resurs-ID för Azure-resursen som är relaterad till åtgärden. |
| Dator | Datornamn om åtgärden är relaterad till en Azure Monitor-agent. |
| CorrelationId | Används för att gruppera efterföljande relaterade åtgärder. |
Kategorier
I följande tabell beskrivs kategorierna från _LogOperation funktionen.
| Kategori | beskrivning |
|---|---|
| Inmatning | Åtgärder som ingår i datainmatningsprocessen. |
| Handläggare | Anger ett problem med agentinstallationen. |
| Datainsamling | Åtgärder som rör datainsamlingsprocesser. |
| Lösningsmål | Åtgärden av typen ConfigurationScope bearbetades. |
| Utvärderingslösning | En utvärderingsprocess utfördes. |
Inmatning
Inmatningsåtgärder är problem som inträffade under datainmatningen och inkluderar meddelanden om att nå Log Analytics-arbetsytegränserna. Feltillstånd i den här kategorin kan tyda på dataförlust, så de är viktiga att övervaka. Tjänstbegränsningar för Log Analytics-arbetsytor finns i Tjänstbegränsningar för Azure Monitor.
Viktigt!
Om du felsöker datainsamling för ett scenario som använder en datainsamlingsregel (DCR), till exempel Azure Monitor-agent eller API för inmatning av loggar, kan du läsa Övervaka och felsöka DCR-datainsamling i Azure Monitor för ytterligare felsökningsinformation.
Åtgärd: Datainsamlingen har stoppats
"Datainsamlingen stoppades på grund av att den dagliga gränsen för kostnadsfria data uppnåddes. Inmatningsstatus = OverQuota"
Under de senaste sju dagarna har loggsamlingen nått den dagliga gränsen. Gränsen anges antingen eftersom arbetsytan är inställd på den kostnadsfria nivån eller så har den dagliga insamlingsgränsen konfigurerats för den här arbetsytan. När datainsamlingen når den angivna gränsen stoppas den automatiskt för dagen och återupptas endast under nästa samlingsdag.
Rekommenderade åtgärder:
- Kontrollera tabellen
_LogOperationom samlingen har stoppats och insamlingen återupptas:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Detail has "Data collection" - Skapa en avisering om åtgärden "Datainsamlingen har stoppats". Den här aviseringen meddelar dig när insamlingsgränsen har nåtts.
- Data som samlas in när den dagliga insamlingsgränsen har nåtts går förlorade. Använd fönstret Arbetsyteinsikter för att granska användningsfrekvensen från varje källa. Eller så kan du bestämma dig för att hantera din maximala dagliga datavolym eller ändra prisnivån till en som passar mönstret för dina insamlingspriser.
- Datainsamlingsfrekvensen beräknas per dag och återställs i början av nästa dag. Du kan också övervaka en samlings cv-händelse genom att skapa en avisering om åtgärden "Datainsamlingen återupptogs".
Åtgärd: Inmatningshastighet
"Datainmatningsvolymen översteg tröskelvärdet på din arbetsyta: {0:0,00} MB per minut och data har tagits bort."
Rekommenderade åtgärder:
- Kontrollera tabellen
_LogOperationför en inmatningshastighetshändelse:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Ingestion rate"En händelse skickas till tabellen Åtgärd på arbetsytan var sjätte timme medan tröskelvärdet fortsätter att överskridas. - Skapa en avisering om åtgärden "Datainsamlingen har stoppats". Den här aviseringen meddelar dig när gränsen har nåtts.
- Data som samlas in när inmatningshastigheten nådde 100 procent kommer att tas bort och förloras. Använd fönstret Arbetsyteinsikter för att granska dina användningsmönster och försöka minska dem. Mer information finns i:
Åtgärd: Maximalt antal tabellkolumner
"Data av typen <tabellnamn> togs bort eftersom antalet fält som antalet nya fält><ligger över gränsen <för det aktuella antalet fält begränsar> anpassade fält per datatyp."
Rekommenderad åtgärd: För anpassade tabeller kan du gå över till att parsa data i frågor.
Åtgärd: Validering av fältinnehåll
"Följande fältvärdens fältnamn> för typen <tabellnamn> har trimmats till den maximala tillåtna storleken,< fältstorleksgränsbyte.>< Justera indata i enlighet med detta."
Ett fält som är större än gränsstorleken bearbetades av Azure-loggar. Fältet har trimmats till den tillåtna fältgränsen. Vi rekommenderar inte att du skickar fält som är större än den tillåtna gränsen eftersom det resulterar i dataförlust.
Rekommenderade åtgärder:
Kontrollera källan för den berörda datatypen:
- Om data skickas via HTTP Data Collector-API:et måste du ändra din kod\skript för att dela upp data innan de matas in.
- För anpassade loggar, som samlas in av en Log Analytics-agent, ändrar du loggningsinställningarna för programmet eller verktyget.
- Skapa ett supportärende för alla andra datatyper. Mer information finns i Tjänstbegränsningar för Azure Monitor.
Datainsamling
Följande avsnitt innehåller information om datainsamling.
Åtgärd: Insamling av Azure-aktivitetsloggar
"Åtkomsten till prenumerationen gick förlorad. Kontrollera att prenumerations-ID-prenumerationen <><finns i klientorganisationens ID> Microsoft Entra-klientorganisation. Om prenumerationen överförs till en annan klientorganisation påverkas inte tjänsterna, men det kan ta upp till en timme att sprida information om klientorganisationen."
I vissa situationer, som att flytta en prenumeration till en annan klientorganisation, kan Azure-aktivitetsloggarna sluta flöda till arbetsytan. I sådana situationer måste du återansluta prenumerationen efter den process som beskrivs i den här artikeln.
Rekommenderade åtgärder:
- Om prenumerationen som nämns i varningsmeddelandet inte längre finns går du till fönstret Anslutningsprogram för äldre aktivitetsloggar under Klassisk. Välj relevant prenumeration och välj sedan knappen Koppla från .
- Om du inte längre har åtkomst till prenumerationen som nämns i varningsmeddelandet:
- Följ föregående steg för att koppla från prenumerationen.
- Om du vill fortsätta samla in loggar från den här prenumerationen kontaktar du prenumerationsägaren för att åtgärda behörigheterna och återaktivera insamling av aktivitetsloggar.
- Skapa en diagnostikinställning för att skicka aktivitetsloggen till en Log Analytics-arbetsyta.
Handläggare
Följande avsnitt innehåller information om agenter.
Åtgärd: Linux-agent
"Två på varandra följande konfigurationsprogram från OMS-Inställningar misslyckades."
Konfigurationsinställningarna på portalen har ändrats.
Rekommenderad åtgärd: Det här problemet uppstår om det uppstår ett problem för agenten att hämta de nya konfigurationsinställningarna. Du kan åtgärda problemet genom att installera om agenten.
Kontrollera tabellen _LogOperation för agenthändelsen:
_LogOperation | where TimeGenerated >= ago(6h) | where Category == "Agent" | where Operation == "Linux Agent" | distinct _ResourceId
Listan visar resurs-ID:t där agenten har fel konfiguration. Du kan åtgärda problemet genom att installera om agenterna i listan.
Aviseringsregler
Använd loggsökningsaviseringar i Azure Monitor för att meddelas proaktivt när ett problem identifieras på Din Log Analytics-arbetsyta. Använd en strategi som gör att du kan svara i tid på problem samtidigt som du minimerar dina kostnader. Din prenumeration debiteras för varje aviseringsregel enligt azure monitor-prissättningen.
En rekommenderad strategi är att börja med två aviseringsregler baserat på problemets nivå. Använd en kort frekvens, till exempel var 5:e minut för fel och en längre frekvens, till exempel 24 timmar för varningar. Eftersom Fel indikerar potentiell dataförlust vill du svara på dem snabbt för att minimera eventuella förluster. Varningar indikerar vanligtvis ett problem som inte kräver omedelbar uppmärksamhet, så du kan granska dem dagligen.
Använd processen i Skapa, visa och hantera loggsökningsaviseringar med hjälp av Azure Monitor för att skapa aviseringsreglerna för loggsökning. I följande avsnitt beskrivs information om varje regel.
| Fråga | Tröskelvärde | Period | Frekvens |
|---|---|---|---|
_LogOperation | where Level == "Error" |
0 | 5 | 5 |
_LogOperation | where Level == "Warning" |
0 | 1,440 | 1,440 |
Dessa aviseringsregler svarar på samma sätt på alla åtgärder med fel eller varning. När du blir mer bekant med de åtgärder som genererar aviseringar kanske du vill svara annorlunda för vissa åtgärder. Du kanske till exempel vill skicka meddelanden till olika personer för vissa åtgärder.
Om du vill skapa en aviseringsregel för en viss åtgärd använder du en fråga som innehåller kolumnerna Kategori och Åtgärd .
I följande exempel skapas en varningsavisering när inmatningsvolymen har nått 80 procent av gränsen:
- Mål: Välj din Log Analytics-arbetsyta
- Kriterier:
- Signalnamn: Anpassad loggsökning
- Sökfråga:
_LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning" - Baserat på: Antal resultat
- Villkor: Större än
- Tröskelvärde: 0
- Period: 5 (minuter)
- Frekvens: 5 (minuter)
- Namn på aviseringsregel: Den dagliga datagränsen har nåtts
- Allvarlighetsgrad: Varning (Sev 1)
I följande exempel skapas en varningsavisering när datainsamlingen har nått den dagliga gränsen:
- Mål: Välj din Log Analytics-arbetsyta
- Kriterier:
- Signalnamn: Anpassad loggsökning
- Sökfråga:
_LogOperation | where Category == "Ingestion" | where Operation == "Data collection Status" | where Level == "Warning" - Baserat på: Antal resultat
- Villkor: Större än
- Tröskelvärde: 0
- Period: 5 (minuter)
- Frekvens: 5 (minuter)
- Namn på aviseringsregel: Den dagliga datagränsen har nåtts
- Allvarlighetsgrad: Varning (Sev 1)
Nästa steg
- Läs mer om aviseringar för loggsökning.
- Samla in frågegranskningsdata för din arbetsyta.