Azure İzleyici Log Analytics çalışma alanınızdaki işlem sorunlarını izleme
Azure İzleyici'de Log Analytics çalışma alanınızın performansını ve kullanılabilirliğini korumak için ortaya çıkan sorunları proaktif olarak algılayabilmeniz gerekir. Bu makalede, İşlem tablosundaki verileri kullanarak Log Analytics çalışma alanınızın sistem durumunun nasıl izleneceği açıklanır. Bu tablo her Log Analytics çalışma alanına dahildir. Çalışma alanınızda oluşan hata iletilerini ve uyarıları içerir. Uyarı ve Hata düzeyiyle ilgili sorunlar için uyarılar oluşturmanızı öneririz.
Gerekli izinler
Örneğin Log Analytics Okuyucusu yerleşik rolü tarafından sağlandığı gibi sorguladığınız Log Analytics çalışma alanları için izinlere sahip Microsoft.OperationalInsights/workspaces/query/*/read olmanız gerekir.
_LogOperation işlevi
Azure İzleyici Günlükleri, herhangi bir sorunla ilgili bilgileri, sorunun oluştuğu çalışma alanında bulunan İşlem tablosuna gönderir. Sistem işlevi İşlem _LogOperation tablosunu temel alır ve analiz ve uyarı için basitleştirilmiş bir bilgi kümesi sağlar.
Sütunlar
_LogOperation işlevi aşağıdaki tabloda yer alan sütunları döndürür.
| Sütun | Açıklama |
|---|---|
| TimeGenerated | Olayın UTC olarak gerçekleştiği saat. |
| Kategori | İşlem kategorisi grubu. İşlem türlerini filtrelemek ve daha hassas sistem denetimi ve uyarıları oluşturmaya yardımcı olmak için kullanılabilir. Kategorilerin listesi için aşağıdaki bölüme bakın. |
| İşlem | İşlem türünün açıklaması. İşlem Log Analytics sınırlarından birine ulaşıldığını, arka uç işlemiyle ilgili bir sorunu veya başka bir hizmet iletisini gösterebilir. |
| Level | Sorunun önem düzeyi: - Bilgi: Belirli bir dikkat gerekmez. - Uyarı: İşlem beklendiği gibi tamamlanmadı ve dikkat gerekiyor. - Hata: İşlem başarısız oldu ve dikkat gerekiyor. |
| Ayrıntı | İşlemin ayrıntılı açıklaması, belirli bir hata iletisini içerir. |
| _ResourceId | İşlemle ilgili Azure kaynağının kaynak kimliği. |
| Bilgisayar | İşlem bir Azure İzleyici aracısı ile ilgiliyse bilgisayar adı. |
| CorrelationId | Ardışık ilişkili işlemleri gruplandırmak için kullanılır. |
Kategoriler
Aşağıdaki tabloda işlevindeki kategoriler _LogOperation açıklanmaktadır.
| Kategori | Açıklama |
|---|---|
| Alım | Veri alımı işleminin parçası olan işlemler. |
| Aracı | Aracı yüklemesiyle ilgili bir sorunu gösterir. |
| Veri toplama | Veri toplama işlemleriyle ilgili işlemler. |
| Çözüm hedefleme | Türün ConfigurationScope işlemi işlendi. |
| Değerlendirme çözümü | Bir değerlendirme işlemi yürütüldü. |
Alım
Veri alımı işlemleri, veri alımı sırasında oluşan sorunlardır ve Log Analytics çalışma alanı sınırlarına ulaşma hakkında bildirim içerir. Bu kategorideki hata koşulları veri kaybı önerisinde bulunabilir, bu nedenle izlenmesi önemlidir. Log Analytics çalışma alanlarının hizmet sınırları için bkz . Azure İzleyici hizmet sınırları.
Önemli
Azure İzleyici aracısı veya Günlük alımı API'si gibi bir veri toplama kuralı (DCR) kullanan bir senaryo için veri toplama sorunlarını gideriyorsanız ek sorun giderme bilgileri için bkz . Azure İzleyici'de DCR veri toplamayı izleme ve sorunlarını giderme.
İşlem: Veri toplama durduruldu
"Günlük ücretsiz veri sınırına ulaşılması nedeniyle veri toplama durduruldu. Alım durumu = OverQuota"
Son yedi gün içinde günlük koleksiyonu günlük kümesi sınırına ulaştı. Sınır, çalışma alanı Ücretsiz katmanı olarak ayarlandığından veya bu çalışma alanı için günlük koleksiyon sınırı yapılandırıldığında ayarlanır. Veri toplama işleminiz belirlenen sınıra ulaştıktan sonra, gün için otomatik olarak durur ve yalnızca bir sonraki toplama günü boyunca devam eder.
Önerilen eylemler:
_LogOperationTabloyu koleksiyon durduruldu ve koleksiyon sürdürülen olaylar için denetleyin:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Detail has "Data collection"- "Veri toplama durduruldu" İşlem olayında bir uyarı oluşturun. Bu uyarı, koleksiyon sınırına ulaşıldığında size bildirir.
- Günlük toplama sınırına ulaşıldıktan sonra toplanan veriler kaybolur. Her kaynaktan kullanım oranlarını gözden geçirmek için Çalışma Alanı içgörüleri bölmesini kullanın. İsterseniz maksimum günlük veri hacminizi yönetmeye veya fiyatlandırma katmanını koleksiyon fiyatları düzeninize uygun bir katmanla değiştirmeye karar vekleyebilirsiniz.
- Veri toplama hızı günlük olarak hesaplanır ve sonraki günün başlangıcında sıfırlanır. "Veri toplama sürdürüldü" İşlemi olayında bir uyarı oluşturarak koleksiyon sürdürme olayını da izleyebilirsiniz.
İşlem: Alım oranı
"Veri alımı hacmi hızı çalışma alanınızdaki eşiği aştı: bir dakikada {0:0,00} MB ve veriler bırakıldı."
Önerilen eylemler:
- Veri alımı oranı olayının
_LogOperationtablosunu denetleyin:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Ingestion rate"Eşik aşılmaya devam ederken çalışma alanındaki İşlem tablosuna altı saatte bir bir olay gönderilir. - "Veri toplama durduruldu" İşlem olayında bir uyarı oluşturun. Bu uyarı, sınıra ulaşıldığında size bildirir.
- Alım oranı yüzde 100'e ulaşırken toplanan veriler bırakılır ve kaybolur. Kullanım desenlerinizi gözden geçirmek ve azaltmaya çalışmak için Çalışma Alanı içgörüleri bölmesini kullanın. Daha fazla bilgi için bkz:
İşlem: En fazla tablo sütunu sayısı
"Yeni alan sayısı, veri türü <başına geçerli alan sayısı> sınırı> özel alanları< sınırının <üzerinde olduğundan tablo adı> türündeki veriler bırakıldı."
Önerilen eylem: Özel tablolar için sorgulardaki verileri ayrıştırmaya geçebilirsiniz.
İşlem: Alan içeriği doğrulama
"Tablo adı türündeki aşağıdaki alanların değerleri <alan adı>> izin verilen en büyük boyut, <alan boyutu sınır> baytları olacak şekilde kırpıldı.< Lütfen girişinizi buna göre ayarlayın."
Sınır boyutundan daha büyük bir alan Azure günlükleri tarafından işlendi. Alan izin verilen alan sınırına göre kırpıldı. veri kaybına neden olduğundan izin verilen sınırdan daha büyük alanlar göndermenizi önermiyoruz.
Önerilen eylemler:
Etkilenen veri türünün kaynağını denetleyin:
- Veriler HTTP Veri Toplayıcı API'si aracılığıyla gönderiliyorsa, verileri alınmadan önce bölmek için kodunuzu\betiğinizi değiştirmeniz gerekir.
- Log Analytics aracısı tarafından toplanan özel günlükler için uygulamanın veya aracın günlük ayarlarını değiştirin.
- Diğer tüm veri türleri için bir destek olayı oluşturun. Daha fazla bilgi için bkz . Azure İzleyici hizmet sınırları.
Veri toplama
Aşağıdaki bölümde veri toplama hakkında bilgi sağlanır.
İşlem: Azure Etkinlik Günlüğü koleksiyonu
"Aboneliğe erişim kayboldu. Abonelik kimliği aboneliğinin <kiracı kimliği>> Microsoft Entra kiracısında <olduğundan emin olun. Abonelik başka bir kiracıya aktarılırsa, hizmetler üzerinde hiçbir etkisi olmaz, ancak kiracıya ilişkin bilgilerin yayılması bir saate kadar sürebilir."
Aboneliği farklı bir kiracıya taşıma gibi bazı durumlarda Azure etkinlik günlükleri çalışma alanına akmayı durdurabilir. Bu gibi durumlarda, bu makalede açıklanan işlemi izleyerek aboneliği yeniden bağlamanız gerekir.
Önerilen eylemler:
- Uyarı iletisinde belirtilen abonelik artık yoksa Klasik altındaki Eski etkinlik günlüğü bağlayıcısı bölmesine gidin. İlgili aboneliği seçin ve ardından Bağlantıyı Kes düğmesini seçin.
- Uyarı iletisinde belirtilen aboneliğe artık erişiminiz yoksa:
- Aboneliğin bağlantısını kesmek için önceki adımı izleyin.
- Bu abonelikten günlükleri toplamaya devam etmek için abonelik sahibine başvurarak izinleri düzeltin ve etkinlik günlüğü koleksiyonunu yeniden etkinleştirin.
- Etkinlik günlüğünü Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturun.
Aracı
Aşağıdaki bölümde aracılar hakkında bilgi sağlanmaktadır.
İşlem: Linux Aracısı
"OMS'den ardışık iki yapılandırma uygulaması Ayarlar başarısız oldu."
Portaldaki yapılandırma ayarları değişti.
Önerilen eylem: Aracının yeni yapılandırma ayarlarını almasına yönelik bir sorun olması durumunda bu sorun oluşur. Bu sorunu azaltmak için aracıyı yeniden yükleyin.
Aracı olayının _LogOperation tablosunu denetleyin:
_LogOperation | where TimeGenerated >= ago(6h) | where Category == "Agent" | where Operation == "Linux Agent" | distinct _ResourceId
Listede, aracının yanlış yapılandırmaya sahip olduğu kaynak kimlikleri gösterilir. Sorunu azaltmak için listelenen aracıları yeniden yükleyin.
Uyarı kuralları
Log Analytics çalışma alanınızda bir sorun algılandığında proaktif olarak bildirim almak için Azure İzleyici'de günlük araması uyarılarını kullanın. Maliyetlerinizi en aza indirirken sorunlara zamanında yanıt vermenizi sağlayan bir strateji kullanın. Aboneliğiniz, Azure İzleyici fiyatlandırmasında listelenen her uyarı kuralı için ücretlendirilir.
Önerilen bir strateji, sorunun düzeyine göre iki uyarı kuralıyla başlamaktır. Hatalar için 5 dakikada bir gibi kısa bir sıklık ve Uyarılar için 24 saat gibi daha uzun bir sıklık kullanın. Hatalar olası veri kaybını gösterdiğinden, herhangi bir kaybı en aza indirmek için bunlara hızlı bir şekilde yanıt vermek istiyorsunuz. Uyarılar genellikle hemen ilgilenilmesini gerektirmeyen bir sorunu gösterir, bu nedenle bunları günlük olarak gözden geçirebilirsiniz.
Günlük araması uyarı kurallarını oluşturmak için Azure İzleyici'yi kullanarak günlük araması uyarıları oluşturma, görüntüleme ve yönetme başlığı altında bu işlemi kullanın. Aşağıdaki bölümlerde her kuralın ayrıntıları açıklanmaktadır.
| Sorgu | Eşik değeri | Dönem | Sıklık |
|---|---|---|---|
_LogOperation | where Level == "Error" |
0 | 5 | 5 |
_LogOperation | where Level == "Warning" |
0 | 1,440 | 1,440 |
Bu uyarı kuralları Hata veya Uyarı ile tüm işlemlere aynı yanıtı verir. Uyarı oluşturan işlemler hakkında daha fazla bilgi edindikçe, belirli işlemler için farklı yanıtlar vermek isteyebilirsiniz. Örneğin, belirli işlemler için farklı kişilere bildirim göndermek isteyebilirsiniz.
Belirli bir işlem için uyarı kuralı oluşturmak için Kategori ve İşlem sütunlarını içeren bir sorgu kullanın.
Aşağıdaki örnek, alma hacmi oranı sınırın yüzde 80'ine ulaştığında bir Uyarı uyarısı oluşturur:
- Hedef: Log Analytics çalışma alanınızı seçin
- Ölçüt:
- Sinyal adı: Özel günlük araması
- Arama sorgusu:
_LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning" - Temel: Sonuç sayısı
- Koşul: Büyüktür
- Eşik: 0
- Dönem: 5 (dakika)
- Sıklık: 5 (dakika)
- Uyarı kuralı adı: Günlük veri sınırına ulaşıldı
- Önem Derecesi: Uyarı (Önem Derecesi 1)
Aşağıdaki örnek, veri toplama günlük sınıra ulaştığında bir Uyarı uyarısı oluşturur:
- Hedef: Log Analytics çalışma alanınızı seçin
- Ölçüt:
- Sinyal adı: Özel günlük araması
- Arama sorgusu:
_LogOperation | where Category == "Ingestion" | where Operation == "Data collection Status" | where Level == "Warning" - Temel: Sonuç sayısı
- Koşul: Büyüktür
- Eşik: 0
- Dönem: 5 (dakika)
- Sıklık: 5 (dakika)
- Uyarı kuralı adı: Günlük veri sınırına ulaşıldı
- Önem Derecesi: Uyarı (Önem Derecesi 1)
Sonraki adımlar
- Günlük araması uyarıları hakkında daha fazla bilgi edinin.
- Çalışma alanınız için sorgu denetim verilerini toplayın.