Zbieranie dzienników zdarzeń klienta maszyny wirtualnej

Metryki usługi Azure Monitor i liczniki wydajności dotyczące analiz maszyn wirtualnych ułatwiają identyfikowanie anomalii wydajności oraz generowanie alertów, gdy progi zostaną osiągnięte. Jednak aby przeanalizować główne przyczyny wykrytych problemów, należy przeanalizować dane dziennika, aby sprawdzić, które zdarzenia systemowe spowodowały lub przyczyniły się do problemów. W tej lekcji skonfigurujesz kontroler domeny w celu zbierania danych dziennika systemowego maszyny wirtualnej z systemem Linux i wyświetlania danych dziennika w usłudze Azure Monitor Log Analytics przy użyciu prostego zapytania język zapytań Kusto (KQL).

Usługa VM Insights instaluje agenta usługi Azure Monitor i tworzy kontroler domeny, który zbiera wstępnie zdefiniowane liczniki wydajności, mapuje zależności procesów i przedstawia dane we wstępnie utworzonych skoroszytach. Możesz utworzyć własne DCR-y w celu zbierania liczników wydajności maszyn wirtualnych, których wgląd VM nie zbiera, lub zbierania danych dziennika.

Podczas tworzenia zasad zbierania danych (DCR) w portalu Azure, możesz wybrać spośród różnych liczników wydajności i częstotliwości próbkowania lub dodać niestandardowe liczniki wydajności. Alternatywnie możesz wybrać ze wstępnie zdefiniowanego zestawu typów dzienników i poziomów ważności lub zdefiniować niestandardowe schematy dziennika. Można skojarzyć pojedynczą regułę zbierania danych (DCR) z dowolną lub wszystkimi maszynami wirtualnymi w ramach subskrypcji, ale być może konieczne będzie użycie wielu reguł zbierania danych, aby zebrać różne typy danych z różnych maszyn wirtualnych.

Utwórz regułę zbierania danych w celu gromadzenia danych dziennika

W Azure Portal wyszukaj i wybierz Monitor, aby przejść do strony Przegląd usługi Azure Monitor.

Tworzenie punktu końcowego zbierania danych

Aby wysyłać dane dziennika do punktu końcowego zbierania danych, musisz mieć punkt końcowy zbierania danych. Aby utworzyć punkt końcowy:

1. W menu nawigacji po lewej stronie usługi Azure Monitor w obszarze Ustawienia wybierz pozycję Punkty końcowe zbierania danych.
2. Na stronie Punkty końcowe zbierania danych wybierz pozycję Utwórz.
3. Na stronie Tworzenie punktu końcowego zbierania danych w polu Nazwa wprowadź ciąg linux-logs-endpoint.
4. Wybierz tę samą subskrypcję, grupę zasobów i region , z których korzysta maszyna wirtualna.
5. Wybierz pozycję Przejrzyj i utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie reguły zbierania danych

Aby utworzyć zestaw gromadzący dane do zbierania dzienników zdarzeń:

1. W menu nawigacyjnym Monitor po lewej stronie, w obszarze Ustawienia, wybierz Reguły zbierania danych.

2. Na stronie Reguły Zbierania Danych możesz zobaczyć reguły zbierania danych utworzone przez szczegóły dotyczące maszyn wirtualnych. Wybierz pozycję Utwórz , aby utworzyć nową regułę zbierania danych.

   

3. Na karcie Podstawowe ekranu Tworzenie reguły zbierania danych podaj następujące informacje:

   • Nazwa reguły: wprowadź wartość collect-events-linux.
   • Subskrypcja, grupa zasobów i region: wybierz to samo co dla maszyny wirtualnej.
   • Typ platformy: wybierz pozycję Linux.

4. Wybierz pozycję Dalej: zasoby lub kartę Zasoby .

   

5. Na ekranie Zasoby wybierz pozycję Dodaj zasoby.

6. Na ekranie Wybierz zakres wybierz monitorowaną maszynę wirtualną z systemem linux-vm , a następnie wybierz pozycję Zastosuj.

7. Na ekranie Zasoby wybierz pozycję Włącz punkty końcowe zbierania danych.

8. W obszarze Punkt końcowy zbierania danych dla monitorowana-linux-vm wybierz linux-logs-endpoint, który utworzyłeś.

9. Wybierz pozycję Dalej: Zbierz i Dostarczaj lub kartę Zbierz i Dostarczaj.

   

10. Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych.

11. Na ekranie Dodawanie źródła danych w obszarze Typ źródła danych wybierz pozycję Dziennik systemu Linux.

12. Na ekranie Dodawanie źródła danych wybierz pozycję Dalej: miejsce docelowe lub miejsce docelowe i upewnij się, że konto lub przestrzeń nazw są zgodne z obszarem roboczym usługi Log Analytics, którego chcesz użyć. Możesz użyć domyślnego obszaru roboczego usługi Log Analytics, który został skonfigurowany przez wgląd maszyn wirtualnych, lub utworzyć albo użyć innego obszaru roboczego usługi Log Analytics.

13. Na ekranie Dodawanie źródła danych wybierz pozycję Dodaj źródło danych.

14. Na ekranie Tworzenie reguły zbierania danych wybierz pozycję Przejrzyj + utwórz, a po zakończeniu walidacji wybierz pozycję Utwórz.

    

Wyświetlanie danych dziennika

Dane dziennika zebrane przez DCR można wyświetlać i analizować za pomocą zapytań dziennika KQL. Zestaw przykładowych zapytań KQL jest dostępny dla maszyn wirtualnych, ale możesz napisać zapytanie, aby przyjrzeć się zdarzeniom zbieranym przez Twój DCR.

1. Na stronie Przegląd Twojej maszyny wirtualnej wybierz Dzienniki z lewego menu nawigacyjnego w obszarze Monitorowanie. Usługa Log Analytics otwiera puste okno zapytania z zakresem ustawionym na maszynę wirtualną.

   Możesz również uzyskać dostęp do danych dziennika, wybierając Dzienniki z lewej nawigacji na stronie Przegląd usługi Azure Monitor. W razie potrzeby wybierz pozycję Wybierz zakres w górnej części okna zapytania, aby ograniczyć zakres zapytania do żądanego obszaru roboczego usługi Log Analytics i maszyny wirtualnej.

   Uwaga

   Okno Zapytania z przykładowymi zapytaniami może zostać otwarte po otwarciu usługi Log Analytics. Na razie zamknij to okno, ponieważ ręcznie utworzysz proste zapytanie.

2. W pustym oknie zapytania wpisz Syslog, a następnie wybierz pozycję Uruchom. Wszystkie zdarzenia dziennika systemu, które zostały zebrane przez DCR w zakresie czasu, są wyświetlane.

3. Zapytanie można uściślić, aby zidentyfikować interesujące zdarzenia. Na przykład można wyświetlić tylko zdarzenia, które miały poziom ważnościostrzeżenie.