Coletar logs de eventos do cliente VM

  • 7 minutos

Os contadores de desempenho do Azure Monitor Metrics e VM insights ajudam a identificar anomalias de desempenho e alertam quando os limites são atingidos. Mas para analisar as causas raiz dos problemas que você deteta, você precisa analisar os dados de log para ver quais eventos do sistema causaram ou contribuíram para os problemas. Nesta unidade, você configura um DCR para coletar dados do Syslog da VM do Linux e exibir os dados de log no Azure Monitor Log Analytics usando uma consulta simples KQL (Kusto Query Language).

O VM insights instala o Azure Monitor Agent e cria um DCR que coleta contadores de desempenho predefinidos, mapeia dependências de processo e apresenta os dados em pastas de trabalho pré-criadas. Você pode criar seus próprios DCRs para coletar contadores de desempenho de VM que o DCR de insights de VM não coleta ou para coletar dados de log.

Ao criar DCRs no portal do Azure, você pode selecionar entre uma variedade de contadores de desempenho e taxas de amostragem ou adicionar contadores de desempenho personalizados. Como alternativa, você pode selecionar a partir de um conjunto predefinido de tipos de log e níveis de severidade ou definir esquemas de log personalizados. Você pode associar um único DCR a qualquer ou a todas as VMs em sua assinatura, mas talvez precise de vários DCRs para coletar diferentes tipos de dados de VMs diferentes.

Criar um DCR para coletar dados de log

No portal do Azure, procure e selecione monitor para ir para a página Visão Geral do Azure Monitor.

Captura de ecrã que mostra a página Descrição Geral do Azure Monitor.

Criar um ponto de extremidade de coleta de dados

Você deve ter um ponto de extremidade de coleta de dados para o qual enviar dados de log. Para criar um ponto de extremidade:

  1. No menu de navegação esquerdo do Azure Monitor, em Configurações, selecione Pontos de extremidade de coleta de dados.
  2. Na página Pontos de extremidade de coleta de dados, selecione Criar.
  3. Na página Criar ponto de extremidade de coleta de dados, para Nome, insira linux-logs-endpoint.
  4. Selecione a mesma Assinatura, grupo de recursos e região que sua VM usa.
  5. Selecione Rever + criar e, quando a validação for aprovada, selecione Criar.

Criar a regra de coleta de dados

Para criar o DCR para coletar os logs de eventos:

  1. No menu de navegação esquerdo do Monitor em Configurações, selecione Regras de Coleta de Dados.

  2. Na página Regras de Coleta de Dados, você pode ver o DCR que as informações da VM criaram. Selecione Criar para criar uma nova regra de coleta de dados.

    Captura de ecrã do ecrã Regras de Recolha de Dados com Criar realçado.

  3. Na guia Noções básicas da tela Criar regra de coleta de dados, forneça as seguintes informações:

    • Nome da regra: Digite collect-events-linux.
    • Assinatura, Grupo de Recursos e Região: selecione o mesmo que para sua VM.
    • Tipo de plataforma: Selecione Linux.

  4. Selecione Avançar: Recursos ou a guia Recursos .

    Captura de ecrã do separador Noções básicas do ecrã Criar Regra de Recolha de Dados.

  5. Na tela Recursos, selecione Adicionar recursos.

  6. Na tela Selecione um escopo, selecione a VM monitored-linux-vm e selecione Aplicar.

  7. Na tela Recursos, selecione Habilitar pontos de extremidade de coleta de dados.

  8. Em Ponto de extremidade de coleta de dados para o linux-vm monitorado, selecione o linux-logs-endpoint que você criou.

  9. Selecione Seguinte: Recolher e entregar ou o separador Recolher e entregar .

    Captura de ecrã do separador Recursos do ecrã Criar Regra de Recolha de Dados.

  10. Na guia Coletar e entregar, selecione Adicionar fonte de dados.

  11. Na tela Adicionar fonte de dados, em Tipo de fonte de dados, selecione Linux Syslog.

  12. Na tela Adicionar fonte de dados, selecione Avançar: Destino ou a guia Destino e verifique se a Conta ou namespace corresponde ao espaço de trabalho do Log Analytics que você deseja usar. Você pode usar o espaço de trabalho padrão do Log Analytics configurado pelo VM Insights ou criar ou usar outro espaço de trabalho do Log Analytics.

  13. Na tela Adicionar fonte de dados, selecione Adicionar fonte de dados.

  14. Na tela Criar Regra de Coleta de Dados, selecione Revisar + criar e, quando a validação for aprovada, selecione Criar.

    Captura de ecrã de Rever + criar realçada no ecrã Criar Regra de Recolha de Dados.

Ver os dados do registo

Você pode visualizar e analisar os dados de log coletados pelo seu DCR usando consultas de log KQL. Um conjunto de consultas KQL de exemplo está disponível para VMs, mas você pode escrever uma consulta para examinar os eventos que seu DCR está coletando.

  1. Na página Visão geral da VM, selecione Logs no menu de navegação esquerdo em Monitoramento. O Log Analytics abre uma janela de consulta vazia com o escopo definido para sua VM.

    Você também pode acessar dados de log selecionando Logs na navegação à esquerda da página Visão Geral do Azure Monitor. Se necessário, selecione Selecionar escopo na parte superior da janela de consulta para definir o escopo da consulta para o espaço de trabalho e a VM do Log Analytics desejados.

    Nota

    A janela Consultas com consultas de exemplo pode ser aberta quando você abre o Log Analytics. Por enquanto, feche esta janela, porque você vai criar manualmente uma consulta simples.

  2. Na janela de consulta vazia, digite Syslog e selecione Executar. Todos os eventos de log do sistema que o DCR coletou dentro do intervalo de tempo são exibidos.

  3. Você pode refinar sua consulta para identificar eventos de interesse. Por exemplo, você pode exibir apenas os eventos que tiveram um SeverityLevel de aviso.

    Captura de tela que mostra os eventos retornados do Syslog pelo DCR.

Verifique o seu conhecimento

1.

Como você pode coletar dados de log de eventos de suas VMs?

2.

Como você pode visualizar os dados de log coletados por um DCR?