Samla in vm-klienthändelseloggar

  • 7 minuter

Prestandaräknare för Azure Monitor-mått och VM-insikter hjälper dig att identifiera prestandaavvikelser och aviseringar när tröskelvärden nås. Men för att analysera de bakomliggande orsakerna till problem som du identifierar måste du analysera loggdata för att se vilka systemhändelser som orsakats eller bidragit till problemen. I den här lektionen konfigurerar du en DCR för att samla in Syslog-data för virtuella Linux-datorer och visa loggdata i Azure Monitor Log Analytics med hjälp av en enkel Kusto-frågespråk-fråga (KQL).

VM-insikter installerar Azure Monitor-agenten och skapar en DCR som samlar in fördefinierade prestandaräknare, mappar processberoenden och presenterar data i fördefinierade arbetsböcker. Du kan skapa egna domänkontrollanter för att samla in prestandaräknare för virtuella datorer som den virtuella datorns insikter DCR inte samlar in eller för att samla in loggdata.

När du skapar domänkontrollanter i Azure Portal kan du välja bland ett antal prestandaräknare och samplingsfrekvenser eller lägga till anpassade prestandaräknare. Du kan också välja från en fördefinierad uppsättning loggtyper och allvarlighetsnivåer eller definiera anpassade loggscheman. Du kan associera en enskild domänkontrollant till valfri eller alla virtuella datorer i din prenumeration, men du kan behöva flera domänkontrollanter för att samla in olika typer av data från olika virtuella datorer.

Skapa en DCR för att samla in loggdata

I Azure Portal söker du efter och väljer övervaka för att gå till sidan Översikt över Azure Monitor.

Skärmbild som visar översiktssidan för Azure Monitor.

Skapa en slutpunkt för datainsamling

Du måste ha en datainsamlingsslutpunkt att skicka loggdata till. Så här skapar du en slutpunkt:

  1. I den vänstra navigeringsmenyn i Azure Monitor under Inställningar väljer du Slutpunkter för datainsamling.
  2. På sidan Slutpunkter för datainsamling väljer du Skapa.
  3. På sidan Skapa datainsamlingsslutpunkt för Namn anger du linux-logs-endpoint.
  4. Välj samma prenumeration, resursgrupp och region som den virtuella datorn använder.
  5. Välj Granska + skapa och välj Skapa när valideringen godkänns.

Skapa datainsamlingsregeln

Så här skapar du DCR för att samla in händelseloggarna:

  1. I den vänstra navigeringsmenyn Övervaka under Inställningar väljer du Regler för datainsamling.

  2. På sidan Regler för datainsamling kan du se DCR som VM-insikter har skapat. Välj Skapa för att skapa en ny regel för datainsamling.

    Skärmbild av skärmen Regler för datainsamling med Skapa markerad.

  3. På fliken Grundinställningarskärmen Skapa regel för datainsamling anger du följande information:

    • Regelnamn: Ange collect-events-linux.
    • Prenumeration, resursgrupp och region: Välj samma som för den virtuella datorn.
    • Plattformstyp: Välj Linux.

  4. Välj Nästa: Resurser eller fliken Resurser .

    Skärmbild av fliken Grundläggande på skärmen Skapa regel för datainsamling.

  5. På skärmen Resurser väljer du Lägg till resurser.

  6. På skärmen Välj ett omfång väljer du den virtuella datorn monitored-linux-vm och väljer sedan Använd.

  7. På skärmen Resurser väljer du Aktivera slutpunkter för datainsamling.

  8. Under Datainsamlingsslutpunkt för den övervakade linux-vm väljer du den linux-logs-endpoint som du skapade.

  9. Välj Nästa: Samla in och leverera, eller fliken Samla in och leverera .

    Skärmbild av fliken Resurser på skärmen Skapa regel för datainsamling.

  10. På fliken Samla in och leverera väljer du Lägg till datakälla.

  11. På skärmen Lägg till datakälla går du till Typ av datakälla och väljer Linux Syslog.

  12. På skärmen Lägg till datakälla väljer du Nästa: Mål eller fliken Mål och kontrollerar att konto- eller namnområdet matchar den Log Analytics-arbetsyta som du vill använda. Du kan använda standardarbetsytan för Log Analytics som VM-insikter har konfigurerat, eller skapa eller använda en annan Log Analytics-arbetsyta.

  13. På skärmen Lägg till datakälla väljer du Lägg till datakälla.

  14. På skärmen Skapa regel för datainsamling väljer du Granska + skapa och när verifieringen har godkänts väljer du Skapa.

    Skärmbild av Granska + skapa markerad på skärmen Skapa datainsamlingsregel.

Visa loggdata

Du kan visa och analysera loggdata som samlas in av din DCR med hjälp av KQL-loggfrågor. En uppsättning KQL-exempelfrågor är tillgängliga för virtuella datorer, men du kan skriva en fråga för att titta på de händelser som dcr samlar in.

  1. På den virtuella datorns översiktssida väljer du Loggar på den vänstra navigeringsmenyn under Övervakning. Log Analytics öppnar ett tomt frågefönster med omfånget inställt på den virtuella datorn.

    Du kan också komma åt loggdata genom att välja Loggar i det vänstra navigeringsfältet på sidan Översikt för Azure Monitor. Om det behövs väljer du Välj omfång överst i frågefönstret för att begränsa frågan till önskad Log Analytics-arbetsyta och virtuell dator.

    Kommentar

    Fönstret Frågor med exempelfrågor kan öppnas när du öppnar Log Analytics. Stäng det här fönstret för tillfället eftersom du ska skapa en enkel fråga manuellt.

  2. I det tomma frågefönstret skriver du Syslog och väljer sedan Kör. Alla systemlogghändelser som DCR samlas in inom tidsintervallet visas.

  3. Du kan förfina din fråga för att identifiera händelser av intresse. Du kan till exempel bara visa de händelser som har en allvarlighetsgradNivå för varning.

    Skärmbild som visar de händelser som returneras från Syslog av DCR.