通过

Azure Log Analytics 监视代理故障排除基础知识

  • 项目

注意

Log Analytics 代理(也称为Microsoft监视代理) 将于 2024 年 8 月停用。 因此,Microsoft Defender for Cloud 中计算机计划上的 Defender for Servers 和 Defender for SQL Server 将更新,并且将重新设计依赖于 Log Analytics 代理的功能。 有关详细信息,请参阅为停用 Log Analytics 代理做好准备

本文是排查Microsoft监视代理(MMA)问题的基本指南。

MMA 的基本要求

  • 有关支持的操作系统,请参阅 Log Analytics 代理支持操作系统

  • 有关网络要求,请参阅 Log Analytics 代理 TLS 1.2 协议网络要求

  • 连接到 Log Analytics 工作区时,必须为监视代理配置工作区 ID。

  • 必须具有具有服务器正确主机名的监视代理证书。 安装监视代理时,会自动生成证书。 证书位于 计算机证书\Microsoft Monitoring Agent\Certificates (certlm.msc) 中。

  • 如果使用代理,则必须通过 Log Analytics 网关或代理服务器创建监视代理的代理设置。

如何查找代理版本

可通过两种方法查找监视代理的版本。

使用 MMA 在 VM 或本地服务器上

  1. 登录到服务器,然后转到 控制面板>System and Security。

  2. 选择 Microsoft监视代理,然后选择“ 属性 ”选项卡。应将版本列在那里。

还可以通过运行以下 PowerShell cmdlet 来查询版本:

Get-WmiObject -Class Win32_Product -Filter "Name='Microsoft Monitoring Agent'" -ComputerName.

Azure 门户

  1. 在监视代理连接到的 Log Analytics 工作区中,选择“ 日志”。

  2. 运行以下查询:

    Heartbeat | summarize arg_max(TimeGenerated, *) by Computer

  3. 展开查询结果,然后检查 “版本” 列。

收集 ETL 跟踪进行故障排除

提交监视代理问题的支持票证时,Microsoft支持团队可能会要求 ETL 跟踪收集故障排除信息。 通常,可以使用 GetAgentInfo.ps1 脚本 收集 ETL 跟踪。

如果脚本不起作用,请使用以下步骤手动收集 ETL 跟踪。

  1. 选择“开始,输入 cmd,然后从结果中选择命令提示符以打开命令提示符窗口。

  2. 在命令提示符处,转到以下目录: %programfiles%\Microsoft Monitoring Agent\Agent\Tools

  3. 运行以下命令以停止跟踪日志记录:

    StopTracing.cmd

  4. 运行以下命令以启用详细跟踪日志记录:

    StartTracing.cmd INF

    注意: 在此命令中,“INF”必须为大写。

  5. 重现此问题。

  6. 在命令提示符处运行以下命令以停止跟踪日志记录:

    StopTracing.cmd

  7. 运行以下命令,然后等待所有跟踪转换:

    FormatTracing.cmd

  8. %windowsroot%\Logs\OpsMgrTrace 文件夹中收集跟踪(*.log文件)。

常见问题 (FAQ)

数据缓存/缓冲多长时间?

数据最多缓存或缓冲 8.5 小时。 监视代理尝试每隔 20 秒上传一次。 如果无法上传,它将等待 30 秒,然后再次尝试上传。 之后,等待时间从 30 秒到 60 秒到 120 秒等,最多在重试之间达到 9 分钟。 在放弃数据并前进到下一个“区块”之前,代理将重试 10 次给定的“区块”数据。 此周期将继续,直到代理可以再次成功上传。 实际上,这意味着在丢弃之前,数据将缓冲最多 8.5 小时。 已上传的任何数据将被清除。 重试时间略有随机化,以避免所有代理同时重试。

缓存或缓冲区的最小和最大大小是多少?

默认值为 100 MB,最大值为 1.5 GB。 可以在以下注册表值中修改此设置:

  • 子项: HKLM\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Management Groups\<Management Groups ID>
  • 值: MaximumQueueSizeKb
  • 类型:DWORD
  • 默认值: 102400 (表示 100 MB)
    • 最小值: 5120
    • 最大值: 1536000

如果与 Log Analytics 工作区的连接不可用,会发生什么情况?

代理会逐渐退出重试过程,每次重试最多 8.5 小时。 它将继续无限期重试 8.5 小时,并在达到缓冲区限制时放弃最早的数据。 当代理成功连接时,它将上传数据,直到它返回处理最新数据。

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区