收集 VM 用戶端事件記錄
Azure 監視器計量和 VM 深入解析效能計數器可協助您識別觸達閾值時的效能異常和警示。 但是若要分析您偵測到問題的根本原因,您需要分析記錄資料,以查看造成或導致問題的系統事件。 在此單元中,您會設 DCR 來收集 Linux VM Syslog 資料,並使用簡單的 Kusto 查詢語言 (KQL) 查詢來檢視 Azure 監視器 Log Analytics 中的記錄資料。
VM 深入解析會安裝 Azure 監視器代理程式,並建立 DCR 來收集預先定義的效能計數器、對應流程相依性,以及在預先建置的活頁簿中呈現資料。 您可以建立自己的 DCR 來收集 VM 深入解析 DCR 未收集的 VM 效能計數器,或收集記錄資料。
當您在 Azure 入口網站 中建立 DCR 時,可以從各種效能計數器和取樣率中選取,或新增自訂效能計數器。 或者,您可以從預先定義的記錄類型和嚴重性層級進行選取,或定義自訂記錄結構描述。 您可以將單一 DCR 與訂用帳戶中的任何或所有 VM 產生關聯,但您可能需要多個 DCR 從不同的 VM 收集不同類型的資料。
建立 DCR 以收集記錄資料
在 Azure 入口網站中,搜尋並選取 [監視] 以移至 Azure 監視器 [概觀] 頁面。
建立資料收集端點
您必須有資料收集端點,才能將記錄資料傳送至端點。 若要建立端點:
- 在 [Azure 監視器] 左側導覽功能表的 [設定] 下,選取 [資料收集端點]。
- 在 [資料收集端點] 頁面上,選取 [建立]。
- 在 [建立資料收集端點] 頁面上,針對 [名稱] 輸入 [linux-logs-endpoint]。
- 選取與 VM 所使用的相同 訂用帳戶、 資源群組 和 區域。
- 選取 [檢閱 + 建立],並在驗證通過時選取 [建立]。
建立資料收集規則
若要建立 DCR 以收集事件記錄:
在 [監視器] 左側導覽功能表的 [設定] 下,選取 [資料收集規則]。
在 [資料收集規則] 頁面上,您可以看到 VM 深入解析所建立的 DCR。 選取 [建立] 以建立新的資料收集規則。
![[資料收集規則] 畫面的螢幕擷取畫面,其中已醒目提示 [建立]。](media/dcr-create.png)
在 [建立資料收集規則] 畫面的 [基本] 索引標籤上,請提供下列資訊:
- 規則名稱:輸入 collect-events-linux。
- 訂用帳戶,資源群組 和 區域:選取與 VM 相同的。
- 平台類型:選取 [Linux]。
選取 [下一步:資源] 或 [資源] 索引標籤。
![[建立資料收集規則] 畫面中 [基本] 索引標籤的螢幕擷取畫面。](media/create-dcr-basics.png)
在 [資源] 畫面上,選取 [+新增資源]。
在 [選取範圍] 畫面上,選取 monitored-linux-vm VM,然後選取 [套用]。
在 [資源] 畫面上,選取 [啟用資料收集端點]。
在 monitored-linux-vm 的 [資料收集端點] 下,選取您建立的 [linux-logs-endpoint]。
選取 [下一步:收集並傳遞],或 [收集並傳遞] 索引標籤。
![[建立資料收集規則] 畫面中 [資源] 索引標籤的螢幕擷取畫面。](media/create-dcr-resources.png)
在 [收集並傳遞] 索引標籤上,選取[+ 新增資料來源]。
在 [新增資料來源] 畫面的 [資料來源類型] 下,選取 [Linux Syslog]。
在 [新增資料來源] 畫面上,選取 [下一步:目的地] 或 [目的地] 索引標籤,並確定 [帳戶或命名空間] 符合您想要使用的 Log Analytics 工作區。 您可以使用 VM 深入解析設定的預設 Log Analytics 工作區,或建立或使用另一個 Log Analytics 工作區。
在 [新增資料來源] 畫面上,選取 [新增資料來源]。
在 [建立資料收集規則] 畫面上,選取 [檢閱 + 建立],然後在驗證通過時選取 [建立]。
![[建立資料收集規則] 畫面中已醒目提示 [檢閱 + 建立] 的螢幕擷取畫面。](media/create-dcr-finish.png)
![[資料收集規則] 畫面的螢幕擷取畫面,其中已醒目提示 [建立]。](media/dcr-create.png#lightbox)
![[建立資料收集規則] 畫面中 [基本] 索引標籤的螢幕擷取畫面。](media/create-dcr-basics.png#lightbox)
![[建立資料收集規則] 畫面中 [資源] 索引標籤的螢幕擷取畫面。](media/create-dcr-resources.png#lightbox)
![[建立資料收集規則] 畫面中已醒目提示 [檢閱 + 建立] 的螢幕擷取畫面。](media/create-dcr-finish.png#lightbox)
檢視記錄資料
您可以使用 KQL 記錄查詢來檢視和分析 DCR 所收集的記錄資料。 VM 可以使用一組範例 KQL 查詢,但您可以撰寫查詢來查看 DCR 正在收集的事件。
在 VM 的 [概觀] 頁面上,從左側導覽功能表的 [監視] 下選取 [記錄]。 Log Analytics 會開啟空白查詢視窗,並將範圍設定為您的 VM。
您也可以從 Azure 監視器 [概觀] 頁面的左側導覽中選取 [記錄] 來存取記錄資料。 如有必要,請選取查詢視窗頂端的 [選取範圍] ,將查詢範圍限定為所需的 Log Analytics 工作區和 VM。
注意
當您開啟 Log Analytics 時,具有範例查詢的 [查詢] 視窗可能會開啟。 您可以關閉此視窗,因為您將手動建立簡單的查詢。
在空的查詢視窗中,輸入 [Syslog],然後選取 [執行]。 會顯示在 [時間範圍內] 收集之 DCR 的所有系統記錄事件。
您可以精簡查詢,以識別感興趣的事件。 例如,您可以只顯示具有 WarningyLevel 警告 的事件。
