Sammeln von VM-Clientereignisprotokollen

  • 7 Minuten

Azure Monitor-Metriken und VM Insights-Leistungsindikatoren helfen Ihnen, Leistungsanomalien zu ermitteln und Warnungen zu senden, wenn Schwellenwerte erreicht werden. Um jedoch die Grundursachen von erkannten Problemen zu finden, müssen Sie Protokolldaten analysieren, um festzustellen, welche Systemereignisse Probleme verursacht oder zu diesen beigetragen haben. In dieser Lerneinheit richten Sie eine Datensammlungsregel (Data Collection Rule, DCR) zum Sammeln von Syslog-Daten für Linux-VMs ein und zeigen die Protokolldaten in Azure Monitor Log Analytics mithilfe einer einfachen KQL-Abfrage (Kusto-Abfragesprache) an.

VM Insights installiert den Azure Monitor-Agent und erstellt eine DCR, die vordefinierte Leistungsindikatoren sammelt, Prozessabhängigkeiten zuordnet und die Daten in vordefinierten Arbeitsmappen darstellt. Sie können eigene DCRs erstellen, um Leistungsindikatoren für VMs zu sammeln, die die VM Insights-DCR nicht erfasst, oder um Protokolldaten zu sammeln.

Wenn Sie DCRs im Azure-Portal erstellen, können Sie aus einer Reihe von Leistungsindikatoren und Samplingraten auswählen oder benutzerdefinierte Leistungsindikatoren hinzufügen. Sie können auch aus vordefinierten Protokolltypen und Schweregraden auswählen oder benutzerdefinierte Protokollschemas definieren. Sie können einer beliebigen oder allen VMs in Ihrem Abonnement eine einzelne DCR zuordnen. Möglicherweise benötigen Sie jedoch mehrere DCRs, um unterschiedliche Datentypen aus unterschiedlichen VMs zu sammeln.

Erstellen einer DCR zum Sammeln von Protokolldaten

Suchen Sie im Azure-Portal nach Überwachen, um zur Azure Monitor-Seite Übersicht zu gelangen.

Screenshot that shows the Azure Monitor Overview page.

Erstellen eines Datensammlungsendpunkts

Sie müssen über einen Datensammlungsendpunkt verfügen, an den Protokolldaten gesendet werden sollen. So erstellen Sie einen Endpunkt:

  1. Wählen Sie im linken Navigationsmenü von Azure Monitor unter Einstellungen die Option Datensammlungsendpunkte aus.
  2. Wählen Sie auf der Seite Datensammlungsendpunkte die Option Erstellen aus.
  3. Geben Sie auf der Seite Datensammlungsendpunkt erstellen für Name den Wert linux-logs-endpoint ein.
  4. Wählen Sie das gleiche Abonnement, die gleiche Ressourcengruppe und die gleiche Region aus, die Ihre VM verwendet.
  5. Klicken Sie auf Überprüfen + erstellen und nach der Überprüfung auf Erstellen.

Erstellen der Datensammlungsregel

So erstellen Sie die DCR zum Sammeln der Ereignisprotokolle:

  1. Wählen Sie im linken Navigationsmenü von Azure Monitor unter Einstellungen die Option Datensammlungsregeln aus.

  2. Auf der Seite Datensammlungsregeln sehen Sie die DCR, die VM Insights erstellt hat. Wählen Sie Erstellen aus, um eine neue Datensammlungsregel zu erstellen.

    Screenshot of the Data Collection Rules screen with Create highlighted.

  3. Geben Sie auf der Registerkarte Grundeinstellungen des Bildschirms Datensammlungsregel erstellen die folgenden Informationen an:

    • Regelname: Geben Sie collect-events-linux ein.
    • Abonnement, Ressourcengruppe und Region: Wählen Sie die gleiche Option wie für Ihre VM aus.
    • Plattformtyp: Wählen Sie Linux aus.

  4. Klicken Sie auf Weiter: Ressourcen oder die Registerkarte Ressourcen.

    Screenshot of the Basics tab of the Create Data Collection Rule screen.

  5. Wählen Sie auf dem Bildschirm Ressourcen die Option Ressourcen hinzufügen aus.

  6. Wählen Sie auf der Bildschirm Bereich auswählen die VM monitored-linux-vm aus, und wählen Sie dann Übernehmen aus.

  7. Wählen Sie auf dem Bildschirm Ressourcen die Option Datensammlungsendpunkte aktivieren aus.

  8. Wählen Sie unter Datensammlungsendpunkt für monitored-linux-vm den Endpunkt linux-logs-endpoint aus, den Sie erstellt haben.

  9. Klicken Sie auf Weiter: Sammeln und übermitteln oder die Registerkarte Sammeln und übermitteln.

    Screenshot of the Resources tab of the Create Data Collection Rule screen.

  10. Wählen Sie auf der Registerkarte Sammeln und Liefern die Option Datenquelle hinzufügen aus.

  11. Wählen Sie auf dem Bildschirm Datenquelle hinzufügen unter Datenquellentyp die Option Linux-Syslog aus.

  12. Wählen Sie auf dem Bildschirm Datenquelle hinzufügen die Option Weiter: Ziel oder die Registerkarte Ziel aus. Vergewissern Sie sich dann, dass die Angabe unter Konto oder Namespace dem Log Analytics-Arbeitsbereich entspricht, den Sie verwenden möchten. Sie können den Log Analytics-Arbeitsbereich verwenden, den VM Insights standardmäßig eingerichtet hat, oder einen anderen Log Analytics-Arbeitsbereich erstellen oder verwenden.

  13. Wählen Sie auf dem Bildschirm Datenquelle hinzufügen die Option Datenquelle hinzufügen aus.

  14. Wählen Sie auf dem Bildschirm Datensammlungsregel erstellen die Option Überprüfen und erstellen und nach Abschluss der Überprüfung Erstellen aus.

    Screenshot of Review + create highlighted on the Create Data Collection Rule screen.

Anzeigen von Protokolldaten

Sie können die von Ihrer DCR gesammelten Protokolldaten mithilfe von KQL-Protokollabfragen anzeigen und analysieren. Eine Reihe von KQL-Beispielabfragen ist für VMs verfügbar. Sie können jedoch eine einfache Abfrage schreiben, um die Ereignisse zu untersuchen, die Ihre DCR erfasst.

  1. Wählen Sie auf der Seite Übersicht Ihrer VM im linken Navigationsmenü unter Überwachung die Option Protokolle aus. Log Analytics wird mit einem leeren Abfragefenster geöffnet. Der Bereich ist auf Ihre VM festgelegt.

    Sie können auch auf Protokolldaten zugreifen, indem Sie Protokolle über die linke Navigation der Azure Monitor-Seite Übersicht auswählen. Wählen Sie bei Bedarf Bereich auswählen oben im Abfragefenster aus, um die Abfrage auf den gewünschten Log Analytics-Arbeitsbereich und die gewünschte VM zu beschränken.

    Hinweis

    Das Fenster Abfragen mit Beispielabfragen wird möglicherweise geöffnet, wenn Sie Log Analytics öffnen. Schließen Sie dieses Fenster, da Sie manuell eine einfache Abfrage schreiben möchten.

  2. Geben Sie im leeren Abfragefenster Syslog ein, und wählen Sie dann Ausführen aus. Alle Systemprotokollereignisse, die im Zeitbereich erfasst werden, werden angezeigt.

  3. Sie können Ihre Abfrage verfeinern, um relevante Ereignisse zu finden. Sie können beispielsweise nur die Ereignisse anzeigen, die den Wert warning für SeverityLevel aufweisen.

    Screenshot that shows the events returned from the Syslog by the DCR.

Überprüfen Sie Ihr Wissen

1.

Wie können Sie Ereignisprotokolldaten von Ihren VMs sammeln?

2.

Wie können Sie von einer DCR gesammelte Protokolldaten anzeigen?