Szöveges naplók gyűjtése a Log Analytics-ügynökkel az Azure Monitorban

  • Cikk

Az Azure Monitor Log Analytics-ügynökének Egyéni naplók adatforrása lehetővé teszi az események gyűjtését szöveges fájlokból Windows és Linux rendszerű számítógépeken. Számos alkalmazás szöveges fájlokba naplózza az információkat a szokásos naplózási szolgáltatások, például Windows Eseménynapló vagy a Syslog helyett. Az adatok összegyűjtése után elemezheti őket a lekérdezések egyes mezőibe, vagy kinyerheti őket a gyűjtemény során az egyes mezőkbe.

Fontos

Ez a cikk azt ismerteti, hogyan gyűjthet szöveges naplót a Log Analytics-ügynökkel. Ha az Azure Monitor-ügynököt használja, olvassa el a Szöveges naplók gyűjtése az Azure Monitor-ügynökkel című témakört.

Fontos

Az örökölt Log Analytics-ügynök2024 augusztusára megszűnik. Ezt követően a Microsoft a továbbiakban nem nyújt támogatást a Log Analytics-ügynök számára. 2024 augusztusa előtt migráljon az Azure Monitor-ügynökbe az adatok betöltésének folytatásához.

Diagram that shows custom log collection.

Az összegyűjtendő naplófájlok a következő feltételeknek kell megfelelniük:

  • A naplónak soronként egyetlen bejegyzéssel kell rendelkeznie, vagy az egyes bejegyzések elején az alábbi formátumok egyikének megfelelő időbélyeget kell használnia:

    YYYY-MM-DD HH:MM:SS
    M/D/YYYY HH:MM:SS AM/PM
    H DD, YYYY HH:MM:SS
    yyMMdd HH:mm:ss
    ddMMyy HH:mm:ss
    MMM d hh:mm:ss
    dd/MMM/ééééé:HH:mm:ss zzz
    yyyy-MM-ddTHH:mm:ssK

  • A naplófájl nem engedélyezheti a körkörös naplózást. Ez a viselkedés a naplóforgatás, ahol a fájl új bejegyzésekkel van felülírva, vagy a fájl átnevezve van, és ugyanazt a fájlnevet használja újra a folyamatos naplózáshoz.

  • A naplófájlnak ASCII vagy UTF-8 kódolást kell használnia. Más formátumok, például az UTF-16 nem támogatottak.

  • Linux esetén az időzóna-átalakítás nem támogatott a naplókban szereplő időbélyegek esetében.

  • Ajánlott eljárásként a naplófájlnak tartalmaznia kell a létrehozás dátumát és idejét, hogy megakadályozza a naplóforgatás felülírását vagy átnevezését.

Megjegyzés:

Ha ismétlődő bejegyzések találhatók a naplófájlban, az Azure Monitor összegyűjti őket. A létrehozott lekérdezési eredmények inkonzisztensek lesznek. A szűrőeredmények több eseményt fognak megjeleníteni, mint az eredmények száma. Ellenőriznie kell a naplót annak megállapításához, hogy az azt létrehozó alkalmazás okozza-e ezt a viselkedést. Ha lehetséges, az egyéni naplógyűjtés definíciójának létrehozása előtt elháríthatja a problémát.

A Log Analytics-munkaterületek a következő korlátokat támogatják:

  • Csak 500 egyéni napló hozható létre.
  • A táblák legfeljebb 500 oszlopot támogatnak.
  • The maximum number of characters for the column name is 500.

Fontos

Az egyéni naplógyűjtéshez a naplófájlt író alkalmazásnak rendszeresen ki kell ürítenie a napló tartalmát a lemezre. Ennek az az oka, hogy az egyéni naplógyűjtemény a nyomon követett naplófájl fájlrendszerbeli változásértesítéseire támaszkodik.

Egyéni naplótábla definiálása

Egyéni naplótáblát az alábbi eljárással határozhat meg. Görgessen a cikk végéhez, és tekintse át az egyéni naplók hozzáadásának mintáját.

Az Egyéni napló varázsló megnyitása

Az Egyéni napló varázsló az Azure Portalon fut, és lehetővé teszi egy új, gyűjtendő egyéni napló megadását.

  1. Az Azure Portalon válassza a Log Analytics-munkaterületek a munkaterület> tábláit>.

  2. Válassza a Létrehozás , majd az Új egyéni napló (MMA-alapú) lehetőséget.

    Alapértelmezés szerint a rendszer automatikusan leküldi az összes konfigurációs módosítást az összes ügynöknek. Linux-ügynökök esetén a rendszer konfigurációs fájlt küld a Fluentd-adatgyűjtőnek.

Mintanapló feltöltése és elemzése

Első lépésként töltsön fel egy mintát az egyéni naplóból. A varázsló elemzi és megjeleníti a fájlban lévő bejegyzéseket az ellenőrzéshez. Az Azure Monitor az egyes rekordok azonosításához megadott elválasztójelet fogja használni.

Az Új sor az alapértelmezett elválasztó, és olyan naplófájlokhoz használatos, amelyek soronként egyetlen bejegyzéssel rendelkeznek. Ha a sor egy dátummal és időponttal kezdődik az egyik elérhető formátumban, megadhat egy időbélyeg-elválasztót , amely egynél több sort felölelő bejegyzéseket támogat.

Időbélyeg-elválasztó használata esetén az Azure Monitorban tárolt összes rekord TimeGenerated tulajdonsága ki lesz töltve a naplófájlban az adott bejegyzéshez megadott dátummal és idővel. Ha új sorelválasztót használ, a TimeGenerated ki lesz töltve azzal a dátummal és időponttal, amikor az Azure Monitor összegyűjtötte a bejegyzést.

  1. Válassza a Tallózás lehetőséget, és keresse meg a mintafájlt. Ez a gomb egyes böngészőkben a Fájl kiválasztása címkével jelenhet meg.

  2. Válassza a Következő lehetőséget.

    Az Egyéni napló varázsló feltölti a fájlt, és felsorolja az általa azonosított rekordokat.

  3. Módosítsa az új rekord azonosításához használt elválasztót. Válassza ki azt a határolót, amely a legjobban azonosítja a naplófájl rekordjait.

  4. Válassza a Következő lehetőséget.

Naplógyűjtési útvonalak hozzáadása

Meg kell határoznia egy vagy több elérési utat az ügynökön, ahol megkeresheti az egyéni naplót. Megadhat egy adott elérési utat és nevet a naplófájlhoz, vagy megadhat egy elérési utat helyettesítő karakterrel a névhez. Ez a lépés támogatja azokat az alkalmazásokat, amelyek minden nap új fájlt hoznak létre, vagy amikor egy fájl eléri a kívánt méretet. Több elérési utat is megadhat egyetlen naplófájlhoz.

Előfordulhat például, hogy egy alkalmazás minden nap létrehoz egy naplófájlt a névben szereplő dátummal, mint a log20100316.txt fájlban. Az ilyen naplók mintája lehet a log*.txt, amely az alkalmazás elnevezési sémáját követő naplófájlokra vonatkozik.

Az alábbi táblázat példákat tartalmaz a különböző naplófájlok megadására szolgáló érvényes mintákra.

Leírás Elérési út
A C:\Logs összes fájlja .txt kiterjesztéssel a Windows-ügynökön C:\Logs\*.txt
A C:\Naplók összes fájlja naplóval kezdődő névvel és .txt kiterjesztéssel a Windows-ügynökön C:\Logs\log*.txt
A /var/log/audit fájlban lévő összes fájl .txt kiterjesztéssel a Linux-ügynökön /var/log/audit/*.txt
A /var/log/audit fájlban lévő összes fájl neve naplóval kezdődik, és .txt kiterjesztéssel a Linux-ügynökön /var/log/audit/log*.txt
  1. Válassza a Windows vagy Linux lehetőséget a hozzáadni kívánt elérésiút-formátum megadásához.
  2. Adja meg az elérési utat, és válassza ki a + gombot.
  3. Ismételje meg a folyamatot további elérési utak esetén.

Adja meg a napló nevét és leírását

A megadott név a naplótípushoz lesz használva a leírtak szerint. Mindig _CL végződik, hogy egyéni naplóként különböztetjük meg.

  1. Adja meg a napló nevét. A _CL utótag automatikusan meg van adva.
  2. Adjon hozzá egy opcionális leírást.
  3. Kattintson a Tovább gombra az egyéni naplódefiníció mentéséhez.

Ellenőrizze, hogy az egyéni naplók gyűjtése folyamatban van-e

Akár egy óráig is eltarthat, hogy egy új egyéni napló kezdeti adatai megjelenjenek az Azure Monitorban. Az Azure Monitor megkezdi a bejegyzések gyűjtését az egyéni napló definiálásától megadott elérési úton található naplókból. Nem őrzi meg az egyéni napló létrehozása során feltöltött bejegyzéseket. Összegyűjti a már meglévő bejegyzéseket az általa talált naplófájlokban.

Miután az Azure Monitor megkezdte a gyűjtést az egyéni naplóból, a rekordjai egy napló lekérdezéssel lesznek elérhetők. Használja az egyéni naplónak adott nevet típusként a lekérdezésben.

Megjegyzés:

Ha a RawData tulajdonság hiányzik a lekérdezésből, előfordulhat, hogy be kell zárnia és újra meg kell nyitnia a böngészőt.

Az egyéni naplóbejegyzések elemzése

A teljes naplóbejegyzés egyetlen RawData nevű tulajdonságban lesz tárolva. Valószínűleg minden bejegyzés különböző információinak külön-külön kell különítenie az egyes rekordok egyedi tulajdonságait. A RawData több tulajdonságba történő elemzésével kapcsolatos lehetőségekért lásd: Szövegadatok elemzése az Azure Monitorban.

Egyéni naplótábla törlése

Lásd: Tábla törlése.

Data collection

Az Azure Monitor körülbelül 5 percenként gyűjt új bejegyzéseket az egyes egyéni naplókból. Az ügynök rögzíti a helyét minden olyan naplófájlban, amelyből gyűjt. Ha az ügynök egy ideig offline állapotba kerül, az Azure Monitor összegyűjti azokat a bejegyzéseket, amelyekből utoljára abbahagyta, még akkor is, ha ezek a bejegyzések az ügynök offline állapotában lettek létrehozva.

A naplóbejegyzés teljes tartalma egyetlen RawData nevű tulajdonságba lesz beírva. Ha az egyes importált naplóbejegyzéseket több tulajdonságba szeretné elemezni, tekintse meg a szöveges adatok elemzését az Azure Monitorban.

Egyéni naplórekord tulajdonságai

Az egyéni naplórekordok típusa az Ön által megadott naplónévvel és az alábbi táblázatban szereplő tulajdonságokkal rendelkezik.

Property Leírás
TimeGenerated A rekord Azure Monitor általi gyűjtésének dátuma és időpontja. Ha a napló időalapú elválasztójelet használ, akkor ez a bejegyzésből gyűjtött idő.
SourceSystem Annak az ügynöknek a típusa, amelyből a rekordot gyűjtötték.
OpsManager – Windows-ügynök, közvetlen csatlakozás vagy System Center Operations Manager
Linux – Minden Linux-ügynök
RawData Az összegyűjtött bejegyzés teljes szövege. Ezeket az adatokat valószínűleg egyéni tulajdonságokba szeretné elemezni.
ManagementGroupName A System Center Operations Manager-ügynökök felügyeleti csoportjának neve. Más ügynökök esetében ez a név AOI-munkaterület-azonosító<>.

Egyéni napló hozzáadásának mintaútmutatója

Az alábbi szakasz bemutatja az egyéni naplók létrehozásának példáját. Az összegyűjtött mintanapló minden sorban egyetlen bejegyzéssel rendelkezik, amely dátummal és időponttal kezdődik, majd vesszővel tagolt mezőket tartalmaz a kódhoz, az állapothoz és az üzenethez. Számos mintabejegyzés jelenik meg.

2019-08-27 01:34:36 207,Success,Client 05a26a97-272a-4bc9-8f64-269d154b0e39 connected
2019-08-27 01:33:33 208,Warning,Client ec53d95c-1c88-41ae-8174-92104212de5d disconnected
2019-08-27 01:35:44 209,Success,Transaction 10d65890-b003-48f8-9cfc-9c74b51189c8 succeeded
2019-08-27 01:38:22 302,Error,Application could not connect to database
2019-08-27 01:31:34 303,Error,Application lost connection to database

Mintanapló feltöltése és elemzése

Megadjuk az egyik naplófájlt, és láthatjuk a gyűjtendő eseményeket. Ebben az esetben az új sor megfelelő elválasztójel. Ha a napló egyetlen bejegyzése több sorra is kiterjedhet, akkor időbélyeg-elválasztót kell használni.

Screenshot that shows uploading and parsing a sample log.

Naplógyűjtési útvonalak hozzáadása

A naplófájlok a C:\MyApp\Logs mappában találhatók. Minden nap létrejön egy új fájl, amelynek neve tartalmazza a dátumot az appYYYYMMDD.log mintában. A napló megfelelő mintája a C:\MyApp\Logs\*.log.

Screenshot that shows adding a log collection path.

Adja meg a napló nevét és leírását

A MyApp_CL nevét használjuk, és beírunk egy leírást.

Screenshot that shows adding a log name.

Ellenőrizze, hogy az egyéni naplók gyűjtése folyamatban van-e

A MyApp_CL egyszerű lekérdezésével az összegyűjtött napló összes rekordját visszaadjuk.

Screenshot that shows a log query with no custom fields.

Az egyéni naplók alternatívái

Bár az egyéni naplók akkor hasznosak, ha az adatok megfelelnek a felsorolt feltételeknek, vannak olyan esetek, amikor másik stratégiára van szükség:

  • Az adatok nem felelnek meg a szükséges struktúra, például az időbélyeg más formátumban.
  • A naplófájl nem felel meg az olyan követelményeknek, mint a fájlkódolás vagy a nem támogatott mappastruktúra.
  • Az adatok gyűjtéséhez előfeldolgozásra vagy szűrésre van szükség.

Azokban az esetekben, amikor az adatok nem gyűjthetők egyéni naplókkal, fontolja meg a következő alternatív stratégiákat:

  • Egyéni szkript vagy más módszer használatával adatokat írhat a Windows-eseményekbevagy a Syslogba, amelyeket az Azure Monitor gyűjt.
  • Küldje el az adatokat közvetlenül az Azure Monitornak a HTTP Data Collector API használatával.

Következő lépések

  • Az egyes importált naplóbejegyzések több tulajdonságba történő elemzéséhez tekintse meg az Azure Monitor szöveges adatainak elemzését.
  • Megismerheti a napló lekérdezéseket az adatforrásokból és megoldásokból gyűjtött adatok elemzéséhez.