Monitoraggio dei file di log di Linux in System Center Operations ManagerLinux Log file monitoring in System Center Operations Manager

Importante

Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

System Center Operations Manager ora include funzionalità di monitoraggio dei file di log avanzate per i server Linux con la versione più recente dell'agente che usa Fluentd.System Center Operations Manager now has enhanced log file monitoring capabilities for Linux servers by using the newest version of the agent that uses Fluentd. Questo aggiornamento offre i miglioramenti seguenti rispetto al monitoraggio di file di log precedente:This update provides the following improvements over previous log file monitoring:

  • Caratteri jolly nel nome e nel percorso del file di log.Wild card characters in log file name and path.
  • Nuovi modelli di corrispondenza per la ricerca personalizzabile nel log, ad esempio corrispondenza semplice, esclusiva o correlata e correlazione ripetuta o esclusiva.New match patterns for customizable log search like simple match, exclusive match, correlated match, repeated correlation and exclusive correlation.
  • Supporto dei plug-in Fluentd generici pubblicati dalla community Fluentd.Support for generic Fluentd plugins published by the fluentd community.

Funzionamento di baseBasic operation

Il funzionamento di base del monitoraggio dei file di log in Linux include i passaggi seguenti:The basic operation of log file monitoring in Linux includes the following steps:

  1. Il record viene scritto in un log in un agente Linux.Record is written to a log on a Linux agent.
  2. Fluentd raccoglie il record e crea un evento in base alla corrispondenza del modello.Fluentd collects the record and creates an event on pattern match.
  3. L'evento viene inviato al servizio OMED nel server di gestione.Event is sent to OMED service on management server.
  4. Le regole e i monitoraggi in un Management Pack personalizzato raccolgono gli eventi e creano gli avvisi in Operations Manager.Rules and monitors in a custom management pack collect events and create alerts in Operations Manager.

Panoramica della configurazioneOverview of configuration

I passaggi seguenti sono necessari per abilitare il monitoraggio dei file di log negli agenti Linux.The following steps are required to enable log file monitoring on Linux agents. Ognuno di questi passaggi è descritto in dettaglio nelle sezioni seguenti.Each of these steps is described in detail in the following sections.

  1. Importare il Management Pack più recente di Linux.Import the latest Linux management pack.
  2. Installare la versione più recente dell'agente Linux in ogni computer Linux da monitorare.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Creare un file di configurazione Fluentd per raccogliere i log.Create Fluentd configuration file to collect logs.
  4. Copiare il file di configurazione negli agenti Linux.Copy configuration file to Linux agents.
  5. Creare regole e monitoraggi usando il Management Pack di esempio per raccogliere gli eventi dal log e creare avvisi.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Installare la versione più recente dell'agente LinuxInstall the latest version of the Linux agent

La versione più recente dell'agente Linux supporta Fluentd, che è necessario per il monitoraggio avanzato dei file di log.The latest version of the Linux agent supports Fluentd, which is required for enhanced log file monitoring. Per informazioni dettagliate e istruzioni per il processo di installazione per il nuovo agente, vedere Installare l'agente in computer UNIX e Linux dalla riga di comando.You can get details and the installation process for the new agent at Install agent on UNIX and Linux from command line.

Configurare il monitoraggio di file di log di LinuxConfigure Linux Log File monitoring

Il bundle del Management Pack di Linux include la versione più recente dell'agente di Operations Manager (con Fluentd).The Linux Management pack bundle has the latest Operations Manager agent (with Fluentd). Per configurare il monitoraggio di file di log di Linux, è necessario eseguire le operazioni seguenti:To configure Linux log file monitoring, users should perform the following:

  1. Importare il Management Pack di Linux più recente tramite il processo standard per l'installazione di un Management Pack.Import the latest Linux Management pack using the standard process for installing a management pack.
  2. Installare il nuovo agente nei server Linux, manualmente o tramite l'individuazione guidata.Install the new Linux agent on the Linux servers, this can be done through discovery wizard or manually.
  3. Abilitare il servizio OMED in ogni server di gestione nel pool di risorse che gestisce gli agenti Linux.Enable the OMED service on each management server in the resource pool managing the Linux agents.

Il servizio OMED raccoglie gli eventi da Fluentd e li converte in eventi di Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Gli utenti devono importare un Management Pack personalizzato che può generare avvisi in base agli eventi ricevuti dai server Linux.Users should import a custom management pack which can generate alerts based on the events received from the Linux servers.

È possibile abilitare il servizio OMED dalla console operatore oppure manualmente nel server di gestione o nel server gateway.You enable the OMED service either from the Operations console or manually on the management server or gateway server.

Dalla console operatoreFrom Operations console

  1. Dalla Console operatore, passare a Monitoraggio > Operations Manager > Server di gestione > Management Servers State (Stato dei server di gestione).From the Operations Console, go to Monitoring > Operations Manager > Management Server > Management Servers State.
  2. Selezionare il server di gestione nel riquadro Management Servers State (Stato dei server di gestione).Select the management server in the Management Servers state pane.
  3. Nel riquadro Tasks (Attività) selezionare Health Service Tasks > Enable System Center OMED Server (Attività del servizio integrità, Abilita server OMED di System Center).In the Tasks pane, select Health Service Tasks > Enable System Center OMED Server.

ManualmenteManually

  1. Fare clic su Start, digitare services.msc nella casella Avvia ricerca, quindi premere INVIO.Click Start, in the Start Search box, type services.msc , and then press Enter.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Servizio System Center Operations Manager External Datasource, quindi fare clic su Proprietà.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. Nella scheda Generale, in Tipo di avvio, fare clic su Automatico, quindi fare clic su OK.On the General tab, in Startup type , click Automatic, and then click OK.
  4. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul servizio, quindi scegliere Avvia.In the details pane, right-click the service and then click Start.

Creare un file di configurazione di FluentDCreate FluentD configuration file

Le operazioni di Fluentd vengono configurate con un file di configurazione.You configure Fluentd operation with a configuration file. Per il monitoraggio dei log, è necessario creare un file di configurazione che include informazioni quali il nome e il percorso del file di log di origine e i filtri per definire i dati da raccogliere.For log monitoring, you need to create a configuration file that includes such information as source log file name and path and filters to define which data to collect.

Il file di configurazione Fluentd master omsagent.conf si trova in /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. È possibile aggiungere la configurazione del monitoraggio dei file di log direttamente in questo file, ma è consigliabile creare un file di configurazione separato per gestire meglio le diverse impostazioni.You can add log file monitoring configuration directly to this file, but you should create a separate configuration file to better manage the different settings. È quindi possibile usare una direttiva @include nel file master per includere il file personalizzato.You then use an @include directive in the master file to include your custom file.

Ad esempio, se si crea il file logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, è necessario aggiungere una delle righe seguenti a fluent.conf:For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to fluent.conf:

  #Include all configuration files
  @include omsagent.d/*.conf

oppureor

  #include single configuration file
  @include omsagent.d/logmonitoring.conf

Per informazioni dettagliate sui file di configurazione di Fluentd, vedere Fluentd Configuration file syntax (Sintassi del file di configurazione di Fluentd).You can get details on Fluentd configuration files at Fluentd Configuration file syntax. Nelle sezioni seguenti vengono descritte le impostazioni di diverse direttive del file di configurazione specifiche per il monitoraggio dei file di log.The following sections describe settings in different directives of the configuration file unique to log file monitoring. Ogni sezione include impostazioni di esempio che è possibile incollare in un file di configurazione e modificare in base alle specifiche esigenze.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

È disponibile un file di configurazione di esempio completo per il monitoraggio dei log, che è possibile esaminare prima di creare il proprio.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

SourceSource

La direttiva Source definisce l'origine dei dati da raccogliere.The Source directive defines the source of the data you're collecting. Questa è la posizione in cui si definiscono i dettagli del file di log.This is where you define the details of your log file. Fluentd preleva ogni record scritto nell'origine e invia un evento per tale record al motore di routing di Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. È necessario specificare un tag in questa direttiva.You need to specify a tag here in this directive. Il tag è una stringa che viene usata come istruzioni per la correlazione di direttive diverse per il motore di routing interno di Fluentd.The tag is a string that is used as the directions for Fluentd’s internal routing engine to correlate different directives.

Questo esempio mostra i record syslog raccolti e contrassegnati per l'elaborazione da Operations Manager.This example shows syslog records collected and tagged for processing by Operations Manager.

  <source>

      # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
      type tail

      # Specify the log file path. Supports wild cards.
      path /var/log/syslog

      # Recommended so that Fluentd will record the position it last read into this file.
      pos_file /home/user1/fluent-test/demo_syslog.log.pos

      # Used to correlate the directives.
      tag scom.log.syslog

      format /(?<message>.*)/

  </source>

MatchMatch

La direttiva match definisce la modalità di elaborazione degli eventi raccolti dall'origine con tag corrispondenti.The match directive defines how to process events collected from the source with matching tags. Solo gli eventi con un tag corrispondente al modello verranno inviati alla destinazione di output.Only events with a tag matching the pattern will be sent to the output destination. Quando all'interno di un tag match sono elencati più modelli, gli eventi possono corrispondere a uno qualsiasi dei modelli elencati.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Il parametro type che specifica quale plug-in usare per questi eventi.The type parameter that specifies which plugin to use for these events.

Questo esempio elabora gli eventi con tag corrispondenti a scom.log. ** e a scom.alert (** corrisponde a zero o più parti di tag).This example processes events with tags matching scom.log.** and scom.alert (** matches zero or more tag parts). Specifica il plug-in out_scom che consente la raccolta degli eventi tramite il Management Pack di Operations Manager.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

  <match scom.log.** scom.event>

      # Output plugin to use
      type out_scom

      log_level trace
      num_threads 5

      # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the  
      queue and bottom chunk is written out.
      buffer_chunk_limit 5m
      flush_interval 15s

      # Specifies the buffer plugin to use.
      buffer_type file

      # Specifies the file path for buffer. Fluentd must have write access to this directory.
      buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer

      # If queue length exceeds the specified limit, events are rejected.
      buffer_queue_limit 10

      # Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
      buffer_queue_full_action drop_oldest_chunk

      # Number of times Fluentd will attempt to write the chunk if it fails.
      retry_limit 10

      # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
      retry_wait 30s

      # The retry wait time doubles each time until max_retry_wait.
      max_retry_wait 9m

  </match>

Nota

Per disabilitare l'autenticazione server nei computer Linux che usano comunicazioni Fluentd, aggiungere un parametro enable_server_auth false al plug-in out_scom per Fluentd, come indicato di seguito:To disable Server Auth on the Linux machines that are using Fluentd communication, add a parameter enable_server_auth false to the SCOM out plugin for Fluentd, such as the following:

  <match scom.log.** scom.event>
  type out_scom

  max_retry_wait 9m
  enable_server_auth false
  </match>

FiltraFilter

La direttiva filter ha la stessa sintassi di match ma consente di applicare filtri più complessi per i dati da elaborare.The filter directive has same syntax as match but allows for more complex filtering of which data to process. Gli eventi raccolti devono corrispondere ai criteri di tutti i filtri da aggiungere all'output.Collected events must match the criteria of all filters to be added to the output.

Di seguito vengono descritti sei plug-in di filtro per il monitoraggio dei file di log.There are six filter plugins for log file monitoring described here. Usare uno o più di questi filtri per definire gli eventi da raccogliere dal file di log.Use one or more of these filters to define the events that you want to collect from your log file.

Corrispondenza semplice: filter_scom_simple_matchSimple match: filter_scom_simple_match

Accetta fino a 20 modelli di input.Takes up to 20 input patterns. Invia un evento a Operations Manager ogni volta che viene individuata una corrispondenza per un modello.Sends an event to Operations Manager whenever any pattern is matched.

  <filter tag>
      type filter_scom_simple_match
      regexp1 <key> <pattern>
      event_id1 <event ID>
      regexp2 <key> <pattern>
      event_id2 <event ID>
      .
      .
      .
      regexp20 <key> <pattern>
      event_id20 <event ID>
  </filter>

Corrispondenza esclusiva: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Accetta due modelli di input.Takes two input patterns. Invia un evento a Operations Manager quando un singolo record corrisponde al modello 1 ma non corrisponde al modello 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

  <filter tag>
      type filter_scom_excl_match
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
  </filter>

Correlazione ripetuta: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Accetta tre input: un modello, un intervallo di tempo e un numero di occorrenze.Takes three inputs: a patterns, a time interval, and a number of occurrences. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il numero di volte specificato prima della scadenza del timer.An event is sent to Operations Manager if the pattern is matched the specified number of times before the timer ends.

  <filter tag>
      type filter_scom_repeated_cor
      regexp <key> <pattern>
      event_id <event ID>
      time_interval <interval in seconds>
      num_occurences <number of occurrences>
  </filter>

Corrispondenza correlata: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

  <filter tag>
      type filter_scom_cor_match
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
      time_interval <interval in seconds>
  </filter>

Correlazione esclusiva: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se non viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

  <filter tag>
      type filter_scom_excl_correlation
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
      time_interval <interval in seconds>
  </filter>

Convertitore di Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Invia un evento a Operations Manager per tutti i record ricevuti.Sends an event to Operations Manager for all records it receives. Invia l'ID e la descrizione dell'evento specificato come parte dell'evento.Sends the specified event ID and description as part of the event.

  <filter tag>
      type filter_scom_converter
      event_id <event ID>
      event_desc <event description>
  </filter>

Copiare il file di configurazione nell'agenteCopy configuration file to agent

Il file di configurazione fluentd deve essere copiato in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d in tutti i computer Linux che si vuole monitorare.The fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. È anche necessario aggiungere una direttiva @include nel file di configurazione master, come descritto in precedenza.You must also add an @include directive in the master configuration file as described above.

Creare regole e monitoraggiCreate rules and monitors

Il Management Pack di Linux non fornisce i moduli per raccogliere eventi da FluentD.The Linux MP does not provide modules to collect events from FluentD. Il Management Pack di Linux viene fornito in un bundle con l'agente Linux.The Linux MP is bundled with the Linux agent. Si tratta del modulo Fluentd nell'agente Linux e nel servizio OMED nel server di gestione e gateway che fornisce le funzionalità per il monitoraggio avanzato dei file di log.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

È necessario creare un proprio Management Pack con regole e monitoraggi personalizzati che usano il modulo Microsoft.Linux.OMED.EventDataSource che raccoglie gli eventi da Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource which collects the events from Fluentd.

Nella tabella seguente sono elencati i parametri di Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ParametroParameter TipoType DescrizioneDescription
ComputerNameComputerName StringString Obbligatorio.Required. Specifica il nome del computer Linux per cui devono essere letti gli eventi.Specifies the name of the Linux computer for which events to be read. Il parametro ComputerName viene in genere passato al modulo tramite la notazione $Target, anche se può essere specificato come qualsiasi stringa.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Questo modulo tenta di leggere gli eventi generati dal computer Linux specificato.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId StringString Obbligatorio.Required. Specifica l'ID dell'entità gestita dell'entità monitorata.Specifies the managed entity ID of monitored entity. Il parametro ManagedEntityId viene in genere passato al modulo tramite $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber InteroInteger FacoltativoOptional. Indica il numero di eventi dell'evento da recuperare.Indicates the event number of the event to retrieve. Se questa opzione viene omessa, il modulo restituisce tutti gli eventi generati per il computer e l'entità gestita.If this option is omitted, the module returns all events generated for that computer and managed entity.

Panoramica della configurazioneOverview of configuration

I passaggi seguenti sono necessari per abilitare il monitoraggio dei file di log negli agenti Linux.The following steps are required to enable log file monitoring on Linux agents. Ognuno di questi passaggi è descritto in dettaglio nelle sezioni seguenti.Each of these steps is described in detail in the following sections.

  1. Importare il Management Pack più recente di Linux.Import the latest Linux management pack.
  2. Installare la versione più recente dell'agente Linux in ogni computer Linux da monitorare.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Creare un file di configurazione Fluentd per raccogliere i log.Create Fluentd configuration file to collect logs.
  4. Copiare il file di configurazione negli agenti Linux.Copy configuration file to Linux agents.
  5. Creare regole e monitoraggi usando il Management Pack di esempio per raccogliere gli eventi dal log e creare avvisi.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Installare la versione più recente dell'agente LinuxInstall the latest version of the Linux agent

La versione più recente dell'agente Linux supporta Fluentd, che è necessario per il monitoraggio avanzato dei file di log.The latest version of the Linux agent supports Fluentd, which is required for enhanced log file monitoring. Per informazioni dettagliate e istruzioni per il processo di installazione per il nuovo agente, vedere Installare l'agente in computer UNIX e Linux dalla riga di comando.You can get details and the installation process for the new agent at Install agent on UNIX and Linux from command line.

Configurare il monitoraggio di file di log di LinuxConfigure Linux Log File monitoring

Il bundle del Management Pack di Linux include la versione più recente dell'agente di Operations Manager (con Fluentd).The Linux Management pack bundle has the latest Operations Manager agent (with Fluentd). Per configurare il monitoraggio di file di log di Linux, è necessario eseguire le operazioni seguenti:To configure Linux log file monitoring, users should perform the following:

  1. Importare il Management Pack di Linux più recente tramite il processo standard per l'installazione di un Management Pack.Import the latest Linux Management pack using the standard process for installing a management pack.
  2. Installare il nuovo agente nei server Linux, manualmente o tramite l'individuazione guidata.Install the new Linux agent on the Linux servers, this can be done through discovery wizard or manually.
  3. Abilitare il servizio OMED in ogni server di gestione nel pool di risorse che gestisce gli agenti Linux.Enable the OMED service on each management server in the resource pool managing the Linux agents.

Il servizio OMED raccoglie gli eventi da Fluentd e li converte in eventi di Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Gli utenti devono importare un Management Pack personalizzato che può generare avvisi in base agli eventi ricevuti dai server Linux.Users should import a custom management pack which can generate alerts based on the events received from the Linux servers.

È possibile abilitare il servizio OMED dalla console operatore oppure manualmente nel server di gestione o nel server gateway.You enable the OMED service either from the Operations console or manually on the management server or gateway server.

Dalla console operatoreFrom Operations console

  1. Dalla Console operatore, passare a Monitoraggio > Operations Manager > Server di gestione > Management Servers State (Stato dei server di gestione).From the Operations Console, go to Monitoring > Operations Manager > Management Server > Management Servers State.
  2. Selezionare il server di gestione nel riquadro Management Servers State (Stato dei server di gestione).Select the management server in the Management Servers state pane.
  3. Nel riquadro Tasks (Attività) selezionare Health Service Tasks > Enable System Center OMED Server (Attività del servizio integrità, Abilita server OMED di System Center).In the Tasks pane, select Health Service Tasks > Enable System Center OMED Server.

ManualmenteManually

  1. Fare clic su Start, digitare services.msc nella casella Avvia ricerca, quindi premere INVIO.Click Start, in the Start Search box, type services.msc , and then press Enter.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Servizio System Center Operations Manager External Datasource, quindi fare clic su Proprietà.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. Nella scheda Generale, in Tipo di avvio, fare clic su Automatico, quindi fare clic su OK.On the General tab, in Startup type , click Automatic, and then click OK.
  4. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul servizio, quindi scegliere Avvia.In the details pane, right-click the service and then click Start.

Creare un file di configurazione di FluentDCreate FluentD configuration file

Le operazioni di Fluentd vengono configurate con un file di configurazione.You configure Fluentd operation with a configuration file. Per il monitoraggio dei log, è necessario creare un file di configurazione che include informazioni quali il nome e il percorso del file di log di origine e i filtri per definire i dati da raccogliere.For log monitoring, you need to create a configuration file that includes such information as source log file name and path and filters to define which data to collect.

Il file di configurazione Fluentd master omsagent.conf si trova in /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. È possibile aggiungere la configurazione del monitoraggio dei file di log direttamente in questo file, ma è consigliabile creare un file di configurazione separato per gestire meglio le diverse impostazioni.You can add log file monitoring configuration directly to this file, but you should create a separate configuration file to better manage the different settings. È quindi possibile usare una direttiva @include nel file master per includere il file personalizzato.You then use an @include directive in the master file to include your custom file.

Ad esempio, se si crea il file logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, è necessario aggiungere una delle righe seguenti a fluent.conf:For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to fluent.conf:

  #Include all configuration files
  @include omsagent.d/*.conf

oppureor

  #include single configuration file
  @include omsagent.d/logmonitoring.conf

Per informazioni dettagliate sui file di configurazione di Fluentd, vedere Fluentd Configuration file syntax (Sintassi del file di configurazione di Fluentd).You can get details on Fluentd configuration files at Fluentd Configuration file syntax. Nelle sezioni seguenti vengono descritte le impostazioni di diverse direttive del file di configurazione specifiche per il monitoraggio dei file di log.The following sections describe settings in different directives of the configuration file unique to log file monitoring. Ogni sezione include impostazioni di esempio che è possibile incollare in un file di configurazione e modificare in base alle specifiche esigenze.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

È disponibile un file di configurazione di esempio completo per il monitoraggio dei log, che è possibile esaminare prima di creare il proprio.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

SourceSource

La direttiva Source definisce l'origine dei dati da raccogliere.The Source directive defines the source of the data you're collecting. Questa è la posizione in cui si definiscono i dettagli del file di log.This is where you define the details of your log file. Fluentd preleva ogni record scritto nell'origine e invia un evento per tale record al motore di routing di Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. È necessario specificare un tag in questa direttiva.You need to specify a tag here in this directive. Il tag è una stringa che viene usata come istruzioni per la correlazione di direttive diverse per il motore di routing interno di Fluentd.The tag is a string that is used as the directions for Fluentd’s internal routing engine to correlate different directives.

Questo esempio mostra i record syslog raccolti e contrassegnati per l'elaborazione da Operations Manager.This example shows syslog records collected and tagged for processing by Operations Manager.

  <source>

      # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
      type tail

      # Specify the log file path. Supports wild cards.
      path /var/log/syslog

      # Recommended so that Fluentd will record the position it last read into this file.
      pos_file /home/user1/fluent-test/demo_syslog.log.pos

      # Used to correlate the directives.
      tag scom.log.syslog

      format /(?<message>.*)/

  </source>

MatchMatch

La direttiva match definisce la modalità di elaborazione degli eventi raccolti dall'origine con tag corrispondenti.The match directive defines how to process events collected from the source with matching tags. Solo gli eventi con un tag corrispondente al modello verranno inviati alla destinazione di output.Only events with a tag matching the pattern will be sent to the output destination. Quando all'interno di un tag match sono elencati più modelli, gli eventi possono corrispondere a uno qualsiasi dei modelli elencati.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Il parametro type che specifica quale plug-in usare per questi eventi.The type parameter that specifies which plugin to use for these events.

Questo esempio elabora gli eventi con tag corrispondenti a scom.log. ** e a scom.alert (** corrisponde a zero o più parti di tag).This example processes events with tags matching scom.log.** and scom.alert (** matches zero or more tag parts). Specifica il plug-in out_scom che consente la raccolta degli eventi tramite il Management Pack di Operations Manager.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

  <match scom.log.** scom.event>

      # Output plugin to use
      type out_scom

      log_level trace
      num_threads 5

      # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the  
      queue and bottom chunk is written out.
      buffer_chunk_limit 5m
      flush_interval 15s

      # Specifies the buffer plugin to use.
      buffer_type file

      # Specifies the file path for buffer. Fluentd must have write access to this directory.
      buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer

      # If queue length exceeds the specified limit, events are rejected.
      buffer_queue_limit 10

      # Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
      buffer_queue_full_action drop_oldest_chunk

      # Number of times Fluentd will attempt to write the chunk if it fails.
      retry_limit 10

      # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
      retry_wait 30s

      # The retry wait time doubles each time until max_retry_wait.
      max_retry_wait 9m

  </match>

Nota

Per disabilitare l'autenticazione server nei computer Linux che usano comunicazioni Fluentd, aggiungere un parametro enable_server_auth false al plug-in out_scom per Fluentd, come indicato di seguito:To disable Server Auth on the Linux machines that are using Fluentd communication, add a parameter enable_server_auth false to the SCOM out plugin for Fluentd, such as the following:

  <match scom.log.** scom.event>
  type out_scom

  max_retry_wait 9m
  enable_server_auth false
  </match>

FiltraFilter

La direttiva filter ha la stessa sintassi di match ma consente di applicare filtri più complessi per i dati da elaborare.The filter directive has same syntax as match but allows for more complex filtering of which data to process. Gli eventi raccolti devono corrispondere ai criteri di tutti i filtri da aggiungere all'output.Collected events must match the criteria of all filters to be added to the output.

Di seguito vengono descritti sei plug-in di filtro per il monitoraggio dei file di log.There are six filter plugins for log file monitoring described here. Usare uno o più di questi filtri per definire gli eventi da raccogliere dal file di log.Use one or more of these filters to define the events that you want to collect from your log file.

Corrispondenza semplice: filter_scom_simple_matchSimple match: filter_scom_simple_match

Accetta fino a 20 modelli di input.Takes up to 20 input patterns. Invia un evento a Operations Manager ogni volta che viene individuata una corrispondenza per un modello.Sends an event to Operations Manager whenever any pattern is matched.

  <filter tag>
      type filter_scom_simple_match
      regexp1 <key> <pattern>
      event_id1 <event ID>
      regexp2 <key> <pattern>
      event_id2 <event ID>
      .
      .
      .
      regexp20 <key> <pattern>
      event_id20 <event ID>
  </filter>

Corrispondenza esclusiva: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Accetta due modelli di input.Takes two input patterns. Invia un evento a Operations Manager quando un singolo record corrisponde al modello 1 ma non corrisponde al modello 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

  <filter tag>
      type filter_scom_excl_match
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
  </filter>

Correlazione ripetuta: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Accetta tre input: un modello, un intervallo di tempo e un numero di occorrenze.Takes three inputs: a patterns, a time interval, and a number of occurrences. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il numero di volte specificato prima della scadenza del timer.An event is sent to Operations Manager if the pattern is matched the specified number of times before the timer ends.

  <filter tag>
      type filter_scom_repeated_cor
      regexp <key> <pattern>
      event_id <event ID>
      time_interval <interval in seconds>
      num_occurences <number of occurrences>
  </filter>

Corrispondenza correlata: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

  <filter tag>
      type filter_scom_cor_match
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
      time_interval <interval in seconds>
  </filter>

Correlazione esclusiva: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se non viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

  <filter tag>
      type filter_scom_excl_correlation
      regexp1 <key> <pattern1>
      regexp2 <key> <pattern2>
      event_id <event ID>
      time_interval <interval in seconds>
  </filter>

Convertitore di Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Invia un evento a Operations Manager per tutti i record ricevuti.Sends an event to Operations Manager for all records it receives. Invia l'ID e la descrizione dell'evento specificato come parte dell'evento.Sends the specified event ID and description as part of the event.

  <filter tag>
      type filter_scom_converter
      event_id <event ID>
      event_desc <event description>
  </filter>

Copiare il file di configurazione nell'agenteCopy configuration file to agent

Il file di configurazione fluentd deve essere copiato in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d in tutti i computer Linux che si vuole monitorare.The fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. È anche necessario aggiungere una direttiva @include nel file di configurazione master, come descritto in precedenza.You must also add an @include directive in the master configuration file as described above.

Creare regole e monitoraggiCreate rules and monitors

Il Management Pack di Linux non fornisce i moduli per raccogliere eventi da FluentD.The Linux MP does not provide modules to collect events from FluentD. Il Management Pack di Linux viene fornito in un bundle con l'agente Linux.The Linux MP is bundled with the Linux agent. Si tratta del modulo Fluentd nell'agente Linux e nel servizio OMED nel server di gestione e gateway che fornisce le funzionalità per il monitoraggio avanzato dei file di log.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

È necessario creare un proprio Management Pack con regole e monitoraggi personalizzati che usano il modulo Microsoft.Linux.OMED.EventDataSource che raccoglie gli eventi da Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource which collects the events from Fluentd.

Nella tabella seguente sono elencati i parametri di Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ParametroParameter TipoType DescrizioneDescription
ComputerNameComputerName StringString Obbligatorio.Required. Specifica il nome del computer Linux per cui devono essere letti gli eventi.Specifies the name of the Linux computer for which events to be read. Il parametro ComputerName viene in genere passato al modulo tramite la notazione $Target, anche se può essere specificato come qualsiasi stringa.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Questo modulo tenta di leggere gli eventi generati dal computer Linux specificato.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId StringString Obbligatorio.Required. Specifica l'ID dell'entità gestita dell'entità monitorata.Specifies the managed entity ID of monitored entity. Il parametro ManagedEntityId viene in genere passato al modulo tramite $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber InteroInteger FacoltativoOptional. Indica il numero di eventi dell'evento da recuperare.Indicates the event number of the event to retrieve. Se questa opzione viene omessa, il modulo restituisce tutti gli eventi generati per il computer e l'entità gestita.If this option is omitted, the module returns all events generated for that computer and managed entity.

Panoramica della configurazioneOverview of configuration

Il monitoraggio dei file di log richiede i passaggi seguenti. Informazioni dettagliate sono disponibili nelle sezioni seguenti:log file monitoring requires the following steps, detailed information for these is provided in the following sections:

  1. Importare il Management Pack più recente di Linux.Import the latest Linux management pack.
  2. Installare la versione più recente dell'agente Linux in ogni computer Linux da monitorare.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Installare la versione più recente di OMSAgent in ogni computer Linux da monitorare.Install latest OMSAgent on each Linux computer to be monitored.
  4. Creare un file di configurazione Fluentd per raccogliere i log.Create Fluentd configuration file to collect logs.
  5. Copiare il file di configurazione negli agenti Linux.Copy configuration file to Linux agents.
  6. Creare regole e monitoraggi usando il Management Pack di esempio per raccogliere gli eventi dal log e creare avvisi.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Installare il Management Pack di monitoraggio dei logInstall the log monitoring management pack

In Operations Manager 2019 installare il Management Pack Microsoft.Linux.Log.Monitoring per abilitare il monitoraggio dei file di log di Linux.In Operations Manager 2019, install Microsoft.Linux.Log.Monitoring management pack to enable Linux log file monitoring.

Nota

Se è stato configurato l'agente OMS e si prova a disinstallare l'agente UNIX e LINUX dalla console, il componente OMS non verrà disinstallato dall'agente.If you have the OMS agent configured, and you try to uninstall UNIX and LINUX agent from the console, then OMS component will not be uninstalled from the agent.

Configurare il monitoraggio di file di log di LinuxConfigure Linux log file monitoring

Per configurare il monitoraggio di file di log di Linux, seguire questa procedura:To configure Linux log file monitoring, do the following:

  1. Importare il Management Pack di Linux più recente tramite il processo standard per l'installazione di un Management Pack.Import the latest Linux management pack using the standard process for installing a management pack.

  2. Installare il nuovo agente nei server Linux manualmente o usando la procedura guidata Individuazione.Install the new Linux agent on the Linux servers manually or by using Discovery wizard.

  3. Installare la versione più recente di OMSAgent in ogni computer Linux che si vuole monitorare.Install latest OMSAgent on each Linux computer that you want to monitor.

    Usare i comandi seguenti:use the following commands:

    wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard\_agent.sh
    sh onboard_agent.sh
    
    

    Nell'agente Linux eseguire le operazioni seguenti:Do the following on the Linux agent:

  4. Creare le cartelle nei percorsi seguenti:Create the folders in the following paths:

     - /etc/opt/microsoft/omsagent/scom/conf/omsagent.d
    
     - /etc/opt/microsoft/omsagent/scom/certs
    
     - /var/opt/microsoft/omsagent/scom/log
    
     - /var/opt/microsoft/omsagent/scom/run
    
     - /var/opt/microsoft/omsagent/scom/state
    
     - /var/opt/microsoft/omsagent/scom/tmp
    
     - /home/omsagent/fluent-logging (used for log file position file)
    
  5. Impostare la proprietà di ogni omsagent:omiusers precedenteSet ownership of each of the above to omsagent:omiusers

    - <span data-ttu-id="86c0b-123">chown omsagent:omiusers state</span><span class="sxs-lookup"><span data-stu-id="86c0b-123">chown omsagent:omiusers state</span></span>
    
    - <span data-ttu-id="86c0b-124">chown omsagent:omiusers run</span><span class="sxs-lookup"><span data-stu-id="86c0b-124">chown omsagent:omiusers run</span></span>
    
    - <span data-ttu-id="86c0b-125">chown omsagent:omiusers log</span><span class="sxs-lookup"><span data-stu-id="86c0b-125">chown omsagent:omiusers log</span></span>
    
    - <span data-ttu-id="86c0b-126">chown omsagent:omiusers tmp</span><span class="sxs-lookup"><span data-stu-id="86c0b-126">chown omsagent:omiusers tmp</span></span>
    
    - <span data-ttu-id="86c0b-127">chown omsagent:omiusers /home/omsagent/fluent-logging</span><span class="sxs-lookup"><span data-stu-id="86c0b-127">chown omsagent:omiusers /home/omsagent/fluent-logging</span></span>
    
     ![Monitoraggio file di log](../scom/media/log-file-monitoring/log-file-monitoring.png)
    

Abilitare il servizio OMEDEnable the OMED service

Abilitare il servizio OMED in ogni server di gestione nel pool di risorse che gestisce gli agenti Linux.Enable the OMED service on each management server in the resource pool, managing the Linux agents.

Il servizio OMED raccoglie gli eventi da Fluentd e li converte in eventi di Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Si importa un Management Pack personalizzato che può generare avvisi in base agli eventi ricevuti dai server Linux.You import a custom management pack, which can generate alerts based on the events received from the Linux servers.

È possibile abilitare il servizio OMED dalla console operatore oppure manualmente nel server di gestione o nel server gateway.You can enable the OMED service either from the Operations console or manually on the management server or gateway server.

Abilitare il servizio OMED dalla Console operatoreEnable the OMED service from Operations console

  1. Dalla Console operatore passare a Monitoraggio>Operations Manager>Server di gestione>Management Servers State (Stato dei server di gestione).From the Operations console, go to Monitoring>Operations Manager>Management Server>Management Servers State.
  2. Selezionare il server di gestione nel riquadro Management Servers State (Stato dei server di gestione).Select the management server in the Management Servers state.
  3. Da Tasks (Attività) selezionare Health Service Tasks>Enable System Center OMED Server (Attività del servizio integrità > Abilita server OMED di System Center).From Tasks, select Health Service Tasks>Enable System Center OMED Server.

Abilitare manualmente il servizio OMEDEnable the OMED service manually

  1. Fare clic su Start, digitare services.msc nella casella Avvia ricerca, quindi premere INVIO.Click Start in the Start Search box, type services.msc, and then press Enter.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Servizio System Center Operations Manager External Datasource, quindi fare clic su Proprietà.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. In Generale, in Tipo di avvio fare clic su Automatico, quindi fare clic su OK.On General, in Startup type, click Automatic, and then click OK.
  4. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Servizio e quindi scegliere Avvia.In the details pane, right-click Service and then click Start.

Generare il nuovo certificato client per FluentdGenerate new client certificate for Fluentd

  1. /opt/microsoft/scx/bin/tools/scxsslconfig -c -g /etc/opt/microsoft/omsagent/scom/certs//opt/microsoft/scx/bin/tools/scxsslconfig -c -g /etc/opt/microsoft/omsagent/scom/certs/

    Nota

    Il nuovo certificato deve essere firmato dal server di gestione.New certificate must be signed by the Management Server. A tale scopo, copiare il certificato nel server di gestione, firmarlo usando scxcertconfig -sign e copiarlo di nuovo nell'agente LinuxTo do this, copy to management server, sign the certificate using scxcertconfig -sign, and copy it back to the linux agent

  2. Rinominare i certificati sul lato Linux:Rename the certificates on the Linux side:

    omi-host-server.domain.pem in scom-cert.pemomi-host-server.domain.pem to scom-cert.pem

    omikey.pem in scom-key.pemomikey.pem to scom-key.pem

  3. Modificare la proprietà del file del certificato:Change ownership of the certificate file:

    chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pemchown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pem

    chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-key.pemchown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-key.pem

Creare un file di configurazione di FluentdCreate Fluentd configuration file

Le operazioni di Fluentd vengono configurate usando un file di configurazione.You configure Fluentd operation using a configuration file. Per il monitoraggio dei log, creare un file di configurazione che include informazioni quali il nome del file di log di origine, il percorso e i filtri per definire i dati da raccogliere.For log monitoring, create a configuration file that includes information such as source log file name, path and filters to define the data to collect.

Il file di configurazione Fluentd master omsagent.conf si trova in /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. È possibile aggiungere la configurazione del monitoraggio dei file di log direttamente in questo file, ma è consigliabile creare un file di configurazione separato per gestire meglio le diverse impostazioni.You can add log file monitoring configuration directly to this file, but should create a separate configuration file to better manage the different settings. È quindi possibile usare una direttiva @include nel file master per includere il file personalizzato.You then use an @include directive in the master file to include your custom file.

Ad esempio, se si crea il file logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, è necessario aggiungere una delle righe seguenti al file omsagent.d:For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to omsagent.d file:

#Include all configuration files
@include omsagent.d/*.conf

oppureor

#include single configuration file
@include omsagent.d/logmonitoring.conf

Per altre informazioni sui file di configurazione di Fluentd, vedere Fluentd Configuration file syntax (Sintassi del file di configurazione di Fluentd).For more information on Fluentd configuration files, see Fluentd Configuration file syntax.

Nelle sezioni seguenti vengono descritte le impostazioni di diverse direttive del file di configurazione specifiche per il monitoraggio dei file di log.The following sections describe settings in different directives of the configuration file that are unique to log file monitoring. Ogni sezione include impostazioni di esempio che è possibile incollare in un file di configurazione e modificare in base alle specifiche esigenze.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

È disponibile un file di configurazione di esempio completo per il monitoraggio dei log, che è possibile esaminare prima di creare il proprio.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

SourceSource

La direttiva Source definisce l'origine dei dati da raccogliere.The Source directive defines the source of the data you're collecting. Questa è la posizione in cui si definiscono i dettagli del file di log.This is where you define the details of your log file. Fluentd preleva ogni record scritto nell'origine e invia un evento per tale record al motore di routing di Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. Specificare un tag in questa direttiva.Specify a tag here in this directive. Il tag è una stringa che viene usata per fornire istruzioni per la correlazione di direttive diverse per il motore di routing interno di Fluentd.The tag is a string that is used as the directions for Fluentd's internal routing engine to correlate different directives.

L'esempio seguente mostra i record syslog raccolti e contrassegnati per l'elaborazione da Operations Manager.The following example shows syslog records collected and tagged for processing by Operations Manager.

<source>

    # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in\_tail
    type tail

    # Specify the log file path. Supports wild cards.
    path /var/log/syslog

    # Recommended so that Fluentd will record the position it last read into this file.
    pos_file /home/user1/fluent-test/demo_syslog.log.pos

    # Used to correlate the directives.
    tag scom.log.syslog

    format /(?<message>.*)/

</source>

FiltraFilter

La direttiva filter ha la stessa sintassi di Match, ma consente di applicare filtri più complessi per i dati da elaborare.The filter directive has same syntax as Match but allows more complex filtering of which data to process. Gli eventi raccolti devono corrispondere ai criteri di tutti i filtri da aggiungere all'output.Collected events must match the criteria of all filters to be added to the output.

Di seguito vengono descritti sei plug-in di filtro per il monitoraggio dei file di log.There are six filter plugins for log file monitoring described here. Usare uno o più di questi filtri per definire gli eventi da raccogliere dal file di log.Use one or more of these filters to define the events that you want to collect from your log file.

Corrispondenza semplice: filter_scom_simple_matchSimple match: filter_scom_simple_match

Accetta fino a 20 modelli di input.Takes up to 20 input patterns. Invia un evento a Operations Manager ogni volta che viene individuata una corrispondenza per un modello.Sends an event to Operations Manager whenever any pattern is matched.

<filter tag>

    type filter_scom_simple_match
    regexp1 <key> <pattern>
    event_id1 <event ID>
    regexp2 <key> <pattern>
    event_id2 <event ID>
    .
    .
    .
    regexp20 <key> <pattern>
    event_id20 <event ID>
</filter>

Corrispondenza esclusiva: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Accetta due modelli di input.Takes two input patterns. Invia un evento a Operations Manager quando un singolo record corrisponde al modello 1 ma non corrisponde al modello 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

<filter tag>
    type filter_scom_excl_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
</filter>

Correlazione ripetuta: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Accetta tre input: un modello, un intervallo di tempo e il numero di occorrenze.Takes three inputs: a patterns, a time interval, and number of occurrences. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il numero di volte specificato prima della scadenza del timer.An event is sent to Operations Manager if the pattern is matches the specified number of times before the timer ends.

<filter tag>
    type filter_scom_repeated_cor
    regexp <key> <pattern>
    event_id <event ID>
    time_interval <interval in seconds>
    num_occurences <number of occurrences>
</filter>

Corrispondenza correlata: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_cor_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Correlazione esclusiva: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Accetta tre input: due modelli e un intervallo di tempo.Takes three inputs: two patterns and a time interval. Quando viene trovata una corrispondenza per il primo modello, viene avviato un timer.When a match is found for the first pattern, a timer starts. Viene inviato un evento a Operations Manager se non viene individuata una corrispondenza per il secondo modello prima della scadenza del timer.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_excl_correlation
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Convertitore di Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Invia un evento a Operations Manager per tutti i record ricevuti.Sends an event to Operations Manager for all records it receives. Invia l'ID e la descrizione dell'evento specificato come parte dell'evento.Sends the specified event ID and description as part of the event.

<filter tag>
    type filter_scom_converter
    event_id <event ID>
    event_desc <event description>
</filter>

MatchMatch

La direttiva match definisce la modalità di elaborazione degli eventi raccolti dall'origine con tag corrispondenti.The match directive defines how to process events collected from the source with matching tags. Solo gli eventi con un tag corrispondente al modello vengono inviati alla destinazione di output.Only events with a tag matching the pattern are sent to the output destination. Quando all'interno di un tag match sono elencati più modelli, gli eventi possono corrispondere a uno qualsiasi dei modelli elencati.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Il parametro type specifica il tipo di plug-in usare per questi eventi.The type parameter specifies the type of plugin to use for these events.

Questo esempio elabora gli eventi con i tag corrispondenti a scom.log.This example processes events with tags matching scom.log. ** e scom.alert (** corrisponde a zero o più parti di tag).** and scom.alert (** matches zero or more tag parts). Specifica il plug-in out_scom che consente la raccolta degli eventi tramite il Management Pack di Operations Manager.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

<match scom.log.** scom.event>

    # Output plugin to use
     type out_scom

    log_level trace
    num_threads 5

    # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush\_interval, a new empty chunk is pushed to the top of the
    queue and bottom chunk is written out.
    buffer_chunk_limit 5m
    flush_interval 15s

    # Specifies the buffer plugin to use.
    buffer_type file

    # Specifies the file path for buffer. Fluentd must have write access to this directory.
    buffer_path /var/opt/microsoft/omsagent/scom/state/out\_scom\_common\*.buffer

    # If queue length exceeds the specified limit, events are rejected.
    buffer_queue_limit 10

    # Control the buffer behavior when the queue becomes full: exception, block, drop\_oldest\_chunk
    buffer_queue_full_action drop_oldest_chunk

    # Number of times Fluentd will attempt to write the chunk if it fails.
    retry_limit 10

    # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry\_wait seconds
    retry_wait 30s

    # The retry wait time doubles each time until max\_retry\_wait.
    max_retry_wait 9m

</match>

Nota

Per disabilitare l'autenticazione server nei computer Linux che usano comunicazioni Fluentd, aggiungere un parametro enable_server_auth false al plug-in di Operations Manager per Fluentd, come indicato di seguito:To disable Server Authentication on the Linux computers that are using Fluentd communication, add a parameter enable_server_auth false to the Operations Manager plugin for Fluentd, such as the following:

<match scom.log.** scom.event>
type out_scom

max_retry_wait 9m
enable_server_auth false

</match>

Copiare il file di configurazione nell'agenteCopy configuration file to agent

Il file di configurazione di Fluentd deve essere copiato in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d in tutti i computer Linux da monitorare.The Fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. È anche necessario aggiungere una direttiva @include nel file di configurazione master, come descritto in precedenza.You must also add an @include directive in the master configuration file as described above.

Riavviare omsagentRestart omsagent

/opt/microsoft/omsagent/bin/service_control restart/opt/microsoft/omsagent/bin/service_control restart

Nota

Nel server di gestione che esegue il servizio OMED verificare che il firewall sulla porta 8886 sia aperto e che l'archivio certificati delle autorità di certificazione intermedie contenga solo autorità di certificazione intermedie.On the Management Server running the OMED service, ensure the firewall on port 8886 is open and that the intermediate certificate authorities cert store only contains intermediate certificate authorities.

Creare regole e monitoraggiCreate rules and monitors

Il Management Pack di Linux non fornisce i moduli per raccogliere gli eventi da Fluentd e il Management Pack di Linux è aggregato con l'agente Linux.The Linux management pack does not provide modules to collect events from FluentD, the Linux management pack is bundled with the Linux agent. Si tratta del modulo Fluentd nell'agente Linux e nel servizio OMED nel server di gestione e gateway che fornisce le funzionalità per il monitoraggio avanzato dei file di log.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

È necessario creare un proprio Management Pack con regole e monitoraggi personalizzati che usano il modulo Microsoft.Linux.OMED.EventDataSource per raccogliere gli eventi da Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource to collect the events from Fluentd.

Nella tabella seguente sono elencati i parametri di Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ParametroParameter TipoType DescrizioneDescription
ComputerNameComputerName StringString Obbligatorio.Required. Specifica il nome del computer Linux per cui devono essere letti gli eventi.Specifies the name of the Linux computer for which events are to be read. Il parametro ComputerName viene in genere passato al modulo tramite la notazione $Target, anche se può essere specificato come qualsiasi stringa.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Questo modulo tenta di leggere gli eventi generati dal computer Linux specificato.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId StringString Obbligatorio.Required. Specifica l'ID dell'entità gestita dell'entità monitorata.Specifies the managed entity ID of monitored entity. Il parametro ManagedEntityId viene in genere passato al modulo tramite $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber InteroInteger FacoltativoOptional. Indica il numero di eventi dell'evento da recuperare.Indicates the event number of the event to retrieve. Se questa opzione viene omessa, il modulo restituisce tutti gli eventi generati per il computer e l'entità gestitaIf this option is omitted, the module returns all events generated for that computer and managed entity

Passaggi successiviNext steps