Operationele problemen bewaken in uw Azure Monitor Log Analytics-werkruimte
Als u de prestaties en beschikbaarheid van uw Log Analytics-werkruimte in Azure Monitor wilt behouden, moet u proactief eventuele problemen kunnen detecteren die zich voordoen. In dit artikel wordt beschreven hoe u de status van uw Log Analytics-werkruimte bewaakt met behulp van gegevens in de tabel Operation . Deze tabel is opgenomen in elke Log Analytics-werkruimte. Het bevat foutberichten en waarschuwingen die optreden in uw werkruimte. U wordt aangeraden waarschuwingen te maken voor problemen met het niveau waarschuwing en fout.
Vereiste machtigingen
U moet bijvoorbeeld machtigingen hebben Microsoft.OperationalInsights/workspaces/query/*/read voor de Log Analytics-werkruimten die u opvraagt, zoals opgegeven door de ingebouwde rol log analytics-lezer.
_LogOperation, functie
Azure Monitor-logboeken verzenden informatie over problemen met de bewerkingstabel in de werkruimte waar het probleem zich heeft voorgedaan. De _LogOperation systeemfunctie is gebaseerd op de bewerkingstabel en biedt een vereenvoudigde set informatie voor analyse en waarschuwingen.
Kolommen
De _LogOperation functie retourneert de kolommen in de volgende tabel.
| Kolom | Beschrijving |
|---|---|
| TimeGenerated | Tijdstip waarop het incident plaatsvond in UTC. |
| Categorie | Bewerkingscategoriegroep. Kan worden gebruikt om te filteren op typen bewerkingen en om nauwkeurigere systeemcontrole en waarschuwingen te maken. Zie de volgende sectie voor een lijst met categorieën. |
| Operation | Beschrijving van het bewerkingstype. De bewerking kan erop wijzen dat een van de Log Analytics-limieten is bereikt, een probleem met betrekking tot een back-endproces of een ander servicebericht. |
| Niveau | Ernstniveau van het probleem: - Info: Geen specifieke aandacht nodig. - Waarschuwing: het proces is niet voltooid zoals verwacht en er is aandacht nodig. - Fout: proces is mislukt en er is aandacht nodig. |
| Detail | Gedetailleerde beschrijving van de bewerking, bevat het specifieke foutbericht. |
| _ResourceId | Resource-id van de Azure-resource die is gerelateerd aan de bewerking. |
| Computer | Computernaam als de bewerking is gerelateerd aan een Azure Monitor-agent. |
| CorrelationId | Wordt gebruikt om opeenvolgende gerelateerde bewerkingen te groeperen. |
Categorieën
In de volgende tabel worden de categorieën van de _LogOperation functie beschreven.
| Categorie | Beschrijving |
|---|---|
| Opname | Bewerkingen die deel uitmaken van het gegevensopnameproces. |
| Agent | Geeft een probleem aan met de installatie van de agent. |
| Gegevens verzamelen | Bewerkingen met betrekking tot processen voor gegevensverzameling. |
| Oplossingsdoel | De werking van het type ConfigurationScope is verwerkt. |
| Evaluatieoplossing | Er is een evaluatieproces uitgevoerd. |
Opname
Opnamebewerkingen zijn problemen die zijn opgetreden tijdens het opnemen van gegevens en een melding bevatten over het bereiken van de limieten voor de Log Analytics-werkruimte. Foutvoorwaarden in deze categorie kunnen gegevensverlies voorstellen, dus ze zijn belangrijk om te controleren. Zie Azure Monitor-servicelimieten voor servicelimieten voor Log Analytics-werkruimten.
Belangrijk
Als u problemen met gegevensverzameling wilt oplossen voor een scenario dat gebruikmaakt van een regel voor gegevensverzameling (DCR), zoals de Azure Monitor-agent of logboekopname-API, raadpleegt u Monitor en probleemoplossing voor het verzamelen van DCR-gegevens in Azure Monitor voor aanvullende informatie over probleemoplossing.
Bewerking: het verzamelen van gegevens is gestopt
"Het verzamelen van gegevens is gestopt vanwege de dagelijkse limiet van gratis gegevens die zijn bereikt. Opnamestatus = OverQuota"
In de afgelopen zeven dagen heeft de verzameling logboeken de dagelijkse limiet bereikt. De limiet wordt ingesteld omdat de werkruimte is ingesteld op de gratis laag of de limiet voor de dagelijkse verzameling is geconfigureerd voor deze werkruimte. Nadat uw gegevensverzameling de ingestelde limiet heeft bereikt, stopt deze automatisch voor de dag en wordt deze alleen hervat tijdens de volgende verzamelingsdag.
Aanbevolen acties:
- Controleer de
_LogOperationtabel op gestopte en hervate gebeurtenissen voor verzamelingen:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Detail has "Data collection" - Maak een waarschuwing over de bewerkingsgebeurtenis 'Gegevensverzameling gestopt'. Deze waarschuwing waarschuwt u wanneer de verzamelingslimiet is bereikt.
- Gegevens die worden verzameld nadat de dagelijkse verzamelingslimiet is bereikt, gaan verloren. Gebruik het deelvenster Werkruimte-inzichten om de gebruikssnelheden van elke bron te bekijken. U kunt ook besluiten om uw maximale dagelijkse gegevensvolume te beheren of de prijscategorie te wijzigen in een prijscategorie die past bij uw patroon voor verzamelingstarieven.
- Het gegevensverzamelingspercentage wordt per dag berekend en wordt opnieuw ingesteld aan het begin van de volgende dag. U kunt ook een gebeurtenis voor het hervatten van een verzameling bewaken door een waarschuwing te maken voor de bewerkingsgebeurtenis 'Gegevensverzameling hervat'.
Bewerking: opnamesnelheid
"De volumesnelheid voor gegevensopname heeft de drempelwaarde in uw werkruimte overschreden: {0:0,00} MB per minuut en de gegevens zijn verwijderd."
Aanbevolen acties:
- Controleer de
_LogOperationtabel voor een opnamefrequentiegebeurtenis:_LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Ingestion rate"er wordt elke zes uur een gebeurtenis naar de tabel Operation in de werkruimte verzonden terwijl de drempelwaarde nog steeds wordt overschreden. - Maak een waarschuwing over de bewerkingsgebeurtenis 'Gegevensverzameling gestopt'. Deze waarschuwing waarschuwt u wanneer de limiet is bereikt.
- Gegevens die worden verzameld terwijl de opnamesnelheid 100 procent bereikt, worden verwijderd en verloren gegaan. Gebruik het deelvenster Werkruimte-inzichten om uw gebruikspatronen te controleren en probeer deze te verminderen. Zie voor meer informatie:
Bewerking: Maximumaantal tabelkolommen
'Gegevens van het type <tabelnaam> zijn verwijderd omdat het aantal nieuwe velden<> hoger is dan de limiet van <het huidige aantal velden voor> aangepaste velden per gegevenstype.'
Aanbevolen actie: Voor aangepaste tabellen kunt u de gegevens in query's parseren.
Bewerking: Validatie van veldinhoud
"De veldnaam van de waarden <van het type <tabelnaam> van het volgende veld is beperkt tot de maximaal toegestane grootte,< de veldgroottelimiet> bytes.> Pas uw invoer dienovereenkomstig aan."
Een veld dat groter is dan de limietgrootte, is verwerkt door Azure-logboeken. Het veld is ingekort tot de toegestane veldlimiet. Het is niet raadzaam velden te verzenden die groter zijn dan de toegestane limiet, omdat dit leidt tot gegevensverlies.
Aanbevolen acties:
Controleer de bron van het betrokken gegevenstype:
- Als de gegevens worden verzonden via de HTTP Data Collector-API, moet u uw code\script wijzigen om de gegevens te splitsen voordat deze worden opgenomen.
- Voor aangepaste logboeken, verzameld door een Log Analytics-agent, wijzigt u de logboekinstellingen van de toepassing of het hulpprogramma.
- Voor elk ander gegevenstype dient u een ondersteuningsaanvraag in. Zie Azure Monitor-servicelimieten voor meer informatie.
Gegevens verzamelen
De volgende sectie bevat informatie over het verzamelen van gegevens.
Bewerking: Azure-activiteitenlogboekverzameling
'De toegang tot het abonnement is verbroken. Zorg ervoor dat het <abonnements-id-abonnement> zich in de <Tenant-id> Microsoft Entra-tenant bevindt. Als het abonnement wordt overgedragen naar een andere tenant, heeft dit geen invloed op de services, maar kan het tot een uur duren voordat de tenant wordt doorgegeven.
In sommige situaties, zoals het verplaatsen van een abonnement naar een andere tenant, kunnen de Azure-activiteitenlogboeken stoppen met stromen naar de werkruimte. In dergelijke situaties moet u het abonnement opnieuw verbinden volgens het proces dat in dit artikel wordt beschreven.
Aanbevolen acties:
- Als het abonnement dat wordt vermeld in het waarschuwingsbericht niet meer bestaat, gaat u naar het deelvenster Verouderde activiteitenlogboekconnector onder Klassiek. Selecteer het relevante abonnement en selecteer vervolgens de knop Verbinding verbreken .
- Als u geen toegang meer hebt tot het abonnement dat wordt vermeld in het waarschuwingsbericht:
- Volg de voorgaande stap om de verbinding met het abonnement te verbreken.
- Als u wilt doorgaan met het verzamelen van logboeken van dit abonnement, neemt u contact op met de eigenaar van het abonnement om de machtigingen te herstellen en het verzamelen van activiteitenlogboeken opnieuw in te schakelen.
- Maak een diagnostische instelling om het activiteitenlogboek naar een Log Analytics-werkruimte te verzenden.
Agent
De volgende sectie bevat informatie over agents.
Bewerking: Linux-agent
'Twee opeenvolgende configuratietoepassingen van OMS Instellingen mislukt.'
Configuratie-instellingen in de portal zijn gewijzigd.
Aanbevolen actie: dit probleem treedt op als er een probleem is voor de agent om de nieuwe configuratie-instellingen op te halen. U kunt dit probleem oplossen door de agent opnieuw te installeren.
Controleer de _LogOperation tabel voor de agent gebeurtenis:
_LogOperation | where TimeGenerated >= ago(6h) | where Category == "Agent" | where Operation == "Linux Agent" | distinct _ResourceId
In de lijst worden de resource-id's weergegeven waarin de agent de verkeerde configuratie heeft. Installeer de vermelde agents opnieuw om het probleem te verhelpen.
Waarschuwingsregels
Gebruik waarschuwingen voor zoeken in logboeken in Azure Monitor om proactief op de hoogte te worden gesteld wanneer er een probleem wordt gedetecteerd in uw Log Analytics-werkruimte. Gebruik een strategie waarmee u tijdig kunt reageren op problemen terwijl u uw kosten minimaliseert. Uw abonnement wordt in rekening gebracht voor elke waarschuwingsregel, zoals vermeld in de prijzen van Azure Monitor.
Een aanbevolen strategie is om te beginnen met twee waarschuwingsregels op basis van het niveau van het probleem. Gebruik een korte frequentie, zoals elke 5 minuten voor fouten en een langere frequentie, zoals 24 uur voor waarschuwingen. Omdat fouten duiden op mogelijk gegevensverlies, wilt u er snel op reageren om verlies te minimaliseren. Waarschuwingen geven meestal een probleem aan dat geen onmiddellijke aandacht vereist, zodat u ze dagelijks kunt bekijken.
Gebruik het proces in Waarschuwingen voor zoeken in logboeken maken, weergeven en beheren met behulp van Azure Monitor om de waarschuwingsregels voor zoeken in logboeken te maken. In de volgende secties worden de details voor elke regel beschreven.
| Query | Drempelwaarde | Periode | Frequentie |
|---|---|---|---|
_LogOperation | where Level == "Error" |
0 | 5 | 5 |
_LogOperation | where Level == "Warning" |
0 | 1,440 | 1,440 |
Deze waarschuwingsregels reageren op alle bewerkingen met fout of waarschuwing. Naarmate u meer vertrouwd raakt met de bewerkingen die waarschuwingen genereren, wilt u mogelijk anders reageren op bepaalde bewerkingen. U kunt bijvoorbeeld meldingen verzenden naar verschillende personen voor bepaalde bewerkingen.
Als u een waarschuwingsregel voor een specifieke bewerking wilt maken, gebruikt u een query die de kolommen Categorie en Bewerking bevat.
In het volgende voorbeeld wordt een waarschuwing gemaakt wanneer de opnamevolumesnelheid 80 procent van de limiet heeft bereikt:
- Doel: Selecteer uw Log Analytics-werkruimte
- Criteria:
- Signaalnaam: Aangepast zoeken in logboeken
- Zoekquery:
_LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning" - Gebaseerd op: aantal resultaten
- Voorwaarde: Groter dan
- Drempelwaarde: 0
- Periode: 5 (minuten)
- Frequentie: 5 (minuten)
- Naam van waarschuwingsregel: de dagelijkse gegevenslimiet is bereikt
- Ernst: Waarschuwing (Sev 1)
In het volgende voorbeeld wordt een waarschuwing gemaakt wanneer de gegevensverzameling de dagelijkse limiet heeft bereikt:
- Doel: Selecteer uw Log Analytics-werkruimte
- Criteria:
- Signaalnaam: Aangepast zoeken in logboeken
- Zoekquery:
_LogOperation | where Category == "Ingestion" | where Operation == "Data collection Status" | where Level == "Warning" - Gebaseerd op: aantal resultaten
- Voorwaarde: Groter dan
- Drempelwaarde: 0
- Periode: 5 (minuten)
- Frequentie: 5 (minuten)
- Naam van waarschuwingsregel: de dagelijkse gegevenslimiet is bereikt
- Ernst: Waarschuwing (Sev 1)
Volgende stappen
- Meer informatie over waarschuwingen voor zoeken in logboeken.
- Verzamel querycontrolegegevens voor uw werkruimte.