De status van de Log Analytics-werkruimte in Azure Monitor

Als u de prestaties en beschikbaarheid van uw Log Analytics-werkruimte in Azure Monitor wilt behouden, moet u eventuele problemen die zich voordoen proactief kunnen detecteren. In dit artikel wordt beschreven hoe u de status van uw Log Analytics-werkruimte bewaakt met behulp van gegevens in de tabel Bewerking. Deze tabel is opgenomen in elke Log Analytics-werkruimte en bevat fouten en waarschuwingen die in uw werkruimte optreden. Het is raadzaam om waarschuwingen te maken voor problemen op het niveau Waarschuwing en Fout.

_LogOperation functie

Azure Monitor logboeken verzendt details over eventuele problemen naar de tabel Bewerking in de werkruimte waar het probleem is opgetreden. De _LogOperation is gebaseerd op de tabel Operation en biedt een vereenvoudigde set informatie voor analyse en waarschuwingen.

Kolommen

De _LogOperation retourneert de kolommen in de volgende tabel.

Kolom Beschrijving
TimeGenerated Het tijdstip dat het incident plaatsvond in UTC.
Categorie Categoriegroep bewerking. Kan worden gebruikt om te filteren op typen bewerkingen en om nauwkeurigere systeemcontrole en -waarschuwingen te maken. Zie de onderstaande sectie voor een lijst met categorieën.
Bewerking Beschrijving van het bewerkingstype. De bewerking kan erop wijzen dat een van de Log Analytics-limieten is bereikt, een probleem dat te maken heeft met een back-endproces of een ander servicebericht.
Niveau Ernstniveau van het probleem:
- Info: er is geen specifieke aandacht nodig.
- Waarschuwing: Het proces is niet voltooid zoals verwacht en er is aandacht nodig.
-Fout: Proces is mislukt, aandacht nodig.
Detail Gedetailleerde beschrijving van de bewerking bevat het specifieke foutbericht.
_ResourceId Resource-id van de Azure-resource die is gerelateerd aan de bewerking.
Computer Computernaam als de bewerking is gerelateerd aan een Azure Monitor agent.
CorrelationId Wordt gebruikt om opeenvolgende gerelateerde bewerkingen te groepen.

Categorieën

In de volgende tabel worden de categorieën van de _LogOperation beschreven.

Categorie Beschrijving
Gegevensopname Bewerkingen die deel uitmaken van het gegevens opnameproces.
Agent Geeft aan dat er een probleem is met de installatie van de agent.
Gegevens verzamelen Bewerkingen met betrekking tot processen voor gegevensverzamelingen.
Oplossingstargeting Bewerking van het type ConfigurationScope is verwerkt.
Evaluatieoplossing Er is een evaluatieproces uitgevoerd.

Gegevensopname

Opnamebewerkingen zijn problemen die zijn opgetreden tijdens het opnemen van gegevens, inclusief meldingen over het bereiken van de limieten van de Azure Log Analytics-werkruimte. Foutvoorwaarden in deze categorie kunnen gegevensverlies voorstellen, dus zijn ze belangrijk om te controleren. In de onderstaande tabel vindt u meer informatie over deze bewerkingen. Zie Azure Monitor servicelimieten voor servicelimieten voor Log Analytics-werkruimten.

Bewerking: Gegevensverzameling gestopt

'Het verzamelen van gegevens is gestopt omdat de dagelijkse limiet voor gratis gegevens is bereikt. Opnamestatus = OverQuota"

In de afgelopen 7 dagen is de dagelijkse limiet voor het verzamelen van logboeken bereikt. De limiet wordt ingesteld als de werkruimte is ingesteld op Gratis laag of de dagelijkse verzamelingslimiet is geconfigureerd voor deze werkruimte. Opmerking: nadat de limiet is bereikt, stopt uw gegevensverzameling automatisch voor de dag en wordt deze alleen hervat tijdens de volgende verzamelingsdag.

Aanbevolen acties:

  • Controleer _LogOperation tabel op gebeurtenissen die zijn gestopt en of de verzameling is hervat.
    _LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Data collection"
  • Maak een waarschuwing over de bewerkingsgebeurtenis Gegevensverzameling gestopt. Met deze waarschuwing kunt u een melding ontvangen wanneer de verzamelingslimiet is bereikt.
  • Gegevens die worden verzameld nadat de dagelijkse verzamelingslimiet is bereikt, gaan verloren. Gebruik de blade 'werkruimte-inzichten' om de gebruikstarieven van elke bron te controleren. U kunt ook besluiten om ( Uwmaximaledagelijkse gegevensvolume beheren wijzigt u de prijscategorie in een prijscategorie die uw \ verzamelingstarievenpatroon zal aanpassen).
  • De snelheid van gegevensverzameling wordt per dag berekend en wordt aan het begin van de volgende dag opnieuw ingesteld. U kunt ook de gebeurtenis Verzameling hervatten bewaken door een waarschuwing te maken voor de bewerkingsgebeurtenis Gegevensverzameling hervat.

Bewerking: Opnamesnelheid

"De hoeveelheid gegevens opnemen heeft de drempelwaarde in uw werkruimte overschreden: {0:0,00} MB per minuut en de gegevens zijn uitgevallen."

Aanbevolen acties:

  • Controleer _LogOperation tabel op opnamefrequentiegebeurtenis _LogOperation | where TimeGenerated >= ago(7d) | where Category == "Ingestion" | where Operation has "Ingestion rate" Opmerking: de bewerkingstabel in de werkruimte wordt elke 6 uur uitgevoerd terwijl de drempelwaarde blijft worden overschreden.
  • Maak een waarschuwing over de bewerkingsgebeurtenis Gegevensverzameling gestopt. Met deze waarschuwing kunt u een melding ontvangen wanneer de limiet is bereikt.
  • Gegevens die zijn verzameld terwijl het opnamepercentage 100% is bereikt, worden verloren gegaan.

Blade Werkruimte-inzichten om uw gebruikspatronen te controleren en deze te verminderen.
Voor meer informatie:
Servicebeperkingen van Azure Monitor
Gebruik en kosten voor logboeken Azure Monitor beheren

Bewerking: Maximumaantal tabelkolomten

'Gegevens van het type zijn weggevallen omdat het aantal velden hoger is dan de <table name> limiet voor aangepaste velden per <new fields count> <current field count limit> gegevenstype.'

Aanbevolen acties: voor aangepaste tabellen kunt u over stappen op het parseren van de gegevens in query's.

Bewerking: Validatie van veldinhoud

'De waarden van het type van de volgende velden zijn ingekort tot <field name> de maximaal <table name> toegestane grootte, <field size limit> bytes. Pas uw invoer dienovereenkomstig aan.

Veld groter dan de limietgrootte is geproccesseerd door Azure-logboeken; het veld is beperkt tot de toegestane veldlimiet. We raden u niet aan velden te verzenden die groter zijn dan de toegestane limiet, omdat dit gegevensverlies opnieuw zal veroorzaken.

Aanbevolen acties: Controleer de bron van het betrokken gegevenstype:

  • Als de gegevens worden verzonden via de HTTP Data Collector-API, moet u uw code\script wijzigen om de gegevens te splitsen voordat deze worden opgenomen.
  • Voor aangepaste logboeken, verzameld door de Log Analytics-agent, wijzigt u de instellingen voor logboekregistratie van de toepassing/het hulpprogramma.
  • Voor elk ander gegevenstype moet u een ondersteuningscase doen.
    Meer informatie: Azure Monitor servicelimieten

Gegevens verzamelen

Bewerking: Verzameling van Azure-activiteitenlogboek

'Toegang tot het abonnement is verloren gegaan. Zorg ervoor dat <subscription id> het abonnement zich in de Azure Active Directory <tenant id> tenant. Als het abonnement wordt overgedragen naar een andere tenant, heeft dit geen invloed op de services, maar het kan een uur duren voordat de gegevens voor de tenant zijn doorgegeven. '"

Beschrijving: In sommige gevallen, zoals het verplaatsen van een abonnement naar een andere tenant, kunnen de Azure-activiteitenlogboeken niet meer in de werkruimte stromen. In dergelijke situaties moeten we het abonnement opnieuw verbinden volgens het proces dat in dit artikel wordt beschreven.

Aanbevolen acties:

  • Als het abonnement dat wordt vermeld in het waarschuwingsbericht niet meer bestaat, gaat u naar de blade Azure-activiteitenlogboek onder Gegevensbronnen voor werkruimte, selecteert u het relevante abonnement en selecteert u ten slotte de knop Verbinding verbreken.
  • Als u geen toegang meer hebt tot het abonnement dat wordt vermeld in het waarschuwingsbericht:
    • Volg stap 1 om de verbinding met het abonnement te verbreken.
    • Als u wilt doorgaan met het verzamelen van logboeken van dit abonnement, neem dan contact op met de eigenaar van het abonnement om de machtigingen te herstellen en het verzamelen van activiteitenlogboeken opnieuw in te stellen.
  • Maak een diagnostische instelling voor het verzenden van het activiteitenlogboek naar een Log Analytics-werkruimte.

Agent

Bewerking: Linux-agent

'Twee opeenvolgende configuratietoepassingen van OMS-Instellingen mislukt'

De configuratie-instellingen in de portal zijn gewijzigd.

Aanbevolen actie Dit probleem doet zich voor als de agent een probleem heeft met het ophalen van de nieuwe configuratie-instellingen. U kunt dit probleem oplossen door de agent opnieuw te installeren. Controleer _LogOperation op agentgebeurtenis.

_LogOperation | where TimeGenerated >= ago(6h) | where Category == "Agent" | where Operation == "Linux Agent" | distinct _ResourceId

In de lijst worden de resource-ID's weergegeven waar de agent de verkeerde configuratie heeft. Als u het probleem wilt verhelpen, moet u de vermelde agents opnieuw installeren.

Waarschuwingsregels

Gebruik logboekquerywaarschuwingen in Azure Monitor proactief te worden gewaarschuwd wanneer er een probleem wordt gedetecteerd in uw Log Analytics-werkruimte. Gebruik een strategie waarmee u tijdig kunt reageren op problemen terwijl u uw kosten minimaliseert. Voor elke waarschuwingsregel worden kosten in rekening gebracht voor uw abonnement, zoals vermeld in Azure Monitor prijs.

Een aanbevolen strategie is om te beginnen met twee waarschuwingsregels op basis van het niveau van het probleem. Gebruik een korte frequentie, zoals elke 5 minuten voor fouten en een langere frequentie, zoals 24 uur voor waarschuwingen. Omdat fouten duiden op mogelijk gegevensverlies, wilt u er snel op reageren om het verlies te minimaliseren. Waarschuwingen duiden doorgaans op een probleem waarvoor geen onmiddellijke aandacht nodig is, zodat u ze dagelijks kunt bekijken.

Gebruik het proces in Logboekwaarschuwingen maken, weergeven en beheren met Azure Monitor om de logboekwaarschuwingsregels te maken. In de volgende secties worden de details voor elke regel beschreven.

Query’s uitvoeren Drempelwaarde Periode Frequentie
_LogOperation | where Level == "Error" 0 5 5
_LogOperation | where Level == "Warning" 0 1440 1440

Deze waarschuwingsregels reageren op dezelfde manier op alle bewerkingen met Fout of Waarschuwing. Naarmate u meer vertrouwd bent met de bewerkingen die waarschuwingen genereren, wilt u mogelijk op een andere manier reageren op bepaalde bewerkingen. U kunt bijvoorbeeld meldingen naar verschillende personen verzenden voor bepaalde bewerkingen.

Als u een waarschuwingsregel voor een specifieke bewerking wilt maken, gebruikt u een query die de kolommen Categorie en Bewerking bevat.

In het volgende voorbeeld wordt een waarschuwing gemaakt wanneer het opnamevolume 80% van de limiet heeft bereikt.

  • Doel: Selecteer uw Log Analytics-werkruimte
  • Criteria:
    • Signaalnaam: Aangepast zoeken in logboeken
    • Zoekquery: _LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning"
    • Op basis van: Aantal resultaten
    • Voorwaarde: Groter dan
    • Drempelwaarde: 0
    • Periode: 5 (minuten)
    • Frequentie: 5 (minuten)
  • Naam van waarschuwingsregel: Dagelijkse gegevenslimiet bereikt
  • Ernst: waarschuwing (ernst 1)

In het volgende voorbeeld wordt een waarschuwing gemaakt wanneer de gegevensverzameling de dagelijkse limiet heeft bereikt.

  • Doel: Selecteer uw Log Analytics-werkruimte
  • Criteria:
    • Signaalnaam: Aangepast zoeken in logboeken
    • Zoekquery: _LogOperation | where Category == "Ingestion" | where Operation == "Data collection Status" | where Level == "Warning"
    • Op basis van: Aantal resultaten
    • Voorwaarde: Groter dan
    • Drempelwaarde: 0
    • Periode: 5 (minuten)
    • Frequentie: 5 (minuten)
  • Naam van waarschuwingsregel: Dagelijkse gegevenslimiet bereikt
  • Ernst: waarschuwing (ernst 1)

Volgende stappen