Azure Operator Insights-opnameagents bewaken en problemen oplossen
Zie het overzicht van opnameagenten voor een overzicht van opnameagenten.
Als u problemen ondervindt met het verzamelen van gegevens van uw opnameagenten, gebruikt u de informatie in deze sectie om veelvoorkomende problemen op te lossen of een diagnosepakket te maken. U kunt het diagnostische pakket uploaden naar ondersteuningstickets die u in Azure Portal maakt.
De opnameagent is een softwarepakket, dus de diagnostische gegevens zijn beperkt tot de werking van de toepassing. We bieden geen besturingssysteem- of resourcebewaking. U wordt aangemoedigd om standaardhulpprogramma's zoals snmpd, Prometheus-knooppuntexporteur of andere hulpprogramma's te gebruiken om gegevens, logboeken en metrische gegevens op besturingssysteemniveau naar uw eigen bewakingssystemen te verzenden. Virtuele machines bewaken met Azure Monitor beschrijft hulpprogramma's die u kunt gebruiken als uw opnameagents worden uitgevoerd op Azure-VM's.
De agent schrijft logboeken en metrische gegevens naar bestanden onder /var/log/az-aoi-ingestion/. Als de agent om welke reden dan ook niet kan worden gestart, zoals onjuiste configuratie, bevat het bestand stdout.log leesbare logboeken waarin het probleem wordt uitgelegd.
Metrische gegevens worden gerapporteerd in een eenvoudige, mensvriendelijke vorm.
Vereisten
- Voor de meeste van deze technieken voor probleemoplossing hebt u een SSH-verbinding nodig met de VM waarop de agent wordt uitgevoerd.
Diagnostische gegevens van opnameagent
Als u een diagnostisch pakket wilt verzamelen, voert u SSH uit naar de virtuele machine en voert u de opdracht /usr/bin/microsoft/az-aoi-ingestion-gather-diags
uit. Met deze opdracht wordt een zip-bestand met datumstempels gegenereerd in de huidige map die u vanuit het systeem kunt kopiëren.
Als u het verzamelen van logboeken hebt geconfigureerd via de Azure Monitor-agent, kunt u logboeken van de opnameagent bekijken in de portalweergave van uw Log Analytics-werkruimte en hoeft u mogelijk geen diagnosepakket te verzamelen om uw problemen op te sporen.
Notitie
Microsoft Ondersteuning kan diagnostische pakketten aanvragen bij het onderzoeken van een probleem. Diagnostische pakketten bevatten geen klantgegevens of de waarde van referenties.
Veelvoorkomende problemen voor alle bronnen
Problemen vallen breed in vier categorieën.
- Een onjuiste configuratie van een agent, waardoor de agent niet kan worden gestart.
- Een probleem met het ontvangen van gegevens van de bron, meestal onjuiste configuratie of netwerkconnectiviteit.
- Een probleem met het uploaden van bestanden naar het invoeropslagaccount van het gegevensproduct, meestal netwerkconnectiviteit.
- Een probleem met de VM waarop de agent wordt uitgevoerd.
Agent kan niet worden gestart
Symptomen: sudo systemctl status az-aoi-ingestion
geeft aan dat de service de status Mislukt heeft.
- Zorg ervoor dat de service wordt uitgevoerd.
sudo systemctl start az-aoi-ingestion
- Bekijk het bestand /var/log/az-aoi-ingestion/stdout.log en controleer op gemelde fouten. Los eventuele problemen met het configuratiebestand op en start de agent opnieuw.
Er worden geen gegevens weergegeven in AOI
Symptomen: er worden geen gegevens weergegeven in Azure Data Explorer.
- Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de opnameagent-VM en het invoeropslagaccount van het gegevensproduct.
- Controleer de logboeken van de opnameagent op fouten bij het uploaden naar Azure. Als de logboeken verwijzen naar verificatieproblemen, controleert u of de agentconfiguratie de juiste sink-instellingen en verificatie voor uw gegevensproduct heeft. Start vervolgens de agent opnieuw op.
- Controleer of de opnameagent gegevens van de bron ontvangt. Controleer de netwerkconnectiviteit en firewallconfiguratie tussen uw netwerk en de opnameagent.
Problemen met de MCC EDR-bron
In deze sectie worden problemen behandeld die specifiek zijn voor de MCC EDR-bron.
U kunt ook de diagnostische gegevens van de MCC's of door Azure Operator Insights zelf in Azure Monitor gebruiken om opnameproblemen te identificeren en op te sporen.
MCC kan geen verbinding maken
Symptomen: MCC rapporteert waarschuwingen dat MSF's niet beschikbaar zijn.
- Controleer of de agent wordt uitgevoerd.
- Zorg ervoor dat MCC is geconfigureerd met het juiste IP-adres en de juiste poort.
- Controleer de logboeken van de agent en kijk of deze verbindingen rapporteert. Als dat niet het probleem is, controleert u de netwerkverbinding met de agent-VM en controleert u of het verkeer van de firewalls naar poort 36001 niet wordt geblokkeerd.
- Verzamel een pakketopname om te zien waar de verbinding mislukt.
Er worden geen EDR's weergegeven in AOI
Symptomen: er worden geen gegevens weergegeven in Azure Data Explorer.
- Controleer of de MCC in orde is en of opnameagenten worden uitgevoerd.
- Controleer de logboeken van de opnameagent in het diagnostische pakket op fouten die naar Azure worden geüpload. Als de logboeken verwijzen naar een ongeldige verbindingsreeks of verbindingsproblemen, lost u de configuratie, verbindingsreeks of het SAS-token op en start u de agent opnieuw.
- Controleer de netwerkconnectiviteit en firewallconfiguratie in het opslagaccount.
Ontbrekende of onvolledige gegevens
Symptomen: Azure Monitor toont een lagere inkomende EDR-snelheid in ADX dan verwacht.
- Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in de logboeken met diagnostische pakketten.
- Controleer of de agent-VM's niet meer worden verzonden dan de geclassificeerde belasting.
- Controleer de metrische gegevens van de agent in het diagnostische pakket op verwijderde bytes/verwijderde EDR's. Als in de metrische gegevens geen verwijderde gegevens worden weergegeven, verzendt MCC de gegevens niet naar de agent. Controleer de metrische gegevens ontvangen bytes om te zien hoeveel gegevens worden ontvangen van MCC.
- Controleer of de agent-VM niet overbelast is: bewaak CPU- en geheugengebruik. Zorg er met name voor dat er geen ander proces resources van de VIRTUELE machine worden gebruikt.
Problemen met de SFTP-pull-bron
In deze sectie worden problemen behandeld die specifiek zijn voor de SFTP-pull-bron.
U kunt ook de diagnostische gegevens van Azure Operator Insights zelf in Azure Monitor gebruiken om opnameproblemen te identificeren en op te sporen.
Agent kan geen verbinding maken met SFTP-server
Symptomen: er worden geen bestanden geüpload naar AOI. Het logboekbestand van de agent, /var/log/az-aoi-ingestion/stdout.log, bevat fouten over het verbinden van de SFTP-server.
- Controleer of de SFTP-gebruiker en -referenties die door de agent worden gebruikt, geldig zijn voor de SFTP-server.
- Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de agent en de SFTP-server. De SFTP-server moet standaard poort 22 open hebben om SFTP-verbindingen te accepteren.
- Controleer of het
known_hosts
bestand op de agent-VM een geldige openbare SSH-sleutel voor de SFTP-server bevat:- Voer op de VM van de agent de opdracht uit
ssh-keygen -l -F *<sftp-server-IP-or-hostname>*
. - Als er geen uitvoer is,
known_hosts
bevat deze geen overeenkomende vermelding. Volg de instructies in De Opnameagent van Azure Operator Insights instellen om eenknown_hosts
vermelding toe te voegen voor de SFTP-server.
- Voer op de VM van de agent de opdracht uit
Er worden geen bestanden geüpload naar Azure Operator Insights
Symptomen: Er worden geen gegevens weergegeven in Azure Data Explorer. Logboeken van categorie Ingestion
worden niet weergegeven in bewakingsgegevens van Azure Operator Insights of bevatten fouten. Het metrische gegevenskwaliteitsmetrische aantal opgenomen rijen voor het relevante gegevenstype is nul.
- Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in logboeken.
- Controleer of bestanden aanwezig zijn op de juiste locatie op de SFTP-server en of ze niet worden uitgesloten vanwege de configuratie van de bestandsbron (zie Bestanden ontbreken).
- Zorg ervoor dat de geconfigureerde SFTP-gebruiker alle mappen onder de configuratie van de
base_path
bestandsbron kan lezen. - Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de opnameagent-VM en het invoeropslagaccount van het gegevensproduct.
Bestanden ontbreken
Symptomen: Gegevens ontbreken in Azure Data Explorer. Logboeken van categorie Ingestion
in bewakingsgegevens van Azure Operator Insights zijn lager dan verwacht of bevatten fouten. Het metrische gegevenskwaliteitsmetrische aantal opgenomen rijen voor het relevante gegevenstype is lager dan verwacht.
- Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in logboeken. Zoek in de logboeken met diagnostische pakketten naar de naam van het ontbrekende bestand om fouten met betrekking tot dat bestand te vinden.
- Controleer of de bestanden aanwezig zijn op de SFTP-server en of ze niet worden uitgesloten vanwege de configuratie van de bestandsbron. Controleer de configuratie van de bestandsbron en controleer of:
- De bestanden bestaan op de SFTP-server onder het pad dat is gedefinieerd in
base_path
. Zorg ervoor dat er geen symbolische koppelingen in de bestandspaden van de bestanden staan die moeten worden geüpload: de opnameagent negeert symbolische koppelingen. - De tijd 'laatst gewijzigd' van de bestanden is ten minste
settling_time
enkele seconden eerder dan de tijd van de meest recente uploaduitvoering voor deze bestandsbron. - De tijd 'laatst gewijzigd' van de bestanden is later dan
exclude_before_time
(indien opgegeven). - Het bestandspad ten opzichte van
base_path
de reguliere expressie die wordt gegeveninclude_pattern
door (indien opgegeven). - Het bestandspad ten opzichte van die
base_path
komt niet overeen met de reguliere expressie die is opgegevenexclude_pattern
(indien opgegeven).
- De bestanden bestaan op de SFTP-server onder het pad dat is gedefinieerd in
- Als recente bestanden ontbreken, controleert u de agentlogboeken in het diagnostische pakket om te bevestigen dat de opnameagent een uploaduitvoering voor de bron heeft uitgevoerd op het verwachte tijdstip. De
cron
parameter in de bronconfiguratie geeft het verwachte schema. - Controleer of de agent-VM niet overbelast is: bewaak CPU- en geheugengebruik. Zorg er met name voor dat er geen ander proces resources van de VIRTUELE machine worden gebruikt.
Bestanden worden meerdere keren geüpload
Symptomen: Dubbele gegevens worden weergegeven in Azure Operator Insights.
- Controleer of met de opnameagent een fout is opgetreden die opnieuw kan worden geprobeerd in het logboek van het diagnostische pakket bij een vorige upload en probeer het vervolgens meer dan 24 uur na de laatste geslaagde upload opnieuw uit te voeren. In dat geval kan de agent dubbele gegevens uploaden tijdens de poging om het opnieuw te proberen. De duplicatie van gegevens moet alleen van invloed zijn op de poging om het opnieuw te proberen.
- Controleer of de bestandsbronnen die in het configuratiebestand zijn gedefinieerd, verwijzen naar niet-overlappingssets met bestanden. Als meerdere bestandsbronnen zijn geconfigureerd voor het ophalen van bestanden vanaf dezelfde locatie op de SFTP-server, gebruikt u de
include_pattern
velden enexclude_pattern
configuratievelden om afzonderlijke sets bestanden op te geven die door elke bestandsbron moeten worden overwogen. - Als u meerdere exemplaren van de SFTP-opnameagent uitvoert, controleert u of de bestandsbronnen die voor elke agent zijn geconfigureerd, niet overlappen met bestandsbronnen op een andere agent. Kijk met name naar de configuratie van de bestandsbron die per ongeluk is gekopieerd uit de configuratie van een andere agent.
- Als u onlangs de pijplijn
id
voor een geconfigureerde bestandsbron hebt gewijzigd, gebruikt u hetexclude_before_time
veld om te voorkomen dat bestanden opnieuw worden geladen met de nieuwe pijplijnid
. Zie De configuratie wijzigen voor opnameagents voor Azure Operator Insights voor instructies.
Gerelateerde inhoud
Leer hoe u het volgende doet: