Azure Operator Insights-opnameagents bewaken en problemen oplossen

Zie het overzicht van opnameagenten voor een overzicht van opnameagenten.

Als u problemen ondervindt met het verzamelen van gegevens van uw opnameagenten, gebruikt u de informatie in deze sectie om veelvoorkomende problemen op te lossen of een diagnosepakket te maken. U kunt het diagnostische pakket uploaden naar ondersteuningstickets die u in Azure Portal maakt.

De opnameagent is een softwarepakket, dus de diagnostische gegevens zijn beperkt tot de werking van de toepassing. We bieden geen besturingssysteem- of resourcebewaking. U wordt aangemoedigd om standaardhulpprogramma's zoals snmpd, Prometheus-knooppuntexporteur of andere hulpprogramma's te gebruiken om gegevens, logboeken en metrische gegevens op besturingssysteemniveau naar uw eigen bewakingssystemen te verzenden. Virtuele machines bewaken met Azure Monitor beschrijft hulpprogramma's die u kunt gebruiken als uw opnameagents worden uitgevoerd op Azure-VM's.

De agent schrijft logboeken en metrische gegevens naar bestanden onder /var/log/az-aoi-ingestion/. Als de agent om welke reden dan ook niet kan worden gestart, zoals onjuiste configuratie, bevat het bestand stdout.log leesbare logboeken waarin het probleem wordt uitgelegd.

Metrische gegevens worden gerapporteerd in een eenvoudige, mensvriendelijke vorm.

Vereisten

• Voor de meeste van deze technieken voor probleemoplossing hebt u een SSH-verbinding nodig met de VM waarop de agent wordt uitgevoerd.

Diagnostische gegevens van opnameagent

Als u een diagnostisch pakket wilt verzamelen, voert u SSH uit naar de virtuele machine en voert u de opdracht /usr/bin/microsoft/az-aoi-ingestion-gather-diagsuit. Met deze opdracht wordt een zip-bestand met datumstempels gegenereerd in de huidige map die u vanuit het systeem kunt kopiëren.

Als u het verzamelen van logboeken hebt geconfigureerd via de Azure Monitor-agent, kunt u logboeken van de opnameagent bekijken in de portalweergave van uw Log Analytics-werkruimte en hoeft u mogelijk geen diagnosepakket te verzamelen om uw problemen op te sporen.

Notitie

Microsoft Ondersteuning kan diagnostische pakketten aanvragen bij het onderzoeken van een probleem. Diagnostische pakketten bevatten geen klantgegevens of de waarde van referenties.

Veelvoorkomende problemen voor alle bronnen

Problemen vallen breed in vier categorieën.

• Een onjuiste configuratie van een agent, waardoor de agent niet kan worden gestart.
• Een probleem met het ontvangen van gegevens van de bron, meestal onjuiste configuratie of netwerkconnectiviteit.
• Een probleem met het uploaden van bestanden naar het invoeropslagaccount van het gegevensproduct, meestal netwerkconnectiviteit.
• Een probleem met de VM waarop de agent wordt uitgevoerd.

Agent kan niet worden gestart

Symptomen: sudo systemctl status az-aoi-ingestion geeft aan dat de service de status Mislukt heeft.

• Zorg ervoor dat de service wordt uitgevoerd.

  sudo systemctl start az-aoi-ingestion
  

• Bekijk het bestand /var/log/az-aoi-ingestion/stdout.log en controleer op gemelde fouten. Los eventuele problemen met het configuratiebestand op en start de agent opnieuw.

Er worden geen gegevens weergegeven in AOI

Symptomen: er worden geen gegevens weergegeven in Azure Data Explorer.

• Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de opnameagent-VM en het invoeropslagaccount van het gegevensproduct.
• Controleer de logboeken van de opnameagent op fouten bij het uploaden naar Azure. Als de logboeken verwijzen naar verificatieproblemen, controleert u of de agentconfiguratie de juiste sink-instellingen en verificatie voor uw gegevensproduct heeft. Start vervolgens de agent opnieuw op.
• Controleer of de opnameagent gegevens van de bron ontvangt. Controleer de netwerkconnectiviteit en firewallconfiguratie tussen uw netwerk en de opnameagent.

Problemen met de MCC EDR-bron

In deze sectie worden problemen behandeld die specifiek zijn voor de MCC EDR-bron.

U kunt ook de diagnostische gegevens van de MCC's of door Azure Operator Insights zelf in Azure Monitor gebruiken om opnameproblemen te identificeren en op te sporen.

MCC kan geen verbinding maken

Symptomen: MCC rapporteert waarschuwingen dat MSF's niet beschikbaar zijn.

• Controleer of de agent wordt uitgevoerd.
• Zorg ervoor dat MCC is geconfigureerd met het juiste IP-adres en de juiste poort.
• Controleer de logboeken van de agent en kijk of deze verbindingen rapporteert. Als dat niet het probleem is, controleert u de netwerkverbinding met de agent-VM en controleert u of het verkeer van de firewalls naar poort 36001 niet wordt geblokkeerd.
• Verzamel een pakketopname om te zien waar de verbinding mislukt.

Er worden geen EDR's weergegeven in AOI

Symptomen: er worden geen gegevens weergegeven in Azure Data Explorer.

• Controleer of de MCC in orde is en of opnameagenten worden uitgevoerd.
• Controleer de logboeken van de opnameagent in het diagnostische pakket op fouten die naar Azure worden geüpload. Als de logboeken verwijzen naar een ongeldige verbindingsreeks of verbindingsproblemen, lost u de configuratie, verbindingsreeks of het SAS-token op en start u de agent opnieuw.
• Controleer de netwerkconnectiviteit en firewallconfiguratie in het opslagaccount.

Ontbrekende of onvolledige gegevens

Symptomen: Azure Monitor toont een lagere inkomende EDR-snelheid in ADX dan verwacht.

• Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in de logboeken met diagnostische pakketten.
• Controleer of de agent-VM's niet meer worden verzonden dan de geclassificeerde belasting.
• Controleer de metrische gegevens van de agent in het diagnostische pakket op verwijderde bytes/verwijderde EDR's. Als in de metrische gegevens geen verwijderde gegevens worden weergegeven, verzendt MCC de gegevens niet naar de agent. Controleer de metrische gegevens ontvangen bytes om te zien hoeveel gegevens worden ontvangen van MCC.
• Controleer of de agent-VM niet overbelast is: bewaak CPU- en geheugengebruik. Zorg er met name voor dat er geen ander proces resources van de VIRTUELE machine worden gebruikt.

Problemen met de SFTP-pull-bron

In deze sectie worden problemen behandeld die specifiek zijn voor de SFTP-pull-bron.

U kunt ook de diagnostische gegevens van Azure Operator Insights zelf in Azure Monitor gebruiken om opnameproblemen te identificeren en op te sporen.

Agent kan geen verbinding maken met SFTP-server

Symptomen: er worden geen bestanden geüpload naar AOI. Het logboekbestand van de agent, /var/log/az-aoi-ingestion/stdout.log, bevat fouten over het verbinden van de SFTP-server.

• Controleer of de SFTP-gebruiker en -referenties die door de agent worden gebruikt, geldig zijn voor de SFTP-server.
• Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de agent en de SFTP-server. De SFTP-server moet standaard poort 22 open hebben om SFTP-verbindingen te accepteren.
• Controleer of het known_hosts bestand op de agent-VM een geldige openbare SSH-sleutel voor de SFTP-server bevat:
  • Voer op de VM van de agent de opdracht uit ssh-keygen -l -F *<sftp-server-IP-or-hostname>*.
  • Als er geen uitvoer is, known_hosts bevat deze geen overeenkomende vermelding. Volg de instructies in De Opnameagent van Azure Operator Insights instellen om een known_hosts vermelding toe te voegen voor de SFTP-server.

Er worden geen bestanden geüpload naar Azure Operator Insights

Symptomen: Er worden geen gegevens weergegeven in Azure Data Explorer. Logboeken van categorie Ingestion worden niet weergegeven in bewakingsgegevens van Azure Operator Insights of bevatten fouten. Het metrische gegevenskwaliteitsmetrische aantal opgenomen rijen voor het relevante gegevenstype is nul.

• Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in logboeken.
• Controleer of bestanden aanwezig zijn op de juiste locatie op de SFTP-server en of ze niet worden uitgesloten vanwege de configuratie van de bestandsbron (zie Bestanden ontbreken).
• Zorg ervoor dat de geconfigureerde SFTP-gebruiker alle mappen onder de configuratie van de base_pathbestandsbron kan lezen.
• Controleer de netwerkconnectiviteit en firewallconfiguratie tussen de opnameagent-VM en het invoeropslagaccount van het gegevensproduct.

Bestanden ontbreken

Symptomen: Gegevens ontbreken in Azure Data Explorer. Logboeken van categorie Ingestion in bewakingsgegevens van Azure Operator Insights zijn lager dan verwacht of bevatten fouten. Het metrische gegevenskwaliteitsmetrische aantal opgenomen rijen voor het relevante gegevenstype is lager dan verwacht.

• Controleer of de agent wordt uitgevoerd op alle VM's en rapporteert geen fouten in logboeken. Zoek in de logboeken met diagnostische pakketten naar de naam van het ontbrekende bestand om fouten met betrekking tot dat bestand te vinden.
• Controleer of de bestanden aanwezig zijn op de SFTP-server en of ze niet worden uitgesloten vanwege de configuratie van de bestandsbron. Controleer de configuratie van de bestandsbron en controleer of:
  • De bestanden bestaan op de SFTP-server onder het pad dat is gedefinieerd in base_path. Zorg ervoor dat er geen symbolische koppelingen in de bestandspaden van de bestanden staan die moeten worden geüpload: de opnameagent negeert symbolische koppelingen.
  • De tijd 'laatst gewijzigd' van de bestanden is ten minste settling_time enkele seconden eerder dan de tijd van de meest recente uploaduitvoering voor deze bestandsbron.
  • De tijd 'laatst gewijzigd' van de bestanden is later dan exclude_before_time (indien opgegeven).
  • Het bestandspad ten opzichte van base_path de reguliere expressie die wordt gegeven include_pattern door (indien opgegeven).
  • Het bestandspad ten opzichte van die base_pathkomt niet overeen met de reguliere expressie die is opgegeven exclude_pattern (indien opgegeven).
• Als recente bestanden ontbreken, controleert u de agentlogboeken in het diagnostische pakket om te bevestigen dat de opnameagent een uploaduitvoering voor de bron heeft uitgevoerd op het verwachte tijdstip. De cron parameter in de bronconfiguratie geeft het verwachte schema.
• Controleer of de agent-VM niet overbelast is: bewaak CPU- en geheugengebruik. Zorg er met name voor dat er geen ander proces resources van de VIRTUELE machine worden gebruikt.

Bestanden worden meerdere keren geüpload

Symptomen: Dubbele gegevens worden weergegeven in Azure Operator Insights.

• Controleer of met de opnameagent een fout is opgetreden die opnieuw kan worden geprobeerd in het logboek van het diagnostische pakket bij een vorige upload en probeer het vervolgens meer dan 24 uur na de laatste geslaagde upload opnieuw uit te voeren. In dat geval kan de agent dubbele gegevens uploaden tijdens de poging om het opnieuw te proberen. De duplicatie van gegevens moet alleen van invloed zijn op de poging om het opnieuw te proberen.
• Controleer of de bestandsbronnen die in het configuratiebestand zijn gedefinieerd, verwijzen naar niet-overlappingssets met bestanden. Als meerdere bestandsbronnen zijn geconfigureerd voor het ophalen van bestanden vanaf dezelfde locatie op de SFTP-server, gebruikt u de include_pattern velden en exclude_pattern configuratievelden om afzonderlijke sets bestanden op te geven die door elke bestandsbron moeten worden overwogen.
• Als u meerdere exemplaren van de SFTP-opnameagent uitvoert, controleert u of de bestandsbronnen die voor elke agent zijn geconfigureerd, niet overlappen met bestandsbronnen op een andere agent. Kijk met name naar de configuratie van de bestandsbron die per ongeluk is gekopieerd uit de configuratie van een andere agent.
• Als u onlangs de pijplijn id voor een geconfigureerde bestandsbron hebt gewijzigd, gebruikt u het exclude_before_time veld om te voorkomen dat bestanden opnieuw worden geladen met de nieuwe pijplijn id. Zie De configuratie wijzigen voor opnameagents voor Azure Operator Insights voor instructies.

Gerelateerde inhoud

Leer hoe u het volgende doet:

• Configuratie voor opnameagents wijzigen.
• Upgrade van opnameagents.
• Geheimen roteren voor opnameagents.