Мониторинг файла журнала Linux в System Center Operations ManagerLinux Log file monitoring in System Center Operations Manager

Важно!

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

В System Center Operations Manager улучшены возможности мониторинга файла журнала на серверах Linux за счет того, что в последней версии агента используется модуль Fluentd.System Center Operations Manager now has enhanced log file monitoring capabilities for Linux servers by using the newest version of the agent that uses Fluentd. В этом выпуске реализованы следующие улучшения по сравнению с прежней функцией мониторинга файла журнала.This update provides the following improvements over previous log file monitoring:

  • Подстановочные знаки в имени файла и пути.Wild card characters in log file name and path.
  • Новые шаблоны сопоставления для настраиваемого поиска по журналам, например простое соответствие, исключительное соответствие, коррелированное соответствие, повторяющаяся корреляция и исключительная корреляция.New match patterns for customizable log search like simple match, exclusive match, correlated match, repeated correlation and exclusive correlation.
  • Поддержка универсальных подключаемых модулей Fluentd, опубликованных сообществом Fluentd.Support for generic Fluentd plugins published by the fluentd community.

Базовые функцииBasic operation

Основной процесс работы службы мониторинга файла журнала Linux включает следующие шаги.The basic operation of log file monitoring in Linux includes the following steps:

  1. Записи сохраняются в журнале на агенте Linux.Record is written to a log on a Linux agent.
  2. Fluentd собирает эти записи и создает событие при обнаружении соответствий заданному шаблону.Fluentd collects the record and creates an event on pattern match.
  3. Событие отправляется в службу OMED на сервере управления.Event is sent to OMED service on management server.
  4. Правила и мониторы персонализированного пакета управления собирают события и создают предупреждения в Operations Manager.Rules and monitors in a custom management pack collect events and create alerts in Operations Manager.

Общие сведения о конфигурацииOverview of configuration

Для включения мониторинга файла журнала на агентах Linux следует выполнить следующие шаги.The following steps are required to enable log file monitoring on Linux agents. Каждый из них будет подробно описан далее в этой статье.Each of these steps is described in detail in the following sections.

  1. Импортируйте самую свежую версию пакета управления Linux.Import the latest Linux management pack.
  2. Установите свежую версию агента Linux на каждый компьютер Linux, для которого вы настраиваете мониторинг.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Создайте файл конфигурации Fluentd для сбора журналов.Create Fluentd configuration file to collect logs.
  4. Скопируйте файл конфигурации на агенты Linux.Copy configuration file to Linux agents.
  5. С помощью образца пакета управления создайте правила и мониторы для сбора событий из журнала и формирования предупреждений.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Установка последней версии агента LinuxInstall the latest version of the Linux agent

Последняя версия агента Linux поддерживает модуль Fluentd, который необходим для улучшенного мониторинга файла журнала.The latest version of the Linux agent supports Fluentd, which is required for enhanced log file monitoring. Подробные сведения о новом агенте и процесс его установки описаны в статье об установке агента в UNIX и Linux из командной строки.You can get details and the installation process for the new agent at Install agent on UNIX and Linux from command line.

Настройка мониторинга файла журнала LinuxConfigure Linux Log File monitoring

Набор пакетов управления Linux содержит последнюю версию агента Operations Manager (с поддержкой Fluentd).The Linux Management pack bundle has the latest Operations Manager agent (with Fluentd). Чтобы настроить мониторинг файла журнала Linux, пользователи должны сделать следующее.To configure Linux log file monitoring, users should perform the following:

  1. Импортируйте самый свежий пакет управления Linux, используя стандартный процесс установки пакета управления.Import the latest Linux Management pack using the standard process for installing a management pack.
  2. Установите новый агент Linux на серверах Linux с помощью мастера обнаружения или вручную.Install the new Linux agent on the Linux servers, this can be done through discovery wizard or manually.
  3. Включите службу OMED на каждом сервере управления в пуле ресурсов, который управляет агентами Linux.Enable the OMED service on each management server in the resource pool managing the Linux agents.

Служба OMED собирает события с модуля Fluentd и преобразует их в события Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Пользователям следует импортировать свой пакет управления, который будет генерировать оповещения на основе событий, полученных от серверов Linux.Users should import a custom management pack which can generate alerts based on the events received from the Linux servers.

Службу OMED можно включить из консоли управления или вручную на сервере управления или сервере шлюза.You enable the OMED service either from the Operations console or manually on the management server or gateway server.

Из консоли управленияFrom Operations console

  1. В консоли управления последовательно выберите пункты Мониторинг > Operations Manager > Сервер управления > Состояние серверов управления.From the Operations Console, go to Monitoring > Operations Manager > Management Server > Management Servers State.
  2. Выберите нужный сервер управления в панели состояния Серверы управления.Select the management server in the Management Servers state pane.
  3. На панели Задачи выберите Задачи службы работоспособности > Включить сервер System Center OMED.In the Tasks pane, select Health Service Tasks > Enable System Center OMED Server.

ВручнуюManually

  1. Щелкните Пуск, в поле Начать поиск введите services.msc, а затем нажмите клавишу ВВОД.Click Start, in the Start Search box, type services.msc , and then press Enter.
  2. В области сведений щелкните правой кнопкой мыши службу System Center Operations Manager External DataSource Service, а затем выберите пункт Свойства.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. На вкладке Общие для типа Запуск выберите Автоматически, а затем нажмите кнопку ОК.On the General tab, in Startup type , click Automatic, and then click OK.
  4. В области сведений щелкните службу и выберите команду Запустить.In the details pane, right-click the service and then click Start.

Создание файла конфигурации FluentdCreate FluentD configuration file

Fluentd настраивается с помощью файла конфигурации.You configure Fluentd operation with a configuration file. Для мониторинга журнала вам следует создать файл конфигурации и включить в него такие сведения, как имя исходного файла журнала, путь к нему и фильтры для отбора собираемых данных.For log monitoring, you need to create a configuration file that includes such information as source log file name and path and filters to define which data to collect.

Основной файл конфигурации Fluentd имеет имя omsagent.conf и размещается в папке /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. Конфигурацию для мониторинга файла журнала можно добавить непосредственно в этот файл. Но лучше использовать отдельные файлы конфигурации, чтобы точнее управлять настройками.You can add log file monitoring configuration directly to this file, but you should create a separate configuration file to better manage the different settings. Дополнительный файл включается в конфигурацию с помощью директивы @include, которую нужно поместить в главный файл.You then use an @include directive in the master file to include your custom file.

Например, если вы создали файл logmonitoring.conf в папке /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, включите в файл fluent.conf одну из следующих строк.For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to fluent.conf:

#Include all configuration files
@include omsagent.d/*.conf

илиor

#include single configuration file
@include omsagent.d/logmonitoring.conf

Подробные сведения о файлах конфигурации Fluentd вы найдете на странице с описанием синтаксиса файлов конфигурации Fluentd.You can get details on Fluentd configuration files at Fluentd Configuration file syntax. В следующих разделах описаны параметры нескольких директив в файле конфигурации, которые вам потребуются для мониторинга файла журнала.The following sections describe settings in different directives of the configuration file unique to log file monitoring. Для каждой директивы приводятся примеры настроек, которые вы можете скопировать в свой файл конфигурации и изменить по мере необходимости.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

Прежде чем создавать собственный файл конфигурации, можно ознакомиться с полным примером файла конфигурации для мониторинга журнала.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

ИсточникSource

Директива Source определяет источник данных, которые вы будете собирать.The Source directive defines the source of the data you're collecting. Именно в ней вы должны указать сведения о файле журнала.This is where you define the details of your log file. Модуль Fluentd принимает каждую запись, добавляемую в источник, и передает соответствующее событие в подсистему маршрутизации Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. В этой директиве необходимо указать тег.You need to specify a tag here in this directive. Строковое значение тега используется в инструкциях для внутренней подсистемы маршрутизации Fluentd, чтобы согласовать между собой разные директивы.The tag is a string that is used as the directions for Fluentd’s internal routing engine to correlate different directives.

Этот пример директивы собирает записи системного журнала и отмечает их тегами для последующей обработки в Operations Manager.This example shows syslog records collected and tagged for processing by Operations Manager.

<source>

    # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
    type tail

    # Specify the log file path. Supports wild cards.
    path /var/log/syslog

    # Recommended so that Fluentd will record the position it last read into this file.
    pos_file /home/user1/fluent-test/demo_syslog.log.pos

    # Used to correlate the directives.
    tag scom.log.syslog

    format /(?<message>.*)/

</source>

MatchMatch

Директива match определяет метод обработки для событий, собранных из источника и отмеченных тегами.The match directive defines how to process events collected from the source with matching tags. В место назначения вывода будут переданы только те события, тег которых соответствует указанному здесь шаблону.Only events with a tag matching the pattern will be sent to the output destination. Если в одной директиве match есть несколько шаблонов, она отбирает все события, соответствующие хотя бы одному из этих шаблонов.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Параметр type обозначает, какой подключаемый модуль нужно применить для этих событий.The type parameter that specifies which plugin to use for these events.

Этот пример обрабатывает события, тег которых соответствует шаблонам scom.log. ** и scom.alert (где ** обозначает ноль или несколько частей тега).This example processes events with tags matching scom.log.** and scom.alert (** matches zero or more tag parts). Здесь указан подключаемый модуль out_scom, который позволяет пакету управления Operations Manager собирать события.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

<match scom.log.** scom.event>

    # Output plugin to use
    type out_scom

    log_level trace
    num_threads 5

    # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the  
    queue and bottom chunk is written out.
    buffer_chunk_limit 5m
    flush_interval 15s

    # Specifies the buffer plugin to use.
    buffer_type file

    # Specifies the file path for buffer. Fluentd must have write access to this directory.
    buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer

    # If queue length exceeds the specified limit, events are rejected.
    buffer_queue_limit 10

    # Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
    buffer_queue_full_action drop_oldest_chunk

    # Number of times Fluentd will attempt to write the chunk if it fails.
    retry_limit 10

    # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
    retry_wait 30s

    # The retry wait time doubles each time until max_retry_wait.
    max_retry_wait 9m

</match>

Примечание

Чтобы отключить аутентификацию сервера на компьютерах Linux, которые обмениваются данными с помощью Fluentd, добавьте параметр enable_server_auth false во внешний подключаемый модуль SCOM для Fluentd следующим образом:To disable Server Auth on the Linux machines that are using Fluentd communication, add a parameter enable_server_auth false to the SCOM out plugin for Fluentd, such as the following:

<match scom.log.** scom.event>
type out_scom

max_retry_wait 9m
enable_server_auth false
</match>

FilterFilter

Директива filter имеет такой же синтаксис, как и директива match, но позволяет создать более сложные фильтры для отбора данных.The filter directive has same syntax as match but allows for more complex filtering of which data to process. Собранные события должны соответствовать критериям для всех фильтров, чтобы попасть в выходные данные.Collected events must match the criteria of all filters to be added to the output.

Для мониторинга файла журнала можно использовать шесть подключаемых модулей фильтров.There are six filter plugins for log file monitoring described here. Используйте любое сочетание этих фильтров, чтобы точно определить события для сбора из файла журнала.Use one or more of these filters to define the events that you want to collect from your log file.

Простое соответствие: filter_scom_simple_matchSimple match: filter_scom_simple_match

Принимает до 20 шаблонов.Takes up to 20 input patterns. Отправляет событие в Operations Manager при совпадении с любым из шаблонов.Sends an event to Operations Manager whenever any pattern is matched.

<filter tag>
    type filter_scom_simple_match
    regexp1 <key> <pattern>
    event_id1 <event ID>
    regexp2 <key> <pattern>
    event_id2 <event ID>
    .
    .
    .
    regexp20 <key> <pattern>
    event_id20 <event ID>
</filter>

Исключительное соответствие: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Принимает два шаблона.Takes two input patterns. Отправляет событие в Operations Manager, если запись соответствует шаблону 1, но не соответствует шаблону 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

<filter tag>
    type filter_scom_excl_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
</filter>

Повторяющаяся корреляция: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Принимает три входных параметра: шаблон, интервал времени и число совпадений.Takes three inputs: a patterns, a time interval, and a number of occurrences. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если соответствие будет обнаружено указанное число раз до окончания этого таймера.An event is sent to Operations Manager if the pattern is matched the specified number of times before the timer ends.

<filter tag>
    type filter_scom_repeated_cor
    regexp <key> <pattern>
    event_id <event ID>
    time_interval <interval in seconds>
    num_occurences <number of occurrences>
</filter>

Коррелированное совпадение: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_cor_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Эксклюзивная корреляция: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если не обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_excl_correlation
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Преобразователь Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Отправляет событие в Operations Manager для всех полученных записей.Sends an event to Operations Manager for all records it receives. В это событие включаются идентификатор и описание события.Sends the specified event ID and description as part of the event.

<filter tag>
    type filter_scom_converter
    event_id <event ID>
    event_desc <event description>
</filter>

Копирование файла конфигурации на агентCopy configuration file to agent

Файл конфигурации fluentd следует сохранить по адресу /etc/opt/microsoft/omsagent/scom/conf/omsagent.d на всех компьютерах Linux, для которых применяется мониторинг.The fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. Также необходимо добавить директиву @include в главный файл конфигурации, как описано выше.You must also add an @include directive in the master configuration file as described above.

Создание правил и мониторовCreate rules and monitors

Пакет управления Linux не содержит модули для сбора событий от FluentD.The Linux MP does not provide modules to collect events from FluentD. Пакет управления Linux объединен с агентом Linux.The Linux MP is bundled with the Linux agent. Возможности для расширенного мониторинга файла журнала предоставляет именно модуль fluentd в агенте Linux и служба OMED на сервере управления и шлюза.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

Создайте собственный пакет управления с настраиваемыми правилами и мониторами на основе модуля Microsoft.Linux.OMED.EventDataSource, который собирает события от Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource which collects the events from Fluentd.

В следующей таблице перечислены параметры Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ПараметрParameter TypeType ОписаниеDescription
ComputerNameComputerName СтрокаString Обязательный параметр.Required. Указывает имя компьютера Linux, с которого считываются события.Specifies the name of the Linux computer for which events to be read. Параметр ComputerName чаще всего передается в модуль строкой $Target, но это может быть любая строка.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Этот модуль пытается прочитать события, созданные для заданного компьютера Linux.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId СтрокаString Обязательный параметр.Required. Указывает идентификатор управляемой сущности для отслеживаемого объекта.Specifies the managed entity ID of monitored entity. Параметр ManagedEntityId чаще всего передается в модуль строкой $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber Целое числоInteger Необязательный параметр.Optional. Указывает номер события, которое нужно получить.Indicates the event number of the event to retrieve. Если этот параметр не указан, модуль возвращает все события, созданные для этого компьютера и управляемой сущности.If this option is omitted, the module returns all events generated for that computer and managed entity.

Общие сведения о конфигурацииOverview of configuration

Для включения мониторинга файла журнала на агентах Linux следует выполнить следующие шаги.The following steps are required to enable log file monitoring on Linux agents. Каждый из них будет подробно описан далее в этой статье.Each of these steps is described in detail in the following sections.

  1. Импортируйте самую свежую версию пакета управления Linux.Import the latest Linux management pack.
  2. Установите свежую версию агента Linux на каждый компьютер Linux, для которого вы настраиваете мониторинг.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Создайте файл конфигурации Fluentd для сбора журналов.Create Fluentd configuration file to collect logs.
  4. Скопируйте файл конфигурации на агенты Linux.Copy configuration file to Linux agents.
  5. С помощью образца пакета управления создайте правила и мониторы для сбора событий из журнала и формирования предупреждений.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Установка последней версии агента LinuxInstall the latest version of the Linux agent

Последняя версия агента Linux поддерживает модуль Fluentd, который необходим для улучшенного мониторинга файла журнала.The latest version of the Linux agent supports Fluentd, which is required for enhanced log file monitoring. Подробные сведения о новом агенте и процесс его установки описаны в статье об установке агента в UNIX и Linux из командной строки.You can get details and the installation process for the new agent at Install agent on UNIX and Linux from command line.

Настройка мониторинга файла журнала LinuxConfigure Linux Log File monitoring

Набор пакетов управления Linux содержит последнюю версию агента Operations Manager (с поддержкой Fluentd).The Linux Management pack bundle has the latest Operations Manager agent (with Fluentd). Чтобы настроить мониторинг файла журнала Linux, пользователи должны сделать следующее.To configure Linux log file monitoring, users should perform the following:

  1. Импортируйте самый свежий пакет управления Linux, используя стандартный процесс установки пакета управления.Import the latest Linux Management pack using the standard process for installing a management pack.
  2. Установите новый агент Linux на серверах Linux с помощью мастера обнаружения или вручную.Install the new Linux agent on the Linux servers, this can be done through discovery wizard or manually.
  3. Включите службу OMED на каждом сервере управления в пуле ресурсов, который управляет агентами Linux.Enable the OMED service on each management server in the resource pool managing the Linux agents.

Служба OMED собирает события с модуля Fluentd и преобразует их в события Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Пользователям следует импортировать свой пакет управления, который будет генерировать оповещения на основе событий, полученных от серверов Linux.Users should import a custom management pack which can generate alerts based on the events received from the Linux servers.

Службу OMED можно включить из консоли управления или вручную на сервере управления или сервере шлюза.You enable the OMED service either from the Operations console or manually on the management server or gateway server.

Из консоли управленияFrom Operations console

  1. В консоли управления последовательно выберите пункты Мониторинг > Operations Manager > Сервер управления > Состояние серверов управления.From the Operations Console, go to Monitoring > Operations Manager > Management Server > Management Servers State.
  2. Выберите нужный сервер управления в панели состояния Серверы управления.Select the management server in the Management Servers state pane.
  3. На панели Задачи выберите Задачи службы работоспособности > Включить сервер System Center OMED.In the Tasks pane, select Health Service Tasks > Enable System Center OMED Server.

ВручнуюManually

  1. Щелкните Пуск, в поле Начать поиск введите services.msc, а затем нажмите клавишу ВВОД.Click Start, in the Start Search box, type services.msc , and then press Enter.
  2. В области сведений щелкните правой кнопкой мыши службу System Center Operations Manager External DataSource Service, а затем выберите пункт Свойства.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. На вкладке Общие для типа Запуск выберите Автоматически, а затем нажмите кнопку ОК.On the General tab, in Startup type , click Automatic, and then click OK.
  4. В области сведений щелкните службу и выберите команду Запустить.In the details pane, right-click the service and then click Start.

Создание файла конфигурации FluentdCreate FluentD configuration file

Fluentd настраивается с помощью файла конфигурации.You configure Fluentd operation with a configuration file. Для мониторинга журнала вам следует создать файл конфигурации и включить в него такие сведения, как имя исходного файла журнала, путь к нему и фильтры для отбора собираемых данных.For log monitoring, you need to create a configuration file that includes such information as source log file name and path and filters to define which data to collect.

Основной файл конфигурации Fluentd имеет имя omsagent.conf и размещается в папке /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. Конфигурацию для мониторинга файла журнала можно добавить непосредственно в этот файл. Но лучше использовать отдельные файлы конфигурации, чтобы точнее управлять настройками.You can add log file monitoring configuration directly to this file, but you should create a separate configuration file to better manage the different settings. Дополнительный файл включается в конфигурацию с помощью директивы @include, которую нужно поместить в главный файл.You then use an @include directive in the master file to include your custom file.

Например, если вы создали файл logmonitoring.conf в папке /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, включите в файл fluent.conf одну из следующих строк.For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to fluent.conf:

#Include all configuration files
@include omsagent.d/*.conf

илиor

#include single configuration file
@include omsagent.d/logmonitoring.conf

Подробные сведения о файлах конфигурации Fluentd вы найдете на странице с описанием синтаксиса файлов конфигурации Fluentd.You can get details on Fluentd configuration files at Fluentd Configuration file syntax. В следующих разделах описаны параметры нескольких директив в файле конфигурации, которые вам потребуются для мониторинга файла журнала.The following sections describe settings in different directives of the configuration file unique to log file monitoring. Для каждой директивы приводятся примеры настроек, которые вы можете скопировать в свой файл конфигурации и изменить по мере необходимости.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

Прежде чем создавать собственный файл конфигурации, можно ознакомиться с полным примером файла конфигурации для мониторинга журнала.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

ИсточникSource

Директива Source определяет источник данных, которые вы будете собирать.The Source directive defines the source of the data you're collecting. Именно в ней вы должны указать сведения о файле журнала.This is where you define the details of your log file. Модуль Fluentd принимает каждую запись, добавляемую в источник, и передает соответствующее событие в подсистему маршрутизации Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. В этой директиве необходимо указать тег.You need to specify a tag here in this directive. Строковое значение тега используется в инструкциях для внутренней подсистемы маршрутизации Fluentd, чтобы согласовать между собой разные директивы.The tag is a string that is used as the directions for Fluentd’s internal routing engine to correlate different directives.

Этот пример директивы собирает записи системного журнала и отмечает их тегами для последующей обработки в Operations Manager.This example shows syslog records collected and tagged for processing by Operations Manager.

<source>

    # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in_tail
    type tail

    # Specify the log file path. Supports wild cards.
    path /var/log/syslog

    # Recommended so that Fluentd will record the position it last read into this file.
    pos_file /home/user1/fluent-test/demo_syslog.log.pos

    # Used to correlate the directives.
    tag scom.log.syslog

    format /(?<message>.*)/

</source>

MatchMatch

Директива match определяет метод обработки для событий, собранных из источника и отмеченных тегами.The match directive defines how to process events collected from the source with matching tags. В место назначения вывода будут переданы только те события, тег которых соответствует указанному здесь шаблону.Only events with a tag matching the pattern will be sent to the output destination. Если в одной директиве match есть несколько шаблонов, она отбирает все события, соответствующие хотя бы одному из этих шаблонов.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Параметр type обозначает, какой подключаемый модуль нужно применить для этих событий.The type parameter that specifies which plugin to use for these events.

Этот пример обрабатывает события, тег которых соответствует шаблонам scom.log. ** и scom.alert (где ** обозначает ноль или несколько частей тега).This example processes events with tags matching scom.log.** and scom.alert (** matches zero or more tag parts). Здесь указан подключаемый модуль out_scom, который позволяет пакету управления Operations Manager собирать события.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

<match scom.log.** scom.event>

    # Output plugin to use
    type out_scom

    log_level trace
    num_threads 5

    # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush_interval, a new empty chunk is pushed to the top of the  
    queue and bottom chunk is written out.
    buffer_chunk_limit 5m
    flush_interval 15s

    # Specifies the buffer plugin to use.
    buffer_type file

    # Specifies the file path for buffer. Fluentd must have write access to this directory.
    buffer_path /var/opt/microsoft/omsagent/scom/state/out_scom_common*.buffer

    # If queue length exceeds the specified limit, events are rejected.
    buffer_queue_limit 10

    # Control the buffer behavior when the queue becomes full: exception, block, drop_oldest_chunk
    buffer_queue_full_action drop_oldest_chunk

    # Number of times Fluentd will attempt to write the chunk if it fails.
    retry_limit 10

    # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry_wait seconds
    retry_wait 30s

    # The retry wait time doubles each time until max_retry_wait.
    max_retry_wait 9m

</match>

Примечание

Чтобы отключить аутентификацию сервера на компьютерах Linux, которые обмениваются данными с помощью Fluentd, добавьте параметр enable_server_auth false во внешний подключаемый модуль SCOM для Fluentd следующим образом:To disable Server Auth on the Linux machines that are using Fluentd communication, add a parameter enable_server_auth false to the SCOM out plugin for Fluentd, such as the following:

<match scom.log.** scom.event>
type out_scom

max_retry_wait 9m
enable_server_auth false
</match>

FilterFilter

Директива filter имеет такой же синтаксис, как и директива match, но позволяет создать более сложные фильтры для отбора данных.The filter directive has same syntax as match but allows for more complex filtering of which data to process. Собранные события должны соответствовать критериям для всех фильтров, чтобы попасть в выходные данные.Collected events must match the criteria of all filters to be added to the output.

Для мониторинга файла журнала можно использовать шесть подключаемых модулей фильтров.There are six filter plugins for log file monitoring described here. Используйте любое сочетание этих фильтров, чтобы точно определить события для сбора из файла журнала.Use one or more of these filters to define the events that you want to collect from your log file.

Простое соответствие: filter_scom_simple_matchSimple match: filter_scom_simple_match

Принимает до 20 шаблонов.Takes up to 20 input patterns. Отправляет событие в Operations Manager при совпадении с любым из шаблонов.Sends an event to Operations Manager whenever any pattern is matched.

<filter tag>
    type filter_scom_simple_match
    regexp1 <key> <pattern>
    event_id1 <event ID>
    regexp2 <key> <pattern>
    event_id2 <event ID>
    .
    .
    .
    regexp20 <key> <pattern>
    event_id20 <event ID>
</filter>

Исключительное соответствие: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Принимает два шаблона.Takes two input patterns. Отправляет событие в Operations Manager, если запись соответствует шаблону 1, но не соответствует шаблону 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

<filter tag>
    type filter_scom_excl_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
</filter>

Повторяющаяся корреляция: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Принимает три входных параметра: шаблон, интервал времени и число совпадений.Takes three inputs: a patterns, a time interval, and a number of occurrences. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если соответствие будет обнаружено указанное число раз до окончания этого таймера.An event is sent to Operations Manager if the pattern is matched the specified number of times before the timer ends.

<filter tag>
    type filter_scom_repeated_cor
    regexp <key> <pattern>
    event_id <event ID>
    time_interval <interval in seconds>
    num_occurences <number of occurrences>
</filter>

Коррелированное совпадение: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_cor_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Эксклюзивная корреляция: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если не обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_excl_correlation
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Преобразователь Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Отправляет событие в Operations Manager для всех полученных записей.Sends an event to Operations Manager for all records it receives. В это событие включаются идентификатор и описание события.Sends the specified event ID and description as part of the event.

<filter tag>
    type filter_scom_converter
    event_id <event ID>
    event_desc <event description>
</filter>

Копирование файла конфигурации на агентCopy configuration file to agent

Файл конфигурации fluentd следует сохранить по адресу /etc/opt/microsoft/omsagent/scom/conf/omsagent.d на всех компьютерах Linux, для которых применяется мониторинг.The fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. Также необходимо добавить директиву @include в главный файл конфигурации, как описано выше.You must also add an @include directive in the master configuration file as described above.

Создание правил и мониторовCreate rules and monitors

Пакет управления Linux не содержит модули для сбора событий от FluentD.The Linux MP does not provide modules to collect events from FluentD. Пакет управления Linux объединен с агентом Linux.The Linux MP is bundled with the Linux agent. Возможности для расширенного мониторинга файла журнала предоставляет именно модуль fluentd в агенте Linux и служба OMED на сервере управления и шлюза.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

Создайте собственный пакет управления с настраиваемыми правилами и мониторами на основе модуля Microsoft.Linux.OMED.EventDataSource, который собирает события от Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource which collects the events from Fluentd.

В следующей таблице перечислены параметры Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ПараметрParameter TypeType ОписаниеDescription
ComputerNameComputerName СтрокаString Обязательный параметр.Required. Указывает имя компьютера Linux, с которого считываются события.Specifies the name of the Linux computer for which events to be read. Параметр ComputerName чаще всего передается в модуль строкой $Target, но это может быть любая строка.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Этот модуль пытается прочитать события, созданные для заданного компьютера Linux.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId СтрокаString Обязательный параметр.Required. Указывает идентификатор управляемой сущности для отслеживаемого объекта.Specifies the managed entity ID of monitored entity. Параметр ManagedEntityId чаще всего передается в модуль строкой $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber Целое числоInteger Необязательный параметр.Optional. Указывает номер события, которое нужно получить.Indicates the event number of the event to retrieve. Если этот параметр не указан, модуль возвращает все события, созданные для этого компьютера и управляемой сущности.If this option is omitted, the module returns all events generated for that computer and managed entity.

Общие сведения о конфигурацииOverview of configuration

Мониторинг файла журнала требует выполнения следующих действий. Подробные сведения о них приведены в следующих разделах.log file monitoring requires the following steps, detailed information for these is provided in the following sections:

  1. Импортируйте самую свежую версию пакета управления Linux.Import the latest Linux management pack.
  2. Установите свежую версию агента Linux на каждый компьютер Linux, для которого вы настраиваете мониторинг.Install the latest version of the Linux agent on each Linux computer to be monitored.
  3. Установите последнюю версию OMSAgent на каждом компьютере Linux, который будет отслеживаться.Install latest OMSAgent on each Linux computer to be monitored.
  4. Создайте файл конфигурации Fluentd для сбора журналов.Create Fluentd configuration file to collect logs.
  5. Скопируйте файл конфигурации на агенты Linux.Copy configuration file to Linux agents.
  6. С помощью образца пакета управления создайте правила и мониторы для сбора событий из журнала и формирования предупреждений.Create rules and monitors using the sample management pack to collect events from the log and create alerts.

Установка пакета управления мониторингом журналовInstall the log monitoring management pack

В Operations Manager 2019 установите пакет управления Microsoft.Linux.Log.Monitoring, чтобы включить мониторинг файла журнала Linux.In Operations Manager 2019, install Microsoft.Linux.Log.Monitoring management pack to enable Linux log file monitoring.

Примечание

Если у вас настроен агент OMS и вы пытаетесь удалить агент UNIX и LINUX из консоли, компонент OMS не будет удален из агента.If you have the OMS agent configured, and you try to uninstall UNIX and LINUX agent from the console, then OMS component will not be uninstalled from the agent.

Настройка мониторинга файла журнала LinuxConfigure Linux log file monitoring

Чтобы настроить мониторинг файла журнала Linux, выполните следующие действия.To configure Linux log file monitoring, do the following:

  1. Импортируйте самый свежий пакет управления Linux, используя стандартный процесс установки пакета управления.Import the latest Linux management pack using the standard process for installing a management pack.

  2. Установите новый агент Linux на серверах Linux вручную или с помощью мастера обнаружения.Install the new Linux agent on the Linux servers manually or by using Discovery wizard.

  3. Установите последнюю версию OMSAgent на каждом компьютере Linux, который будет отслеживаться.Install latest OMSAgent on each Linux computer that you want to monitor.

    Выполните следующие команды.use the following commands:

    wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard\_agent.sh
    sh onboard_agent.sh
    
    

    В агенте Linux выполните следующие действия.Do the following on the Linux agent:

  4. Создайте папки по следующим путям.Create the folders in the following paths:

     - /etc/opt/microsoft/omsagent/scom/conf/omsagent.d
    
     - /etc/opt/microsoft/omsagent/scom/certs
    
     - /var/opt/microsoft/omsagent/scom/log
    
     - /var/opt/microsoft/omsagent/scom/run
    
     - /var/opt/microsoft/omsagent/scom/state
    
     - /var/opt/microsoft/omsagent/scom/tmp
    
     - /home/omsagent/fluent-logging (used for log file position file)
    
  5. Задайте для каждого из перечисленных выше путей права собственности omsagent:omiusersSet ownership of each of the above to omsagent:omiusers

    - <span data-ttu-id="8973d-123">chown omsagent:omiusers state</span><span class="sxs-lookup"><span data-stu-id="8973d-123">chown omsagent:omiusers state</span></span>
    
    - <span data-ttu-id="8973d-124">chown omsagent:omiusers run</span><span class="sxs-lookup"><span data-stu-id="8973d-124">chown omsagent:omiusers run</span></span>
    
    - <span data-ttu-id="8973d-125">chown omsagent:omiusers log</span><span class="sxs-lookup"><span data-stu-id="8973d-125">chown omsagent:omiusers log</span></span>
    
    - <span data-ttu-id="8973d-126">chown omsagent:omiusers tmp</span><span class="sxs-lookup"><span data-stu-id="8973d-126">chown omsagent:omiusers tmp</span></span>
    
    - <span data-ttu-id="8973d-127">chown omsagent:omiusers /home/omsagent/fluent-logging</span><span class="sxs-lookup"><span data-stu-id="8973d-127">chown omsagent:omiusers /home/omsagent/fluent-logging</span></span>
    
     ![Мониторинг файла журнала](../scom/media/log-file-monitoring/log-file-monitoring.png)
    

Включение службы OMEDEnable the OMED service

Включите службу OMED на каждом сервере управления в пуле ресурсов, который управляет агентами Linux.Enable the OMED service on each management server in the resource pool, managing the Linux agents.

Служба OMED собирает события с модуля Fluentd и преобразует их в события Operations Manager.The OMED service collects events from Fluentd and converts them to Operations Manager events. Импортируйте пользовательский пакет управления, который будет генерировать оповещения на основе событий, полученных от серверов Linux.You import a custom management pack, which can generate alerts based on the events received from the Linux servers.

Службу OMED можно включить из консоли управления или вручную на сервере управления или сервере шлюза.You can enable the OMED service either from the Operations console or manually on the management server or gateway server.

Включение службы OMED из консоли управленияEnable the OMED service from Operations console

  1. В консоли управления последовательно выберите пункты Мониторинг>Operations Manager>Сервер управления>Состояние серверов управления.From the Operations console, go to Monitoring>Operations Manager>Management Server>Management Servers State.
  2. Выберите нужный сервер управления на панели Состояние серверов управления.Select the management server in the Management Servers state.
  3. На панели Задачи выберите Задачи службы работоспособности>Включить сервер System Center OMED.From Tasks, select Health Service Tasks>Enable System Center OMED Server.

Включение службы OMED вручнуюEnable the OMED service manually

  1. Щелкните Пуск, в поле Начать поиск введите services.msc, а затем нажмите клавишу ВВОД.Click Start in the Start Search box, type services.msc, and then press Enter.
  2. В области сведений щелкните правой кнопкой мыши службу System Center Operations Manager External DataSource Service, а затем выберите пункт Свойства.In the details pane, right-click the service System Center Operations Manager External DataSource Service, and then click Properties.
  3. На вкладке Общие для типа Запуск выберите Автоматически, а затем нажмите кнопку ОК.On General, in Startup type, click Automatic, and then click OK.
  4. В области сведений щелкните правой кнопкой мыши Служба и выберите команду Запустить.In the details pane, right-click Service and then click Start.

Создание нового сертификата клиента для FluentdGenerate new client certificate for Fluentd

  1. /opt/microsoft/scx/bin/tools/scxsslconfig -c -g /etc/opt/microsoft/omsagent/scom/certs//opt/microsoft/scx/bin/tools/scxsslconfig -c -g /etc/opt/microsoft/omsagent/scom/certs/

    Примечание

    Новый сертификат должен быть подписан сервером управления.New certificate must be signed by the Management Server. Для этого скопируйте его на сервер управления, подпишите сертификат с помощью scxcertconfig -sign и скопируйте его обратно в агент LinuxTo do this, copy to management server, sign the certificate using scxcertconfig -sign, and copy it back to the linux agent

  2. Переименуйте сертификаты на стороне Linux.Rename the certificates on the Linux side:

    omi-host-server.domain.pem to scom-cert.pemomi-host-server.domain.pem to scom-cert.pem

    omikey.pem to scom-key.pemomikey.pem to scom-key.pem

  3. Измените владельца файла сертификата.Change ownership of the certificate file:

    chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pemchown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-cert.pem

    chown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-key.pemchown omsagent:omiusers /etc/opt/microsoft/omsagent/scom/certs/scom-key.pem

Создание файла конфигурации FluentdCreate Fluentd configuration file

Fluentd настраивается с помощью файла конфигурации.You configure Fluentd operation using a configuration file. Для мониторинга журнала создайте файл конфигурации и включите в него такие сведения, как имя исходного файла журнала, путь к нему и фильтры для отбора собираемых данных.For log monitoring, create a configuration file that includes information such as source log file name, path and filters to define the data to collect.

Основной файл конфигурации Fluentd имеет имя omsagent.conf и размещается в папке /etc/opt/microsoft/omsagent/scom/conf/ .The master Fluentd configuration file omsagent.conf is located in /etc/opt/microsoft/omsagent/scom/conf/. Конфигурацию для мониторинга файла журнала можно добавить непосредственно в этот файл. Но лучше использовать отдельные файлы конфигурации, чтобы точнее управлять настройками.You can add log file monitoring configuration directly to this file, but should create a separate configuration file to better manage the different settings. Дополнительный файл включается в конфигурацию с помощью директивы @include, которую нужно поместить в главный файл.You then use an @include directive in the master file to include your custom file.

Например, если вы создали файл logmonitoring.conf в папке /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, включите в файл omsagent.d одну из следующих строк:For example, if you created logmonitoring.conf in /etc/opt/microsoft/omsagent/scom/conf/omsagent.d, you would add one of the following lines to omsagent.d file:

#Include all configuration files
@include omsagent.d/*.conf

илиor

#include single configuration file
@include omsagent.d/logmonitoring.conf

Подробные сведения о файлах конфигурации Fluentd см. в разделе Синтаксис файлов конфигурации Fluentd.For more information on Fluentd configuration files, see Fluentd Configuration file syntax.

В следующих разделах описаны параметры нескольких директив в файле конфигурации, которые вам потребуются только для мониторинга файла журнала.The following sections describe settings in different directives of the configuration file that are unique to log file monitoring. Для каждой директивы приводятся примеры настроек, которые вы можете скопировать в свой файл конфигурации и изменить по мере необходимости.Each includes sample settings that you can paste into a configuration file and modify for your requirements.

Прежде чем создавать собственный файл конфигурации, можно ознакомиться с полным примером файла конфигурации для мониторинга журнала.A complete sample configuration file for log monitoring is available for you to review and evaluate before creating your own.

ИсточникSource

Директива Source определяет источник данных, которые вы будете собирать.The Source directive defines the source of the data you're collecting. Именно в ней вы должны указать сведения о файле журнала.This is where you define the details of your log file. Модуль Fluentd принимает каждую запись, добавляемую в источник, и передает соответствующее событие в подсистему маршрутизации Fluentd.Fluentd picks up each record written to the source and submits an event for it into Fluentd's routing engine. В этой директиве укажите тег.Specify a tag here in this directive. Строковое значение тега используется в инструкциях для внутренней подсистемы маршрутизации Fluentd, чтобы согласовать между собой разные директивы.The tag is a string that is used as the directions for Fluentd's internal routing engine to correlate different directives.

Следующий пример директивы собирает записи системного журнала и отмечает их тегами для последующей обработки в Operations Manager.The following example shows syslog records collected and tagged for processing by Operations Manager.

<source>

    # Specifies input plugin. Tail is a fluentd input plugin - http://docs.fluentd.org/v0.12/articles/in\_tail
    type tail

    # Specify the log file path. Supports wild cards.
    path /var/log/syslog

    # Recommended so that Fluentd will record the position it last read into this file.
    pos_file /home/user1/fluent-test/demo_syslog.log.pos

    # Used to correlate the directives.
    tag scom.log.syslog

    format /(?<message>.*)/

</source>

FilterFilter

Директива filter имеет тот же синтаксис, что и директива match, но позволяет создать более сложные фильтры для отбора данных.The filter directive has same syntax as Match but allows more complex filtering of which data to process. Собранные события должны соответствовать критериям для всех фильтров, чтобы попасть в выходные данные.Collected events must match the criteria of all filters to be added to the output.

Для мониторинга файла журнала можно использовать шесть подключаемых модулей фильтров.There are six filter plugins for log file monitoring described here. Используйте любое сочетание этих фильтров, чтобы точно определить события для сбора из файла журнала.Use one or more of these filters to define the events that you want to collect from your log file.

Простое соответствие: filter_scom_simple_matchSimple match: filter_scom_simple_match

Принимает до 20 шаблонов.Takes up to 20 input patterns. Отправляет событие в Operations Manager при совпадении с любым из шаблонов.Sends an event to Operations Manager whenever any pattern is matched.

<filter tag>

    type filter_scom_simple_match
    regexp1 <key> <pattern>
    event_id1 <event ID>
    regexp2 <key> <pattern>
    event_id2 <event ID>
    .
    .
    .
    regexp20 <key> <pattern>
    event_id20 <event ID>
</filter>

Исключительное соответствие: filter_scom_excl_matchExclusive match: filter_scom_excl_match

Принимает два шаблона.Takes two input patterns. Отправляет событие в Operations Manager, если запись соответствует шаблону 1, но не соответствует шаблону 2.Sends an event to Operations Manager when a single record matches pattern 1 but does not match pattern 2.

<filter tag>
    type filter_scom_excl_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
</filter>

Повторяющаяся корреляция: filter_scom_repeated_corRepeated correlation: filter_scom_repeated_cor

Принимает три входных параметра: шаблон, интервал времени и число совпадений.Takes three inputs: a patterns, a time interval, and number of occurrences. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если соответствие будет обнаружено указанное число раз до окончания этого таймера.An event is sent to Operations Manager if the pattern is matches the specified number of times before the timer ends.

<filter tag>
    type filter_scom_repeated_cor
    regexp <key> <pattern>
    event_id <event ID>
    time_interval <interval in seconds>
    num_occurences <number of occurrences>
</filter>

Коррелированное совпадение: filter_scom_cor_matchCorrelated match: filter_scom_cor_match

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is a match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_cor_match
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Эксклюзивная корреляция: filter_scom_excl_correlationExclusive correlation: filter_scom_excl_correlation

Принимает три входных параметра: два шаблона и интервал времени.Takes three inputs: two patterns and a time interval. При обнаружении первого совпадения с шаблоном запускается таймер.When a match is found for the first pattern, a timer starts. Событие отправляется в Operations Manager, если не обнаружится соответствие со вторым шаблоном до окончания этого таймера.An event is sent to Operations Manager if there is no match for the second pattern before the timer ends.

<filter tag>
    type filter_scom_excl_correlation
    regexp1 <key> <pattern1>
    regexp2 <key> <pattern2>
    event_id <event ID>
    time_interval <interval in seconds>
</filter>

Преобразователь Operations Manager: filter_scom_converterOperations Manager converter: filter_scom_converter

Отправляет событие в Operations Manager для всех полученных записей.Sends an event to Operations Manager for all records it receives. В это событие включаются идентификатор и описание события.Sends the specified event ID and description as part of the event.

<filter tag>
    type filter_scom_converter
    event_id <event ID>
    event_desc <event description>
</filter>

MatchMatch

Директива match определяет метод обработки для событий, собранных из источника и отмеченных тегами.The match directive defines how to process events collected from the source with matching tags. В место назначения вывода передаются только те события, тег которых соответствует указанному здесь шаблону.Only events with a tag matching the pattern are sent to the output destination. Если в одной директиве match есть несколько шаблонов, она отбирает все события, соответствующие хотя бы одному из этих шаблонов.When multiple patterns are listed inside one match tag, events can match any of the listed patterns. Параметр type обозначает тип подключаемого модуля для этих событий.The type parameter specifies the type of plugin to use for these events.

В этом примере обрабатываются события с тегами, соответствующими scom.log.This example processes events with tags matching scom.log. ** и scom.alert (** соответствует нулю или более частей тегов).** and scom.alert (** matches zero or more tag parts). Здесь указан подключаемый модуль out_scom, который позволяет пакету управления Operations Manager собирать события.It specifies the out_scom plugin which allows the events to be collected by the Operations Manager management pack.

<match scom.log.** scom.event>

    # Output plugin to use
     type out_scom

    log_level trace
    num_threads 5

    # Size of the buffer chunk. If the top chunk exceeds this limit or the time limit flush\_interval, a new empty chunk is pushed to the top of the
    queue and bottom chunk is written out.
    buffer_chunk_limit 5m
    flush_interval 15s

    # Specifies the buffer plugin to use.
    buffer_type file

    # Specifies the file path for buffer. Fluentd must have write access to this directory.
    buffer_path /var/opt/microsoft/omsagent/scom/state/out\_scom\_common\*.buffer

    # If queue length exceeds the specified limit, events are rejected.
    buffer_queue_limit 10

    # Control the buffer behavior when the queue becomes full: exception, block, drop\_oldest\_chunk
    buffer_queue_full_action drop_oldest_chunk

    # Number of times Fluentd will attempt to write the chunk if it fails.
    retry_limit 10

    # If the bottom chunk fails to be written out, it will remain in the queue and Fluentd will retry after waiting retry\_wait seconds
    retry_wait 30s

    # The retry wait time doubles each time until max\_retry\_wait.
    max_retry_wait 9m

</match>

Примечание

Чтобы отключить аутентификацию сервера на компьютерах Linux, которые обмениваются данными с помощью Fluentd, добавьте параметр enable_server_auth false в подключаемый модуль Operations Manager для Fluentd следующим образом:To disable Server Authentication on the Linux computers that are using Fluentd communication, add a parameter enable_server_auth false to the Operations Manager plugin for Fluentd, such as the following:

<match scom.log.** scom.event>
type out_scom

max_retry_wait 9m
enable_server_auth false

</match>

Копирование файла конфигурации на агентCopy configuration file to agent

Файл конфигурации fluentd следует сохранить по адресу /etc/opt/microsoft/omsagent/scom/conf/omsagent.d на всех компьютерах Linux, для которых применяется мониторинг.The Fluentd configuration file must be copied to /etc/opt/microsoft/omsagent/scom/conf/omsagent.d on all Linux computers you want to monitor. Также необходимо добавить директиву @include в главный файл конфигурации, как описано выше.You must also add an @include directive in the master configuration file as described above.

Перезапуск omsagentRestart omsagent

/opt/microsoft/omsagent/bin/service_control restart/opt/microsoft/omsagent/bin/service_control restart

Примечание

На сервере управления, на котором запущена служба OMED, убедитесь, что брандмауэр на порте 8886 открыт и хранилище сертификатов промежуточных центров сертификации содержит только промежуточные центры сертификации.On the Management Server running the OMED service, ensure the firewall on port 8886 is open and that the intermediate certificate authorities cert store only contains intermediate certificate authorities.

Создание правил и мониторовCreate rules and monitors

Пакет управления Linux не предоставляет модули для сбора событий из Fluentd. Пакет управления Linux объединяется с агентом Linux.The Linux management pack does not provide modules to collect events from FluentD, the Linux management pack is bundled with the Linux agent. Возможности для расширенного мониторинга файла журнала предоставляет именно модуль fluentd в агенте Linux и служба OMED на сервере управления и шлюза.It is the fluentd module in the Linux agent and the OMED service on the management and gateway server that provides the capabilities for enhanced log file monitoring.

Создайте собственный пакет управления с настраиваемыми правилами и мониторами на основе модуля Microsoft.Linux.OMED.EventDataSource, который собирает события от Fluentd.You need to create your own management pack with custom rules and monitors that use the module Microsoft.Linux.OMED.EventDataSource to collect the events from Fluentd.

В следующей таблице перечислены параметры Microsoft.Linux.OMED.EventDataSource.The following table lists the parameters of Microsoft.Linux.OMED.EventDataSource.

ПараметрParameter TypeType ОписаниеDescription
ComputerNameComputerName СтрокаString Обязательный параметр.Required. Указывает имя компьютера Linux, с которого считываются события.Specifies the name of the Linux computer for which events are to be read. Параметр ComputerName чаще всего передается в модуль строкой $Target, но это может быть любая строка.The ComputerName parameter is most commonly passed to the module by using the $Target notation, although it can be specified as any string. Этот модуль пытается прочитать события, созданные для заданного компьютера Linux.This module attempts to read events generated by the given Linux computer.
ManagedEntityIdManagedEntityId СтрокаString Обязательный параметр.Required. Указывает идентификатор управляемой сущности для отслеживаемого объекта.Specifies the managed entity ID of monitored entity. Параметр ManagedEntityId чаще всего передается в модуль строкой $Target\Id$.The ManagedEntityId parameter is most commonly passed to module by using $Target\Id$.
EventNumberEventNumber Целое числоInteger Необязательный параметр.Optional. Указывает номер события, которое нужно получить.Indicates the event number of the event to retrieve. Если этот параметр не указан, модуль возвращает все события, созданные для этого компьютера и управляемой сущности.If this option is omitted, the module returns all events generated for that computer and managed entity

Дальнейшие действияNext steps