Coletar logs de eventos do cliente da VM

• 7 minutos

As métricas do Azure Monitor e os contadores de desempenho do VM Insights ajudam a identificar anomalias de desempenho e alertam quando os limites são atingidos. Mas para analisar as causas raiz dos problemas detectados, é necessário analisar os dados de log para ver quais eventos do sistema causaram ou contribuíram para os problemas. Nesta unidade, você configura um DCR para coletar dados de Syslog da VM do Linux e exibe os dados de logs no Log Analytics do Azure Monitor usando uma consulta simples da Linguagem de Consulta Kusto (KQL).

O VM Insights instala o agente do Azure Monitor e cria um DCR que coleta contadores de desempenho predefinidos, mapeia dependências de processos e apresenta os dados em pastas de trabalho pré-compiladas. Você pode criar seus próprios DCRs para coletar contadores de desempenho da VM que o DCR de insights da VM não coleta ou para coletar dados de log.

Ao criar DCRs no portal do Azure, você pode selecionar entre uma variedade de contadores de desempenho e taxas de amostragem ou adicionar contadores de desempenho personalizados. Como alternativa, é possível selecionar entre um conjunto predefinido de tipos de log e níveis de gravidade ou definir esquemas de log personalizados. É possível associar um único DCR a qualquer uma ou a todas as VMs na sua assinatura, mas talvez sejam necessários vários DCRs para coletar diferentes tipos de dados de diferentes VMs.

Criar uma DCR para coletar dados de logs

No portal do Microsoft Azure, pesquise e selecione monitor para acessar a página de Visão Geral do Azure Monitor.

Criar um ponto de extremidade de coleta de dados

Você precisa ter um ponto de extremidade de coleta de dados para enviar dados de logs. Para criar um ponto de extremidade:

1. No menu de navegação à esquerda do Azure Monitor, em Configurações, selecione Pontos de extremidade de coleta de dados.
2. Na página Pontos de Extremidade de Coleta de Dados, selecione Criar.
3. Na página Criar ponto de extremidade de coleta de dados, para Nome, insira linux-logs-endpoint.
4. Selecione a mesma Assinatura, Grupo de recursos e Região que sua VM usa.
5. Clique em Examinar + Criar e após a aprovação da validação clique em Criar.

Criar a regra de coleta de dados

Para criar a DCR para coletar os logs de eventos:

1. No menu de navegação à esquerda do Monitor, em Configurações, selecione Regras de Coleta de Dados.

2. Na página Regras de Coleta de Dados, você pode ver o DCR que os insights da VM criaram. Selecione Criar para criar uma regra de coleta de dados.

   

3. Na guia Noções Básicas da tela Criar Regra de Coleta de Dados, forneça as seguintes informações:

   • Nome da regra: Insira collect-events-linux.
   • Assinatura, Grupo de Recursos e Região: Selecione o mesmo que para sua VM.
   • Tipo de Plataforma: Selecione Linux.

4. Selecione Avançar: Resources ou na guia Resources.

   

5. Na tela Recursos, selecione Adicionar recursos.

6. Na tela Selecionar um escopo, selecione a VM monitored-linux-vm e, em seguida, selecione Aplicar.

7. Na tela Recursos, selecione Habilitar Pontos de Extremidade de Coleta de Dados.

8. Em Ponto de extremidade de coleta de dados para monitored-linux-vm, selecione o linux-logs-endpoint que você criou.

9. Selecione Avançar: Coletar e entregar, ou a guia Coletar e entregar.

   

10. Na guia Coletar e entregar, clique em Adicionar fonte de dados.

11. Na tela Adicionar fonte de dados, em Tipo de fonte de dados, selecione Linux Syslog.

12. Na tela Adicionar fonte de dados, selecione Avançar: Destino ou na guia Destino e verifique se a Conta ou namespace corresponde ao Workspace do Log Analytics que você deseja usar. Você pode usar o Workspace do Log Analytics padrão que os insights da VM configuraram, ou criar ou usar outro Workspace do Log Analytics.

13. Na tela Adicionar fonte de dados, selecione Adicionar fonte de dados.

14. Na tela Criar Regra de Coleta de Dados, selecione Examinar + criar e, quando a validação for aprovada, selecione Criar.

    

Exibir dados do log

É possível exibir e analisar os dados de log coletados pelo seu DCR usando consultas de log KQL. Um conjunto de exemplos de consultas KQL está disponível para VMs, mas você pode gravar uma consulta simples para examinar os eventos que seu DCR está coletando.

1. Na página de Visão Geral da sua VM, selecione Logs no menu de navegação à esquerda, em Monitoramento. O Log Analytics abre uma janela de consulta vazia com o escopo definido para sua VM.

   Também é possível acessar os dados de logs selecionando Logs na navegação à esquerda da página do Azure Monitor Visão Geral. Se necessário, selecione Selecionar escopo na parte superior da janela de consulta para definir o escopo da consulta para a VM e o Workspace do Log Analytics desejados.

   Observação

   A janela Consultas com exemplos de consultas poderá ser aberta quando você abrir o Log Analytics. Por enquanto, feche essa janela, pois você criará manualmente uma consulta simples.

2. Na janela de consulta vazia, digite Syslog e selecione Executar. Todos os eventos dos eventos de log do sistema que o DCR coletou dentro do intervalo de tempo são exibidos.

3. Você pode refinar sua consulta para identificar eventos de interesse. Por exemplo, você pode exibir apenas os eventos que tiveram um Aviso de SeverityLevel.

   

Verificar seus conhecimentos

1.

Como coletar os dados de registro de eventos da suas VMs?

Criar uma DCR.

Habilitar os insights da VM.

Habilitar o diagnóstico de inicialização.

2.

Como fazer para exibir os dados de log coletados por uma DCR?

Na guia Monitoramento da página Visão Geral da sua VM.

Selecionando Regras de Coleta de Dados no Azure Monitor.

Usando uma consulta KQL no seu Workspace do Log Analytics.

É necessário responder a todas as perguntas antes de verificar o trabalho.