Настройка правил сбора данных для журналов виртуальных машин IaaS

Если включить аналитику виртуальных машин, агент Azure Monitor устанавливается и запускает отправку предопределенного набора данных о производительности в журналы Azure Monitor. Вы можете создать дополнительные правила сбора данных для сбора событий и других данных производительности.

Правила сбора данных (DCR) определяют процесс сбора данных в Azure Monitor. Правила DCR указывают, какие данные следует собирать, как их преобразовывать и куда отправлять. Некоторые правила DCR создаются и управляются Azure Monitor в целях сбора определенного набора данных для использования аналитических сведений и визуализаций. Вы также можете создать собственные правила DCR, чтобы определить набор данных, необходимых для других сценариев.

Можно определить правило сбора данных для отправки данных с нескольких компьютеров в несколько рабочих областей Log Analytics, включая рабочие области в другом регионе или клиенте. Создайте правило сбора данных в том же регионе, что и рабочая область Log Analytics. Данные событий Windows и системного журнала можно отправлять только в журналы Azure Monitor. Данные счетчиков производительности можно отправлять в метрики и журналы Azure Monitor.

Сбор событий и журналов производительности

Чтобы собирать события и данные о производительности, выполните следующие действия.

1. На портале Azure перейдите к Azure Monitor.
2. В меню "Монитор " выберите "Правила сбора данных".
3. Выберите "Создать", чтобы создать новое правило сбора данных и ассоциации.
4. Введите имя правила и укажите подписку, группу ресурсов, регион и тип платформы:
   • Регион указывает, где будет создан DCR. Виртуальные машины и их связи могут находиться в любой подписке или группе ресурсов в клиенте.
   • Тип платформы указывает тип ресурсов, к которые может применяться это правило. Настраиваемый параметр позволяет использовать как типы Windows, так и Для Linux.
5. На вкладке "Ресурсы":
   • Выберите +Добавить ресурсы и свяжите ресурсы с правилом сбора данных. Ресурсы могут быть виртуальными машинами, Масштабируемые наборы виртуальных машин и Azure Arc для серверов.
   • Выберите "Включить конечные точки сбора данных".
   • Выберите конечную точку сбора данных для каждого ресурса и свяжите с правилом сбора данных.
6. На вкладке "Сбор и доставка " выберите "Добавить источник данных", чтобы добавить источник данных и задать назначение.
7. Выберите тип источника данных .
8. Выберите данные, которые требуется собрать. Для счетчиков производительности можно выбрать вариант из заранее заданного набора объектов и их частоту выборки. Для событий можно выбрать требуемый набор журналов или уровень серьезности.
9. Выберите "Пользователь", чтобы собирать журналы и счетчики производительности, которые в настоящее время не поддерживаются источниками данных, или фильтровать события с помощью запросов XPath. Затем можно указать запрос XPath для сбора конкретных значений.
10. На вкладке "Назначение " добавьте одно или несколько назначений для источника данных. Можно выбрать несколько назначений одного или разных типов. Например, можно выбрать несколько рабочих областей Log Analytics, которые также называются многодомными. Вы можете отправлять только источники данных Windows и системного журнала только в журналы Azure Monitor. Данные счетчиков производительности можно отправлять в метрики и журналы Azure Monitor.
11. Выберите "Добавить источник данных ", а затем нажмите кнопку "Просмотр и создание ", чтобы просмотреть сведения о правиле сбора данных и сопоставлении с набором виртуальных машин.

Сбор журналов IIS

Чтобы создать правило сбора данных для сбора журналов IIS с виртуальной машины Windows Server на портале Azure, выполните действия, описанные в разделе 'Сбор событий и производительности', но при выборе источника данных укажите журналы IIS.

Сбор данных системного журнала

Системный журнал — это протокол ведения журнала событий, который является общим для Linux. Вы можете использовать управляющую программу Системного журнала, встроенную в устройства и устройства Linux, для сбора локальных событий указанных типов. Затем вы можете отправить эти события в рабочую область Log Analytics. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или доставлены сборщику Системного журнала.

Когда агент Azure Monitor для Linux установлен, он настраивает локальную управляемую программу Системного журнала для пересылки сообщений агенту при включении сбора системных журналов в правилах сбора данных (DCR). Затем агент Azure Monitor отправляет сообщения в рабочую область Azure Monitor или Log Analytics, в которой в таблице Syslog создается соответствующая запись системного журнала.

Сборщик syslog поддерживает следующие объекты:

• авторизация
• authpriv
• Cron
• демон
• знак
• кернинг
• lpr
• почта
• новости
• системный журнал
• Пользователь
• uucp
• local0-local7

Агент Azure Monitor для Linux собирает события только с объектами и серьезностью, указанными в конфигурации. Системный журнал можно настроить на портале Azure или с помощью управления файлами конфигурации на агентах Linux.

Настройка сбора системных журналов из меню "Правила сбора данных " в Azure Monitor. Эта конфигурация передается в файл конфигурации на каждом агенте Linux. Выполните процедуру, описанную ранее в уроке для событий и журналов производительности, но при выборе команды "Добавить источник данных" убедитесь, что для типа источника данных выбран системный журнал Linux.

События системного журнала можно собирать с различным уровнем журнала для каждого объекта. По умолчанию собираются все типы объектов Syslog. Если вы не хотите собирать события проверки подлинности, выберите NONE в поле списка "Минимальный уровень журнала " для средства проверки подлинности и сохраните изменения. Если необходимо изменить уровень журнала по умолчанию для событий Системного журнала и собирать только события с уровнем журнала, начиная с УВЕДОМЛЕНИЯ или более высокого приоритета, выберите LOG_NOTICE в списке "Минимальный уровень журнала ".