Анализ журналов Exchange с помощью Azure Log Analytics (часть 2)

Опубликовано: 6 Марта, 2023

  • Анализ журналов Exchange с помощью Azure Log Analytics (часть 4)

Регистрация в Log Analytics

Мы увидели, как мы можем подписаться на Log Analytics с помощью веб-сайта Operations Management Suite и бесплатного тарифного плана. Однако, если у нас уже есть подписка Azure, мы можем вместо этого использовать портал Azure:

  1. Перейдите на портал Azure и войдите в систему;
  2. Просмотрите список служб и выберите Log Analytics (OMS):
  1. Поскольку мы впервые используем Log Analytics, отображать нечего:
  1. Нажмите «Добавить», заполните все необходимые поля, чтобы создать нашу первую рабочую область OMS, и нажмите «ОК»:
  1. После завершения развертывания и при условии, что все прошло хорошо, у нас должно быть указано наше вновь созданное рабочее пространство:
  1. Если мы нажмем рабочую область, мы получим доступ к Log Analytics (помните, что у вас может быть несколько рабочих областей):

Отсюда мы можем увидеть сведения о Log Analytics для этой конкретной рабочей области, такие как ежедневное использование, источники данных и т. д. При нажатии на ссылку портала OMS открывается веб-сайт Operations Management Suite (например, когда мы создали нашу первую рабочую область в предыдущей статье), откуда мы также можем управлять Log Analytics.

И теперь мы, наконец, готовы начать использовать Log Analytics! ?

Подключение серверов к Log Analytics

Чтобы подключить серверы в нашей локальной инфраструктуре непосредственно к рабочим областям OMS, нам необходимо установить настроенную версию агента мониторинга Microsoft (MMA). Этот агент будет отправлять данные в OMS и позволит нам просматривать эти данные и действовать с ними. Каждый агент может отчитываться перед одной или несколькими рабочими областями.

Подключить компьютеры к OMS очень просто. Давайте начнем с небольшой локальной лаборатории, состоящей из одного сервера Exchange, одного контроллера домена Active Directory и одной рабочей станции Windows 10.

  1. В разделе Log Analytics (OMS) на портале Azure выберите свою рабочую область, а затем щелкните НАЖМИТЕ ЗДЕСЬ, чтобы подключиться к источнику данных и начать работу:
  1. В окнах быстрого запуска выберите Компьютеры:
  1. Так как мы хотим установить агент на локальные машины, выбираем Computers ;
  2. В разделе «Прямой агент» нажмите «Загрузить агент Windows (64-разрядная версия)». Это запустит загрузку агента Log Analytics:
  1. Справа от идентификатора рабочей области щелкните значок копирования и вставьте идентификатор в Блокнот. Сделайте то же самое для первичного ключа ;
  2. Запустите программу установки, чтобы установить агент на компьютеры, которыми вы хотите управлять;
  3. На странице приветствия нажмите «Далее»:
  1. На странице «Условия лицензии» прочтите условия лицензии и нажмите «Принимаю»:
  1. На странице «Папка назначения» измените или сохраните папку установки по умолчанию, а затем нажмите «Далее»:
  1. На странице параметров настройки агента мы можем выбрать подключение агента к Azure Log Analytics (OMS), Operations Manager или оставить поля пустыми, если мы хотим настроить агент позже:
  1. Нажмите «Далее». Поскольку мы решили подключить агент к нашей рабочей области OMS, мы вставляем идентификатор рабочей области и ключ рабочей области (первичный ключ), которые мы скопировали, в Блокнот, а затем нажимаем «Далее»:
  1. Если мы нажмем Advanced, мы сможем настроить параметры прокси, если агенту нужен прокси для связи с OMS:
  1. На странице «Обновления Microsoft» выберите нужный параметр, касающийся обновлений окна, и нажмите «Далее»:
  1. На странице «Все готово к установке» мы просматриваем наши варианты и нажимаем «Установить»:
  1. На странице «Конфигурация успешно завершена» нажмите «Готово»:

После завершения агент Microsoft Monitoring Agent появится на панели управления:

Здесь мы можем просмотреть нашу конфигурацию и убедиться, что агент подключен к Log Analytics. При подключении к OMS агент отображает сообщение о том, что: Агент мониторинга Microsoft успешно подключился к службе Microsoft Operations Management Suite:

В разделе услуг также будет три новых услуги ММА:

Если вы установили агенты, но не настроили их, или если вы хотите, чтобы эти агенты отправляли отчеты в несколько рабочих областей, мы можем включить агент или перенастроить его через панель управления:

  1. Откройте панель управления ;
  2. Откройте агент мониторинга Microsoft и щелкните вкладку Azure Log Analytics (OMS) ;
  3. Нажмите «Добавить», чтобы открыть окно «Добавить рабочую область Log Analytics».
  4. Вставьте идентификатор рабочей области и ключ рабочей области (первичный ключ), которые мы скопировали в Блокнот в предыдущей процедуре, для рабочей области, которую мы хотим добавить, или добавьте сведения о дополнительной рабочей области, а затем нажмите OK:

Самый простой способ установить агент на виртуальные машины Azure — использовать . Это значительно упрощает процесс установки и автоматически настраивает агент для отправки данных в указанную нами рабочую область Log Analytics. Агент также будет обновлен автоматически.

Для виртуальных машин Windows мы включаем расширение виртуальной машины , а для виртуальных машин Linux — расширение виртуальной машины .

Существует три способа включить расширение виртуальной машины Log Analytics:

  • Используя портал Azure (метод, который я покажу здесь);
  • С помощью Azure PowerShell;
  • С помощью шаблона Azure Resource Manager.

Чтобы установить агент Log Analytics и подключить виртуальную машину к рабочей области Log Analytics с помощью портала Azure:

  1. Войдите на портал Azure;
  2. Выберите Обзор в левой части портала, а затем перейдите в раздел Log Analytics (OMS) и выберите его;
  3. В списке рабочих областей Log Analytics выберите ту, которую вы хотите использовать с виртуальной машиной Azure.
  4. В разделе Управление аналитикой журналов выберите Виртуальные машины:
  1. В списке Виртуальные машины выберите виртуальную машину, на которую вы хотите установить агент (убедитесь, что виртуальная машина не находится в состоянии ). Статус подключения OMS для виртуальной машины будет указывать на то, что она не подключена:
  1. В сведениях о виртуальной машине выберите Подключиться. Агент автоматически устанавливается и настраивается для вашей рабочей области Log Analytics. Этот процесс займет несколько минут, в течение которых состояние подключения OMS будет
  1. После установки и подключения агента состояние подключения к OMS будет обновлено и будет отображаться Эта рабочая область:

Вот и все! Через пару минут наша виртуальная машина Azure отправляет данные в OMS.

Портал ОМС

Теперь мы подключили три сервера и одну рабочую станцию к нашей рабочей области Log Analytics (OMS). Хотя через портал Azure мы можем выполнять определенный уровень настройки и даже искать/анализировать собранные журналы, этот портал все еще несколько ограничен, поэтому давайте вместо этого перейдем к порталу OMS, щелкнув любую из следующих двух ссылок на него или нажав переход на веб-сайт Operations Management Suite:

Оказавшись на портале OMS, мы видим практически пустую панель инструментов, поскольку мы еще не настроили сбор данных. Все, что говорит нам приборная панель, это то, что у нас подключено 4 машины и на данный момент завершена треть конфигурации:

Итак, давайте продолжим настройку Log Analytics. Для этого проще всего нажать «Начать», который представляет нам полезный мастер:

Мы видим, что шаг 2. Подключить источник данных зеленый, потому что мы уже подключили машины к Log Analytics с помощью портала Azure в предыдущей статье.

Первый шаг в мастере помогает нам добавить Solutions. Но давайте оставим выбранными параметры по умолчанию, так как мы более подробно рассмотрим решения позже в этой серии статей, когда будем рассматривать Office 365. Нажмите «Добавить выбранные решения»:

Ниже приведены установленные решения, которые мы только что выбрали. Позже мы установим дополнительные. На самом деле мы не используем или , поэтому мы можем легко удалить их, щелкнув текст «Удалить» рядом с ними:

Если мы нажмем «Подключенные источники», мы увидим, что у нас есть четыре машины, подключенные к Log Analytics, и ноль подписок на Office 365 (это то, что мы добавим позже). Мы также можем скачать агент отсюда, чтобы подключить дополнительные серверы:

Шаг 3. Добавить журналы мастера — здесь мы настроим, из каких журналов собирать данные. Итак, давайте взглянем на источники данных в Log Analytics.

Источники данных

Log Analytics будет использовать установленные нами агенты для сбора данных из этих подключенных источников в нашей рабочей области OMS и сохранять эту информацию в репозитории OMS в виде набора записей. Данные, которые собираются из каждого, определяются источниками данных, которые мы настраиваем. Каждый источник данных создает записи определенного типа, причем каждый тип имеет собственный набор свойств.

Ниже перечислены источники данных, которые в настоящее время доступны в Log Analytics.

Источник данных Тип события Описание
Пользовательские журналы <Имя журнала>_CL Текстовые файлы в агентах Windows или Linux, содержащие информацию журнала
Журналы событий Windows Мероприятие События, собранные из журнала событий на компьютерах Windows
Счетчики производительности Windows производительность Счетчики производительности, собранные с компьютеров Windows
Счетчики производительности Linux производительность Счетчики производительности, собранные с компьютеров Linux
Журналы IIS W3CIISLog Журналы информационных служб Интернета в формате W3C
системный журнал системный журнал События системного журнала на компьютерах с Windows или Linux

Для настройки источников данных либо переходим к шагу 3. Добавляем логи мастера, либо используем меню Data в Log Analytics Settings. Ограничением Log Analytics на данном этапе, на мой взгляд, является то, что любая конфигурация доставляется ко всем подключенным источникам в нашей рабочей области OMS. В настоящее время мы не можем исключить какие-либо агенты из этой конфигурации, а это означает, что если мы решим собирать и события из журнала системных событий Windows, мы будем собирать эти события со всех компьютеров Windows… Но я уверен (надеюсь), что это скоро изменится..

Конфигурации источников данных доставляются агентам, напрямую подключенным к OMS, в течение нескольких минут. Указанные данные собираются от агента и доставляются непосредственно в Log Analytics через определенные промежутки времени, характерные для каждого источника данных.

Журналы событий Windows

Это наиболее распространенные источники данных, используемые для агентов Windows, поскольку этот метод используется большинством приложений для регистрации информации и ошибок. Мы можем собирать события из стандартных журналов, таких как » и , в дополнение к указанию других настраиваемых журналов, созданных приложениями, которые нам нужно отслеживать, такими как Exchange.

Log Analytics будет собирать события только из журналов событий Windows, указанных в настройках. Мы можем добавить новый журнал, введя имя журнала и нажав +. Например, если мы хотим начать сбор данных из журнала событий , мы начнем вводить в поле поиска, и Log Analytics автоматически заполнит все журналы, соответствующие нашим критериям поиска:

Затем мы выбираем приложение и нажимаем значок + плюс, чтобы добавить этот журнал событий в нашу коллекцию:

Недостатком здесь является то, что мы не можем щелкнуть правой кнопкой мыши, чтобы выбрать несколько журналов, нам нужно искать и добавлять их один за другим…

После того, как мы выбрали журналы, из которых мы хотим собирать данные, нам нужно выбрать серьезность событий, которые мы хотим собрать. Для каждого журнала будут собираться только события с выбранной серьезностью.

Если мы ищем кажется, что доступны только два журнала…

Но не беспокойтесь! Все, что нам нужно сделать, это ввести имя нужного журнала, и агент соберет его события! Допустим, мы хотим зафиксировать события из журнала управляемой доступности:

Все, что нам нужно сделать, это ввести « » в поле поиска и щелкнуть значок + плюс. Теперь Log Analytics начнет собирать данные из этого журнала! Легкий ?

Log Analytics будет собирать каждое событие, соответствующее выбранной серьезности, из отслеживаемого журнала событий по мере создания события. Агент будет записывать свое место в каждом журнале событий, из которого он собирает данные. Если агент отключается на некоторое время, Log Analytics будет собирать события с того места, где он был в последний раз остановлен, даже если эти события были созданы, когда агент был в автономном режиме.

Журналы производительности

Счетчики производительности в Windows и Linux дают представление о производительности аппаратных компонентов, операционных систем и приложений. Log Analytics может собирать счетчики производительности с частыми интервалами, а также собирать данные о производительности для долгосрочного анализа и составления отчетов.

Когда мы впервые настраиваем счетчики производительности Windows или Linux для новой рабочей области OMS, нам предоставляется возможность начать сбор данных с нескольких общих счетчиков. Мы выбираем те, которые хотим отслеживать, и нажимаем Добавить выбранные счетчики производительности:

Точно так же, как мы добавили журналы событий Windows, мы можем собирать данные из дополнительных счетчиков, введя имя счетчика в текстовое поле в формате . Мы также можем вернуть все экземпляры для определенного счетчика, указав вместо этого .

Допустим, мы хотим собрать данные из счетчика производительности . Если мы введем счетчики не будут возвращены, поэтому нам нужно ввести « » и щелкнуть значок + плюс, чтобы добавить его в наш список.

При добавлении счетчика он будет использовать значение по умолчанию, равное 10 секундам, в качестве интервала выборки. Мы можем изменить это значение на более высокое до 1800 секунд (30 минут), чтобы уменьшить требования к хранению собранных данных о производительности.

На следующем снимке экрана показаны все счетчики производительности, которые я в настоящее время отслеживаю с помощью Log Analytics, включая несколько счетчиков, характерных для Exchange:

Log Analytics будет собирать данные со всех счетчиков производительности с указанным интервалом выборки на всех агентах, на которых установлен этот счетчик. Важно отметить, что все собранные данные о производительности собираются с 30-минутными интервалами.

Грубая оценка сбора определенного счетчика с 10-секундными интервалами составляет около 1 МБ в день для каждого экземпляра. Мы можем оценить требования к памяти конкретного счетчика по следующей формуле:

1 МБ x (количество счетчиков) x (количество агентов) x (количество экземпляров)

Информационные службы Интернета (IIS)

Log Analytics может собирать записи из файлов журналов, созданных IIS (но только в формате W3C), поэтому мы должны настроить IIS для ведения журнала (что в Exchange по умолчанию) и выбрать поля, которые мы хотим регистрировать. IIS не регистрирует все поля по умолчанию, поэтому вы можете вручную выбрать дополнительные поля помимо полей по умолчанию.

Чтобы начать сбор журналов IIS, не требуется никакой настройки, кроме выбора «Собирать файлы журналов IIS в формате W3C »:

Log Analytics будет собирать записи журнала IIS из каждого подключенного источника примерно каждые 15 минут.

Последний источник данных, который нас интересует, — это Custom Logs. У Exchange бесчисленное множество журналов, поэтому в следующей части мы увидим, сможем ли мы импортировать их в Log Analytics.

Заворачиваем…

Во второй части этой серии статей мы зарегистрировались в Log Analytics с помощью портала Azure, увидели, как подключить наши серверы к Log Analytics, кратко ознакомились с порталом OMS и ознакомились с некоторыми источниками данных, которые мы можем собирать с помощью Аналитика журнала. В следующей части мы увидим, можем ли мы собирать данные из других источников, таких как журналы отслеживания сообщений Exchange, и рассмотрим поиск и анализ данных, которые мы собираем.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023