Dépanner le pipeline de traitement des journaux
Une fois vos données de journal ingérées dans Log Analytics, le traitement des données commence de manière asynchrone. Au cours du traitement des données, si une erreur est détectée concernant l'analyse ou l'interprétation des données de journal, un message d'erreur est affiché avec les données de journal dans l'explorateur de journaux.
Pour détecter l'erreur et dépanner votre pipeline de traitement de journaux en identifiant le type d'erreur, utilisez la mesure Erreurs de traitement. Pour savoir comment accéder à la mesure Erreurs de traitement, voir Surveiller Log Analytics à l'aide de mesures de service.
Lorsque des erreurs sont détectées, la mesure Erreurs de traitement affiche une ligne pour chaque type de collecte activé dans la location ou le compartiment. Pointez le curseur de la souris sur les points de données du graphique pour afficher plus de détails sur l'erreur. Voici la marche à suivre pour consulter les mesures par type d'erreur :
-
Cliquez sur le menu Options dans le coin supérieur droit de la mesure Erreurs de traitement, puis sélectionnez Voir dans l'explorateur des mesures.
La mesure est maintenant affichée dans l'explorateur des mesures. Ici, vous pouvez voir le graphique plus en détail.
-
Cliquez sur Modifier les interrogations et sélectionnez Nom de dimension comme
errorTypeet Valeur de dimension comme type d'erreur que vous avez remarqué dans l'explorateur de journaux, par exempleLogParserMismatch.Cliquez sur Mettre à jour le graphique pour actualiser la visualisation du graphique. Le graphique affichera maintenant les mesures pour
errorType.Vous pouvez passer à la vue Table de données pour obtenir une représentation tabulaire des points de données d'erreur collectés.
Voici les différents types d'erreur signalés au moyen de cette mesure pour le traitement des journaux :
| Type d'erreur | Description | Correction recommandée |
|---|---|---|
|
|
Les analyseurs définis dans la source ne correspondent pas à l'enregistrement de journal. Par exemple :
|
Assurez-vous qu'au moins un analyseur correspondant existe pour analyser les données. |
|
|
Les analyseurs définis dans la source ne correspondent pas au champ de l'enregistrement de journal. Par exemple, l'expression rationnelle ne correspond pas au champ des données de journal ou l'expression XPath n'existe pas dans le champ de l'enregistrement de journal json ou XML.
|
Assurez-vous qu'il existe au moins un analyseur de champ correspondant pour analyser les données du champ. |
|
|
L'un des analyseurs définis dans la source a expiré car l'exécution de l'expression rationnelle a pris plus de 3 secondes. L'expression rationnelle peut être complexe ou l'enregistrement de journal est trop long pour l'expression rationnelle. Si cela se produit trois fois pour un ensemble de données (un ensemble est un fichier zip de certains enregistrements de journal), les autres enregistrements de journal de l'ensemble ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message Temporisation maximale de l'expression rationnelle de l'analyseur de base dépassée : 3. |
Utilisez des expressions rationnelles plus rapides dans les analyseurs de la source afin que l'analyse n'expire pas. Voir Écrire des expressions rationnelles performantes. |
|
|
L'analyseur défini pour le champ a expiré car l'exécution de l'expression rationnelle a pris plus de 3 secondes. L'expression rationnelle peut être complexe ou l'enregistrement de journal est trop long pour l'expression rationnelle. Si cela se produit trois fois pour un ensemble de données (un ensemble est un fichier zip de certains enregistrements de journal), les autres enregistrements de journal de l'ensemble ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message Échec de l'analyse : dépassement de la temporisation maximale de l'expression rationnelle de l'analyseur de champ : 3, analyseur : baseparser, level1fieldparser, level2fieldparser. |
Utilisez des expressions rationnelles plus rapides dans les analyseurs de champ de la source afin que l'analyse n'expire pas. Voir Écrire des expressions rationnelles performantes. |
|
|
Les données identifiées pour la collecte et la définition de l'analyseur ne concordent pas. Par exemple :
Si cela se produit pour un ensemble de données, les autres enregistrements de journal de l'ensemble ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message : Échec de l'analyse : dépassement du nombre maximal d'entrées structurées non valides pour l'analyseur de base : 3. |
Vérifiez la définition de l'analyseur et assurez-vous que les données entrantes sont conformes à la définition fournie. Créer un analyseur |
|
|
Les données identifiées pour la collection et la définition de l'analyseur de champ ne correspondent pas. Par exemple :
Si cela se produit trois fois pour un ensemble de données, les autres enregistrements de journal de l'ensemble ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message : Échec de l'analyse : dépassement du nombre maximal d'entrées structurées non valides pour l'analyseur de champ : 3, analyseur : baseparser, fieldparser. |
Vérifiez la définition de l'analyseur de champ et assurez-vous que les données entrantes sont conformes à la définition fournie. Créer un analyseur |