Dépannage du pipeline de traitement de journal
Une fois vos données de journal incluses dans Log Analytics, le traitement des données commence de manière asynchrone. Lors du traitement des données, si une erreur se produit lors de l'analyse ou de l'interprétation des données de journal, un message d'erreur s'affiche avec les données de journal dans l'explorateur de journaux.
Pour détecter l'erreur et dépanner le pipeline de traitement de journal, en identifiant le type d'erreur, utilisez la mesure Erreurs de traitement. Pour connaître les étapes d'accès à la mesure Erreurs de traitement, reportez-vous à la surveillance de Log Analytics à l'aide des mesures de service.
Lorsque des erreurs sont détectées, la mesure Erreurs de traitement affiche une ligne pour chaque type de collecte activé dans la location ou le compartiment. Positionnez le curseur sur les points de données du graphique pour afficher plus de détails sur l'erreur. Pour afficher les mesures par type d'erreur, procédez comme suit :
-
Cliquez sur le menu Options dans l'angle supérieur droit de la mesure Erreurs de traitement, puis sélectionnez Afficher dans l'explorateur de mesures.
La mesure est maintenant affichée dans l'explorateur de mesures. Vous pouvez ainsi visualiser le graphique en détail.
-
Cliquez sur Modifier les requêtes et sélectionnez Nom de dimension comme
errorTypeet Valeur de dimension comme type d'erreur que vous avez remarqué dans l'explorateur de journaux, par exempleLogParserMismatch.Cliquez sur Mettre le graphique à jour pour actualiser la visualisation du graphique. Le graphique affiche désormais les mesures pour
errorType.Vous pouvez basculer sur la vue Table des données pour obtenir une représentation tabulaire des points de données d'erreur collectés.
Voici les différents types d'erreur signalés via cette mesure pour le traitement des journaux :
| Type d'erreur | Description | Correction recommandée |
|---|---|---|
|
|
Les analyseurs définis dans la source ne correspondent pas à l'enregistrement de journal. Par exemple,
|
Assurez-vous qu'au moins un analyseur correspondant existe pour analyser les données. |
|
|
Les analyseurs définis dans la source ne correspondent pas au champ de l'enregistrement de journal. Par exemple, l'expression régulière ne correspond pas au champ des données de journal ou l'expression XPath n'existe pas dans le champ de l'enregistrement de journal json ou XML.
|
Assurez-vous qu'au moins un analyseur de champ correspondant existe pour analyser les données du champ. |
|
|
L'un des analyseurs définis dans la source a expiré car l'exécution de l'expression régulière a pris plus de 3 secondes. L'expression régulière peut être complexe ou l'enregistrement de journal est trop long pour l'expression régulière. Si cela se produit trois fois pour un groupe de données (un groupe est un fichier zip de certains enregistrements de journal), les autres enregistrements de journal du groupe ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message exceeded max base parser regex timeout : 3. |
Utilisez des expressions régulières plus rapides dans les analyseurs de la source afin que l'analyse n'expire pas. Reportez-vous à Ecriture d'expressions régulières performantes. |
|
|
L'analyseur défini pour le champ a expiré car l'exécution de l'expression régulière a pris plus de 3 secondes. L'expression régulière peut être complexe ou l'enregistrement de journal est trop long pour l'expression régulière. Si cela se produit trois fois pour un groupe de données (un groupe est un fichier zip de certains enregistrements de journal), les autres enregistrements de journal du groupe ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message Parsing failure : beyond max field parser regex timeout : 3, parser : baseparser, level1fieldparser, level2fieldparser. |
Utilisez des expressions régulières plus rapides dans les analyseurs de champ de la source afin que l'analyse n'expire pas. Reportez-vous à Ecriture d'expressions régulières performantes. |
|
|
Il existe une non-concordance entre les données identifiées pour la collecte et la définition d'analyseur. Par exemple,
Si cela se produit pour un groupe de données, les autres enregistrements de journal du groupe ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message suivant : Echec de l'analyse : nombre maximal d'entrées structurées non valides de l'analyseur de base dépassé : 3. |
Vérifiez la définition d'analyseur et assurez-vous que les données entrantes sont conformes à la définition fournie. Création d'un analyseur |
|
|
Il existe une non-concordance entre les données identifiées pour l'ensemble et la définition d'analyseur de champ. Par exemple,
Si cela se produit trois fois pour un groupe de données, les autres enregistrements de journal du groupe ne sont pas analysés et sont marqués avec ce type d'erreur d'analyse avec le message suivant : Echec de l'analyse : nombre maximal d'entrées structurées non valides de l'analyseur de champ dépassé : 3, analyseur : baseparser, fieldparser. |
Vérifiez la définition d'analyseur de champ et assurez-vous que les données entrantes sont conformes à la définition fournie. Création d'un analyseur |