[Q]
・Heartbeat を使用した死活監視で誤発報が発生することがあります。何が原因なのでしょうか?
・Log Analytics でのデータ収集の遅延により誤発報が生じていると言われました。どのくらい遅延しているか調べる方法はありますか?
・Log Analyitcs のデータ収集のインジェスト時間を確認するクエリについて教えてください。
[A]
※ 注意:Log Anlytics エージェントは、2024 年 8 月 31 日での廃止が予定されており、代替として Monitorエージェントの利用を推奨されております。ご留意願います。
・Heartbeat は、データ収集に遅延が発生した場合に誤発報することがあります。
・データ収集のインジェスト時間を調べることで、遅延の発生有無を確認できます。
・データ収集のインジェスト時間は下記のクエリにより確認することができます。
インジェスト時間を確認するクエリの例:(※仮想マシンの vm-test-001 の場合)
Heartbeat
| where Computer == "vm-test-001"
| extend E2EIngestionLatency = ingestion_time() - TimeGenerated
| project Computer, TimeGenerated, _TimeReceived, ingestion_time(), E2EIngestionLatency
| order by TimeGenerated desc
結果の例:
遅延が見られる場合は、発生している遅延と集約粒度のバランス、検知の遅れを含めてご検討いただき、より長い集約粒度を設定していただくことで、誤発報を抑えられるはずです。
[参考情報]
Heartbeat の収集が遅延していることを確認するとき
※ 上記回答で使用しているサンプルクエリが掲載されています。(クエリ内の "Computer Name" で指定します。)
[更新日]
Update:202303