Shromažďování dat pomocí agenta služby Azure Monitor
Agent Azure Monitor shromažďuje data z virtuálních počítačů Azure, škálovacích sad virtuálních počítačů a serverů s podporou Služby Azure Arc. Pravidla shromažďování dat (DCR) definují data, která se mají shromažďovat z agenta a kam se mají data odesílat. Tento článek popisuje, jak pomocí webu Azure Portal vytvořit řadič domény ke shromažďování různých typů dat a instalaci agenta na všechny počítače, které ho vyžadují.
Pokud s Azure Monitorem začínáte nebo máte základní požadavky na shromažďování dat, možná budete moct splnit všechny vaše požadavky pomocí webu Azure Portal a pokynů v tomto článku. Pokud chcete využít více funkcí DCR, jako jsou transformace, možná budete muset vytvořit DCR pomocí jiných metod nebo upravit řadič domény po jeho vytvoření na portálu. Pokud chcete nasadit Azure CLI, Azure PowerShell, šablonu Azure Resource Manageru (šablonu ARM) nebo Azure Policy, můžete použít různé metody správy řadičů domény a vytvořit přidružení.
Poznámka:
Pokud chcete odesílat data mezi tenanty, musíte nejprve povolit Azure Lighthouse.
Upozorňující
Následující scénáře můžou shromažďovat duplicitní data, která můžou zvýšit poplatky za fakturaci:
- Vytvoření více řadičů domény se stejným zdrojem dat a jejich přidružení ke stejnému agentu Ujistěte se, že filtrujete data v řadičích domény tak, aby každý řadič domény shromažďuje jedinečná data.
- Vytvoření DCR, které shromažďuje protokoly zabezpečení a povoluje Microsoft Sentinel pro stejné agenty. V takovém případě můžete shromažďovat stejné události v tabulce událostí a v tabulce SecurityEvent .
- Použití agenta Azure Monitoru i starší verze agenta Log Analytics na stejném počítači. Omezte duplicitní události pouze na čas, kdy přecházíte z jednoho agenta na druhý.
Zdroje dat
Následující tabulka uvádí typy dat, které můžete aktuálně shromažďovat pomocí agenta služby Azure Monitor a kde můžete tato data odesílat. Odkazem pro každý zdroj dat je článek, který popisuje podrobnosti o konfiguraci zdroje dat. Dokončete kroky v tomto článku, abyste vytvořili řadič domény a přiřadili ho k prostředkům, a pak se v příslušném propojeném článku dozvíte, jak nakonfigurovat zdroj dat.
| Zdroj dat | Popis | Operační systém klienta | Místa určení |
|---|---|---|---|
| Události systému Windows | Informace odeslané do systému protokolování událostí Systému Windows, včetně událostí sysmon | Windows | Pracovní prostor služby Log Analytics |
| Čítače výkonu | Číselné hodnoty, které měří výkon různých aspektů operačního systému a úloh | Windows Linux |
Metriky služby Azure Monitor (Preview) Pracovní prostor služby Log Analytics |
| Syslog | Informace odeslané do systému protokolování událostí v Linuxu | Linux | Pracovní prostor služby Log Analytics |
| Textový protokol | Informace odeslané do textového souboru protokolu na místním disku | Windows Linux |
Pracovní prostor služby Log Analytics |
| Protokol JSON | Informace odeslané do souboru protokolu JSON na místním disku | Windows Linux |
Pracovní prostor služby Log Analytics |
| Protokoly IIS | Protokoly internetové informační služby (IIS) z místního disku počítačů s Windows | Windows | Pracovní prostor služby Log Analytics |
Poznámka:
Agent Azure Monitoru také podporuje posouzení osvědčených postupů SQL služby Azure, která je aktuálně obecně dostupná. Další informace najdete v tématu Konfigurace posouzení osvědčených postupů pomocí agenta služby Azure Monitor.
Požadavky
- Oprávnění k vytváření objektů DCR v pracovním prostoru
- Všechny požadavky najdete v propojeném článku v předchozí tabulce popisující příslušný zdroj dat.
Vytvoření pravidla shromažďování dat
Azure Portal poskytuje zjednodušené prostředí pro vytváření DCR pro virtuální počítače a škálovací sady. Pomocí této metody nemusíte rozumět struktuře DCR, pokud nechcete implementovat pokročilou funkci, jako je transformace. Můžete také použít jiné metody vytváření popsané v tématu Vytváření dcr ve službě Azure Monitor.
Na webu Azure Portal v nabídce Monitorování vyberte Vytvořit pravidla> shromažďování dat a otevřete podokno pro vytvoření DCR.
Karta Základy obsahuje základní informace o řadiči domény.
| Nastavení | Popis |
|---|---|
| Název pravidla | Název dcR. Název by měl být popisný, který vám pomůže identifikovat pravidlo. |
| Předplatné | Předplatné pro uložení DCR. Předplatné nemusí být stejné jako virtuální počítače. |
| Prostředek | Skupina prostředků pro uložení dcR. Skupina prostředků nemusí být stejná jako virtuální počítače. |
| Oblast | Oblast Azure pro uložení DCR. Oblast musí být stejná jako jakýkoli pracovní prostor služby Log Analytics nebo pracovní prostor služby Azure Monitor, který se používá v cíli řadiče domény. Pokud máte pracovní prostory v různých oblastech, vytvořte několik řadičů domény, které se přidruží ke stejné sadě počítačů. |
| Typ platformy | Určuje typ zdrojů dat, které jsou k dispozici pro DCR, Windows nebo Linux. Žádné neumožňuje obojí. 1 |
| Koncový bod shromažďování dat | Určuje koncový bod shromažďování dat (DCE), který se používá ke shromažďování dat. DCE se vyžaduje jenom v případě, že používáte privátní propojení Služby Azure Monitor. Tento řadič domény musí být ve stejné oblasti jako řadič domény. Další informace najdete v tématu Nastavení koncových bodů shromažďování dat na základě vašeho nasazení. |
1 Tato možnost nastaví kind atribut v DCR. Pro tento atribut můžete nastavit jiné hodnoty, ale hodnoty nejsou k dispozici pro výběr na portálu.
Přidání prostředků
V podokně Prostředky můžete přidat virtuální počítače, které se mají přidružit k řadiči domény. Pokud chcete vybrat prostředky, které chcete přidat, vyberte Přidat prostředky. Agent Azure Monitor se automaticky nainstaluje na jakýkoli prostředek, který ještě nemá nainstalovaného agenta. Mezi počítačem a DCR se vytvoří přidružení pravidla shromažďování dat (DCRA ).
Důležité
Když se prostředky přidají do dcR, výchozí možností na webu Azure Portal je povolení spravované identity přiřazené systémem pro prostředky. Pokud už je u existujících aplikací nastavená spravovaná identita přiřazená uživatelem, pokud při přidávání prostředku do dcR pomocí portálu nezadáte identitu přiřazenou uživatelem, počítač použije identitu přiřazenou systémem.
Pokud počítač, který monitorujete, není ve stejné oblasti jako cílový pracovní prostor služby Log Analytics a shromažďujete datové typy, které vyžadují DCE, vyberte Povolit koncové body shromažďování dat a vyberte koncový bod v oblasti každého monitorovaného počítače. Pokud je monitorovaný počítač ve stejné oblasti jako cílový pracovní prostor služby Log Analytics nebo pokud nepotřebujete DCE, nevybírejte koncový bod shromažďování dat na kartě Prostředky .
Přidat zdroje dat
V podokně Shromažďování a doručování můžete přidat a nakonfigurovat zdroje dat pro řadič domény a přidat cíl pro každý zdroj.
| Nastavení | Popis |
|---|---|
| Zdroj dat | Vyberte typ zdroje dat a definujte související pole na základě vybraného typu zdroje dat. Podrobnosti o konfiguraci jednotlivých typů zdrojů dat najdete v souvisejících článcích ve zdrojích dat. |
| Cíl | Přidejte jeden nebo více cílů pro každý zdroj dat. Můžete vybrat více cílů stejného typu nebo vybrat různé typy. Můžete například vybrat několik pracovních prostorů služby Log Analytics, které se nazývá multihoming. Podrobnosti o jednotlivých datových typech pro různé cíle, které podporují. |
Řadič domény může obsahovat několik různých zdrojů dat. V jednom dcR může být maximálně 10 zdrojů dat. Ve stejném řadiči domény můžete kombinovat různé zdroje dat, ale obvykle vytváříte různé zdroje dat pro různé scénáře shromažďování dat. Doporučení týkající se uspořádání DCR najdete v tématu Osvědčené postupy pro vytváření a správu pravidel shromažďování dat ve službě Azure Monitor.
Poznámka:
Odeslání dat do cílů pomocí průvodce shromažďováním dat může trvat až 5 minut.
Ověření operace
Jakmile vytvoříte řadič domény a přidružíte ho k počítači, můžete ověřit, jestli je agent funkční a že data se shromažďují spuštěním dotazů v pracovním prostoru služby Log Analytics.
Ověření operace agenta
Spuštěním následujícího dotazu v Log Analytics ověřte, že je agent funkční a správně komunikuje. Dotaz zkontroluje, jestli v tabulce prezenčních signálů existují nějaké záznamy. Záznam by se měl každou minutu odeslat do této tabulky z každého agenta.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Ověření přijetí záznamů
Instalace agenta a spuštění nových nebo upravených řadičů domény trvá několik minut. Potom můžete ověřit, že se záznamy přijímají z jednotlivých zdrojů dat, a to tak, že zkontrolujete tabulku, do které každý zdroj zapisuje v pracovním prostoru služby Log Analytics.
Například následující dotaz zkontroluje události Windows v tabulce Událost :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Odstraňování potíží
Pokud se data, která očekáváte, neshromažďují, proveďte následující kroky:
Ověřte, že je na počítači nainstalovaný a spuštěný agent.
Informace o zdroji dat, se kterým máte potíže, najdete v části řešení potíží v článku.
Povolte monitorování dcR a pak:
- Prohlédněte si metriky, abyste zjistili, jestli se data shromažďují a jestli se zahazují nějaké řádky.
- Zobrazte protokoly a identifikujte chyby v kolekci dat.
Související obsah
- Shromážděte textové protokoly pomocí agenta služby Azure Monitor.
- Přečtěte si další informace o agentu služby Azure Monitor.
- Přečtěte si další informace o pravidlech shromažďování dat.