Migrationsanleitung von Änderungsnachverfolgung und Inventarisierung mit Log Analytics zu Änderungsnachverfolgung und Inventarisierung mit Azure Monitoring Agent Version

Gilt für: ✔️ Windows VMs ✔️ Linux VMs ✔️ Azure Arc-fähige Server.

Dieser Artikel enthält Anleitungen, um von der Änderungsnachverfolgung und dem Bestand mithilfe der Log Analytics -Version (LA) zur Azure Monitoring Agent (AMA)-Version zu wechseln.

Mithilfe des Azure-Portals können Sie von der Änderungsnachverfolgungsinventur mit dem LA-Agent zur Änderungsverfolgungsinventur mit AMA migrieren. Es gibt zwei Methoden für diese Migration:

• Migrieren Sie einzelne/mehrere Maschinen von der Seite „Azure Virtual Machines“ oder „Machines-Azure Arc“.
• Migrieren Sie mehrere Virtual Machines auf LA-Versionslösung innerhalb eines bestimmten Automation-Kontos.

Außerdem können Sie ein Skript verwenden, um alle Virtual Machines und Arc-fähigen Nicht-Azure-Maschinen auf Log Analytics-Arbeitsbereich-Ebene von der LA-Versionslösung auf Änderungsnachverfolgung und Bestand mit AMA zu migrieren. Dies ist über die oben erwähnte Azure-Portalumgebung nicht möglich.

Das Skript ermöglicht außerdem die Migration zum selben Arbeitsbereich. Wenn Sie zum selben Arbeitsbereich migrieren, entfernt das Skript den LA(MMA/OMS)-Agent von Ihren Machines. Dies kann dazu führen, dass die anderen Lösungen nicht mehr funktionieren. Daher empfehlen wir, die Migration entsprechend zu planen. Migrieren Sie beispielsweise zuerst eine andere Lösung und fahren Sie dann mit der Migration der Änderungsnachverfolgung fort.

Hinweis

Das Entfernen funktioniert nicht für MMA-Agents, die mit dem MSI-Installationsprogramm installiert wurden. Es funktioniert nur für VM-/Arc-VM-Erweiterungen.

Hinweis

Die Dateiintegritätsüberwachung (FIM) mit Microsoft Defender for Endpoint (MDE) ist nun verfügbar. Befolgen Sie den Leitfaden zum Migrieren von:

• FIM mit Änderungsnachverfolgung und Bestand mit AMA
• FIM mit Änderungsnachverfolgung und Bestand mit MMA

Einarbeitung in die Änderungsnachverfolgung und Inventur mit Azure Monitoring Agent

Einzelne Azure-VM: Azure-Portal

Führen Sie für das Onboarding im Azure-Portal die folgenden Schritte aus:

1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihren virtuellen Computer aus

2. Wählen Sie unter „Vorgänge“ die Option „Änderungsnachverfolgung“ aus.

3. Wählen Sie „Mit AMA konfigurieren“ aus, und geben Sie im Azure-Monitor-Agentden Log Analytics-Arbeitsbereich an, und wählen Sie „Migrieren“ aus, um die Bereitstellung zu initiieren.

   

4. Wählen Sie Zu CT&I mit AMA wechseln aus, um die eingehenden Ereignisse und Protokolle über den LA-Agent und die AMA-Version auszuwerten.

   

Automation-Konto: Azure-Portal

1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihr Automatisierungskonto aus.

2. Wählen Sie unter „Konfigurationsverwaltung“ die Option „Änderungsnachverfolgung“ und dann „Mit AMA konfigurieren“ aus.

   

3. Auf der Seite „Onboarding für Änderungsnachverfolgung mit Azure Monitoring“ können Sie Ihr Automatisierungskonto und eine Liste der Azure- und Azure Arc-Computer anzeigen, die sich derzeit in Log Analytics befinden und bereit sind, in den Azure Monitor-Agent für Änderungsnachverfolgung und Bestand integriert zu werden.

   

4. Wählen Sie auf der Registerkarte „Virtuelle Computer bewerten“ Computer aus, und wählen Sie dann Weiter.

5. Weisen Sie auf der Registerkarte „Arbeitsbereich zuweisen“ eine neue Ressourcen-ID des Log Analytics-Arbeitsbereichs zu, in der die Einstellungen der AMA-basierten Lösung gespeichert werden sollen, und wählen Sie „Weiter“ aus.

   

6. Auf der Registerkarte „Überprüfen“ können Sie die Computer überprüfen, die integriert werden, und den neuen Arbeitsbereich.

7. Wählen Sie „Migrieren“ aus, um die Bereitstellung zu initiieren.

8. Wählen Sie nach einer erfolgreichen Migration Zu CT&I mit AMA wechseln aus, um sowohl die LA- als auch die AMA-Erfahrung zu vergleichen.

   

Einzelne Azure Arc-VM: Azure-Portal

1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Computer – Azure Arc, und wählen Sie die Option aus.

   

2. Wählen Sie den spezifischen Arc-Computer mit aktivierter Änderungsnachverfolgung V1 aus, der zu Änderungsnachverfolgung V2 migriert werden muss.

3. Wählen Sie Mit AMA zu Änderungsnachverfolgung migrieren aus und geben Sie unter Mit Azure Monitor-Agent konfigurieren die Ressourcen-ID im Log Analytics-Arbeitsbereich an. Wählen Sie dann Migrieren aus, um die Bereitstellung zu initiieren.

   

4. Wählen Sie Aktivitätsprotokollverbindung verwalten aus, um die eingehenden Ereignisse und Protokolle über den LA-Agent und die AMA-Version auszuwerten.

Log Analytics-Arbeitsbereich – PowerShell-Skript

Voraussetzungen

• Stellen Sie sicher, dass PowerShell auf dem Computer installiert ist, auf dem Sie das Skript ausführen möchten.
  • Das Skript kann nicht in Azure Cloud Shell ausgeführt werden.
  • Es wird die neueste Version von PowerShell 7 oder höher empfohlen. Führen Sie die Schritte zum Installieren von PowerShell unter Windows, Linux oder macOS aus.
• Sie benötigen Schreibzugriff für die angegebenen Arbeitsbereichs- und Computerressourcen.
• Installieren der aktuellen Version des Az PowerShell-Moduls. Die Module Az.Accounts und Az.OperationalInsights sind erforderlich, um Konfigurationsinformationen für den Arbeitsbereichs-Agent abzurufen.
• Sie benötigen für die Ausführung von Connect-AzAccount und Select-AzContext Azure-Anmeldeinformationen, die den Kontext des Skripts festlegen.

Führen Sie die folgenden Schritte aus, um Skripts zu migrieren:

Migrationsanleitung

• Das Skript migriert alle Azure Machines und Arc-aktivierte Nicht-Azure-Machines, die in die Lösung für die Änderungsnachverfolgung von LA Agent integriert sind, für den Input Log Analytics-Arbeitsbereich in den Änderungsnachverfolgungsbereich mithilfe des AMA-Agent für den Output Log Analytics-Arbeitsbereich.

• Das Skript bietet die Möglichkeit, mit demselben Arbeitsbereich zu migrieren, d. h. die Arbeitsbereiche für die Eingabe- und Ausgabeprotokollanalyse sind identisch. Allerdings werden dann die LA-Agents (MMA/OMS) von den Computern entfernt.

• Das Skript migriert die Einstellungen für die folgenden Datentypen:

  • Windows-Dienste
  • Linux-Dateien
  • Windows-Dateien
  • Windows-Registrierung
  • Linux-Daemons

• Das Skript besteht aus den folgenden Parametern, die eine Eingabe von Ihnen erfordern.

  Parameter	Erforderlich	Beschreibung
  InputLogAnalyticsWorkspaceResourceId	Ja	Ressourcen-ID des Arbeitsbereichs, der Änderungsnachverfolgung und Bestand mit Log Analytics zugeordnet ist.
  OutputLogAnalyticsWorkspaceResourceId	Ja	Ressourcen-ID des Arbeitsbereichs, der Änderungsnachverfolgung und Bestand mit Azure Monitoring-Agent zugeordnet ist.
  OutputDCRName	Ja	Benutzerdefinierter Name der zu erstellenden neuen DCR.
  OutputVerbose	No	Optional. Geben Sie $true für ausführliche Protokolle ein.
  AzureEnvironment	Ja	Ordnerpfad, in dem DCR-Vorlagen erstellt werden.

• Das Skript führt Folgendes im Detail aus:

  1. Erhalten Sie eine Liste aller Azure- und Arc-Onboarded-Nicht-Azure-Maschinen, die mit MMA Agent in den Input Log Analytics-Arbeitsbereich für die Änderungsnachverfolgungslösung eingebunden wurden.
  2. Erstellen Sie die ARM-Vorlage für die Data Collection Rule (DCR), indem Sie die in der Legacy-Lösung konfigurierten Dateien, Dienste, Tracking- und Registrierungseinstellungen abrufen und sie mit AMA Agent und Änderungsnachverfolgungs-Erweiterungen für den Ausgabe Log Analytics-Arbeitsbereich in entsprechende Einstellungen für die neueste Lösung übersetzen.
  3. Stellen Sie die ARM-Vorlage für die Änderungsnachverfolgungs-Lösung im Ausgabe Log Analytics-Arbeitsbereich bereit. Dies geschieht nur, wenn keine Migration zum selben Arbeitsbereich erfolgt. Der Ausgabearbeitsbereich erfordert, dass die Legacy-Lösung die Protokollanalysetabellen für die Änderungsverfolgung wie ConfigurationChange und ConfigurationData erstellt. Der Name der Bereitstellung lautet DeployCTSolution_CTMig_{GUID} und sie befindet sich in derselben Ressourcengruppe wie der Ausgabe Log Analytics-Arbeitsbereich.
  4. Stellen Sie die in Schritt 2 erstellte DCR ARM-Vorlage bereit. Der Name der Bereitstellung lautet OutputDCRName_CTMig_{GUID} und sie befindet sich in derselben Ressourcengruppe wie der Ausgabe Log Analytics-Arbeitsbereich. Die DCR wird an demselben Speicherort wie der Ausgabe Log Analytics-Arbeitsbereich erstellt.
  5. Entfernt den MMA-Agent aus der in Schritt 1 erstellten Machine-Liste. Diese Aktion wird nur durchgeführt, wenn eine Migration zum gleichen Arbeitsbereich erfolgt. Bei Machines, auf denen der MMA-Agent über MSI installiert wurde, wird der MMA-Agent nicht entfernt. Er wird nur entfernt, wenn der MMA-Agent als Erweiterung installiert wurde.
  6. Weisen Sie DCR Machines zu und installieren Sie den AMA-Agent und CT-Erweiterungen. Der Bereitstellungsname lautet Maschinenname_CTMig und befindet sich in derselben Ressourcengruppe wie die Machine.
     • Weisen Sie die in Schritt 4 bereitgestellte DCR allen in Schritt 1 aufgefüllten Machines zu.
     • Installieren Sie den AMA-Agent auf allen in Schritt 1 aufgefüllten Machines.
     • Installieren Sie den CT-Agent auf allen in Schritt 1 aufgefüllten Machines.

Vergleichen von Daten über Log Analytics Agent und Azure Monitoring Agent-Version

Nachdem Sie das Onboarding zur Änderungsnachverfolgung mit der AMA-Version abgeschlossen haben, wählen Sie auf der Startseite „Mit AMA zu CT wechseln“ aus, um zwischen beiden Versionen zu wechseln und die folgenden Ereignisse zu vergleichen.

Beispiel: Wenn das Onboarding zur AMA-Version des Diensts nach dem 3. November um 6:00 Uhr stattfindet. Sie können die Daten vergleichen, indem Sie konsistente Filter über Parameter wie Änderungstypen, Zeitraumhinweg beibehalten. Sie können eingehende Protokolle im Abschnitt „Änderungen“ und im grafischen Abschnitt vergleichen, um die Datenkonsistenz zu gewährleisten.

Hinweis

Sie müssen die eingehenden Daten und Protokolle vergleichen, nachdem das Onboarding mit der AMA-Version abgeschlossen wurde.

Ressourcen-ID des Log Analytics-Arbeitsbereichs abrufen

Führen Sie die folgenden Schritte aus, um die Ressourcen-ID des Log Analytics-Arbeitsbereichs abzurufen:

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie im Log Analytics-Arbeitsbereichden jeweiligen Arbeitsbereich und dann die JSON-Ansicht aus.

3. Kopieren Sie die Ressourcen-ID

   

Begrenzungen

Über das Azure-Portal

Für einzelne VM und Automatisierungskonto

1. Bei änderungsbasierten Einstellungen für Dateiinhalte müssen Sie manuell von der LA-Version zur AMA-Version von Änderungsnachverfolgung und Bestand migrieren. Befolgen Sie die unter „Dateiinhalte nachverfolgen“ aufgeführten Anleitungen.
2. Wenn eine Migration zu einem anderen Arbeitsbereich durchgeführt wird, müssen die mit dem Log Analytics-Arbeitsbereich konfigurierten Warnmeldungen manuell konfiguriert werden.

Verwenden eines PowerShell-Skripts

1. Bei änderungsbasierten Einstellungen für Dateiinhalte müssen Sie manuell von der LA-Version zur AMA-Version von Änderungsnachverfolgung und Bestand migrieren. Befolgen Sie die unter „Dateiinhalte nachverfolgen“ aufgeführten Anleitungen.
2. Wenn eine Migration zu einem anderen Arbeitsbereich durchgeführt wird, müssen die mit dem Log Analytics-Arbeitsbereich konfigurierten Warnmeldungen manuell konfiguriert werden.

Deaktivieren der Änderungsnachverfolgung mithilfe des Log Analytics-Agents

Nachdem Sie die Verwaltung Ihrer VMs mithilfe von Änderungsnachverfolgung und Bestand mit Azure Monitoring-Agent aktiviert haben, können Sie die Verwendung der Version von Änderungsnachverfolgung und Bestand mit LA-Agent beenden und die Konfiguration aus dem Konto entfernen.

Die Deaktivierungsmethode umfasst Folgendes:

• Entfernt die Änderungsnachverfolgung mit dem LA-Agent für ausgewählte virtuelle Computer im Log Analytics-Arbeitsbereich.
• Entfernt die Änderungsnachverfolgung mit LA-Agent aus dem gesamten Log Analytics-Arbeitsbereich.

Nächste Schritte

• Informationen zur Aktivierung über das Azure-Portal finden Sie unter Aktivieren von „Änderungsnachverfolgung und Bestand“ über das Azure-Portal.