Freigeben über


Sammeln von Daten mit dem Azure Monitor-Agent

Der Azure Monitor-Agent (AMA) wird verwendet, um Daten von virtuellen Azure-Computern, VM-Skalierungsgruppen und Arc-fähigen Servern zu sammeln. Datensammlungsregeln (Data Collection Rules, DCR) definieren, welche Daten vom Agent gesammelt werden sollen und wohin diese Daten gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um eine DCR zu erstellen und verschiedene Datentypen zu sammeln, und den Agent auf allen Computern installieren, die dies erfordern.

Wenn Sie mit Azure Monitor noch nicht vertraut sind oder grundlegende Datensammlungsanforderungen haben, können Sie möglicherweise alle Ihre Anforderungen über das Azure-Portal und die Anleitungen in diesem Artikel erfüllen. Wenn Sie zusätzliche DCR-Features wie Transformationen nutzen möchten, müssen Sie möglicherweise eine DCR mit anderen Methoden erstellen oder sie nach dem Erstellen im Portal bearbeiten. Sie können auch unterschiedliche Methoden verwenden, um DCRs zu verwalten und Zuordnungen zu erstellen, wenn Sie für die Bereitstellung CLI, PowerShell, ARM-Vorlagen oder Azure Policy verwenden möchten.

Hinweis

Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.

Warnung

In den folgenden Fällen können doppelte Daten gesammelt werden, die zu zusätzlichen Gebühren führen können.

  • Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen der DCRs zum selben Agent. Stellen Sie sicher, dass Sie Daten in den DCRs filtern, sodass jede eindeutige Daten sammelt.
  • Erstellen einer DCR, die Sicherheitsprotokolle sammelt, und Aktivieren von Sentinel für dieselben Agents. In diesem Fall sammeln Sie möglicherweise dieselben Ereignisse in der Tabelle „Event“ und in der Tabelle „SecurityEvent“.
  • Verwenden des Azure Monitor-Agents und des Log Analytics-Legacy-Agents auf demselben Computer. Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen.

Datenquellen

In der folgenden Tabelle sind die Typen von Daten, die Sie derzeit mit dem Azure Monitor-Agent sammeln können, und die Ziele aufgeführt, an die Sie diese Daten senden können. Der Link gehört jeweils zu einem Artikel, in dem die Details zum Konfigurieren dieser Datenquelle beschrieben werden. Folgen Sie diesem Artikel, um die DCR zu erstellen und Ressourcen zuzuweisen, und folgen Sie dann dem verknüpften Artikel, um die Datenquelle zu konfigurieren.

Datenquelle Beschreibung Clientbetriebssystem Destinations
Windows-Ereignisse An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse. Windows Log Analytics-Arbeitsbereich
Leistungsindikatoren Numerische Werte, die die Leistung verschiedener Aspekte von Betriebssystem und Workloads messen. Windows
Linux
Azure Monitor-Metriken (Vorschau)
Log Analytics-Arbeitsbereich
Syslog Informationen, die an das Linux-System für die Ereignisprotokollierung gesendet werden Linux Log Analytics-Arbeitsbereich
Textprotokoll Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden. Windows
Linux
Log Analytics-Arbeitsbereich
JSON-Protokoll Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden. Windows
Linux
Log Analytics-Arbeitsbereich
IIS-Protokolle IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern Windows Log Analytics-Arbeitsbereich

Hinweis

Der Azure Monitor-Agent unterstützt auch die SQL-Best-Practices-Bewertung des Azure-Diensts, die derzeit allgemein verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Bewertung bewährter Methoden mithilfe des Azure Monitor-Agents.

Voraussetzungen

Erstellen einer Datensammlungsregel

Das Azure-Portal bietet eine vereinfachte Erfahrung zum Erstellen einer Datensammlungsregel für VMs und VM-Skalierungsgruppen. Mit dieser Methode müssen Sie die Struktur einer Datensammlungsregel nur dann verstehen, wenn Sie ein erweitertes Feature wie eine Transformation implementieren möchten. Sie können auch andere Erstellungsmethoden verwenden, die unter Erstellen von Datensammlungsregeln (DCRs) in Azure Monitor beschrieben werden.

Wählen Sie im Azure-Portal im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.

Screenshot der Schaltfläche „Erstellen“ für eine neue Datensammlungsregel.

Die Seite Allgemein enthält grundlegende Informationen zur DCR.

Screenshot der Registerkarte „Allgemein“ für eine neue Datensammlungsregel.

Einstellung Beschreibung
Regelname Name für die DCR. Der Name sollte beschreibend sein, damit Sie die Regel identifizieren können.
Abonnement Abonnement zum Speichern der DCR. Das Abonnement muss nicht dasselbe Abonnement wie für die virtuellen Computer sein.
Resource group Ressourcengruppe zum Speichern der DCR. Die Ressourcengruppe muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein.
Region Region zum Speichern der DCR. Die Region muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind.
Plattformtyp Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1
Datensammlungsendpunkt Gibt den Datensammlungsendpunkt (Data Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Die DCE ist nur erforderlich, wenn Sie private Azure Monitor-Links verwenden. Dieser DCE muss sich in derselben Region wie die DCR befinden. Weitere Informationen finden Sie unter Einrichten von Datensammlungsendpunkten basierend auf Ihrer Bereitstellung.

1 Diese Option legt das Attribut kind in der DCR fest. Es gibt andere Werte, die für dieses Attribut festgelegt werden können, aber sie sind nicht im Portal verfügbar.

Hinzufügen von Ressourcen

Auf der Seite Ressourcen können Sie VMs hinzufügen, die der DCR zugeordnet werden. Wählen Sie + Ressourcen hinzufügen aus, um Ressourcen auszuwählen. Der Azure Monitor-Agent wird automatisch auf allen Ressourcen installiert, auf denen er noch nicht vorhanden ist, und eine Datensammlungsregelzuordnung (DCRA) wird zwischen dem Computer und der DCR erstellt.

Wichtig

Das Portal aktiviert zusätzlich zu den vorhandenen benutzerseitig zugewiesenen Identitäten (sofern vorhanden) eine systemseitig zugewiesene verwaltete Identität auf den Zielressourcen. Wenn die benutzerseitig zugewiesene Identität von Ihnen nicht extra in der Anforderung angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet.

Screenshot der Registerkarte „Ressourcen“ für eine neue Datensammlungsregel.

Wenn sich der Computer, den Sie überwachen, nicht in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet und Sie Datentypen sammeln, die einen DCE erfordern, wählen Sie Datensammlungsendpunkte aktivieren aus, und wählen Sie einen Endpunkt in der Region jedes überwachten Computers aus. Wenn sich der überwachte Computer in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet oder kein DCE erforderlich ist, wählen Sie auf der Registerkarte Ressourcen keinen Datensammlungsendpunkt aus.

Hinzufügen von Datenquellen

Auf der Seite Sammeln und übermitteln können Sie Datenquellen für die DCR und jeweils ein Ziel hinzufügen und konfigurieren.

Bildschirmelement Beschreibung
Datenquelle Wählen Sie einen Datenquellentyp aus, und definieren Sie zugehörige Felder basierend auf dem ausgewählten Datenquellentyp. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie in den Artikeln unter Datenquellen.
Ziel Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Sie können mehrere gleich- oder verschiedenartige Ziele auswählen. Sie können beispielsweise mehrere Log Analytics-Arbeitsbereiche auswählen (wird auch als Multihoming bezeichnet). Die einzelnen Datentypen für die unterschiedlichen unterstützten Ziele finden Sie in den Details.

Eine DCR kann maximal 10 unterschiedliche Datenquellen enthalten. Sie können unterschiedliche Datenquellen in einer DCR kombinieren, Sie sollten jedoch in der Regel unterschiedliche DCRs für unterschiedliche Datensammlungsszenarien erstellen. Unter Bewährte Methoden für die Erstellung und Verwaltung von Datensammlungsregeln in Azure Monitor finden Sie Empfehlungen zum Organisieren Ihrer DCRs.

Hinweis

Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, wenn Sie eine Datensammlungsregel mithilfe des Datensammlungsregel-Assistenten erstellen.

Überprüfen des Betriebs

Nachdem Sie eine DCR erstellt und einem Computer zugeordnet haben, können Sie überprüfen, ob der Agent betriebsbereit ist und ob Daten gesammelt werden, indem Sie Abfragen im Log Analytics-Arbeitsbereich ausführen.

Überprüfen des Agent-Betriebs

Überprüfen Sie, ob der Agent betriebsbereit ist und ordnungsgemäß kommuniziert, indem Sie die folgende Abfrage in Log Analytics ausführen, um zu überprüfen, ob Datensätze in der Tabelle Heartbeat vorhanden sind. Ein Datensatz sollte jede Minute von jedem Agent an diese Tabelle gesendet werden.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

Überprüfen, ob Datensätze empfangen werden

Es dauert ein paar Minuten, bis der Agent installiert ist und alle neuen oder geänderten DCRs ausführt. Sie können dann überprüfen, ob Datensätze von jeder Ihrer Datenquellen empfangen werden, indem Sie im Log Analytics-Arbeitsbereich die Tabelle überprüfen, in die jede schreibt. Die folgende Abfrage überprüft beispielsweise die Tabelle Event auf Windows-Ereignisse.

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Problembehandlung

Führen Sie die folgenden Schritte aus, wenn Sie nicht die erwarteten Daten sammeln.

  • Stellen Sie sicher, dass der Agent auf dem Computer installiert ist und ausgeführt wird.
  • Weitere Informationen finden Sie im Abschnitt Problembehandlung des Artikels für die Datenquelle, mit der Sie Probleme haben.
  • Informationen zum Aktivieren der Überwachung für die DCR finden Sie unter Überwachen und Behandeln von Problemen mit der DCR-Datensammlung in Azure Monitor.
    • Zeigen Sie Metriken an, um festzustellen, ob Daten gesammelt werden und ob Zeilen gelöscht werden.
    • Zeigen Sie Protokolle an, um Fehler in der Datensammlung zu identifizieren.

Nächste Schritte