Freigeben über


Sammeln von Daten mit dem Azure Monitor-Agent

Der Azure Monitor-Agent (AMA) wird verwendet, um Daten von virtuellen Azure-Computern, VM-Skalierungsgruppen und Arc-fähigen Servern zu sammeln. Datensammlungsregeln (Data Collection Rules, DCR) definieren, welche Daten vom Agent gesammelt werden sollen und wohin diese Daten gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um eine DCR zu erstellen und verschiedene Datentypen zu sammeln, und den Agent auf allen Computern installieren, die dies erfordern.

Wenn Sie mit Azure Monitor noch nicht vertraut sind oder grundlegende Datensammlungsanforderungen haben, können Sie möglicherweise alle Ihre Anforderungen über das Azure-Portal und die Anleitungen in diesem Artikel erfüllen. Wenn Sie zusätzliche DCR-Features wie Transformationen nutzen möchten, müssen Sie möglicherweise eine DCR mit anderen Methoden erstellen oder sie nach dem Erstellen im Portal bearbeiten. Sie können auch unterschiedliche Methoden verwenden, um DCRs zu verwalten und Zuordnungen zu erstellen, wenn Sie für die Bereitstellung CLI, PowerShell, ARM-Vorlagen oder Azure Policy verwenden möchten.

Hinweis

Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.

Warnung

In den folgenden Fällen können doppelte Daten gesammelt werden, die zu zusätzlichen Gebühren führen können.

  • Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen der DCRs zum selben Agent. Stellen Sie sicher, dass Sie Daten in den DCRs filtern, sodass jede eindeutige Daten sammelt.
  • Erstellen einer DCR, die Sicherheitsprotokolle sammelt, und Aktivieren von Sentinel für dieselben Agents. In diesem Fall sammeln Sie möglicherweise dieselben Ereignisse in der Tabelle „Event“ und in der Tabelle „SecurityEvent“.
  • Verwenden des Azure Monitor-Agents und des Log Analytics-Legacy-Agents auf demselben Computer. Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen.

Datenquellen

In der folgenden Tabelle sind die Typen von Daten, die Sie derzeit mit dem Azure Monitor-Agent sammeln können, und die Ziele aufgeführt, an die Sie diese Daten senden können. Der Link gehört jeweils zu einem Artikel, in dem die Details zum Konfigurieren dieser Datenquelle beschrieben werden. Folgen Sie diesem Artikel, um die DCR zu erstellen und Ressourcen zuzuweisen, und folgen Sie dann dem verknüpften Artikel, um die Datenquelle zu konfigurieren.

Datenquelle Beschreibung Clientbetriebssystem Destinations
Windows-Ereignisse An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse. Windows Log Analytics-Arbeitsbereich
Leistungsindikatoren Numerische Werte, die die Leistung verschiedener Aspekte von Betriebssystem und Workloads messen. Windows
Linux
Azure Monitor-Metriken (Vorschau)
Log Analytics-Arbeitsbereich
Syslog Informationen, die an das Linux-System für die Ereignisprotokollierung gesendet werden Linux Log Analytics-Arbeitsbereich
Textprotokoll Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden. Windows
Linux
Log Analytics-Arbeitsbereich
JSON-Protokoll Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden. Windows
Linux
Log Analytics-Arbeitsbereich
IIS-Protokolle IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern Windows Log Analytics-Arbeitsbereich

Hinweis

Der Azure Monitor-Agent unterstützt auch die SQL-Best-Practices-Bewertung des Azure-Diensts, die derzeit allgemein verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Bewertung bewährter Methoden mithilfe des Azure Monitor-Agents.

Voraussetzungen

Übersicht

Wenn Sie eine DCR im Azure-Portal erstellen, werden Sie durch eine Reihe von Seiten geführt, um die Informationen bereitzustellen, die zum Sammeln von Daten von den von Ihnen angegebenen Computern erforderlich sind. In der folgenden Tabelle werden die Informationen beschrieben, die Sie auf jeder Seite angeben müssen.

Abschnitt Beschreibung
Ressourcen Computer, die die DCR verwenden. Wenn Sie der DCR einen Computer hinzufügen, wird eine Zuordnung zur Datensammlungsregel (Data Collection Rule Association, DCRA) zwischen dem Computer und der DCR erstellt. Sie können die DCR nach der Erstellung bearbeiten, um Computer hinzuzufügen oder zu entfernen.
Datenquelle Der Datentyp, der auf dem Computer gesammelt werden soll. Die Liste der verfügbaren Datenquellen ist oben in Datenquellen aufgeführt. Jede Datenquelle verfügt über eigene Konfigurationseinstellungen und potenzielle Voraussetzungen. Weitere Informationen finden Sie in den einzelnen Artikeln.
Destination Ziel, an das die in der Datenquelle gesammelten Daten gesendet werden sollen. Wenn Sie über mehrere Datenquellen in der DCR verfügen, können sie an separate Ziele gesendet werden. Zudem können Daten aus einer einzelnen Datenquelle an mehrere Ziele gesendet werden. Weitere Informationen zum Ziel, z. B. die Tabelle im Log Analytics-Arbeitsbereich, finden Sie im Artikel für die jeweilige Datenquelle.

Ausführliche Schritte zum Erstellen eines DCR mithilfe des Azure-Portals finden Sie unter Erstellen von Datensammlungsregeln.

Überprüfen des Betriebs

Nachdem Sie eine DCR erstellt und einem Computer zugeordnet haben, können Sie überprüfen, ob der Agent betriebsbereit ist und ob Daten gesammelt werden, indem Sie Abfragen im Log Analytics-Arbeitsbereich ausführen.

Überprüfen des Agent-Betriebs

Überprüfen Sie, ob der Agent betriebsbereit ist und ordnungsgemäß kommuniziert, indem Sie die folgende Abfrage in Log Analytics ausführen, um zu überprüfen, ob Datensätze in der Tabelle Heartbeat vorhanden sind. Ein Datensatz sollte jede Minute von jedem Agent an diese Tabelle gesendet werden.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

Überprüfen, ob Datensätze empfangen werden

Es dauert ein paar Minuten, bis der Agent installiert ist und alle neuen oder geänderten DCRs ausführt. Sie können dann überprüfen, ob Datensätze von jeder Ihrer Datenquellen empfangen werden, indem Sie im Log Analytics-Arbeitsbereich die Tabelle überprüfen, in die jede schreibt. Die folgende Abfrage überprüft beispielsweise die Tabelle Event auf Windows-Ereignisse.

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Problembehandlung

Führen Sie die folgenden Schritte aus, wenn Sie nicht die erwarteten Daten sammeln.

  • Stellen Sie sicher, dass der Agent auf dem Computer installiert ist und ausgeführt wird.
  • Weitere Informationen finden Sie im Abschnitt Problembehandlung des Artikels für die Datenquelle, mit der Sie Probleme haben.
  • Informationen zum Aktivieren der Überwachung für die DCR finden Sie unter Überwachen und Behandeln von Problemen mit der DCR-Datensammlung in Azure Monitor.
    • Zeigen Sie Metriken an, um festzustellen, ob Daten gesammelt werden und ob Zeilen gelöscht werden.
    • Zeigen Sie Protokolle an, um Fehler in der Datensammlung zu identifizieren.

Nächste Schritte