Erfassen von Daten mithilfe des Azure Monitor-Agents
Der Azure Monitor-Agent sammelt Daten von virtuellen Azure-Computern, VM-Skalierungsgruppen und Azure Arc-fähigen Servern. Datensammlungsregeln (Data Collection Rules, DCR) definieren, welche Daten vom Agent gesammelt und wohin die Daten gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um eine DCR zu erstellen und verschiedene Datentypen zu sammeln und den Agent auf allen Computern installieren, die dies erfordern.
Wenn Sie mit Azure Monitor noch nicht vertraut sind oder grundlegende Datensammlungsanforderungen haben, können Sie möglicherweise alle Ihre Anforderungen über das Azure-Portal und die Anleitungen in diesem Artikel erfüllen. Wenn Sie zusätzliche DCR-Features wie Transformationen nutzen möchten, müssen Sie möglicherweise eine DCR mit anderen Methoden erstellen oder sie nach dem Erstellen im Portal bearbeiten. Sie können verschiedene Methoden verwenden, um DCRs zu verwalten, und Zuordnungen erstellen, wenn Sie die Bereitstellung mit der Azure CLI, Azure PowerShell, einer ARM-Vorlage (Azure Resource Manager-Vorlage) oder Azure Policy ausführen möchten.
Hinweis
Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
Warnung
In den folgenden Szenarien werden u. U. doppelte Daten gesammelt, wodurch sich die Abrechnungsgebühren erhöhen können:
- Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen der DCRs zum selben Agent. Stellen Sie sicher, dass Sie Daten in den DCRs filtern, sodass jede DCR eindeutige Daten sammelt.
- Erstellen einer DCR, die Sicherheitsprotokolle sammelt, und Aktivieren von Microsoft Sentinel für dieselben Agents. In diesem Fall können Sie dieselben Ereignisse in der Tabelle Event und in der Tabelle SecurityEvent sammeln.
- Verwenden des Azure Monitor-Agents und des Log Analytics-Legacy-Agents auf demselben Computer. Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen.
Datenquellen
In der folgenden Tabelle sind die Typen von Daten, die Sie derzeit mit dem Azure Monitor-Agent sammeln können, und die Ziele aufgeführt, an die Sie diese Daten senden können. Der Link für die einzelnen Datenquellen gehört jeweils zu einem Artikel, in dem die Details zum Konfigurieren der Datenquelle beschrieben werden. Führen Sie die Schritte in diesem Artikel aus, um die DCR zu erstellen und Ressourcen zuzuweisen, und lesen Sie dann den entsprechenden verknüpften Artikel, um zu erfahren, wie Sie die Datenquelle konfigurieren.
| Datenquelle | Beschreibung | Clientbetriebssystem | Destinations |
|---|---|---|---|
| Windows-Ereignisse | An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse | Windows | Log Analytics-Arbeitsbereich |
| Leistungsindikatoren | Numerische Werte, die die Leistung verschiedener Betriebssystem- und Workloadaspekte messen | Windows Linux |
Azure Monitor-Metriken (Vorschau) Log Analytics-Arbeitsbereich |
| Syslog | Informationen, die an das Linux-System für die Ereignisprotokollierung gesendet werden | Linux | Log Analytics-Arbeitsbereich |
| Textprotokoll | Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden | Windows Linux |
Log Analytics-Arbeitsbereich |
| JSON-Protokoll | Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden | Windows Linux |
Log Analytics-Arbeitsbereich |
| IIS-Protokolle | IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern | Windows | Log Analytics-Arbeitsbereich |
Hinweis
Der Azure Monitor-Agent unterstützt auch den Azure-Dienst SQL-Best-Practices-Bewertung, der derzeit allgemein verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Best-Practices-Bewertung mithilfe des Azure Monitor-Agents.
Voraussetzungen
- Berechtigungen zum Erstellen von DCR-Objekten im Arbeitsbereich
- Alle Voraussetzungen finden Sie im verknüpften Artikel in der vorherigen Tabelle, in dem die relevante Datenquelle beschrieben wird.
Erstellen einer Datensammlungsregel
Das Azure-Portal bietet eine vereinfachte Erfahrung zum Erstellen einer DCR für VMs und VM-Skalierungsgruppen. Mit dieser Methode müssen Sie die Struktur einer DCR nur dann verstehen, wenn Sie ein erweitertes Feature wie eine Transformation implementieren möchten. Sie können auch andere Erstellungsmethoden verwenden, die unter Erstellen von Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor beschrieben werden.
Wählen Sie im Azure-Portal im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.
Die Registerkarte Allgemein enthält grundlegende Informationen zur DCR.
| Einstellung | Beschreibung |
|---|---|
| Regelname | Name für die DCR. Der Name sollte beschreibend sein, damit Sie die Regel identifizieren können. |
| Abonnement | Abonnement zum Speichern der DCR. Das Abonnement muss nicht dasselbe Abonnement wie für die virtuellen Computer sein. |
| Ressource | Ressourcengruppe zum Speichern der DCR. Die Ressourcengruppe muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein. |
| Region | Azure-Region zum Speichern der DCR. Die Region muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind. |
| Plattformtyp | Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1 |
| Datensammlungsendpunkt | Gibt den Datensammlungsendpunkt (Data Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Die DCE ist nur erforderlich, wenn Sie eine Datenquelle verwenden, die eine DCE erfordert. Weitere Informationen finden Sie unter Einrichten von Datensammlungsendpunkten basierend auf Ihrer Bereitstellung. |
1 Diese Option legt das Attribut kind in der DCR fest. Sie können andere Werte für dieses Attribut festlegen, aber die Werte stehen nicht zur Auswahl im Portal zur Verfügung.
Hinzufügen von Ressourcen
Im Bereich Ressourcen können Sie VMs hinzufügen, die der DCR zugeordnet werden. Wählen Sie Ressourcen hinzufügen aus, um hinzuzufügende Ressourcen auszuwählen. Der Azure Monitor-Agent wird automatisch auf Ressourcen installiert, auf denen der Agent noch nicht installiert wurde. Zwischen dem Computer und der DCR wird eine Zuordnung zur Datensammlungsregel (Data Collection Rule Association, DCRA) erstellt.
Wichtig
Wenn Ressourcen einer DCR hinzugefügt werden, besteht die Standardoption im Azure-Portal darin, eine systemseitig zugewiesene verwaltete Identität für die Ressourcen zu aktivieren. Bei vorhandenen Anwendungen gilt Folgendes: Wenn bereits eine benutzerseitig zugewiesene verwaltete Identität festgelegt ist und Sie diese benutzerseitig zugewiesene Identität beim Hinzufügen der Ressource zu einer DCR über das Portal nicht angeben, verwendet der Computer standardmäßig eine systemseitig zugewiesene Identität, die von der DCR angewendet wird.
Wenn Sie private Azure Monitor-Links verwenden, wählen Sie auf der Registerkarte Ressourcen die Option Datensammlungsendpunkte aktivieren aus, und wählen Sie einen Endpunkt in der Region der einzelnen überwachten Computer aus.
Hinzufügen von Datenquellen
Im Bereich Sammeln und übermitteln können Sie Datenquellen für die DCR hinzufügen und konfigurieren und ein Ziel für jede Quelle hinzufügen.
| Einstellung | Beschreibung |
|---|---|
| Datenquelle | Wählen Sie einen Datenquellentyp aus, und definieren Sie zugehörige Felder basierend auf dem ausgewählten Datenquellentyp. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie in den verwandten Artikeln unter Datenquellen. |
| Ziel | Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Sie können mehrere Ziele desselben Typs oder verschiedene Typen auswählen. Sie können beispielsweise mehrere Log Analytics-Arbeitsbereiche auswählen, was auch als Multihoming bezeichnet wird. Die einzelnen Datentypen für die unterschiedlichen unterstützten Ziele finden Sie in den Details. |
Eine DCR kann mehrere verschiedene Datenquellen enthalten. Maximal 10 Datenquellen können in einer einzelnen DCR enthalten sein. Sie können unterschiedliche Datenquellen in derselben DCR kombinieren. In der Regel erstellen Sie jedoch unterschiedliche DCRs für unterschiedliche Datensammlungsszenarien. Empfehlungen zum Organisieren Ihrer DCRs finden Sie unter Bewährte Methoden für die Erstellung und Verwaltung von Datensammlungsregeln in Azure Monitor.
Hinweis
Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, wenn Sie eine DCR mithilfe des Datensammlungsregel-Assistenten erstellen.
Überprüfen des Betriebs
Nachdem Sie eine DCR erstellt und einem Computer zugeordnet haben, können Sie überprüfen, ob der Agent betriebsbereit ist und ob Daten gesammelt werden, indem Sie Abfragen im Log Analytics-Arbeitsbereich ausführen.
Überprüfen des Agent-Betriebs
Überprüfen Sie, ob der Agent betriebsbereit ist und ordnungsgemäß kommuniziert, indem Sie die folgende Abfrage in Log Analytics ausführen. Die Abfrage überprüft, ob in der Tabelle Heartbeat Datensätze vorhanden sind. Ein Datensatz sollte jede Minute von jedem Agent an diese Tabelle gesendet werden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Überprüfen, ob Datensätze empfangen werden
Es dauert ein paar Minuten, bis der Agent installiert ist und alle neuen oder geänderten DCRs ausführt. Sie können dann überprüfen, ob Datensätze von jeder Ihrer Datenquellen empfangen werden, indem Sie im Log Analytics-Arbeitsbereich die Tabelle überprüfen, in die jede Quelle schreibt.
Die folgende Abfrage überprüft beispielsweise die Tabelle Event auf Windows-Ereignisse:
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Problembehandlung
Wenn erwartete Daten nicht gesammelt werden, führen Sie die folgenden Schritte aus:
Stellen Sie sicher, dass der Agent auf dem Computer installiert ist und ausgeführt wird.
Weitere Informationen finden Sie im Abschnitt „Problembehandlung“ des Artikels für die Datenquelle, mit der Sie Probleme haben.
Aktivieren Sie die Überwachung für die DCR, und führen Sie dann folgende Schritte aus:
- Zeigen Sie Metriken an, um festzustellen, ob Daten gesammelt werden und ob Zeilen gelöscht werden.
- Zeigen Sie Protokolle an, um Fehler in der Datensammlung zu identifizieren.
Zugehöriger Inhalt
- Sammeln von Textprotokollen mit dem Azure Monitor-Agent
- Informieren Sie sich über den Azure Monitor-Agent.
- Informieren Sie sich über die Datensammlungsregeln.