Überwachen von VMs mit Azure Monitor: Bereitstellen des Agents
Dieser Artikel ist Teil des Szenarios Überwachen von VMs und der zugehörigen Workloads in Azure Monitor. Es wird beschrieben, wie Sie den Azure Monitor-Agent auf Ihren Azure-VMs und auf Hybrid-VMs in Azure Monitor bereitstellen.
Hinweis
In diesem Szenario wird beschrieben, wie Sie die vollständige Überwachung Ihrer Azure- und Hybrid-VM-Umgebung implementieren. Informationen zum Einstieg in die Überwachung Ihres ersten virtuellen Azure-Computers finden Sie unter Überwachen virtueller Azure-Computer.
Jedes Überwachungstool (z. B. Azure Monitor) erfordert, dass ein Agent auf dem Computer installiert ist, mit dem Daten von dem Gastbetriebssystem gesammelt werden können. Azure Monitor verwendet den Azure Monitor Agent, der VMs in Azure, VMs in anderen Cloudumgebungen und lokale VMs unterstützt.
Voraussetzungen
Erstellen eines Log Analytics-Arbeitsbereichs
Sie benötigen keinen Log Analytics-Arbeitsbereich, um den Azure Monitor-Agent bereitzustellen, aber Sie benötigen einen Arbeitsbereich, um die darüber gesendeten Daten zu erfassen. Für den Arbeitsbereich entstehen keine Kosten, aber beim Sammeln von Daten fallen Gebühren für Erfassung und Aufbewahrung an.
Viele Umgebungen verwenden einen einzelnen Arbeitsbereich für sämtliche VMs und weitere überwachte Azure-Ressourcen. Sie können sogar einen Arbeitsbereich gemeinsam nutzen, der von Microsoft Defender für Cloud und Microsoft Sentinel verwendet wird, obwohl sich viele Kunden dafür entscheiden, ihre Verfügbarkeits- und Leistungstelemetrie von Sicherheitsdaten zu trennen. Beim Einstieg in Azure Monitor sollten Sie mit einem einzigen Arbeitsbereich beginnen und die Erstellung weiterer Arbeitsbereiche in Betracht ziehen, wenn sich Ihre Anforderungen weiterentwickeln. VM Insights erstellt einen Standardarbeitsbereich, den Sie für einen schnellen Einstieg nutzen können.
Ausführliche Informationen zur Logik, die Sie beim Entwurf einer Arbeitsbereichskonfiguration berücksichtigen sollten, finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichskonfiguration.
Arbeitsbereichberechtigungen
Der Zugriffsmodus des Arbeitsbereichs definiert, welche Benutzer auf verschiedene Sätze von Daten zugreifen können. Ausführliche Informationen zum Definieren des Zugriffsmodus und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor. Wenn Sie gerade erst mit der Nutzung von Azure Monitor beginnen, sollten Sie bei der Erstellung Ihres Arbeitsbereichs die Standardeinstellungen übernehmen und die zugehörigen Berechtigungen später konfigurieren.
Tipp
Multihoming bezieht sich auf eine VM, die eine Verbindung mit mehreren Arbeitsbereichen herstellt. In der Regel gibt es selten einen Grund, nur für Azure Monitor Multihoming-Agents zu nutzen. Wenn ein Agent Daten an mehrere Arbeitsbereiche sendet, werden höchstwahrscheinlich doppelte Daten in jedem Arbeitsbereich generiert, was die Gesamtkosten erhöht. Sie können Daten aus mehreren Arbeitsbereichen kombinieren, indem Sie arbeitsbereichsübergreifende Abfragen und Arbeitsmappen verwenden. Ein möglicher Grund für die Verwendung von Multihoming liegt vor, wenn Sie über eine Umgebung mit Microsoft Defender for Cloud oder Microsoft Sentinel verfügen, die in einem von Azure Monitor getrennten Arbeitsbereich gespeichert ist. Ein Computer, der von jedem Dienst überwacht wird, muss Daten an jeden Arbeitsbereich senden.
Vorbereiten von Hybridcomputern
Ein Hybridcomputer ist jeder Computer, der nicht in Azure ausgeführt wird. Es handelt sich um eine VM, die in einer anderen Cloud ausgeführt oder gehostet wird, oder um einen virtuellen oder physischen Computer, der lokal in Ihrem Rechenzentrum ausgeführt wird. Verwenden Sie Azure Arc-fähige Server für Hybridcomputer, damit Sie sie ähnlich wie Ihre Azure-VMs verwalten können. Sie können VM Insights in Azure Monitor verwenden, um die Überwachung für Azure Arc-fähige Server auf die gleiche Weise zu aktivieren wie für Azure-VMs. Eine vollständige Anleitung zum Vorbereiten Ihrer Hybridcomputer für Azure finden Sie unter Planen und Bereitstellen von Servern mit Azure Arc-Unterstützung. Diese Aufgabe umfasst das Aktivieren einzelner Computer und die Verwendung Azure Policy, um Ihre gesamte Hybridumgebung bedarfsgerecht zu unterstützen.
Es entstehen keine zusätzlichen Kosten für Azure Arc-fähige Server, aber es können Kosten für verschiedene Optionen anfallen, die Sie aktivieren. Weitere Informationen finden Sie in der Azure Arc-Preisübersicht. Nach dem Onboarding Ihrer Hybridcomputer entstehen Kosten für die im Arbeitsbereich gesammelten Daten, ebenso wie dies für eine Azure-VM der Fall ist.
Netzwerkanforderungen
Der Azure Monitor-Agent für Linux und Windows kommuniziert über den TCP-Port 443 mit dem Azure Monitor-Dienst. Der Dependency-Agent verwendet den Azure Monitor-Agent für die gesamte Kommunikation, sodass keine weiteren Ports benötigt werden. Ausführliche Informationen zum Konfigurieren Ihrer Firewall und Ihres Proxys finden Sie unter Netzwerkanforderungen.
Es gibt drei verschiedene Optionen für die Verbindung Ihrer Hybrid-VMs mit Azure Monitor:
Öffentliches Internet: Wenn Ihre Hybridserver mit dem öffentlichen Internet kommunizieren dürfen, können sie sich mit einem globalen Azure Monitor-Endpunkt verbinden. Dies ist die einfachste Konfiguration, aber auch die unsicherste.
Log Analytics-Gateway: Mit dem Log Analytics-Gateway können Sie die Kommunikation von Ihren lokalen Computern über ein einzelnes Gateway leiten. Azure Arc verwendet das Gateway nicht, aber der zugehörige Connected Machine-Agent wird für die Installation des Azure Monitor-Agents benötigt. Ausführliche Informationen zum Konfigurieren und Verwenden des Log Analytics-Gateways finden Sie unter Log Analytics-Gateway.
Azure Private Link: Mit Azure Private Link können Sie einen privaten Endpunkt für Ihren Log Analytics-Arbeitsbereich erstellen. Nach dessen Konfiguration müssen alle Verbindungen mit dem Arbeitsbereich über diesen privaten Endpunkt hergestellt werden. Private Link funktioniert mithilfe von DNS-Überschreibungen, sodass die einzelnen Agents nicht konfiguriert werden müssen. Weitere Informationen zu Private Link finden Sie unter Verwenden von Azure Private Link zum sicheren Verbinden von Netzwerken mit Azure Monitor. Eine spezifische Anleitung zum Konfigurieren der privaten Verbindung für Ihre VMs finden Sie unter Aktivieren von Netzwerkisolation für den Azure Monitor-Agent.
Optionen für die Agentbereitstellung
Der Azure Monitor-Agent ist als VM-Erweiterung implementiert, sodass Sie ihn über verschiedene Standardmethoden installieren können, z. B. mit PowerShell, CLI und Resource Manager-Vorlagen. Weitere Informationen zu den einzelnen Optionen finden Sie unter Verwalten des Azure Monitor-Agents. Weitere erwähnenswerte Methoden für die Installation werden nachfolgend beschrieben.
Methode | Szenarien | Details |
---|---|---|
Azure Policy | Produktionsbereitstellung im großen Stil | Wenn Sie über eine große Anzahl von VMs verfügen, sollten Sie den Agent mithilfe von Azure-Richtlinien einrichten, wie beschrieben unter Verwalten des Azure Monitor-Agents oder Aktivieren von VM Insights mithilfe von Azure Policy. Dadurch wird sichergestellt, dass der Agent automatisch den bereits vorhandenen VMs sowie allen neu eingerichteten VMs hinzugefügt wird. |
Datensammlungsregel im Azure-Portal | Tests und einfache Bereitstellungen | Wenn Sie eine Datensammlungsregel im Azure-Portal erstellen, wie in Sammeln von Daten mit Azure Monitor Agent beschrieben, haben Sie die Möglichkeit, virtuelle Computer anzugeben, die sie empfangen sollen. Der Azure Monitor Agent wird automatisch auf allen Computern installiert, auf denen er noch nicht vorhanden ist. |
VM Insights im Azure-Portal | Tests und einfache Bereitstellungen mit vorkonfigurierter Überwachung | VM Insights bietet ein vereinfachtes Onboarding von Agents im Azure-Portal. Mit nur einem Klick für einen bestimmten Computer wird der Azure Monitor-Agent installiert, eine Verbindung mit einem Arbeitsbereich hergestellt und die Erfassung von Leistungsdaten gestartet. Optional können Sie den Dependency-Agent installieren lassen und Prozesse und Abhängigkeitsdaten sammeln, um die Zuordnungsfunktion von VM Insights zu aktivieren. |
Windows-Clientinstallationsprogramm | Clientcomputer | Verwenden Sie das Windows-Clientinstallationsprogramm, um den Agent auf Windows-Clients wie Windows 11 zu installieren. Informationen zu den verschiedenen Optionen zum Bereitstellen des Agents auf einem einzelnen Computer oder als Teil eines Skripts finden Sie unter Verwalten des Azure Monitor-Agents. |
Legacy-Agents
Der Azure Monitor-Agent ersetzt ältere Agents, die noch verfügbar sind, aber nur verwendet werden sollten, wenn Sie eine bestimmte Funktionalität benötigen, die der Azure Monitor-Agent noch nicht zur Verfügung stellt. Die meisten Benutzer sollten Azure Monitor ohne die Legacy-Agents verwenden können.
Die Legacy-Agents umfassen Folgendes:
- Log Analytics-Agent: Unterstützt virtuelle Computer in Azure, anderen Cloudumgebungen und lokal. Sendet Daten an Azure Monitor Logs. Derselbe Agent wird für den System Center Operations Manager verwendet.
- Azure-Diagnoseerweiterung: Nur für Azure Monitor-VMs verfügbar. Sendet Daten an Azure Monitor-Metriken, Azure Event Hubs und Azure Storage.
Informationen zu den aktuell vom Azure Monitor-Agent unterstützten Funktionen finden Sie unter Unterstützte Dienste und Funktionen. Einzelheiten zur Migration zum Azure Monitor-Agent, wenn Sie bereits den Log Analytics-Agent installiert haben, finden Sie unter Migrieren vom Log Analytics-Agent zum Azure Monitor-Agent.