Recopilación de datos mediante el agente de Azure Monitor
El Agente de Azure Monitor recopila datos de máquinas virtuales de Azure, conjuntos de escalado de máquinas virtuales y servidores habilitados para Azure Arc. Las reglas de recopilación de datos (DCR) definen los datos que se van a recopilar del agente y dónde enviar los datos. En este artículo se describe cómo usar Azure Portal para crear una DCR para recopilar diferentes tipos de datos e instalar el agente en cualquier máquina que lo requiera.
Si no está familiarizado con Azure Monitor o tiene requisitos básicos de recopilación de datos, es posible que pueda cumplir todos los requisitos mediante Azure Portal y las instrucciones de este artículo. Si quiere aprovechar más características de DCR, como transformaciones, es posible que tenga que crear un DCR mediante otros métodos o editar un DCR después de crearlo en el portal. Puede usar diferentes métodos para administrar DCR y crear asociaciones si quiere implementar mediante la CLI de Azure, Azure PowerShell, una plantilla de Azure Resource Manager (plantilla de ARM) o Azure Policy.
Nota:
Para enviar datos entre inquilinos, primero debe habilitar Azure Lighthouse.
Advertencia
Los escenarios siguientes pueden recopilar datos duplicados, lo que puede aumentar los cargos de facturación:
- Crear varios DCR que tengan el mismo origen de datos y asociarlos al mismo agente. Asegúrese de filtrar los datos en los DCR para que cada DCR recopile datos únicos.
- Creación de un DCR de dominio que recopile registros de seguridad y habilite Microsoft Sentinel para los mismos agentes. En este caso, puede recopilar los mismos eventos en la tabla Evento y en la tabla SecurityEvent.
- Uso tanto del Agente de Azure Monitor como del agente heredado de Log Analytics en la misma máquina. Limite los eventos de duplicación a solo el momento de la transición de un agente al otro.
Orígenes de datos
En la tabla siguiente se enumeran los tipos de datos que puede recopilar actualmente mediante el agente de Azure Monitor y dónde puede enviar esos datos. El vínculo de cada origen de datos es para un artículo que describe los detalles de cómo configurar el origen de datos. Complete los pasos descritos en este artículo para crear el DCR de dominio y asignarlo a los recursos y a continuación, consulte el artículo vinculado correspondiente para obtener información sobre cómo configurar el origen de datos.
| Origen de datos | Descripción | Sistema operativo del cliente | Destinos |
|---|---|---|---|
| Eventos de Windows | Información enviada al sistema de registro de eventos de Windows, incluidos los eventos sysmon | Windows | Área de trabajo de Log Analytics |
| Contadores de rendimiento | Valores numéricos que miden el rendimiento de diferentes aspectos del sistema operativo y las cargas de trabajo | Windows Linux |
Métricas de Azure Monitor (versión preliminar) Área de trabajo de Log Analytics |
| Syslog | Información enviada al sistema de registro de eventos de Windows. | Linux | Área de trabajo de Log Analytics |
| Registro de texto | Información enviada a un archivo de registro de texto en un disco local | Windows Linux |
Área de trabajo de Log Analytics |
| Registro JSON | Información enviada a un archivo de registro JSON en un disco local | Windows Linux |
Área de trabajo de Log Analytics |
| Registros de IIS | Registros de Internet Information Service (IIS) desde el disco local de máquinas Windows | Windows | Área de trabajo de Log Analytics |
Nota:
El agente de Azure Monitor también admite el servicio de Azure Valoración de procedimientos recomendados de SQL, que actualmente está en disponibilidad general. Para obtener más información, consulte Configuración de la evaluación de procedimientos recomendados mediante Azure Monitor Agent.
Requisitos previos
- Permisos para crear objetos DCR en el área de trabajo.
- Para ver todos los requisitos previos, consulte el artículo vinculado de la tabla anterior que describe el origen de datos pertinente.
Creación de una regla de recopilación de datos
Azure Portal proporciona una experiencia simplificada para crear un DCR para máquinas virtuales y conjuntos de escalado. Con este método, no es necesario comprender la estructura de un DCR a menos que quiera implementar una característica avanzada, como una transformación. También puede usar otros métodos de creación que se describen en Creación de DCR en Azure Monitor.
En Azure Portal, en el menú Monitor, seleccione Reglas de recopilación de datos>Crear para abrir el panel de creación de DCR.
La pestaña Aspectos básicos incluye información básica sobre DCR.
| Configuración | Descripción |
|---|---|
| Nombre de la regla | Nombre del DCR. El nombre debe ser algo descriptivo que le ayude a identificar la regla. |
| Suscripción | Suscripción para almacenar el DCR. La suscripción no es necesario que sea la misma que las máquinas virtuales. |
| Recurso | Un grupo de recursos para almacenar el DCR. Este grupo de recursos no es necesario que sea el mismo grupo de recursos que las máquinas virtuales. |
| Región | La región Azure para almacenar la DCR. La región debe ser la misma región que cualquier área de trabajo de Log Analytics o área de trabajo de Azure Monitor que se use en un destino de DCR. Si tiene áreas de trabajo en regiones diferentes, cree varias DCR para asociarlas con el mismo conjunto de máquinas. |
| Tipo de plataforma | Especifica el tipo de orígenes de datos que están disponibles para DCR, ya sea Windows o Linux. Ninguno permite ambos. 1 |
| Puntos de conexión de recopilación de datos en Azure Monitor | Especifica el punto de conexión de recopilación de datos (DCE) que se usa para recopilar datos. La DCE solo es necesaria si usa vínculos privados de Azure Monitor. Este DCE debe estar en la misma región que la DCR. Para obtener más información, consulte Configuración de puntos de conexión de recopilación de datos en función de la implementación. |
1 Esta opción establece el atributo kind en la DCR. Puede establecer otros valores para este atributo, pero los valores no están disponibles para seleccionarlos en el portal.
Adición de recursos
En el panelRecursos, puede agregar máquinas virtuales que se asociarán al DCR. Para elegir los recursos que desea agregar, seleccione Agregar recursos. El Agente de Azure Monitor se instala automáticamente en cualquier recurso que aún no tenga instalado el agente. Se crea una Asociación de reglas de recopilación de datos (DCRA) entre la máquina y el DCR.
Importante
Cuando se agregan recursos a un DCR, la opción predeterminada en Azure Portal es habilitar una identidad administrada asignada por el sistema para los recursos. En el caso de las aplicaciones existentes, si ya está establecida una identidad administrada asignada por el usuario, si no especifica la identidad asignada por el usuario al agregar el recurso a un DCR mediante el portal, el equipo usa de forma predeterminada un identidad asignada por el sistema que aplica el DCR.
Si la máquina que está supervisando no está en la misma región que el área de trabajo de Log Analytics de destino y recopila tipos de datos que requieren un DCE, seleccione Habilitar puntos de conexión de recopilación de datos y seleccione un punto de conexión en la región de cada máquina supervisada. Si la máquina supervisada se encuentra en la misma región que el área de trabajo de Log Analytics de destino, o si no necesita un DCE, no seleccione ningún punto de conexión de recopilación de datos en la pestaña Recursos.
Agregar orígenes de datos
En el panel Recopilar y entregar, puede agregar y configurar orígenes de datos para el DCR y agregar un destino para cada origen.
| Configuración | Descripción |
|---|---|
| Origen de datos | Seleccione un Tipo de origen de datos y defina campos relacionados en función del tipo de origen de datos seleccionado. Para más información sobre cómo configurar cada tipo de origen de datos, consulte artículos relacionados en Orígenes de datos. |
| Destino | Agregue uno o varios destinos para cada origen de datos. Puede seleccionar varios destinos del mismo tipo o seleccionar tipos diferentes. Por ejemplo, puede seleccionar varias áreas de trabajo de Log Analytics, lo que se denomina multihoming. Consulte los detalles de cada tipo de datos para los distintos destinos que admiten. |
Un DCR puede contener varios orígenes de datos diferentes. Un máximo de 10 orígenes de datos puede estar en un único DCR. Puede combinar orígenes de datos diferentes en el mismo DCR, pero normalmente se crean DCR diferentes para distintos escenarios de recopilación de datos. Para obtener recomendaciones acerca de cómo organizar su DCR, consulte Prácticas recomendadas para la creación y administración de reglas de recopilación de datos en Azure Monitor.
Nota:
Los datos pueden tardar hasta 5 minutos en enviarse a los destinos al crear un DCR mediante el Asistente para reglas de recopilación de datos.
Comprobación de la operación
Después de crear un DCR y asociarlo a una máquina, puede comprobar que el agente está operativo y que los datos se recopilan mediante la ejecución de consultas en el área de trabajo de Log Analytics.
Comprobación de la operación del agente
Compruebe que el agente está operativo y se comunica correctamente mediante la ejecución de la siguiente consulta en Log Analytics. La consulta comprueba si hay registros en la tabla Heartbeat. Se debe enviar un registro a esta tabla desde cada agente cada minuto.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Comprobación de que se reciben registros
El agente tarda unos minutos en instalarse y empezar a ejecutar las DCR nuevas o modificadas. A continuación, puede comprobar que los registros se reciben de cada uno de los orígenes de datos comprobando la tabla en la que cada origen escribe en el área de trabajo de Log Analytics.
Por ejemplo, la consulta siguiente comprueba si hay eventos de Windows en la tabla Event:
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Solución de problemas
Si los datos que espera ver no se recopilan, complete los pasos siguientes:
Compruebe que el agente está instalado y se ejecuta en la máquina.
Consulte la sección solución de problemas del artículo sobre el origen de datos con el que tiene problemas.
Habilite la supervisión de DCR, y a continuación haga lo siguiente:
- Vea las métricas para determinar si se recopilan datos y si se quitan filas.
- Vea los registros para identificar errores en la recopilación de datos.
Contenido relacionado
- Recopilar registros de texto mediante el agente de Azure Monitor.
- Más información sobre el agente de Azure Monitor.
- Más información sobre las reglas de recopilación de datos.