Collecter des données à l’aide de l’agent Azure Monitor
L’agent Azure Monitor collecte des données à partir de machines virtuelles Azure, de groupes de machines virtuelles identiques et de serveurs avec Azure Arc. Les règles de collecte de données (DCR) définissent les données à collecter par l’agent, et où les envoyer. Cet article explique comment utiliser le portail Azure pour créer une règle DCR afin de collecter différents types de données, et d’installer l’agent sur les machines qui en ont besoin.
Si vous débutez avec Azure Monitor, ou si vous avez des besoins de base liés à la collecte de données, vous pourrez peut-être trouver une réponse à tous vos besoins via le portail Azure et les conseils d’aide de cet article. Si vous souhaitez tirer parti d’un plus grand nombre de fonctionnalités DCR, comme les transformations, vous devrez peut-être créer une règle DCR à l’aide d’autres méthodes, ou modifier une règle DCR après l’avoir créée dans le portail. Vous pouvez utiliser différentes méthodes pour gérer les règles DCR, et créer des associations si vous souhaitez effectuer un déploiement à l’aide d’Azure CLI, d’Azure PowerShell, d’un modèle Azure Resource Manager (modèle ARM) ou d’Azure Policy.
Remarque
Pour envoyer des données entre locataires, vous devez d’abord activer Azure Lighthouse.
Avertissement
Il arrive que les scénarios suivants collectent des données dupliquées, ce qui peut augmenter les frais de facturation :
- Création de plusieurs règles DCR ayant la même source de données, et association de celles-ci au même agent. Veillez à filtrer les données dans les règles DCR pour que chaque règle DCR collecte des données uniques.
- Création d’une règle DCR qui collecte les journaux de sécurité, et activation de Microsoft Sentinel pour ces mêmes agents. Dans le cas présent, vous pouvez collecter les mêmes événements dans la table Event et dans la table SecurityEvent.
- Utilisation de l’agent Azure Monitor et de l’agent Log Analytics hérité sur la même machine. Vous pouvez limiter les événements de duplication uniquement au moment de la transition entre deux agents.
Sources de données
Le tableau suivant liste les types de données que vous pouvez collecter à l’aide de l’agent Azure Monitor ainsi que les emplacements où vous pouvez envoyer ces données. Le lien de chaque source de données correspond à un article qui décrit en détail la configuration de la source de données. Suivez les étapes décrites dans cet article pour créer la règle DCR et l’affecter aux ressources, puis consultez l’article lié approprié pour savoir comment configurer la source de données.
| Source de données | Description | Système d’exploitation client | Destinations |
|---|---|---|---|
| Événements Windows | Informations envoyées au système de journalisation des événements Windows, notamment les événements Sysmon | Windows | Espace de travail Log Analytics |
| Compteurs de performances | Valeurs numériques qui mesurent les performances de différents aspects du système d’exploitation et des charges de travail | Windows Linux |
Métriques Azure Monitor (préversion) Espace de travail Log Analytics |
| Syslog | Informations envoyées au système de journalisation des événements Linux | Linux | Espace de travail Log Analytics |
| Journal texte | Informations envoyées à un fichier journal texte sur un disque local | Windows Linux |
Espace de travail Log Analytics |
| Journal JSON | Informations envoyées à un fichier journal JSON sur un disque local | Windows Linux |
Espace de travail Log Analytics |
| Journaux d’activité IIS | Journaux IIS (Internet Information Service) à partir du disque local des machines Windows | Windows | Espace de travail Log Analytics |
Remarque
L’agent Azure Monitor prend également en charge le service Azure Évaluation des meilleures pratiques SQL, qui est en disponibilité générale. Pour plus d’informations, consultez Configurer l’évaluation des meilleures pratiques à l’aide de l’agent Azure Monitor.
Prérequis
- Autorisations pour créer des objets de règle de collecte de données (DCR) dans l’espace de travail.
- Pour connaître tous les prérequis, consultez l’article lié dans le tableau précédent, qui décrit la source de données appropriée.
Créer une règle de collecte de données
Le portail Azure fournit une expérience simplifiée de création d’une règle DCR pour les machines virtuelles et les groupes identiques. Avec cette méthode, vous n’avez pas besoin de comprendre la structure d’une règle DCR, sauf si vous souhaitez implémenter une fonctionnalité avancée, par exemple une transformation. Vous pouvez également utiliser d’autres méthodes de création décrites dans Créer des règles de collecte de données (DCR) dans Azure Monitor.
Dans le portail Azure, dans le menu Surveiller, sélectionnez Règles de collecte de données>Créer pour ouvrir le volet de création de règles DCR.
L’onglet Informations de base comprend des informations de base sur la règle DCR.
| Setting | Description |
|---|---|
| Nom de la règle | Nom de la règle DCR. Le nom doit être un élément descriptif qui vous aide à identifier la règle. |
| Abonnement | Abonnement pour le stockage de la règle DCR. L’abonnement n’a pas besoin d’être le même abonnement que les machines virtuelles. |
| Ressource | Groupe de ressources pour le stockage de la règle DCR. Le groupe de ressources n’a pas besoin d’être le même groupe de ressources que les machines virtuelles. |
| Région | Région Azure pour le stockage de la règle DCR. La région doit être la même région que pour un espace de travail Log Analytics ou un espace de travail Azure Monitor utilisé dans une destination de la règle DCR. Si vous disposez d’espaces de travail dans différentes régions, créez plusieurs règles DCR à associer au même ensemble de machines. |
| Type de plateforme | Spécifie le type des sources de données disponibles pour la règle DCR, Windows ou Linux. Aucun permet les deux. 1 |
| Point de terminaison de collecte de données | Spécifie le point de terminaison de collecte de données (DCE) utilisé pour collecter les données. Le point de terminaison de collecte de données (DCE) est obligatoire uniquement si vous utilisez les liaisons privées Private Link d’Azure Monitor. Ce point de terminaison de collecte de données (DCE) doit se trouver dans la même région que la règle DCR. Pour plus d’informations, consultez Configurer des points de terminaison de collecte de données en fonction de votre déploiement. |
1 Cette option définit l’attribut kind dans la DCR. Vous pouvez définir d’autres valeurs pour cet attribut, mais ces valeurs ne peuvent pas être sélectionnées dans le portail.
Ajout de ressources
Dans le volet Ressources, vous pouvez ajouter des machines virtuelles à associer à la règle DCR. Pour choisir les ressources à ajouter, sélectionnez Ajouter des ressources. L’agent Azure Monitor est automatiquement installé sur les ressources où il n’a pas encore été installé. Une association de règles de collecte de données (DCRA) est créée entre la machine et la règle DCR.
Important
Quand des ressources sont ajoutées à une règle DCR, l’option par défaut dans le portail Azure consiste à activer une identité managée affectée par le système pour les ressources. Pour les applications existantes, si une identité managée affectée par l’utilisateur est déjà définie, et si vous ne spécifiez pas l’identité affectée par l’utilisateur quand vous ajoutez la ressource à une règle DCR à l’aide du portail, la machine utilise par défaut une identité affectée par le système, qui est appliquée par la règle DCR.
Si la machine dont vous effectuez le monitoring ne se trouve pas dans la même région que votre espace de travail Log Analytics de destination, et si vous collectez des types de données qui nécessitent un point de terminaison de collecte de données (DCE), sélectionnez Activer les points de terminaison de collecte de données, puis sélectionnez un point de terminaison dans la région de chaque machine faisant l’objet d’un monitoring. Si l’ordinateur surveillé se trouve dans la même région que votre espace de travail Log Analytics de destination ou si vous n’avez pas besoin d’un DCE, ne sélectionnez pas de point de terminaison de collecte de données sous l’onglet Resources.
Ajouter des sources de données
Dans le volet Collecter et livrer, vous pouvez ajouter et configurer des sources de données pour la règle DCR, et ajouter une destination pour chaque source.
| Setting | Description |
|---|---|
| Source de données | Sélectionner un Type de source de données et définir les champs associés en fonction du type de source de données que vous sélectionnez. Pour plus d’informations sur la configuration de chaque type de source de données, consultez les articles connexes dans Sources de données. |
| Destination | Ajoutez une ou plusieurs destinations pour chaque source de données. Vous pouvez sélectionner plusieurs destinations du même type, ou sélectionner des types différents. Par exemple, vous pouvez sélectionner plusieurs espaces de travail Log Analytics, ce qui s’appelle le multi-hébergement. Consultez les détails de chaque type de données pour les différentes destinations qu’ils prennent en charge. |
Une règle DCR peut contenir plusieurs sources de données différentes. Une seule règle DCR peut contenir 10 sources de données au maximum. Vous pouvez combiner différentes sources de données dans la même règle DCR, mais vous créez généralement des règles DCR distinctes pour différents scénarios de collecte de données. Pour obtenir des recommandations sur l’organisation de votre règle DCR, consultez Meilleures pratiques pour la création et la gestion de règles de collecte de données dans Azure Monitor.
Remarque
L’envoi des données aux destinations peut prendre jusqu’à 5 minutes quand vous créez une règle DCR à l’aide de l’Assistant Règle de collecte de données.
Vérifier l’opération
Une fois que vous avez créé une règle DCR et que vous l’avez associée à une machine, vous pouvez vérifier si l’agent est opérationnel, et si les données sont bien collectées en exécutant des requêtes dans l’espace de travail Log Analytics.
Vérifier l’opération de l’agent
Vérifiez que l’agent est opérationnel et qu’il communique correctement en exécutant la requête suivante dans Log Analytics. La requête vérifie s’il existe des enregistrements dans la table Heartbeat. Un enregistrement doit être envoyé à cette table à partir de chaque agent toutes les minutes.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Vérifier la réception des enregistrements
Quelques minutes sont nécessaires pour l’installation de l’agent ainsi que pour le lancement de l’exécution des nouvelles règles DCR ou de celles qui ont été modifiées. Vous pouvez ensuite vérifier si les enregistrements sont reçus par chacune de vos sources de données en consultant la table dans laquelle chaque source écrit au sein de l’espace de travail Log Analytics.
Par exemple, la requête suivante recherche les événements Windows dans la table Event :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Résolution des problèmes
Si les données que vous vous attendez à voir ne sont pas collectées, suivez les étapes ci-dessous :
Vérifiez que l’agent est installé et en cours d’exécution sur l’ordinateur.
Consultez la section de résolution des problèmes de l’article correspondant à la source de données qui pose problème.
Activez le monitoring pour la règle DCR, puis :
- Affichez les métriques pour déterminer si les données sont collectées et si des lignes sont supprimées.
- Affichez les journaux pour identifier les erreurs dans la collecte de données.
Contenu connexe
- Collecter des journaux de texte à l’aide de l’agent Azure Monitor.
- En savoir plus sur l’agent Azure Monitor.
- En savoir plus sur les règles de collecte de données.