Raccogliere dati usando l'agente di Monitoraggio di Azure
L'agente di Monitoraggio di Azure raccoglie i dati dalle macchine virtuali di Azure, dai set di scalabilità di macchine virtuali e dai server abilitati per Azure Arc. Le regole di raccolta dati definiscono i dati da raccogliere dall'agente e dove inviare i dati. Questo articolo descrive come usare il portale di Azure per creare un registro di dominio per raccogliere diversi tipi di dati e installare l'agente in tutti i computer che lo richiedono.
Se non si ha familiarità con Monitoraggio di Azure o si hanno requisiti di raccolta dati di base, è possibile soddisfare tutti i requisiti usando il portale di Azure e le indicazioni riportate in questo articolo. Se si vogliono sfruttare più funzionalità di DCR, ad esempio le trasformazioni, potrebbe essere necessario creare un record di dominio DCR usando altri metodi o modificare un record di dominio dopo averlo creato nel portale. È possibile usare metodi diversi per gestire i controller di dominio e creare associazioni se si vuole eseguire la distribuzione usando l'interfaccia della riga di comando di Azure, Azure PowerShell, un modello di Azure Resource Manager (modello arm) o Criteri di Azure.
Nota
Per inviare dati tra tenant, è necessario abilitare prima Azure Lighthouse.
Avviso
Gli scenari seguenti potrebbero raccogliere dati duplicati, che possono aumentare gli addebiti per la fatturazione:
- Creazione di più controller di dominio che hanno la stessa origine dati e che le associano allo stesso agente. Assicurarsi di filtrare i dati nei controller di dominio in modo che ogni DCR raccolga dati univoci.
- Creazione di un record di controllo di dominio che raccoglie i log di sicurezza e abilita Microsoft Sentinel per gli stessi agenti. In questo caso, è possibile raccogliere gli stessi eventi nella tabella Event e nella tabella SecurityEvent .
- Uso sia dell'agente di Monitoraggio di Azure che dell'agente di Log Analytics legacy nello stesso computer. Limitare gli eventi di duplicazione esclusivamente al momento della transizione da un agente all'altro.
Origini dati
La tabella seguente elenca i tipi di dati che è attualmente possibile raccogliere usando l'agente di Monitoraggio di Azure e dove è possibile inviare tali dati. Il collegamento per ogni origine dati è relativo a un articolo che descrive i dettagli di come configurare l'origine dati. Completare i passaggi descritti in questo articolo per creare il DCR e assegnarlo alle risorse e quindi vedere l'articolo collegato pertinente per informazioni su come configurare l'origine dati.
| Origine dati | Descrizione | Sistema operativo client | Destinazioni |
|---|---|---|---|
| Eventi Windows | Informazioni inviate al sistema di registrazione eventi di Windows, inclusi gli eventi sysmon | Finestre | area di lavoro Log Analytics |
| Contatori delle prestazioni | Valori numerici che misurano le prestazioni dei diversi aspetti del sistema operativo e dei carichi di lavoro | Windows Linux |
Metriche di Monitoraggio di Azure (anteprima) area di lavoro Log Analytics |
| Syslog | Informazioni inviate al sistema di registrazione eventi Linux | Linux | area di lavoro Log Analytics |
| Log di testo | Informazioni inviate a un file di log di testo su un disco locale | Windows Linux |
area di lavoro Log Analytics |
| Log JSON | Informazioni inviate a un file di log JSON in un disco locale | Windows Linux |
area di lavoro Log Analytics |
| Log IIS | Log di Internet Information Service (IIS) dal disco locale dei computer Windows | Finestre | area di lavoro Log Analytics |
Nota
L'agente di Monitoraggio di Azure supporta anche la valutazione delle procedure consigliate sql del servizio di Azure, attualmente disponibile a livello generale. Per altre informazioni, vedere Configurare la valutazione delle procedure consigliate usando l'agente di Monitoraggio di Azure.
Prerequisiti
- Autorizzazioni per creare oggetti regola di raccolta dati nell'area di lavoro.
- Per tutti i prerequisiti, vedere l'articolo collegato nella tabella precedente che descrive l'origine dati pertinente.
Creare una regola di raccolta dati
Il portale di Azure offre un'esperienza semplificata per la creazione di un registro di dominio per macchine virtuali e set di scalabilità. Usando questo metodo, non è necessario comprendere la struttura di un record di dominio, a meno che non si voglia implementare una funzionalità avanzata, ad esempio una trasformazione. È anche possibile usare altri metodi di creazione descritti in Creare controller di dominio in Monitoraggio di Azure.
Nel menu Monitoraggio della portale di Azure selezionare Regole>di raccolta dati Crea per aprire il riquadro di creazione di DCR.
La scheda Informazioni di base include informazioni di base sul Registro Azure Container.
| Impostazione | Descrizione |
|---|---|
| Nome regola | Nome del record di controllo di dominio. Deve trattarsi di un nome descrittivo che consenta di identificare la regola. |
| Abbonamento | Sottoscrizione in cui archiviare il Registro Azure Container. La sottoscrizione non deve essere la stessa sottoscrizione delle macchine virtuali. |
| Conto risorse | Gruppo di risorse in cui archiviare il Registro Azure Container. Il gruppo di risorse non deve essere lo stesso gruppo di risorse delle macchine virtuali. |
| Area | Area di Azure in cui archiviare il Registro Azure Container. L'area deve essere la stessa area di qualsiasi area di lavoro Log Analytics o di Monitoraggio di Azure usata in una destinazione del Registro Azure Container. Se sono presenti aree di lavoro in aree diverse, creare più controller di dominio da associare allo stesso set di computer. |
| Tipo di piattaforma | Specifica il tipo di origini dati disponibili per il Registro Azure Container, Windows o Linux. Nessuno consente entrambi. 1 |
| Endpoint di raccolta dati | Specifica l'endpoint di raccolta dati (DCE) usato per raccogliere dati. DcE è obbligatorio solo se si usa un'origine dati che richiede un controller di dominio. Per altre informazioni, vedere Configurare gli endpoint di raccolta dati in base alla distribuzione. |
1 Questa opzione imposta l'attributo kind nel DCR. È possibile impostare altri valori per questo attributo, ma i valori non sono disponibili per la selezione nel portale.
Aggiungere le risorse
Nel riquadro Risorse è possibile aggiungere macchine virtuali da associare al Registro Azure Container. Per scegliere le risorse da aggiungere, selezionare Aggiungi risorse. L'agente di Monitoraggio di Azure viene installato automaticamente in qualsiasi risorsa che non ha già installato l'agente. Viene creata un'associazione DCRA (Data Collection Rule Association) tra il computer e il DCR.
Importante
Quando le risorse vengono aggiunte a un record di controllo di dominio, l'opzione predefinita nella portale di Azure consiste nell'abilitare un'identità gestita assegnata dal sistema per le risorse. Per le applicazioni esistenti, se è già impostata un'identità gestita assegnata dall'utente, se non si specifica l'identità assegnata dall'utente quando si aggiunge la risorsa a un record di dominio usando il portale, per impostazione predefinita il computer usa un'identità assegnata dal sistema applicata dal Registro di dominio.
Se si usano le collegamento privato di Monitoraggio di Azure, selezionare Abilita endpoint di raccolta dati nella scheda Risorse e selezionare un endpoint nell'area di ogni computer monitorato.
Aggiungere origini dati
Nel riquadro Raccolta e recapito è possibile aggiungere e configurare le origini dati per il Registro Azure Container e aggiungere una destinazione per ogni origine.
| Impostazione | Descrizione |
|---|---|
| Origine dati | Selezionare un Tipo di origine dati e definire i campi correlati in base al tipo di origine dati selezionato. Per informazioni dettagliate sulla configurazione di ogni tipo di origine dati, vedere articoli correlati in Origini dati. |
| Destinazione | Aggiungere una o più destinazioni per ogni origine dati. È possibile selezionare più destinazioni dello stesso tipo o selezionare tipi diversi. Ad esempio, è possibile selezionare più aree di lavoro Log Analytics, denominate multihoming. Vedere i dettagli per ogni tipo di dati per le diverse destinazioni supportate. |
Un DCR può contenere più origini dati diverse. Un massimo di 10 origini dati può trovarsi in un singolo record di dominio. È possibile combinare origini dati diverse nello stesso DCR, ma in genere si creano controller di dominio diversi per scenari di raccolta dati diversi. Per consigli su come organizzare il Registro Azure Container, vedere Procedure consigliate per la creazione e la gestione delle regole di raccolta dati in Monitoraggio di Azure.
Nota
Possono essere necessari fino a 5 minuti prima che i dati vengano inviati alle destinazioni quando si crea un record di controllo di dominio tramite la procedura guidata per la raccolta dati.
Verificare operazione
Dopo aver creato un record di registrazione dati e associarlo a un computer, è possibile verificare che l'agente sia operativo e che i dati vengano raccolti eseguendo query nell'area di lavoro Log Analytics.
Verificare l'operazione dell'agente
Verificare che l'agente sia operativo e comunichi correttamente eseguendo la query seguente in Log Analytics. La query verifica se sono presenti record nella tabella Heartbeat . Un record dovrebbe essere inviato a questa tabella da ogni agente ogni minuto.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Verificare che i record vengano ricevuti
L'installazione dell'agente richiede alcuni minuti e avvia l'esecuzione di controller di dominio nuovi o modificati. È quindi possibile verificare che i record vengano ricevuti da ognuna delle origini dati controllando la tabella in cui ogni origine scrive nell'area di lavoro Log Analytics.
Ad esempio, la query seguente verifica la presenza di eventi di Windows nella tabella Eventi :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Risoluzione dei problemi
Se i dati che si prevede di visualizzare non vengono raccolti, completare la procedura seguente:
Verificare che l'agente sia installato e in esecuzione nel computer.
Vedere la sezione relativa alla risoluzione dei problemi dell'articolo relativo all'origine dati con cui si verificano problemi.
Abilitare il monitoraggio per il Registro Azure Container e quindi:
- Visualizzare le metriche per determinare se i dati vengano raccolti e se vengano eliminate righe.
- Visualizzare log per identificare errori nella raccolta dati.
Contenuto correlato
- Raccogliere i log di testo usando l'agente di Monitoraggio di Azure.
- Altre informazioni sull'agente di Monitoraggio di Azure.
- Altre informazioni su regole di raccolta dati.