Gegevens verzamelen met behulp van de Azure Monitor-agent
De Azure Monitor-agent verzamelt gegevens van virtuele Azure-machines, virtuele-machineschaalsets en servers met Azure Arc. Regels voor gegevensverzameling (DCR's) definiëren de gegevens die moeten worden verzameld van de agent en waar de gegevens moeten worden verzonden. In dit artikel wordt beschreven hoe u Azure Portal gebruikt om een DCR te maken voor het verzamelen van verschillende typen gegevens en het installeren van de agent op alle computers waarvoor deze nodig is.
Als u geen ervaring hebt met Azure Monitor of basisvereisten voor het verzamelen van gegevens hebt, kunt u mogelijk voldoen aan al uw vereisten met behulp van Azure Portal en de richtlijnen in dit artikel. Als u wilt profiteren van meer DCR-functies, zoals transformaties, moet u mogelijk een DCR maken met andere methoden of een DCR bewerken nadat u deze in de portal hebt gemaakt. U kunt verschillende methoden gebruiken om DCR's te beheren en koppelingen te maken als u wilt implementeren met behulp van de Azure CLI, Azure PowerShell, een Azure Resource Manager-sjabloon (ARM-sjabloon) of Azure Policy.
Notitie
Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.
Waarschuwing
In de volgende scenario's kunnen dubbele gegevens worden verzameld, waardoor de factureringskosten kunnen worden verhoogd:
- Meerdere DCR's maken die dezelfde gegevensbron hebben en deze koppelen aan dezelfde agent. Zorg ervoor dat u gegevens in de DCR's filtert, zodat elke DCR unieke gegevens verzamelt.
- Een DCR maken die beveiligingslogboeken verzamelt en Microsoft Sentinel inschakelt voor dezelfde agents. In dit geval kunt u dezelfde gebeurtenissen verzamelen in de gebeurtenistabel en in de tabel SecurityEvent.
- Gebruik zowel de Azure Monitor-agent als de verouderde Log Analytics-agent op dezelfde computer. Beperk dubbele gebeurtenissen tot alleen de tijd waarop u van de ene agent naar de andere overgaat.
Gegevensbronnen
De volgende tabel bevat de typen gegevens die u momenteel kunt verzamelen met behulp van de Azure Monitor-agent en waar u die gegevens kunt verzenden. De koppeling voor elke gegevensbron is bedoeld voor een artikel waarin de details worden beschreven van het configureren van de gegevensbron. Voer de stappen in dit artikel uit om de DCR te maken en toe te wijzen aan resources en raadpleeg vervolgens het relevante gekoppelde artikel voor meer informatie over het configureren van de gegevensbron.
| Gegevensbron | Beschrijving | Clientbesturingssysteem | Bestemmingen |
|---|---|---|---|
| Windows-gebeurtenissen | Informatie die naar het Systeem voor logboekregistratie van Windows-gebeurtenissen wordt verzonden, inclusief sysmon-gebeurtenissen | Windows | Log Analytics-werkruimte |
| Prestatiemeteritems | Numerieke waarden die de prestaties van verschillende aspecten van het besturingssysteem en workloads meten | Windows Linux |
Metrische gegevens van Azure Monitor (preview) Log Analytics-werkruimte |
| Syslog | Informatie die wordt verzonden naar het Systeem voor logboekregistratie van Linux-gebeurtenissen | Linux | Log Analytics-werkruimte |
| Tekstlogboek | Informatie die wordt verzonden naar een tekstbestand op een lokale schijf | Windows Linux |
Log Analytics-werkruimte |
| JSON-logboek | Informatie die wordt verzonden naar een JSON-logboekbestand op een lokale schijf | Windows Linux |
Log Analytics-werkruimte |
| IIS-logboeken | IIS-logboeken (Internet Information Service) vanaf de lokale schijf van Windows-computers | Windows | Log Analytics-werkruimte |
Notitie
De Azure Monitor Agent biedt ook ondersteuning voor de Evaluatie van best practices voor Azure-service SQL, die momenteel algemeen beschikbaar is. Zie Best practices-evaluatie configureren met behulp van de Azure Monitor-agent voor meer informatie.
Vereisten
- Machtigingen voor het maken van DCR-objecten in de werkruimte.
- Zie het gekoppelde artikel in de voorgaande tabel waarin de relevante gegevensbron wordt beschreven voor alle vereisten.
Een regel voor gegevensverzameling maken
Azure Portal biedt een vereenvoudigde ervaring voor het maken van een DCR voor virtuele machines en schaalsets. Met deze methode hoeft u de structuur van een DCR niet te begrijpen, tenzij u een geavanceerde functie wilt implementeren, zoals een transformatie. U kunt ook andere methoden voor maken gebruiken die worden beschreven in DCR's maken in Azure Monitor.
Selecteer in Azure Portal in het menu Monitor de optie Regels>voor gegevensverzameling maken om het deelvenster DCR-maken te openen.
Het tabblad Basisinformatie bevat basisinformatie over de DCR.
| Instelling | Beschrijving |
|---|---|
| Regelnaam | Een naam voor de DCR. De naam moet iets beschrijvends zijn waarmee u de regel kunt identificeren. |
| Abonnement | Het abonnement voor het opslaan van de DCR. Het abonnement hoeft niet hetzelfde abonnement te zijn als de virtuele machines. |
| Resource | Een resourcegroep voor het opslaan van de DCR. De resourcegroep hoeft niet dezelfde resourcegroep te zijn als de virtuele machines. |
| Regio | De Azure-regio voor het opslaan van de DCR. De regio moet dezelfde regio zijn als elke Log Analytics-werkruimte of Azure Monitor-werkruimte die wordt gebruikt in een bestemming van de DCR. Als u werkruimten in verschillende regio's hebt, maakt u meerdere DCR's om te koppelen aan dezelfde set computers. |
| Platformtype | Hiermee geeft u het type gegevensbronnen op dat beschikbaar is voor de DCR, Windows of Linux. Geen staat beide toe. 1 |
| Eindpunt voor gegevensverzameling | Hiermee geeft u het eindpunt voor gegevensverzameling (DCE) op dat wordt gebruikt voor het verzamelen van gegevens. De DCE is alleen vereist als u een gegevensbron gebruikt waarvoor een DCE is vereist. Zie Eindpunten voor gegevensverzameling instellen op basis van uw implementatie voor meer informatie. |
1 Met deze optie stelt u het kind kenmerk in de DCR in. U kunt andere waarden voor dit kenmerk instellen, maar de waarden zijn niet beschikbaar om te selecteren in de portal.
Resources toevoegen
In het deelvenster Resources kunt u VM's toevoegen die aan de DCR moeten worden gekoppeld. Als u resources wilt kiezen die u wilt toevoegen, selecteert u Resources toevoegen. De Azure Monitor-agent wordt automatisch geïnstalleerd op een resource waarop de agent nog niet is geïnstalleerd. Er wordt een DCRA (Data Collection Rule Association) gemaakt tussen de computer en de DCR.
Belangrijk
Wanneer resources worden toegevoegd aan een DCR, is de standaardoptie in Azure Portal het inschakelen van een door het systeem toegewezen beheerde identiteit voor de resources. Als voor bestaande toepassingen al een door de gebruiker toegewezen beheerde identiteit is ingesteld, als u de door de gebruiker toegewezen identiteit niet opgeeft wanneer u de resource toevoegt aan een DCR met behulp van de portal, wordt op de computer standaard een door het systeem toegewezen identiteit gebruikt die door de DCR wordt toegepast.
Als u Privékoppelingen van Azure Monitor gebruikt, selecteert u Eindpunten voor gegevensverzameling inschakelen op het tabblad Resources en selecteert u een eindpunt in de regio van elke bewaakte machine.
Gegevensbronnen toevoegen
In het deelvenster Verzamelen en leveren kunt u gegevensbronnen voor de DCR toevoegen en configureren en een bestemming voor elke bron toevoegen.
| Instelling | Beschrijving |
|---|---|
| Gegevensbron | Selecteer een gegevensbrontype en definieer gerelateerde velden op basis van het gegevensbrontype dat u selecteert. Zie verwante artikelen in Gegevensbronnen voor meer informatie over het configureren van elk type gegevensbron. |
| Bestemming | Voeg een of meer bestemmingen toe voor elke gegevensbron. U kunt meerdere bestemmingen van hetzelfde type selecteren of verschillende typen selecteren. U kunt bijvoorbeeld meerdere Log Analytics-werkruimten selecteren. Dit wordt multihoming genoemd. Zie de details voor elk gegevenstype voor de verschillende bestemmingen die ze ondersteunen. |
Een DCR kan meerdere verschillende gegevensbronnen bevatten. Maximaal 10 gegevensbronnen kunnen zich in één DCR bevinden. U kunt verschillende gegevensbronnen in dezelfde DCR combineren, maar doorgaans maakt u verschillende DCR's voor verschillende scenario's voor gegevensverzameling. Zie Best practices voor het maken en beheren van regels voor gegevensverzameling in Azure Monitor voor aanbevelingen voor het organiseren van uw DCR.
Notitie
Het kan tot vijf minuten duren voordat gegevens naar de bestemmingen worden verzonden wanneer u een DCR maakt met behulp van de wizard gegevensverzamelingsregel.
Bewerking controleren
Nadat u een DCR hebt gemaakt en deze aan een computer hebt gekoppeld, kunt u controleren of de agent operationeel is en of de gegevens worden verzameld door query's uit te voeren in de Log Analytics-werkruimte.
Agentbewerking verifiëren
Controleer of de agent operationeel is en goed communiceert door de volgende query uit te voeren in Log Analytics. De query controleert of er records zijn in de Heartbeat-tabel . Er moet elke minuut vanaf elke agent een record naar deze tabel worden verzonden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Controleren of records zijn ontvangen
Het duurt enkele minuten voordat de agent is geïnstalleerd en start met het uitvoeren van nieuwe of gewijzigde DCR's. Vervolgens kunt u controleren of records worden ontvangen van elk van uw gegevensbronnen door de tabel te controleren waarnaar elke bron schrijft in de Log Analytics-werkruimte.
Met de volgende query wordt bijvoorbeeld gecontroleerd op Windows-gebeurtenissen in de tabel Gebeurtenis :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Problemen oplossen
Als er geen gegevens worden verzameld die u verwacht te zien, voert u de volgende stappen uit:
Controleer of de agent is geïnstalleerd en wordt uitgevoerd op de computer.
Zie de sectie probleemoplossing van het artikel voor de gegevensbron waarmee u problemen ondervindt.
Schakel bewaking in voor de DCR en vervolgens:
- Bekijk metrische gegevens om te bepalen of gegevens worden verzameld en of er rijen worden verwijderd.
- Bekijk logboeken om fouten in de gegevensverzameling te identificeren.
Gerelateerde inhoud
- Verzamel tekstlogboeken met behulp van de Azure Monitor-agent.
- Meer informatie over de Azure Monitor-agent.
- Meer informatie over regels voor gegevensverzameling.