Gegevens verzamelen met Azure Monitor Agent
Azure Monitor-agent (AMA) wordt gebruikt voor het verzamelen van gegevens van virtuele Azure-machines, virtuele-machineschaalsets en servers met Arc. DcR (Data Collection Rules) definiëren de gegevens die moeten worden verzameld van de agent en waar die gegevens moeten worden verzonden. In dit artikel wordt beschreven hoe u Azure Portal gebruikt om een DCR te maken voor het verzamelen van verschillende typen gegevens en het installeren van de agent op alle computers waarvoor deze nodig is.
Als u geen ervaring hebt met Azure Monitor of basisvereisten voor het verzamelen van gegevens hebt, kunt u mogelijk voldoen aan al uw vereisten met behulp van Azure Portal en de richtlijnen in dit artikel. Als u wilt profiteren van extra DCR-functies, zoals transformaties, moet u mogelijk een DCR maken met andere methoden of deze bewerken nadat u deze in de portal hebt gemaakt. U kunt ook verschillende methoden gebruiken om DCR's te beheren en koppelingen te maken als u wilt implementeren met behulp van CLI, PowerShell, ARM-sjablonen of Azure Policy.
Notitie
Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.
Waarschuwing
In de volgende gevallen kunnen dubbele gegevens worden verzameld, wat kan leiden tot extra kosten.
- Meerdere DCR's maken met dezelfde gegevensbron en deze koppelen aan dezelfde agent. Zorg ervoor dat u gegevens in de DCR's filtert, zodat elke gegevens unieke gegevens verzamelt.
- Een DCR maken die beveiligingslogboeken verzamelt en Sentinel inschakelt voor dezelfde agents. In dit geval kunt u dezelfde gebeurtenissen verzamelen in de gebeurtenistabel en de tabel SecurityEvent.
- Gebruik zowel de Azure Monitor-agent als de verouderde Log Analytics-agent op dezelfde computer. Beperk dubbele gebeurtenissen tot alleen de tijd waarop u van de ene agent naar de andere overgaat.
Gegevensbronnen
De onderstaande tabel bevat de typen gegevens die u momenteel kunt verzamelen met de Azure Monitor-agent en waar u die gegevens kunt verzenden. De koppeling voor elk is naar een artikel met een beschrijving van de details van het configureren van die gegevensbron. Volg dit artikel om de DCR te maken en toe te wijzen aan resources en volg het gekoppelde artikel om de gegevensbron te configureren.
| Gegevensbron | Beschrijving | Clientbesturingssysteem | Bestemmingen |
|---|---|---|---|
| Windows-gebeurtenissen | Informatie die naar het Systeem voor logboekregistratie van Windows-gebeurtenissen wordt verzonden, inclusief sysmon-gebeurtenissen. | Windows | Log Analytics-werkruimte |
| Prestatiemeteritems | Numerieke waarden die de prestaties van verschillende aspecten van het besturingssysteem en workloads meten. | Windows Linux |
Metrische gegevens van Azure Monitor (preview) Log Analytics-werkruimte |
| Syslog | Informatie die wordt verzonden naar het Systeem voor logboekregistratie van Linux-gebeurtenissen. | Linux | Log Analytics-werkruimte |
| Tekstlogboek | Informatie die wordt verzonden naar een tekstbestand op een lokale schijf. | Windows Linux |
Log Analytics-werkruimte |
| JSON-logboek | Informatie die wordt verzonden naar een JSON-logboekbestand op een lokale schijf. | Windows Linux |
Log Analytics-werkruimte |
| IIS-logboeken | IIS-logboeken (Internet Information Service) vanaf de lokale schijf van Windows-computers | Windows | Log Analytics-werkruimte |
Notitie
Azure Monitor Agent biedt ook ondersteuning voor de evaluatie van best practices voor Azure-service SQL, die momenteel algemeen beschikbaar is. Raadpleeg Best practices-evaluatie configureren met behulp van De Azure Monitor-agent voor meer informatie.
Vereisten
- Machtigingen voor het maken van regelobjecten voor gegevensverzameling in de werkruimte.
- Zie het artikel waarin elke gegevensbron wordt beschreven voor eventuele aanvullende vereisten.
Regel voor gegevensverzameling maken (DCR)
Azure Portal biedt een vereenvoudigde ervaring voor het maken van een DCR voor virtuele machines en virtuele-machineschaalsets. Met deze methode hoeft u de structuur van een DCR niet te begrijpen, tenzij u een geavanceerde functie zoals een transformatie wilt implementeren. U kunt ook andere methoden voor maken gebruiken die worden beschreven in DCR's (Create Data Collection Rules) in Azure Monitor.
Selecteer in het menu Monitor in Azure Portal de optie Regels>voor gegevensverzameling maken om de pagina voor het maken van DCR te openen.
De pagina Basis bevat basisinformatie over de DCR.
| Instelling | Beschrijving |
|---|---|
| Naam van regel | Naam voor de DCR. De naam moet iets beschrijvends zijn waarmee u de regel kunt identificeren. |
| Abonnement | Abonnement voor het opslaan van de DCR. Het abonnement hoeft niet hetzelfde abonnement te zijn als de virtuele machines. |
| Resourcegroep | Resourcegroep voor het opslaan van de DCR. De resourcegroep hoeft niet dezelfde resourcegroep te zijn als de virtuele machines. |
| Regio | Regio voor het opslaan van de DCR. De regio moet dezelfde regio zijn als elke Log Analytics-werkruimte of Azure Monitor-werkruimte die wordt gebruikt in een bestemming van de DCR. Als u werkruimten in verschillende regio's hebt, maakt u meerdere DCR's die zijn gekoppeld aan dezelfde set computers. |
| Platformtype | Hiermee geeft u het type gegevensbronnen op dat beschikbaar is voor de DCR, Windows of Linux. Geen staat beide toe. 1 |
| Eindpunt voor gegevensverzameling | Hiermee geeft u het eindpunt voor gegevensverzameling (DCE) op dat wordt gebruikt voor het verzamelen van gegevens. De DCE is alleen vereist als u Privékoppelingen van Azure Monitor gebruikt. Deze DCE moet zich in dezelfde regio bevinden als de DCR. Zie Eindpunten voor gegevensverzameling instellen op basis van uw implementatie voor meer informatie. |
1 Met deze optie stelt u het kind kenmerk in de DCR in. Er zijn andere waarden die kunnen worden ingesteld voor dit kenmerk, maar deze zijn niet beschikbaar in de portal.
Resources toevoegen
Op de pagina Resources kunt u VM's toevoegen die aan de DCR moeten worden gekoppeld. Selecteer + Resources toevoegen om resources te selecteren. De Azure Monitor-agent wordt automatisch geïnstalleerd op resources die deze nog niet hebben en er wordt een DCRA (Data Collection Rule Association) gemaakt tussen de computer en de DCR.
Belangrijk
De portal maakt door het systeem toegewezen beheerde identiteit mogelijk voor de doelbronnen, samen met bestaande door de gebruiker toegewezen identiteiten, indien aanwezig. Voor bestaande toepassingen, tenzij u de door de gebruiker toegewezen identiteit in de aanvraag opgeeft, wordt de computer standaard ingesteld op het gebruik van door het systeem toegewezen identiteit.
Als de machine die u bewaakt zich niet in dezelfde regio bevindt als uw doel-Log Analytics-werkruimte en u gegevenstypen verzamelt waarvoor een DCE is vereist, selecteert u Eindpunten voor gegevensverzameling inschakelen en selecteert u een eindpunt in de regio van elke bewaakte machine. Als de bewaakte machine zich in dezelfde regio bevindt als uw doel-Log Analytics-werkruimte of als u geen DCE nodig hebt, selecteert u geen eindpunt voor gegevensverzameling op het tabblad Resources .
Gegevensbronnen toevoegen
Met de pagina Verzamelen en leveren kunt u gegevensbronnen toevoegen en configureren voor de DCR en een bestemming voor elk.
| Schermelement | Beschrijving |
|---|---|
| Gegevensbron | Selecteer een gegevensbrontype en definieer gerelateerde velden op basis van het gegevensbrontype dat u selecteert. Zie de artikelen in Gegevensbronnen voor meer informatie over het configureren van elk type gegevensbron. |
| Bestemming | Voeg een of meer bestemmingen toe voor elke gegevensbron. U kunt meerdere bestemmingen van dezelfde of verschillende typen selecteren. U kunt bijvoorbeeld meerdere Log Analytics-werkruimten selecteren, ook wel multihoming genoemd. Zie de details voor elk gegevenstype voor de verschillende bestemmingen die ze ondersteunen. |
Een DCR kan meerdere verschillende gegevensbronnen bevatten tot een limiet van 10 gegevensbronnen in één DCR. U kunt verschillende gegevensbronnen in dezelfde DCR combineren, maar u wilt meestal verschillende DCR's maken voor verschillende scenario's voor gegevensverzameling. Zie best practices voor het maken en beheren van regels voor gegevensverzameling in Azure Monitor voor aanbevelingen over het organiseren van uw DCR's.
Notitie
Het kan tot vijf minuten duren voordat gegevens naar de bestemmingen worden verzonden wanneer u een regel voor gegevensverzameling maakt met behulp van de wizard gegevensverzamelingsregel.
Bewerking controleren
Nadat u een DCR hebt gemaakt en aan een computer hebt gekoppeld, kunt u controleren of de agent operationeel is en of de gegevens worden verzameld door query's uit te voeren in de Log Analytics-werkruimte.
Agentbewerking verifiëren
Controleer of de agent operationeel is en goed communiceert door de volgende query uit te voeren in Log Analytics om te controleren of er records in de Heartbeat-tabel staan. Er moet elke minuut vanaf elke agent een record naar deze tabel worden verzonden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Controleren of records worden ontvangen
Het duurt enkele minuten voordat de agent is geïnstalleerd en nieuwe of gewijzigde DCR's uitvoert. Vervolgens kunt u controleren of records worden ontvangen van elk van uw gegevensbronnen door de tabel te controleren waarnaar elke record in de Log Analytics-werkruimte schrijft. Met de volgende query wordt bijvoorbeeld gecontroleerd op Windows-gebeurtenissen in de tabel Gebeurtenis .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Probleemoplossing
Voer de volgende stappen uit als u geen gegevens verzamelt die u verwacht.
- Controleer of de agent is geïnstalleerd en wordt uitgevoerd op de computer.
- Zie de sectie Probleemoplossing van het artikel voor de gegevensbron waarmee u problemen ondervindt.
- Zie Controleren en problemen met het verzamelen van DCR-gegevens in Azure Monitor oplossen om bewaking voor de DCR in te schakelen.
- Bekijk metrische gegevens om te bepalen of gegevens worden verzameld en of er rijen worden verwijderd.
- Bekijk logboeken om fouten in de gegevensverzameling te identificeren.
Volgende stappen
- Verzamel tekstlogboeken met behulp van de Azure Monitor-agent.
- Meer informatie over Azure Monitor Agent.
- Meer informatie over regels voor gegevensverzameling.