Zbieranie danych przy użyciu agenta usługi Azure Monitor
Agent usługi Azure Monitor zbiera dane z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych i serwerów z obsługą usługi Azure Arc. Reguły zbierania danych (DCR) definiują dane do zbierania z agenta i miejsca wysyłania danych. W tym artykule opisano sposób używania witryny Azure Portal do tworzenia kontrolera domeny w celu zbierania różnych typów danych i instalowania agenta na wszystkich komputerach, które tego wymagają.
Jeśli dopiero zaczynasz korzystać z usługi Azure Monitor lub masz podstawowe wymagania dotyczące zbierania danych, możesz spełnić wszystkie wymagania, korzystając z witryny Azure Portal i wskazówek w tym artykule. Jeśli chcesz korzystać z większej liczby funkcji dcR, takich jak przekształcenia, może być konieczne utworzenie kontrolera DOMENY przy użyciu innych metod lub edytowanie kontrolera domeny po utworzeniu go w portalu. Możesz użyć różnych metod do zarządzania kontrolerami domeny i tworzenia skojarzeń, jeśli chcesz wdrożyć przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, szablonu usługi Azure Resource Manager (szablonu arm) lub usługi Azure Policy.
Uwaga
Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.
Ostrzeżenie
Następujące scenariusze mogą zbierać zduplikowane dane, co może zwiększyć opłaty za rozliczenia:
- Tworzenie wielu kontrolerów DCR, które mają to samo źródło danych i kojarzenie ich z tym samym agentem. Upewnij się, że filtrujesz dane w kontrolerach DCR, aby każdy kontroler domeny zbierał unikatowe dane.
- Tworzenie kontrolera domeny, który zbiera dzienniki zabezpieczeń i włączanie usługi Microsoft Sentinel dla tych samych agentów. W takim przypadku można zbierać te same zdarzenia w tabeli Event i w tabeli SecurityEvent .
- Korzystanie zarówno z agenta usługi Azure Monitor, jak i starszego agenta usługi Log Analytics na tej samej maszynie. Ogranicz zduplikowane zdarzenia tylko do czasu przejścia z jednego agenta do drugiego.
Źródła danych
W poniższej tabeli wymieniono typy danych, które można obecnie zbierać przy użyciu agenta usługi Azure Monitor i gdzie można wysyłać te dane. Link dla każdego źródła danych zawiera artykuł opisujący sposób konfigurowania źródła danych. Wykonaj kroki opisane w tym artykule, aby utworzyć kontroler domeny i przypisać go do zasobów, a następnie zapoznaj się z odpowiednim połączonym artykułem, aby dowiedzieć się, jak skonfigurować źródło danych.
| Źródło danych | opis | System operacyjny klienta | Miejsca docelowe |
|---|---|---|---|
| Zdarzenia systemu Windows | Informacje wysyłane do systemu rejestrowania zdarzeń systemu Windows, w tym zdarzenia sysmon | Windows | Obszar roboczy usługi Log Analytics |
| Liczniki wydajności | Wartości liczbowe, które mierzą wydajność różnych aspektów systemu operacyjnego i obciążeń | Windows Linux |
Metryki usługi Azure Monitor (wersja zapoznawcza) Obszar roboczy usługi Log Analytics |
| Syslog | Informacje wysyłane do systemu rejestrowania zdarzeń systemu Linux | Linux | Obszar roboczy usługi Log Analytics |
| Dziennik tekstu | Informacje wysyłane do pliku dziennika tekstowego na dysku lokalnym | Windows Linux |
Obszar roboczy usługi Log Analytics |
| Dziennik JSON | Informacje wysyłane do pliku dziennika JSON na dysku lokalnym | Windows Linux |
Obszar roboczy usługi Log Analytics |
| Dzienniki usług IIS | Dzienniki usługi Internet Information Service (IIS) z dysku lokalnego maszyn z systemem Windows | Windows | Obszar roboczy usługi Log Analytics |
Uwaga
Agent usługi Azure Monitor obsługuje również ocenę najlepszych rozwiązań SQL usługi Azure, która jest obecnie ogólnie dostępna. Aby uzyskać więcej informacji, zobacz Konfigurowanie oceny najlepszych rozwiązań przy użyciu agenta usługi Azure Monitor.
Wymagania wstępne
- Uprawnienia do tworzenia obiektów DCR w obszarze roboczym.
- Aby zapoznać się ze wszystkimi wymaganiami wstępnymi, zobacz artykuł połączony w poprzedniej tabeli, który opisuje odpowiednie źródło danych.
Tworzenie reguły zbierania danych
Witryna Azure Portal oferuje uproszczone środowisko tworzenia kontrolera domeny dla maszyn wirtualnych i zestawów skalowania. Korzystając z tej metody, nie musisz rozumieć struktury kontrolera domeny, chyba że chcesz zaimplementować zaawansowaną funkcję, taką jak transformacja. Możesz również użyć innych metod tworzenia opisanych w temacie Tworzenie kontrolerów domeny w usłudze Azure Monitor.
W witrynie Azure Portal w menu Monitorowanie wybierz pozycję Reguły>zbierania danych Utwórz, aby otworzyć okienko tworzenia kontrolera domeny.
Karta Podstawowe zawiera podstawowe informacje o kontrolerze domeny.
| Ustawienie | opis |
|---|---|
| Nazwa reguły | Nazwa kontrolera domeny. Nazwa powinna być czymś opisowym, który pomaga zidentyfikować regułę. |
| Subskrypcja | Subskrypcja do przechowywania kontrolera domeny. Subskrypcja nie musi być tą samą subskrypcją co maszyny wirtualne. |
| Zasób | Grupa zasobów do przechowywania kontrolera domeny. Grupa zasobów nie musi być tą samą grupą zasobów co maszyny wirtualne. |
| Region | Region świadczenia usługi Azure do przechowywania kontrolera domeny. Region musi być tym samym regionem co każdy obszar roboczy usługi Log Analytics lub obszar roboczy usługi Azure Monitor używany w miejscu docelowym kontrolera domeny. Jeśli masz obszary robocze w różnych regionach, utwórz wiele kontrolerów domeny do skojarzenia z tym samym zestawem maszyn. |
| Typ platformy | Określa typ źródeł danych, które są dostępne dla dcR, Windows lub Linux. Brak umożliwia obu. 1 |
| Punkt końcowy zbierania danych | Określa punkt końcowy zbierania danych (DCE), który jest używany do zbierania danych. Kontroler domeny jest wymagany tylko wtedy, gdy używasz linków prywatnych usługi Azure Monitor. Ten kontroler domeny musi znajdować się w tym samym regionie co dcR. Aby uzyskać więcej informacji, zobacz Konfigurowanie punktów końcowych zbierania danych na podstawie wdrożenia. |
1 Ta opcja ustawia kind atrybut w kontrolerze domeny. Możesz ustawić inne wartości dla tego atrybutu, ale wartości nie są dostępne do wybrania w portalu.
Dodawanie zasobów
W okienku Zasoby można dodać maszyny wirtualne, które mają być skojarzone z kontrolerem domeny. Aby wybrać zasoby do dodania, wybierz pozycję Dodaj zasoby. Agent usługi Azure Monitor jest automatycznie instalowany na dowolnym zasobie, który nie ma jeszcze zainstalowanego agenta. Skojarzenie reguły zbierania danych (DCRA) jest tworzone między maszyną a kontrolerem domeny.
Ważne
Po dodaniu zasobów do kontrolera domeny domyślną opcją w witrynie Azure Portal jest włączenie tożsamości zarządzanej przypisanej przez system dla zasobów. W przypadku istniejących aplikacji, jeśli tożsamość zarządzana przypisana przez użytkownika jest już ustawiona, jeśli nie określisz tożsamości przypisanej przez użytkownika podczas dodawania zasobu do kontrolera domeny przy użyciu portalu, maszyna domyślnie używa tożsamości przypisanej przez system, która jest stosowana przez kontroler domeny.
Jeśli monitorowana maszyna nie znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics i zbierasz typy danych, które wymagają kontrolera domeny, wybierz pozycję Włącz punkty końcowe zbierania danych i wybierz punkt końcowy w regionie każdego monitorowanego komputera. Jeśli monitorowana maszyna znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub jeśli nie potrzebujesz kontrolera domeny, nie wybieraj punktu końcowego zbierania danych na karcie Zasoby .
Dodawanie źródeł danych
W okienku Zbieranie i dostarczanie można dodawać i konfigurować źródła danych dla kontrolera domeny oraz dodawać lokalizację docelową dla każdego źródła.
| Ustawienie | opis |
|---|---|
| Źródło danych | Wybierz typ źródła danych i zdefiniuj powiązane pola na podstawie wybranego typu źródła danych. Aby uzyskać szczegółowe informacje na temat konfigurowania każdego typu źródła danych, zobacz powiązane artykuły w temacie Źródła danych. |
| Lokalizacja docelowa | Dodaj co najmniej jedno miejsce docelowe dla każdego źródła danych. Możesz wybrać wiele miejsc docelowych tego samego typu lub wybrać różne typy. Możesz na przykład wybrać wiele obszarów roboczych usługi Log Analytics, które są nazywane wieloma funkcjami. Zobacz szczegóły poszczególnych typów danych dla różnych miejsc docelowych, które obsługują. |
Kontroler domeny może zawierać wiele różnych źródeł danych. Maksymalnie 10 źródeł danych może znajdować się w jednym kontrolerze domeny. Różne źródła danych można połączyć w tym samym kontrolerze domeny, ale zazwyczaj są tworzone różne kontrolery DCR dla różnych scenariuszy zbierania danych. Aby uzyskać zalecenia dotyczące organizowania kontrolera domeny, zobacz Najlepsze rozwiązania dotyczące tworzenia reguł zbierania danych i zarządzania nimi w usłudze Azure Monitor.
Uwaga
Wysyłanie danych do miejsc docelowych przy użyciu kreatora reguły zbierania danych może potrwać do 5 minut.
Weryfikowanie operacji
Po utworzeniu kontrolera domeny i skojarzeniu go z maszyną możesz sprawdzić, czy agent działa i czy dane są zbierane, uruchamiając zapytania w obszarze roboczym usługi Log Analytics.
Weryfikowanie operacji agenta
Sprawdź, czy agent działa i prawidłowo komunikuje się, uruchamiając następujące zapytanie w usłudze Log Analytics. Zapytanie sprawdza, czy w tabeli Puls istnieją jakiekolwiek rekordy. Rekord powinien być wysyłany do tej tabeli z każdego agenta co minutę.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Sprawdź, czy rekordy zostały odebrane
Zainstalowanie agenta i uruchomienie nowych lub zmodyfikowanych kontrolerów domeny trwa kilka minut. Następnie możesz sprawdzić, czy rekordy są odbierane z każdego ze źródeł danych, sprawdzając tabelę, do której każdy źródłowy zapis jest zapisywany w obszarze roboczym usługi Log Analytics.
Na przykład następujące zapytanie sprawdza zdarzenia systemu Windows w tabeli Zdarzenia :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Rozwiązywanie problemów
Jeśli dane, których oczekujesz, nie są zbierane, wykonaj następujące kroki:
Sprawdź, czy agent jest zainstalowany i uruchomiony na maszynie.
Zapoznaj się z sekcją rozwiązywania problemów z artykułem dotyczącym źródła danych, z którym masz problemy.
Włącz monitorowanie kontrolera domeny, a następnie:
- Wyświetl metryki, aby określić, czy dane są zbierane i czy są usuwane jakiekolwiek wiersze.
- Wyświetl dzienniki, aby zidentyfikować błędy w zbieraniu danych.
Powiązana zawartość
- Zbierz dzienniki tekstowe przy użyciu agenta usługi Azure Monitor.
- Dowiedz się więcej o agencie usługi Azure Monitor.
- Dowiedz się więcej o regułach zbierania danych.