Udostępnij za pośrednictwem


Zbieranie danych za pomocą agenta usługi Azure Monitor

Agent usługi Azure Monitor (AMA) służy do zbierania danych z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych i serwerów z obsługą usługi Arc. Reguły zbierania danych (DCR) definiują dane do zbierania z agenta i miejsca, w którym te dane powinny być wysyłane. W tym artykule opisano sposób używania witryny Azure Portal do tworzenia kontrolera domeny w celu zbierania różnych typów danych i instalowania agenta na wszystkich maszynach, które tego wymagają.

Jeśli dopiero zaczynasz korzystać z usługi Azure Monitor lub masz podstawowe wymagania dotyczące zbierania danych, możesz spełnić wszystkie wymagania, korzystając z witryny Azure Portal i wskazówek w tym artykule. Jeśli chcesz skorzystać z dodatkowych funkcji dcR, takich jak przekształcenia, może być konieczne utworzenie kontrolera DOMENY przy użyciu innych metod lub edytowanie go po utworzeniu go w portalu. Możesz również użyć różnych metod do zarządzania kontrolerami domeny i tworzenia skojarzeń, jeśli chcesz wdrożyć przy użyciu interfejsu wiersza polecenia, programu PowerShell, szablonów usługi ARM lub usługi Azure Policy.

Uwaga

Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.

Ostrzeżenie

Następujące przypadki mogą zbierać zduplikowane dane, co może spowodować dodatkowe opłaty.

  • Tworzenie wielu kontrolerów DCR z tym samym źródłem danych i kojarzenie ich z tym samym agentem. Upewnij się, że filtrujesz dane w regułach DCR, tak aby każda z nich zbierała unikatowe dane.
  • Tworzenie kontrolera domeny, który zbiera dzienniki zabezpieczeń i włączanie usługi Sentinel dla tych samych agentów. W takim przypadku możesz zebrać te same zdarzenia w tabeli Event (Zdarzenie) i tabeli SecurityEvent (SecurityEvent).
  • Korzystanie zarówno z agenta usługi Azure Monitor, jak i starszego agenta usługi Log Analytics na tym samym komputerze. Ogranicz zduplikowane zdarzenia tylko do czasu przejścia z jednego agenta do drugiego.

Źródła danych

W poniższej tabeli wymieniono typy danych, które można obecnie zbierać za pomocą agenta usługi Azure Monitor i gdzie można wysyłać te dane. Link dla każdego z nich to artykuł opisujący sposób konfigurowania tego źródła danych. Postępuj zgodnie z tym artykułem, aby utworzyć kontroler domeny i przypisać go do zasobów, a następnie postępować zgodnie z połączonym artykułem, aby skonfigurować źródło danych.

Źródło danych opis System operacyjny klienta Miejsca docelowe
Zdarzenia systemu Windows Informacje wysyłane do systemu rejestrowania zdarzeń systemu Windows, w tym zdarzenia sysmon. Windows Obszar roboczy usługi Log Analytics
Liczniki wydajności Wartości liczbowe mierzące wydajność różnych aspektów systemu operacyjnego i obciążeń. Windows
Linux
Metryki usługi Azure Monitor (wersja zapoznawcza)
Obszar roboczy usługi Log Analytics
Syslog Informacje wysyłane do systemu rejestrowania zdarzeń systemu Linux. Linux Obszar roboczy usługi Log Analytics
Dziennik tekstu Informacje wysyłane do pliku dziennika tekstowego na dysku lokalnym. Windows
Linux
Obszar roboczy usługi Log Analytics
Dziennik JSON Informacje wysyłane do pliku dziennika JSON na dysku lokalnym. Windows
Linux
Obszar roboczy usługi Log Analytics
Dzienniki usług IIS Dzienniki usługi Internet Information Service (IIS) z dysku lokalnego maszyn z systemem Windows Windows Obszar roboczy usługi Log Analytics

Uwaga

Agent usługi Azure Monitor obsługuje również ocenę najlepszych rozwiązań SQL usługi Azure, która jest obecnie ogólnie dostępna. Aby uzyskać więcej informacji, zobacz Konfigurowanie oceny najlepszych rozwiązań przy użyciu agenta usługi Azure Monitor.

Wymagania wstępne

  • Uprawnienia do tworzenia obiektów reguły zbierania danych w obszarze roboczym.
  • Zapoznaj się z artykułem opisującym każde źródło danych, aby uzyskać dodatkowe wymagania wstępne.

Tworzenie reguły zbierania danych (DCR)

Witryna Azure Portal oferuje uproszczone środowisko tworzenia kontrolera domeny dla maszyn wirtualnych i zestawów skalowania maszyn wirtualnych. Korzystając z tej metody, nie musisz rozumieć struktury kontrolera domeny, chyba że chcesz zaimplementować zaawansowaną funkcję, taką jak transformacja. Możesz również użyć innych metod tworzenia opisanych w temacie Tworzenie reguł zbierania danych (DCR) w usłudze Azure Monitor.

W menu Monitor w witrynie Azure Portal wybierz pozycję Reguły>zbierania danych Utwórz, aby otworzyć stronę tworzenia kontrolera domeny.

Zrzut ekranu przedstawiający przycisk Utwórz dla nowej reguły zbierania danych.

Strona Podstawowa zawiera podstawowe informacje o kontrolerze domeny.

Zrzut ekranu przedstawiający kartę Podstawowa dla nowej reguły zbierania danych.

Ustawienie opis
Nazwa reguły Nazwa kontrolera domeny. Nazwa powinna być czymś opisowym, który pomaga zidentyfikować regułę.
Subskrypcja Subskrypcja do przechowywania kontrolera domeny. Subskrypcja nie musi być tą samą subskrypcją co maszyny wirtualne.
Grupa zasobów Grupa zasobów do przechowywania kontrolera domeny. Grupa zasobów nie musi być tą samą grupą zasobów co maszyny wirtualne.
Region (Region) Region do przechowywania kontrolera domeny. Region musi być tym samym regionem co każdy obszar roboczy usługi Log Analytics lub obszar roboczy usługi Azure Monitor używany w miejscu docelowym kontrolera domeny. Jeśli masz obszary robocze w różnych regionach, utwórz wiele kontrolerów domeny skojarzonych z tym samym zestawem maszyn.
Typ platformy Określa typ źródeł danych, które będą dostępne dla dcR, Windows lub Linux. Brak umożliwia obu. 1
Punkt końcowy zbierania danych Określa punkt końcowy zbierania danych (DCE) używany do zbierania danych. DcE jest wymagany tylko wtedy, gdy używasz linków prywatnych usługi Azure Monitor. Ten kontroler domeny musi znajdować się w tym samym regionie co dcR. Aby uzyskać więcej informacji, zobacz Jak skonfigurować punkty końcowe zbierania danych na podstawie wdrożenia.

1 Ta opcja ustawia kind atrybut w kontrolerze domeny. Istnieją inne wartości, które można ustawić dla tego atrybutu, ale nie są dostępne w portalu.

Dodawanie zasobów

Strona Zasoby umożliwia dodawanie maszyn wirtualnych do skojarzenia z kontrolerem domeny. Wybierz pozycję + Dodaj zasoby , aby wybrać zasoby. Agent usługi Azure Monitor zostanie automatycznie zainstalowany na wszystkich zasobach, które jeszcze go nie mają, a między maszyną a kontrolerem domeny zostanie utworzone skojarzenie reguły zbierania danych (DCRA ).

Ważne

Portal umożliwia przypisaną przez system tożsamość zarządzaną w zasobach docelowych wraz z istniejącymi tożsamościami przypisanymi przez użytkownika, jeśli istnieją. W przypadku istniejących aplikacji, chyba że określisz tożsamość przypisaną przez użytkownika w żądaniu, zamiast tego maszyna domyślnie używa tożsamości przypisanej przez system.

Zrzut ekranu przedstawiający kartę Zasoby dla nowej reguły zbierania danych.

Jeśli monitorowana maszyna nie znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics i zbierasz typy danych, które wymagają kontrolera domeny, wybierz pozycję Włącz punkty końcowe zbierania danych i wybierz punkt końcowy w regionie każdego monitorowanego komputera. Jeśli monitorowana maszyna znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub jeśli nie potrzebujesz kontrolera domeny, nie wybieraj punktu końcowego zbierania danych na karcie Zasoby .

Dodawanie źródeł danych

Strona Zbieranie i dostarczanie umożliwia dodawanie i konfigurowanie źródeł danych dla kontrolera domeny i miejsca docelowego dla każdego z nich.

Screen, element opis
Źródło danych Wybierz typ źródła danych i zdefiniuj powiązane pola na podstawie wybranego typu źródła danych. Aby uzyskać szczegółowe informacje na temat konfigurowania każdego typu źródła danych, zobacz artykuły w temacie Źródła danych.
Lokalizacja docelowa Dodaj co najmniej jedno miejsce docelowe dla każdego źródła danych. Możesz wybrać wiele miejsc docelowych tego samego lub różnych typów. Możesz na przykład wybrać wiele obszarów roboczych usługi Log Analytics, które są również nazywane wieloma funkcjami. Zobacz szczegóły poszczególnych typów danych dla różnych miejsc docelowych, które obsługują.

DcR może zawierać wiele różnych źródeł danych do limitu 10 źródeł danych w jednym kontrolerze domeny. Różne źródła danych można połączyć w tym samym kontrolerze domeny, ale zazwyczaj chcesz utworzyć różne kontrolery domeny dla różnych scenariuszy zbierania danych. Zobacz Best practices for data collection rule creation and management in Azure Monitor (Najlepsze rozwiązania dotyczące tworzenia reguł zbierania danych i zarządzania nimi w usłudze Azure Monitor ), aby uzyskać zalecenia dotyczące organizowania kontrolerów domeny.

Uwaga

Wysyłanie danych do miejsc docelowych przy użyciu kreatora reguły zbierania danych może potrwać do 5 minut.

Weryfikowanie operacji

Po utworzeniu kontrolera domeny i skojarzeniu go z maszyną możesz sprawdzić, czy agent działa i czy dane są zbierane, uruchamiając zapytania w obszarze roboczym usługi Log Analytics.

Weryfikowanie operacji agenta

Sprawdź, czy agent działa i prawidłowo komunikuje się, uruchamiając następujące zapytanie w usłudze Log Analytics, aby sprawdzić, czy istnieją rekordy w tabeli Puls . Rekord powinien być wysyłany do tej tabeli z każdego agenta co minutę.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

Sprawdź, czy rekordy są odbierane

Zainstalowanie agenta i uruchomienie nowych lub zmodyfikowanych kontrolerów domeny potrwa kilka minut. Następnie możesz sprawdzić, czy rekordy są odbierane z każdego ze źródeł danych, sprawdzając tabelę, do której każdy zapis jest zapisywany w obszarze roboczym usługi Log Analytics. Na przykład następujące zapytanie sprawdza zdarzenia systemu Windows w tabeli Zdarzenia .

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Rozwiązywanie problemów

Wykonaj poniższe kroki, jeśli nie zbierasz oczekiwanych danych.

  • Sprawdź, czy agent jest zainstalowany i uruchomiony na maszynie.
  • Zobacz sekcję Rozwiązywanie problemów z artykułem dotyczącym źródła danych, z którym masz problemy.
  • Zobacz Monitorowanie i rozwiązywanie problemów z zbieraniem danych DCR w usłudze Azure Monitor , aby włączyć monitorowanie dla kontrolera domeny.
    • Wyświetl metryki, aby określić, czy dane są zbierane i czy są usuwane jakiekolwiek wiersze.
    • Wyświetl dzienniki, aby zidentyfikować błędy w zbieraniu danych.

Następne kroki