Udostępnij za pośrednictwem


Raportowanie programu Microsoft Identity Manager 2016 za pomocą usługi Azure Monitor

Usługa Azure Monitor to rozwiązanie do monitorowania służące do zbierania, analizowania i reagowania na dane monitorowania ze środowisk w chmurze i środowiskach lokalnych. Usługa synchronizacji programu MIM zapisuje w dzienniku zdarzeń dla kluczowych zdarzeń, a usługa MIM może być skonfigurowana do dodawania rekordów do dziennika zdarzeń systemu Windows dla żądań odbieranych. Te dzienniki zdarzeń są transportowane przez usługę Azure Arc do usługi Azure Monitor i mogą być przechowywane w obszarze roboczym usługi Azure Monitor wraz z dziennikiem inspekcji firmy Microsoft Entra i dziennikami z innych źródeł danych. Następnie możesz użyć skoroszytów usługi Azure Monitor do formatowania zdarzeń programu MIM w raporcie i alertów w celu monitorowania określonych zdarzeń w usłudze MIM. To podejście zastępuje wcześniejsze raportowanie hybrydowe programu MIM.

Konfigurowanie usługi Azure Monitor przy użyciu serwera MIM składa się z następujących kroków:

  1. Dołączanie serwerów programu MIM do platformy Azure za pomocą usługi Azure Arc
  2. Instalowanie rozszerzeń usługi Azure Monitor
  3. Tworzenie obszaru roboczego
  4. Tworzenie reguły zbierania danych (DCR)
  5. Weryfikowanie danych programu MIM

W poniższych sekcjach opisano poszczególne kroki.

Wymagania wstępne

Przed podjęciem kroków opisanych poniżej upewnij się, że spełnisz wymagania wstępne usług Azure Arc i Azure Monitor.

Ponadto grupa zasobów na platformie Azure jest wymagana przed dołączeniem serwera do usługi Azure Arc. Jeśli nie masz grupy zasobów, możesz go utworzyć przed wygenerowaniem skryptu instalacji usługi Azure Arc.

Dołączanie serwera MIM do platformy Azure za pomocą usługi Azure Arc

Prawdopodobnie będziesz mieć co najmniej jedną maszynę z systemem Windows Server, na której działa synchronizacja programu MIM lub usługa MIM w danym środowisku, potencjalnie zlokalizowana lokalnie. Aby dołączyć dowolny serwer z systemem Windows Server spoza platformy Azure do platformy Azure, należy wygenerować skrypt i uruchomić go lokalnie na każdym z tych serwerów. Zapewnia to spójne środowisko zarządzania natywnych maszyn wirtualnych i serwerów platformy Azure w dowolnym miejscu. Gdy maszyna spoza platformy Azure jest włączona w usłudze Arc, staje się połączoną maszyną i jest traktowana jako zasób na platformie Azure z własnym identyfikatorem zasobu i projekcją na platformie Azure.

Aby dołączyć serwer programu MIM, należy wygenerować skrypt i uruchomić go lokalnie na serwerze programu MIM. Postępuj zgodnie z monitami w portalu, aby utworzyć skrypt. Pobierz skrypt i uruchom go na serwerze MIM. Po zakończeniu działania skryptu serwer MIM powinien pojawić się w obszarze Azure Arc w portalu.

Zrzut ekranu przedstawiający usługę Azure Arc.

Aby uzyskać więcej informacji, zobacz Connect Windows Server machines to Azure through Azure Setup (Łączenie maszyn z systemem Windows Server z platformą Azure za pomocą instalatora usługi Azure Arc).

Instalowanie rozszerzeń usługi Azure Monitor

Po dołączeniu maszyn z systemem Windows Server, które mają zainstalowaną synchronizację programu MIM lub usługę MIM, na platformie Azure, możesz użyć agenta usługi Azure Monitor na tych serwerach, aby rozpocząć zbieranie dzienników zdarzeń systemu Windows. Serwery z obsługą usługi Azure Arc obsługują platformę rozszerzeń maszyn wirtualnych platformy Azure, która zapewnia konfigurację po wdrożeniu i zadania automatyzacji, umożliwiając uproszczenie zarządzania maszynami hybrydowymi, takimi jak maszyny wirtualne platformy Azure.

Po dołączeniu programu MIM do platformy Azure możesz uruchomić agenta usługi Azure Monitor na serwerze MIM, aby rozpoczynać zbieranie danych zdarzeń systemu Windows. Aby zainstalować rozszerzenia usługi Azure Monitor, możesz użyć następującego skryptu programu PowerShell. Pamiętaj, aby zastąpić zmienne informacjami.

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

Aby uzyskać więcej informacji, zobacz Opcje wdrażania agenta usługi Azure Monitor na serwerach z obsługą usługi Azure Arc

Tworzenie obszaru roboczego

Obszar roboczy usługi Log Analytics to magazyn danych, w którym można zbierać dane dziennika dowolnego typu ze wszystkich zasobów i aplikacji platformy Azure spoza platformy Azure.

Przed utworzeniem reguły zbierania danych, która zbiera informacje dziennika zdarzeń systemu Windows, musimy gdzieś wysłać te informacje. Wykonaj kroki opisane w temacie Tworzenie obszaru roboczego , aby utworzyć obszar roboczy usługi Log Analytics.

Tworzenie reguły zbierania danych

Reguły zbierania danych (DCR) są częścią procesu zbierania danych wyodrębniania, przekształcania i ładowania (ETL), który ulepsza starsze metody zbierania danych dla usługi Azure Monitor. Ten proces używa wspólnego potoku pozyskiwania danych, potoku usługi Azure Monitor dla wszystkich źródeł danych i standardowej metody konfiguracji, która jest bardziej zarządzalna i skalowalna niż inne metody.

Aby utworzyć regułę zbierania danych dla serwera programu MIM, wykonaj następujące kroki.

  1. Na ekranie głównym Monitorowanie w witrynie Azure Portal wybierz pozycję Ustawienia i reguły zbierania danych.
  2. U góry kliknij pozycję Utwórz.
  3. Nadaj regule nazwę, skojarz ją z grupą zasobów, a region, w którym znajduje się grupa zasobów.
  4. Kliknij przycisk Dalej.
  5. Na karcie zasoby kliknij pozycję Dodaj zasoby i w grupie zasobów dodaj serwer MIM. Kliknij przycisk Dalej.
  6. W obszarze Zbieranie i dostarczanie dzienników zdarzeń systemu Windows jako źródła danych.
  7. W warstwie Podstawowa możesz dodać podstawowe dzienniki zdarzeń systemu Windows, system, zabezpieczenia i aplikację.
  8. Kliknij pozycję Niestandardowe.
  9. Wprowadź następujące informacje w polu w obszarze Używanie zapytań XPath do filtrowania dzienników zdarzeń i ograniczania zbierania danych:
Zapytanie Xpath opis
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Dziennik usługi programu MIM
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Dziennik agenta zarządzania programu MIM
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Dziennik operacji aparatu synchronizacji programu MIM

Zrzut ekranu przedstawiający źródła zbierania danych.

  1. Kliknij przycisk Dalej miejsce docelowe i kliknij pozycję Dodaj miejsce docelowe.
  2. Wprowadź następujące informacje:
  • Typ docelowy: dzienniki usługi Azure Monitor
  • Subskrypcja: Twoja subskrypcja
  • Szczegóły miejsca docelowego: Grupa robocza
  1. Kliknij przycisk Dodaj źródło danych.
  2. Kliknij pozycję Przejrzyj i utwórz.
  3. Kliknij pozycję Utwórz.

Po utworzeniu i wdrożeniu kontrolera domeny informacje dziennika zdarzeń zaczynają przepływać z serwera MIM.

Zdarzenia systemu Windows generowane przez usługę MIM

Zdarzenia generowane przez program Microsoft Identity Manager są przechowywane w dzienniku zdarzeń systemu Windows. Zdarzenia odpowiadające żądaniom usługi programu MIM można wyświetlić w Podgląd zdarzeń, wybierając pozycję Dziennik żądań programu Identity Manager w>dziennikach aplikacji i usług. Każde żądanie usługi programu MIM jest eksportowane jako zdarzenie w dzienniku zdarzeń systemu Windows w strukturze JSON.

Typ zdarzenia ID Szczegóły zdarzenia
Informacja 4121 Dane zdarzeń programu Identity Manager, które zawierają wszystkie dane żądania.
Informacja 4137 Rozszerzenie zdarzenia 4121 programu Identity Manager, jeśli istnieje zbyt wiele danych dla pojedynczego zdarzenia. Nagłówek w tym zdarzeniu jest wyświetlany w następującym formacie: "Request: <GUID> , message <xxx> out of <xxx>.

Weryfikacja danych

Aby sprawdzić, czy zbierasz dane, możesz przejść do obszaru roboczego i uruchomić następujące zapytanie.

  1. W obszarze roboczym wybierz pozycję dzienniki
  2. Wprowadź następujące zapytanie: Event | where TimeGenerated > ago(48h)
  3. Powinny zostać wyświetlone dane programu MIM.

Zrzut ekranu przedstawiający zebrane dane.

Tworzenie skoroszytu dla danych

Skoroszyty udostępniają elastyczną kanwę do analizy danych i tworzenia zaawansowanych raportów wizualnych w witrynie Azure Portal. Teraz, gdy dane programu MIM są dostępne w portalu, możesz użyć skoroszytów. Skoroszyty umożliwiają łączenie wielu rodzajów wizualizacji i analiz, dzięki czemu doskonale nadają się do swobodnej eksploracji.

Aby uzyskać więcej informacji, zobacz Tworzenie lub edytowanie skoroszytu platformy Azure.