Raportowanie programu Microsoft Identity Manager 2016 za pomocą usługi Azure Monitor
Usługa Azure Monitor to rozwiązanie do monitorowania służące do zbierania, analizowania i reagowania na dane monitorowania ze środowisk w chmurze i środowiskach lokalnych. Usługa synchronizacji programu MIM zapisuje w dzienniku zdarzeń dla kluczowych zdarzeń, a usługa MIM może być skonfigurowana do dodawania rekordów do dziennika zdarzeń systemu Windows dla żądań odbieranych. Te dzienniki zdarzeń są transportowane przez usługę Azure Arc do usługi Azure Monitor i mogą być przechowywane w obszarze roboczym usługi Azure Monitor wraz z dziennikiem inspekcji firmy Microsoft Entra i dziennikami z innych źródeł danych. Następnie możesz użyć skoroszytów usługi Azure Monitor do formatowania zdarzeń programu MIM w raporcie i alertów w celu monitorowania określonych zdarzeń w usłudze MIM. To podejście zastępuje wcześniejsze raportowanie hybrydowe programu MIM.
Konfigurowanie usługi Azure Monitor przy użyciu serwera MIM składa się z następujących kroków:
- Dołączanie serwerów programu MIM do platformy Azure za pomocą usługi Azure Arc
- Instalowanie rozszerzeń usługi Azure Monitor
- Tworzenie obszaru roboczego
- Tworzenie reguły zbierania danych (DCR)
- Weryfikowanie danych programu MIM
W poniższych sekcjach opisano poszczególne kroki.
Wymagania wstępne
Przed podjęciem kroków opisanych poniżej upewnij się, że spełnisz wymagania wstępne usług Azure Arc i Azure Monitor.
- Wymagania wstępne usługi Azure Arc
- Zbieranie zdarzeń systemu Windows za pomocą agenta usługi Azure Monitor — wymagania wstępne
Ponadto grupa zasobów na platformie Azure jest wymagana przed dołączeniem serwera do usługi Azure Arc. Jeśli nie masz grupy zasobów, możesz go utworzyć przed wygenerowaniem skryptu instalacji usługi Azure Arc.
Dołączanie serwera MIM do platformy Azure za pomocą usługi Azure Arc
Prawdopodobnie będziesz mieć co najmniej jedną maszynę z systemem Windows Server, na której działa synchronizacja programu MIM lub usługa MIM w danym środowisku, potencjalnie zlokalizowana lokalnie. Aby dołączyć dowolny serwer z systemem Windows Server spoza platformy Azure do platformy Azure, należy wygenerować skrypt i uruchomić go lokalnie na każdym z tych serwerów. Zapewnia to spójne środowisko zarządzania natywnych maszyn wirtualnych i serwerów platformy Azure w dowolnym miejscu. Gdy maszyna spoza platformy Azure jest włączona w usłudze Arc, staje się połączoną maszyną i jest traktowana jako zasób na platformie Azure z własnym identyfikatorem zasobu i projekcją na platformie Azure.
Aby dołączyć serwer programu MIM, należy wygenerować skrypt i uruchomić go lokalnie na serwerze programu MIM. Postępuj zgodnie z monitami w portalu, aby utworzyć skrypt. Pobierz skrypt i uruchom go na serwerze MIM. Po zakończeniu działania skryptu serwer MIM powinien pojawić się w obszarze Azure Arc w portalu.
Aby uzyskać więcej informacji, zobacz Connect Windows Server machines to Azure through Azure Setup (Łączenie maszyn z systemem Windows Server z platformą Azure za pomocą instalatora usługi Azure Arc).
Instalowanie rozszerzeń usługi Azure Monitor
Po dołączeniu maszyn z systemem Windows Server, które mają zainstalowaną synchronizację programu MIM lub usługę MIM, na platformie Azure, możesz użyć agenta usługi Azure Monitor na tych serwerach, aby rozpocząć zbieranie dzienników zdarzeń systemu Windows. Serwery z obsługą usługi Azure Arc obsługują platformę rozszerzeń maszyn wirtualnych platformy Azure, która zapewnia konfigurację po wdrożeniu i zadania automatyzacji, umożliwiając uproszczenie zarządzania maszynami hybrydowymi, takimi jak maszyny wirtualne platformy Azure.
Po dołączeniu programu MIM do platformy Azure możesz uruchomić agenta usługi Azure Monitor na serwerze MIM, aby rozpoczynać zbieranie danych zdarzeń systemu Windows. Aby zainstalować rozszerzenia usługi Azure Monitor, możesz użyć następującego skryptu programu PowerShell. Pamiętaj, aby zastąpić zmienne informacjami.
## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade
Aby uzyskać więcej informacji, zobacz Opcje wdrażania agenta usługi Azure Monitor na serwerach z obsługą usługi Azure Arc
Tworzenie obszaru roboczego
Obszar roboczy usługi Log Analytics to magazyn danych, w którym można zbierać dane dziennika dowolnego typu ze wszystkich zasobów i aplikacji platformy Azure spoza platformy Azure.
Przed utworzeniem reguły zbierania danych, która zbiera informacje dziennika zdarzeń systemu Windows, musimy gdzieś wysłać te informacje. Wykonaj kroki opisane w temacie Tworzenie obszaru roboczego , aby utworzyć obszar roboczy usługi Log Analytics.
Tworzenie reguły zbierania danych
Reguły zbierania danych (DCR) są częścią procesu zbierania danych wyodrębniania, przekształcania i ładowania (ETL), który ulepsza starsze metody zbierania danych dla usługi Azure Monitor. Ten proces używa wspólnego potoku pozyskiwania danych, potoku usługi Azure Monitor dla wszystkich źródeł danych i standardowej metody konfiguracji, która jest bardziej zarządzalna i skalowalna niż inne metody.
Aby utworzyć regułę zbierania danych dla serwera programu MIM, wykonaj następujące kroki.
- Na ekranie głównym Monitorowanie w witrynie Azure Portal wybierz pozycję Ustawienia i reguły zbierania danych.
- U góry kliknij pozycję Utwórz.
- Nadaj regule nazwę, skojarz ją z grupą zasobów, a region, w którym znajduje się grupa zasobów.
- Kliknij przycisk Dalej.
- Na karcie zasoby kliknij pozycję Dodaj zasoby i w grupie zasobów dodaj serwer MIM. Kliknij przycisk Dalej.
- W obszarze Zbieranie i dostarczanie dzienników zdarzeń systemu Windows jako źródła danych.
- W warstwie Podstawowa możesz dodać podstawowe dzienniki zdarzeń systemu Windows, system, zabezpieczenia i aplikację.
- Kliknij pozycję Niestandardowe.
- Wprowadź następujące informacje w polu w obszarze Używanie zapytań XPath do filtrowania dzienników zdarzeń i ograniczania zbierania danych:
Zapytanie Xpath | opis |
---|---|
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] |
Dziennik usługi programu MIM |
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] |
Dziennik agenta zarządzania programu MIM |
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] |
Dziennik operacji aparatu synchronizacji programu MIM |
- Kliknij przycisk Dalej miejsce docelowe i kliknij pozycję Dodaj miejsce docelowe.
- Wprowadź następujące informacje:
- Typ docelowy: dzienniki usługi Azure Monitor
- Subskrypcja: Twoja subskrypcja
- Szczegóły miejsca docelowego: Grupa robocza
- Kliknij przycisk Dodaj źródło danych.
- Kliknij pozycję Przejrzyj i utwórz.
- Kliknij pozycję Utwórz.
Po utworzeniu i wdrożeniu kontrolera domeny informacje dziennika zdarzeń zaczynają przepływać z serwera MIM.
Zdarzenia systemu Windows generowane przez usługę MIM
Zdarzenia generowane przez program Microsoft Identity Manager są przechowywane w dzienniku zdarzeń systemu Windows. Zdarzenia odpowiadające żądaniom usługi programu MIM można wyświetlić w Podgląd zdarzeń, wybierając pozycję Dziennik żądań programu Identity Manager w>dziennikach aplikacji i usług. Każde żądanie usługi programu MIM jest eksportowane jako zdarzenie w dzienniku zdarzeń systemu Windows w strukturze JSON.
Typ zdarzenia | ID | Szczegóły zdarzenia |
---|---|---|
Informacja | 4121 | Dane zdarzeń programu Identity Manager, które zawierają wszystkie dane żądania. |
Informacja | 4137 | Rozszerzenie zdarzenia 4121 programu Identity Manager, jeśli istnieje zbyt wiele danych dla pojedynczego zdarzenia. Nagłówek w tym zdarzeniu jest wyświetlany w następującym formacie: "Request: <GUID> , message <xxx> out of <xxx> . |
Weryfikacja danych
Aby sprawdzić, czy zbierasz dane, możesz przejść do obszaru roboczego i uruchomić następujące zapytanie.
- W obszarze roboczym wybierz pozycję dzienniki
- Wprowadź następujące zapytanie:
Event | where TimeGenerated > ago(48h)
- Powinny zostać wyświetlone dane programu MIM.
Tworzenie skoroszytu dla danych
Skoroszyty udostępniają elastyczną kanwę do analizy danych i tworzenia zaawansowanych raportów wizualnych w witrynie Azure Portal. Teraz, gdy dane programu MIM są dostępne w portalu, możesz użyć skoroszytów. Skoroszyty umożliwiają łączenie wielu rodzajów wizualizacji i analiz, dzięki czemu doskonale nadają się do swobodnej eksploracji.
Aby uzyskać więcej informacji, zobacz Tworzenie lub edytowanie skoroszytu platformy Azure.