Coletar dados usando o Azure Monitor Agent
O Azure Monitor Agent coleta dados de máquinas virtuais do Azure, conjuntos de dimensionamento de máquinas virtuais e servidores habilitados para Azure Arc. As regras de coleta de dados (DCRs) definem os dados a serem coletados do agente e para onde enviá-los. Este artigo descreve como usar o portal do Azure para criar um DCR para coletar diferentes tipos de dados e instalar o agente em qualquer máquina que o exija.
Se você é novo no Azure Monitor ou tem requisitos básicos de coleta de dados, talvez consiga atender a todos os seus requisitos usando o portal do Azure e as orientações neste artigo. Se quiser aproveitar mais recursos de DCR, como transformações, talvez seja necessário criar um DCR usando outros métodos ou editar um DCR depois de criá-lo no portal. Você pode usar métodos diferentes para gerenciar DCRs e criar associações se quiser implantar usando a CLI do Azure, o Azure PowerShell, um modelo do Azure Resource Manager (modelo ARM) ou a Política do Azure.
Nota
Para enviar dados entre locatários, você deve primeiro habilitar o Azure Lighthouse.
Aviso
Os cenários a seguir podem coletar dados duplicados, o que pode aumentar as cobranças de cobrança:
- Criar vários DCRs que tenham a mesma fonte de dados e associá-los ao mesmo agente. Certifique-se de filtrar dados nos DCRs para que cada DCR colete dados exclusivos.
- Criar um DCR que coleta logs de segurança e habilitar o Microsoft Sentinel para os mesmos agentes. Nesse caso, você pode coletar os mesmos eventos na tabela Event e na tabela SecurityEvent .
- Usando o Agente do Azure Monitor e o agente herdado do Log Analytics na mesma máquina. Limite os eventos duplicados apenas ao momento em que você faz a transição de um agente para o outro.
Origens de dados
A tabela a seguir lista os tipos de dados que você pode coletar atualmente usando o Azure Monitor Agent e para onde você pode enviar esses dados. O link para cada fonte de dados é para um artigo que descreve os detalhes de como configurar a fonte de dados. Conclua as etapas neste artigo para criar o DCR e atribuí-lo a recursos e, em seguida, consulte o artigo vinculado relevante para saber como configurar a fonte de dados.
| Data source | Description | SO de Cliente | Destinos |
|---|---|---|---|
| Eventos do Windows | Informações enviadas para o sistema de registo de eventos do Windows, incluindo eventos sysmon | Windows | Área de trabalho do Log Analytics |
| Contadores de desempenho | Valores numéricos que medem o desempenho de diferentes aspetos do sistema operacional e cargas de trabalho | Windows Linux |
Métricas do Azure Monitor (visualização) Área de trabalho do Log Analytics |
| Syslog | Informações enviadas para o sistema de log de eventos Linux | Linux | Área de trabalho do Log Analytics |
| Registo de texto | Informações enviadas para um arquivo de log de texto em um disco local | Windows Linux |
Área de trabalho do Log Analytics |
| Log JSON | Informações enviadas para um arquivo de log JSON em um disco local | Windows Linux |
Área de trabalho do Log Analytics |
| Registos do IIS | Logs do Serviço de Informações da Internet (IIS) do disco local de máquinas Windows | Windows | Área de trabalho do Log Analytics |
Nota
O Azure Monitor Agent também dá suporte à Avaliação de Práticas Recomendadas do SQL do serviço do Azure, que está atualmente em disponibilidade geral. Para obter mais informações, consulte Configurar a avaliação de práticas recomendadas usando o Azure Monitor Agent.
Pré-requisitos
- Permissões para criar objetos DCR no espaço de trabalho.
- Para todos os pré-requisitos, consulte o artigo vinculado na tabela anterior que descreve a fonte de dados relevante.
Criar uma regra de coleta de dados
O portal do Azure fornece uma experiência simplificada para criar um DCR para máquinas virtuais e conjuntos de escala. Usando esse método, você não precisa entender a estrutura de um DCR, a menos que queira implementar um recurso avançado, como uma transformação. Você também pode usar outros métodos de criação descritos em Criar DCRs no Azure Monitor.
No portal do Azure, no menu Monitor, selecione Criar Regras>de Coleta de Dados para abrir o painel de criação de DCR.
A guia Noções básicas inclui informações básicas sobre o DCR.
| Definição | Descrição |
|---|---|
| Nome da regra | Um nome para o DCR. O nome deve ser algo descritivo que ajude a identificar a regra. |
| Subscrição | A assinatura para armazenar o DCR. A assinatura não precisa ser a mesma das máquinas virtuais. |
| Recurso | Um grupo de recursos para armazenar o DCR. O grupo de recursos não precisa ser o mesmo grupo de recursos que as máquinas virtuais. |
| Região | A região do Azure para armazenar o DCR. A região deve ser a mesma que qualquer espaço de trabalho do Log Analytics ou do Azure Monitor usado em um destino do DCR. Se você tiver espaços de trabalho em regiões diferentes, crie vários DCRs para associar ao mesmo conjunto de máquinas. |
| Tipo de plataforma | Especifica o tipo de fontes de dados disponíveis para o DCR, Windows ou Linux. Nenhum permite ambos. 1 |
| Ponto Final de Recolha de Dados | Especifica o ponto de extremidade de coleta de dados (DCE) usado para coletar dados. O DCE é necessário somente se você usar os Links Privados do Azure Monitor. Este DCE deve estar na mesma região que o DCR. Para obter mais informações, consulte Configurar pontos de extremidade de coleta de dados com base em sua implantação. |
1 Esta opção define o kind atributo no DCR. Você pode definir outros valores para esse atributo, mas os valores não estão disponíveis para seleção no portal.
Adicionar recursos
No painel Recursos, você pode adicionar VMs a serem associadas ao DCR. Para escolher os recursos a serem adicionados, selecione Adicionar recursos. O Azure Monitor Agent é instalado automaticamente em qualquer recurso que ainda não tenha o agente instalado. Uma associação de regra de coleta de dados (DCRA) é criada entre a máquina e o DCR.
Importante
Quando os recursos são adicionados a um DCR, a opção padrão no portal do Azure é habilitar uma identidade gerenciada atribuída ao sistema para os recursos. Para aplicativos existentes, se uma identidade gerenciada atribuída pelo usuário já estiver definida, se você não especificar a identidade atribuída pelo usuário ao adicionar o recurso a uma DCR usando o portal, a máquina assumirá como padrão usar uma identidade atribuída pelo sistema que é aplicada pela DCR.
Se a máquina que você está monitorando não estiver na mesma região do espaço de trabalho do Log Analytics de destino e você coletar tipos de dados que exigem um DCE, selecione Habilitar pontos de extremidade de coleta de dados e selecione um ponto de extremidade na região de cada máquina monitorada. Se a máquina monitorada estiver na mesma região do espaço de trabalho do Log Analytics de destino ou se você não precisar de um DCE, não selecione um ponto de extremidade de coleta de dados na guia Recursos .
Adicionar origens de dados
No painel Coletar e entregar, você pode adicionar e configurar fontes de dados para o DCR e adicionar um destino para cada origem.
| Definição | Descrição |
|---|---|
| Origem de dados | Selecione um tipo de fonte de dados e defina campos relacionados com base no tipo de fonte de dados selecionado. Para obter detalhes sobre como configurar cada tipo de fonte de dados, consulte artigos relacionados em Fontes de dados. |
| Destino | Adicione um ou mais destinos para cada fonte de dados. Você pode selecionar vários destinos do mesmo tipo ou selecionar tipos diferentes. Por exemplo, você pode selecionar vários espaços de trabalho do Log Analytics, o que é chamado de multihoming. Veja os detalhes de cada tipo de dados para os diferentes destinos suportados. |
Um DCR pode conter várias fontes de dados diferentes. Um máximo de 10 fontes de dados pode estar em um único DCR. Você pode combinar diferentes fontes de dados no mesmo DCR, mas normalmente cria DCRs diferentes para diferentes cenários de coleta de dados. Para obter recomendações sobre como organizar seu DCR, consulte Práticas recomendadas para criação e gerenciamento de regras de coleta de dados no Azure Monitor.
Nota
Pode levar até 5 minutos para que os dados sejam enviados para os destinos quando você cria um DCR usando o assistente de regra de coleta de dados.
Verificar operação
Depois de criar um DCR e associá-lo a uma máquina, você pode verificar se o agente está operacional e se os dados estão sendo coletados executando consultas no espaço de trabalho do Log Analytics.
Verificar a operação do agente
Verifique se o agente está operacional e se comunicando corretamente executando a seguinte consulta no Log Analytics. A consulta verifica se há algum registro na tabela Pulsação . Um registro deve ser enviado para esta tabela de cada agente a cada minuto.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Verificar se os registros são recebidos
Leva alguns minutos para que o agente seja instalado e comece a executar DCRs novos ou modificados. Em seguida, você pode verificar se os registros estão sendo recebidos de cada uma das suas fontes de dados verificando a tabela na qual cada fonte grava no espaço de trabalho do Log Analytics.
Por exemplo, a consulta a seguir verifica eventos do Windows na tabela Event :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Resolver problemas
Se os dados que você espera ver não forem coletados, conclua as seguintes etapas:
Verifique se o agente está instalado e em execução na máquina.
Consulte a seção de solução de problemas do artigo para obter a fonte de dados com a qual você está tendo problemas.
Habilite o monitoramento para o DCR e, em seguida:
- Exiba métricas para determinar se os dados estão sendo coletados e se alguma linha está sendo descartada.
- Visualize logs para identificar erros na coleta de dados.
Conteúdos relacionados
- Colete logs de texto usando o Azure Monitor Agent.
- Saiba mais sobre o Azure Monitor Agent.
- Saiba mais sobre as regras de recolha de dados.