Сбор данных с помощью агента Azure Monitor
Агент Azure Monitor собирает данные из виртуальных машин Azure, масштабируемых наборов виртуальных машин и серверов с поддержкой Azure Arc. Правила сбора данных (DCR) определяют данные для сбора данных из агента и места отправки данных. В этой статье описывается, как использовать портал Azure для создания DCR для сбора различных типов данных и установки агента на всех компьютерах, требующих его.
Если вы не знакомы с Azure Monitor или имеете базовые требования к сбору данных, вы можете выполнить все ваши требования с помощью портал Azure и рекомендаций в этой статье. Если вы хотите воспользоваться дополнительными функциями DCR, например преобразованиями, может потребоваться создать DCR с помощью других методов или изменить DCR после его создания на портале. Вы можете использовать различные методы для управления контроллерами домена и создания сопоставлений, если вы хотите развернуть с помощью Azure CLI, Azure PowerShell, шаблона Azure Resource Manager (шаблона ARM) или Политика Azure.
Примечание.
Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse.
Предупреждение
В следующих сценариях могут собираться повторяющиеся данные, которые могут увеличить расходы на выставление счетов:
- Создание нескольких контроллеров домена с одинаковым источником данных и связывание их с тем же агентом. Убедитесь, что данные фильтруются в контроллерах домена, чтобы каждый DCR собирал уникальные данные.
- Создание DCR, которое собирает журналы безопасности и включает Microsoft Sentinel для одних и того же агента. В этом случае можно собирать те же события в таблице событий и в таблице SecurityEvent .
- Использование агента Azure Monitor и устаревшего агента Log Analytics на одном компьютере. Ограничение повторяющихся событий только во время перехода с одного агента на другой.
Источники данных
В следующей таблице перечислены типы данных, которые можно собирать с помощью агента Azure Monitor и где можно отправлять эти данные. Ссылка для каждого источника данных — это статья, описывающая сведения о настройке источника данных. Выполните действия, описанные в этой статье, чтобы создать DCR и назначить его ресурсам, а затем ознакомьтесь с соответствующей связанной статьей, чтобы узнать, как настроить источник данных.
| Источник данных | Description | ОС клиента | Назначения |
|---|---|---|---|
| События Windows | Сведения, отправляемые в систему ведения журналов событий Windows, включая события sysmon | Windows | Рабочая область Log Analytics |
| Счетчики производительности | Числовые значения, измеряющие производительность различных аспектов операционной системы и рабочих нагрузок | Windows Linux |
Метрики Azure Monitor (предварительная версия) Рабочая область Log Analytics |
| Syslog | Информация, отправляемая в систему ведения журналов событий Linux | Linux | Рабочая область Log Analytics |
| Текстовый журнал | Сведения, отправленные в текстовый файл журнала на локальном диске | Windows Linux |
Рабочая область Log Analytics |
| Журнал JSON | Сведения, отправленные в файл журнала JSON на локальном диске | Windows Linux |
Рабочая область Log Analytics |
| Журналы IIS | Журналы службы IIS с локального диска компьютеров Windows | Windows | Рабочая область Log Analytics |
Примечание.
Агент Azure Monitor также поддерживает оценку рекомендаций ПО SQL службы Azure, которая в настоящее время находится в общедоступной доступности. Дополнительные сведения см. в статье "Настройка оценки рекомендаций с помощью агента Azure Monitor".
Необходимые компоненты
- Разрешения на создание объектов DCR в рабочей области.
- Сведения обо всех предварительных требованиях см. в связанной статье в предыдущей таблице, описывающей соответствующий источник данных.
Создание правила сбора данных
Портал Azure предоставляет упрощенный интерфейс для создания DCR для виртуальных машин и масштабируемых наборов. С помощью этого метода вам не нужно понимать структуру DCR, если вы не хотите реализовать расширенную функцию, например преобразование. Вы также можете использовать другие методы создания, описанные в разделе "Создание контроллеров домена" в Azure Monitor.
В портал Azure в меню "Монитор" выберите "Правила>сбора данных", чтобы открыть область создания DCR.
Вкладка "Основные сведения" содержит основные сведения о DCR.
| Параметр | Description |
|---|---|
| Имя правила | Имя DCR. Имя должно быть описательным, которое помогает определить правило. |
| Подписка | Подписка для хранения DCR. Подписка не должна быть той же подпиской, что и виртуальные машины. |
| Ресурс | Группа ресурсов для хранения DCR. Группа ресурсов не должна быть той же группой ресурсов, что и виртуальные машины. |
| Регион | Регион Azure для хранения DCR. Регион должен быть тем же регионом, что и любая рабочая область Log Analytics или рабочая область Azure Monitor, используемая в назначении DCR. Если у вас есть рабочие области в разных регионах, создайте несколько контроллеров домена для связывания с одинаковым набором компьютеров. |
| Тип платформы | Указывает тип источников данных, доступных для DCR, Windows или Linux. Ни один из них не допускает обоих вариантов. 1 |
| Конечная точка сбора данных | Указывает конечную точку сбора данных (DCE), используемую для сбора данных. DCE требуется только в том случае, если вы используете Приватный канал Azure Monitor. Этот DCE должен находиться в том же регионе, что и DCR. Дополнительные сведения см. в разделе "Настройка конечных точек сбора данных на основе развертывания". |
1 Этот параметр задает kind атрибут в DCR. Вы можете задать другие значения для этого атрибута, но значения недоступны для выбора на портале.
Добавление ресурсов
На панели ресурсов можно добавить виртуальные машины, которые будут связаны с DCR. Чтобы выбрать ресурсы для добавления, нажмите кнопку "Добавить ресурсы". Агент Azure Monitor автоматически устанавливается на любой ресурс, который еще не установлен агент. Связь правил сбора данных (DCRA) создается между компьютером и DCR.
Внимание
При добавлении ресурсов в DCR параметр по умолчанию в портал Azure включает управляемое удостоверение, назначаемое системой, для ресурсов. Для существующих приложений, если управляемое удостоверение, назначаемое пользователем, уже установлено, если при добавлении ресурса в DCR назначаемое пользователем удостоверение по умолчанию используется назначаемое системой удостоверение , применяемое DCR.
Если компьютер, который вы отслеживаете, не входит в тот же регион, что и целевая рабочая область Log Analytics, и собираете типы данных, требующие DCE, выберите "Включить конечные точки сбора данных" и выберите конечную точку в регионе каждого отслеживаемого компьютера. Если отслеживаемый компьютер находится в том же регионе, что и целевая рабочая область Log Analytics, или если не требуется DCE, не выбирайте конечную точку сбора данных на вкладке "Ресурсы ".
Добавление источников данных
На панели сбора и доставки можно добавить и настроить источники данных для DCR и добавить назначение для каждого источника.
| Параметр | Description |
|---|---|
| Источник данных | Выберите тип источника данных и определите связанные поля на основе выбранного типа источника данных. Дополнительные сведения о настройке каждого типа источника данных см. в связанных статьях в источниках данных. |
| Назначение | Добавьте одно или несколько назначений для каждого источника данных. Можно выбрать несколько назначений одного типа или выбрать разные типы. Например, можно выбрать несколько рабочих областей Log Analytics, которые называются многодомными. Дополнительные сведения о каждом типе данных см. в разных местах, которые они поддерживают. |
DCR может содержать несколько разных источников данных. Не более 10 источников данных могут находиться в одном DCR. Вы можете объединить разные источники данных в одном DCR, но обычно создают разные контроллеры домена для различных сценариев сбора данных. Рекомендации по организации DCR см. в рекомендациях по созданию правил сбора данных и управлению ими в Azure Monitor.
Примечание.
При создании DCR с помощью мастера правил сбора данных может потребоваться до 5 минут.
Проверка операции
После создания DCR и связывания его с компьютером можно убедиться, что агент работает и что данные собираются путем выполнения запросов в рабочей области Log Analytics.
Проверка операции агента
Убедитесь, что агент работает и правильно взаимодействует, выполнив следующий запрос в Log Analytics. Запрос проверяет наличие записей в таблице Heartbeat . Запись должна отправляться в эту таблицу от каждого агента каждую минуту.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Убедитесь, что записи получены
Для установки и запуска новых или измененных контроллеров домена агент занимает несколько минут. Затем можно убедиться, что записи получены из каждого из источников данных, проверив таблицу, в которую записывается каждый источник в рабочую область Log Analytics.
Например, следующий запрос проверяет события Windows в таблице событий :
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Устранение неполадок
Если данные, которые вы ожидаете просмотреть, не собираются, выполните следующие действия:
Убедитесь, что агент установлен и запущен на компьютере.
См. раздел устранения неполадок в статье для источника данных, с которым у вас возникли проблемы.
Включите мониторинг для DCR, а затем:
- Просмотрите метрики, чтобы определить, собираются ли данные и удаляются ли строки.
- Просмотр журналов для выявления ошибок в коллекции данных.
Связанный контент
- Сбор текстовых журналов с помощью агента Azure Monitor.
- Подробнее об агенте Azure Monitor.
- Подробнее о правилах сбора данных.