Использование решения "Сопоставление служб" в Azure

Служба схемы услуги автоматически обнаруживает компоненты приложений в системах Windows и Linux и сопоставляет взаимодействие между службами. С помощью схемы служб можно просматривать серверы как взаимосвязанные системы, которые предоставляют критически важные службы. Схема служб показывает подключения между серверами, процессами, задержками входящих и исходящих подключений, а также портами в любой архитектуре, подключенной по протоколу TCP. Настройка не требуется, кроме установки агента.

Важно!

Поддержка схемы обслуживания будет прекращена 30 сентября 2025 г. Чтобы отслеживать подключения между серверами, процессами, задержкой входящего и исходящего подключения и портами в любой архитектуре, подключенной к TCP, обязательно перейдите в аналитику Виртуальных машин Azure Monitor до этой даты.

В этой статье описывается развертывание и использование схемы служб. Предварительные требования решения:

• Рабочая область Log Analytics в поддерживаемом регионе.
• Агент Log Analytics, установленный на компьютере Windows или сервере Linux, подключенном к той же рабочей области, с которой вы включили решение.
• Агент зависимостей, установленный на компьютере Windows или на сервере Linux.

Примечание

Если вы уже развернули сопоставление служб, теперь вы также можете просматривать карты в аналитике виртуальных машин, которая включает дополнительные функции для мониторинга работоспособности и производительности виртуальной машины. Дополнительные сведения см. в статье Общие сведения об аналитике виртуальных машин. Дополнительные сведения о различиях между решением "Сопоставление служб" и функцией "Карта аналитики виртуальных машин" см. в этой статье.

Вход в Azure

Войдите на портал Azure.

Включение Сопоставления служб

1. Включите решение "Сопоставление служб" из Azure Marketplace. Или используйте процесс, описанный в разделе Добавление решений для мониторинга из коллекции решений.

2. Установите Dependency Agent в Windows или установите Dependency Agent в Linux на каждом компьютере, где требуется получить данные. Агент зависимостей может отслеживать подключения к ближайшим соседям, поэтому агент может потребоваться не на каждом компьютере.

3. Доступ к схеме служб в портал Azure из рабочей области Log Analytics. Выберите вариант Устаревшие решения на панели слева.

   

4. В списке решений выберите ServiceMap(workspaceName). На странице Обзора решения "Сопоставление услуг " выберите плитку Сводка схемы служб .

   

Сценарии использования. Обеспечение учета зависимостей в ИТ-процессах

Раскрытие

Служба схемы услуги автоматически создает общую ссылочную карту зависимостей между серверами, процессами и сторонними службами. Он обнаруживает и сопоставляет все зависимости TCP. Он определяет неожиданные подключения, удаленные сторонние системы, от которых вы зависите, и зависимости от традиционных темных областей сети, таких как Active Directory. Сопоставление служб обнаруживает неудачные сетевые подключения, которые пытаются установить управляемые системы. Эти сведения помогут выявить потенциальные ошибки в конфигурации сервера, сбои службы и проблемы с сетью.

Управление инцидентами

Схема служб помогает устранить догадки изоляции проблемы, показывая, как системы связаны и влияют друг на друга. Наряду с выявлением неудачных подключений он помогает выявлять неправильно настроенные подсистемы балансировки нагрузки, неожидающую или чрезмерную нагрузку на критически важные службы, а также изгоев клиентов, таких как компьютеры разработчика, говорящие с производственными системами. Используя интегрированные с решением для отслеживания изменений рабочие процессы, вы также можете определять, вызван ли инцидент событием изменения на внутреннем компьютере или во внутренней службе.

Обеспечение миграции

С помощью схемы служб вы можете эффективно планировать, ускорять и проверять миграцию Azure, чтобы ничего не осталось и не произошло неожиданных сбоев. Вы можете:

• Обнаружение всех взаимозависимых систем, которые необходимо перенести вместе.
• Оценка конфигурации и емкости системы.
• Определите, является ли запущенная система по-прежнему обслуживать пользователей или является ли она кандидатом на списание вместо миграции.

После завершения перемещения можно проверить нагрузку и удостоверение клиента, чтобы убедиться, что тестовые системы и клиенты подключаются. Если при планировании подсети и определениях брандмауэра возникают проблемы, неудачные подключения в картах в сопоставлении служб указывают на системы, которым требуется подключение.

Непрерывность бизнес-процессов

Если вы используете Azure Site Recovery и вам нужна помощь с определением последовательности восстановления для среды приложения, сопоставление служб может автоматически показать, как системы полагаются друг на друга. Эти сведения помогают обеспечить надежность плана восстановления.

Выбрав важный сервер или группу и просмотрев их клиенты, можно определить внешние системы, которые следует восстановить после восстановления и обеспечения доступности сервера. И наоборот, просмотрев внутренние зависимости важного сервера, можно определить системы, которые необходимо восстановить после восстановления целевых систем.

Управление исправлениями

Схема служб расширяет возможности оценки обновлений системы, показывая, какие другие команды и серверы зависят от вашей службы. Таким образом, вы можете заранее уведомить их, прежде чем снимете системы для установки исправлений. Схема служб также улучшает управление исправлениями, показывая, доступны ли службы и правильно ли они подключены после установки исправлений и перезапуска.

Общие сведения о сопоставлении

Агенты сопоставления служб собирают сведения обо всех процессах, подключенных по протоколу TCP, на сервере, на котором они установлены. Они также собирают сведения о входящих и исходящих подключениях для каждого процесса.

В списке в левой области можно выбрать компьютеры или группы с агентами Сопоставления служб, чтобы визуализировать их зависимости для определенного диапазона времени. Карты зависимостей компьютеров ориентированы на конкретный компьютер. В них отображаются все компьютеры, которые являются прямыми TCP-клиентами или серверами этого компьютера. На картах групп компьютеров отображаются наборы серверов и их зависимости.

Чтобы получить сведения о выполняющихся группах процессов и процессах с активными сетевыми подключениями в течение определенного диапазона времени, компьютеры можно развернуть в представлении карты. При развертывании карты для удаленного компьютера с агентом схемы услуги отображаются только те процессы, которые взаимодействуют с целевым компьютером.

Сведения о количестве подключенных к целевому компьютеру внешних компьютеров, на которых не установлены агенты, указаны слева от процессов, к которым они подключены. Если компьютер с фокусом выполняет подключение к внутреннему компьютеру без агента, внутренний сервер включается в группу портов серверов. Эта группа также включает другие подключения к тому же номеру порта.

По умолчанию карты в схеме служб отображают сведения о зависимостях за последние 30 минут. Вы можете использовать элементы управления временем в левом верхнем углу, чтобы запросить карты для исторических диапазонов времени до одного часа, чтобы увидеть, как зависимости выглядели в прошлом. Например, может потребоваться посмотреть, как они выглядели во время инцидента или до изменения. Данные схемы обслуживания хранятся в течение 30 дней в платных рабочих областях и в течение 7 дней в бесплатных рабочих областях.

Индикаторы состояния и цвет рамки представления

В нижней части каждого сервера на карте может появиться список индикаторов состояния, которые передают сведения о состоянии сервера. Индикаторы событий указывают на наличие релевантных сведений о сервере из одной из интеграций решений.

При выборе индикатора событий вы перейдете непосредственно к сведениям о состоянии на панели справа. К текущим индикаторам состояния относятся оповещения, служба технической поддержки, изменения, безопасность и Обновления.

В зависимости от серьезности индикатора состояния рамка представления со сведениями об узле компьютера может быть красной (критическое состояние), желтой (предупреждение) или синей (информационное оповещение). Цвет представляет высокую серьезность любого индикатора состояния. Серая рамка информирует об узле без индикаторов состояния.

Группы процессов

Группы процессов объединяют процессы, связанные с общим продуктом или службой, в группу процессов. При развертывании узла компьютера будут отображаться автономные процессы вместе с группами процессов. Если входящее или исходящее подключение к процессу в группе процессов завершилось сбоем, подключение отображается как сбой для всей группы процессов.

Группы компьютеров

Группы компьютеров позволяют просматривать карты, центрированные вокруг набора серверов, а не одного. Таким образом, вы сможете увидеть все члены многоуровневого приложения или кластера серверов в одной карте.

Пользователи выбирают серверы, относящиеся к одной группе, и указывают имя группы. Затем можно просмотреть группу со всеми процессами и подключениями. Вы также можете просмотреть его с помощью только процессов и соединений, которые напрямую связаны с другими участниками группы.

Создание группы компьютеров

Создание группы

1. Выберите нужный компьютер или компьютеры в списке Компьютеры и щелкните Добавить в группу.

   

2. Выберите Создать и присвойте группе имя.

   

Примечание

Группы компьютеров ограничены 10 серверами.

Просмотр группы

После создания групп их можно просмотреть.

1. Выберите вкладку Группы .

   

2. Выберите имя группы, чтобы просмотреть карту для этой группы компьютеров.

   

   Относящиеся к группе компьютеры обозначены на карте белым цветом.

3. Разверните группу, чтобы получить список компьютеров, составляющих группу компьютеров.

   

Фильтрация по процессам

Вы можете переключить представление карты, чтобы отобразить все процессы и подключения в группе или только те, которые непосредственно связаны с группой компьютеров. В представлении по умолчанию отображаются все процессы.

1. Щелкните значок фильтра над картой, чтобы изменить представление.

   

2. Выберите Все процессы , чтобы просмотреть карту со всеми процессами и подключениями на каждом из компьютеров в группе.

   

3. Чтобы создать упрощенное представление, измените представление на отображение только связанных с группой процессов. Затем карта сужается, чтобы отобразить только те процессы и подключения, которые напрямую подключены к другим компьютерам в группе.

   

Добавление компьютеров в группу

Чтобы добавить компьютеры в существующую группу, установите флажки рядом с нужными компьютерами и выберите Добавить в группу. Затем выберите группу, в которую вы хотите добавить компьютеры.

Удаление компьютеров из группы

В списке Группы разверните имя группы, чтобы получить список компьютеров в группе компьютеров. Щелкните меню с многоточием рядом с компьютером, который нужно удалить, и выберите Удалить.

Удаление или переименование группы

Щелкните меню с многоточием рядом с именем группы в списке Группы .

Значки ролей

Некоторые процессы выполняют определенные роли на компьютерах, например веб-серверы, серверы приложений и базы данных. На схеме служб процессы и поля, представляющие компьютеры, обозначены значками ролей. Эти значки помогают быстро определить роль, присвоенную процессу или серверу.

Значок роли	Описание
	Веб-сервер
	Сервер приложений
	Сервер базы данных
	Сервер LDAP
	Сервер SMB

Неудачные подключения

В схеме служб неудачные подключения отображаются в картах для процессов и компьютеров. Пунктирная красная линия указывает, что клиентской системе не удается подключиться к процессу или порту.

Сведения о неудачных подключениях поступают из всех систем, на которых развернут агент схемы услуги и где попытка подключения завершилась сбоем. Служба схемы услуги оценивает этот процесс путем наблюдения за TCP-сокетами, которым не удалось установить подключение. Ошибки подключения могут быть связаны с брандмауэром, неправильными настройками клиента или сервера, а также с недоступностью удаленной службы.

Понятие причин сбоя подключений может помочь с устранением неполадок, проверкой переноса и выполнением анализа безопасности, а также разобраться, как устроена архитектура. Неудачные подключения иногда безвредны, но часто указывают непосредственно на проблему. Среда отработки отказа может внезапно стать недоступной или два уровня приложений не смогут взаимодействовать после миграции в облако.

Группы клиентов

Группы клиентов — это поля на карте, представляющие клиентские компьютеры, у которых нет агентов зависимостей. Одна группа клиентов представляет клиентов для отдельного процесса или компьютера.

Чтобы просмотреть IP-адреса серверов в группе клиентов, выберите группу. Содержимое группы выводится в области Свойства группы клиентов.

Группы портов серверов

Группы портов сервера — это поля, представляющие порты сервера на серверах, не имеющих агентов зависимостей. В элементе отображается порт сервера и число серверов, подключенных к этому порту. Разверните элемент, чтобы просмотреть отдельные серверы и подключения. Если в поле есть только один сервер, будет указано имя или IP-адрес.

Контекстное меню

Нажмите кнопку с многоточием (...) в правом верхнем углу любого сервера, чтобы отобразить контекстное меню для этого сервера.

Загрузить карту сервера

Выберите Загрузить карту сервера , чтобы перейти к новой карте с выбранным сервером в качестве нового компьютера фокуса.

Показать ссылки на себя

Выберите Показать самостоятельные ссылки , чтобы перерисовать узел сервера, включая все самосвязи, которые являются TCP-подключениями, которые начинаются и заканчиваются в процессах на сервере. Если отображаются самостоятельные ссылки, команда меню изменится на Скрыть самостоятельные ссылки , чтобы их можно было отключить.

Сводка по компьютеру

В области Machine Summary (Сводка по компьютеру) представлены общие сведения об операционной системе сервера, числе зависимостей, а также данные из других решений. Эти данные включают в себя метрики производительности, билеты на обслуживание в службе поддержки, данные отслеживания изменений, сведения о безопасности и обновления.

Свойства компьютера и процесса

При навигации по карте в схеме служб можно выбрать компьютеры и процессы, чтобы получить дополнительный контекст об их свойствах. Для виртуальных машин предоставляются сведения о DNS-имени, IPv4-адресах, мощности ЦП и объеме памяти, типе виртуальной машины, версии операционной системы, времени последнего перезапуска и идентификаторах соответствующих агентов OMS и сопоставления служб.

Сведения о процессе можно собирать из метаданных операционной системы о запущенных процессах. Подробные сведения включают имя процесса, описание процесса, имя пользователя и домен (в Windows), название компании, название продукта, версию продукта, рабочий каталог, командную строку и время начала процесса.

В области Сводка по процессам содержатся дополнительные сведения о подключении процесса, включая его привязанные порты, входящие и исходящие подключения, а также неудачные подключения.

Интеграция с решением для управления оповещениями

Сопоставление служб интегрируется с оповещениями Azure для отображения активированных оповещений для выбранного сервера за указанный диапазон времени. При наличии предупреждений на сервере отображается соответствующий значок, и предупреждения отображаются в области предупреждений компьютера.

Чтобы включить отображение важных предупреждений в службе схемы услуги, создайте правило предупреждений, которое запускается для определенного компьютера. Ниже описано, как правильно создавать оповещения.

• Включите предложение для группировки по компьютерам. Например, по интервалу компьютера 1 минута.
• Выберите предупреждение на основе измерения метрики.

Интеграция событий журнала

Схема услуги интегрируется со службой поиска по журналам для отображения количества всех событий журнала, доступных для выбранного сервера за указанный диапазон времени. Вы можете выбрать любую строку в списке счетчиков событий, чтобы перейти к поиску по журналам и просмотреть отдельные события журнала.

Интеграция службы поддержки

Если решение "Сопоставление служб" и соединитель управления ИТ-услугами включены и настроены в рабочей области Log Analytics, они интегрируются друг с другом автоматически. Эта интеграция обозначена в схеме услуги как "Служба поддержки". Дополнительные сведения см. в статье Централизованное управление рабочими элементами ITSM с помощью соединителя управления ИТ-службами.

В области службы поддержки компьютера отображается список всех событий управления ИТ-службами для выбранного сервера за указанный диапазон времени. При наличии текущих элементов на сервере отображается значок, а их список приводится в области службы поддержки компьютера.

Чтобы открыть элемент в подключенном решении ITSM, выберите Просмотреть рабочий элемент.

Чтобы просмотреть сведения об элементе в поиске по журналам, выберите Показать в поиске по журналам. Метрики подключения записываются в две новые таблицы в Log Analytics.

Интеграция с решением для отслеживания изменений

Если решения "Сопоставление служб" и "Отслеживание изменений" включены и настроены в вашей рабочей области Log Analytics, то они интегрируются друг с другом автоматически.

На панели Отслеживание изменений компьютера перечислены все изменения с самыми последними первыми, а также ссылка для детализации поиска по журналам для получения дополнительных сведений.

На следующем рисунке представлено подробное представление события ConfigurationChange , которое может появиться после выбора пункта Показать в Log Analytics.

Интеграция с решением для определения производительности

В области производительности компьютера приводятся стандартные метрики производительности для выбранного сервера. Сюда входят метрики использования ЦП, использования памяти, числа отправленных и полученных по сети байтов, а также список основных процессов, упорядоченный по числу байтов, отправленных и полученных по сети.

Чтобы просмотреть данные о производительности, может потребоваться включить соответствующие счетчики производительности Log Analytics. Счетчики, которые необходимо включить:

Windows:

• Процессор(*)\% загруженности процессора
• Память\% Использование выделенной памяти (в байтах)
• Сетевой адаптер(*)\отправленных байтов/с.
• Сетевой адаптер(*)\полученных байтов/с.

Linux:

• Процессор(*)\% загруженности процессора
• Память(*)\% использованной памяти
• Сетевой адаптер(*)\отправленных байтов/с.
• Сетевой адаптер(*)\полученных байтов/с.

Интеграция решений для обеспечения безопасности

Если решения "Сопоставление служб" и "Безопасность и аудит" включены и настроены в вашей рабочей области Log Analytics, то они интегрируются друг с другом автоматически.

Панель безопасности виртуальной машины отображает данные из решения для безопасности и аудита для выбранного сервера. В этой области содержится сводка необработанных проблем безопасности для сервера за выбранный диапазон времени. При выборе любой из проблем безопасности выполняется поиск по журналам для получения сведений о них.

Интеграция с решением для управления обновлениями

Если решения "Сопоставление служб" и "Управление обновлениями" включены и настроены в вашей рабочей области Log Analytics, то они интегрируются друг с другом автоматически.

Панель обновлений виртуальной машины отображает данные из решения для управления обновлениями для выбранного сервера. В этой области содержится сводка по отсутствующим обновлениям для сервера за выбранный диапазон времени.

Записи Log Analytics

Данные инвентаризации компьютеров и процессов из схемы услуги можно получить, выполнив поиск в Log Analytics. Эти данные используются в различных сценариях, таких как планирование миграции, анализ емкости, обнаружение и устранение проблем с производительностью по требованию.

Для каждого уникального компьютера и процесса создается одна запись в час. Кроме того, записи создаются во время запуска компьютера или процесса, а также при подключении их к схеме услуги. В таблице ниже приведены свойства этих записей.

Поля и значения в событиях ServiceMapComputer_CL сопоставляют с полями ресурса Machine в API Azure Resource Manager ServiceMap. Поля и значения в событиях ServiceMapProcess_CL сопоставляться с полями ресурса Process в API Resource Manager Azure ServiceMap. Поле ResourceName_s соответствует полю имени в соответствующем ресурсе Resource Manager.

Примечание

По мере расширения функций схемы услуги эти поля могут изменяться.

Вы можете использовать созданные внутри организации свойства для идентификации уникальных процессов и компьютеров:

• Компьютер. Используйте ResourceId или ResourceName_s для уникальной идентификации компьютера в рабочей области Log Analytics.
• Процесс. Используйте ResourceId для уникальной идентификации процесса в рабочей области Log Analytics. ResourceName_s уникально в контексте компьютера, на котором выполняется процесс MachineResourceName_s.

Так как для указанных процесса и компьютера в заданном диапазоне времени могут существовать несколько записей, то запросы могут возвращать несколько записей для одного и того же компьютера или процесса. Чтобы включить только самую последнюю запись, добавьте "| dedup ResourceId" к запросу.

Соединения

Метрики подключения записываются в новую таблицу в Log Analytics с именем VMConnection. Эта таблица содержит сведения о входящих и исходящих подключениях для компьютера. Кроме того, доступ к метрикам подключений можно организовать с помощью API, включающих средства для получения определенной метрики в пределах временного окна.

TCP-подключения, полученные в результате приема в сокете прослушивания, являются входящими. Эти подключения, созданные путем подключения к заданному IP-адресу и порту, являются исходящими. Направление соединения представлено свойством Direction , для которого можно задать значение inbound или outbound.

Записи в этих таблицах создаются на основе данных, полученных программой Dependency Agent. Каждая запись соответствует наблюдению, выполняемому один раз в минуту. Свойство TimeGenerated указывает начало интервала времени. Каждая запись содержит сведения для идентификации соответствующей сущности, то есть подключения или порта, а также метрик, связанных с этой сущностью. В настоящее время сообщается только о сетевой активности, которая происходит с использованием ПРОТОКОЛА TCP по протоколу IPv4.

Для управления затратами и сложностью записи подключения не представляют отдельные физические сетевые подключения. Система группирует несколько физических сетевых подключений в логическое подключение, которое затем отображается в соответствующей таблице. Таким образом, записи в таблице VMConnection представляют логическое группирование, а не отдельные физические подключения, которые наблюдаются.

Физические сетевые подключения, которые используют одно и то же значение для следующих атрибутов в течение заданного интервала в одну минуту, объединяются в одну логическую запись в VMConnection.

Свойство	Description
Direction	Направление соединения. Значением является входящий или исходящий.
Machine	Полное доменное имя компьютера.
Process	Удостоверение процесса или групп процессов, которые инициируют или принимают соединение.
SourceIp	IP-адрес источника.
DestinationIp	IP-адрес назначения.
DestinationPort	Номер порта назначения.
Protocol	Протокол, используемый для подключения. Значение — tcp.

Чтобы учесть влияние группировки, сведения о количестве сгруппированных физических подключений предоставляются в следующих свойствах записи.

Свойство	Description
LinksEstablished	Количество физических сетевых подключений, установленных в течение периода времени отчетности.
LinksTerminated	Количество физических сетевых подключений, которые были прерваны в течение периода времени создания отчетов.
LinksFailed	Количество физических сетевых подключений, которые не удалось создать во время отчетного периода. На данный момент эта информация доступна только для исходящих подключений.
LinksLive	Количество физических сетевых подключений, открытых в конце периода времени отчетности.

Метрики

Помимо метрик количества подключений, сведения об объеме данных, отправляемых и полученных в определенном логическом подключении или сетевом порту, также включаются в следующие свойства записи.

Свойство	Description
BytesSent	Общее количество байтов, отправленных в течение периода времени отчетности.
BytesReceived	Общее количество байтов, полученных в течение периода времени отчетности.
Responses	Количество откликов, наблюдаемых в течение отчетного периода.
ResponseTimeMax	Наибольшее время отклика в миллисекундах, наблюдаемое в течение периода времени отчетности. Если значение отсутствует, свойство будет пустым.
ResponseTimeMin	Наименьшее время отклика в миллисекундах, наблюдаемое в течение периода времени отчетности. Если значение отсутствует, свойство будет пустым.
ResponseTimeSum	Сумма времени ответа в миллисекундах, наблюдаемая в течение периода времени отчетности. Если значение отсутствует, свойство будет пустым.

Третий тип сообщаемых данных — время отклика. Сколько времени вызывающий объект тратит на ожидание обработки запроса, отправленного через подключение, и ответа на него удаленной конечной точкой?

Полученное время отклика — это оценочное значение истинного времени отклика базового протокола приложений. Он вычисляется с помощью эвристики, основанной на наблюдении за потоком данных между исходным и конечным концами физического сетевого подключения.

По сути, время отклика — это разница между временем, когда последний байт запроса покидает отправителя, и временем, когда последний байт ответа возвращается к нему. Эти две метки времени используются для обозначения событий запроса и ответа для определенного физического подключения. Разность этих значений представляет собой время отклика для одного запроса.

В этом первом выпуске этой функции наш алгоритм представляет собой приближение, которое может работать с разной степенью успешности в зависимости от фактического протокола приложения, используемого для определенного сетевого подключения. Например, текущий подход хорошо подходит для протоколов на основе запроса и ответа, таких как HTTP/HTTPS. Но этот подход не работает с односторонними протоколами или протоколами на основе очереди сообщений.

Необходимо учитывать указанные ниже важные моменты.

• Если процесс принимает подключения на один IP-адрес, но через несколько сетевых интерфейсов, то для каждого интерфейса будет создана отдельная запись.
• В записях с диапазонами IP-адресов не будет никаких сведений о действиях. Они включаются для обозначения того, что порт на компьютере открыт для входящего трафика.
• Чтобы уменьшить детализацию и объем данных, записи с IP-адресом с подстановочными знаками будут опущены при наличии соответствующей записи (для одного процесса, порта и протокола) с определенным IP-адресом. Если ip-запись с подстановочными знаками опущена, свойству IsWildcardBind записи с указанным IP-адресом будет присвоено значение True. Этот параметр указывает, что порт предоставляется через каждый интерфейс компьютера с отчетами.
• Порты, привязанные только к определенному интерфейсу, имеют IsWildcardBind значение False.

Именование и классификация

Для удобства IP-адрес удаленного конца подключения включается в RemoteIp свойство . Для входящих подключений то же, RemoteIp что и , в то время как SourceIpдля исходящих подключений это то же самое, что DestinationIpи . Свойство RemoteDnsCanonicalNames представляет канонические имена DNS, сообщаемые компьютером для RemoteIp. RemoteDnsQuestions Свойства и RemoteClassification зарезервированы для использования в будущем.

Географическое положение

VMConnection также включает сведения о географическом расположении для удаленного конца каждой записи подключения в следующих свойствах записи.

Свойство	Description
RemoteCountry	Имя страны или региона, в котором размещается RemoteIp. Примером является США.
RemoteLatitude	Широта географического положения. Пример — 47,68.
RemoteLongitude	Долгота географического положения. Пример : -122.12.

Вредоносный IP-адрес

Каждое RemoteIp свойство в таблице VMConnection проверяется по набору IP-адресов с известными вредоносными действиями. RemoteIp Если объект идентифицируется как вредоносный, следующие свойства будут заполнены (они пусты, если IP-адрес не считается вредоносным) в следующих свойствах записи.

Свойство	Description
MaliciousIp	Адрес RemoteIp .
IndicatorThreadType	Обнаруженный индикатор угрозы — это одно из следующих значений: Botnet, C2, CryptoMining, Darknet, DDos, MalwareUrl, Malware, Phishing, Proxy, PUA или Watchlist.
Description	Описания наблюдаемой угрозы.
TLPLevel	Уровень протокола светофора (TLP) — это одно из определенных значений: White, Green, Amber, Red.
Confidence	Значения: 0–100.
Severity	Значения: 0–5, где 5 — это самый серьезный, а 0 — не является серьезным. Значение по умолчанию — 3.
FirstReportedDateTime	Впервые поставщик сообщил об этом индикаторе.
LastReportedDateTime	В последний раз индикатор был просмотрен Interflow.
IsActive	Указывает, что индикаторы деактивированы со значением True или False.
ReportReferenceLink	Ссылки на отчеты, связанные с данным наблюдаемым.
AdditionalInformation	Предоставляет дополнительные сведения, если применимо, о наблюдаемой угрозе.

Записи ServiceMapComputer_CL

В записях типа AdmComputer_CL содержатся данные инвентаризации для серверов с агентами схемы услуги. У этих записей есть свойства, приведенные в таблице ниже.

Свойство	Описание
Type	ServiceMapComputer_CL
SourceSystem	OpsManager
ResourceId	Уникальный идентификатор для компьютера в рабочей области
ResourceName_s	Уникальный идентификатор для компьютера в рабочей области
ComputerName_s	Полное доменное имя компьютера
Ipv4Addresses_s	Список IPv4-адресов сервера
Ipv6Addresses_s	Список IPv6-адресов сервера
DnsNames_s	Массив DNS-имен
OperatingSystemFamily_s	Windows или Linux
OperatingSystemFullName_s	Полное имя операционной системы
Bitness_s	Разрядность компьютера (32- или 64-разрядный)
PhysicalMemory_d	Объем физической памяти в МБ
Cpus_d	Число процессоров
CpuSpeed_d	Скорость ЦП в МГц
VirtualizationState_s	неизвестно, физический, виртуальный, гипервизор
VirtualMachineType_s	hyperv, vmware и т. д.
VirtualMachineNativeMachineId_g	Идентификатор виртуальной машины, назначенный ее гипервизором
VirtualMachineName_s	Имя виртуальной машины
BootTime_t	Время загрузки

Записи типа ServiceMapProcess_CL

В записях типа ServiceMapProcess_CL содержатся данные инвентаризации для подключенных по протоколу TCP процессов на серверах с агентами схемы услуги. У этих записей есть свойства, приведенные в таблице ниже.

Свойство	Описание
Type	ServiceMapProcess_CL
SourceSystem	OpsManager
ResourceId	Уникальный идентификатор для процесса в рабочей области
ResourceName_s	Уникальный идентификатор процесса на компьютере, на котором он выполняется
MachineResourceName_s	Имя ресурса компьютера
ExecutableName_s	Имя исполняемого файла процесса
StartTime_t	Время запуска пула процессов
FirstPid_d	Первый идентификатор процесса в пуле процессов
Description_s	Описание процесса
CompanyName_s	Название организации
InternalName_s	Внутреннее имя
ProductName_s	Имя продукта
ProductVersion_s	Версия продукта
FileVersion_s	Версия файла
CommandLine_s	Командная строка
ExecutablePath _s	Путь к исполняемому файлу
WorkingDirectory_s	Рабочий каталог
UserName	Учетная запись, с которой выполняется процесс
UserDomain	Домен, в котором выполняется процесс

Пример поисков журналов

В этом разделе перечислены примеры поиска по журналам.

Список всех известных компьютеров

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Вывод сведений об объеме физической памяти для всех управляемых компьютеров

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Список сведений об имени компьютера, DNS-имени, IP-адресе и ОС

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Поиск всех процессов с "sql" в командной строке

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Поиск компьютера (самой последней записи) по имени ресурса

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Поиск компьютера (самой последней записи) по IP-адресу

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Вывод списка всех известных процессов на определенном компьютере

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Вывод списка всех компьютеров, на которых выполняется SQL

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Вывод списка всех уникальных версий продукта cURL в центре обработки данных

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Создание группы, объединяющей все компьютеры, на которых выполняется CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s

Создание сводки исходящих подключений для группы компьютеров

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

REST API

Все данные серверов, процессов и зависимостей в сопоставлении служб доступны через REST API сопоставления служб.

Данные диагностики и использования

Корпорация Майкрософт автоматически собирает данные об использовании и производительности с помощью схемы служб. Корпорация Майкрософт использует эти данные для обеспечения и улучшения качества, безопасности и целостности схемы служб.

Чтобы обеспечить точные и эффективные возможности устранения неполадок, данные содержат сведения о конфигурации программного обеспечения. Это могут быть операционная система и версия, IP-адрес, DNS-имя и имя рабочей станции. Корпорация Майкрософт не собирает сведения об именах, адресах и другую контактную информацию.

Дополнительные сведения о сборе и использовании данных см. в заявлении о конфиденциальности служб Microsoft Online Services.

Дальнейшие действия

Узнайте больше о поиске по журналам в Log Analytics для получения данных, собранных с помощью схемы услуги.

Устранение неполадок

Если при установке или запуске схемы услуги возникли проблемы, в этом разделе приводятся сведения, которые могут помочь вам. Если вам по-прежнему не удается устранить проблему, обратитесь к служба поддержки Майкрософт.

Проблемы при установке Dependency Agent

В этом разделе рассматриваются проблемы с установкой агента зависимостей.

Установщик запрашивает перезагрузку

Агент зависимостей обычно не требует перезагрузки после установки или удаления. В некоторых редких случаях для продолжения установки требуется перезагрузка Windows Server. Эта проблема возникает, когда зависимость, обычно Microsoft Visual C++ распространяемой библиотеки, требует перезагрузки из-за заблокированного файла.

Сообщение "Не удалось установить Dependency Agent: сбой установки библиотек среды выполнения Visual Studio (код = [номер_кода])"

Microsoft Dependency Agent создан на основе библиотек среды выполнения Microsoft Visual Studio. Если во время установки этих библиотек возникла проблема, вы получите сообщение.

Установщики библиотек среды выполнения создают журналы в папке %LOCALAPPDATA%\temp. Файл имеет значение dd_vcredist_arch_yyyymmddhhmmss.log, где arch имеет значение x86 или amd64 , а yyymmddhhmmss — это дата и время (на основе 24-часовых часов), когда был создан журнал. В журнале содержатся подробные сведения о проблеме, из-за которой блокируется установка.

Сначала лучше всего установить последнюю версию библиотек среды выполнения.

В таблице ниже приведены некоторые номера кодов и рекомендации по устранению проблем.

Код	Описание	Решение
0x17	Установщику библиотек требуется обновление Windows, которое не было установлено.	Проверьте сведения в последнем журнале установщика библиотек. Если после ссылки на Windows8.1-KB2999226-x64.msu следует строка Error 0x80240017: Failed to execute MSU package,, у вас нет необходимых компонентов для установки KB2999226. Следуйте инструкциям в разделе предварительных требований статьи Универсальная среда выполнения C в Windows . Для установки необходимых компонентов может потребоваться выполнить клиентский компонент Центра обновления Windows и перезагрузить его несколько раз. Запустите установщик Microsoft Dependency Agent повторно.

Проблемы после установки

В этом разделе рассматриваются проблемы после установки.

Сервер не отображается в службе схемы услуги

Если Dependency Agent успешно установлен, но компьютер не отображается в решении "Сопоставление служб", ответьте на следующие вопросы:

• Успешно ли установлен Dependency Agent? Проверьте, установлена ли и запущена служба.
  
  

  • Windows: найдите службу с именем Microsoft Dependency Agent.
  • Linux: найдите выполняющийся процесс microsoft-dependency-agent.

• Не используете ли вы Log Analytics уровня "Бесплатный"? План "Бесплатный" предусматривает использование пяти уникальных компьютеров решения "Сопоставление служб". Все последующие компьютеры не будут показываться в решении "Сопоставление служб", даже если предыдущие пять больше не отправляют данные.

• Отправляет ли ваш сервер данные журналов и производительности в журналы Azure Monitor? Перейдите к журналам Azure Monitor и выполните следующий запрос для компьютера:

  Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
  

Вы получили множество событий в результатах? Это последние данные? В этом случае агент Log Analytics работает правильно и обменивается данными с рабочей областью. В противном случае проверьте агент на компьютере. См. статью Устранение неполадок агента Log Analytics для Windows или Устранение неполадок агента Log Analytics для Linux.

Сервер отображается в решении "Схема услуги", но для него нет процессов

Компьютер отображается в разделе "Сопоставление служб", но на нем нет данных о процессе или подключении. Это поведение указывает, что Dependency Agent установлен и запущен, но драйвер ядра не загружен.

Проверьте C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file наличие Windows или /var/opt/microsoft/dependency-agent/log/service.log file Linux. В последних строках файла должно быть указано, почему не удалось загрузить ядро. Например, если вы обновили ядро, оно может не поддерживаться в Linux.

Предложения

У вас есть комментарии относительно схемы услуги или этой документации? На странице User Voice вы можете предложить функции или проголосовать за существующие предложения.