Migreringsguide från Ändringsspårning och inventering med hjälp av Log Analytics till Ändringsspårning och inventering med hjälp av Azure Monitoring Agent version

Gäller för: ✔️ Virtuella Windows-datorer ✔️ Med virtuella Linux-datorer ✔️ Azure Arc-aktiverade servrar.

Den här artikeln innehåller vägledning för att gå från Ändringsspårning och inventering med hjälp av Log Analytics-versionen (LA) till Azure Monitoring Agent-versionen (AMA).

Med hjälp av Azure Portal kan du migrera från Ändringsspårning och inventering med LA-agenten till Ändringsspårning och inventering med AMA och det finns två sätt att utföra migreringen:

• Migrera en eller flera virtuella datorer från sidan Virtuella datorer.
• Migrera multiplar av virtuella datorer på la-versionslösningen inom ett visst Automation-konto.

Kommentar

Övervakning av filintegritet (FIM) med hjälp av Microsoft Defender för Endpoint (MDE) är nu tillgängligt. Följ vägledningen för att migrera från:

• FIM med Ändringsspårning och inventering med hjälp av AMA.
• FIM med Ändringsspårning och inventering med MMA.

Registrering till ändringsspårning och inventering med Hjälp av Azure Monitoring Agent

Enskild virtuell Azure-dator – Azure Portal

Följ dessa steg om du vill registrera dig via Azure Portal:

1. Logga in på Azure Portal och välj den virtuella datorn

2. Under Åtgärder väljer du Ändringsspårning.

3. Välj Konfigurera med AMA och i agenten Konfigurera med Azure Monitor anger du Log Analytics-arbetsytan och väljer Migrera för att initiera distributionen.

   

4. Välj Växla till CT&I med AMA för att utvärdera inkommande händelser och loggar i LA-agenten och AMA-versionen.

   

Automation-konto – Azure Portal

1. Logga in på Azure Portal och välj ditt Automation-konto.

2. Under Konfigurationshantering väljer du Ändringsspårning och sedan Konfigurera med AMA.

   

3. På sidan Onboarding to Ändringsspårning med Azure Monitoring kan du visa ditt automationskonto och en lista över både Azure- och Azure Arc-datorer som för närvarande finns i Log Analytics och som är redo att registreras i Azure Monitoring Agent för Ändringsspårning och inventering.

   

4. På fliken Utvärdera virtuella datorer väljer du datorerna och väljer sedan Nästa.

5. På fliken Tilldela arbetsyta tilldelar du ett nytt Resurs-ID för Log Analytics-arbetsytan som inställningarna för AMA-baserad lösning ska lagras till och väljer Nästa.

   

6. På fliken Granska kan du granska datorerna som registreras och den nya arbetsytan.

7. Välj Migrera för att initiera distributionen.

8. Efter en lyckad migrering väljer du Växla till CT&I med AMA för att jämföra både LA- och AMA-upplevelsen.

   

Enskild virtuell Azure Arc-dator – Azure Portal

1. Logga in på Azure-portalen. Sök efter och välj Machines-Azure Arc.

   

2. Välj den specifika Arc-datorn med Ändringsspårning V1 aktiverat som måste migreras till Ändringsspårning V2.

3. Välj Migrera för att Ändringsspårning med AMA och i agenten Konfigurera med Azure Monitor anger du resurs-ID:t på Log Analytics-arbetsytan och väljer Migrera för att initiera distributionen.

   

4. Välj Hantera aktivitetslogganslutning för att utvärdera inkommande händelser och loggar i LA-agenten och AMA-versionen.

Arc-aktiverade virtuella datorer – PowerShell-skript

Följ stegen för att registrera Arc-aktiverade virtuella datorer:

Förutsättningar

• Se till att du har PowerShell installerat. Den senaste versionen av PowerShell 7 eller senare rekommenderas. Följ stegen för att installera PowerShell i Windows, Linux och macOS.
• Hämta läsåtkomst för de angivna arbetsyteresurserna.
• Installera den senaste versionen av Az PowerShell-modulen. Modulerna Az.Accounts och Az.OperationalInsights krävs för att hämta konfigurationsinformation för arbetsytans agent.
• Se till att du har Azure-autentiseringsuppgifter som ska köras Connect-AzAccount och Select-AzContext som anger skriptets kontext. Följ de här stegen för att migrera med hjälp av skript.

Vägledning för migrering

1. Installera skriptet och kör det för att utföra migreringar. Skriptet gör följande:

   1. Det säkerställer att det nya arbetsytans resurs-ID skiljer sig från det som är associerat med Ändringsspårning och Inventory med hjälp av LA-versionen.

   2. Den migrerar inställningarna för följande datatyper:

      • Windows-tjänster
      • Linux-filer
      • Windows-filer
      • Windows-registret
      • Linux-daemoner

   3. Skriptet består av följande parametrar som kräver indata från dig.

   Parameter	Krävs	Beskrivning
   InputWorkspaceResourceId	Ja	Resurs-ID för arbetsytan som är associerad med Ändringsspårning och inventering med Log Analytics.
   OutputWorkspaceResourceId	Ja	Resurs-ID för arbetsytan som är associerad med Ändringsspårning och inventering med Azure Monitoring Agent.
   OutputDCRName	Ja	Anpassat namn på den nya DCR som skapats.
   OutputDCRLocation	Ja	Azure-platsen för utdataarbetsytans ID.
   OutputDCRTemplateFolderPath	Ja	Mappsökväg där DCR-mallar skapas.

2. En DCR-mall genereras när du kör skriptet ovan och mallen är tillgänglig i OutputDCRTemplateFolderPath. Du måste associera den nya domänkontrollanten för att överföra inställningarna till Ändringsspårning och Inventering med hjälp av AMA.

   1. Logga in på Azure Portal och gå till Övervaka och under Inställningar väljer du Regler för datainsamling.
   2. Välj den datainsamlingsregel som du har skapat i steg 1 på listsidan.
   3. På sidan datainsamlingsregel går du till Konfigurationer, väljer Resurser och sedan Lägg till.
   4. I Välj ett omfång, från Resurstyper, väljer du Datorer-Azure Arc som är ansluten till prenumerationen och väljer sedan Använd för att associera ctdcr som skapades i steg 1 till den Arc-aktiverade datorn och installerar även Azure Monitoring Agent-tillägget. Mer information finns i Aktivera Ändringsspårning och inventering – för Arc-aktiverade virtuella datorer – med hjälp av portalen/CLI.

   Installera Ändringsspårning-tillägget enligt operativsystemtypen för den Arc-aktiverade virtuella datorn.

   Linux

   az connectedmachine extension create  --name ChangeTracking-Linux  --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20  --type ChangeTracking-Linux  --machine-name XYZ --resource-group XYZ-RG  --location X --enable-auto-upgrade
   

   Windows

   az connectedmachine extension create  --name ChangeTracking-Windows  --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20  --type ChangeTracking-Windows  --machine-name XYZ --resource-group XYZ-RG  --location X --enable-auto-upgrade
   

   Om tabellschemat för CT-loggar inte finns misslyckas skriptet som nämns i steg 1. Om du vill felsöka kör du följande skript –

   
   $psWorkspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $resourceGroup -Name $laws
     # Enabling CT solution on LA ws
     New-AzMonitorLogAnalyticsSolution -Type ChangeTracking -ResourceGroupName $resourceGroup -Location $psWorkspace.Location -WorkspaceResourceId $psWorkspace.ResourceId
   

Jämföra data mellan Log Analytics-agenten och Azure Monitoring Agent-versionen

När du har slutfört registreringen till Ändringsspårning med AMA-version väljer du Växla till CT med AMA på landningssidan för att växla mellan de två versionerna och jämföra följande händelser.

Till exempel om registreringen till AMA-versionen av tjänsten sker efter den 3 november kl. 06:00. Du kan jämföra data genom att behålla konsekventa filter mellan parametrar som Ändringstyper, Tidsintervall. Du kan jämföra inkommande loggar i avsnittet Ändringar och i det grafiska avsnittet för att vara säker på datakonsekvens.

Kommentar

Du måste jämföra för inkommande data och loggar när registreringen till AMA-versionen är klar.

Hämta Resurs-ID för Log Analytics-arbetsyta

Följ dessa steg för att hämta resurs-ID:t för Log Analytics-arbetsytan:

1. Logga in på Azure-portalen

2. I Log Analytics-arbetsytan väljer du den specifika arbetsytan och väljer Json-vy.

3. Kopiera resurs-ID :t.

   

Begränsningar

Med Azure-portalen

För enkel virtuell dator och Automation-konto

1. 100 virtuella datorer per Automation-konto kan migreras i en instans.
2. Alla virtuella datorer med > 100 fil-/registerinställningar för migrering via portalen stöds inte nu.
3. Arc VM-migrering stöds inte med portalen, vi rekommenderar att du använder PowerShell-skriptmigrering.
4. För ändringsbaserade inställningar för filinnehåll måste du migrera manuellt från LA-versionen till AMA-versionen av Ändringsspårning och inventering. Följ anvisningarna i Spåra filinnehåll.
5. Aviseringar som du konfigurerar med Log Analytics-arbetsytan måste konfigureras manuellt.

Använda PowerShell-skript

1. För inställningar som baseras på filinnehållsändringar måste du migrera manuellt från LA-versionen till AMA-versionen av Ändringsspårning & Inventory. Följ anvisningarna i Spåra filinnehåll.
2. Alla virtuella datorer med > 100 fil-/registerinställningar för migrering via Azure Portal stöds inte.
3. Aviseringar som du konfigurerar med Log Analytics-arbetsytan måste konfigureras manuellt.

Inaktivera ändringsspårning med Log Analytics-agenten

När du har aktiverat hanteringen av dina virtuella datorer med hjälp av Ändringsspårning och inventering med hjälp av Azure Monitoring Agent kan du välja att sluta använda Ändringsspårning och inventering med LA-agentversionen och ta bort konfigurationen från kontot.

Inaktivera-metoden innehåller följande:

• Tar bort ändringsspårning med LA-agent för valda virtuella datorer i Log Analytics-arbetsytan.
• Tar bort ändringsspårning med LA-agenten från hela Log Analytics-arbetsytan.

Nästa steg

• Om du vill aktivera från Azure Portal läser du Aktivera Ändringsspårning och inventering från Azure Portal.