Migreringsguide från Ändringsspårning och inventering med hjälp av Log Analytics till Ändringsspårning och inventering med hjälp av Azure Monitoring Agent version

Gäller för: ✔️ Virtuella Windows-datorer ✔️ Med virtuella Linux-datorer ✔️ Azure Arc-aktiverade servrar.

Den här artikeln innehåller vägledning för att gå från Ändringsspårning och inventering med hjälp av Log Analytics-versionen (LA) till Azure Monitoring Agent-versionen (AMA).

Med hjälp av Azure Portal kan du migrera från Ändringsspårning och inventering med LA-agenten till Ändringsspårning och inventering med AMA och det finns två sätt att utföra migreringen:

• Migrera en eller flera datorer från sidan Azure Virtual Machines eller Sidan Machines-Azure Arc.
• Migrera flera virtuella datorer i la-versionslösningen inom ett visst Automation-konto.

Dessutom kan du använda ett skript för att migrera alla virtuella datorer och Arc-aktiverade icke-Azure-datorer på Log Analytics-arbetsytenivå från LA-version till Ändringsspårning och Inventering med AMA. Detta är inte möjligt med hjälp av den Azure Portal upplevelse som nämns ovan.

Med skriptet kan du även migrera till samma arbetsyta. Om du migrerar till samma arbetsyta tar skriptet bort LA-agenten (MMA/OMS) från dina datorer. Detta kan leda till att de andra lösningarna slutar fungera. Därför rekommenderar vi att du planerar migreringen i enlighet med detta. Migrera till exempel först en annan lösning och fortsätt sedan med Ändringsspårning migrering.

Kommentar

Borttagningen fungerar inte på MMA-agenter som har installerats med hjälp av MSI-installationsprogrammet. Det fungerar bara på VM-/Arc VM-tillägg.

Kommentar

Övervakning av filintegritet (FIM) med hjälp av Microsoft Defender för Endpoint (MDE) är nu tillgängligt. Följ vägledningen för att migrera från:

• FIM med Ändringsspårning och inventering med hjälp av AMA.
• FIM med Ändringsspårning och inventering med MMA.

Registrering till ändringsspårning och inventering med Hjälp av Azure Monitoring Agent

Enskild virtuell Azure-dator – Azure Portal

Följ dessa steg om du vill registrera dig via Azure Portal:

1. Logga in på Azure Portal och välj den virtuella datorn

2. Under Åtgärder väljer du Ändringsspårning.

3. Välj Konfigurera med AMA och i agenten Konfigurera med Azure Monitor anger du Log Analytics-arbetsytan och väljer Migrera för att initiera distributionen.

   

4. Välj Växla till CT&I med AMA för att utvärdera inkommande händelser och loggar i LA-agenten och AMA-versionen.

   

Automation-konto – Azure Portal

1. Logga in på Azure Portal och välj ditt Automation-konto.

2. Under Konfigurationshantering väljer du Ändringsspårning och sedan Konfigurera med AMA.

   

3. På sidan Onboarding to Ändringsspårning med Azure Monitoring kan du visa ditt automationskonto och en lista över både Azure- och Azure Arc-datorer som för närvarande finns i Log Analytics och som är redo att registreras i Azure Monitoring Agent för Ändringsspårning och inventering.

   

4. På fliken Utvärdera virtuella datorer väljer du datorerna och väljer sedan Nästa.

5. På fliken Tilldela arbetsyta tilldelar du ett nytt Resurs-ID för Log Analytics-arbetsytan som inställningarna för AMA-baserad lösning ska lagras till och väljer Nästa.

   

6. På fliken Granska kan du granska datorerna som registreras och den nya arbetsytan.

7. Välj Migrera för att initiera distributionen.

8. Efter en lyckad migrering väljer du Växla till CT&I med AMA för att jämföra både LA- och AMA-upplevelsen.

   

Enskild virtuell Azure Arc-dator – Azure Portal

1. Logga in på Azure-portalen. Sök efter och välj Machines-Azure Arc.

   

2. Välj den specifika Arc-datorn med Ändringsspårning V1 aktiverat som måste migreras till Ändringsspårning V2.

3. Välj Migrera för att Ändringsspårning med AMA och i agenten Konfigurera med Azure Monitor anger du resurs-ID:t på Log Analytics-arbetsytan och väljer Migrera för att initiera distributionen.

   

4. Välj Hantera aktivitetslogganslutning för att utvärdera inkommande händelser och loggar i LA-agenten och AMA-versionen.

Log Analytics-arbetsyta – PowerShell-skript

Förutsättningar

• Se till att du har PowerShell installerat på den dator där du planerar att köra skriptet.
  • Skriptet kan inte köras på Azure Cloud Shell.
  • Den senaste versionen av PowerShell 7 eller senare rekommenderas. Följ stegen för att installera PowerShell i Windows, Linux och macOS.
• Hämta skrivåtkomst för den angivna arbetsytan och datorresurserna.
• Installera den senaste versionen av Az PowerShell-modulen. Modulerna Az.Accounts och Az.OperationalInsights krävs för att hämta konfigurationsinformation för arbetsytans agent.
• Se till att du har Azure-autentiseringsuppgifter som ska köras Connect-AzAccount och Select-AzContext som anger skriptets kontext.

Följ de här stegen för att migrera med hjälp av skript:

Vägledning för migrering

• Skriptet migrerar alla Azure-datorer och Arc-aktiverade datorer som inte är Azure-datorer som registrerats till LA Agent Ändringsspårning lösning för Log Analytics-arbetsytan för indata till Ändringsspårning med hjälp av AMA-agenten för Log Analytics-arbetsytan för utdata.

• Skriptet ger möjlighet att migrera med samma arbetsyta, dvs. Indata och Log Analytics-arbetsytor för utdata är desamma. Den tar dock bort LA-agenterna (MMA/OMS) från datorerna.

• Skriptet migrerar inställningarna för följande datatyper:

  • Windows-tjänster
  • Linux-filer
  • Windows-filer
  • Windows-register
  • Linux-daemoner

• Skriptet består av följande parametrar som kräver indata från dig.

  Parameter	Krävs	Beskrivning
  InputLogAnalyticsWorkspaceResourceId	Ja	Resurs-ID för arbetsytan som är associerad med Ändringsspårning och inventering med Log Analytics.
  OutputLogAnalyticsWorkspaceResourceId	Ja	Resurs-ID för arbetsytan som är associerad med Ändringsspårning och inventering med Azure Monitoring Agent.
  OutputDCRName	Ja	Anpassat namn på den nya DCR som ska skapas.
  OutputVerbose	Nej	Valfritt. Indata $true för utförliga loggar.
  AzureEnvironment	Ja	Mappsökväg där DCR-mallar skapas.

• I Information gör skriptet följande:

  1. Hämta en lista över alla Azure- och Arc Onboarded-datorer som inte är Azure-datorer registrerade på Log Analytics-arbetsytan för indata för Ändringsspårning lösning med hjälp av MMA-agenten.
  2. Skapa ARM-mallen (Data Collection Rule) genom att hämta filer, tjänster, spårnings- och registerinställningar som konfigurerats i den äldre lösningen och översätta dem till motsvarande inställningar för den senaste lösningen med hjälp av AMA-agenten och Ändringsspårning tillägg för arbetsytan Utdatalogganalys.
  3. Distribuera arm-mallen Ändringsspårning lösning till Log Analytics-arbetsytan utdata. Detta görs bara om migreringen till samma arbetsyta inte görs. Utdataarbetsytan kräver den äldre lösningen för att skapa log analytics-tabellerna för Ändringsspårning som ConfigurationChange & ConfigurationData. Distributionsnamnet kommer att vara DeployCTSolution_CTMig_{GUID} och det kommer att finnas i samma resursgrupp som Log Analytics-arbetsytan för utdata.
  4. Distribuera DCR ARM-mallen som skapades i steg 2. Distributionsnamnet kommer att vara OutputDCRName_CTMig_{GUID} och det kommer att finnas i samma resursgrupp som Log Analytics-arbetsytan för utdata. DCR skapas på samma plats som Log Analytics-arbetsytan för utdata.
  5. Tar bort MMA-agenten från listan över datorer som fylls i i steg 1. Detta görs endast om migreringen till samma arbetsyta utförs. Datorer som har MMA-agenten installerad via MSI får inte MMA-agenten borttagen. Den tas bara bort om MMA-agenten installerades som ett tillägg.
  6. Tilldela DCR till datorer och installera AMA-agent- och CT-tillägg. Distributionsnamnet blir MachineName_CTMig och kommer att finnas i samma resursgrupp som datorn.
     • Tilldela DCR som distribuerats i steg 4 till alla datorer som fylls i i steg 1.
     • Installera AMA-agenten på alla datorer som fylls i i steg 1.
     • Installera CT-agenten på alla datorer som fylls i i steg 1.

Jämföra data mellan Log Analytics-agenten och Azure Monitoring Agent-versionen

När du har slutfört registreringen till Ändringsspårning med AMA-version väljer du Växla till CT med AMA på landningssidan för att växla mellan de två versionerna och jämföra följande händelser.

Till exempel om registreringen till AMA-versionen av tjänsten sker efter den 3 november kl. 06:00. Du kan jämföra data genom att behålla konsekventa filter mellan parametrar som Ändringstyper, Tidsintervall. Du kan jämföra inkommande loggar i avsnittet Ändringar och i det grafiska avsnittet för att vara säker på datakonsekvens.

Kommentar

Du måste jämföra för inkommande data och loggar när registreringen till AMA-versionen är klar.

Hämta Resurs-ID för Log Analytics-arbetsyta

Följ dessa steg för att hämta resurs-ID:t för Log Analytics-arbetsytan:

1. Logga in på Azure-portalen

2. I Log Analytics-arbetsytan väljer du den specifika arbetsytan och väljer Json-vy.

3. Kopiera resurs-ID :t.

   

Begränsningar

Med Azure-portalen

För enkel virtuell dator och Automation-konto

1. För ändringsbaserade inställningar för filinnehåll måste du migrera manuellt från LA-versionen till AMA-versionen av Ändringsspårning och inventering. Följ anvisningarna i Spåra filinnehåll.
2. Om migrering till olika arbetsytor utförs måste aviseringar som konfigurerats med Log Analytics-arbetsytan konfigureras manuellt.

Använda PowerShell-skript

1. För ändringsbaserade inställningar för filinnehåll måste du migrera manuellt från LA-versionen till AMA-versionen av Ändringsspårning och inventering. Följ anvisningarna i Spåra filinnehåll.
2. Om migrering till olika arbetsytor utförs måste aviseringar som konfigurerats med Log Analytics-arbetsytan konfigureras manuellt.

Inaktivera ändringsspårning med Log Analytics-agenten

När du har aktiverat hanteringen av dina virtuella datorer med hjälp av Ändringsspårning och inventering med hjälp av Azure Monitoring Agent kan du välja att sluta använda Ändringsspårning och inventering med LA-agentversionen och ta bort konfigurationen från kontot.

Inaktivera-metoden innehåller följande:

• Tar bort ändringsspårning med LA-agent för valda virtuella datorer i Log Analytics-arbetsytan.
• Tar bort ändringsspårning med LA-agenten från hela Log Analytics-arbetsytan.

Nästa steg

• Om du vill aktivera från Azure Portal läser du Aktivera Ändringsspårning och inventering från Azure Portal.