Samla in data med Azure Monitor Agent
Azure Monitor-agenten (AMA) används för att samla in data från virtuella Azure-datorer, VM-skalningsuppsättningar och Arc-aktiverade servrar. Regler för datainsamling (DCR) definierar de data som ska samlas in från agenten och var dessa data ska skickas. Den här artikeln beskriver hur du använder Azure Portal för att skapa en DCR för att samla in olika typer av data och installera agenten på alla datorer som kräver det.
Om du är nybörjare på Azure Monitor eller har grundläggande krav på datainsamling kan du kanske uppfylla alla dina krav med hjälp av Azure Portal och vägledningen i den här artikeln. Om du vill dra nytta av ytterligare DCR-funktioner, till exempel transformeringar, kan du behöva skapa en DCR med hjälp av andra metoder eller redigera den när du har skapat den i portalen. Du kan också använda olika metoder för att hantera domänkontrollanter och skapa associationer om du vill distribuera med HJÄLP av CLI, PowerShell, ARM-mallar eller Azure Policy.
Kommentar
Om du vill skicka data mellan klienter måste du först aktivera Azure Lighthouse.
Varning
Följande fall kan samla in dubblettdata som kan leda till ytterligare avgifter.
- Skapa flera domänkontrollanter med samma datakälla och associera dem med samma agent. Se till att du filtrerar data i domänkontrollanterna så att var och en samlar in unika data.
- Skapa en DCR som samlar in säkerhetsloggar och aktiverar Sentinel för samma agenter. I det här fallet kan du samla in samma händelser i tabellen Händelse och tabellen SecurityEvent.
- Använda både Azure Monitor-agenten och den äldre Log Analytics-agenten på samma dator. Begränsa duplicerade händelser till endast den tid då du övergår från en agent till en annan.
Datakällor
Tabellen nedan visar de typer av data som du för närvarande kan samla in med Azure Monitor-agenten och var du kan skicka dessa data. Länken för var och en är till en artikel som beskriver information om hur du konfigurerar datakällan. Följ den här artikeln för att skapa DCR och tilldela den till resurser och följ sedan den länkade artikeln för att konfigurera datakällan.
| Data source | beskrivning | Klientens operativsystem | Destinationer |
|---|---|---|---|
| Windows-händelser | Information som skickas till Windows händelseloggningssystem, inklusive sysmon-händelser. | Windows | Log Analytics-arbetsyta |
| Prestandaräknare | Numeriska värden som mäter prestanda för olika aspekter av operativsystem och arbetsbelastningar. | Windows Linux |
Azure Monitor-mått (förhandsversion) Log Analytics-arbetsyta |
| Syslog | Information som skickas till Linux-händelseloggningssystemet. | Linux | Log Analytics-arbetsyta |
| Textlogg | Information som skickas till en textloggfil på en lokal disk. | Windows Linux |
Log Analytics-arbetsyta |
| JSON-logg | Information som skickas till en JSON-loggfil på en lokal disk. | Windows Linux |
Log Analytics-arbetsyta |
| IIS-loggar | IIS-loggar (Internet Information Service) från den lokala disken för Windows-datorer | Windows | Log Analytics-arbetsyta |
Kommentar
Azure Monitor-agenten har också stöd för Azure-tjänsten SQL Best Practices Assessment som för närvarande är allmänt tillgänglig. Mer information finns i Konfigurera utvärdering av metodtips med Hjälp av Azure Monitor Agent.
Förutsättningar
- Behörigheter för att skapa datainsamlingsregelobjekt på arbetsytan.
- Se artikeln som beskriver varje datakälla för ytterligare krav.
Skapa datainsamlingsregel (DCR)
Azure Portal ger en förenklad upplevelse för att skapa en DCR för virtuella datorer och vm-skalningsuppsättningar. Med den här metoden behöver du inte förstå strukturen för en DCR om du inte vill implementera en avancerad funktion, till exempel en transformering. Du kan också använda andra skapandemetoder som beskrivs i Skapa datainsamlingsregler (DCR) i Azure Monitor.
På menyn Övervaka i Azure Portal väljer du Datainsamlingsregler>Skapa för att öppna sidan för att skapa DCR.
Sidan Grundläggande innehåller grundläggande information om DCR.
| Inställning | beskrivning |
|---|---|
| Regelnamn | Namn på DCR. Namnet bör vara något beskrivande som hjälper dig att identifiera regeln. |
| Prenumeration | Prenumeration för att lagra DCR. Prenumerationen behöver inte vara samma prenumeration som de virtuella datorerna. |
| Resursgrupp | Resursgrupp för lagring av DCR. Resursgruppen behöver inte vara samma resursgrupp som de virtuella datorerna. |
| Region | Region för att lagra DCR. Regionen måste vara samma region som alla Log Analytics-arbetsytor eller Azure Monitor-arbetsytor som används i ett mål för DCR. Om du har arbetsytor i olika regioner skapar du flera domänkontrollanter som är associerade med samma uppsättning datorer. |
| Plattformstyp | Anger vilken typ av datakällor som ska vara tillgängliga för DCR, antingen Windows eller Linux. Ingen tillåter båda. 1 |
| Slutpunkt för datainsamling | Anger den datainsamlingsslutpunkt (DCE) som används för att samla in data. DCE krävs endast om du använder privata Azure Monitor-länkar. Den här domänkontrollanten måste finnas i samma region som DCR. Mer information finns i Konfigurera datainsamlingsslutpunkter baserat på din distribution. |
1 Det här alternativet anger kind attributet i DCR. Det finns andra värden som kan anges för det här attributet, men de är inte tillgängliga i portalen.
Lägg till resurser
På sidan Resurser kan du lägga till virtuella datorer som ska associeras med DCR. Välj + Lägg till resurser för att välja resurser. Azure Monitor-agenten installeras automatiskt på alla resurser som inte redan har den och en datainsamlingsregelassociation (DCRA) skapas mellan datorn och DCR.
Viktigt!
Portalen aktiverar systemtilldelad hanterad identitet på målresurserna, tillsammans med befintliga användartilldelade identiteter, om det finns några. För befintliga program, såvida du inte anger den användartilldelade identiteten i begäran, använder datorn som standard systemtilldelad identitet i stället.
Om datorn du övervakar inte finns i samma region som målarbetsytan i Log Analytics och du samlar in datatyper som kräver en DCE väljer du Aktivera slutpunkter för datainsamling och väljer en slutpunkt i regionen för varje övervakad dator. Om den övervakade datorn finns i samma region som log analytics-målarbetsytan, eller om du inte behöver en DOMÄNKONTROLLant, väljer du inte en slutpunkt för datainsamling på fliken Resurser .
Lägg till datakällor
På sidan Samla in och leverera kan du lägga till och konfigurera datakällor för DCR och ett mål för var och en.
| Skärmelement | beskrivning |
|---|---|
| Datakälla | Välj en typ av datakälla och definiera relaterade fält baserat på vilken typ av datakälla du väljer. Mer information om hur du konfigurerar varje typ av datakälla finns i artiklarna i Datakällor . |
| Mål | Lägg till ett eller flera mål för varje datakälla. Du kan välja flera mål av samma eller olika typer. Du kan till exempel välja flera Log Analytics-arbetsytor, som även kallas multihoming. Se information för varje datatyp för de olika mål som de stöder. |
En DCR kan innehålla flera olika datakällor upp till en gräns på 10 datakällor i en enda DCR. Du kan kombinera olika datakällor i samma DCR, men du vill vanligtvis skapa olika DCR:er för olika scenarier för datainsamling. Se Metodtips för skapande och hantering av datainsamlingsregel i Azure Monitor för rekommendationer om hur du organiserar dina domänkontrollanter.
Kommentar
Det kan ta upp till 5 minuter innan data skickas till målen när du skapar en datainsamlingsregel med hjälp av datainsamlingsregelguiden.
Verifiera åtgärden
När du har skapat en domänkontrollant och associerat den med en dator kan du kontrollera att agenten är i drift och att data samlas in genom att köra frågor på Log Analytics-arbetsytan.
Verifiera agentåtgärd
Kontrollera att agenten fungerar och kommunicerar korrekt genom att köra följande fråga i Log Analytics för att kontrollera om det finns några poster i tabellen Pulsslag . En post ska skickas till den här tabellen från varje agent varje minut.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Kontrollera att poster tas emot
Det tar några minuter innan agenten installeras och börjar köra nya eller ändrade domänkontrollanter. Du kan sedan kontrollera att poster tas emot från var och en av dina datakällor genom att kontrollera tabellen som var och en skriver till på Log Analytics-arbetsytan. Följande fråga söker till exempel efter Windows-händelser i tabellen Händelse .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Felsökning
Gå igenom följande steg om du inte samlar in data som du förväntar dig.
- Kontrollera att agenten är installerad och körs på datorn.
- Se avsnittet Felsökning i artikeln för den datakälla som du har problem med.
- Se Övervaka och felsöka DCR-datainsamling i Azure Monitor för att aktivera övervakning för DCR.
- Visa mått för att avgöra om data samlas in och om några rader tas bort.
- Visa loggar för att identifiera fel i datainsamlingen.
Nästa steg
- Samla in textloggar med hjälp av Azure Monitor Agent.
- Läs mer om Azure Monitor Agent.
- Läs mer om regler för datainsamling.