Samla in data med hjälp av Azure Monitor-agenten
Azure Monitor-agenten samlar in data från virtuella Azure-datorer, vm-skalningsuppsättningar och Azure Arc-aktiverade servrar. Regler för datainsamling (DCR) definierar de data som ska samlas in från agenten och var data ska skickas. Den här artikeln beskriver hur du använder Azure Portal för att skapa en DCR för att samla in olika typer av data och installera agenten på alla datorer som kräver det.
Om du är nybörjare på Azure Monitor eller har grundläggande krav på datainsamling kanske du kan uppfylla alla dina krav med hjälp av Azure Portal och vägledningen i den här artikeln. Om du vill dra nytta av fler DCR-funktioner, till exempel transformeringar, kan du behöva skapa en DCR med hjälp av andra metoder eller redigera en DCR när du har skapat den i portalen. Du kan använda olika metoder för att hantera domänkontrollanter och skapa associationer om du vill distribuera med hjälp av Azure CLI, Azure PowerShell, en Azure Resource Manager-mall (ARM-mall) eller Azure Policy.
Kommentar
Om du vill skicka data mellan klienter måste du först aktivera Azure Lighthouse.
Varning
Följande scenarier kan samla in duplicerade data, vilket kan öka faktureringsavgifterna:
- Skapa flera domänkontrollanter som har samma datakälla och associera dem med samma agent. Se till att du filtrerar data i DCR så att varje DCR samlar in unika data.
- Skapa en DCR som samlar in säkerhetsloggar och aktiverar Microsoft Sentinel för samma agenter. I det här fallet kan du samla in samma händelser i tabellen Händelse och i tabellen SecurityEvent .
- Använda både Azure Monitor-agenten och den äldre Log Analytics-agenten på samma dator. Begränsa duplicerade händelser till endast den tid då du övergår från en agent till en annan.
Datakällor
I följande tabell visas de typer av data som du för närvarande kan samla in med hjälp av Azure Monitor-agenten och var du kan skicka dessa data. Länken för varje datakälla är till för en artikel som beskriver information om hur du konfigurerar datakällan. Slutför stegen i den här artikeln för att skapa domänkontrollanten och tilldela den till resurser och se sedan relevant länkad artikel för att lära dig hur du konfigurerar datakällan.
| Data source | beskrivning | Klientens operativsystem | Destinationer |
|---|---|---|---|
| Windows-händelser | Information som skickas till Windows-händelseloggningssystemet, inklusive sysmon-händelser | Windows | Log Analytics-arbetsyta |
| Prestandaräknare | Numeriska värden som mäter prestanda för olika aspekter av operativsystemet och arbetsbelastningar | Windows Linux |
Azure Monitor-mått (förhandsversion) Log Analytics-arbetsyta |
| Syslog | Information som skickas till Linux-händelseloggningssystemet | Linux | Log Analytics-arbetsyta |
| Textlogg | Information som skickas till en textloggfil på en lokal disk | Windows Linux |
Log Analytics-arbetsyta |
| JSON-logg | Information som skickas till en JSON-loggfil på en lokal disk | Windows Linux |
Log Analytics-arbetsyta |
| IIS-loggar | IIS-loggar (Internet Information Service) från den lokala disken för Windows-datorer | Windows | Log Analytics-arbetsyta |
Kommentar
Azure Monitor-agenten har också stöd för Azure-tjänsten SQL Best Practices Assessment, som för närvarande är allmänt tillgänglig. Mer information finns i Konfigurera utvärdering av metodtips med hjälp av Azure Monitor-agenten.
Förutsättningar
- Behörigheter för att skapa DCR-objekt på arbetsytan.
- För alla förutsättningar, se den länkade artikeln i föregående tabell som beskriver relevant datakälla.
Skapa en datainsamlingsregel
Azure Portal ger en förenklad upplevelse för att skapa en DCR för virtuella datorer och skalningsuppsättningar. Med den här metoden behöver du inte förstå strukturen för en DCR om du inte vill implementera en avancerad funktion, till exempel en transformering. Du kan också använda andra skapandemetoder som beskrivs i Skapa domänkontrollanter i Azure Monitor.
I Azure Portal går du till menyn Övervaka och väljer Datainsamlingsregler>Skapa för att öppna fönstret SKAPA DCR.
Fliken Grundläggande innehåller grundläggande information om DCR.
| Inställning | beskrivning |
|---|---|
| Regelnamn | Ett namn på DCR. Namnet bör vara något beskrivande som hjälper dig att identifiera regeln. |
| Abonnemang | Prenumerationen för att lagra DCR. Prenumerationen behöver inte vara samma prenumeration som de virtuella datorerna. |
| Resurs | En resursgrupp som ska lagra DCR. Resursgruppen behöver inte vara samma resursgrupp som de virtuella datorerna. |
| Region | Den Azure-region som DCR ska lagras i. Regionen måste vara samma region som alla Log Analytics-arbetsytor eller Azure Monitor-arbetsytor som används i ett mål för DCR. Om du har arbetsytor i olika regioner skapar du flera domänkontrollanter som ska associeras med samma uppsättning datorer. |
| Plattformstyp | Anger vilken typ av datakällor som är tillgängliga för DCR, antingen Windows eller Linux. Ingen tillåter båda. 1 |
| Slutpunkt för datainsamling | Anger den datainsamlingsslutpunkt (DCE) som används för att samla in data. DCE krävs endast om du använder privata Azure Monitor-länkar. Den här domänkontrollanten måste finnas i samma region som DCR. Mer information finns i Konfigurera slutpunkter för datainsamling baserat på din distribution. |
1 Det här alternativet anger kind attributet i DCR. Du kan ange andra värden för det här attributet, men värdena är inte tillgängliga att välja i portalen.
Lägg till resurser
I fönstret Resurser kan du lägga till virtuella datorer som ska associeras med DCR. Om du vill välja resurser att lägga till väljer du Lägg till resurser. Azure Monitor-agenten installeras automatiskt på alla resurser som inte redan har agenten installerad. En datainsamlingsregelassociation (DCRA) skapas mellan datorn och DCR.
Viktigt!
När resurser läggs till i en DCR är standardalternativet i Azure Portal att aktivera en systemtilldelad hanterad identitet för resurserna. Om en användartilldelad hanterad identitet redan har angetts för befintliga program, om du inte anger den användartilldelade identiteten när du lägger till resursen i en DCR med hjälp av portalen, använder datorn som standard en systemtilldelad identitet som tillämpas av DCR.
Om den dator som du övervakar inte finns i samma region som din log analytics-målarbetsyta och du samlar in datatyper som kräver en DCE väljer du Aktivera slutpunkter för datainsamling och väljer en slutpunkt i regionen för varje övervakad dator. Om den övervakade datorn finns i samma region som log analytics-målarbetsytan, eller om du inte behöver en DOMÄNKONTROLLant, väljer du inte en slutpunkt för datainsamling på fliken Resurser .
Lägg till datakällor
I fönstret Samla in och leverera kan du lägga till och konfigurera datakällor för DCR och lägga till ett mål för varje källa.
| Inställning | beskrivning |
|---|---|
| Datakälla | Välj en typ av datakälla och definiera relaterade fält baserat på vilken typ av datakälla du väljer. Mer information om hur du konfigurerar varje typ av datakälla finns i relaterade artiklar i Datakällor. |
| Mål | Lägg till ett eller flera mål för varje datakälla. Du kan välja flera mål av samma typ eller välja olika typer. Du kan till exempel välja flera Log Analytics-arbetsytor, som kallas multihoming. Se information för varje datatyp för de olika mål som de stöder. |
En DCR kan innehålla flera olika datakällor. Högst 10 datakällor kan finnas i en enda DCR. Du kan kombinera olika datakällor i samma DCR, men du skapar vanligtvis olika domänkontrollanter för olika scenarier för datainsamling. Rekommendationer om hur du organiserar din DCR finns i Metodtips för skapande och hantering av datainsamlingsregel i Azure Monitor.
Kommentar
Det kan ta upp till 5 minuter innan data skickas till målen när du skapar en DCR med hjälp av guiden för datainsamlingsregel.
Verifiera åtgärden
När du har skapat en domänkontrollant och associerat den med en dator kan du kontrollera att agenten är i drift och att data samlas in genom att köra frågor på Log Analytics-arbetsytan.
Verifiera agentåtgärd
Kontrollera att agenten fungerar och kommunicerar korrekt genom att köra följande fråga i Log Analytics. Frågan kontrollerar om det finns några poster i tabellen Pulsslag . En post ska skickas till den här tabellen från varje agent varje minut.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Kontrollera att poster tas emot
Det tar några minuter innan agenten installeras och börjar köra nya eller ändrade domänkontrollanter. Du kan sedan kontrollera att poster tas emot från var och en av dina datakällor genom att kontrollera tabellen som varje källa skriver till i Log Analytics-arbetsytan.
Följande fråga söker till exempel efter Windows-händelser i händelsetabellen:
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Felsöka
Om data som du förväntar dig inte samlas in utför du följande steg:
Kontrollera att agenten är installerad och körs på datorn.
Se felsökningsavsnittet i artikeln för den datakälla som du har problem med.
Aktivera övervakning för DCR och sedan:
- Visa mått för att avgöra om data samlas in och om några rader tas bort.
- Visa loggar för att identifiera fel i datainsamlingen.
Relaterat innehåll
- Samla in textloggar med hjälp av Azure Monitor-agenten.
- Läs mer om Azure Monitor-agenten.
- Läs mer om regler för datainsamling.