Dela via

Använda lösningen Tjänstkarta i Azure

  • Artikel

Tjänstkarta identifierar automatiskt programkomponenter i Windows- och Linux-system och mappar kommunikationen mellan olika tjänster. Med Tjänstkarta kan du visa dina servrar som sammankopplade system som levererar kritiska tjänster. Tjänstkartan visar anslutningar mellan servrar, processer, inkommande och utgående anslutningsfördröjning och portar i alla TCP-anslutna arkitekturer. Ingen annan konfiguration krävs än installationen av en agent.

Viktigt

Tjänstkartan dras tillbaka den 30 september 2025. Om du vill övervaka anslutningar mellan servrar, processer, inkommande och utgående anslutningsfördröjning och portar i alla TCP-anslutna arkitekturer ska du migrera till Azure Monitor VM-insikter före det här datumet.

Den här artikeln beskriver hur du distribuerar och använder Tjänstkarta. Förutsättningarna för lösningen är:

  • En Log Analytics-arbetsyta i en region som stöds.
  • Log Analytics-agenten som är installerad på Windows-datorn eller Linux-servern som är ansluten till samma arbetsyta som du aktiverade lösningen med.
  • Beroendeagenten som är installerad på Windows-datorn eller Linux-servern.

Anteckning

Om du redan har distribuerat Tjänstkarta kan du nu även visa dina kartor i VM-insikter, som innehåller fler funktioner för att övervaka hälsotillstånd och prestanda för virtuella datorer. Mer information finns i Översikt över VM-insikter. Om du vill veta mer om skillnaderna mellan tjänstkartan och mapfunktionen vm insights kan du läsa den här vanliga frågor och svar.

Logga in på Azure

Logga in på Azure-portalen.

Aktivera tjänstkarta

  1. Aktivera lösningen Tjänstkarta från Azure Marketplace. Eller använd den process som beskrivs i Lägg till övervakningslösningar från lösningsgalleriet.

  2. Installera beroendeagenten i Windows eller installera beroendeagenten i Linux på varje dator där du vill hämta data. Beroendeagenten kan övervaka anslutningar till närmaste grannar, så du kanske inte behöver någon agent på alla datorer.

  3. Åtkomst till tjänstkartan i Azure Portal från Log Analytics-arbetsytan. Välj alternativet Äldre lösningar i det vänstra fönstret.

    Skärmbild som visar hur du väljer alternativet Lösningar på arbetsytan. .

  4. I listan över lösningar väljer du ServiceMap(workspaceName). På översiktssidan för tjänstkartan väljer du sammanfattningspanelen För tjänstkarta .

    Skärmbild som visar sammanfattningspanelen för tjänstkarta. .

Användningsfall: Gör dina IT-processer beroende medvetna

Identifiering

Service Map skapar automatiskt en gemensam referenskarta över beroenden mellan dina servrar, processer och tjänster från tredje part. Den identifierar och mappar alla TCP-beroenden. Den identifierar överraskningsanslutningar, fjärrsystem från tredje part som du är beroende av och beroenden till traditionella mörka områden i nätverket, till exempel Active Directory. Tjänstkartan identifierar misslyckade nätverksanslutningar som dina hanterade system försöker göra. Den här informationen hjälper dig att identifiera potentiella felkonfigurationer, avbrott i tjänsten och nätverksproblem.

Incidenthantering

Tjänstkarta hjälper till att eliminera gissningen av problemisolering genom att visa hur system är anslutna och påverkar varandra. Tillsammans med att identifiera misslyckade anslutningar hjälper det till att identifiera felkonfigurerade lastbalanserare, överraskande eller överdriven belastning på kritiska tjänster och falska klienter, till exempel utvecklardatorer som pratar med produktionssystem. Genom att använda integrerade arbetsflöden med Ändringsspårning kan du också se om en ändringshändelse på en serverdelsdator eller tjänst förklarar rotorsaken till en incident.

Migreringsgaranti

Med hjälp av Tjänstkarta kan du effektivt planera, påskynda och validera Azure-migreringar för att säkerställa att inget lämnas kvar och att överraskningsfel inte inträffar. Du kan:

  • Upptäck alla beroende system som behöver migreras tillsammans.
  • Utvärdera systemkonfiguration och kapacitet.
  • Identifiera om ett system som körs fortfarande betjänar användare eller är en kandidat för avaktivering i stället för migrering.

När flytten är klar kan du kontrollera klientbelastningen och identiteten för att kontrollera att testsystem och kunder ansluter. Om planeringen av undernätet och brandväggsdefinitionerna har problem pekar misslyckade anslutningar i kartor i Tjänstkarta dig till de system som behöver anslutning.

Verksamhetskontinuitet

Om du använder Azure Site Recovery och behöver hjälp med att definiera återställningssekvensen för din programmiljö kan tjänstkartan automatiskt visa hur system förlitar sig på varandra. Den här informationen hjälper till att säkerställa att återställningsplanen är tillförlitlig.

Genom att välja en kritisk server eller grupp och visa dess klienter kan du identifiera vilka klientdelssystem som ska återställas när servern har återställts och är tillgänglig. Genom att titta på kritiska servrars serverdelsberoenden kan du däremot identifiera vilka system som ska återställas innan fokussystemen återställs.

Uppdateringshantering

Tjänstkartan förbättrar din användning av systemuppdateringsutvärderingen genom att visa vilka andra team och servrar som är beroende av din tjänst. På så sätt kan du meddela dem i förväg innan du tar bort dina system för korrigering. Tjänstkartan förbättrar även korrigeringshanteringen genom att visa om dina tjänster är tillgängliga och korrekt anslutna när de har korrigerats och startats om.

Översikt över mappning

Service Map-agenter samlar in information om alla TCP-anslutna processer på servern där de är installerade. De samlar också in information om inkommande och utgående anslutningar för varje process.

I listan i den vänstra rutan kan du välja datorer eller grupper som har Tjänstkarta-agenter för att visualisera sina beroenden över ett angivet tidsintervall. Maskinberoende mappar fokuserar på en specifik dator. De visar alla datorer som är direkta TCP-klienter eller servrar på den datorn. Maskingruppskartor visar uppsättningar servrar och deras beroenden.

Skärmbild som visar en översikt över tjänstkartan.

Datorer kan expanderas på kartan för att visa processgrupper och processer som körs med aktiva nätverksanslutningar under det valda tidsintervallet. När en fjärrdator med en Tjänstkarta-agent expanderas för att visa processinformation visas endast de processer som kommunicerar med fokusdatorn.

Antalet agentlösa klientdelsdatorer som ansluter till fokusdatorn anges på vänster sida av de processer som de ansluter till. Om fokusdatorn upprättar en anslutning till en serverdelsdator som inte har någon agent ingår serverdelsservern i en serverportgrupp. Den här gruppen innehåller även andra anslutningar till samma portnummer.

Som standard visar kartor i Tjänstkarta de senaste 30 minuternas beroendeinformation. Du kan använda tidskontrollerna längst upp till vänster för att fråga efter historiska tidsintervall på upp till en timme för att se hur beroenden såg ut tidigare. Du kanske till exempel vill se hur de såg ut under en incident eller innan en ändring inträffade. Service Map-data lagras i 30 dagar på betalda arbetsytor och i 7 dagar på kostnadsfria arbetsytor.

Statusmärken och kantfärg

Längst ned på varje server på kartan kan en lista med statusmärken som förmedlar statusinformation om servern visas. Märkena anger att det finns relevant information för servern från en av lösningsintegreringarna.

Om du väljer ett märke kommer du direkt till informationen om statusen i den högra rutan. De statusmärken som är tillgängliga för närvarande är aviseringar, servicedesk, ändringar, säkerhet och Uppdateringar.

Beroende på statusmärkenas allvarlighetsgrad kan kantlinjerna för datornoden färgas röda (kritiska), gula (varning) eller blå (informationsbaserade). Färgen representerar den allvarligaste statusen för någon av statusikonerna. En grå kantlinje anger en nod som inte har några statusindikatorer.

Skärmbild som visar statusikoner.

Processgrupper

Processgrupper kombinerar processer som är associerade med en gemensam produkt eller tjänst till en processgrupp. När en datornod expanderas visas fristående processer tillsammans med processgrupper. Om en inkommande eller utgående anslutning till en process i en processgrupp har misslyckats visas anslutningen som misslyckad för hela processgruppen.

Datorgrupper

Med datorgrupper kan du se kartor som är centrerade kring en uppsättning servrar, inte bara en. På så sätt kan du se alla medlemmar i ett flernivåprogram eller serverkluster på en karta.

Användare väljer vilka servrar som hör till en grupp tillsammans och väljer ett namn för gruppen. Du kan sedan välja att visa gruppen med alla dess processer och anslutningar. Du kan också visa den med bara de processer och anslutningar som är direkt relaterade till de andra medlemmarna i gruppen.

Skärmbild som visar datorgrupper.

Skapa en datorgrupp

Så här skapar du en grupp:

  1. Välj den dator eller de datorer som du vill använda i listan Datorer och välj Lägg till i grupp.

    Skärmbild som visar hur du skapar en grupp.

  2. Välj Skapa ny och ge gruppen ett namn.

    Skärmbild som visar namngivning av en grupp.

Anteckning

Datorgrupper är begränsade till 10 servrar.

Visa en grupp

När du har skapat några grupper kan du visa dem.

  1. Välj fliken Grupper.

    Skärmbild som visar fliken Grupper.

  2. Välj gruppnamnet för att visa kartan för den datorgruppen.

    Skärmbild som visar en mappning av en datorgrupp.

    De datorer som tillhör gruppen beskrivs i vitt på kartan.

  3. Expandera gruppen för att visa en lista över de datorer som utgör datorgruppen.

    Skärmbild som visar datorgruppsdatorer.

Filtrera efter processer

Du kan växla kartvyn för att visa alla processer och anslutningar i gruppen eller bara de som är direkt relaterade till datorgruppen. Standardvyn visar alla processer.

  1. Välj filterikonen ovanför kartan för att ändra vyn.

    Skärmbild som visar filtrering av en grupp.

  2. Välj Alla processer för att se kartan med alla processer och anslutningar på var och en av datorerna i gruppen.

    Skärmbild som visar alternativet Alla processer i datorgruppen.

  3. Om du vill skapa en förenklad vy ändrar du vyn så att endast gruppanslutna processer visas. Kartan begränsas sedan så att endast dessa processer och anslutningar som är direkt anslutna till andra datorer i gruppen visas.

    Skärmbild som visar de filtrerade processerna för datorgruppen.

Lägga till datorer i en grupp

Om du vill lägga till datorer i en befintlig grupp markerar du kryssrutorna bredvid de datorer som du vill använda och väljer Lägg till i grupp. Välj sedan den grupp som du vill lägga till datorerna i.

Ta bort datorer från en grupp

I listan Grupper expanderar du gruppnamnet för att visa en lista över datorerna i datorgruppen. Välj ellipsmenyn bredvid den dator som du vill ta bort och välj Ta bort.

Skärmbild som visar hur du tar bort en dator från en grupp.

Ta bort eller byt namn på en grupp

Välj ellipsmenyn bredvid gruppnamnet i listan Grupper .

Skärmbild som visar datorgruppens meny.

Rollikoner

Vissa processer hanterar särskilda roller på datorer, till exempel webbservrar, programservrar och databaser. Tjänstkartan kommenterar process- och datorrutor med rollikoner för att snabbt identifiera vilken roll en process eller server spelar.

Rollikon Description
Webbserver Webbserver
Appserver Programserver
Databasserver Databasserver
LDAP-server LDAP-server
SMB-server SMB-server

Skärmbild som visar rollikoner.

Misslyckade anslutningar

I Tjänstkarta visas misslyckade anslutningar i kartor för processer och datorer. En streckad röd linje indikerar att ett klientsystem inte kan nå en process eller port.

Misslyckade anslutningar rapporteras från alla system med en distribuerad Tjänstkarta-agent om det systemet är det som försöker ansluta. Tjänstkartan mäter den här processen genom att observera TCP-socketar som inte kan upprätta en anslutning. Det här felet kan bero på att en brandvägg, en felaktig konfiguration på klienten eller servern eller att en fjärrtjänst inte är tillgänglig.

Skärmbild som visar en del av en tjänstkarta som visar en streckad röd linje som indikerar en misslyckad anslutning mellan backup.pl-processen och port 4475.

Att förstå misslyckade anslutningar kan hjälpa dig med felsökning, migreringsvalidering, säkerhetsanalys och övergripande arkitekturtolkning. Misslyckade anslutningar är ibland ofarliga, men de pekar ofta direkt på ett problem. En redundansmiljö kan plötsligt bli oåtkomlig eller så kanske två programnivåer inte kan kommunicera efter en molnmigrering.

Klientgrupper

Klientgrupper är rutor på kartan som representerar klientdatorer som inte har beroendeagenter. En enskild klientgrupp representerar klienterna för en enskild process eller dator.

Skärmbild som visar klientgrupper.

Om du vill se IP-adresserna för servrarna i en klientgrupp väljer du gruppen. Innehållet i gruppen visas i fönstret Egenskaper för klientgrupp .

Skärmbild som visar egenskaper för klientgrupper.

Serverportgrupper

Serverportgrupper är rutor som representerar serverportar på servrar som inte har beroendeagenter. Rutan innehåller serverporten och antalet servrar med anslutningar till den porten. Expandera rutan för att se de enskilda servrarna och anslutningarna. Om det bara finns en server i rutan visas namnet eller IP-adressen.

Skärmbild som visar serverportgrupper.

Snabbmeny

Välj ellipsen (...) längst upp till höger på valfri server för att visa snabbmenyn för den servern.

Skärmbild som visar alternativen Läs in serverkarta och Visa Self-Links för en server i Tjänstkarta.

Läsa in serverkarta

Välj Läs in serverkarta för att gå till en ny karta med den valda servern som den nya fokusdatorn.

Välj Visa självlänkar för att rita om servernoden, inklusive eventuella självlänkar, som är TCP-anslutningar som startar och slutar på processer på servern. Om självlänkar visas ändras menykommandot till Dölj självlänkar så att du kan inaktivera dem.

Datorsammanfattning

Fönstret Maskinsammanfattning innehåller en översikt över en servers operativsystem, beroendeantal och data från andra lösningar. Sådana data omfattar prestandamått, supportärenden, ändringsspårning, säkerhet och uppdateringar.

Skärmbild som visar fönstret Datorsammanfattning.

Dator- och processegenskaper

När du navigerar på en karta i Tjänstkarta kan du välja datorer och processer för att få mer kontext om deras egenskaper. Datorerna tillhandahåller information om DNS-namn, IPv4-adresser, processor- och minneskapacitet, VM-typ, operativsystem och version, senaste omstartstid och ID:n för deras OMS- och tjänstkartaagenter.

Skärmbild som visar fönstret Datoregenskaper.

Du kan samla in processinformation från operativsystemets metadata om att köra processer. Information omfattar processnamn, processbeskrivning, användarnamn och domän (i Windows), företagsnamn, produktnamn, produktversion, arbetskatalog, kommandorad och processstarttid.

Skärmbild som visar fönstret Processegenskaper.

Fönstret Processsammanfattning innehåller mer information om processens anslutning, inklusive dess bundna portar, inkommande och utgående anslutningar och misslyckade anslutningar.

Skärmbild som visar fönstret Processsammanfattning.

Integrering av aviseringar

Tjänstkartan integreras med Azure-aviseringar för att visa utlösta aviseringar för den valda servern inom det valda tidsintervallet. Servern visar en ikon om det finns aktuella aviseringar och fönstret Datoraviseringar visar en lista över aviseringarna.

Skärmbild som visar fönstret Datoraviseringar.

Om du vill aktivera Tjänstkarta för att visa relevanta aviseringar skapar du en aviseringsregel som utlöses för en specifik dator. Så här skapar du rätt aviseringar:

  • Inkludera en sats för att gruppera efter dator. Ett exempel är efter datorintervall 1 minut.
  • Välj att avisera baserat på måttmått.

Integrering av logghändelser

Tjänstkartan integreras med Loggsökning för att visa antalet tillgängliga logghändelser för den valda servern under det valda tidsintervallet. Du kan välja valfri rad i listan över antal händelser för att gå till Loggsökning och se de enskilda logghändelserna.

Skärmbild som visar fönstret Datorlogghändelser.

Service Desk-integrering

Service Map-integrering med IT Service Management Connector sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan. Integreringen i tjänstkartan är märkt "Service Desk". Mer information finns i Hantera ITSM-arbetsobjekt centralt med hjälp av IT Service Management Connector.

I fönstret Machine Service Desk visas alla IT Service Management-händelser för den valda servern i det valda tidsintervallet. Servern visar en ikon om det finns aktuella objekt och fönstret Machine Service Desk listar dem.

Skärmbild som visar fönstret Machine Service Desk.

Om du vill öppna objektet i din anslutna ITSM-lösning väljer du Visa arbetsobjekt.

Om du vill visa information om objektet i Loggsökning väljer du Visa i Loggsökning. Anslutningsmått skrivs till två nya tabeller i Log Analytics.

Ändringsspårning integrering

Service Map-integrering med Ändringsspårning sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan.

Fönstret Dator Ändringsspårning visar alla ändringar, med den senaste först, tillsammans med en länk för att öka detaljnivån till Loggsökning för mer information.

Skärmbild som visar fönstret Machine Ändringsspårning.

Följande bild är en detaljerad vy över en ConfigurationChange-händelse som du kan se när du har valt Visa i Log Analytics.

Skärmbild som visar händelsen ConfigurationChange.

Prestandaintegrering

Fönstret Datorprestanda visar standardprestandamått för den valda servern. Måtten omfattar CPU-användning, minnesanvändning, nätverksbyte som skickas och tas emot samt en lista över de vanligaste processerna efter skickade och mottagna nätverksbyte.

Skärmbild som visar fönstret Datorprestanda.

Om du vill se prestandadata kan du behöva aktivera lämpliga Log Analytics-prestandaräknare. De räknare som du vill aktivera:

Windows:

  • Processor(*)\% processortid
  • Minne\% incheckade byte som används
  • Nätverkskort(*)\Skickade byte/s
  • Nätverkskort(*)\Mottagna byte/s

Linux:

  • Processor(*)\% processortid
  • Minne(*)\% använt minne
  • Nätverkskort(*)\Skickade byte/s
  • Nätverkskort(*)\Mottagna byte/s

Säkerhetsintegrering

Service Map-integrering med säkerhet och granskning sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan.

Fönstret Maskinsäkerhet visar data från säkerhets- och granskningslösningen för den valda servern. Fönstret visar en sammanfattning av eventuella utestående säkerhetsproblem för servern under det valda tidsintervallet. Om du väljer något av säkerhetsproblemen ökas detaljnivån i en loggsökning efter information om dem.

Skärmbild som visar fönstret Datorsäkerhet.

Uppdateringar integrering

Service Map-integrering med Uppdateringshantering sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan.

Fönstret Dator Uppdateringar visar data från lösningen Uppdateringshantering för den valda servern. Fönstret visar en sammanfattning av eventuella uppdateringar som saknas för servern under det valda tidsintervallet.

Skärmbild som visar fönstret Dator Uppdateringar.

Log Analytics-poster

Tjänstkartad dator och processinventeringsdata är tillgängliga för sökning i Log Analytics. Du kan använda dessa data i scenarier som migreringsplanering, kapacitetsanalys, identifiering och prestandafelsökning på begäran.

En post genereras per timme för varje unik dator och process, utöver de poster som genereras när en process eller dator startar eller är ombord på tjänstkartan. Dessa poster har egenskaperna i följande tabeller.

Fälten och värdena i ServiceMapComputer_CL händelser mappas till fälten för datorresursen i ServiceMap Azure Resource Manager API. Fälten och värdena i ServiceMapProcess_CL händelser mappas till fälten i processresursen i ServiceMap Azure Resource Manager API. Fältet ResourceName_s matchar namnfältet i motsvarande Resource Manager resurs.

Anteckning

När funktionerna för tjänstkarta växer kan dessa fält komma att ändras.

Du kan använda internt genererade egenskaper för att identifiera unika processer och datorer:

  • Dator: Använd ResourceId eller ResourceName_s för att unikt identifiera en dator på en Log Analytics-arbetsyta.
  • Process: Använd ResourceId för att unikt identifiera en process på en Log Analytics-arbetsyta. ResourceName_s är unikt i kontexten för den dator där processen körs MachineResourceName_s.

Eftersom flera poster kan finnas för en angiven process och dator inom ett angivet tidsintervall kan frågor returnera mer än en post för samma dator eller process. Om du bara vill inkludera den senaste posten lägger du till "| dedup ResourceId" i frågan.

Anslutningar

Anslutningsmått skrivs till en ny tabell i Log Analytics med namnet VMConnection. Den här tabellen innehåller information om inkommande och utgående anslutningar för en dator. Anslutningsmått exponeras också med API:er som ger möjlighet att hämta ett visst mått under en tidsperiod.

TCP-anslutningar till följd av att acceptera på en lyssningssockel är inkommande. De anslutningar som skapas genom att ansluta till en viss IP-adress och port är utgående. Riktningen för en anslutning representeras av Direction egenskapen, som kan anges till antingen inbound eller outbound.

Poster i dessa tabeller genereras från data som rapporteras av beroendeagenten. Varje post representerar en observation över ett tidsintervall på en minut. Egenskapen TimeGenerated anger början på tidsintervallet. Varje post innehåller information för att identifiera respektive entitet, d.v.s. anslutningen eller porten, och de mått som är associerade med den entiteten. För närvarande rapporteras endast nätverksaktivitet som inträffar med hjälp av TCP över IPv4.

För att hantera kostnader och komplexitet representerar anslutningsposter inte enskilda fysiska nätverksanslutningar. Flera fysiska nätverksanslutningar grupperas i en logisk anslutning, som sedan återspeglas i respektive tabell. Så poster i tabellen VMConnection representerar en logisk gruppering och inte de enskilda fysiska anslutningar som observeras.

Fysiska nätverksanslutningar som delar samma värde för följande attribut under ett visst intervall på en minut aggregeras till en enda logisk post i VMConnection.

Egenskap Beskrivning
Direction Anslutningens riktning. Värdet är inkommande eller utgående.
Machine Datorns FQDN.
Process Identitet för processer eller grupper av processer som initierar eller accepterar anslutningen.
SourceIp Källans IP-adress.
DestinationIp Målets IP-adress.
DestinationPort Målets portnummer.
Protocol Protokoll som används för anslutningen. Värdet är tcp.

För att ta hänsyn till effekten av gruppering finns information om antalet grupperade fysiska anslutningar i följande egenskaper för posten.

Egenskap Beskrivning
LinksEstablished Antalet fysiska nätverksanslutningar som har upprättats under rapporteringstiden.
LinksTerminated Antalet fysiska nätverksanslutningar som har avslutats under rapporteringstiden.
LinksFailed Antalet fysiska nätverksanslutningar som har misslyckats under rapporteringstiden. Den här informationen är för närvarande endast tillgänglig för utgående anslutningar.
LinksLive Antalet fysiska nätverksanslutningar som var öppna i slutet av rapporttidsfönstret.

Mått

Förutom mått för antal anslutningar ingår även information om mängden data som skickas och tas emot på en specifik logisk anslutning eller nätverksport i följande egenskaper för posten.

Egenskap Beskrivning
BytesSent Totalt antal byte som har skickats under rapporteringstidsfönstret.
BytesReceived Totalt antal byte som har tagits emot under rapporteringstidsfönstret.
Responses Antalet svar som observerats under rapporteringstidsfönstret.
ResponseTimeMax Den största svarstiden i millisekunder som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom.
ResponseTimeMin Den minsta svarstiden i millisekunder som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom.
ResponseTimeSum Summan av alla svarstider i millisekunder som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom

Den tredje typen av data som rapporteras är svarstiden. Hur länge ägnar en anropare åt att vänta på att en begäran som skickas via en anslutning ska bearbetas och besvaras av fjärrslutpunkten?

Svarstiden som rapporteras är en uppskattning av den sanna svarstiden för det underliggande programprotokollet. Den beräknas med hjälp av heuristik baserat på observationen av dataflödet mellan källan och målslutet för en fysisk nätverksanslutning.

Konceptuellt är svarstiden skillnaden mellan den tid då den sista byte för en begäran lämnar avsändaren och den tid då den sista byte av svaret kommer tillbaka till den. Dessa två tidsstämplar används för att avgränsa begärande- och svarshändelser på en specifik fysisk anslutning. Skillnaden mellan dem representerar svarstiden för en enskild begäran.

I den här första versionen av den här funktionen är vår algoritm en uppskattning som kan fungera med varierande grad av framgång beroende på det faktiska programprotokollet som används för en specifik nätverksanslutning. Den aktuella metoden fungerar till exempel bra för protokoll baserade på begärandesvar, till exempel HTTP/HTTPS. Men den här metoden fungerar inte med enkelriktade eller meddelandeköbaserade protokoll.

Här är några viktiga saker att tänka på:

  • Om en process accepterar anslutningar på samma IP-adress men över flera nätverksgränssnitt rapporteras en separat post för varje gränssnitt.
  • Poster med jokertecken-IP innehåller ingen aktivitet. De ingår för att representera det faktum att en port på datorn är öppen för inkommande trafik.
  • För att minska verbositeten och datavolymen utelämnas poster med jokertecken-IP när det finns en matchande post (för samma process, port och protokoll) med en specifik IP-adress. När en jokertecken-IP-post utelämnas anges postegenskapen IsWildcardBind med den specifika IP-adressen till True. Den här inställningen anger att porten exponeras över varje gränssnitt på rapportdatorn.
  • Portar som endast är bundna i ett visst gränssnitt har IsWildcardBind angetts till False.

Namngivning och klassificering

För enkelhetens skull ingår IP-adressen för fjärrslutet för en anslutning i egenskapen RemoteIp . För inkommande anslutningar RemoteIp är samma som SourceIp, medan för utgående anslutningar är det samma som DestinationIp. Egenskapen RemoteDnsCanonicalNames representerar dns-kanoniska namn som rapporterats av datorn för RemoteIp. Egenskaperna RemoteDnsQuestions och RemoteClassification är reserverade för framtida användning.

Geolocation

VMConnection innehåller även geoplatsinformation för fjärrslut för varje anslutningspost i följande egenskaper för posten.

Egenskap Beskrivning
RemoteCountry Namnet på det land/den region som är värd för RemoteIp. Ett exempel är USA.
RemoteLatitude Geoplats latitud. Ett exempel är 47,68.
RemoteLongitude Geoplats longitud. Ett exempel är -122.12.

Skadlig IP-adress

Varje RemoteIp egenskap i tabellen VMConnection kontrolleras mot en uppsättning IP-adresser med känd skadlig aktivitet. RemoteIp Om identifieras som skadlig fylls följande egenskaper i (de är tomma när IP-adressen inte anses vara skadlig) i följande egenskaper för posten.

Egenskap Beskrivning
MaliciousIp Adressen RemoteIp .
IndicatorThreadType Hotindikatorn som identifieras är ett av följande värden: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA eller Watchlist.
Description Beskrivning av det observerade hotet.
TLPLevel TLP-nivå (Traffic Light Protocol) är ett av de definierade värdena: Vit, Grön, Gul, Röd.
Confidence Värdena är 0–100.
Severity Värdena är 0–5, där 5 är allvarligast och 0 inte är allvarligt. Standardvärdet är 3.
FirstReportedDateTime Första gången providern rapporterade indikatorn.
LastReportedDateTime Senaste gången indikatorn visades av Interflow.
IsActive Anger att indikatorer inaktiveras med värdet Sant eller Falskt .
ReportReferenceLink Länkar till rapporter som är relaterade till en viss observerbar.
AdditionalInformation Innehåller mer information, om tillämpligt, om det observerade hotet.

ServiceMapComputer_CL poster

Poster med en typ av ServiceMapComputer_CL ha inventeringsdata för servrar med Tjänstkarta-agenter. Dessa poster har egenskaper enligt följande tabell.

Egenskap Beskrivning
Type ServiceMapComputer_CL
SourceSystem OpsManager
ResourceId Den unika identifieraren för en dator på arbetsytan
ResourceName_s Den unika identifieraren för en dator på arbetsytan
ComputerName_s Datorns FQDN
Ipv4Addresses_s En lista över serverns IPv4-adresser
Ipv6Addresses_s En lista över serverns IPv6-adresser
DnsNames_s En matris med DNS-namn
OperatingSystemFamily_s Windows eller Linux
OperatingSystemFullName_s Det fullständiga namnet på operativsystemet
Bitness_s Maskinens bit (32-bitars eller 64-bitars)
PhysicalMemory_d Det fysiska minnet i MB
Cpus_d Antalet processorer
CpuSpeed_d Processorhastigheten i MHz
VirtualizationState_s okänd, fysisk, virtuell, hypervisor
VirtualMachineType_s hyperv, vmware och så vidare
VirtualMachineNativeMachineId_g Vm-ID:t som tilldelats av dess hypervisor
VirtualMachineName_s Namnet på den virtuella datorn
BootTime_t Starttiden

ServiceMapProcess_CL typposter

Poster med en typ av ServiceMapProcess_CL har inventeringsdata för TCP-anslutna processer på servrar med Tjänstkarta-agenter. Dessa poster har egenskaper enligt följande tabell.

Egenskap Beskrivning
Type ServiceMapProcess_CL
SourceSystem OpsManager
ResourceId Den unika identifieraren för en process på arbetsytan
ResourceName_s Den unika identifieraren för en process i datorn där den körs
MachineResourceName_s Datorns resursnamn
ExecutableName_s Namnet på den körbara processen
StartTime_t Starttiden för processpoolen
FirstPid_d Den första PID:en i processpoolen
Description_s Processbeskrivningen
CompanyName_s Namnet på företaget
InternalName_s Det interna namnet
ProductName_s Namnet på produkten
ProductVersion_s Produktversionen
FileVersion_s Filversionen
CommandLine_s Kommandoraden
ExecutablePath _s Sökvägen till den körbara filen
WorkingDirectory_s Arbetskatalogen
UserName Det konto under vilket processen körs
UserDomain Domänen under vilken processen körs

Exempel på loggsökningar

I det här avsnittet visas loggsökningsexempel.

Visa en lista över alla kända datorer

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Visa en lista över den fysiska minneskapaciteten för alla hanterade datorer

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Lista datornamn, DNS, IP och operativsystem

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Hitta alla processer med "sql" på kommandoraden

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Hitta en dator (den senaste posten) efter resursnamn

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Hitta en dator (den senaste posten) efter IP-adress

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Visa en lista över alla kända processer på en angiven dator

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Visa en lista över alla datorer som kör SQL

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Visa en lista över alla unika produktversioner av curl i mitt datacenter

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Skapa en datorgrupp med alla datorer som kör CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s

Sammanfatta utgående anslutningar från en grupp datorer

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

REST-API

Alla server-, process- och beroendedata i Tjänstkartan är tillgängliga via REST-API:et för tjänstkarta.

Diagnostik- och användningsdata

Microsoft samlar automatiskt in användnings- och prestandadata via din användning av Tjänstkarta. Microsoft använder dessa data för att tillhandahålla och förbättra tjänstkartans kvalitet, säkerhet och integritet.

För att tillhandahålla korrekta och effektiva felsökningsfunktioner innehåller data information om konfigurationen av din programvara. Den här informationen kan vara operativsystem och version, IP-adress, DNS-namn och arbetsstationsnamn. Microsoft samlar inte in namn, adresser eller annan kontaktinformation.

Mer information om insamling och användning av data finns i Sekretesspolicy för Microsoft Online Services.

Nästa steg

Läs mer om loggsökningar i Log Analytics för att hämta data som samlas in av tjänstkartan.

Felsökning

Om du har problem med att installera eller köra Tjänstkarta kan det här avsnittet hjälpa dig. Kontakta Microsoft Support om du fortfarande inte kan lösa problemet.

Problem med installation av beroendeagent

Det här avsnittet tar upp problem med installation av beroendeagent.

Installationsprogrammet begär en omstart

Beroendeagenten kräver vanligtvis ingen omstart vid installation eller borttagning. I vissa sällsynta fall kräver Windows Server en omstart för att fortsätta med en installation. Det här problemet inträffar när ett beroende, vanligtvis Microsoft Visual C++ Redistributable-biblioteket, kräver en omstart på grund av en låst fil.

Meddelandet ”Det går inte att installera Dependency Agent: Det gick inte att installera Visual Studio Runtime-bibliotek (code = [code_number])” visas

Microsoft Dependency Agent bygger på Microsoft Visual Studio-körningsbiblioteken. Du får ett meddelande om det uppstår problem under installationen av biblioteken.

Installationsprogrammen för körningsbiblioteken skapar loggar i mappen %LOCALAPPDATA%\temp. Filen är dd_vcredist_arch_yyyymmddhhmmss.log, där bågen är x86 eller amd64 och yyyymmddhhmmss är datum och tid (baserat på en 24-timmarsklocka) när loggen skapades. Loggen innehåller information om problemet som blockerar installationen.

Det kan vara bra att installera de senaste körningsbiblioteken först.

I följande tabell visas kodnummer och föreslagna lösningar.

Kod Description Lösning
0x17 Biblioteksinstallationsprogrammet kräver en Windows-uppdatering som inte har installerats. Titta i den senaste biblioteksinstallationsloggen.

Om en referens till Windows8.1-KB2999226-x64.msu följs av en rad Error 0x80240017: Failed to execute MSU package, har du inte förutsättningar för att installera KB2999226. Följ anvisningarna i avsnittet krav i artikeln Universal C Runtime i Windows . Du kan behöva köra Windows Update och starta om flera gånger för att installera kraven.

Kör installationsprogrammet för Microsoft Dependency Agent igen.

Problem efter installationen

Det här avsnittet beskriver problem efter installationen.

Servern visas inte i Tjänstkarta

Om installationen av beroendeagenten lyckades, men du inte ser datorn i lösningen Tjänstkarta:

  • Har Dependency Agent installerats på rätt sätt? Kontrollera om tjänsten är installerad och körs.

    • Windows: Leta efter tjänsten med namnet Microsoft Dependency Agent.
    • Linux: Leta efter den pågående processen microsoft-dependency-agent.

  • Är du på den kostnadsfria Log Analytics-nivån? Den kostnadsfria planen tillåter upp till fem unika datorer med Tjänstkarta. Efterföljande datorer visas inte i Tjänstkarta, även om de fem föregående inte längre skickar data.

  • Skickar servern logg- och prestandadata till Azure Monitor-loggar? Gå till Monitor\Logs och kör följande fråga för datorn:

    Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType

Fick du en mängd olika händelser i resultatet? Är data aktuella? I så fall fungerar Log Analytics-agenten som den ska och kommunicerar med arbetsytan. Annars kontrollerar du agenten på datorn. Se Log Analytics-agenten för Windows-felsökning eller Log Analytics-agent för Linux-felsökning.

Servern visas i Tjänstkarta men har inga processer

Du ser datorn i Tjänstkarta, men den har inga process- eller anslutningsdata. Det här beteendet anger att beroendeagenten är installerad och körs, men kerneldrivrutinen lästes inte in.

Sök efter C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file Windows eller /var/opt/microsoft/dependency-agent/log/service.log file Linux. De sista raderna i filen anger varför kerneln inte har lästs in. Till exempel kanske din kernel inte stöds i Linux om du har uppdaterat den.

Förslag

Har du feedback om tjänstkartan eller den här dokumentationen? Se vår user voice-sida där du kan föreslå funktioner eller rösta fram befintliga förslag.