你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从使用 Log Analytics 更改跟踪和库存到使用 Azure Monitoring Agent 版本更改跟踪和库存的迁移指南

项目
01/07/2025

适用于： ✔️ Windows VMs ✔️ Linux VMs ✔️ Azure Arc 启用的服务器。

本文提供有关从使用 Log Analytics (LA) 版本的更改跟踪和清单迁移到 Azure Monitoring Agent (AMA) 版本的指南。

使用 Azure 门户，可以从使用 LA 代理的更改跟踪和清单迁移到使用 AMA 的更改跟踪和清单，可通过两种方法来实现此迁移：

从“Azure 虚拟机”页或“计算机-Azure Arc”页迁移单台/多台计算机。
在特定自动化帐户中迁移 LA 版本解决方案上的多个虚拟机。

此外，还可以使用脚本将 Log Analytics 工作区级别的所有虚拟机和已启用 Arc 的非 Azure 计算机从 LA 版本解决方案迁移到使用 AMA 的更改跟踪和清单。无法使用上述 Azure 门户体验来执行此操作。

该脚本还允许你迁移到同一工作区。如果要迁移到同一工作区，脚本将从计算机中移除 LA (MMA/OMS) 代理。这可能会导致其他解决方案停止工作。因此，建议相应地规划迁移。例如，首先迁移其他解决方案，然后执行更改跟踪迁移。

注意

该移除不适用于使用 MSI 安装程序安装的 MMA 代理。它仅适用于 VM/Arc VM 扩展。

注意

使用 Microsoft Defender for Endpoint (MDE) 的文件完整性监视 (FIM) 现已可用。请按照指导从以下位置进行迁移：

使用 Azure Monitoring Agent 加入更改跟踪和清单

要通过 Azure 门户载入，请执行以下步骤：

登录到 Azure 门户并选择虚拟机
在“操作”下，选择“更改跟踪”。
选择“使用 AMA 进行配置”，并在“使用 Azure Monitor 代理进行配置”中提供日志分析工作区，然后选择“迁移”启动部署。
选择“使用 AMA 切换到 CT&I”，以评估 LA 代理和 AMA 版本的传入事件和日志。

先决条件

确保已在计划执行脚本的计算机上安装 PowerShell。
- 无法在 Azure Cloud Shell 上执行该脚本。
- 建议使用最新版本的 PowerShell 7 或更高版本。按照步骤在 Windows、Linux 和 macOS 上安装 PowerShell。
获取指定工作区和计算机资源的写入权限。
安装最新版本的 Az PowerShell 模块。拉取工作区代理配置信息需要Az.Accounts和Az.OperationalInsights模块。
确保有 Azure 凭据来运行设置脚本上下文的Connect-AzAccount和Select-AzContext。

按照以下步骤使用脚本进行迁移：

迁移指南

该脚本会将加入到用于输入 Log Analytics 工作区的 LA 代理更改跟踪解决方案的所有 Azure 计算机和已启用 Arc 的非 Azure 计算机迁移到用于输入 Log Analytics 工作区的使用 AMA 的更改跟踪。
该脚本提供使用相同的工作区（即输入和输出 Log Analytics 工作区相同）进行迁移的功能。但是，它将从计算机中移除 LA (MMA/OMS) 代理。
该脚本会迁移以下数据类型的设置：
- Windows 服务
- Linux 文件
- Windows 文件
- Windows 注册表
- Linux 守护程序

脚本由以下参数组成，这些参数需要你的输入。

参数	必需	描述
`InputLogAnalyticsWorkspaceResourceId`	是	与使用 Log Analytics 的更改跟踪和清单关联的工作区的资源 ID。
`OutputLogAnalyticsWorkspaceResourceId`	是	与使用 Azure Monitoring Agent 代理的更改跟踪和清单关联的工作区的资源 ID。
`OutputDCRName`	是	要创建的新 DCR 的自定义名称。
`OutputVerbose`	否	可选。详细日志的输入 $true。
`AzureEnvironment`	是	在其中创建 DCR 模板的文件夹路径。

在“详细信息”中，该脚本会执行以下操作：
1. 获取加入到用于使用 MMA 代理的更改跟踪解决方案的输入 Log Analytics 工作区的所有 Azure 和加入 Arc 的非 Azure 计算机的列表。
2. 创建数据收集规则 (DCR) ARM 模板，方法是提取旧解决方案中配置的文件、服务、跟踪和注册表设置，并将其转换为使用 AMA 代理和用于输出 Log Analytics 工作区的更改跟踪扩展的最新解决方案的等效设置。
3. 将更改跟踪解决方案 ARM 模板部署到输出 Log Analytics 工作区。仅当迁移到同一工作区未完成时，才会执行此操作。输出工作区要求旧解决方案为更改跟踪（如 ConfigurationChange 和 ConfigurationData）创建日志分析表。部署名称将为 DeployCTSolution_CTMig_{GUID}，它将与输出 Log Analytics 工作区位于同一资源组中。
4. 部署在步骤 2 中创建的 DCR ARM 模板。部署名称将为 OutputDCRName_CTMig_{GUID}，它将与输出 Log Analytics 工作区位于同一资源组中。 DCR 将在输出 Log Analytics 工作区所在的同一位置创建。
5. 从步骤 1 中填充的计算机列表中移除 MMA 代理。仅当迁移到同一工作区已完成时才执行此操作。通过 MSI 安装 MMA 代理的计算机不会移除 MMA 代理。仅当 MMA 代理作为扩展安装时，才会将其移除。
6. 将 DCR 分配给计算机并安装 AMA 代理和 CT 扩展。它的部署名称将为 MachineName_CTMig，它将与计算机位于同一资源组中。
  - 将步骤 4 中部署的 DCR 分配给步骤 1 中填充的所有计算机。
  - 将 AMA 代理安装到步骤 1 中填充的所有计算机。
  - 将 CT 代理安装到步骤 1 中填充的所有计算机。

比较 Log analytics Agent 与 Azure Monitoring Agent 版本中的数据

完成加入使用 AMA 版本的更改跟踪后，在登陆页上选择“使用 AMA 切换到 CT”，以在两个版本之间切换，并比较以下事件。

例如，如果加入 AMA 版本的服务是在 11 月 3 日上午 6：00 之后进行的。可以通过在“更改类型”、“时间范围”等参数之间保持一致的筛选器来比较数据。可以比较“更改” 部分和图形部分的传入日志，以确保数据一致性。

注意

完成加入 AMA 版本后，必须比较传入数据和日志。

获取 Log Analytics 工作区资源 ID

若要获取 Log Analytics 工作区资源 ID，请执行以下步骤：

登录到 Azure 门户
在 Log Analytics 工作区中，选择特定工作区，然后选择“Json 视图”。
复制“资源 ID”。

对于单个 VM 和自动化帐户

对于基于文件内容更改的设置，必须手动从更改跟踪和清单的 LA 版本迁移到 AMA 版本。按照跟踪文件内容中列出的指南进行操作。
如果进行了向不同的工作区的迁移，则必须手动配置使用 Log Analytics 工作区配置的警报。

禁用使用 Log Analytics Agent 的更改跟踪

使用包含 Azure Monitoring Agent 的更改跟踪和清单启用虚拟机管理后，可以决定停止使用包含 LA 代理版本的更改跟踪和清单，并从帐户中删除配置。

禁用方法包括：

后续步骤

要从 Azure 门户启用，请参阅从 Azure 门户启用更改跟踪和清单。

通过