從使用記錄分析之變更追蹤和清查移轉至使用 Azure 監視代理程式版本之變更追蹤和清查的指導

發行項
01/06/2025

適用於：✔️ Windows VM ✔️ Linux VM ✔️ 已啟用 Azure Arc 的伺服器。

本文提供使用 Log Analytics (LA) 版本從變更追蹤和清查移至 Azure Monitoring Agent (AMA) 版本的指導。

使用 Azure 入口網站，您可以從使用 LA 代理程式的變更追蹤和清查移轉至使用 AMA 進行變更追蹤和清查，而且有兩種方式可以進行這項移轉：

從 Azure 虛擬機器頁面或 Machines-Azure Arc 頁面移轉單一/多部機器。
在特定自動化帳戶內的 LA 版本解決方案上移轉多個虛擬機器。

此外，您可以使用腳本，將 Log Analytics 工作區層級的所有虛擬機器和已啟用 Arc 的非 Azure 機器從 LA 版本解決方案移轉至使用 AMA 變更追蹤和清查。您無法使用上述 Azure 入口網站體驗。

腳本可讓您也移轉至相同的工作區。如果您要移轉至相同的工作區，腳本將會從您的計算機中移除LA（MMA/OMS）代理程式。這可能會導致其他解決方案停止運作。因此，建議您據此規劃移轉。例如，先移轉其他解決方案，然後繼續進行變更追蹤移轉。

注意

拿掉不適用於使用 MSI 安裝程式安裝的 MMA 代理程式。它只適用於 VM/Arc VM 擴充功能。

注意

目前已提供使用適用於端點的 Microsoft Defender (MDE) 的檔案完整性監視 (FIM)。請遵循下列指導進行移轉:

上線使用 Azure Monitoring Agent 變更追蹤和清查

若要透過 Azure 入口網站上線，請遵循下列步驟：

登入 Azure 入口網站並選取您的虛擬機器
在 [作業] 下，選取 [變更追蹤]。
選取 [使用 AMA 進行設定]，並且在 [使用 Azure 監視器代理程式設定] 中，提供 Log Analytics 工作區，並且選取 [移轉] 起始部署。
選取 [使用 AMA 切換至 CT&I]，以評估 LA 代理程式和 AMA 版本的傳入事件和記錄。

必要條件

請確定您已在打算執行文本的電腦上安裝PowerShell。
- 腳本無法在 Azure Cloud Shell 上執行。
- 建議使用最新版本的 PowerShell 7 或更高版本。請遵循在 Windows、Linux 和 macOS 上安裝 PowerShell 的步驟。
取得指定工作區和計算機資源的寫入許可權。
安裝最新版的 Az PowerShell 模組。需要 Az.Accounts 和 Az.OperationalInsights 模組，才能提取工作區代理程式組態資訊。
請確定您有執行 Connect-AzAccount 和 Select-AzContext (設定指令碼的內容) 的 Azure 認證。

請遵循下列步驟，使用腳本進行移轉：

移轉指引

此腳本將使用 AMA 代理程式輸出 Log Analytics 變更追蹤工作區的 AMA 代理程式，將所有已啟用 Azure 機器和 Arc 的非 Azure 機器移轉至 LA 代理程式變更追蹤解決方案。
腳本可讓您使用相同的工作區進行移轉，也就是輸入和輸出Log Analytics工作區相同。不過，它會從機器中移除 LA （MMA/OMS）代理程式。
文稿會移轉下列資料類型的設定：
- Windows 服務
- Linux 檔案
- Windows 檔案
- Windows 登錄
- Linux 精靈

該指令碼包含以下需要您輸入的參數。

參數	必要	說明
`InputLogAnalyticsWorkspaceResourceId`	Yes	使用 Log Analytics 與變更追蹤和清查相關聯的工作區資源識別碼。
`OutputLogAnalyticsWorkspaceResourceId`	Yes	與 Azure Monitoring Agent 相關聯的工作區資源識別碼。
`OutputDCRName`	Yes	要建立之新 DCR 的自定義名稱。
`OutputVerbose`	No	選擇性。詳細信息記錄的輸入$true。
`AzureEnvironment`	Yes	建立 DCR 範本的資料夾路徑。

在 [詳細數據] 中，腳本會執行下列動作：
1. 使用 MMA 代理程式取得已上線至變更追蹤輸入 Log Analytics 工作區的所有 Azure 和 Arc 上線非 Azure 機器清單。
2. 藉由擷取舊版解決方案中設定的檔案、服務、追蹤和登錄設定，並使用 AMA 代理程式和輸出 Log Analytics 工作區的變更追蹤延伸模組，將它們轉譯為最新解決方案的對等設定，以建立數據收集規則（DCR） ARM 範本。
3. 將變更追蹤解決方案 ARM 範本部署至輸出 Log Analytics 工作區。只有在移轉至相同的工作區未完成時，才會完成此作業。輸出工作區需要舊版解決方案，才能為 configurationChange 和 ConfigurationData 等變更追蹤建立記錄分析數據表。部署名稱將會DeployCTSolution_CTMig_{GUID}，且會位於與輸出Log Analytics工作區相同的資源群組中。
4. 部署在步驟 2 中建立的 DCR ARM 範本。部署名稱將會OutputDCRName_CTMig_{GUID}，且會位於與輸出Log Analytics工作區相同的資源群組中。 DCR 將會建立在與輸出 Log Analytics 工作區相同的位置。
5. 從步驟 1 中填入的機器清單中移除 MMA 代理程式。只有在執行移轉至相同工作區時，才會這麼做。透過 MSI 安裝 MMA 代理程式的機器不會移除 MMA 代理程式。只有在 MMA 代理程式安裝為擴充功能時，才會移除它。
6. 將 DCR 指派給電腦，並安裝 AMA 代理程式和 CT 擴充功能。其部署名稱將會MachineName_CTMig，而且會與計算機位於相同的資源群組中。
  - 將步驟 4 中部署的 DCR 指派給步驟 1 中填入的所有機器。
  - 將 AMA 代理程式安裝到步驟 1 中填入的所有機器。
  - 將 CT 代理程式安裝到步驟 1 中填入的所有機器。

比較 Log Analytics 代理程式和 Azure Monitoring Agent 版本的資料

完成使用 AMA 版本的上線至變更追蹤之後，請在登陸頁面上選取 [使用 AMA 切換至 CT]，以切換至兩個版本，並比較下列事件。

例如，如果上線至 AMA 版本的服務是在 11 月 3 日上午 6:00 之後進行。您可以在變更類型、時間範圍等參數之間保留一致的篩選來比較資料。您可以在 [變更] 區段和圖表區段中比較傳入記錄，以確保資料一致性。

注意

完成上線至 AMA 版本之後，您必須比較傳入資料和記錄。

取得 Log Analytics 工作區資源識別碼

若要取得 Log Analytics 工作區資源識別碼，請遵循下列步驟：

登入 Azure 入口網站
在 Log Analytics 工作區中，選取特定的工作區，並且選取 [Json 檢視]。
複製資源識別碼。

針對單一 VM 和自動化帳戶

針對檔案內容變更型設定，您必須手動從 LA 版本移轉至 AMA 版本的變更追蹤和清查。遵循追蹤檔案內容中所列的指導。
如果執行移轉至不同的工作區，則必須手動設定使用Log Analytics工作區設定的警示。

使用 Log Analytics 代理程式停用變更追蹤

使用 Azure Monitoring Agent 使用變更追蹤和清查啟用虛擬機器管理之後，您可能會決定停止使用具有 LA 代理程式版本的變更追蹤和清查，並從帳戶中移除組態。

停用方法包含下列項目：

下一步

若要從 Azure 入口網站啟用，請參閱 Azure 入口網站的 [啟用變更追蹤和清查]。

共用方式為