共用方式為


從使用記錄分析之變更追蹤和清查移轉至使用 Azure 監視代理程式版本之變更追蹤和清查的指導

適用於:✔️ Windows VM ✔️ Linux VM ✔️ 已啟用 Azure Arc 的伺服器。

本文提供使用 Log Analytics (LA) 版本從變更追蹤和清查移至 Azure Monitoring Agent (AMA) 版本的指導。

使用 Azure 入口網站,您可以從使用 LA 代理程式的變更追蹤和清查移轉至使用 AMA 進行變更追蹤和清查,而且有兩種方式可以進行這項移轉:

  • 從 [虛擬機器] 頁面移轉單一/多個 VM。
  • 在特定自動化帳戶內的 LA 版本解決方案上移轉多個 VM。

注意

目前已提供使用適用於端點的 Microsoft Defender (MDE) 的檔案完整性監視 (FIM)。 請遵循下列指導進行移轉:

上線使用 Azure Monitoring Agent 變更追蹤和清查

若要透過 Azure 入口網站上線,請遵循下列步驟:

  1. 登入 Azure 入口網站並選取您的虛擬機器

  2. 在 [作業] 下,選取 [變更追蹤]

  3. 選取 [使用 AMA 進行設定],並且在 [使用 Azure 監視器代理程式設定] 中,提供 Log Analytics 工作區,並且選取 [移轉] 起始部署。

    使用 Azure 監視代理程式將單一 VM 上線至變更追蹤和清查的螢幕擷取畫面。

  4. 選取 [使用 AMA 切換至 CT&I],以評估 LA 代理程式和 AMA 版本的傳入事件和記錄。

    顯示成功移轉後在 Log Analytics 與 Azure 監視代理程式之間切換的螢幕擷取畫面。

比較 Log Analytics 代理程式和 Azure Monitoring Agent 版本的資料

完成使用 AMA 版本的上線至變更追蹤之後,請在登陸頁面上選取 [使用 AMA 切換至 CT],以切換至兩個版本,並比較下列事件。

從 Log Analytics 到 Azure 監視代理程式的資料比較的螢幕擷取畫面。

例如,如果上線至 AMA 版本的服務是在 11 月 3 日上午 6:00 之後進行。您可以在變更類型 、時間範圍 等參數之間保留一致的篩選來比較資料。 您可以在 [變更] 區段和圖表區段中比較傳入記錄,以確保資料一致性。

注意

完成上線至 AMA 版本之後,您必須比較傳入資料和記錄。

取得 Log Analytics 工作區資源識別碼

若要取得 Log Analytics 工作區資源識別碼,請遵循下列步驟:

  1. 登入 Azure 入口網站

  2. Log Analytics 工作區中,選取特定的工作區,並且選取 [Json 檢視]

  3. 複製資源識別碼

    顯示 Log Analytics 工作區識別碼的螢幕擷取畫面。

限制

針對單一 VM 和自動化帳戶

  1. 每個自動化帳戶可以移轉 100 個 VM。
  2. 目前不支援任何具有 > 100 個檔案/登錄設定的 VM 透過入口網站進行移轉。
  3. 入口網站不支援 Arc VM 移轉,建議您使用 PowerShell 指令碼移轉。
  4. 針對檔案內容變更型設定,您必須手動從 LA 版本移轉至 AMA 版本的變更追蹤和清查。 遵循追蹤檔案內容中所列的指導。
  5. 您必須手動設定您使用Log Analytics 工作區設定的警示。

使用 Log Analytics 代理程式停用變更追蹤

使用 Azure Monitoring Agent 使用變更追蹤和清查啟用虛擬機器管理之後,您可能會決定停止使用具有 LA 代理程式版本的變更追蹤和清查,並從帳戶中移除組態。

停用方法包含下列項目:

下一步