共用方式為

使用 Azure 監視器代理程式收集數據

  • 發行項

Azure 監視器代理程式會從 Azure 虛擬機、虛擬機擴展集和已啟用 Azure Arc 的伺服器收集數據。 數據收集規則 (DCR) 會定義要從代理程式收集的數據,以及傳送數據的位置。 本文說明如何使用 Azure 入口網站 建立 DCR 來收集不同類型的數據,並在需要它的任何計算機上安裝代理程式。

如果您不熟悉 Azure 監視器或具有基本數據收集需求,您可以使用本文中的 Azure 入口網站 和指引來符合所有需求。 如果您想要利用更多 DCR 功能,例如 轉換,您可能需要使用其他方法來建立 DCR,或在入口網站中建立 DCR 之後編輯 DCR。 如果您想要使用 Azure CLI、Azure PowerShell、Azure Resource Manager 範本(ARM 範本)或 Azure 原則 來部署,您可以使用不同的方法來管理 DCR 並建立關聯。

注意

若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse

警告

下列案例可能會收集重複的數據,這可能會增加計費費用:

  • 建立多個具有相同數據源的 DCR,並將其與相同的代理程式產生關聯。 請確定您在 DCR 中篩選數據,讓每個 DCR 都會收集唯一的數據。
  • 建立 DCR 來收集安全性記錄,並啟用相同代理程式Microsoft Sentinel。 在此情況下,您可以在 Event 數據表和 SecurityEvent 數據表中收集相同的事件
  • 在同一部計算機上同時使用 Azure 監視器代理程式和舊版 Log Analytics 代理程式。 將重複事件限制為只有從一個代理程式轉換到另一個代理程式的時間。

資料來源

下表列出您目前可以使用 Azure 監視器代理程式收集的數據類型,以及您可以傳送該資料的位置。 每個數據源的連結適用於描述如何設定數據源的詳細數據的文章。 完成本文中的步驟以建立 DCR 並將它指派給資源,然後查看相關的連結文章,以瞭解如何設定數據源。

資料來源 描述 用戶端 OS 目的地
Windows 事件 傳送至 Windows 事件記錄系統的資訊,包括 sysmon 事件 Windows Log Analytics 工作區
效能計數器 測量操作系統和工作負載不同層面效能的數值 Windows
Linux		 Azure 監視器計量 (預覽)
Log Analytics 工作區
Syslog 傳送至 Linux 事件記錄系統的資訊 Linux Log Analytics 工作區
文字記錄 傳送至本機磁碟上文字記錄檔的資訊 Windows
Linux		 Log Analytics 工作區
JSON 記錄 傳送至本機磁碟上 JSON 記錄檔的資訊 Windows
Linux		 Log Analytics 工作區
IIS 記錄 Windows 機器本機磁碟的 Internet Information Service (IIS) 記錄 Windows Log Analytics 工作區

注意

Azure 監視器代理程序也支援目前正式運作的 Azure 服務 SQL 最佳做法評定。 如需詳細資訊,請參閱 使用 Azure 監視器代理程式設定最佳做法評定。

必要條件

  • 在工作區中建立 DCR 物件的權限
  • 如需所有必要條件,請參閱上表中說明相關數據源的連結文章。

建立資料收集規則

Azure 入口網站 為虛擬機和擴展集建立 DCR 提供了簡化的體驗。 使用此方法時,您不需要瞭解 DCR 的結構,除非您想要實作進階功能,例如轉換。 您也可以使用 Azure 監視器中建立 DCR 中所述的其他建立方法。

在 Azure 入口網站 的 [監視] 功能表上,選取 [數據收集規則>建立] 以開啟 [DCR 建立] 窗格。

顯示新資料收集規則 [建立] 按鈕的螢幕快照。

[基本] 索引標籤包含 DCR 的基本資訊。

顯示新資料收集規則 [基本] 索引卷標的螢幕快照。

設定 描述
規則名稱 DCR 的名稱。 名稱應該是可協助您識別規則的描述性文字。
訂用帳戶 用來儲存 DCR 的訂用帳戶。 訂用帳戶不需要是與虛擬機器相同的訂用帳戶。
資源 要儲存 DCR 的資源群組。 資源群組不需要是與虛擬機器相同的資源群組。
區域 要儲存 DCR 的 Azure 區域。 區域必須與 DCR 目的地中使用的任何 Log Analytics 工作區或 Azure 監視器工作區相同 。 如果您有不同區域的工作區,請建立多個 DCR 來與同一組機器產生關聯。
平台類型 指定 DCR 、WindowsLinux 可用的數據源類型。 None 允許兩者。 1
資料收集端點 指定用來收集數據的數據收集端點 (DCE)。 只有在您使用 Azure 監視器私人連結時,才需要 DCE。 此 DCE 必須位於 與 DCR 相同的 區域中。 如需詳細資訊,請參閱 根據您的部署設定數據收集端點。

1 此選項會在 DCR 中設定 kind 屬性。 您可以設定此屬性的其他值,但無法在入口網站中選取這些值。

新增資源

在 [ 資源 ] 窗格中,您可以新增要與 DCR 相關聯的 VM。 若要選擇要新增的資源,請選取 [ 新增資源]。 Azure 監視器代理程式會自動安裝在尚未安裝代理程式的任何資源上。 數據收集規則關聯會在電腦與 DCR 之間建立。

重要

將資源新增至 DCR 時,Azure 入口網站 中的預設選項是針對資源啟用系統指派的受控識別。 針對現有的應用程式,如果已設定使用者指派的受控識別,如果您在使用入口網站將資源新增至 DCR 時未指定使用者指派的身分識別,則計算機預設會使用 DCR 所套用的系統指派 身分識別。

顯示新資料收集規則的 [資源] 索引標籤的螢幕擷取畫面。

如果您要監視的計算機不在與目的地 Log Analytics 工作區相同的區域中,而且您收集需要 DCE 的數據類型,請選取 [ 啟用數據收集端點 ],然後選取每個受監視計算機區域中的端點。 如果受監視的機器位於與目的地 Log Analytics 工作區相同的區域,或您不需要 DCE,請勿在 [資源] 索引標籤上選取資料收集端點。

新增資料來源

在 [ 收集並傳遞 ] 窗格中,您可以新增和設定 DCR 的數據源,併為每個來源新增目的地。

設定 描述
資料來源 選取 [資料來源類型],並根據您選取的資料來源類型定義相關欄位。 如需設定每種數據源類型的詳細資訊,請參閱數據源中的相關文章。
目的地 為每個資料來源新增一或多個目的地。 您可以選取相同類型的多個目的地,或選取不同的類型。 例如,您可以選取多個 Log Analytics 工作區,稱為 多路連接。 如需其支援的不同目的地,請參閱每個資料類型的詳細資料。

DCR 可以包含多個不同的數據來源。 最多10個數據源可以位於單一 DCR 中。 您可以在相同的 DCR 中結合不同的數據源,但通常會針對不同的數據收集案例建立不同的 DCR。 如需如何組織 DCR 的建議,請參閱 在 Azure 監視器中建立和管理數據收集規則的最佳做法。

注意

使用數據收集規則精靈建立 DCR 時,最多可能需要 5 分鐘才會將數據傳送至目的地。

驗證作業

建立 DCR 並將它與電腦產生關聯之後,您可以在 Log Analytics 工作區中執行查詢來確認代理程式是否正常運作,以及正在收集數據。

確認代理程式作業

在 Log Analytics 中執行下列查詢,確認代理程式可正常運作並正常通訊。 查詢會檢查活動訊號數據表中是否有任何記錄。 每分鐘應該從每個代理程式傳送一筆記錄至此資料表。

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

確認已收到記錄

安裝代理程式並開始執行任何新的或修改的 DCR 需要幾分鐘的時間。 接著,您可以檢查每個來源在Log Analytics 工作區中寫入的數據表,確認是否從每個數據源接收記錄。

例如,下列查詢會檢查事件數據表中的 Windows 事件

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

疑難排解

如果您預期看到的數據未收集,請完成下列步驟:

  1. 確認代理程式已安裝並在機器上執行。

  2. 請參閱文章的疑難解答一節,以瞭解您遇到問題的數據源。

  3. 啟用 DCR 的監視,然後:

    1. 檢視指標,以判斷資料是否正在收集,以及是否要卸除任何資料列。
    2. 檢視記錄以識別資料收集中的錯誤。

相關內容