使用 Azure 監視器代理程式收集資料
Azure 監視器代理程式 (AMA) 可用來從 Azure 虛擬機器、虛擬機器擴展集和已啟用 Arc 的伺服器收集資料。 資料收集規則 (DCR) 定義要從代理程式收集的資料,以及該資料應該傳送的位置。 本文說明如何使用 Azure 入口網站來建立 DCR 來收集不同類型的資料,並在需要它的任何機器上安裝代理程式。
如果您不熟悉 Azure 監視器或具有基本資料收集需求,您可以使用 Azure 入口網站和本文中的指導來符合所有需求。 如果您想要利用其他 DCR 功能,例如 轉換,您可能需要使用其他方法來建立 DCR,或在入口網站中建立 DCR 之後加以編輯。 如果您想要使用 CLI、PowerShell、ARM 範本或 Azure 原則進行部署,也可以使用不同的方法來管理 DCR 並建立關聯。
注意
若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse。
警告
下列情況可能會收集重複的資料,這可能會導致額外的費用。
- 使用相同的資料來源建立多個 DCR,並將其與相同的代理程式產生關聯。 請確定您正在篩選 DCR 中的資料,讓每個 DCR 都會收集唯一的資料。
- 建立 DCR 以收集安全性記錄,並為相同的代理程式啟用 Sentinel。 在此情況下,您可以在 Event 資料表和 SecurityEvent 資料表中收集相同的事件。
- 在同一部機器上使用 Azure 監視器代理程式和舊版 Log Analytics 代理程式。 將重複事件限制為只有從一個代理程式轉換到另一個代理程式的時間。
資料來源
下表列出您目前可以使用 Azure 監視器代理程式收集的資料類型,以及您可以傳送該資料的位置。 每個項目的連結是一篇文章,描述如何設定該資料來源的詳細資料。 請遵循本文來建立 DCR 並將它指派給資源,然後遵循連結的文章來設定資料來源。
資料來源 | 描述 | 用戶端 OS | 目的地 |
---|---|---|---|
Windows 事件 | 傳送至 Windows 事件記錄系統的資訊,包括 sysmon 事件。 | Windows | Log Analytics 工作區 |
效能計數器 | 測量作業系統和工作負載不同層面效能的數值。 | Windows Linux |
Azure 監視器指標 (預覽) Log Analytics 工作區 |
Syslog | 傳送至 Linux 事件記錄系統的資訊。 | Linux | Log Analytics 工作區 |
文字記錄 | 傳送至本機磁碟上文字記錄檔的資訊。 | Windows Linux |
Log Analytics 工作區 |
JSON 記錄 | 傳送至本機磁碟上 JSON 記錄檔的資訊。 | Windows Linux |
Log Analytics 工作區 |
IIS 記錄 | Windows 機器本機磁碟的 Internet Information Service (IIS) 記錄 | Windows | Log Analytics 工作區 |
注意
Azure 監視器代理程式也支援 Azure 服務 SQL 最佳做法評量目前已正式推出。 如需詳細資訊,請參閱使用 Azure 監視器代理程式設定最佳做法評定。
必要條件
- 在工作區中建立資料收集規則物件的權限。
- 如需任何其他必要條件,請參閱說明每個資料來源的文章。
建立資料收集規則 (DCR)
Azure 入口網站為虛擬機器和虛擬機器擴展集建立 DCR 提供了簡易化建立體驗。 使用此方法時,您不需要了解 DCR 結構,除非您想要實作進階功能,例如轉換。 您也可以使用 Azure 監視器中建立資料收集規則 (DCR) 中所述的其他建立方法。
在Azure 入口網站的 [監視器] 功能表上,選取 [資料收集規則]>[建立] 以開啟 [DCR 建立] 頁面。
基本 頁面包含 DCR 的基本資訊。
設定 | 描述 |
---|---|
規則名稱 | DCR 的名稱。 名稱應該是可協助您識別規則的描述性文字。 |
訂用帳戶 | 用來儲存 DCR 的訂用帳戶。 訂用帳戶不需要是與虛擬機器相同的訂用帳戶。 |
資源群組 | 用來儲存 DCR 的資源群組。 資源群組不需要是與虛擬機器相同的資源群組。 |
區域 | 要儲存 DCR 的區域。 該區域必須與 DCR 目的地中使用的任何 Log Analytics 工作區或 Azure 監視器工作區相同。 如果您有不同區域中的工作區,請建立與同一組機器關聯的多個 DCR。 |
平台類型 | 指定 DCR 可用的資料來源類型,Windows 或 Linux。 None 允許兩者。 1 |
資料收集端點 | 指定用來收集資料的資料收集端點 (DCE)。 DCE 只有在您使用 Azure 監視器 Private Link 時才需要。 此 DCE 必須位於與 DCR 相同的區域中。 如需詳細資訊,請參閱如何根據您的部署設定資料收集端點。 |
1 此選項會在 DCR 中設定 kind
屬性。 有其他值可以針對這個屬性設定,但這些值無法在入口網站中使用。
新增資源
[ 資源] 頁面可讓您新增要與 DCR 相關聯的 VM。 選取 [+ 新增資源] 以選取資源。 Azure 監視器代理程式會自動安裝在尚未擁有它的任何資源上,而且會在計算機與 DCR 之間建立數據收集規則關聯 (DCRA)。
重要
除了現有的使用者指派身分識別以外 (若有),入口網站也會在目標資源上啟用系統指派的受控識別。 針對現有應用程式,除非您在要求中指定使用者指派的身分識別,否則機器預設會改用系統指派的身分識別。
如果您要監視的機器與目的地 Log Analytics 工作區不同,而且您正在收集需要 DCE 的資料類型,請選取 [啟用資料收集端點],然後選取每個受監視機器區域中的端點。 如果受監視的機器位於與目的地 Log Analytics 工作區相同的區域,或您不需要 DCE,請勿在 [資源] 索引標籤上選取資料收集端點。
新增資料來源
收集並傳遞 頁面可讓您新增和設定 DCR 的資料來源,以及每個資料來源的目的地。
螢幕元素 | 描述 |
---|---|
資料來源 | 選取 [資料來源類型],並根據您選取的資料來源類型定義相關欄位。 如需設定每個資料來源類型的詳細資料,請參閱資料來源中的文章。 |
目的地 | 為每個資料來源新增一或多個目的地。 您可以選取相同或不同類型的多個目的地。 例如,您可以選取多個 Log Analytics 工作區,亦稱為多路連接。 如需其支援的不同目的地,請參閱每個資料類型的詳細資料。 |
DCR 可以包含多個不同的資料來源,單一 DCR 中最高可達 10 個資料來源。 您可以在相同的 DCR 中合併不同的資料來源,但通常您會希望針對不同的資料收集案例建立不同的 DCR。 如需如何組織 DCR 的建議,請參閱 Azure 監視器中資料收集規則建立和 Azure 監視器管理的最佳做法。
注意
使用資料收集規則精靈建立資料收集規則時,最多可能需要 5 分鐘的時間,資料才會傳送至目的地。
驗證作業
建立 DCR 並與機器建立關聯後,您就可以在 Log Analytics 工作區中執行查詢來確認代理程式是否正常運作,以及是否正在收集該資料。
確認代理程式作業
在 Log Analytics 中執行下列查詢來確認代理程式是否正常運作,並正常通訊,以檢查 Heartbeat 資料表中是否有任何記錄。 每分鐘應該從每個代理程式傳送一筆記錄至此資料表。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
確認正在接收記錄
安裝代理程式並開始執行任何新的或修改的 DCR 需要幾分鐘的時間。 然後,您可以檢查 Log Analytics 工作區中每個寫入的資料表,確認是否從每個資料來源接收記錄。 例如,下列查詢會檢查 事件 資料表中的 Windows 事件。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
疑難排解
如果您沒有收集到預期的資料,請執行下列步驟。
- 確認代理程式已安裝並在機器上執行。
- 如需發生問題之資料來源的文章,請參閱 疑難排解 一節。
- 請參閱 監視和疑難排解 Azure 監視器中的 DCR 資料收集,以啟用 DCR 的監視。
- 檢視指標,以判斷資料是否正在收集,以及是否要卸除任何資料列。
- 檢視記錄以識別資料收集中的錯誤。
下一步
- 使用 Azure 監視器代理程式收集文字記錄。
- 深入了解 Azure 監視器代理程式。
- 深入了解資料收集規則。