Shromažďování událostí a čítačů výkonu z virtuálních počítačů pomocí agenta služby Azure Monitor

Tento článek popisuje, jak shromažďovat události a čítače výkonu z virtuálních počítačů pomocí agenta služby Azure Monitor.

Požadavky

K dokončení tohoto postupu potřebujete:

• Pracovní prostor služby Log Analytics, kde máte alespoň práva přispěvatele.
• Oprávnění k vytváření objektů pravidla shromažďování dat v pracovním prostoru
• Přidružte pravidlo shromažďování dat ke konkrétním virtuálním počítačům.

Vytvoření pravidla shromažďování dat

Můžete definovat pravidlo shromažďování dat pro odesílání dat z více počítačů do více pracovních prostorů služby Log Analytics, včetně pracovních prostorů v jiné oblasti nebo tenantovi. Vytvořte pravidlo shromažďování dat ve stejné oblasti jako pracovní prostor služby Log Analytics. Data událostí Windows a Syslogu můžete odesílat jenom do protokolů služby Azure Monitor. Čítače výkonu můžete odesílat do metrik služby Azure Monitor i do protokolů služby Azure Monitor.

Poznámka:

V tuto chvíli se prostředky Microsoft.HybridCompute (servery s podporou Azure Arc) nedají zobrazit v Průzkumníku metrik (uživatelské prostředí webu Azure Portal), ale dají se získat prostřednictvím rozhraní REST API metrik (obory názvů metrik – Seznam, definice metrik – Seznam a metriky – List).

Poznámka:

Pokud chcete odesílat data mezi tenanty, musíte nejprve povolit Azure Lighthouse.

Azure Portal

1. V nabídce Monitorování vyberte Pravidla shromažďování dat.

2. Výběrem možnosti Vytvořit vytvoříte nové pravidlo a přidružení shromažďování dat.

   

3. Zadejte název pravidla a zadejte předplatné, skupinu prostředků, oblast a typ platformy:

   • Oblast určuje, kde se bude řadič domény vytvářet. Virtuální počítače a jejich přidružení můžou být v libovolném předplatném nebo skupině prostředků v tenantovi.
   • Typ platformy určuje typ prostředků, na které se toto pravidlo může použít. Možnost Vlastní umožňuje pro typy Windows i Linux.

   

4. On the Resources tab:

5. 1. Vyberte + Přidat prostředky a přidružte prostředky k pravidlu shromažďování dat. Prostředky můžou být virtuální počítače, škálovací sady virtuálních počítačů a Azure Arc pro servery. Azure Portal nainstaluje agenta Služby Azure Monitor na prostředky, které ho ještě nemají nainstalované.

      Důležité

      Portál umožňuje spravovanou identitu přiřazenou systémem na cílových prostředcích spolu s existujícími identitami přiřazenými uživatelem, pokud existují. Pokud v požadavku nezadáte identitu přiřazenou uživatelem, počítač místo toho použije identitu přiřazenou systémem.

      Pokud potřebujete izolaci sítě pomocí privátních propojení, vyberte existující koncové body ze stejné oblasti pro příslušné prostředky nebo vytvořte nový koncový bod.

   2. Vyberte Povolit koncové body shromažďování dat.

   3. Vyberte koncový bod shromažďování dat pro každý z prostředků přidružených k pravidlu shromažďování dat.

   

6. Na kartě Shromáždit a doručit vyberte Přidat zdroj dat a přidejte zdroj dat a nastavte cíl.

7. Vyberte typ zdroje dat.

8. Vyberte, která data chcete shromažďovat. U čítačů výkonu si můžete vybrat z předdefinované sady objektů a jejich vzorkovací frekvence. U událostí si můžete vybrat ze sady protokolů a úrovní závažnosti.

   

9. Výběrem možnosti Vlastní můžete shromažďovat protokoly a čítače výkonu, které nejsou aktuálně podporované zdroje dat nebo filtrovat události pomocí dotazů XPath. Potom můžete zadat XPath , který shromáždí všechny konkrétní hodnoty.

   Chcete-li shromáždit čítač výkonu, který není ve výchozím nastavení k dispozici, použijte formát \PerfObject(ParentInstance/ObjectInstance#InstanceIndex)\Counter. Pokud název čítače obsahuje ampersand (&), nahraďte ho .& Například \Memory\Free & Zero Page List Bytes.

   Příklady dcr najdete v tématu Ukázková pravidla shromažďování dat (DCR) ve službě Azure Monitor.

   

10. Na kartě Cíl přidejte pro zdroj dat jeden nebo více cílů. Můžete vybrat více cílů stejného nebo různých typů. Můžete například vybrat několik pracovních prostorů služby Log Analytics, které se také označuje jako multihoming.

    Události Windows a zdroje dat Syslog můžete odesílat jenom do protokolů služby Azure Monitor. Čítače výkonu můžete odesílat do metrik služby Azure Monitor i do protokolů služby Azure Monitor. V tuto chvíli prostředky hybridních výpočetních prostředků (Arc pro server) nepodporují cíl metrik Služby Azure Monitor (Preview).

    

11. Vyberte Přidat zdroj dat a pak vyberte Zkontrolovat a vytvořit , abyste zkontrolovali podrobnosti pravidla shromažďování dat a přidružení k sadě virtuálních počítačů.

12. Výběrem možnosti Vytvořit vytvořte pravidlo shromažďování dat.

Rozhraní API

1. Vytvořte soubor DCR pomocí formátu JSON uvedeného v ukázkovém DCR.

2. Vytvořte pravidlo pomocí rozhraní REST API.

3. Pomocí rozhraní REST API vytvořte přidružení pro každý virtuální počítač k pravidlu shromažďování dat.

PowerShell

Pravidla shromažďování dat

Akce	Příkaz
Získání pravidel	Get-AzDataCollectionRule
Vytvoření pravidla	New-AzDataCollectionRule
Aktualizace pravidla	Set-AzDataCollectionRule
Odstranění pravidla	Remove-AzDataCollectionRule
Aktualizace značek pro pravidlo	Update-AzDataCollectionRule

Přidružení pravidel shromažďování dat

Akce	Příkaz
Získání přidružení	Get-AzDataCollectionRuleAssociation
Vytvoření přidružení	New-AzDataCollectionRuleAssociation
Odstranění přidružení	Remove-AzDataCollectionRuleAssociation

Azure CLI

Tato funkce je povolená jako součást rozšíření azure CLI monitor-control-service. Zobrazit všechny příkazy

RAMENO

Vytvoření přidružení k virtuálnímu počítači Azure

Následující ukázka vytvoří přidružení mezi virtuálním počítačem Azure a pravidlem shromažďování dat.

Soubor šablony

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Soubor parametrů

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Vytvoření přidružení se službou Azure Arc

Následující ukázka vytvoří přidružení mezi serverem s podporou Azure Arc a pravidlem shromažďování dat.

Soubor šablony

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Vytvoření přidružení k virtuálnímu počítači Azure

Následující ukázka vytvoří přidružení mezi virtuálním počítačem Azure a pravidlem shromažďování dat.

Soubor šablony

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Soubor parametrů

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Vytvoření přidružení se službou Azure Arc

Následující ukázka vytvoří přidružení mezi serverem s podporou Azure Arc a pravidlem shromažďování dat.

Soubor šablony

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Soubor parametrů

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Poznámka:

Po vytvoření pravidla shromažďování dat může trvat až 5 minut, než se data odesílají do cílů.

Filtrování událostí pomocí dotazů XPath

Účtují se vám poplatky za všechna data, která shromažďujete v pracovním prostoru služby Log Analytics. Proto byste měli shromažďovat jenom data událostí, která potřebujete. Základní konfigurace na webu Azure Portal poskytuje omezenou možnost odfiltrovat události.

Tip

Strategie pro snížení nákladů na Azure Monitor najdete v tématu Optimalizace nákladů a Azure Monitor.

Pokud chcete zadat více filtrů, použijte vlastní konfiguraci a zadejte XPath, který filtruje události, které nepotřebujete. Položky XPath jsou zapsány ve formuláři LogName!XPathQuery. Můžete například chtít vracet pouze události z protokolu událostí aplikace s ID události 1035. Pro XPathQuery tyto události by byly *[System[EventID=1035]]. Vzhledem k tomu, že chcete načíst události z protokolu událostí aplikace, je XPath Application!*[System[EventID=1035]]

Extrahování dotazů XPath z Windows Prohlížeč událostí

Ve Windows můžete pomocí Prohlížeč událostí extrahovat dotazy XPath, jak je znázorněno na snímcích obrazovky.

Když vložíte dotaz XPath do pole na obrazovce Přidat zdroj dat, jak je znázorněno v kroku 5, musíte připojit kategorii typu protokolu následovanou vykřičníkem (!).

Tip

K otestování platnosti dotazu XPath místně na vašem počítači můžete použít rutinu Get-WinEvent PowerShellu FilterXPath s parametrem. Další informace najdete v tipu uvedeném v pokynech pro připojení založená na agentech systému Windows. Rutina Get-WinEvent PowerShellu podporuje až 23 výrazů. Pravidla shromažďování dat služby Azure Monitor podporují až 20. Následující skript ukazuje příklad:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• V předchozí rutině je hodnota -LogName parametru počáteční částí dotazu XPath do vykřičníku (!). Zbytek dotazu XPath přejde do parametru $XPath .
• Pokud skript vrátí události, dotaz je platný.
• Pokud se zobrazí zpráva "Nebyly nalezeny žádné události, které odpovídají zadaným kritériím výběru", může být dotaz platný, ale na místním počítači neexistují žádné odpovídající události.
• Pokud se zobrazí zpráva Zadaný dotaz je neplatný, syntaxe dotazu je neplatná.

Příklady použití vlastní cesty XPath k filtrování událostí:

Popis	XPath
Shromažďování pouze systémových událostí s ID události = 4648	System!*[System[EventID=4648]]
Shromažďování událostí protokolu zabezpečení s ID události = 4648 a názvem procesu consent.exe	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Shromážděte všechny kritické události, chyby, upozornění a informace z protokolu událostí systému s výjimkou ID události = 6 (načtený ovladač).	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Shromážděte všechny události zabezpečení úspěchu a selhání s výjimkou události s ID 4624 (úspěšné přihlášení).	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Poznámka:

Seznam omezení v XPathu podporovaném protokolem událostí Systému Windows najdete v tématu Omezení XPath 1.0.
V rámci dotazu můžete například použít funkce "position", "Band" a "timediff", ale jiné funkce, jako je "start-with" a "contains", se v současné době nepodporují.

Nejčastější dotazy

Tato část obsahuje odpovědi na běžné otázky.

Jak můžu shromažďovat události zabezpečení Windows pomocí agenta služby Azure Monitor?

Události zabezpečení můžete shromažďovat dvěma způsoby při odesílání do pracovního prostoru služby Log Analytics pomocí nového agenta:

• Agenta služby Azure Monitor můžete použít k nativnímu shromažďování událostí zabezpečení, stejně jako u jiných událostí Windows. Tyto toky se přetáčí do tabulky Event v pracovním prostoru služby Log Analytics.
• Pokud máte v pracovním prostoru povolený Microsoft Sentinel, tok událostí zabezpečení přes agenta Azure Monitoru SecurityEvent do tabulky (totéž jako u agenta Log Analytics). Tento scénář vždy vyžaduje, aby bylo řešení povolené jako první.

Duplikuji události, pokud na stejném počítači používám agenta Azure Monitoru a agenta Log Analytics?

Pokud shromažďujete stejné události s oběma agenty, dojde k duplikaci. Toto duplikování může být starší verze agenta, který shromažďuje redundantní data z konfiguračních dat pracovního prostoru, které shromažďuje pravidlo shromažďování dat. Nebo můžete shromažďovat události zabezpečení se starší verzí agenta a povolovat události zabezpečení Windows pomocí konektorů agenta služby Azure Monitor v Microsoft Sentinelu.

Omezte duplicitní události pouze na čas, kdy přecházíte z jednoho agenta na druhý. Po úplném otestování pravidla shromažďování dat a ověření jeho shromažďování dat zakažte shromažďování dat pro pracovní prostor a odpojte všechny datové konektory microsoft Monitoring Agenta.

Nabízí agent Azure Monitor podrobnější možnosti filtrování událostí než dotazy Xpath a specifikuje čítače výkonu?

U událostí Syslogu v Linuxu můžete vybrat zařízení a úroveň protokolu pro každé zařízení.

Pokud vytvořím pravidla shromažďování dat, která obsahují stejné ID události a přidružím je ke stejnému virtuálnímu počítači, budou události duplikovány?

Ano. Abyste se vyhnuli duplikaci, ujistěte se, že výběr události, kterou v pravidlech shromažďování dat provedete, neobsahuje duplicitní události.

Další kroky

• Shromážděte textové protokoly pomocí agenta služby Azure Monitor.
• Přečtěte si další informace o agentu služby Azure Monitor.
• Přečtěte si další informace o pravidlech shromažďování dat.