Shromažďování událostí a čítačů výkonu z virtuálních počítačů pomocí agenta Azure Monitoru

Tento článek popisuje, jak shromažďovat události a čítače výkonu z virtuálních počítačů pomocí agenta Azure Monitoru.

Požadavky

K dokončení tohoto postupu potřebujete:

• Pracovní prostor služby Log Analytics, ve kterém máte alespoň práva přispěvatele.
• Oprávnění k vytváření objektů pravidla shromažďování dat v pracovním prostoru
• Přidružte pravidlo shromažďování dat ke konkrétním virtuálním počítačům.

Vytvoření pravidla shromažďování dat

Můžete definovat pravidlo shromažďování dat pro odesílání dat z více počítačů do několika pracovních prostorů služby Log Analytics, včetně pracovních prostorů v jiné oblasti nebo tenantovi. Vytvořte pravidlo shromažďování dat ve stejné oblasti jako pracovní prostor služby Log Analytics.

Poznámka

Pokud chcete odesílat data mezi tenanty, musíte nejprve povolit Azure Lighthouse.

Azure Portal

1. V nabídce Monitorování vyberte Pravidla shromažďování dat.

2. Vyberte Vytvořit a vytvořte nové pravidlo a přidružení shromažďování dat.

   

3. Zadejte název pravidla a zadejte předplatné, skupinu prostředků, oblast a typ platformy:

   • Oblast určuje, kde se dcr vytvoří. Virtuální počítače a jejich přidružení můžou být v libovolném předplatném nebo skupině prostředků v tenantovi.
   • Typ platformy určuje typ prostředků, na které se toto pravidlo může vztahovat. Možnost Vlastní umožňuje používat typy Windows i Linux.

   

4. Na kartě Prostředky :

5. 1. Vyberte + Přidat prostředky a přidružte je k pravidlu shromažďování dat. Prostředky můžou být virtuální počítače, Virtual Machine Scale Sets a Azure Arc pro servery. Azure Portal nainstaluje agenta Azure Monitoru na prostředky, které ho ještě nemají nainstalované.

      Důležité

      Portál povolí spravované identity přiřazené systémem na cílových prostředcích společně s existujícími identitami přiřazenými uživatelem, pokud nějaké existují. U existujících aplikací, pokud v požadavku nezadáte identitu přiřazenou uživatelem, počítač místo toho použije identitu přiřazenou systémem.

      Pokud potřebujete izolaci sítě pomocí privátních propojení, vyberte pro příslušné prostředky existující koncové body ze stejné oblasti nebo vytvořte nový koncový bod.

   2. Vyberte Povolit koncové body shromažďování dat.

   3. Vyberte koncový bod shromažďování dat pro každý z prostředků přidružených k pravidlu shromažďování dat.

   

6. Na kartě Shromáždit a doručit vyberte Přidat zdroj dat , přidejte zdroj dat a nastavte cíl.

7. Vyberte Typ zdroje dat.

8. Vyberte, která data chcete shromažďovat. U čítačů výkonu si můžete vybrat z předdefinované sady objektů a jejich vzorkovací frekvence. U událostí si můžete vybrat ze sady protokolů a úrovní závažnosti.

   

9. Vyberte Vlastní , pokud chcete shromažďovat protokoly a čítače výkonu, které nejsou aktuálně podporované zdroje dat , nebo filtrovat události pomocí dotazů XPath. Potom můžete zadat cestu XPath , která shromáždí konkrétní hodnoty. Příklad najdete v tématu Ukázka DCR.

   

10. Na kartě Cíl přidejte jeden nebo více cílů pro zdroj dat. Můžete vybrat více cílů stejného typu nebo různých typů. Můžete například vybrat několik pracovních prostorů služby Log Analytics, což se také označuje jako multihoming.

    Zdroje dat Událostí Windows a Syslog můžete odesílat pouze do protokolů služby Azure Monitor. Čítače výkonu můžete odesílat do metrik Azure Monitoru i protokolů služby Azure Monitor.

    

11. Vyberte Přidat zdroj dat a pak vyberte Zkontrolovat a vytvořit a zkontrolujte podrobnosti o pravidle shromažďování dat a přidružení k sadě virtuálních počítačů.

12. Vyberte Vytvořit a vytvořte pravidlo shromažďování dat.

Rozhraní API

1. Vytvořte soubor DCR pomocí formátu JSON uvedeného v ukázce DCR.

2. Vytvořte pravidlo pomocí rozhraní REST API.

3. Vytvořte přidružení pro každý virtuální počítač k pravidlu shromažďování dat pomocí rozhraní REST API.

PowerShell

Pravidla shromažďování dat

Akce	Příkaz
Získání pravidel	Get-AzDataCollectionRule
Vytvoření pravidla	New-AzDataCollectionRule
Aktualizace pravidla	Set-AzDataCollectionRule
Odstranění pravidla	Remove-AzDataCollectionRule
Aktualizace značek pro pravidlo	Update-AzDataCollectionRule

Přidružení pravidel shromažďování dat

Akce	Příkaz
Získání přidružení	Get-AzDataCollectionRuleAssociation
Vytvoření přidružení	New-AzDataCollectionRuleAssociation
Odstranění přidružení	Remove-AzDataCollectionRuleAssociation

Azure CLI

Tato funkce je povolená jako součást rozšíření monitor-control-service v Azure CLI. Zobrazte všechny příkazy.

Šablona Resource Manageru

Ukázkové šablony najdete v tématu Ukázky šablon Azure Resource Manager pro pravidla shromažďování dat ve službě Azure Monitor.

Poznámka

Po vytvoření pravidla shromažďování dat může trvat až 5 minut, než se data odesílají do cílů.

Filtrování událostí pomocí dotazů XPath

Účtují se vám všechna data, která shromáždíte v pracovním prostoru služby Log Analytics. Proto byste měli shromažďovat pouze data událostí, která potřebujete. Základní konfigurace v Azure Portal poskytuje omezenou možnost filtrování událostí.

Tip

Strategie snížení nákladů na Azure Monitor najdete v tématech Optimalizace nákladů a Azure Monitor.

Pokud chcete zadat více filtrů, použijte vlastní konfiguraci a zadejte cestu XPath, která vyfiltruje události, které nepotřebujete. Položky XPath jsou zapsány ve tvaru LogName!XPathQuery. Můžete například chtít vracet pouze události z protokolu událostí aplikace s ID události 1035. Hodnota XPathQuery pro tyto události by byla *[System[EventID=1035]]. Vzhledem k tomu, že chcete načíst události z protokolu událostí aplikace, XPath je Application!*[System[EventID=1035]]

Extrakce dotazů XPath z Windows Prohlížeč událostí

Ve Windows můžete pomocí Prohlížeč událostí extrahovat dotazy XPath, jak je znázorněno na snímcích obrazovky.

Když vložíte dotaz XPath do pole na obrazovce Přidat zdroj dat , jak je znázorněno v kroku 5, musíte přidat kategorii typu protokolu následovanou vykřičníkem (!).

Tip

Pomocí rutiny Get-WinEvent PowerShellu s parametrem FilterXPath můžete nejprve otestovat platnost dotazu XPath místně na vašem počítači. Následující skript ukazuje příklad:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• V předchozí rutině je hodnota -LogName parametru počáteční částí dotazu XPath až do vykřičníku (!). Zbytek dotazu XPath přejde do parametru $XPath .
• Pokud skript vrátí události, je dotaz platný.
• Pokud se zobrazí zpráva "Nebyly nalezeny žádné události, které odpovídají zadaným kritériím výběru", může být dotaz platný, ale na místním počítači nejsou žádné odpovídající události.
• Pokud se zobrazí zpráva Zadaný dotaz je neplatný, syntaxe dotazu je neplatná.

Příklady použití vlastní cesty XPath k filtrování událostí:

Description	XPath
Shromažďování pouze systémových událostí s ID události = 4648	System!*[System[EventID=4648]]
Shromažďování událostí protokolu zabezpečení s ID události = 4648 a názvem procesu consent.exe	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Shromážděte všechny události Critical, Error, Warning a Information z protokolu událostí systému s výjimkou ID události = 6 (načtený ovladač).	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Shromažďování všech úspěšných a neúspěšných událostí zabezpečení s výjimkou ID události 4624 (úspěšné přihlášení)	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Poznámka

Seznam omezení v XPath podporovaném protokolem událostí Windows najdete v tématu Omezení XPath 1.0.
V rámci dotazu můžete například použít funkce "position", "Band" a "timediff", ale jiné funkce, jako jsou "start-na" a "contains", se v současné době nepodporují.

Další kroky

• Shromážděte textové protokoly pomocí agenta Azure Monitoru.
• Přečtěte si další informace o agentu Azure Monitoru.
• Přečtěte si další informace o pravidlech shromažďování dat.