Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje proces migrace do agenta Azure Monitor (AMA), pokud máte existujícího staršího agenta Log Analytics (MMA/OMS) a pracujete s Microsoft Sentinel.
Agent Log Analytics je k 31. srpnu 2024 vyřazen. Pokud v nasazení Microsoft Sentinel používáte agenta Log Analytics, doporučujeme migrovat do AMA.
Požadavky
- Začněte s dokumentací ke službě Azure Monitor, která poskytuje porovnání agentů a obecné informace pro tento proces migrace. Tento článek obsahuje konkrétní podrobnosti a rozdíly pro Microsoft Sentinel.
Migrace na agenta Azure Monitor
Každá organizace bude mít různé metriky úspěšnosti a interních procesů migrace. Tato část obsahuje doporučené pokyny, které byste měli zvážit při migraci z agenta Log Analytics MMA/OMS do AMA, konkrétně pro Microsoft Sentinel.
Do procesu migrace zahrňte následující kroky:
Ujistěte se, že jste si prostudovali nezbytné požadavky a další důležité informace, jak je popsáno v dokumentaci k Azure Monitoru. Další informace najdete v tématu Než začnete.
Spusťte testování konceptu a otestujte, jak AMA odesílá data do Microsoft Sentinel, ideálně ve vývojovém prostředí nebo sandboxu.
V Microsoft Sentinel nainstalujte řešení Microsoft Sentinel Zabezpečení Windows Events. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.
Pokud chcete připojit počítače s Windows ke konektoru událostí Zabezpečení Windows, začněte na stránce Zabezpečení Windows Události prostřednictvím datového konektoru AMA v Microsoft Sentinel. Další informace najdete v tématu Připojení založená na agentech systému Windows.
Pokračujte na stránce Události zabezpečení prostřednictvím datového konektoru starší verze agenta . Na kartě Pokyny v části Konfigurace>Krok 2>Vyberte události, které se mají streamovat, vyberte Žádné. Tím se systém nakonfiguruje tak, aby prostřednictvím MMA nebo OMS nepřicházely žádné události zabezpečení, ale ostatní zdroje dat, které se spoléhají na tohoto agenta, budou dál fungovat. Tento krok ovlivní všechny počítače, které se hlásí do aktuálního pracovního prostoru služby Log Analytics.
Důležité
Ingestování dat ze stejného zdroje pomocí dvou různých typů agentů způsobí dvojí poplatky za příjem dat a duplicitní události v pracovním prostoru Microsoft Sentinel.
Pokud potřebujete, aby oba datové konektory běžely současně, doporučujeme, abyste to udělali jenom po omezenou dobu pro srovnávací testy nebo aktivitu porovnání testů, ideálně v samostatném testovacím pracovním prostoru.
Změřte úspěšnost testování konceptu.
S tímto krokem vám pomůže sešit sledování migrace AMA , který zobrazuje servery, které se hlásí do vašich pracovních prostorů, a jestli mají nainstalované starší verze AGENTa MMA, AMA nebo oba agenty. Tento sešit můžete také použít k zobrazení dcr shromažďujících události z vašich počítačů a událostí, které shromažďují.
Nezapomeňte v horní části sešitu vybrat předplatné a skupinu prostředků, aby se zobrazila data pro vaše prostředí. Příklady:
Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinel.
Kritéria úspěchu by měla zahrnovat statistickou analýzu a porovnání kvantitativních dat přijatých agenty MMA/OMS a AMA na stejném hostiteli:
Změřte svůj úspěch za předdefinované časové období, které představuje běžnou úlohu pro vaše prostředí.
Během testování nezapomeňte otestovat každou novou funkci, kterou poskytuje AMA, jako je Linux vícenásobné navádění, filtrování událostí Windows atd.
Naplánujte zavedení agentů AMA v produkčním prostředí podle rizikového profilu vaší organizace a procesů změn.
Nasaďte nového agenta v produkčním prostředí a spusťte poslední test funkčnosti AMA.
Odpojte všechny datové konektory, které spoléhají na starší konektor, například události zabezpečení s MMA. Nový konektor, například Zabezpečení Windows Events s AMA, nechte spuštěný.
I když můžete mít paralelně spuštěné starší verze MMA/OMS i agenty AMA, zabráníte duplicitním nákladům a datům tím, že každý zdroj dat používá k odesílání dat do Microsoft Sentinel jenom jednoho agenta.
Zkontrolujte Microsoft Sentinel pracovní prostor a ujistěte se, že všechny datové streamy byly nahrazeny pomocí nových konektorů založených na AMA.
Odinstalujte starší verzi agenta. Další informace najdete v tématu Správa agenta Azure Log Analytics.
Pro uvedení do produkčního prostředí doporučujeme nakonfigurovat AMA pro každý zdroj dat. Pokud chcete vyřešit případné problémy s duplikací, přečtěte si příslušné nejčastější dotazy v dokumentaci ke službě Azure Monitor.
Související obsah
Další informace najdete tady: