Sdílet prostřednictvím


Použití řešení Service Map v Azure

Service Map automaticky rozpozná komponenty aplikace v systémech Windows a Linux a mapuje komunikaci mezi službami. Se službou Service Map můžete své servery zobrazit jako vzájemně propojené systémy, které poskytují důležité služby. Service Map zobrazuje připojení mezi servery, procesy, latencí příchozích a odchozích připojení a porty v libovolné architektuře připojené k protokolu TCP. Kromě instalace agenta se nevyžaduje žádná konfigurace.

Důležité

Service Map bude vyřazen 30. září 2025. Pokud chcete monitorovat připojení mezi servery, procesy, latencí příchozích a odchozích připojení a porty v libovolné architektuře připojené k protokolu TCP, nezapomeňte migrovat na přehledy virtuálních počítačů azure Monitor před tímto datem.

Tento článek popisuje, jak nasadit a používat Service Map. Požadavky řešení jsou následující:

  • Pracovní prostor služby Log Analytics v podporované oblasti.
  • Agent Log Analytics nainstalovaný na počítači s Windows nebo na serveru s Linuxem připojený ke stejnému pracovnímu prostoru, se kterým jste povolili řešení.
  • Agent závislostí nainstalovaný na počítači s Windows nebo na serveru s Linuxem.

Poznámka

Pokud jste už službu Service Map nasadili, můžete mapy zobrazit také v přehledech virtuálních počítačů, které obsahují další funkce pro monitorování stavu a výkonu virtuálních počítačů. Další informace najdete v přehledech virtuálních počítačů. Informace o rozdílech mezi řešením Service Map a funkcí mapy přehledů virtuálních počítačů najdete v těchto nejčastějších dotazech.

Přihlášení k Azure

Přihlaste se k webu Azure Portal.

Povolení služby Service Map

  1. Povolte řešení Service Map z Azure Marketplace. Nebo použijte postup popsaný v tématu Přidání řešení monitorování z galerie řešení.

  2. Nainstalujte agenta závislostí ve Windows nebo agenta závislostí v Linuxu na každý počítač, na který chcete získat data. Agent závislostí může monitorovat připojení k bezprostředním sousedům, takže agenta nemusíte potřebovat na každém počítači.

  3. Získejte přístup ke službě Service Map v Azure Portal z pracovního prostoru služby Log Analytics. V levém podokně vyberte možnost Starší řešení .

    Snímek obrazovky znázorňující výběr možnosti Řešení v pracovním prostoru

  4. V seznamu řešení vyberte ServiceMap(workspaceName). Na stránce Přehled řešení Service Map vyberte dlaždici souhrnu Service Map .

    Snímek obrazovky zobrazující dlaždici se souhrnem služby Service Map

Případy použití: Zajištění povědomí o závislostech IT procesů

Zjišťování

Service Map automaticky vytvoří společnou referenční mapu závislostí mezi vašimi servery, procesy a službami třetích stran. Zjišťuje a mapuje všechny závislosti TCP. Identifikuje překvapivá připojení, vzdálené systémy třetích stran, na kterých závisíte, a závislosti na tradičních tmavých oblastech vaší sítě, jako je Active Directory. Service Map zjistí neúspěšná síťová připojení, která se vaše spravované systémy pokouší navazovat. Tyto informace vám pomůžou identifikovat potenciální chyby konfigurace serveru, výpadky služeb a problémy se sítí.

Správa incidentů

Service Map pomáhá eliminovat odhady izolace problémů tím, že ukazuje, jak jsou systémy propojené a ovlivňují se navzájem. Spolu s identifikací neúspěšných připojení pomáhá identifikovat chybně nakonfigurované nástroje pro vyrovnávání zatížení, překvapivou nebo nadměrnou zátěž kritických služeb a podvodné klienty, jako jsou vývojářské počítače komunikující s produkčními systémy. Pomocí integrovaných pracovních postupů s Change Tracking můžete také zjistit, jestli událost změny na back-endovém počítači nebo službě vysvětluje původní příčinu incidentu.

Zajištění migrace

Pomocí Service Map můžete efektivně plánovat, urychlit a ověřovat migrace do Azure, abyste zajistili, že nic nezůstane pozadu a nedojde k překvapivým výpadkům. Můžete:

  • Seznamte se se všemi vzájemně závislými systémy, které je potřeba migrovat společně.
  • Vyhodnoťte konfiguraci a kapacitu systému.
  • Zjistěte, jestli spuštěný systém stále obsluhuje uživatele, nebo je kandidátem na vyřazení z provozu místo migrace.

Po dokončení přesunu můžete zkontrolovat zatížení a identitu klienta a ověřit, že se připojují testovací systémy a zákazníci. Pokud máte problémy s plánováním podsítě a definicemi brány firewall, neúspěšná připojení v mapách ve službě Service Map vás nasměrují na systémy, které potřebují připojení.

Kontinuita podnikových procesů

Pokud používáte Azure Site Recovery a potřebujete pomoct s definováním sekvence obnovení pro prostředí vaší aplikace, Service Map vám může automaticky ukázat, jak se systémy vzájemně spoléhají. Tyto informace pomáhají zajistit spolehlivost plánu obnovení.

Výběrem kritického serveru nebo skupiny a zobrazením jeho klientů můžete určit, které front-endové systémy se mají obnovit po obnovení serveru a jeho dostupnosti. Naopak když se podíváte na back-endové závislosti důležitých serverů, můžete určit, které systémy se mají obnovit před obnovením systémů fokusu.

Správa oprav

Service Map vylepšuje používání nástroje System Update Assessment tím, že ukazuje, které další týmy a servery jsou na vaší službě závislé. Tímto způsobem je můžete předem informovat před vyřazením systémů pro opravy. Service Map také vylepšuje správu oprav tím, že ukazuje, jestli jsou vaše služby po opravě a restartování k dispozici a správně připojené.

Přehled mapování

Agenti Service Map shromažďují informace o všech procesech připojených k protokolu TCP na serveru, na kterém jsou nainstalované. Shromažďují také podrobnosti o příchozích a odchozích připojeních pro každý proces.

V seznamu v levém podokně můžete vybrat počítače nebo skupiny, které mají agenty Service Map a vizualizovat jejich závislosti v zadaném časovém rozsahu. Mapy závislostí počítačů se zaměřují na konkrétní počítač. Zobrazí všechny počítače, které jsou přímými klienty TCP nebo servery daného počítače. Mapy skupin počítačů zobrazují sady serverů a jejich závislosti.

Snímek obrazovky s přehledem služby Service Map

Počítače je možné rozbalit na mapě a zobrazit spuštěné skupiny procesů a procesy s aktivními síťovými připojeními během vybraného časového rozsahu. Pokud je vzdálený počítač s agentem Service Map rozbalený tak, aby zobrazoval podrobnosti o procesu, zobrazí se pouze procesy, které komunikují s počítačem s fokusem.

Počet front-endových počítačů bez agentů, které se připojují k počítači s fokusem, je uvedený na levé straně procesů, ke kterým se připojují. Pokud se počítač s fokusem připojí k back-endu, který nemá žádného agenta, je back-endový server součástí skupiny portů serveru. Tato skupina zahrnuje také další připojení ke stejnému číslu portu.

Ve výchozím nastavení mapy ve službě Service Map zobrazují informace o závislostech za posledních 30 minut. Pomocí ovládacích prvků času v levém horním rohu můžete dotazovat mapy historických časových rozsahů až jedné hodiny, abyste viděli, jak závislosti vypadaly v minulosti. Můžete například chtít zjistit, jak vypadaly během incidentu nebo před změnou. Data Service Map se ukládají po dobu 30 dnů v placených pracovních prostorech a po dobu 7 dnů v bezplatných pracovních prostorech.

Odznáčky stavu a obarvení ohraničení

V dolní části každého serveru na mapě se může zobrazit seznam stavových odznáků, které sdělují informace o stavu serveru. Odznáčky označují relevantní informace o serveru z jedné z integrací řešení.

Výběrem odznáčku přejdete přímo na podrobnosti o stavu v pravém podokně. Mezi aktuálně dostupné odznáčky stavu patří Výstrahy, Service Desk, Změny, Zabezpečení a Aktualizace.

V závislosti na závažnosti odznáčku stavu můžou být ohraničení uzlů počítače červeně (kritická), žlutá (upozornění) nebo modrá (informační). Barva představuje nejzávažnější stav ze všech odznáků stavu. Šedé ohraničení označuje uzel, který nemá žádné indikátory stavu.

Snímek obrazovky zobrazící odznáčky stavu

Skupiny procesů

Skupiny procesů kombinují procesy, které jsou přidružené ke společnému produktu nebo službě, do skupiny procesů. Při rozbalení uzlu počítače se zobrazí samostatné procesy spolu se skupinami procesů. Pokud příchozí nebo odchozí připojení k procesu v rámci skupiny procesů selhalo, zobrazí se připojení jako neúspěšné pro celou skupinu procesů.

Skupiny počítačů

Skupiny počítačů umožňují zobrazit mapy zaměřené na sadu serverů, ne jenom na jednom serveru. Tímto způsobem můžete zobrazit všechny členy vícevrstvé aplikace nebo serverového clusteru na jedné mapě.

Uživatelé vyberou, které servery patří do skupiny, a zvolí název skupiny. Pak se můžete rozhodnout zobrazit skupinu se všemi jejími procesy a připojeními. Můžete ho také zobrazit jenom s procesy a připojeními, které přímo souvisejí s ostatními členy skupiny.

Snímek obrazovky se skupinami počítačů

Vytvoření skupiny počítačů

Postup vytvoření skupiny:

  1. V seznamu Počítače vyberte požadovaný počítač nebo počítače a vyberte Přidat do skupiny.

    Snímek obrazovky znázorňující vytvoření skupiny

  2. Vyberte Vytvořit novou a pojmenujte skupinu.

    Snímek obrazovky znázorňující pojmenování skupiny

Poznámka

Skupiny počítačů jsou omezené na 10 serverů.

Zobrazení skupiny

Po vytvoření některých skupin je můžete zobrazit.

  1. Vyberte kartu Skupiny.

    Snímek obrazovky znázorňující kartu Skupiny

  2. Výběrem názvu skupiny zobrazíte mapu pro tuto skupinu počítačů.

    Snímek obrazovky znázorňující mapu skupin počítačů

    Počítače, které patří do skupiny, jsou na mapě vyznačené bíle.

  3. Rozbalením skupiny zobrazte seznam počítačů, které tvoří skupinu počítačů.

    Snímek obrazovky znázorňující počítače se skupinami počítačů

Filtrovat podle procesů

Zobrazení mapy můžete přepnout tak, aby se zobrazily všechny procesy a připojení ve skupině nebo jenom ty, které přímo souvisejí se skupinou počítačů. Výchozí zobrazení zobrazuje všechny procesy.

  1. Výběrem ikony filtru nad mapou změňte zobrazení.

    Snímek obrazovky znázorňující filtrování skupiny

  2. Výběrem možnosti Všechny procesy zobrazíte mapu se všemi procesy a připojeními na každém počítači ve skupině.

    Snímek obrazovky znázorňující možnost Skupiny počítačů Všechny procesy

  3. Pokud chcete vytvořit zjednodušené zobrazení, změňte zobrazení tak, aby se zobrazovaly pouze procesy spojené se skupinami. Mapa se pak zúží tak, aby zobrazovala pouze ty procesy a připojení přímo připojená k jiným počítačům ve skupině.

    Snímek obrazovky znázorňující filtrované procesy skupin počítačů

Přidání počítačů do skupiny

Pokud chcete přidat počítače do existující skupiny, zaškrtněte políčka vedle požadovaných počítačů a vyberte Přidat do skupiny. Pak zvolte skupinu, do které chcete počítače přidat.

Odebrání počítačů ze skupiny

V seznamu Skupiny rozbalte název skupiny a vypište počítače ve skupině počítačů. Vyberte nabídku se třemi tečky vedle počítače, který chcete odebrat, a vyberte Odebrat.

Snímek obrazovky znázorňující odebrání počítače ze skupiny

Odebrání nebo přejmenování skupiny

Vyberte nabídku se třemi tečky vedle názvu skupiny v seznamu Skupiny .

Snímek obrazovky s nabídkou skupiny počítačů

Ikony rolí

Některé procesy obsluhují určité role na počítačích, jako jsou webové servery, aplikační servery a databáze. Mapa služeb anotuje pole procesů a počítačů ikonami rolí, aby bylo možné na první pohled identifikovat roli, která proces nebo server hraje.

Ikona role Description
Webový server Webový server
Aplikační server Aplikační server
Databázový server Databázový server
Server LDAP Server LDAP
Server SMB Server SMB

Snímek obrazovky s ikonami rolí

Neúspěšná připojení

Ve službě Service Map se neúspěšná připojení zobrazují v mapách pro procesy a počítače. Přerušovaná červená čára označuje, že se klientskému systému nedaří dosáhnout procesu nebo portu.

Neúspěšná připojení se hlásí z libovolného systému s nasazeným agentem Service Map, pokud se o neúspěšné připojení pokouší tento systém. Service Map měří tento proces sledováním soketů TCP, u kterých se nepodaří navázat připojení. Příčinou této chyby může být brána firewall, chybná konfigurace v klientovi nebo serveru nebo nedostupnost vzdálené služby.

Snímek obrazovky znázorňující jednu část služby Service Map se zvýrazněnou přerušovanou červenou čárou, která označuje neúspěšné připojení mezi procesem backup.pl a portem 4475

Pochopení neúspěšných připojení může pomoct s řešením potíží, ověřením migrace, analýzou zabezpečení a celkovým porozuměním architektury. Neúspěšná připojení jsou někdy neškodná, ale často ukazují přímo na problém. Prostředí pro převzetí služeb při selhání může být náhle nedostupné nebo dvě aplikační vrstvy nemusí po migraci do cloudu komunikovat.

Skupiny klientů

Skupiny klientů jsou pole na mapě, která představují klientské počítače, které nemají agenty závislostí. Jedna skupina klientů představuje klienty pro jednotlivé procesy nebo počítače.

Snímek obrazovky znázorňující skupiny klientů

Pokud chcete zobrazit IP adresy serverů ve skupině klientů, vyberte skupinu. Obsah skupiny je uvedený v podokně Vlastnosti skupiny klientů .

Snímek obrazovky s vlastnostmi skupiny klientů

Skupiny portů serveru

Skupiny portů serveru jsou pole, která představují porty serveru na serverech, které nemají agenty závislostí. Pole obsahuje port serveru a počet serverů s připojením k ho portu. Rozbalením pole zobrazíte jednotlivé servery a připojení. Pokud je v poli jenom jeden server, název nebo IP adresa se zobrazí.

Snímek obrazovky znázorňující skupiny portů serveru

Kontextová nabídka

Výběrem tří teček (...) v pravém horním rohu libovolného serveru zobrazte místní nabídku pro tento server.

Snímek obrazovky znázorňující možnosti Načíst mapu serveru a Zobrazit Self-Links pro server ve službě Service Map

Načtení mapy serveru

Výběrem možnosti Načíst mapu serveru přejdete na novou mapu s vybraným serverem jako novým počítačem s fokusem.

Výběrem možnosti Zobrazit odkazy na sebe překreslete uzel serveru, včetně všech odkazů na sebe sama, což jsou připojení TCP, která začínají a končí procesy v rámci serveru. Pokud se zobrazí odkazy na sebe, příkaz nabídky se změní na Skrýt odkazy na sebe , abyste je mohli vypnout.

Souhrn počítačů

Podokno Souhrn počítače obsahuje přehled operačního systému serveru, počty závislostí a data z jiných řešení. Mezi taková data patří metriky výkonu, lístky oddělení služeb, sledování změn, zabezpečení a aktualizace.

Snímek obrazovky znázorňující podokno Souhrn počítače

Vlastnosti počítače a procesu

Při procházení mapy ve službě Service Map můžete vybrat počítače a procesy a získat tak více kontextu o jejich vlastnostech. Počítače poskytují informace o názvu DNS, adresách IPv4, kapacitě procesoru a paměti, typu virtuálního počítače, operačním systému a verzi, času posledního restartování a ID agentů OMS a Service Map.

Snímek obrazovky znázorňující podokno Vlastnosti počítače

Můžete shromažďovat podrobnosti o spuštěných procesech z metadat operačního systému. Podrobnosti zahrnují název procesu, popis procesu, uživatelské jméno a doménu (ve Windows), název společnosti, název produktu, verzi produktu, pracovní adresář, příkazový řádek a čas zahájení procesu.

Snímek obrazovky znázorňující podokno Vlastnosti procesu

Podokno Souhrn procesu poskytuje další informace o připojení procesu, včetně jeho vázaných portů, příchozích a odchozích připojení a neúspěšných připojení.

Snímek obrazovky znázorňující podokno Souhrn procesu

Integrace upozornění

Service Map se integruje s upozorněními Azure a zobrazuje aktivovaná upozornění pro vybraný server ve vybraném časovém rozsahu. Server zobrazí ikonu, pokud jsou k dispozici aktuální výstrahy, a v podokně Výstrahy počítače se výstrahy zobrazí.

Snímek obrazovky znázorňující podokno Upozornění počítače

Pokud chcete službě Service Map povolit zobrazování relevantních výstrah, vytvořte pravidlo upozornění, které se aktivuje pro konkrétní počítač. Vytvoření správných upozornění:

  • Zahrnout klauzuli pro seskupení podle počítače. Příkladem je interval počítače 1 minuta.
  • Zvolte upozornění na základě měření metriky.

Integrace událostí protokolování

Service Map se integruje s prohledáváním protokolu a zobrazuje počet všech dostupných událostí protokolu pro vybraný server během vybraného časového rozsahu. Výběrem libovolného řádku v seznamu počtů událostí můžete přejít na prohledávání protokolu a zobrazit jednotlivé události protokolu.

Snímek obrazovky s podoknem Události protokolu počítače

Integrace služby Service Desk

Integrace Service Map s konektorem pro správu it služeb je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení. Integrace ve službě Service Map má označení Service Desk. Další informace najdete v tématu Centrální správa pracovních položek ITSM pomocí konektoru pro správu služeb IT.

Podokno Machine Service Desk obsahuje seznam všech událostí správy it služeb pro vybraný server ve vybraném časovém rozsahu. Server zobrazí ikonu, pokud existují aktuální položky a podokno Machine Service Desk je vypíše.

Snímek obrazovky s podoknem Machine Service Desk

Pokud chcete otevřít položku v připojeném řešení ITSM, vyberte Zobrazit pracovní položku.

Pokud chcete zobrazit podrobnosti o položce ve vyhledávání v protokolu, vyberte Zobrazit v prohledávání protokolu. Metriky připojení se zapisují do dvou nových tabulek v Log Analytics.

integrace Change Tracking

Integrace Service Map s Change Tracking je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

V podokně Machine Change Tracking se zobrazí seznam všech změn s nejnovějšími prvními a s odkazem na přechod k podrobnostem v části Prohledávání protokolu, kde najdete další podrobnosti.

Snímek obrazovky s podoknem Change Tracking počítače

Následující obrázek obsahuje podrobné zobrazení události ConfigurationChange , kterou můžete vidět po výběru možnosti Zobrazit v Log Analytics.

Snímek obrazovky znázorňující událost ConfigurationChange

Integrace výkonu

V podokně Výkon počítače se zobrazí standardní metriky výkonu pro vybraný server. Mezi metriky patří využití procesoru, využití paměti, odeslané a přijaté bajty sítě a seznam hlavních procesů podle odeslaných a přijatých síťových bajtů.

Snímek obrazovky s podoknem Výkon počítače

Pokud chcete zobrazit data o výkonu, možná budete muset povolit příslušné čítače výkonu Log Analytics. Čítače, které chcete povolit:

Windows:

  • Procesor(*)\% času procesoru
  • Paměť\% potvrzených bajtů se používá
  • Síťový adaptér(*)\Odeslané bajty/s
  • Síťový adaptér(*)\Přijaté bajty/s

Linux:

  • Procesor(*)\% času procesoru
  • Paměť(*)\% využité paměti
  • Síťový adaptér(*)\Odeslané bajty/s
  • Síťový adaptér(*)\Přijaté bajty/s

Integrace zabezpečení

Integrace služby Service Map se zabezpečením a auditem je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

V podokně Zabezpečení počítače se zobrazují data z řešení Zabezpečení a audit pro vybraný server. V podokně se zobrazí souhrn všech nevyřešených problémů se zabezpečením serveru během vybraného časového rozsahu. Výběrem některého z problémů se zabezpečením přejdete k podrobnostem v protokolu a vyhledáte o nich podrobnosti.

Snímek obrazovky s podoknem Zabezpečení počítače

integrace Aktualizace

Integrace Service Map se službou Update Management je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

V podokně Počítač Aktualizace se zobrazí data z řešení Update Management pro vybraný server. V podokně se zobrazí souhrn všech chybějících aktualizací pro server během vybraného časového rozsahu.

Snímek obrazovky s podoknem Aktualizace počítače

Záznamy služby Log Analytics

Data inventáře počítačů a procesů služby Service Map jsou k dispozici pro vyhledávání v Log Analytics. Tato data můžete použít ve scénářích, mezi které patří plánování migrace, analýza kapacity, zjišťování a řešení potíží s výkonem na vyžádání.

Jeden záznam se generuje za hodinu pro každý jedinečný počítač a proces a navíc k záznamům, které se vygenerují při spuštění procesu nebo počítače nebo je on-boarded do Service Map. Tyto záznamy mají vlastnosti v následujících tabulkách.

Pole a hodnoty v událostech ServiceMapComputer_CL se mapuje na pole prostředku počítače v rozhraní ServiceMap Azure Resource Manager API. Pole a hodnoty v událostech ServiceMapProcess_CL se mapuje na pole prostředku procesu v rozhraní ServiceMap Azure Resource Manager API. Pole ResourceName_s odpovídá poli názvu v odpovídajícím Resource Manager zdroji.

Poznámka

S růstem funkcí Service Map se tato pole můžou změnit.

Interně generované vlastnosti můžete použít k identifikaci jedinečných procesů a počítačů:

  • Počítač: Pomocí ResourceId nebo ResourceName_s můžete jednoznačně identifikovat počítač v pracovním prostoru služby Log Analytics.
  • Proces: Pomocí ResourceId můžete jednoznačně identifikovat proces v pracovním prostoru služby Log Analytics. ResourceName_s je jedinečný v kontextu počítače, na kterém proces běží MachineResourceName_s.

Vzhledem k tomu, že pro zadaný proces a počítač v zadaném časovém rozsahu může existovat více záznamů, mohou dotazy vrátit více než jeden záznam pro stejný počítač nebo proces. Pokud chcete zahrnout jenom nejnovější záznam, přidejte "| dedup ResourceId" do dotazu.

Připojení

Metriky připojení se zapisují do nové tabulky v Log Analytics s názvem VMConnection. Tato tabulka obsahuje informace o příchozích a odchozích připojeních pro počítač. Metriky připojení se také zveřejňují pomocí rozhraní API, která poskytují prostředky k získání konkrétní metriky během časového období.

Připojení TCP, která jsou výsledkem přijetí na naslouchacím soketu, jsou příchozí. Připojení vytvořená připojením k dané IP adrese a portu jsou odchozí. Směr připojení je reprezentován Direction vlastností, která může být nastavena na nebo inboundoutbound.

Záznamy v těchto tabulkách se generují z dat hlášených agentem závislostí. Každý záznam představuje pozorování v jednominutovém časovém intervalu. Vlastnost TimeGenerated označuje začátek časového intervalu. Každý záznam obsahuje informace k identifikaci příslušné entity, tj. připojení nebo portu, a metriky přidružené k této entitě. V současné době se hlásí pouze síťová aktivita, ke které dochází pomocí protokolu TCP přes protokol IPv4.

Kvůli správě nákladů a složitosti záznamy připojení nepředstavují jednotlivá fyzická síťová připojení. Více fyzických síťových připojení se seskupí do logického připojení, které se pak projeví v příslušné tabulce. Záznamy v tabulce VMConnection tedy představují logické seskupení, nikoli jednotlivá fyzická připojení, která jsou pozorována.

Fyzická síťová připojení, která během daného minutového intervalu sdílejí stejnou hodnotu pro následující atributy, se ve VMConnection agregují do jediného logického záznamu.

Vlastnost Popis
Direction Směr připojení. Hodnota je příchozí nebo odchozí.
Machine Plně kvalifikovaný název domény počítače.
Process Identita procesu nebo skupin procesů, které inicialují nebo přijímají připojení.
SourceIp IP adresa zdroje.
DestinationIp IP adresa cíle.
DestinationPort Číslo portu cíle.
Protocol Protokol použitý pro připojení. Hodnota je tcp.

Pro zohlednění dopadu seskupení jsou informace o počtu seskupených fyzických připojení uvedeny v následujících vlastnostech záznamu.

Vlastnost Popis
LinksEstablished Počet fyzických síťových připojení, která byla vytvořena během časového intervalu generování sestav.
LinksTerminated Počet fyzických síťových připojení, která byla ukončena během časového intervalu generování sestav.
LinksFailed Počet fyzických síťových připojení, která během časového intervalu generování sestav selhala. Tyto informace jsou v současné době k dispozici pouze pro odchozí připojení.
LinksLive Počet fyzických síťových připojení, která byla otevřena na konci časového intervalu generování sestav.

Metriky

Kromě metrik počtu připojení jsou informace o objemu dat odeslaných a přijatých na konkrétním logickém připojení nebo síťovém portu zahrnuty také do následujících vlastností záznamu.

Vlastnost Popis
BytesSent Celkový počet bajtů odeslaných během časového intervalu generování sestav
BytesReceived Celkový počet bajtů přijatých během časového intervalu generování sestav
Responses Počet odpovědí pozorovaných během časového intervalu hlášení.
ResponseTimeMax Největší doba odezvy v milisekundách zjištěná během časového intervalu generování sestav. Pokud žádná hodnota není, je vlastnost prázdná.
ResponseTimeMin Nejmenší doba odezvy v milisekundách zjištěná během časového intervalu generování sestav. Pokud žádná hodnota není, je vlastnost prázdná.
ResponseTimeSum Součet všech dob odezvy v milisekundách pozorovaných během časového intervalu generování sestav. Pokud neexistuje žádná hodnota, vlastnost je prázdná.

Třetím typem hlášených dat je doba odezvy. Jak dlouho volající stráví čekáním, než vzdálený koncový bod zpracuje požadavek odeslaný přes připojení a odpoví na ně?

Hlášená doba odezvy je odhad skutečné doby odezvy základního aplikačního protokolu. Počítá se pomocí heuristiky na základě pozorování toku dat mezi zdrojovým a cílovým koncem fyzického síťového připojení.

Doba odezvy je v konceptu rozdíl mezi časem, kdy poslední bajt požadavku opustí odesílatele, a časem, kdy poslední bajt odpovědi dorazí zpět. Tato dvě časová razítka slouží k vymezení událostí požadavků a odpovědí u konkrétního fyzického připojení. Rozdíl mezi nimi představuje dobu odezvy jednoho požadavku.

V této první verzi této funkce je náš algoritmus aproximací, která může fungovat s různou mírou úspěchu v závislosti na skutečném aplikačním protokolu použitém pro konkrétní síťové připojení. Aktuální přístup například funguje dobře pro protokoly založené na odpovědích na požadavky, jako je HTTP/HTTPS. Tento přístup ale nefunguje s jednosměrnými protokoly nebo protokoly založenými na frontě zpráv.

Tady je několik důležitých bodů, které byste měli zvážit:

  • Pokud proces přijímá připojení na stejné IP adrese, ale přes více síťových rozhraní, bude pro každé rozhraní hlášen samostatný záznam.
  • Záznamy se zástupnými adresou IP nebudou obsahovat žádnou aktivitu. Jsou zahrnuté, aby reprezentovali skutečnost, že port na počítači je otevřený pro příchozí provoz.
  • Pokud existuje odpovídající záznam (pro stejný proces, port a protokol) s konkrétní IP adresou, za účelem snížení podrobností a objemu dat budou záznamy se zástupnými adresou vynechány. Pokud je záznam IP se zástupným znakem vynechán, vlastnost záznamu IsWildcardBind s konkrétní IP adresou se nastaví na True. Hodnotu Toto nastavení označuje, že port je přístupný přes každé rozhraní počítače pro generování sestav.
  • Porty, které jsou vázané pouze na konkrétní rozhraní, jsou IsWildcardBind nastavené na False.

Pojmenování a klasifikace

Pro usnadnění práce je IP adresa vzdáleného konce připojení součástí RemoteIp vlastnosti . U příchozích připojení RemoteIp je hodnota stejná jako SourceIp, zatímco u odchozích připojení je stejná jako DestinationIp. Vlastnost RemoteDnsCanonicalNames představuje kanonické názvy DNS hlášené počítačem pro RemoteIp. Vlastnosti RemoteDnsQuestions a RemoteClassification jsou vyhrazeny pro budoucí použití.

Geografická poloha

VMConnection také obsahuje informace o geografické poloze pro vzdálený konec každého záznamu připojení v následujících vlastnostech záznamu.

Vlastnost Popis
RemoteCountry Název země nebo oblasti hostující RemoteIp. Příkladem je USA.
RemoteLatitude Zeměpisná šířka geografické polohy. Příkladem je 47,68.
RemoteLongitude Zeměpisná délka geografické polohy. Příkladem je -122,12.

Škodlivá IP adresa

Každá RemoteIp vlastnost v tabulce VMConnection se kontroluje proti sadě IP adres se známou škodlivou aktivitou. RemoteIp Pokud je objekt označený jako škodlivý, v následujících vlastnostech záznamu se vyplní následující vlastnosti (pokud ip adresa není považovaná za škodlivou).

Vlastnost Popis
MaliciousIp Adresa RemoteIp .
IndicatorThreadType Zjištěný indikátor hrozby je jedna z následujících hodnot: Botnet, C2, CryptoMining, Darknet, DDo, MaliciousUrl, Malware, Phishing, Proxy, PUA nebo Sledovaný seznam.
Description Popis pozorované hrozby
TLPLevel Úroveň TLP (Traffic Light Protocol) je jedna z definovaných hodnot: bílá, zelená, jantarová, červená.
Confidence Hodnoty jsou 0 – 100.
Severity Hodnoty jsou 0 až 5, kde 5 je nejzávažnější a 0 není závažné. Výchozí hodnota je 3.
FirstReportedDateTime Při prvním nahlášení indikátoru poskytovatelem.
LastReportedDateTime Čas, kdy Interflow naposledy viděl indikátor.
IsActive Indikuje, že indikátory jsou deaktivovány s hodnotou True nebo False .
ReportReferenceLink Odkazy na sestavy související s danou pozorovatelnou.
AdditionalInformation Poskytuje další informace o zjištěné hrozbě, pokud je to možné.

ServiceMapComputer_CL záznamů

Záznamy s typem ServiceMapComputer_CL obsahují data inventáře pro servery s agenty Service Map. Vlastnosti záznamů tohoto typu uvádí následující tabulka.

Vlastnost Popis
Type ServiceMapComputer_CL
SourceSystem OpsManager
ResourceId Jedinečný identifikátor počítače v pracovním prostoru
ResourceName_s Jedinečný identifikátor počítače v pracovním prostoru
ComputerName_s Plně kvalifikovaný název domény počítače
Ipv4Addresses_s Seznam adres IPv4 serveru
Ipv6Addresses_s Seznam adres IPv6 serveru
DnsNames_s Pole názvů DNS
OperatingSystemFamily_s Windows nebo Linux
OperatingSystemFullName_s Úplný název operačního systému
Bitness_s Bitová verze počítače (32bitová nebo 64bitová)
PhysicalMemory_d Fyzická paměť v MB
Cpus_d Počet procesorů
CpuSpeed_d Rychlost procesoru v MHz
VirtualizationState_s neznámý, fyzický, virtuální, hypervisor
VirtualMachineType_s hyperv, vmware atd.
VirtualMachineNativeMachineId_g ID virtuálního počítače přiřazené jeho hypervisorem
VirtualMachineName_s Název virtuálního počítače
BootTime_t Čas spuštění

záznamy typu ServiceMapProcess_CL

Záznamy typu ServiceMapProcess_CL mají data inventáře pro procesy připojené přes protokol TCP na serverech s agenty Service Map. Vlastnosti záznamů tohoto typu uvádí následující tabulka.

Vlastnost Popis
Type ServiceMapProcess_CL
SourceSystem OpsManager
ResourceId Jedinečný identifikátor procesu v pracovním prostoru
ResourceName_s Jedinečný identifikátor procesu v rámci počítače, na kterém je spuštěný
MachineResourceName_s Název prostředku počítače
ExecutableName_s Název spustitelného souboru procesu
StartTime_t Čas zahájení fondu procesů
FirstPid_d První PID ve fondu procesů
Description_s Popis procesu
CompanyName_s Název společnosti
InternalName_s Interní název
ProductName_s Název produktu
ProductVersion_s Verze produktu
FileVersion_s Verze souboru
CommandLine_s Příkazový řádek
ExecutablePath _s Cesta ke spustitelnému souboru
WorkingDirectory_s Pracovní adresář
UserName Účet, pod kterým se proces spouští
UserDomain Doména, ve které se proces spouští

Ukázky hledání v protokolech

V této části jsou uvedeny ukázky prohledávání protokolu.

Zobrazit seznam všech známých počítačů

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Výpis kapacity fyzické paměti všech spravovaných počítačů

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Výpis názvu počítače, DNS, IP adresy a operačního systému

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Vyhledání všech procesů pomocí sql na příkazovém řádku

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Vyhledání počítače (nejnovějšího záznamu) podle názvu prostředku

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Vyhledání počítače (nejnovějšího záznamu) podle IP adresy

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Výpis všech známých procesů na zadaném počítači

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Výpis všech počítačů s SQL

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Výpis všech jedinečných verzí produktů curl v mém datacentru

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Vytvoření skupiny počítačů všech počítačů se systémem CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s

Shrnutí odchozích připojení ze skupiny počítačů

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

REST API

Všechna data serveru, procesů a závislostí ve službě Service Map jsou k dispozici prostřednictvím rozhraní REST API služby Service Map.

Diagnostika a data o používání

Microsoft automaticky shromažďuje údaje o využití a výkonu prostřednictvím vašeho používání služby Service Map. Microsoft používá tato data k poskytování a zlepšování kvality, zabezpečení a integrity služby Service Map.

Pro zajištění přesných a efektivních možností řešení potíží obsahují data informace o konfiguraci vašeho softwaru. Tyto informace můžou být operační systém a verze, IP adresa, název DNS a název pracovní stanice. Microsoft neshromažďuje jména, adresy ani jiné kontaktní informace.

Další informace o shromažďování a používání dat najdete v prohlášení o zásadách ochrany osobních údajů služeb Microsoft Online Services.

Další kroky

Přečtěte si další informace o prohledávání protokolů v Log Analytics za účelem načtení dat shromážděných službou Service Map.

Řešení potíží

Pokud máte nějaké problémy s instalací nebo spuštěním služby Service Map, může vám pomoct tato část. Pokud stále nemůžete problém vyřešit, kontaktujte podpora Microsoftu.

Problémy s instalací agenta závislostí

Tato část řeší problémy s instalací agenta závislostí.

Instalační program zobrazí výzvu k restartování

Agent závislostí obecně nevyžaduje restartování při instalaci nebo odebrání. V některých výjimečných případech vyžaduje Windows Server restartování, aby bylo pokračovat v instalaci. K tomuto problému dochází, když závislost, obvykle knihovna Microsoft Visual C++ Redistributable, vyžaduje restartování z důvodu uzamčeného souboru.

Zobrazí se zpráva Nejde nainstalovat Dependency Agenta: Nepodařilo se nainstalovat knihovny modulu runtime sady Visual Studio (kód = [číslo_kódu])

Microsoft Dependency Agent využívá knihovny modulu runtime sady Visual Studio. Pokud během instalace těchto knihoven dojde k problému, zobrazí se zpráva.

Instalační programy knihoven modulu runtime vytváří protokoly ve složce %LOCALAPPDATA%\temp. Soubor je dd_vcredist_arch_yyyymmddhhmmss.log, kde arch je x86 nebo amd64a yyyymmddhhmmss je datum a čas (na základě 24hodinových hodin), kdy byl protokol vytvořen. Protokol obsahuje podrobnosti o problému, který blokuje instalaci.

Může být užitečné nejprve nainstalovat nejnovější knihovny modulu runtime.

Následující tabulka obsahuje číselná čísla kódů a navrhovaná řešení.

Kód Description Řešení
0x17 Instalační program knihovny vyžaduje aktualizaci Windows, která není nainstalovaná. Projděte si nejnovější protokol instalačního programu knihovny.

Pokud za odkazem následuje Windows8.1-KB2999226-x64.msu řádek Error 0x80240017: Failed to execute MSU package, , nemáte předpoklady pro instalaci aktualizace KB2999226. Postupujte podle pokynů v části požadavky v článku Universal C Runtime ve Windows . Možná budete muset spustit služba Windows Update a několikrát restartovat, aby se nainstalovaly požadavky.

Znovu spusťte instalační program Microsoft Dependency Agenta.

Problémy po instalaci

Tato část se zabývá problémy po instalaci.

Server se nezobrazuje ve službě Service Map

Pokud instalace agenta závislostí proběhla úspěšně, ale v řešení Service Map se váš počítač nezobrazuje:

  • Je Dependency Agent správně nainstalovaný? Zkontrolujte, jestli je služba nainstalovaná a spuštěná.

    • Windows: Vyhledejte službu s názvem Microsoft Dependency agent.
    • Linux: Vyhledejte spuštěný proces microsoft-dependency-agent.
  • Jste na bezplatné úrovni Log Analytics? Plán Free umožňuje používat až pět jedinečných počítačů s řešením Service Map. Žádné další počítače s v řešení Service Map nezobrazí, a to ani v případě, že předchozích pět počítačů již neodesílá data.

  • Odesílá váš server data protokolů a výkonu do protokolů služby Azure Monitor? Přejděte do složky Azure Monitor\Logs a spusťte pro váš počítač následující dotaz:

    Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
    

Zobrazily se vám ve výsledcích různé události? Jsou data aktuální? Pokud ano, váš agent Log Analytics funguje správně a komunikuje s pracovním prostorem. Pokud ne, zkontrolujte agenta na počítači. Viz Řešení potíží s agentem Log Analytics pro Windows nebo Řešení potíží s agentem Log Analytics pro Linux.

Server se zobrazí ve službě Service Map, ale nemá žádné procesy.

Počítač se zobrazí ve službě Service Map, ale neobsahuje žádná data o procesu nebo připojení. Toto chování značí, že je agent závislostí nainstalovaný a spuštěný, ale ovladač jádra se nenačetl.

Zkontrolujte C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file Windows nebo /var/opt/microsoft/dependency-agent/log/service.log file Linux. Poslední řádky souboru by měly obsahovat informace o tom, proč se jádro nenačetlo. Například pokud jste jádro aktualizovali, nemusí být podporované v Linuxu.

Návrhy

Máte pro nás nějakou zpětnou vazbu ke službě Service Map nebo této dokumentaci? Podívejte se na naši stránku User Voice (Hlas uživatele), kde můžete navrhovat funkce nebo hlasovat pro existující návrhy.