Verwalten des Azure Monitor-Agents
Dieser Artikel enthält die verschiedenen Optionen, die derzeit zum Installieren, Deinstallieren und Aktualisieren des Azure Monitor-Agents verfügbar sind. Diese Agent-Erweiterung kann auf Azure-VMs, in Skalierungsgruppen und auf Azure Arc-fähigen Servern installiert werden. Außerdem werden die Optionen zum Erstellen von Zuordnungen mit Datensammlungsregeln aufgelistet, die definieren, welche Daten der Agent sammeln soll. Zum Installieren, Aktualisieren oder Deinstallieren des Azure Monitor-Agents müssen Sie den Server nicht neu starten.
Details zur VM-Erweiterung
Der Azure Monitor-Agent wird als Azure-VM-Erweiterung mit den Details aus der folgenden Tabelle implementiert. Sie können ihn mit einer der Methoden zum Installieren von VM-Erweiterungen installiert werden, einschließlich der in diesem Artikel beschriebenen Methoden.
Eigenschaft | Windows | Linux |
---|---|---|
Herausgeber | Microsoft.Azure.Monitor | Microsoft.Azure.Monitor |
type | AzureMonitorWindowsAgent | AzureMonitorLinuxAgent |
TypeHandlerVersion | Weitere Informationen finden Sie unter Azure Monitor-Agent-Erweiterungsversionen. | Azure Monitor-Agent-Erweiterungsversionen |
Erweiterungsversionen
Zeigen Sie die Azure Monitor-Agent-Erweiterungsversionen an.
Voraussetzungen
Vor der Installation des Azure Monitor-Agents müssen die folgenden Voraussetzungen erfüllt sein.
Berechtigungen: Für andere Methoden als die Verwendung des Azure-Portals müssen Sie zum Installieren des Agents über die folgenden Rollenzuweisungen verfügen:
Integrierte Rolle Bereiche `Reason` - VMs, VM-Skalierungsgruppen,
- Server mit Azure Arc-Unterstützung
Bereitstellen des Agents Jede Rolle, die die Aktion Microsoft.Resources/deployments/* enthält (z. B. Log Analytics-Mitwirkender) - Abonnement und/oder
- Ressourcengruppe und/oder
So stellen Sie die Agent-Erweiterung über Azure Resource Manager-Vorlagen bereit (auch von Azure Policy verwendet) Nicht-Azure: Zum Installieren des Agents auf physischen Servern und VMs, die außerhalb von Azure (d. h. lokal) oder in anderen Clouds gehostet werden, müssen Sie zuerst den Azure Arc Connected Machine-Agent installieren. Dabei entstehen keine zusätzlichen Kosten.
Authentifizierung: Auf Azure-VMs muss eine verwaltete Identität aktiviert sein. Es werden sowohl benutzerseitig als auch systemseitig zugewiesene verwaltete Identitäten unterstützt.
Benutzerseitig zugewiesen: Diese verwaltete Identität wird für Bereitstellungen im großen Stil empfohlen, die über integrierte Azure-Richtlinien konfigurierbar sind. Sie können eine benutzerseitig zugewiesene verwaltete Identität ein Mal erstellen und sie für mehrere VMs freigeben. Somit ist sie skalierbarer als eine systemseitig zugewiesene verwaltete Identität. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden, müssen Sie die Details der verwalteten Identität über Erweiterungseinstellungen an den Azure Monitor-Agent übergeben:
{ "authentication": { "managedIdentity": { "identifier-name": "mi_res_id" or "object_id" or "client_id", "identifier-value": "<resource-id-of-uai>" or "<guid-object-or-client-id>" } } }
Es empfiehlt sich,
mi_res_id
alsidentifier-name
zu verwenden. Die folgenden Beispielbefehle zeigen der Kürze halber nur die Verwendung mitmi_res_id
. Weitere Informationen zumi_res_id
,object_id
undclient_id
finden Sie in der Dokumentation zu verwalteten Identitäten.Systemseitig zugewiesen: Diese verwaltete Identität eignet sich für erste Tests oder kleine Bereitstellungen. Die Verwendung im großen Stil (z. B. für alle VMs in einem Abonnement) führt zu einer erheblichen Anzahl von Identitäten, die in Microsoft Entra ID erstellt (und gelöscht) werden. Um diesen Wechsel der Identitäten zu vermeiden, verwenden Sie stattdessen benutzerseitig zugewiesene verwaltete Identitäten. Für Azure Arc-aktivierte Server wird die systemseitig zugewiesene verwaltete Identität automatisch aktiviert, sobald Sie den Azure Arc-Agent installieren. Dies ist der einzige unterstützte Typ für Azure Arc-fähige Server.
Für Azure Arc-fähige Server nicht erforderlich: Die Systemidentität wird automatisch aktiviert, wenn Sie eine Datensammlungsregel im Azure-Portal erstellen.
Netzwerk: Wenn Sie Netzwerkfirewalls verwenden, muss das Azure Resource Manager-Diensttag im virtuellen Netzwerk für die VM aktiviert sein. Die VM benötigt außerdem Zugriff auf die folgenden HTTPS-Endpunkte:
- global.handler.control.monitor.azure.com
<virtual-machine-region-name>
.handler.control.monitor.azure.com (Beispiel: westus.handler.control.monitor.azure.com)<log-analytics-workspace-id>
.ods.opinsights.azure.com (Beispiel: 12345a01-b1cd-1234-e1f2-1234567g8h99.ods.opinsights.azure.com)
(Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die DCE-Endpunkte hinzufügen.)
Speicherplatz: der erforderliche Speicherplatz kann stark variieren. Dies hängt z. B. davon ab, wie ein Agent verwendet wird oder ob Kommunikationsprobleme mit den Zielen auftreten, an die er Überwachungsdaten senden soll. Standardmäßig erfordert der Agent 10 GB Speicherplatz zur Ausführung und 500 MB für die Installation von Agents. Im Folgenden finden Sie Leitfäden für die Kapazitätsplanung:
Zweck | Environment | Pfad | Vorgeschlagener Speicherplatz |
---|---|---|---|
Herunterladen und Installieren von Paketen | Linux | /var/lib/waagent/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent-{Version}/ | 500 MB |
Herunterladen und Installieren von Paketen | Windows | C:\Packages\Plugins\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent | 500 MB |
Erweiterungsprotokolle | Linux (Azure-VM) | /var/log/azure/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent/ | 100 MB |
Erweiterungsprotokolle | Linux (Azure Arc) | /var/lib/GuestConfig/extension_logs/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent-{version}/ | 100 MB |
Erweiterungsprotokolle | Windows (Azure-VM) | C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent | 100 MB |
Erweiterungsprotokolle | Windows (Azure Arc) | C:\ProgramData\GuestConfig\extension_logs\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent | 100 MB |
Agent-Cache | Linux | /etc/opt/microsoft/azuremonitoragent, /var/opt/microsoft/azuremonitoragent | 500 MB |
Agent-Cache | Windows (Azure-VM) | C:\WindowsAzure\Resources\AMADataStore.{Datenspeichername} | 10,5 GB |
Agent-Cache | Windows (Azure Arc) | C:\Resources\Directory\AMADataStore. {Datenspeichername} | 10,5 GB |
Ereigniscache | Linux | /var/opt/microsoft/azuremonitoragent/events | 10 GB |
Hinweis
Dieser Artikel bezieht sich nur auf die Installation oder Verwaltung des Agents. Nachdem Sie den Agent installiert haben, müssen Sie den nächsten Artikel lesen, um Datensammlungsregeln zu konfigurieren und sie den Computern mit installierten Agents zuzuordnen. Die Azure Monitor-Agents können ohne Zuordnung zu Datensammlungsregeln nicht funktionieren.
Installieren
Informationen zum Installieren des Azure Monitor-Agents über das Azure-Portal finden Sie unter Erstellen einer Datensammlungsregel und ihrer Zuordnung. Durch diesen Vorgang wird die Regel erstellt und den ausgewählten Ressourcen zugeordnet, und der Azure Monitor-Agent wird auf diesen installiert (sofern er noch nicht installiert ist).
Deinstallieren
Um den Azure Monitor-Agent mithilfe des Azure-Portals zu deinstallieren, navigieren Sie zu Ihrer VM, Ihrer Skalierungsgruppe oder Ihrem Azure Arc-fähigen Server. Wählen Sie die Registerkarte Erweiterungen und dann AzureMonitorWindowsAgent oder AzureMonitorLinuxAgent aus. Wählen Sie im daraufhin geöffneten Dialogfeld Deinstallieren aus.
Update
Hinweis
Die Empfehlung besteht darin, das automatische Erweiterungsupgrade zu aktivieren, das bis zu 5 Wochen nach der Veröffentlichung einer neuen Erweiterungsversion dauern kann, um installierte Erweiterungen auf die veröffentlichte (neueste) Version in allen Regionen zu aktualisieren. Upgrades werden in Batches ausgegeben, sodass möglicherweise einige Ihrer virtuellen Computer, Skalierungsgruppen oder Arc-fähigen Server vor anderen ein Upgrade erhalten werden. Wenn Sie sofort ein Upgrade für eine Erweiterung durchführen müssen, können Sie die unten aufgeführten manuellen Anweisungen verwenden.
Um ein einmaliges Update des Agents durchzuführen, müssen Sie zuerst die vorhandene Agent-Version deinstallieren. Installieren Sie dann die neue Version wie beschrieben.
Es wird empfohlen, automatische Updates des Agents zu aktivieren, indem Sie das Feature Automatisches Erweiterungsupgrade aktivieren. Navigieren Sie zu Ihrer VM oder Skalierungsgruppe, wählen Sie die Registerkarte Erweiterungen aus, und wählen Sie dann AzureMonitorWindowsAgent oder AzureMonitorLinuxAgent aus. Wählen Sie im daraufhin angezeigten Dialogfeld Automatisches Upgrade aktivieren aus.
Verwenden von Azure Policy
Verwenden Sie die folgenden Richtlinien und Richtlinieninitiativen, um den Agent bei jeder Erstellung einer VM, einer Skalierungsgruppe oder eines Azure Arc-fähigen Servers automatisch zu installieren und einer Datensammlungsregel zuzuordnen.
Hinweis
Gemäß den bewährten Methoden von Microsoft Identity basieren die Richtlinien für die Installation des Azure Monitor-Agents auf virtuellen Computern und in Skalierungsgruppen auf der benutzerseitig zugewiesenen verwalteten Identität. Diese Option ist für die verwaltete Identität für diese Ressourcen skalierbarer und resilienter. Bei Azure Arc-fähigen Servern sind Richtlinien nur auf die systemseitig zugewiesene verwaltete Identität angewiesen, da dies derzeit die einzige unterstützte Option ist.
Integrierte Richtlinieninitiativen
Bevor Sie fortfahren, sollten Sie die Voraussetzungen für die Installation des Agents prüfen.
Es gibt integrierte Richtlinieninitiativen für Windows- und Linux-VMs und Skalierungsgruppen, die das End-to-End-Onboarding im großen Stil mit Azure Monitor-Agents ermöglichen.
- Bereitstellen des Windows Azure Monitor-Agents mit Authentifizierung basierend auf der benutzerseitig zugewiesenen verwalteten Identität und Zuordnen zur Datensammlungsregel
- Bereitstellen von Linux Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung und Zuordnen zur Datensammlungsregel
Hinweis
Die Richtliniendefinitionen enthalten nur die Liste der von Microsoft unterstützten Windows- und Linux-Versionen. Verwenden Sie den Additional Virtual Machine Images
Parameter, um ein benutzerdefiniertes Bild hinzuzufügen.
Diese oben genannten Initiativen umfassen einzelne Richtlinien für Folgendes:
(Optional) Erstellen Sie eine integrierte, benutzerseitig zugewiesene verwaltete Identität pro Abonnement und Region und weisen Sie sie zu. Weitere Informationen
Bring Your Own User-Assigned Identity
: Sofern auffalse
festgelegt, wird die integrierte, benutzerseitig zugewiesene verwaltete Identität in der vordefinierten Ressourcengruppe erstellt und allen Computern zugewiesen, auf welche die Richtlinie angewendet wird. Der Speicherort der Ressourcengruppe kann imBuilt-In-Identity-RG Location
-Parameter konfiguriert werden. Wenn dies auftrue
festgelegt ist, können Sie stattdessen eine vorhandene benutzerseitig zugewiesene Identität verwenden, die automatisch allen Computern zugewiesen wird, auf welche die Richtlinie angewendet wird.
Installieren Sie die Azure Monitor-Agent-Erweiterung auf dem Computer, und konfigurieren Sie sie so, dass sie die benutzerseitig zugewiesene Identität verwendet, wie in den folgenden Parametern angegeben.
Bring Your Own User-Assigned Managed Identity
: Wenn diese Option auffalse
festgelegt ist, wird der Agent so konfiguriert, dass er die integrierte, benutzerseitig zugewiesene verwaltete Identität verwendet, die mithilfe der Richtlinie oben erstellt wurde. Wenn dies auftrue
festgelegt ist, wird der Agent für die Verwendung einer benutzerseitig zugewiesenen Identität konfiguriert.User-Assigned Managed Identity Name
: Wenn Sie Ihre eigene Identität verwenden (true
ist ausgewählt), geben Sie den Namen der Identität an, die den Computern zugewiesen ist.User-Assigned Managed Identity Resource Group
: Wenn Sie Ihre eigene Identität verwenden (true
ist ausgewählt), geben Sie die Ressourcengruppe an, in der die Identität vorhanden ist.Additional Virtual Machine Images
: Übergeben Sie weitere Namen von VM-Images, auf die Sie die Richtlinie anwenden möchten, falls nicht bereits enthalten.Built-In-Identity-RG Location
: Wenn Sie die integrierte benutzerseitig zugewiesene verwaltete Identität verwenden, geben Sie den Speicherort an, in dem die Identität und die Ressourcengruppe erstellt werden sollen. Dieser Parameter wird nur verwendet, wennBring Your Own User-Assigned Managed Identity
Parameter auffalse
festgelegt ist.
Erstellen Sie die Zuordnung und stellen Sie sie bereit, um den Computer mit der angegebenen Regel für die Datensammlung zu verknüpfen.
Data Collection Rule Resource Id
: Die Azure Resource Manager-resourceId der Regel, die Sie über diese Richtlinie allen Computern zuordnen möchten, auf die die Richtlinie angewendet wird.
Bekannte Probleme
- Standardverhalten einer verwalteten Identität. Weitere Informationen
- Mögliche Racebedingung bei Verwendung der integrierten Erstellungsrichtlinie für benutzerseitig zugewiesene Identitäten. Weitere Informationen
- Zuweisen von Richtlinien zu Ressourcengruppen. Wenn der Zuweisungsumfang der Richtlinie eine Ressourcengruppe und kein Abonnement ist, muss die von der Richtlinienzuweisung verwendete Identität (die sich von der benutzerseitig zugewiesenen Identität unterscheidet, die vom Agent verwendet wird) vor der Zuweisung/Neuzuweisung manuell mit diesen Rollen versehen werden. Wenn dieser Schritt nicht erfolgt, kann dies zu Bereitstellungsfehlern führen.
- Andere Einschränkungen für verwaltete Identitäten.
Integrierte Richtlinien
Sie können die einzelnen Richtlinien aus der Richtlinieninitiative oben verwenden, um eine einzelne Aktion im großen Stil durchzuführen. Wenn Sie z. B. nur den Agent automatisch installieren möchten, verwenden Sie die zweite Richtlinie zur Agent-Installation aus der Initiative, wie gezeigt.
Wiederherstellung
Die Initiativen oder Richtlinien gelten für jeden virtuellen Computer, während er erstellt wird. Mit einer Wartungsaufgabe werden die Richtliniendefinitionen in der Initiative für vorhandene Ressourcen bereitgestellt, sodass Sie den Azure Monitor-Agent für alle Ressourcen konfigurieren können, die bereits erstellt wurden.
Wenn Sie die Zuweisung mithilfe des Azure-Portals erstellen, können Sie gleichzeitig einen Wartungstask erstellen. Weitere Informationen zur Wartung finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.
Welche Auswirkungen hat die Installation des Azure Arc Connected Machine-Agents auf meinen Nicht-Azure-Computer?
Nach der Installation des Azure Arc Connected Machine-Agents hat dies keine Auswirkungen auf den Computer. Der Agent verbraucht kaum System- oder Netzwerkressourcen und ist so konzipiert, dass er auf dem Host, auf dem er ausgeführt wird, nur wenig Platz benötigt.
Nächste Schritte
Erstellen Sie eine Datensammlungsregel, um Daten des Agents zu sammeln und an Azure Monitor zu senden.