Sammeln von Ereignissen und Leistungsindikatoren von virtuellen Computern mit dem Azure Monitor-Agent
In diesem Artikel wird beschrieben, wie Sie mit dem Azure Monitor-Agent Ereignisse und Leistungsindikatoren von virtuellen Computern sammeln.
Voraussetzungen
Um dieses Verfahren abschließen zu können, benötigen Sie Folgendes:
- Log Analytics-Arbeitsbereich, in dem Sie mindestens über die Berechtigung „Mitwirkender“ verfügen.
- Berechtigungen zum Erstellen von Datensammlungsregel-Objekten im Arbeitsbereich.
- Ordnen Sie die Datensammlungsregel bestimmten virtuellen Computern zu.
Erstellen einer Datensammlungsregel
Sie können eine Datensammlungsregel definieren, um Daten von mehreren Computern an mehrere Log Analytics-Arbeitsbereiche zu senden, u. a. Arbeitsbereiche in einer anderen Region oder einem anderen Mandanten. Erstellen Sie die Datensammlungsregel in der Region, in der sich auch Ihr Log Analytics-Arbeitsbereich befindet. Sie können Windows-Ereignisse und Syslog-Daten nur an Azure Monitor Logs senden. Sie können Leistungsindikatoren sowohl an Azure Monitor-Metriken als auch an Azure Monitor-Protokolle senden.
Hinweis
Aktuell können Microsoft.HybridCompute-Ressourcen (Azure Arc-fähige Server) nicht im Metrik-Explorer (der UX des Azure-Portals) angezeigt werden, aber sie können über die Metrik-REST-API (Metrik-Namensräume – Liste, Metrik-Definitionen – Liste und Metriken – Liste) abgerufen werden.
Hinweis
Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
Wählen Sie im Menü Überwachen die Option Datensammlungsregeln aus.
Wählen Sie Erstellen aus, um eine neue Datensammlungsregel und Zuordnungen zu erstellen.
Geben Sie einen Regelnamen und dann ein Abonnement, eine Ressourcengruppe, eine Region und einen Plattformtyp ein:
- Region: Hiermit wird angegeben, wo die Datensammlungsregel erstellt wird. Die virtuellen Computer und ihre Zuordnungen können unter einem beliebigen Abonnement bzw. einer Ressourcengruppe auf dem Mandanten angeordnet sein.
- Plattformtyp gibt die Art der Ressourcen an, auf die diese Regel angewendet werden kann. Die Option Benutzerdefiniert ermöglicht sowohl Windows- als auch Linux-Typen.
Gehen Sie auf der Registerkarte Ressourcen wie folgt vor:
-
Wählen Sie + Ressourcen hinzufügen aus, und ordnen Sie der Datensammlungsregel Ressourcen zu. Ressourcen können virtuelle Computer sowie Virtual Machine Scale Sets- und Azure Arc für Server-Instanzen sein. Das Azure-Portal installiert den Azure Monitor-Agent auf Ressourcen, auf denen der Agent noch nicht installiert ist.
Wichtig
Das Portal aktiviert zusätzlich zu den vorhandenen benutzerseitig zugewiesenen Identitäten (sofern vorhanden) eine systemseitig zugewiesene verwaltete Identität auf den Zielressourcen. Wenn die benutzerseitig zugewiesene Identität von Ihnen nicht extra in der Anforderung angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet.
Wenn Sie eine Netzwerkisolation über private Verbindungen benötigen, wählen Sie für die entsprechenden Ressourcen vorhandene Endpunkte aus derselben Region aus, oder erstellen Sie einen neuen Endpunkt.
Wählen Sie Datensammlungsendpunkt aus. Dies ist ein optionales Feld, das nur festgelegt werden muss, wenn Sie beabsichtigen, private Azure Monitor-Verbindungen zu verwenden. Wenn Sie diese Option benötigen, gibt das Feld den Datensammlungsendpunkt an, der zum Sammeln von Daten verwendet wird. Dieser Datensammlungsendpunkt muss sich in derselben Region befinden wie der Log Analytics-Arbeitsbereich. Weitere Informationen finden Sie unter Einrichten von Datensammlungsendpunkten basierend auf Ihrer Bereitstellung.
Wählen Sie einen Datensammlungsendpunkt für jede der Ressourcen aus, die der Datensammlungsregel zugeordnet sind.
Wählen Sie auf der Registerkarte Sammeln und übermitteln die Option Datenquelle hinzufügen aus, um eine Datenquelle hinzuzufügen und ein Ziel festzulegen.
Wählen Sie einen Datenquellentyp aus.
Wählen Sie aus, welche Daten Sie sammeln möchten. Für Leistungsindikatoren können Sie eine Auswahl aus einer Gruppe mit Objekten mit der zugehörigen Stichprobenhäufigkeit treffen. Für Ereignisse können Sie aus einer Reihe von Protokollen und Schweregraden auswählen.
Wählen Sie Benutzerdefiniert aus, um Protokolle und Leistungsindikatoren zu sammeln, bei denen es sich um Datenquellen handelt, die derzeit nicht unterstützt werden, oder um Ereignisse mithilfe von XPath-Abfragen zu filtern. Sie können dann einen XPath angeben, um bestimmte Werte zu sammeln.
Um einen Leistungsindikator zu erfassen, der standardmäßig nicht verfügbar ist, verwenden Sie das Format
\PerfObject(ParentInstance/ObjectInstance#InstanceIndex)\Counter
. Wenn der Zählername ein kaufmännisches Und-Zeichen (&) enthält, ersetzen Sie es durch&
. Beispiel:\Memory\Free & Zero Page List Bytes
.Beispiel für Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor finden Sie hier.
Fügen Sie auf der Registerkarte Ziel mindestens ein Ziel für die Datenquelle hinzu. Sie können mehrere gleich- oder verschiedenartige Ziele auswählen. Sie können beispielsweise mehrere Log Analytics-Arbeitsbereiche auswählen (wird auch als Multihoming bezeichnet).
Sie können nur Windows-Ereignis- und Syslog-Datenquellen an Azure Monitor-Protokolle senden. Sie können Leistungsindikatoren sowohl an Azure Monitor-Metriken als auch an Azure Monitor-Protokolle senden. Zurzeit unterstützen Hybrid-Computeressourcen (Arc for Server) das Ziel für Azure Monitor-Metriken (Vorschau) nicht.
Wählen Sie Datenquelle hinzufügen und dann Überprüfen + erstellen aus, um die Details der Datensammlungsregel und die Zuordnung zur Gruppe mit den virtuellen Computern zu überprüfen.
Wählen Sie Erstellen aus, um die Datensammlungsregel zu erstellen.
Parameterdatei
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"value": "my-azure-vm"
},
"associationName": {
"value": "my-windows-vm-my-dcr"
},
"dataCollectionRuleId": {
"value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
}
}
}
Hinweis
Nach dem Erstellen der Datensammlungsregel kann es bis zu fünf Minuten dauern, bis Daten an die Ziele übertragen werden.
Filtern von Ereignissen mithilfe von XPath-Abfragen
Ihnen werden alle Daten, die Sie in einem Log Analytics-Arbeitsbereich sammeln, in Rechnung gestellt. Sammeln Sie daher nur die benötigten Ereignisdaten. Die Grundkonfiguration im Azure-Portal bietet Ihnen eine begrenzte Möglichkeit, Ereignisse herauszufiltern.
Tipp
Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.
Um weitere Filter festzulegen, verwenden Sie die benutzerdefinierte Konfiguration und geben einen XPath an, der die nicht erforderlichen Ereignisse herausfiltert. XPath-Einträge haben folgende Form: LogName!XPathQuery
. Angenommen, Sie möchten aus dem Anwendungsereignisprotokoll nur Ereignisse mit der Ereignis-ID 1035 abrufen. In diesem Fall würde die *[System[EventID=1035]]
-Abfrage für diese Ereignisse XPathQuery
lauten. Da Sie die Ereignisse aus dem Anwendungsereignisprotokoll abrufen möchten, lautet die XPath-Abfrage Application!*[System[EventID=1035]]
.
Extrahieren von XPath-Abfragen aus der Windows-Ereignisanzeige
Unter Windows können Sie die Ereignisanzeige verwenden, um XPath-Abfragen zu extrahieren (siehe Screenshots).
Wenn Sie die XPath-Abfrage in das Feld auf dem Bildschirm Datenquelle hinzufügen einfügen (wie in Schritt 5 gezeigt), müssen Sie die Protokolltypkategorie gefolgt von einem Ausrufezeichen (!) anfügen.
Tipp
Sie können das PowerShell-Cmdlet Get-WinEvent
mit dem Parameter FilterXPath
verwenden, um die Gültigkeit einer XPath-Abfrage zunächst lokal auf Ihrem Computer zu testen. Weitere Informationen finden Sie im Tipp in den Anweisungen unter Auf Windows-Agent-basierende Verbindungen. Das PowerShell-Cmdlet Get-WinEvent
unterstützt bis zu 23 Ausdrücke. Azure Monitor-Datensammlungsregeln unterstützen bis zu 20. Das folgende Skript ist ein Beispiel hierfür:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Im obigen Cmdlet ist der Wert des Parameters
-LogName
der erste Teil der XPath-Abfrage bis zum Ausrufezeichen (!). Der Rest der XPath-Abfrage kommt in den Parameter$XPath
. - Wenn das Skript Ereignisse zurückgibt, ist die Abfrage gültig.
- Wenn Sie die Meldung erhalten, dass keine Ereignisse gefunden wurden, die mit den angegebenen Auswahlkriterien übereinstimmen, ist die Abfrage möglicherweise gültig, aber es sind keine übereinstimmenden Ereignisse auf dem lokalen Computer vorhanden.
- Wenn Sie die Meldung „Die angegebene Abfrage ist ungültig“ erhalten, ist die Abfragesyntax ungültig.
Beispiele für die Verwendung eines benutzerdefinierten XPath zum Filtern von Ereignissen:
Beschreibung | XPath |
---|---|
Es werden nur Systemereignisse mit der Ereignis-ID 4648 gesammelt. | System!*[System[EventID=4648]] |
Es werden nur Ereignisse des Sicherheitsprotokolls mit der Ereignis-ID 4648 und dem Prozessnamen „consent.exe“ gesammelt. | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
Es werden alle kritischen, Fehler-, Warnungs- und Informationsereignisse aus dem Systemereignisprotokoll mit Ausnahme der Ereignis-ID 6 (Treiber geladen) gesammelt. | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
Es werden alle erfolgreichen und fehlerhaften Sicherheitsereignisse für die Ereignis-ID 4624 (Erfolgreiche Anmeldung) gesammelt. | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Hinweis
Eine Liste der Einschränkungen in XPath, die vom Windows-Ereignisprotokoll unterstützt werden, finden Sie unter Einschränkungen für XPath 1.0.
Sie können beispielsweise die Funktionen „position“, „Band“ und „timediff“ innerhalb der Abfrage verwenden, aber andere Funktionen wie „starts-with“ und „contains“ werden derzeit nicht unterstützt.
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.
Wie kann ich sicherheitsrelevante Windows-Ereignisse mithilfe des Azure Monitor-Agent sammeln?
Es gibt zwei Möglichkeiten, die Sicherheitsereignisse mit dem neuen Agent zu sammeln Sie, wenn Sicherheitsereignisse an einen Log Analytics-Arbeitsbereich senden:
- Sie können den Azure Monitor-Agent verwenden, um sicherheitsrelevante Ereignisse ebenso wie andere Windows-Ereignisse nativ zu sammeln. Diese fließen zur Tabelle ‚Event‘ in Ihrem Log Analytics-Arbeitsbereich.
- Wenn Sie Microsoft Sentinel für den Arbeitsbereich aktiviert haben, werden die sicherheitsrelevante Ereignisse stattdessen über den Azure Monitor-Agent in die
SecurityEvent
-Tabelle übertragen (dies entspricht der Verwendung des Log Analytics-Agents). Dieses Szenario erfordert immer, dass zuerst die Lösung aktiviert wird.
Werden Ereignisse dupliziert, wenn ich den Azure Monitor-Agent und den Log Analytics-Agent auf demselben Computer verwende?
Wenn Sie mit beiden Agents dieselben Ereignisse erfassen, kommt es zu Duplizierungen. Bei dieser Duplizierung könnte es sich um den Legacy-Agent handeln, der redundante Daten aus der Arbeitsbereichskonfiguration sammelt, die von der Datenerfassungsregel gesammelt werden. Oder Sie erfassen sicherheitsrelevante Ereignisse mit dem Legacy-Agent und aktivieren sicherheitsrelevante Windows-Ereignisse mit den Azure Monitor-Agents-Connectors in Microsoft Sentinel.
Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen. Nachdem Sie die Datensammlungsregel vollständig getestet und die Datenerfassung überprüft haben, deaktivieren Sie die Datenerfassung für den Arbeitsbereich, und trennen Sie alle Microsoft Monitoring Agent-Datenconnectors.
Sind neben Xpath-Abfragen und dem Angeben von Leistungsindikatoren granularere Ereignisfilterungsoptionen mithilfe des Azure Monitor-Agent möglich?
Bei Syslog-Ereignissen unter Linux können Sie Einrichtungen und den Protokollierungsgrad für jede Einrichtung auswählen.
Werden Ereignisse dupliziert, wenn ich Datensammlungsregeln erstelle, die dieselbe Ereignis-ID enthalten, und sie derselben VM zuordne?
Ja. Zur Vermeidung von Duplizierungen sollten Sie sicherstellen, dass die in den Datensammlungsregeln getroffene Auswahl keine doppelten Ereignisse enthält.
Nächste Schritte
- Sammeln von Textprotokollen mit dem Azure Monitor-Agent.
- Weitere Informationen zum Azure Monitor-Agent.
- Informieren Sie sich über die Datensammlungsregeln.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für