Sammeln von Ereignissen und Leistungsindikatoren von virtuellen Computern mit dem Azure Monitor-Agent

In diesem Artikel wird beschrieben, wie Sie mit dem Azure Monitor-Agent Ereignisse und Leistungsindikatoren von virtuellen Computern sammeln.

Voraussetzungen

Um dieses Verfahren abschließen zu können, benötigen Sie Folgendes:

• Log Analytics-Arbeitsbereich, in dem Sie mindestens über die Berechtigung „Mitwirkender“ verfügen.
• Berechtigungen zum Erstellen von Datensammlungsregel-Objekten im Arbeitsbereich.
• Ordnen Sie die Datensammlungsregel bestimmten virtuellen Computern zu.

Erstellen einer Datensammlungsregel

Sie können eine Datensammlungsregel definieren, um Daten von mehreren Computern an mehrere Log Analytics-Arbeitsbereiche zu senden, u. a. Arbeitsbereiche in einer anderen Region oder einem anderen Mandanten. Erstellen Sie die Datensammlungsregel in der Region, in der sich auch Ihr Log Analytics-Arbeitsbereich befindet. Sie können Windows-Ereignisse und Syslog-Daten nur an Azure Monitor Logs senden. Sie können Leistungsindikatoren sowohl an Azure Monitor-Metriken als auch an Azure Monitor-Protokolle senden.

Hinweis

Aktuell können Microsoft.HybridCompute-Ressourcen (Azure Arc-fähige Server) nicht im Metrik-Explorer (der UX des Azure-Portals) angezeigt werden, aber sie können über die Metrik-REST-API (Metrik-Namensräume – Liste, Metrik-Definitionen – Liste und Metriken – Liste) abgerufen werden.

Hinweis

Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.

Portal

1. Wählen Sie im Menü Überwachen die Option Datensammlungsregeln aus.

2. Wählen Sie Erstellen aus, um eine neue Datensammlungsregel und Zuordnungen zu erstellen.

   

3. Geben Sie einen Regelnamen und dann ein Abonnement, eine Ressourcengruppe, eine Region und einen Plattformtyp ein:

   • Region: Hiermit wird angegeben, wo die Datensammlungsregel erstellt wird. Die virtuellen Computer und ihre Zuordnungen können unter einem beliebigen Abonnement bzw. einer Ressourcengruppe auf dem Mandanten angeordnet sein.
   • Plattformtyp gibt die Art der Ressourcen an, auf die diese Regel angewendet werden kann. Die Option Benutzerdefiniert ermöglicht sowohl Windows- als auch Linux-Typen.

   

4. Gehen Sie auf der Registerkarte Ressourcen wie folgt vor:

5. 1. Wählen Sie + Ressourcen hinzufügen aus, und ordnen Sie der Datensammlungsregel Ressourcen zu. Ressourcen können virtuelle Computer sowie Virtual Machine Scale Sets- und Azure Arc für Server-Instanzen sein. Das Azure-Portal installiert den Azure Monitor-Agent auf Ressourcen, auf denen der Agent noch nicht installiert ist.

      Wichtig

      Das Portal aktiviert zusätzlich zu den vorhandenen benutzerseitig zugewiesenen Identitäten (sofern vorhanden) eine systemseitig zugewiesene verwaltete Identität auf den Zielressourcen. Wenn die benutzerseitig zugewiesene Identität von Ihnen nicht extra in der Anforderung angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet.

      Wenn Sie eine Netzwerkisolation über private Verbindungen benötigen, wählen Sie für die entsprechenden Ressourcen vorhandene Endpunkte aus derselben Region aus, oder erstellen Sie einen neuen Endpunkt.

   2. Wählen Sie Datensammlungsendpunkte aktivieren aus.

   3. Wählen Sie einen Datensammlungsendpunkt für jede der Ressourcen aus, die der Datensammlungsregel zugeordnet sind.

   

6. Wählen Sie auf der Registerkarte Sammeln und übermitteln die Option Datenquelle hinzufügen aus, um eine Datenquelle hinzuzufügen und ein Ziel festzulegen.

7. Wählen Sie einen Datenquellentyp aus.

8. Wählen Sie aus, welche Daten Sie sammeln möchten. Für Leistungsindikatoren können Sie eine Auswahl aus einer Gruppe mit Objekten mit der zugehörigen Stichprobenhäufigkeit treffen. Für Ereignisse können Sie aus einer Reihe von Protokollen und Schweregraden auswählen.

   

9. Wählen Sie Benutzerdefiniert aus, um Protokolle und Leistungsindikatoren zu sammeln, bei denen es sich um Datenquellen handelt, die derzeit nicht unterstützt werden, oder um Ereignisse mithilfe von XPath-Abfragen zu filtern. Sie können dann einen XPath angeben, um bestimmte Werte zu sammeln. Ein Beispiel finden Sie im Beispiel für eine Datensammlungsregel.

   

10. Fügen Sie auf der Registerkarte Ziel mindestens ein Ziel für die Datenquelle hinzu. Sie können mehrere gleich- oder verschiedenartige Ziele auswählen. Sie können beispielsweise mehrere Log Analytics-Arbeitsbereiche auswählen (wird auch als Multihoming bezeichnet).

    Sie können nur Windows-Ereignis- und Syslog-Datenquellen an Azure Monitor-Protokolle senden. Sie können Leistungsindikatoren sowohl an Azure Monitor-Metriken als auch an Azure Monitor-Protokolle senden. Zurzeit unterstützen Hybrid-Computeressourcen (Arc for Server) das Ziel für Azure Monitor-Metriken (Vorschau) nicht.

    

11. Wählen Sie Datenquelle hinzufügen und dann Überprüfen + erstellen aus, um die Details der Datensammlungsregel und die Zuordnung zur Gruppe mit den virtuellen Computern zu überprüfen.

12. Wählen Sie Erstellen aus, um die Datensammlungsregel zu erstellen.

API

1. Erstellen Sie eine DCR-Datei im JSON-Format, das im Beispiel für eine Datensammlungsregel ersichtlich ist.

2. Erstellen Sie die Regel mithilfe der REST-API.

3. Erstellen Sie mithilfe der REST-API für jede VM eine Zuordnung zur Datensammlungsregel.

PowerShell

Datensammlungsregeln in Azure Monitor (Vorschau)

Aktion	Befehl
Abrufen von Regeln	Get-AzDataCollectionRule
Erstellen einer Regel	New-AzDataCollectionRule
Aktualisieren einer Regel	Set-AzDataCollectionRule
Löschen einer Regel	Remove-AzDataCollectionRule
Aktualisieren von „Tags“ für eine Regel	Update-AzDataCollectionRule

Zuordnungen zu Datensammlungsregeln

Aktion	Befehl
Abrufen von Zuordnungen	Get-AzDataCollectionRuleAssociation
Erstellen einer Zuordnung	New-AzDataCollectionRuleAssociation
Löschen einer Zuordnung	Remove-AzDataCollectionRuleAssociation

Azure-Befehlszeilenschnittstelle

Diese Funktion wird im Rahmen der „monitor-control-service“-Erweiterung der Azure CLI aktiviert. Eine Auflistung aller Befehle finden Sie hier.

ARM

Erstellen einer Zuordnung mit einem virtuellen Azure-Computer

Mit dem folgenden Beispiel wird eine Zuordnung zwischen einem virtuellen Azure-Computer und einer Datensammlungsregel erstellt.

Vorlagendatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Erstellen einer Zuordnung mit Azure Arc

Im folgenden Beispiel wird eine Zuordnung zwischen einem Server mit Azure Arc-Unterstützung und einer Datensammlungsregel erstellt.

Vorlagendatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Erstellen einer Zuordnung mit einem virtuellen Azure-Computer

Mit dem folgenden Beispiel wird eine Zuordnung zwischen einem virtuellen Azure-Computer und einer Datensammlungsregel erstellt.

Vorlagendatei

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Erstellen einer Zuordnung mit Azure Arc

Im folgenden Beispiel wird eine Zuordnung zwischen einem Server mit Azure Arc-Unterstützung und einer Datensammlungsregel erstellt.

Vorlagendatei

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Hinweis

Nach dem Erstellen der Datensammlungsregel kann es bis zu fünf Minuten dauern, bis Daten an die Ziele übertragen werden.

Filtern von Ereignissen mithilfe von XPath-Abfragen

Ihnen werden alle Daten, die Sie in einem Log Analytics-Arbeitsbereich sammeln, in Rechnung gestellt. Sammeln Sie daher nur die benötigten Ereignisdaten. Die Grundkonfiguration im Azure-Portal bietet Ihnen eine begrenzte Möglichkeit, Ereignisse herauszufiltern.

Tipp

Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.

Um weitere Filter festzulegen, verwenden Sie die benutzerdefinierte Konfiguration und geben einen XPath an, der die nicht erforderlichen Ereignisse herausfiltert. XPath-Einträge haben folgende Form: LogName!XPathQuery. Angenommen, Sie möchten aus dem Anwendungsereignisprotokoll nur Ereignisse mit der Ereignis-ID 1035 abrufen. In diesem Fall würde die *[System[EventID=1035]]-Abfrage für diese Ereignisse XPathQuery lauten. Da Sie die Ereignisse aus dem Anwendungsereignisprotokoll abrufen möchten, lautet die XPath-Abfrage Application!*[System[EventID=1035]].

Extrahieren von XPath-Abfragen aus der Windows-Ereignisanzeige

Unter Windows können Sie die Ereignisanzeige verwenden, um XPath-Abfragen zu extrahieren (siehe Screenshots).

Wenn Sie die XPath-Abfrage in das Feld auf dem Bildschirm Datenquelle hinzufügen einfügen (wie in Schritt 5 gezeigt), müssen Sie die Protokolltypkategorie gefolgt von einem Ausrufezeichen (!) anfügen.

Tipp

Sie können das PowerShell-Cmdlet Get-WinEvent mit dem Parameter FilterXPath verwenden, um die Gültigkeit einer XPath-Abfrage zunächst lokal auf Ihrem Computer zu testen. Weitere Informationen finden Sie im Tipp in den Anweisungen unter Auf Windows-Agent-basierende Verbindungen. Das PowerShell-Cmdlet Get-WinEvent unterstützt bis zu 23 Ausdrücke. Azure Monitor-Datensammlungsregeln unterstützen bis zu 20. Das folgende Skript ist ein Beispiel hierfür:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Im obigen Cmdlet ist der Wert des Parameters -LogName der erste Teil der XPath-Abfrage bis zum Ausrufezeichen (!). Der Rest der XPath-Abfrage kommt in den Parameter $XPath.
• Wenn das Skript Ereignisse zurückgibt, ist die Abfrage gültig.
• Wenn Sie die Meldung erhalten, dass keine Ereignisse gefunden wurden, die mit den angegebenen Auswahlkriterien übereinstimmen, ist die Abfrage möglicherweise gültig, aber es sind keine übereinstimmenden Ereignisse auf dem lokalen Computer vorhanden.
• Wenn Sie die Meldung „Die angegebene Abfrage ist ungültig“ erhalten, ist die Abfragesyntax ungültig.

Beispiele für die Verwendung eines benutzerdefinierten XPath zum Filtern von Ereignissen:

Beschreibung	XPath
Es werden nur Systemereignisse mit der Ereignis-ID 4648 gesammelt.	System!*[System[EventID=4648]]
Es werden nur Ereignisse des Sicherheitsprotokolls mit der Ereignis-ID 4648 und dem Prozessnamen „consent.exe“ gesammelt.	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Es werden alle kritischen, Fehler-, Warnungs- und Informationsereignisse aus dem Systemereignisprotokoll mit Ausnahme der Ereignis-ID 6 (Treiber geladen) gesammelt.	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Es werden alle erfolgreichen und fehlerhaften Sicherheitsereignisse für die Ereignis-ID 4624 (Erfolgreiche Anmeldung) gesammelt.	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Hinweis

Eine Liste der Einschränkungen in XPath, die vom Windows-Ereignisprotokoll unterstützt werden, finden Sie unter Einschränkungen für XPath 1.0.
Sie können beispielsweise die Funktionen „position“, „Band“ und „timediff“ innerhalb der Abfrage verwenden, aber andere Funktionen wie „starts-with“ und „contains“ werden derzeit nicht unterstützt.

Häufig gestellte Fragen

Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.

Wie kann ich sicherheitsrelevante Windows-Ereignisse mithilfe des Azure Monitor-Agent sammeln?

Es gibt zwei Möglichkeiten, die Sicherheitsereignisse mit dem neuen Agent zu sammeln Sie, wenn Sicherheitsereignisse an einen Log Analytics-Arbeitsbereich senden:

• Sie können den Azure Monitor-Agent verwenden, um sicherheitsrelevante Ereignisse ebenso wie andere Windows-Ereignisse nativ zu sammeln. Diese fließen zur Tabelle ‚Event‘ in Ihrem Log Analytics-Arbeitsbereich.
• Wenn Sie Microsoft Sentinel für den Arbeitsbereich aktiviert haben, werden die sicherheitsrelevante Ereignisse stattdessen über den Azure Monitor-Agent in die SecurityEvent-Tabelle übertragen (dies entspricht der Verwendung des Log Analytics-Agents). Dieses Szenario erfordert immer, dass zuerst die Lösung aktiviert wird.

Werden Ereignisse dupliziert, wenn ich den Azure Monitor-Agent und den Log Analytics-Agent auf demselben Computer verwende?

Wenn Sie mit beiden Agents dieselben Ereignisse erfassen, kommt es zu Duplizierungen. Bei dieser Duplizierung könnte es sich um den Legacy-Agent handeln, der redundante Daten aus der Arbeitsbereichskonfiguration sammelt, die von der Datenerfassungsregel gesammelt werden. Oder Sie erfassen sicherheitsrelevante Ereignisse mit dem Legacy-Agent und aktivieren sicherheitsrelevante Windows-Ereignisse mit den Azure Monitor-Agents-Connectors in Microsoft Sentinel.

Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen. Nachdem Sie die Datensammlungsregel vollständig getestet und die Datenerfassung überprüft haben, deaktivieren Sie die Datenerfassung für den Arbeitsbereich, und trennen Sie alle Microsoft Monitoring Agent-Datenconnectors.

Sind neben Xpath-Abfragen und dem Angeben von Leistungsindikatoren granularere Ereignisfilterungsoptionen mithilfe des Azure Monitor-Agent möglich?

Bei Syslog-Ereignissen unter Linux können Sie Einrichtungen und den Protokollierungsgrad für jede Einrichtung auswählen.

Werden Ereignisse dupliziert, wenn ich Datensammlungsregeln erstelle, die dieselbe Ereignis-ID enthalten, und sie derselben VM zuordne?

Ja. Zur Vermeidung von Duplizierungen sollten Sie sicherstellen, dass die in den Datensammlungsregeln getroffene Auswahl keine doppelten Ereignisse enthält.

Nächste Schritte

• Sammeln von Textprotokollen mit dem Azure Monitor-Agent.
• Weitere Informationen zum Azure Monitor-Agent.
• Informieren Sie sich über die Datensammlungsregeln.