Sammeln von Daten von virtuellen Computern mit dem Azure Monitor-Agent

In diesem Artikel wird beschrieben, wie Sie mit dem Azure Monitor-Agent Ereignisse und Leistungsindikatoren von virtuellen Computern sammeln.

Gehen Sie wie folgt vor, um Daten von virtuellen Computern mit dem Azure Monitor-Agent zu sammeln:

  1. Erstellen Sie Datensammlungsregeln (DCR), die definieren, welche Daten der Azure Monitor-Agent an welche Ziele sendet.

  2. Ordnen Sie die Datensammlungsregel bestimmten virtuellen Computern zu.

    Sie können virtuelle Computer mehreren Datensammlungsregeln zuordnen. Auf diese Weise können Sie jede Datensammlungsregel für eine bestimmte Anforderung definieren und die Datensammlungsregeln auf der Grundlage der spezifischen Daten, die Sie von jedem Computer sammeln möchten, virtuellen Computern zuordnen.

Erstellen einer Datensammlungsregel und ihrer Zuordnung

Wenn Sie Daten an Log Analytics senden möchten, erstellen Sie die Datensammlungsregel in derselben Region, in der sich auch Ihr Log Analytics-Arbeitsbereich befindet. Sie können die Regel weiterhin Computern in anderen unterstützten Regionen zuordnen.

  1. Wählen Sie im Menü Überwachen die Option Datensammlungsregeln aus.

  2. Wählen Sie Erstellen aus, um eine neue Datensammlungsregel und Zuordnungen zu erstellen.

    Screenshot, der die Schaltfläche „Erstellen“ auf dem Bildschirm „Datensammlungsregeln“ zeigt.

  3. Geben Sie einen Regelnamen und dann ein Abonnement, eine Ressourcengruppe, eine Region und einen Plattformtyp an.

    Region: Hiermit wird angegeben, wo die Datensammlungsregel erstellt wird. Die virtuellen Computer und ihre Zuordnungen können unter einem beliebigen Abonnement bzw. einer Ressourcengruppe auf dem Mandanten angeordnet sein.

    Plattformtyp gibt die Art der Ressourcen an, auf die diese Regel angewendet werden kann. „Benutzerdefiniert“ ermöglicht sowohl Windows- als auch Linux-Typen.

    Screenshot, der die Schaltfläche „Basic“ auf dem Bildschirm „Datensammlungsregeln“ zeigt.

  4. Fügen Sie auf der Registerkarte Ressourcen die Ressourcen (virtuelle Computer, VM-Skalierungsgruppen, Arc für Server) hinzu, denen die Datensammlungsregel zugeordnet werden soll. Das Portal installiert den Azure Monitor-Agent auf Ressourcen, auf denen er noch nicht installiert ist, und aktiviert außerdem die verwaltete Azure-Identität.

    Wichtig

    Das Portal aktiviert die systemseitig zugewiesene verwaltete Identität auf den Zielressourcen, zusätzlich zu den vorhandenen benutzerseitig zugewiesenen Identitäten (sofern vorhanden). Wenn die benutzerseitig zugewiesene Identität von Ihnen nicht extra in der Anforderung angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet.

    Wenn Sie eine Netzwerkisolation über private Verbindungen benötigen, wählen Sie für die entsprechenden Ressourcen vorhandene Endpunkte aus derselben Region aus, oder erstellen Sie einen neuen Endpunkt.

    Screenshot, der die Registerkarte Ressourcen des Bildschirms Datenerfassungsregeln zeigt.

  5. Wählen Sie auf der Registerkarte Sammeln und übermitteln die Option Datenquelle hinzufügen aus, um eine Datenquelle hinzuzufügen und ein Ziel festzulegen.

  6. Wählen Sie einen Datenquellentyp aus.

  7. Wählen Sie aus, welche Daten Sie sammeln möchten. Für Leistungsindikatoren können Sie eine Auswahl aus einer Gruppe mit Objekten mit der zugehörigen Stichprobenhäufigkeit treffen. Für Ereignisse können Sie aus einer Reihe von Protokollen und Schweregraden auswählen.

    Screenshot des Microsoft Azure-Portal zum Auswählen grundlegender Leistungsindikatoren in einer Datenerfassungsregel.

  8. Wählen Sie Benutzerdefiniert aus, um Protokolle und Leistungsindikatoren zu sammeln, bei denen es sich um Datenquellen handelt, die derzeit nicht unterstützt werden, oder um Ereignisse mithilfe von XPath-Abfragen zu filtern. Sie können dann einen XPath angeben, um bestimmte Werte zu sammeln. Ein Beispiel finden Sie unter Beispiel-Datensammlungsregel.

    Screenshot des Microsoft Azure-Portal  zum Auswählen benutzerdefinierter Leistungsindikatoren in einer Datenerfassungsregel.

  9. Fügen Sie auf der Registerkarte Ziel mindestens ein Ziel für die Datenquelle hinzu. Sie können mehrere Ziele gleicher oder unterschiedlicher Typen auswählen, z. B. mehrere Log Analytics-Arbeitsbereiche (auch als „Multihoming“ bezeichnet).

    Sie können Windows-Ereignisse und Syslog-Datenquellen nur an Azure Monitor-Protokolle senden. Sie können Leistungsindikatoren sowohl an Azure Monitor-Metriken als auch an Azure Monitor-Protokolle senden.

    Screenshot des Microsoft Azure-Portal zum Hinzufügen einer Datenquelle in einer Datenerfassungsregel.

  10. Wählen Sie Datenquelle hinzufügen und dann Bewerten + erstellen aus, um die Details der Datensammlungsregel und die Zuordnung zur Gruppe mit den virtuellen Computern zu überprüfen.

  11. Wählen Sie Erstellen aus, um die Datensammlungsregel zu erstellen.

Hinweis

Es kann bis zu fünf Minuten dauern, bis die Daten an die Ziele gesendet werden, nachdem Sie die Datensammlungsregel und die Zuordnungen erstellt haben.

Filtern von Ereignissen mithilfe von XPath-Abfragen

Da Ihnen alle Daten, die Sie in einem Log Analytics-Arbeitsbereich sammeln, in Rechnung gestellt werden, sammeln Sie nur die erforderlichen Daten. Die Grundkonfiguration im Azure-Portal bietet Ihnen eine begrenzte Möglichkeit, Ereignisse herauszufiltern.

Um zusätzliche Filter festzulegen, verwenden Sie die benutzerdefinierte Konfiguration und geben einen XPath an, der die nicht erforderlichen Ereignisse herausfiltert. XPath-Einträge haben folgende Form: LogName!XPathQuery. Angenommen, Sie möchten aus dem Anwendungsereignisprotokoll nur Ereignisse mit der Ereignis-ID 1035 abrufen. In diesem Fall würde die XPathQuery-Abfrage für diese Ereignisse *[System[EventID=1035]] lauten. Da Sie die Ereignisse aus dem Anwendungsereignisprotokoll abrufen möchten, ist die XPath-Abfrage Application!*[System[EventID=1035]].

Extrahieren von XPath-Abfragen aus der Windows-Ereignisanzeige

Unter Windows können Sie die Ereignisanzeige verwenden, um XPath-Abfragen zu extrahieren (siehe unten).

Wenn Sie die XPath-Abfrage in das Feld auf dem Bildschirm Datenquelle hinzufügen einfügen (Schritt 5 in der nachfolgenden Abbildung), müssen Sie die Protokolltypkategorie gefolgt von „!“ anfügen.

Screenshot der Schritte im Azure-Portal mit den Schritten zum Erstellen einer XPath-Abfrage in der Windows-Ereignisanzeige.

Eine Liste der Einschränkungen in XPath, die vom Windows-Ereignisprotokoll unterstützt werden, finden Sie unter Einschränkungen für XPath 1.0.

Tipp

Sie können das PowerShell-Cmdlet Get-WinEvent mit dem Parameter FilterXPath verwenden, um die Gültigkeit einer XPathQuery-Abfrage zunächst lokal auf Ihrem Computer zu testen. Das folgende Skript ist ein Beispiel hierfür:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • In dem obigen Cmdlet ist der Wert des Parameters -LogName der erste Teil der XPath-Abfrage bis zum „!“. Der Rest der XPath-Abfrage kommt in den Parameter $XPath.
  • Wenn das Skript Ereignisse zurückgibt, ist die Abfrage gültig.
  • Wenn Sie die Meldung Es wurden keine Ereignisse gefunden, die mit den angegebenen Auswahlkriterien übereinstimmen erhalten, ist die Abfrage möglicherweise gültig, aber es sind keine übereinstimmenden Ereignisse auf dem lokalen Computer vorhanden.
  • Wenn Sie die Meldung Die angegebene Abfrage ist ungültig erhalten, ist die Abfragesyntax ungültig.

Beispiele für das Filtern von Ereignissen mit einem benutzerdefinierten XPath:

Beschreibung XPath
Es werden nur Systemereignisse mit der Ereignis-ID 4648 gesammelt. System!*[System[EventID=4648]]
Es werden nur Ereignisse des Sicherheitsprotokolls mit der Ereignis-ID 4648 und dem Prozessnamen „consent.exe“ gesammelt. Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Es werden alle kritischen, Fehler-, Warnungs- und Informationsereignisse aus dem Systemereignisprotokoll mit Ausnahme der Ereignis-ID 6 (Treiber geladen) gesammelt. System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Es werden alle erfolgreichen und fehlerhaften Sicherheitsereignisse für die Ereignis-ID 4624 (Erfolgreiche Anmeldung) gesammelt. Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Nächste Schritte