Sammeln von Daten mit dem Azure Monitor-Agent
Der Azure Monitor-Agent (AMA) wird verwendet, um Daten von virtuellen Azure-Computern, VM-Skalierungsgruppen und Arc-fähigen Servern zu sammeln. Datensammlungsregeln (Data Collection Rules, DCR) definieren, welche Daten vom Agent gesammelt werden sollen und wohin diese Daten gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um eine DCR zu erstellen und verschiedene Datentypen zu sammeln, und den Agent auf allen Computern installieren, die dies erfordern.
Wenn Sie mit Azure Monitor noch nicht vertraut sind oder grundlegende Datensammlungsanforderungen haben, können Sie möglicherweise alle Ihre Anforderungen über das Azure-Portal und die Anleitungen in diesem Artikel erfüllen. Wenn Sie zusätzliche DCR-Features wie Transformationen nutzen möchten, müssen Sie möglicherweise eine DCR mit anderen Methoden erstellen oder sie nach dem Erstellen im Portal bearbeiten. Sie können auch unterschiedliche Methoden verwenden, um DCRs zu verwalten und Zuordnungen zu erstellen, wenn Sie für die Bereitstellung CLI, PowerShell, ARM-Vorlagen oder Azure Policy verwenden möchten.
Hinweis
Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
Warnung
In den folgenden Fällen können doppelte Daten gesammelt werden, die zu zusätzlichen Gebühren führen können.
- Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen der DCRs zum selben Agent. Stellen Sie sicher, dass Sie Daten in den DCRs filtern, sodass jede eindeutige Daten sammelt.
- Erstellen einer DCR, die Sicherheitsprotokolle sammelt, und Aktivieren von Sentinel für dieselben Agents. In diesem Fall sammeln Sie möglicherweise dieselben Ereignisse in der Tabelle „Event“ und in der Tabelle „SecurityEvent“.
- Verwenden des Azure Monitor-Agents und des Log Analytics-Legacy-Agents auf demselben Computer. Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen.
Datenquellen
In der folgenden Tabelle sind die Typen von Daten, die Sie derzeit mit dem Azure Monitor-Agent sammeln können, und die Ziele aufgeführt, an die Sie diese Daten senden können. Der Link gehört jeweils zu einem Artikel, in dem die Details zum Konfigurieren dieser Datenquelle beschrieben werden. Folgen Sie diesem Artikel, um die DCR zu erstellen und Ressourcen zuzuweisen, und folgen Sie dann dem verknüpften Artikel, um die Datenquelle zu konfigurieren.
| Datenquelle | Beschreibung | Clientbetriebssystem | Destinations |
|---|---|---|---|
| Windows-Ereignisse | An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse. | Windows | Log Analytics-Arbeitsbereich |
| Leistungsindikatoren | Numerische Werte, die die Leistung verschiedener Aspekte von Betriebssystem und Workloads messen. | Windows Linux |
Azure Monitor-Metriken (Vorschau) Log Analytics-Arbeitsbereich |
| Syslog | Informationen, die an das Linux-System für die Ereignisprotokollierung gesendet werden | Linux | Log Analytics-Arbeitsbereich |
| Textprotokoll | Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden. | Windows Linux |
Log Analytics-Arbeitsbereich |
| JSON-Protokoll | Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden. | Windows Linux |
Log Analytics-Arbeitsbereich |
| IIS-Protokolle | IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern | Windows | Log Analytics-Arbeitsbereich |
Hinweis
Der Azure Monitor-Agent unterstützt auch die SQL-Best-Practices-Bewertung des Azure-Diensts, die derzeit allgemein verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Bewertung bewährter Methoden mithilfe des Azure Monitor-Agents.
Voraussetzungen
- Berechtigungen zum Erstellen von Datensammlungsregel-Objekten im Arbeitsbereich.
- Im Artikel, in dem jede Datenquelle beschrieben wird, finden Sie zusätzliche Voraussetzungen.
Übersicht
Wenn Sie eine DCR im Azure-Portal erstellen, werden Sie durch eine Reihe von Seiten geführt, um die Informationen bereitzustellen, die zum Sammeln von Daten von den von Ihnen angegebenen Computern erforderlich sind. In der folgenden Tabelle werden die Informationen beschrieben, die Sie auf jeder Seite angeben müssen.
| Abschnitt | Beschreibung |
|---|---|
| Ressourcen | Computer, die die DCR verwenden. Wenn Sie der DCR einen Computer hinzufügen, wird eine Zuordnung zur Datensammlungsregel (Data Collection Rule Association, DCRA) zwischen dem Computer und der DCR erstellt. Sie können die DCR nach der Erstellung bearbeiten, um Computer hinzuzufügen oder zu entfernen. |
| Datenquelle | Der Datentyp, der auf dem Computer gesammelt werden soll. Die Liste der verfügbaren Datenquellen ist oben in Datenquellen aufgeführt. Jede Datenquelle verfügt über eigene Konfigurationseinstellungen und potenzielle Voraussetzungen. Weitere Informationen finden Sie in den einzelnen Artikeln. |
| Destination | Ziel, an das die in der Datenquelle gesammelten Daten gesendet werden sollen. Wenn Sie über mehrere Datenquellen in der DCR verfügen, können sie an separate Ziele gesendet werden. Zudem können Daten aus einer einzelnen Datenquelle an mehrere Ziele gesendet werden. Weitere Informationen zum Ziel, z. B. die Tabelle im Log Analytics-Arbeitsbereich, finden Sie im Artikel für die jeweilige Datenquelle. |
Erstellen einer Datensammlungsregel
Wählen Sie im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.
Die Seite Allgemein enthält grundlegende Informationen zur DCR.
| Einstellung | Beschreibung |
|---|---|
| Regelname | Name für die DCR. Dieser sollte beschreibend sein, damit Sie die Regel identifizieren können. |
| Abonnement | Abonnement zum Speichern der DCR. Dies muss nicht dasselbe Abonnement wie für die virtuellen Computer sein. |
| Resource group | Ressourcengruppe zum Speichern der DCR. Dies muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein. |
| Region | Region zum Speichern der DCR. Dies muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind. |
| Plattformtyp | Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1 |
| Datensammlungsendpunkt | Gibt den Datensammlungsendpunkt (Data Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Dieser ist nur erforderlich, wenn Sie private Azure Monitor-Links verwenden. Dieser DCE muss sich in derselben Region wie die DCR befinden. Weitere Informationen finden Sie unter Einrichten von Datensammlungsendpunkten basierend auf Ihrer Bereitstellung. |
1 Diese Option legt das Attribut kind in der DCR fest. Es gibt andere Werte, die für dieses Attribut festgelegt werden können, aber sie sind nicht im Portal verfügbar.
Hinzufügen von Ressourcen
Auf der Seite Ressourcen können Sie Ressourcen hinzufügen, die der DCR zugeordnet werden. Klicken Sie auf + Ressourcen hinzufügen, um Ressourcen auszuwählen. Der Azure Monitor-Agent wird automatisch auf allen Ressourcen installiert, auf denen er noch nicht vorhanden ist.
Wichtig
Das Portal aktiviert zusätzlich zu den vorhandenen benutzerseitig zugewiesenen Identitäten (sofern vorhanden) eine systemseitig zugewiesene verwaltete Identität auf den Zielressourcen. Wenn die benutzerseitig zugewiesene Identität von Ihnen nicht extra in der Anforderung angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet.
Wenn sich der Computer, den Sie überwachen, nicht in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet und Sie Datentypen sammeln, die einen DCE erfordern, wählen Sie Datensammlungsendpunkte aktivieren aus, und wählen Sie einen Endpunkt in der Region jedes überwachten Computers aus. Wenn sich der überwachte Computer in derselben Region wie Ihr Log Analytics-Zielarbeitsbereich befindet oder kein DCE erforderlich ist, wählen Sie auf der Registerkarte Ressourcen keinen Datensammlungsendpunkt aus.
Hinzufügen von Datenquellen
Auf der Seite Sammeln und übermitteln können Sie Datenquellen für die DCR und jeweils ein Ziel hinzufügen und konfigurieren.
| Bildschirmelement | Beschreibung |
|---|---|
| Datenquelle | Wählen Sie einen Datenquellentyp aus, und definieren Sie zugehörige Felder basierend auf dem ausgewählten Datenquellentyp. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie in den oben in Datenquellen verknüpften Artikeln. |
| Ziel | Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Sie können mehrere gleich- oder verschiedenartige Ziele auswählen. Sie können beispielsweise mehrere Log Analytics-Arbeitsbereiche auswählen (wird auch als Multihoming bezeichnet). Die einzelnen Datentypen für die unterschiedlichen unterstützten Ziele finden Sie in den Details. |
Eine DCR kann maximal 10 unterschiedliche Datenquellen enthalten. Sie können unterschiedliche Datenquellen in einer DCR kombinieren, Sie sollten jedoch in der Regel unterschiedliche DCRs für unterschiedliche Datensammlungsszenarien erstellen. Unter Bewährte Methoden für die Erstellung und Verwaltung von Datensammlungsregeln in Azure Monitor finden Sie Empfehlungen zum Organisieren Ihrer DCRs.
Überprüfen des Betriebs
Nachdem Sie eine DCR erstellt und einem Computer zugeordnet haben, können Sie überprüfen, ob der Agent betriebsbereit ist und ob Daten gesammelt werden, indem Sie Abfragen im Log Analytics-Arbeitsbereich ausführen.
Überprüfen des Agent-Betriebs
Überprüfen Sie, ob der Agent betriebsbereit ist und ordnungsgemäß kommuniziert, indem Sie die folgende Abfrage in Log Analytics ausführen, um zu überprüfen, ob Datensätze in der Tabelle Heartbeat vorhanden sind. Ein Datensatz sollte jede Minute von jedem Agent an diese Tabelle gesendet werden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Überprüfen, ob Datensätze empfangen werden
Es dauert ein paar Minuten, bis der Agent installiert ist und alle neuen oder geänderten DCRs ausführt. Sie können dann überprüfen, ob Datensätze von jeder Ihrer Datenquellen empfangen werden, indem Sie im Log Analytics-Arbeitsbereich die Tabelle überprüfen, in die jede schreibt. Die folgende Abfrage überprüft beispielsweise die Tabelle Event auf Windows-Ereignisse.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Problembehandlung
Führen Sie die folgenden Schritte aus, wenn Sie nicht die erwarteten Daten sammeln.
- Stellen Sie sicher, dass der Agent auf dem Computer installiert ist und ausgeführt wird.
- Weitere Informationen finden Sie im Abschnitt Problembehandlung des Artikels für die Datenquelle, mit der Sie Probleme haben.
- Informationen zum Aktivieren der Überwachung für die DCR finden Sie unter Überwachen und Behandeln von Problemen mit der DCR-Datensammlung in Azure Monitor.
- Zeigen Sie Metriken an, um festzustellen, ob Daten gesammelt werden und ob Zeilen gelöscht werden.
- Zeigen Sie Protokolle an, um Fehler in der Datensammlung zu identifizieren.
Nächste Schritte
- Sammeln von Textprotokollen mit dem Azure Monitor-Agent.
- Weitere Informationen zum Azure Monitor-Agent.
- Informieren Sie sich über die Datensammlungsregeln.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für