Wire Data 2.0-Lösung (Vorschau) in Azure Monitor (eingestellt)
Hinweis
Die Wire Data-Lösung wurde durch VM Insights und die Dienstzuordnungslösung ersetzt. Beide Lösungen nutzen den Log Analytics-Agent und den Dependency-Agent, um Netzwerkverbindungsdaten in Azure Monitor zu erfassen.
Die Unterstützung für die Wire Data-Lösung endet am 31. März 2022. Bis zum Einstellungsdatum können bestehende Kunden, die die Wire Data 2.0-Lösung (Vorschau) verwenden, diese weiterhin nutzen.
Neue und bestehende Kunden sollten VM Insights oder die Dienstzuordnungslösung installieren. Der von diesen Lösungen gesammelte Satz an Zuordnungsdaten ist mit dem Dataset von Wire Data 2.0 (Vorschau) vergleichbar. VM Insights umfasst das Dataset der Dienstzuordnung sowie zusätzliche Leistungsdaten und Analysefeatures. Beide Angebote verfügen über Verbindungen mit Microsoft Sentinel.
Daten zur Kommunikation sind konsolidierte Netzwerk- und Leistungsdaten, die von mit Windows verbundenen und mit Linux verbundenen Computern mit dem Log Analytics-Agent gesammelt werden, einschließlich der in Ihrer Umgebung von Operations Manager überwachten Computer. Netzwerkdaten werden mit Ihren sonstigen Protokolldaten kombiniert, um Ihnen das Korrelieren von Daten zu ermöglichen.
Zusätzlich zum Log Analytics-Agent verwendet die Wire Data-Lösung Microsoft Dependency-Agents, die Sie auf Computern in Ihrer IT-Infrastruktur installieren. Dependency-Agents überwachen Netzwerkdaten, die für die Netzwerkschichten 2 und 3 des OSI-Modells an ihre Computer und von ihnen gesendet werden, z.B. die verschiedenen verwendeten Protokolle und Ports. Die Daten werden dann mit Agents an Azure Monitor gesendet.
Migrieren zu Azure Monitor VM Insights oder der Dienstzuordnung
Wir stellen häufig fest, dass bei Kunden sowohl Wire Data 2.0 (Vorschau) als auch VM Insights oder die Dienstzuordnungslösung bereits auf denselben VMs aktiviert ist. Dies bedeutet, dass das Ersatzangebot auf Ihrer VM aktiviert ist. Sie können einfach die Wire Data 2.0-Lösung (Vorschau) aus Ihrem Log Analytics-Arbeitsbereich entfernen.
Wenn Sie über VMs verfügen, auf denen nur Wire Data 2.0 (Vorschau) aktiviert ist, können Sie die VMs in VM Insights oder die Dienstzuordnungslösung integrieren und dann die Wire Data 2.0-Lösung (Vorschau) aus Ihrem Log Analytics-Arbeitsbereich entfernen.
Migrieren Ihrer Abfragen in die Tabelle „VMConnection“ von Azure Monitor VM Insights
Agents, die Daten bereitstellen
Abfrage in Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
Abfrage in VM Insights und der Dienstzuordnung
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
IP-Adressen der Agents, die Daten bereitstellen
Abfrage in Wire Data 2.0
WireData
| summarize AggregatedValue = count() by LocalIP
Abfrage in VM Insights und der Dienstzuordnung
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
Gesamte ausgehende Kommunikation nach Remote-IP-Adresse
Abfrage in Wire Data 2.0
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
Abfrage in VM Insights und der Dienstzuordnung
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
Empfangene Bytes nach Protokollname
Abfrage in Wire Data 2.0
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
Abfrage in VM Insights und der Dienstzuordnung
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
Menge des Netzwerkdatenverkehrs (in Byte) nach Prozess
Abfrage in Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
Abfrage in VM Insights und der Dienstzuordnung
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
Weitere Beispielabfragen
Weitere Beispielabfragen finden Sie in der Dokumentation zur VM Insights-Protokollsuche und in der Dokumentation zu VM Insights-Warnungen.
Deinstallieren der Wire Data 2.0-Lösung
Um Wire Data 2.0 zu deinstallieren, müssen Sie einfach nur die Lösung aus Ihrem Log Analytics-Arbeitsbereich entfernen. Das hat folgende Auswirkungen:
- Das Wire Data Management-Paket wird von den virtuellen Computern entfernt, die mit dem Arbeitsbereich verbunden sind.
- Der Datentyp Wire Data wird nicht mehr in Ihrem Arbeitsbereich angezeigt
Folgen Sie diesen Anweisungen, um die Wire Data-Lösung zu entfernen.
Hinweis
Wenn entweder die Dienstzuordnungslösung oder die VM Insights-Lösung in Ihrem Arbeitsbereich vorhanden ist, wird das Management Pack nicht entfernt, da diese Lösungen ebenfalls dieses Management Pack verwenden.
Wire Data 2.0 Management Packs
Wenn Wire Data in einem Log Analytics-Arbeitsbereich aktiviert ist, wird an alle Windows-Server in diesem Arbeitsbereich ein Management Pack von 300 KB gesendet. Wenn Sie System Center Operations Manager-Agents in einer verbundenen Verwaltungsgruppe verwenden, wird das Dependency Monitor-Management Pack von System Center Operations Manager bereitgestellt. Wenn die Agents direkt verbunden sind, wird das Management Pack von Azure Monitor bereitgestellt.
Der Name des Management Packs lautet „Microsoft.IntelligencePacks.ApplicationDependencyMonitor“. Es wird in das Verzeichnis „%Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs\“ geschrieben. Die vom Management Pack verwendete Datenquelle lautet „%Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<AutoGeneratedID>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll“.
Deinstallieren des Dependency-Agents
Hinweis
Wenn Sie beabsichtigen, Wire Data entweder durch die Dienstzuordnung oder VM Insights zu ersetzen, sollten Sie den Dependency-Agent nicht entfernen.
In den folgenden Abschnitten erfahren Sie, wie Sie den Dependency-Agent entfernen können.
Deinstallieren des Dependency-Agents unter Windows
Ein Administrator kann den Dependency-Agent für Windows über die Systemsteuerung deinstallieren.
Ein Administrator kann auch „%Programfiles%\Microsoft Dependency Agent\Uninstall.exe“ ausführen, um den Dependency-Agent zu deinstallieren.
Deinstallieren des Dependency-Agents unter Linux
Wenn Sie den Dependency-Agent unter Linux vollständig deinstallieren möchten, müssen Sie den Agent selbst und den Connector entfernen, der automatisch mit dem Agent installiert wird. Mit dem folgenden einzelnen Befehl können Sie beide Komponenten deinstallieren:
rpm -e dependency-agent dependency-agent-connector
Verwenden der Wire Data 2.0-Lösung
Klicken Sie im Azure-Portal auf der Seite Übersicht für Ihren Log Analytics-Arbeitsbereich auf die Kachel Wire Data 2.0, um das Wire Data-Dashboard zu öffnen. Das Dashboard enthält die Abschnitte, die in der folgenden Tabelle angegeben sind. In jedem Abschnitt sind bis zu 10 Einträge aufgeführt, die die Kriterien des Abschnitts für den angegebenen Bereich und Zeitraum erfüllen. Sie können eine Protokollsuche durchführen, mit der alle Einträge zurückgegeben werden, indem Sie unten im Abschnitt auf Alle anzeigen oder auf die Abschnittsüberschrift klicken.
| Bereich | Beschreibung |
|---|---|
| Agents, die Netzwerkdatenverkehr erfassen | Zeigt die Anzahl der Agents an, die Netzwerkdatenverkehr erfassen, und listet die 10 Computer auf, die am meisten Datenverkehr erfassen. Klicken Sie auf die Zahl, um eine Protokollsuche für WireData | summarize sum(TotalBytes) by Computer | take 500000 durchzuführen. Klicken Sie auf einen Computer in der Liste, um eine Protokollsuche durchzuführen, die die Gesamtanzahl erfasster Bytes zurückgibt. |
| Lokale Subnetze | Zeigt die Anzahl von lokalen Subnetzen an, die Agents ermittelt haben. Klicken Sie auf die Anzahl, um eine Protokollsuche für WireData | summarize sum(TotalBytes) by LocalSubnet durchzuführen, die alle Subnetze mit der Anzahl von Bytes auflistet, die über jedes einzelne gesendet werden. Klicken Sie auf ein Subnetz in der Liste, um eine Protokollsuche durchzuführen, die die Gesamtanzahl über das Subnetz gesendeter Bytes zurückgibt. |
| Protokolle auf Anwendungsebene | Zeigt die von Agents ermittelte Anzahl der auf Anwendungsebene verwendeten Protokolle. Klicken Sie auf die Zahl, um eine Protokollsuche für WireData | summarize sum(TotalBytes) by ApplicationProtocol durchzuführen. Klicken Sie auf ein Protokoll, um eine Protokollsuche durchzuführen, die die Gesamtanzahl mithilfe des Protokolls gesendeter Bytes zurückgibt. |
Mit dem Abschnitt Agents, die Netzwerkdatenverkehr erfassen können Sie bestimmen, wie viel Netzwerkbandbreite von Computern in Anspruch genommen wird. Mit diesem Abschnitt können Sie leicht den „geschwätzigsten“ Computer in Ihrer Umgebung ermitteln. Solche Computer könnten überlastet sein, nicht normal arbeiten oder mehr Netzwerkressourcen als normal verwenden.
Auf ähnliche Weise können Sie den Abschnitt Lokale Subnetze verwenden, um zu bestimmen, wie viel Netzwerkdatenverkehr über die Subnetze verschoben wird. Benutzer definieren Subnetze oft um kritische Bereiche für ihre Anwendungen herum. Dieser Abschnitt bietet einen Einblick in diese Bereiche.
Der Abschnitt Protokolle auf Anwendungsebene ist nützlich, da es hilfreich ist, zu wissen, welche Protokolle verwendet werden. Sie könnten z.B. erwarten, dass SSH nicht in Ihrer Netzwerkumgebung verwendet wird. Die im Abschnitt angezeigten Informationen können Ihre Erwartungen schnell bestätigen oder widerlegen.
Es ist auch hilfreich zu wissen, ob der Protokolldatenverkehr mit der Zeit steigt oder sinkt. Wenn z.B. die Menge der von einer Anwendung übertragenen Daten steigt, dann könnte dies ein Aspekt sein, über den Sie informiert sein müssen, oder den Sie erwähnenswert finden.
Eingabedaten
Wire Data sammelt Metadaten über den Netzwerkverkehr mit den Agents, die Sie aktiviert haben. Jeder Agent sendet alle 15 Sekunden Daten.
Ausgabedaten
Ein Datensatz mit dem Typ WireData wird für jeden Eingabedatentyp erstellt. Die Eigenschaften der WireData-Datensätze sind in der folgenden Tabelle aufgeführt:
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Computer | Name des Computers, auf dem Daten gesammelt wurden |
| TimeGenerated | Uhrzeit des Datensatzes |
| LocalIP | IP-Adresse des lokalen Computers |
| SessionState | Verbunden oder getrennt |
| ReceivedBytes | Summe empfangener Bytes |
| ProtocolName | Name des verwendeten Netzwerkprotokolls |
| IPVersion | IP-Version |
| Direction | Eingehend oder ausgehend |
| MaliciousIP | IP-Adresse einer bekannten schädlichen Quelle |
| severity | Vermuteter Malwareschweregrad |
| RemoteIPCountry | Land/Region der Remote-IP-Adresse |
| ManagementGroupName | Name der Operations Manager-Verwaltungsgruppe |
| SourceSystem | Quelle, auf der Daten gesammelt wurden |
| SessionStartTime | Startzeit der Sitzung |
| SessionEndTime | Endzeit der Sitzung |
| LocalSubnet | Subnetz, in dem Daten gesammelt wurden |
| LocalPortNumber | Lokale Portnummer |
| RemoteIP | Vom Remotecomputer verwendete Remote-IP-Adresse |
| RemotePortNumber | Von der Remote-IP-Adresse verwendete Portnummer |
| SessionID | Ein eindeutiger Wert, der die Kommunikationssitzung zwischen zwei IP-Adressen identifiziert |
| SentBytes | Anzahl der gesendeten Bytes |
| TotalBytes | Gesamtanzahl der während der Sitzung gesendeten Bytes |
| ApplicationProtocol | Typ des verwendeten Netzwerkprotokolls |
| ProcessID | Windows-Prozess-ID |
| ProcessName | Pfad und Dateiname des Prozesses |
| RemoteIPLongitude | IP-Längengradwert |
| RemoteIPLatitude | IP-Breitengradwert |
Nächste Schritte
- Informationen zu den Anforderungen und Methoden für die Aktivierung der Überwachung für Ihre virtuellen Computer finden Sie unter Bereitstellen von VM Insights.
- Durchsuchen von Protokollen und darüber, wie Sie ausführliche Wire Data-Suchdatensätze anzeigen.