Freigeben über


Sammeln von Daten aus dem Client für virtuelle Computer mit Azure Monitor

Azure Monitor sammelt automatisch Hostmetriken und Aktivitätsprotokolle von Ihren virtuellen Azure- und Arc-fähigen Computern. Zum Sammeln von Metriken und Protokollen vom Clientbetriebssystem und deren Workloads müssen Sie jedoch Datensammlungsregeln (DATA Collection Rules, DCRs) erstellen, die angeben, was Sie sammeln möchten und wo sie gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie mithilfe des Azure-Portals einen DCR erstellen, um verschiedene Arten allgemeiner Daten von VM-Clients zu sammeln.

Hinweis

Wenn Sie grundlegende Anforderungen an die Datensammlung haben, sollten Sie alle Ihre Anforderungen erfüllen können, indem Sie die Anleitungen in diesem Artikel und die zugehörigen Artikel zu jeder Datenquelle verwenden. Sie können das Azure-Portal verwenden, um den DCR zu erstellen und zu bearbeiten, und der Azure Monitor-Agent wird automatisch auf jedem virtuellen Computer installiert, der ihn noch nicht besitzt.

Wenn Sie erweiterte Features wie Transformationen nutzen oder DCRs mit anderen Methoden wie Azure CLI oder Azure Policy erstellen und zuweisen möchten, lesen Sie " Installieren und Verwalten des Azure Monitor-Agents und erstellen von DCRs in Azure Monitor". Sie können auch Beispiel-DCRs anzeigen, die durch diesen Prozess bei den Datensammlungsregelbeispielen (DCR) für VM in Azure Monitor erstellt wurden.

Voraussetzungen

Wichtig

Wenn Ihr Log Analytics-Arbeitsbereich einem Netzwerksicherheitsperimeter zugeordnet ist, siehe „Konfigurieren von Azure Monitor mit Netzwerksicherheitsperimeter“, um Ihren Log Analytics-Arbeitsbereich zu konfigurieren.

Erstellen einer Datensammlungsregel

Wählen Sie im Azure-Portal im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.

Screenshot: Schaltfläche „Erstellen“ für eine neue Datensammlungsregel

Die Registerkarte Allgemein enthält grundlegende Informationen zur DCR.

Screenshot: Registerkarte „Allgemein“ für eine neue Datensammlungsregel

Konfiguration BESCHREIBUNG
Regelname Ein Name für die DCR. Der Name sollte beschreibend sein, damit Sie die Regel identifizieren können.
Abonnement Abonnement zum Speichern der DCR. Das Abonnement muss nicht dasselbe Abonnement wie für die virtuellen Computer sein.
Ressource Ressourcengruppe zum Speichern der DCR. Die Ressourcengruppe muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein.
Region Azure-Region zum Speichern der DCR. Die Region muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind.
Plattformtyp Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1
Datensammlungsendpunkt Gibt den Datensammlungsendpunkt (DATA Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Ein DCE ist nur erforderlich, wenn Sie eine Datenquelle verwenden, die eine benötigt. Diese Datenquellen werden auf der Registerkarte " Datenquelle hinzufügen " abgeblenkt, wenn kein DCE ausgewählt ist. Für die meisten Implementierungen können Sie für jeden Log Analytics-Arbeitsbereich einen einzelnen DCE verwenden. Ausführliche Informationen zum Erstellen eines DCE finden Sie unter Erstellen eines Datensammlungsendpunkts .

1 Diese Option legt das Attribut kind in der DCR fest. Sie können andere Werte für dieses Attribut festlegen, aber die Werte stehen nicht zur Auswahl im Portal zur Verfügung.

Ressourcen hinzufügen

Wählen Sie im Bereich "Ressourcen " die Option " Ressourcen hinzufügen" aus, um virtuelle Computer hinzuzufügen, die den DCR verwenden. Sie müssen noch keine virtuellen Computer hinzufügen, da Sie den DCR nach der Erstellung aktualisieren und alle Ressourcen hinzufügen/entfernen können. Wenn Sie auf der Registerkarte "Ressourcen" die Option "Datensammlungsendpunkte aktivieren" auswählen, können Sie für jeden virtuellen Computer einen DCE auswählen. Dies ist nur erforderlich, wenn Sie private Azure Monitor-Links verwenden. Wählen Sie andernfalls diese Option nicht aus.

Hinweis

Sie können keine VM-Skalierungsgruppe (VMSS) mit flexibler Orchestrierung als Ressource für eine DCR hinzufügen. Fügen Sie stattdessen jeden virtuellen Computer hinzu, der in der VMSS enthalten ist.

Screenshot der Registerkarte „Ressourcen“ für eine neue Datensammlungsregel.

Wichtig

Wenn Ressourcen einer DCR hinzugefügt werden, besteht die Standardoption im Azure-Portal darin, eine systemseitig zugewiesene verwaltete Identität für die Ressourcen zu aktivieren. Bei vorhandenen Anwendungen gilt Folgendes: Wenn bereits eine benutzerseitig zugewiesene verwaltete Identität festgelegt ist und Sie diese benutzerseitig zugewiesene Identität beim Hinzufügen der Ressource zu einer DCR über das Portal nicht angeben, verwendet der Computer standardmäßig eine systemseitig zugewiesene Identität, die von der DCR angewendet wird.

Hinzufügen von Datenquellen

Klicken Sie im Bereich "Sammeln und Übermitteln " auf " Datenquelle hinzufügen ", um Datenquellen und Ziele für den DCR hinzuzufügen und zu konfigurieren. Sie können demselben DCR mehrere Datenquellen hinzufügen oder mehrere DCRs mit unterschiedlichen Datenquellen erstellen. Ein DCR kann über bis zu 10 Datenquellen verfügen, und eine VM kann eine beliebige Anzahl von DCRs verwenden.

Screenshot der Registerkarte

Konfiguration BESCHREIBUNG
Datenquelle Wählen Sie einen Datenquellentyp aus, und geben Sie Werte für die Felder basierend auf dem ausgewählten Datenquellentyp an. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie in der folgenden Tabelle.
Ziel Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Einige Datenquellen lassen nur eine einzelne Datenquelle zu. Wenn Sie mehrere benötigen, können Sie einen anderen DCR erstellen.

Sie können zwar mehrere Ziele desselben Typs für einige Datenquellen auswählen, beachten Sie jedoch, dass dadurch doppelte Daten an jedes gesendet werden, was zu zusätzlichen Kosten führt. Die einzelnen Datentypen für die unterschiedlichen unterstützten Ziele finden Sie in den Details.

In der folgenden Tabelle sind die Datentypen aufgeführt, die Sie von einem VM-Client mit Azure Monitor sammeln können und wo Sie diese Daten senden können. Weitere Informationen zum Konfigurieren dieser Datenquelle finden Sie in den jeweiligen Artikeln.

Datenquelle BESCHREIBUNG Clientbetriebssystem Zielorte
Windows-Ereignisse An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse Fenster Log Analytics-Arbeitsbereich
Leistungsindikatoren Numerische Werte, die die Leistung verschiedener Betriebssystem- und Workloadaspekte messen Fenster
Linux
Azure Monitor-Metriken (Vorschau)
Log Analytics-Arbeitsbereich
Syslog Informationen, die an das Linux-Ereignisprotokollierungssystem gesendet werden Linux Log Analytics-Arbeitsbereich
Textprotokoll Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden Fenster
Linux
Log Analytics-Arbeitsbereich
JSON-Protokoll Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden Fenster
Linux
Log Analytics-Arbeitsbereich
IIS-Protokolle IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern Fenster Log Analytics-Arbeitsbereich

Überprüfen des Betriebs

Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, nachdem Sie einen DCR erstellt haben. Sie können überprüfen, ob der Agent betriebsbereit ist und dass Daten gesammelt werden, indem Sie die Daten im Log Analytics-Arbeitsbereich abfragen.

Überprüfen des Agent-Vorgangs

Vergewissern Sie sich, dass der Agent betriebsbereit ist und ordnungsgemäß mit dem Azure Monitor kommuniziert, indem Sie das Heartbeat für die virtuelle Maschine überprüfen. Wenn ein Agent ordnungsgemäß mit Azure Monitor kommuniziert, sendet er jeden Moment einen Datensatz an die Heartbeat-Tabelle.

Wählen Sie auf der VM im Azure-Portal Protokolle aus, und klicken Sie dann auf die Schaltfläche Tabellen. Klicken Sie unter der Kategorie VM auf Ausführen neben Heartbeat. Wenn der Agent ordnungsgemäß kommuniziert, sollten Sie Heartbeat-Einträge für die VM sehen.

Screenshot, der die Auswahl der Tabelle „Heartbeats“ in einem Log Analytics-Arbeitsbereich anzeigt.

Überprüfen, ob Datensätze empfangen werden

Nachdem Sie überprüft haben, ob der Agent ordnungsgemäß kommuniziert, stellen Sie sicher, dass die erwarteten Daten gesammelt werden. Verwenden Sie denselben Prozess wie oben, um die Daten in der Tabelle für die von Ihnen konfigurierte Datenquelle anzuzeigen. In der folgenden Tabelle sind die Kategorie und Tabelle für jede Datenquelle aufgeführt.

Datenquelle Kategorie Tabelle
Windows-Ereignisse Virtuelle Computer Ereignis
Leistungsindikatoren Virtuelle Computer Perf
Syslog Virtuelle Computer Syslog
IIS-Protokolle Virtuelle Computer W3CIISLog
Textprotokoll Benutzerdefinierte Protokolle <Benutzerdefinierter Tabellenname>
JSON-Protokoll Benutzerdefinierte Protokolle <Benutzerdefinierter Tabellenname>

Warnung "Doppelte Daten"

Beachten Sie die folgenden Szenarien, die dazu führen können, dass doppelte Daten gesammelt werden, die Ihre Abrechnungsgebühren erhöhen:

  • Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen zu derselben VM. Wenn Sie dcRs mit derselben Datenquelle haben, stellen Sie sicher, dass Sie diese so konfigurieren, dass sie nach eindeutigen Daten gefiltert werden.
  • Erstellen eines DCR, das Sicherheitsprotokolle sammelt und Microsoft Sentinel für dieselben virtuellen Computer aktiviert. In diesem Fall werden dieselben Ereignisse sowohl an die Ereignistabelle (Azure Monitor) als auch in der SecurityEvent-Tabelle (Microsoft Sentinel) gesendet.
  • Erstellen eines DCR für einen virtuellen Computer, der auch den älteren Log Analytics-Agent auf demselben Computer ausführt. Beide können identische Daten sammeln und in derselben Tabelle speichern. Befolgen Sie die Anleitungen unter Migrieren vom Log Analytics-Agent zum Azure Monitor-Agent, um vom Legacy-Agent zu migrieren.

Siehe Verwalten von Regelzuordnungen für die Datensammlung in Azure Monitor , um die dcRs auflisten, die einem virtuellen Computer im Azure-Portal zugeordnet sind. Sie können auch den folgenden PowerShell-Befehl verwenden, um alle DCRs für einen virtuellen Computer auflisten:

Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>