Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Monitor sammelt automatisch Hostmetriken und Aktivitätsprotokolle von Ihren virtuellen Azure- und Arc-fähigen Computern. Zum Sammeln von Metriken und Protokollen vom Clientbetriebssystem und deren Workloads müssen Sie jedoch Datensammlungsregeln (DATA Collection Rules, DCRs) erstellen, die angeben, was Sie sammeln möchten und wo sie gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie mithilfe des Azure-Portals einen DCR erstellen, um verschiedene Arten allgemeiner Daten von VM-Clients zu sammeln.
Hinweis
Wenn Sie grundlegende Anforderungen an die Datensammlung haben, sollten Sie alle Ihre Anforderungen erfüllen können, indem Sie die Anleitungen in diesem Artikel und die zugehörigen Artikel zu jeder Datenquelle verwenden. Sie können das Azure-Portal verwenden, um den DCR zu erstellen und zu bearbeiten, und der Azure Monitor-Agent wird automatisch auf jedem virtuellen Computer installiert, der ihn noch nicht besitzt.
Wenn Sie erweiterte Features wie Transformationen nutzen oder DCRs mit anderen Methoden wie Azure CLI oder Azure Policy erstellen und zuweisen möchten, lesen Sie " Installieren und Verwalten des Azure Monitor-Agents und erstellen von DCRs in Azure Monitor". Sie können auch Beispiel-DCRs anzeigen, die durch diesen Prozess bei den Datensammlungsregelbeispielen (DCR) für VM in Azure Monitor erstellt wurden.
Voraussetzungen
- Log Analytics-Arbeitsbereich, in dem Sie mindestens Mitwirkenderechte haben, um die von Ihnen konfigurierten Daten zu sammeln. Lesen Sie " Erstellen eines Log Analytics"-Arbeitsbereichs , wenn Sie noch nicht über einen Arbeitsbereich verfügen, den Sie verwenden können.
- Berechtigungen zum Erstellen von DCR-Objekten im Arbeitsbereich
- Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
- Weitere Voraussetzungen finden Sie im ausführlichen Artikel für jede Datenquelle .
Wichtig
Wenn Ihr Log Analytics-Arbeitsbereich einem Netzwerksicherheitsperimeter zugeordnet ist, siehe „Konfigurieren von Azure Monitor mit Netzwerksicherheitsperimeter“, um Ihren Log Analytics-Arbeitsbereich zu konfigurieren.
Erstellen einer Datensammlungsregel
Wählen Sie im Azure-Portal im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.
Die Registerkarte Allgemein enthält grundlegende Informationen zur DCR.
Konfiguration | BESCHREIBUNG |
---|---|
Regelname | Ein Name für die DCR. Der Name sollte beschreibend sein, damit Sie die Regel identifizieren können. |
Abonnement | Abonnement zum Speichern der DCR. Das Abonnement muss nicht dasselbe Abonnement wie für die virtuellen Computer sein. |
Ressource | Ressourcengruppe zum Speichern der DCR. Die Ressourcengruppe muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein. |
Region | Azure-Region zum Speichern der DCR. Die Region muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind. |
Plattformtyp | Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1 |
Datensammlungsendpunkt | Gibt den Datensammlungsendpunkt (DATA Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Ein DCE ist nur erforderlich, wenn Sie eine Datenquelle verwenden, die eine benötigt. Diese Datenquellen werden auf der Registerkarte " Datenquelle hinzufügen " abgeblenkt, wenn kein DCE ausgewählt ist. Für die meisten Implementierungen können Sie für jeden Log Analytics-Arbeitsbereich einen einzelnen DCE verwenden. Ausführliche Informationen zum Erstellen eines DCE finden Sie unter Erstellen eines Datensammlungsendpunkts . |
1 Diese Option legt das Attribut kind
in der DCR fest. Sie können andere Werte für dieses Attribut festlegen, aber die Werte stehen nicht zur Auswahl im Portal zur Verfügung.
Ressourcen hinzufügen
Wählen Sie im Bereich "Ressourcen " die Option " Ressourcen hinzufügen" aus, um virtuelle Computer hinzuzufügen, die den DCR verwenden. Sie müssen noch keine virtuellen Computer hinzufügen, da Sie den DCR nach der Erstellung aktualisieren und alle Ressourcen hinzufügen/entfernen können. Wenn Sie auf der Registerkarte "Ressourcen" die Option "Datensammlungsendpunkte aktivieren" auswählen, können Sie für jeden virtuellen Computer einen DCE auswählen. Dies ist nur erforderlich, wenn Sie private Azure Monitor-Links verwenden. Wählen Sie andernfalls diese Option nicht aus.
Hinweis
Sie können keine VM-Skalierungsgruppe (VMSS) mit flexibler Orchestrierung als Ressource für eine DCR hinzufügen. Fügen Sie stattdessen jeden virtuellen Computer hinzu, der in der VMSS enthalten ist.
Wichtig
Wenn Ressourcen einer DCR hinzugefügt werden, besteht die Standardoption im Azure-Portal darin, eine systemseitig zugewiesene verwaltete Identität für die Ressourcen zu aktivieren. Bei vorhandenen Anwendungen gilt Folgendes: Wenn bereits eine benutzerseitig zugewiesene verwaltete Identität festgelegt ist und Sie diese benutzerseitig zugewiesene Identität beim Hinzufügen der Ressource zu einer DCR über das Portal nicht angeben, verwendet der Computer standardmäßig eine systemseitig zugewiesene Identität, die von der DCR angewendet wird.
Hinzufügen von Datenquellen
Klicken Sie im Bereich "Sammeln und Übermitteln " auf " Datenquelle hinzufügen ", um Datenquellen und Ziele für den DCR hinzuzufügen und zu konfigurieren. Sie können demselben DCR mehrere Datenquellen hinzufügen oder mehrere DCRs mit unterschiedlichen Datenquellen erstellen. Ein DCR kann über bis zu 10 Datenquellen verfügen, und eine VM kann eine beliebige Anzahl von DCRs verwenden.
Konfiguration | BESCHREIBUNG |
---|---|
Datenquelle | Wählen Sie einen Datenquellentyp aus, und geben Sie Werte für die Felder basierend auf dem ausgewählten Datenquellentyp an. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie in der folgenden Tabelle. |
Ziel | Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Einige Datenquellen lassen nur eine einzelne Datenquelle zu. Wenn Sie mehrere benötigen, können Sie einen anderen DCR erstellen. Sie können zwar mehrere Ziele desselben Typs für einige Datenquellen auswählen, beachten Sie jedoch, dass dadurch doppelte Daten an jedes gesendet werden, was zu zusätzlichen Kosten führt. Die einzelnen Datentypen für die unterschiedlichen unterstützten Ziele finden Sie in den Details. |
In der folgenden Tabelle sind die Datentypen aufgeführt, die Sie von einem VM-Client mit Azure Monitor sammeln können und wo Sie diese Daten senden können. Weitere Informationen zum Konfigurieren dieser Datenquelle finden Sie in den jeweiligen Artikeln.
Datenquelle | BESCHREIBUNG | Clientbetriebssystem | Zielorte |
---|---|---|---|
Windows-Ereignisse | An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse | Fenster | Log Analytics-Arbeitsbereich |
Leistungsindikatoren | Numerische Werte, die die Leistung verschiedener Betriebssystem- und Workloadaspekte messen | Fenster Linux |
Azure Monitor-Metriken (Vorschau) Log Analytics-Arbeitsbereich |
Syslog | Informationen, die an das Linux-Ereignisprotokollierungssystem gesendet werden | Linux | Log Analytics-Arbeitsbereich |
Textprotokoll | Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden | Fenster Linux |
Log Analytics-Arbeitsbereich |
JSON-Protokoll | Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden | Fenster Linux |
Log Analytics-Arbeitsbereich |
IIS-Protokolle | IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern | Fenster | Log Analytics-Arbeitsbereich |
Überprüfen des Betriebs
Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, nachdem Sie einen DCR erstellt haben. Sie können überprüfen, ob der Agent betriebsbereit ist und dass Daten gesammelt werden, indem Sie die Daten im Log Analytics-Arbeitsbereich abfragen.
Überprüfen des Agent-Vorgangs
Vergewissern Sie sich, dass der Agent betriebsbereit ist und ordnungsgemäß mit dem Azure Monitor kommuniziert, indem Sie das Heartbeat für die virtuelle Maschine überprüfen. Wenn ein Agent ordnungsgemäß mit Azure Monitor kommuniziert, sendet er jeden Moment einen Datensatz an die Heartbeat-Tabelle.
Wählen Sie auf der VM im Azure-Portal Protokolle aus, und klicken Sie dann auf die Schaltfläche Tabellen. Klicken Sie unter der Kategorie VM auf Ausführen neben Heartbeat. Wenn der Agent ordnungsgemäß kommuniziert, sollten Sie Heartbeat-Einträge für die VM sehen.
Überprüfen, ob Datensätze empfangen werden
Nachdem Sie überprüft haben, ob der Agent ordnungsgemäß kommuniziert, stellen Sie sicher, dass die erwarteten Daten gesammelt werden. Verwenden Sie denselben Prozess wie oben, um die Daten in der Tabelle für die von Ihnen konfigurierte Datenquelle anzuzeigen. In der folgenden Tabelle sind die Kategorie und Tabelle für jede Datenquelle aufgeführt.
Datenquelle | Kategorie | Tabelle |
---|---|---|
Windows-Ereignisse | Virtuelle Computer | Ereignis |
Leistungsindikatoren | Virtuelle Computer | Perf |
Syslog | Virtuelle Computer | Syslog |
IIS-Protokolle | Virtuelle Computer | W3CIISLog |
Textprotokoll | Benutzerdefinierte Protokolle | <Benutzerdefinierter Tabellenname> |
JSON-Protokoll | Benutzerdefinierte Protokolle | <Benutzerdefinierter Tabellenname> |
Warnung "Doppelte Daten"
Beachten Sie die folgenden Szenarien, die dazu führen können, dass doppelte Daten gesammelt werden, die Ihre Abrechnungsgebühren erhöhen:
- Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen zu derselben VM. Wenn Sie dcRs mit derselben Datenquelle haben, stellen Sie sicher, dass Sie diese so konfigurieren, dass sie nach eindeutigen Daten gefiltert werden.
- Erstellen eines DCR, das Sicherheitsprotokolle sammelt und Microsoft Sentinel für dieselben virtuellen Computer aktiviert. In diesem Fall werden dieselben Ereignisse sowohl an die Ereignistabelle (Azure Monitor) als auch in der SecurityEvent-Tabelle (Microsoft Sentinel) gesendet.
- Erstellen eines DCR für einen virtuellen Computer, der auch den älteren Log Analytics-Agent auf demselben Computer ausführt. Beide können identische Daten sammeln und in derselben Tabelle speichern. Befolgen Sie die Anleitungen unter Migrieren vom Log Analytics-Agent zum Azure Monitor-Agent, um vom Legacy-Agent zu migrieren.
Siehe Verwalten von Regelzuordnungen für die Datensammlung in Azure Monitor , um die dcRs auflisten, die einem virtuellen Computer im Azure-Portal zugeordnet sind. Sie können auch den folgenden PowerShell-Befehl verwenden, um alle DCRs für einen virtuellen Computer auflisten:
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
Verwandte Inhalte
- Informieren Sie sich über den Azure Monitor-Agent.
- Informieren Sie sich über die Datensammlungsregeln.