Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Monitor sammelt automatisch Hostmetriken und Aktivitätsprotokolle von virtuellen Azure-Computern, Skalierungssätzen für virtuelle Computer und Azure Arc-fähige Server. Um das Gastbetriebssystem und die Workloads vollständig zu überwachen, müssen Sie in der Regel auch Protokolldaten sammeln, die nicht standardmäßig erfasst werden. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal zum Erstellen von Datensammlungsregeln (DCRs) für allgemeine Datenquellen virtueller Computer verwenden.
Umfang des Artikels
Wenn Sie grundlegende Anforderungen an die Datensammlung haben, sollten die Anleitungen in diesem Artikel und die zugehörigen Artikel für jede Datenquelle ausreichend sein. Das Azure-Portal kann den DCR erstellen und bearbeiten, ohne dass Sie die Struktur verstehen oder sie manuell der VM zuordnen müssen. Das Erstellen eines DCR und das Hinzufügen von VM-Ressourcen ist auch die empfohlene Möglichkeit, den Azure Monitor Agent über das Azure-Portal zu installieren. Der Azure Monitor Agent wird bei Bedarf automatisch installiert, und es wird eine Zuordnung zwischen dem DCR und jeder ausgewählten VM erstellt.
Wenn Sie erweiterte Features wie Transformationen benötigen oder DCRs mithilfe von Azure CLI, Azure Policy oder anderen Methoden erstellen und zuweisen möchten, finden Sie informationen unter Erstellen von Datensammlungsregeln (DCRs) mithilfe von JSON. Sie können auch Beispiel-DCRs überprüfen, die von diesem Prozess bei Datensammlungsregelbeispielen (DCR) für VMs in Azure Monitor erstellt wurden.
Voraussetzungen
- Log Analytics-Arbeitsbereich, in dem Sie mindestens Mitwirkenderechte haben, um die von Ihnen konfigurierten Daten zu sammeln.
- Berechtigungen zum Erstellen von DCR-Objekten im Arbeitsbereich
- Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
- Weitere Voraussetzungen finden Sie im ausführlichen Artikel für jede Datenquelle .
Wichtig
Wenn Ihr Log Analytics-Arbeitsbereich einem Netzwerksicherheitsperimeter zugeordnet ist, lesen Sie " Konfigurieren von Azure Monitor mit Netzwerksicherheitsperimeter ", um Ihren Log Analytics-Arbeitsbereich zu konfigurieren.
Erstellen einer Datensammlungsregel (DCR)
Warnung
Wenn Sie eine vorhandene Datensammlungsregel (DATA Collection Rule, DCR) mithilfe des Azure-Portals bearbeiten, werden alle Änderungen überschrieben, die durch direktes Bearbeiten des JSON-Codes des DCR vorgenommen wurden, wenn diese Features im Portal nicht unterstützt werden. Wenn Sie beispielsweise eine Transformation zu einem DCR für eine Datenquelle hinzufügen, die die Erstellung einer Transformation im Portal nicht zulässt, wird diese Transformation entfernt, wenn Sie den DCR anschließend im Portal bearbeiten. In diesem Fall müssen Sie weiterhin Änderungen am DCR vornehmen, indem Sie den JSON-Code direkt bearbeiten.
Wählen Sie im Azure-Portal im Menü Überwachen die Option Datensammlungsregeln>Erstellen aus, um die Seite für die DCR-Erstellung zu öffnen.
Eine Vorschauumgebung zum Erstellen von DCRs ist jetzt im Azure-Portal verfügbar. Wählen Sie die nachstehende Registerkarte aus, um Anleitungen zu der Oberfläche zu erhalten, die Sie verwenden möchten.
Die Registerkarte Allgemein enthält grundlegende Informationen zur DCR.
| Konfiguration | BESCHREIBUNG |
|---|---|
| Regelname | Ein Name für die DCR. Der Name sollte beschreibend sein, damit Sie die Regel identifizieren können. |
| Abonnement | Abonnement zum Speichern der DCR. Das Abonnement muss nicht dasselbe Abonnement wie für die virtuellen Computer sein. |
| Ressource | Ressourcengruppe zum Speichern der DCR. Die Ressourcengruppe muss nicht dieselbe Ressourcengruppe wie für die virtuellen Computer sein. |
| Region | Azure-Region zum Speichern der DCR. Die Region muss dieselbe Region wie für einen Log Analytics-Arbeitsbereich oder Azure Monitor-Arbeitsbereich sein, der in einem Ziel der DCR verwendet wird. Wenn Sie Arbeitsbereiche in verschiedenen Regionen haben, erstellen Sie mehrere DCRs, die demselben Satz von Computern zugeordnet sind. |
| Plattformtyp | Gibt den Typ der Datenquellen an, die für die DCR verfügbar sind, entweder Windows oder Linux. Keine lässt beides zu. 1 |
| Datensammlungsendpunkt | Gibt den Datensammlungsendpunkt (DATA Collection Endpoint, DCE) an, der zum Sammeln von Daten verwendet wird. Ein DCE ist nur erforderlich, wenn Sie eine Datenquelle verwenden, die eine benötigt. Diese Datenquellen werden auf der Registerkarte " Datenquelle hinzufügen " abgeblenkt, wenn kein DCE ausgewählt ist. Für die meisten Implementierungen können Sie für jeden Log Analytics-Arbeitsbereich einen einzelnen DCE verwenden. Ausführliche Informationen zum Erstellen eines DCE finden Sie unter Erstellen eines Datensammlungsendpunkts . |
1 Diese Option legt das Attribut kind in der DCR fest. Sie können andere Werte für dieses Attribut festlegen, aber die Werte stehen nicht zur Auswahl im Portal zur Verfügung.
Ressourcen hinzufügen
Wählen Sie im Bereich "Ressourcen " die Option " Ressourcen hinzufügen" aus, um virtuelle Computer hinzuzufügen, die den DCR verwenden. Sie müssen noch keine virtuellen Computer hinzufügen, da Sie den DCR nach der Erstellung aktualisieren und alle Ressourcen hinzufügen/entfernen können. Wenn Sie auf der Registerkarte "Ressourcen" die Option "Datensammlungsendpunkte aktivieren" auswählen, können Sie für jeden virtuellen Computer einen DCE auswählen. Dies ist nur erforderlich, wenn Sie private Azure Monitor-Links verwenden. Wählen Sie andernfalls diese Option nicht aus.
Hinweis
Sie können keine VM-Skalierungsgruppe mit flexibler Orchestrierung als Ressource für eine DCR hinzufügen. Fügen Sie stattdessen jede virtuelle Maschine hinzu, die in der virtuellen Maschinen-Skalierungsgruppe enthalten ist.
Wichtig
Wenn Ressourcen einer DCR hinzugefügt werden, besteht die Standardoption im Azure-Portal darin, eine systemseitig zugewiesene verwaltete Identität für die Ressourcen zu aktivieren. Bei vorhandenen Anwendungen gilt Folgendes: Wenn bereits eine benutzerseitig zugewiesene verwaltete Identität festgelegt ist und Sie diese benutzerseitig zugewiesene Identität beim Hinzufügen der Ressource zu einer DCR über das Portal nicht angeben, verwendet der Computer standardmäßig eine systemseitig zugewiesene Identität, die von der DCR angewendet wird.
Hinzufügen von Datenquellen
Wählen Sie im Bereich "Sammeln und Übermitteln " die Option " Datenquelle hinzufügen " aus, um Datenquellen und Ziele für den DCR hinzuzufügen und zu konfigurieren. Sie können demselben DCR mehrere Datenquellen hinzufügen oder mehrere DCRs mit unterschiedlichen Datenquellen erstellen. Ein DCR kann über bis zu 10 Datenquellen verfügen, und eine VM kann eine beliebige Anzahl von DCRs verwenden.
| Konfiguration | BESCHREIBUNG |
|---|---|
| Datenquelle | Wählen Sie einen Datenquellentyp aus, und geben Sie Werte für die Felder basierend auf dem ausgewählten Datenquellentyp an. Ausführliche Informationen zum Konfigurieren der einzelnen Datenquellentypen finden Sie unter Hinzufügen von Datenquellen . |
| Ziel | Fügen Sie für jede Datenquelle mindestens ein Ziel hinzu. Einige Datenquellen ermöglichen nur ein einzelnes Ziel. Wenn Sie mehrere Ziele benötigen, erstellen Sie einen anderen DCR. Sie können zwar mehrere Ziele desselben Typs für einige Datenquellen auswählen, beachten Sie jedoch, dass dadurch doppelte Daten an jedes Ziel gesendet werden und die Kosten erhöht werden. Weitere Informationen zu den unterstützten Zielen finden Sie in den Details zu den einzelnen Datentypen. |
Hinzufügen von Datenquellen
In der folgenden Tabelle sind die Datentypen aufgeführt, die Sie von einem VM-Client mit Azure Monitor sammeln können und wo Sie diese Daten senden können. Weitere Informationen zum Konfigurieren dieser Datenquelle finden Sie in den jeweiligen Artikeln.
| Datenquelle | BESCHREIBUNG | Clientbetriebssystem | Zielorte |
|---|---|---|---|
| Windows-Ereignisse | An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse | Fenster | Log Analytics-Arbeitsbereich |
| Leistungsindikatoren | Numerische Werte, die die Leistung verschiedener Betriebssystem- und Workloadaspekte messen | Fenster Linux |
Azure Monitor-Metriken (Vorschau) Log Analytics-Arbeitsbereich |
| OpenTelemetry-Metriken | OpenTelemetry-Leistungsindikatoren vom Gastbetriebssystem | Fenster Linux |
Azure Monitor-Arbeitsbereich |
| Syslog | Informationen, die an das Linux-Ereignisprotokollierungssystem gesendet werden | Linux | Log Analytics-Arbeitsbereich |
| Textprotokoll | Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden | Fenster Linux |
Log Analytics-Arbeitsbereich |
| JSON-Protokoll | Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden | Fenster Linux |
Log Analytics-Arbeitsbereich |
| IIS-Protokolle | IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern | Fenster | Log Analytics-Arbeitsbereich |
| SNMP-Traps | SNMP-Abruf- und Trapdaten, die an die Syslog-Datentabelle oder benutzerdefinierte Texttabelle gesendet werden | Linux | Log Analytics-Arbeitsbereich |
| Windows-Firewallprotokolle | Windows-Client- und Serverfirewallprotokolldaten, die von DCR und der Sicherheits- und Überwachungslösung aus Marketplace im Azure-Portal gesammelt werden | Fenster | Log Analytics-Arbeitsbereich |
Überprüfen des Betriebs
Es kann bis zu 5 Minuten dauern, bis Daten an die Ziele gesendet werden, nachdem Sie einen DCR erstellt haben. Sie können überprüfen, ob der Agent betriebsbereit ist und dass Daten gesammelt werden, indem Sie die Daten im Log Analytics-Arbeitsbereich abfragen.
Überprüfen des Agent-Vorgangs
Vergewissern Sie sich, dass der Agent betriebsbereit ist und ordnungsgemäß mit dem Azure Monitor kommuniziert, indem Sie das Heartbeat für die virtuelle Maschine überprüfen. Wenn ein Agent ordnungsgemäß mit Azure Monitor kommuniziert, sendet er jeden Moment einen Datensatz an die Heartbeat-Tabelle.
Wählen Sie auf der VM im Azure-Portal Protokolle aus, und klicken Sie dann auf die Schaltfläche Tabellen. Klicken Sie unter der Kategorie VM auf Ausführen neben Heartbeat. Wenn der Agent ordnungsgemäß kommuniziert, sollten Sie Heartbeat-Einträge für die VM sehen.
Überprüfen, ob Datensätze empfangen werden
Nachdem Sie überprüft haben, ob der Agent ordnungsgemäß kommuniziert, stellen Sie sicher, dass die erwarteten Daten gesammelt werden. Verwenden Sie denselben Prozess wie oben, um die Daten in der Tabelle für die von Ihnen konfigurierte Datenquelle anzuzeigen. In der folgenden Tabelle sind die Kategorie und Tabelle für jede Datenquelle aufgeführt.
| Datenquelle | Kategorie | Tabelle |
|---|---|---|
| Windows-Ereignisse | Virtuelle Computer | Ereignis |
| Leistungsindikatoren | Virtuelle Computer | Perf |
| OpenTelemetry-Metriken | Virtuelle Computer | Azure Monitor-Arbeitsbereich |
| Syslog | Virtuelle Computer | Syslog |
| IIS-Protokolle | Virtuelle Computer | W3CIISLog |
| Textprotokoll | Benutzerdefinierte Protokolle | <Benutzerdefinierter Tabellenname> |
| JSON-Protokoll | Benutzerdefinierte Protokolle | <Benutzerdefinierter Tabellenname> |
Warnung "Doppelte Daten"
Beachten Sie die folgenden Szenarien, die dazu führen können, dass doppelte Daten gesammelt werden, die Ihre Abrechnungsgebühren erhöhen:
- Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen zu derselben VM. Wenn Sie dcRs mit derselben Datenquelle haben, stellen Sie sicher, dass Sie diese so konfigurieren, dass sie nach eindeutigen Daten gefiltert werden.
- Erstellen eines DCR, das Sicherheitsprotokolle sammelt und Microsoft Sentinel für dieselben virtuellen Computer aktiviert. In diesem Fall werden dieselben Ereignisse sowohl an die Ereignistabelle (Azure Monitor) als auch in der SecurityEvent-Tabelle (Microsoft Sentinel) gesendet.
- Erstellen eines DCR für einen virtuellen Computer, der auch den älteren Log Analytics-Agent auf demselben Computer ausführt. Beide können identische Daten sammeln und in derselben Tabelle speichern. Befolgen Sie die Anleitungen unter Migrieren vom Log Analytics-Agent zum Azure Monitor-Agent, um vom Legacy-Agent zu migrieren.
Siehe Verwalten von Regelzuordnungen für die Datensammlung in Azure Monitor , um die dcRs auflisten, die einem virtuellen Computer im Azure-Portal zugeordnet sind. Sie können auch den folgenden PowerShell-Befehl verwenden, um alle DCRs für einen virtuellen Computer auflisten:
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
Verwandte Inhalte
- Übersicht über den Azure Monitor-Agent – Überprüfen Sie, wie der Azure Monitor-Agent Daten von virtuellen Computern sammelt.
- Datensammlungsregeln in Azure Monitor – Erfahren Sie, wie DCRs Quellen, Ziele und Zuordnungen definieren.
- Sammeln von Leistungsindikatoren von virtuellen Computern mit Azure Monitor – Konfigurieren der Leistungsindikatorsammlung für die protokollbasierte Überwachung.
- Lernprogramm: Sammeln von Gastprotokollen von einem virtuellen Azure-Computer – Gehen Sie durch das Sammeln von Windows-Ereignisprotokollen oder Syslog von einer überwachten VM.