Recopilación de datos de máquinas virtuales con el agente de Azure Monitor

En este artículo se describe cómo recopilar eventos y contadores de rendimiento de máquinas virtuales mediante el agente de Azure Monitor.

Para recopilar datos de máquinas virtuales mediante el agente de Azure Monitor, hará lo siguiente:

  1. Cree reglas de recopilación de datos (DCR) que definan qué datos envía el agente de Azure Monitor a qué destinos.

  2. Asocie la regla de recopilación de datos a máquinas virtuales específicas.

    Puede asociar máquinas virtuales a varias reglas de recopilación de datos. Defina cada regla de recopilación de datos para abordar un requisito determinado. Asocie una o varias reglas de recopilación de datos a una máquina virtual en función de los datos específicos que desea que recopile la máquina.

Creación de una regla y asociación de recopilación de datos

Si desea enviar datos a Log Analytics, cree la regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics. Todavía puede asociar la regla a las máquinas de otras regiones admitidas.

  1. En el menú Supervisión, seleccione las Reglas de recopilación de datos.

  2. Haga clic en Crear para crear una nueva regla de recopilación de datos y asociaciones.

    Captura de pantalla que muestra el botón Crear en la pantalla Reglas de recopilación de datos.

  3. Introduzca un nombre a la regla y especifique una suscripción, un grupo de recursos, una región y un tipo de plataforma:

    • Región especifica dónde se creará la regla de recopilación de datos. Las máquinas virtuales y sus asociaciones pueden estar en cualquier suscripción o grupo de recursos del inquilino.
    • Tipo de plataforma especifica el tipo de recursos a los que se puede aplicar esta regla. La opción Personalizadopermite tipos de Windows y Linux.

    Captura de pantalla que muestra la pestaña Básico de la pantalla Regla de recopilación de datos.

  4. En la pestaña Recursos, agregue los recursos a los que asociar la regla de recopilación de datos. Los recursos pueden ser máquinas virtuales, conjuntos de escalado de máquinas virtuales y Azure Arc para servidores. Azure Portal instala el agente de Azure Monitor en recursos que no lo tengan ya instalado. El portal también habilita la identidad administrada de Azure.

    Importante

    El portal habilita una identidad administrada asignada por el sistema en los recursos de destino, junto con las identidades asignadas por el usuario existentes, si existen. En el caso de las aplicaciones que ya existan, y a menos que se especifique la identidad asignada por el usuario en la solicitud, la máquina usa de manera predeterminada la identidad asignada por el sistema.

    Si necesita aislamiento de red mediante vínculos privados, seleccione los puntos de conexión de la misma región que los recursos respectivos o cree uno.

    Captura de pantalla que muestra la pestaña Recursos de la pantalla Regla de recopilación de datos.

  5. En la pestaña Recopilar y entregar, haga clic en Agregar origen de datos para agregar un origen de datos y un conjunto de destino.

  6. Seleccione un tipo de origen de datos.

  7. Seleccione los datos que desea recopilar. Para los contadores de rendimiento, puede seleccionar entre un conjunto predefinido de objetos y su frecuencia de muestreo. En el caso de los eventos, puede seleccionar entre un conjunto de registros y niveles de gravedad.

    Captura de pantalla que muestra el formulario de Azure Portal para seleccionar los contadores de rendimiento básicos en una regla de recopilación de datos.

  8. Seleccione Personalizado para recopilar registros y contadores de rendimiento que no admitan actualmente orígenes de datos o para filtrar eventos mediante consultas XPath. Después, puede especificar un XPath para los valores específicos. Por ejemplo, consulte la regla de recopilación de datos de muestra.

    Captura de pantalla que muestra el formulario de Azure Portal para seleccionar los contadores de rendimiento personalizados en una regla de recopilación de datos.

  9. En la pestaña Destination (Destino), agregue uno o varios destinos para el origen de datos. Puede seleccionar destinos múltiples destinos del mismo o distinto tipo. Por ejemplo, puede seleccionar varias áreas de trabajo de Log Analytics, lo que también se conoce como hospedaje múltiple.

    Los orígenes de datos de Syslog y los de eventos de Windows solo se pueden enviar a registros de Azure Monitor. Los contadores de rendimiento se pueden enviar a métricas de Azure Monitor y registros de Azure Monitor.

    Captura de pantalla que muestra el formulario de Azure Portal para agregar un origen de datos a una regla de recopilación de datos.

  10. Seleccione Agregar origen de datos y, después seleccioneRevisar y crear para revisar los detalles de la regla de recopilación de datos y la asociación con el conjunto de máquinas virtuales.

  11. Elija Crear para crear la regla de recopilación de datos.

Nota:

Los datos pueden tardar hasta 5 minutos en enviarse a los destinos después de crear la regla de recopilación de datos y las asociaciones.

Filtrado de eventos mediante consultas XPath

Puesto que se le cobra por los datos que recopila en un área de trabajo de Log Analytics, debe limitar la recopilación de datos del agente exclusivamente a los datos de eventos que necesita. La configuración básica de Azure Portal proporciona una capacidad limitada para filtrar eventos.

Sugerencia

Para descubrir estrategias que le ayudarán a reducir los costes de Azure Monitor, consulte Optimización de costes y Azure Monitor.

Para especificar más filtros, use la configuración personalizada y especifique un XPath que filtre los eventos que no necesita. Las entradas XPath se escriben en el formulario LogName!XPathQuery. Por ejemplo, podría desear devolver solo los eventos del registro de eventos de aplicación con el identificador de evento 1035. El XPathQuery para estos eventos sería *[System[EventID=1035]]. Dado que desea recuperar los eventos del registro de eventos de la aplicación, el XPath es Application!*[System[EventID=1035]]

Extracción de consultas XPath del Visor de eventos de Windows

En Windows, puede usar Visor de eventos para extraer consultas XPath, como se muestra en las pantallas.

Al pegar la consulta XPath en el campo de la pantalla Agregar origen de datos como se muestra en el paso 5, debe anexar la categoría de tipo de registro seguida de una exclamación (!).

Captura de pantalla que se muestra los pasos para crear una consulta XPath en el Visor de eventos de Windows.

Para obtener una lista de las limitaciones de XPath que admite el registro de eventos de Windows, vea limitaciones de XPath 1.0.

Sugerencia

Puede usar el cmdlet Get-WinEvent de PowerShell con el parámetro FilterXPath para probar primero la validez de una consulta XPath de forma local en la máquina. En el script siguiente se muestra un ejemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • En el cmdlet anterior, el valor del parámetro -LogName es la parte inicial de la consulta XPath hasta la exclamación (!). mientras que el resto de la consulta XPath entra en el parámetro $XPath.
  • Si el script devuelve eventos, la consulta es válida.
  • Si recibe el mensaje "No se encontraron eventos que coincidan con los criterios de selección especificados", la consulta podría ser válida, pero no hay eventos coincidentes en el equipo local.
  • Si recibe el mensaje “La consulta especificada no es válida”, la sintaxis de la consulta no es válida.

Ejemplos de uso de un XPath personalizado para filtrar eventos:

Descripción XPath
Recopilar solo eventos del Sistema con id. de Evento = 4648 System!*[System[EventID=4648]]
Recopilar eventos del registro de seguridad con id. de evento = 4648 y el nombre de proceso consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Recopilar todos los eventos críticos, de error, de advertencia y de información del registro de eventos del Sistema, excepto el id. de evento = 6 (controlador cargado) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Recopilación de todos los eventos de seguridad correctos y erróneos excepto el id. de evento 4624 (inicio de sesión correcto) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Pasos siguientes