Creación y edición de reglas de recopilación de datos (DCR) en Azure Monitor

Artikulua
07/23/2024

Hay varios métodos para crear una regla de recopilación de datos (DCR) en Azure Monitor. En algunos casos, Azure Monitor creará y administrará el DCR según los valores que configure en el portal de Azure. En otros casos, es posible que tenga que crear sus propias DCR para personalizar escenarios concretos.

En este artículo se describen los distintos métodos para crear y editar un DCR. Para obtener el contenido de DCR en sí, consulte Estructura de una regla de recopilación de datos en Azure Monitor.

Permisos

Necesita los permisos siguientes para crear DCR y asociaciones:

Rol integrado	Ámbitos	Motivo
Colaborador de supervisión	Suscripción o Grupo de recursos o Una DCR existente	Cree o edite DCR, asigne reglas a la máquina e implemente asociaciones.
Colaborador de la máquina virtual Administrador de recursos de Azure Connected Machine	Máquinas virtuales, conjuntos de escalado de máquinas virtuales Servidores habilitados para Azure Arc	Implemente extensiones de agente en la máquina virtual.
Cualquier rol que incluya la acción Microsoft.Resources/deployments/*	Suscripción o Grupo de recursos o Una DCR existente	Implementación de las plantillas de Azure Resource Manager.

Métodos automatizados para crear un DCR

En la siguiente tabla se listan los métodos para crear escenarios de recopilación de datos mediante el Azure Portal, donde se crea la DCR para usted. En estos casos no es necesario interactuar directamente con el propio DCR.

Escenario	Recursos	Descripción
Supervisión de una máquina virtual	Información general sobre la habilitación de VM Insights	Al habilitar VM Insights en una máquina virtual, se instala el agente de Azure Monitor y se crea un DCR que recopila un conjunto predefinido de contadores de rendimiento. No debe modificar este DCR.
Container Insights	Habilitación de Container Insights	Al habilitar Container Insights en un clúster de Kubernetes, se instala una versión en contenedor del agente de Azure Monitor y se crea un DCR que recopila datos según la configuración seleccionada. Es posible que tenga que modificar este DCR para agregar una transformación.
Transformación del área de trabajo	Agregar una transformación en una regla de recopilación de datos del área de trabajo mediante Azure Portal	Cree una transformación para cualquier tabla admitida en un área de trabajo de Log Analytics. La transformación se define en una DCR que luego se asocia al área de trabajo. Esta transformación se aplica a cualquier dato enviado a la tabla que no utilice aún una DCR.

Creación de una regla de recopilación de datos

Azure proporciona un plan de configuración de recopilación de datos basado en la nube y centralizado para máquinas virtuales, conjuntos de escalado de máquinas virtuales, máquinas locales y métricas de Prometheus de contenedores.

En este artículo se describe cómo crear una regla de recopilación de datos (DCR) desde cero. Hay otras soluciones de información que proporcionan experiencias de creación de DCR, como Sentinel, VM Insights y Application Insights, que crean DCR como parte de sus propios flujos de trabajo. A veces, las DCR creadas en estos flujos con diferentes soluciones pueden parecer que están en conflicto. Hay tres tablas a las que se pueden enviar eventos de Windows. Los eventos de auditoría de seguridad de Sentinel van a SecurityEvents, los eventos del conector WEF van a la tabla WindowsEvent. Si usa la colección de eventos temporal de Windows, los resultados van a la tabla Event.

Para crear una regla de recopilación de datos mediante la CLI de Azure, PowerShell, la API o plantillas de ARM, cree un archivo JSON, empezando por una de las DCR de ejemplo. Use la información en Estructura de una regla de recopilación de datos de Azure Monitor para modificar el archivo JSON para su entorno y requisitos concretos.

Importante

Cree la regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics de destino o el área de trabajo de Azure Monitor. Puede asociar la regla de recopilación de datos a máquinas o contenedores de cualquier suscripción o grupo de recursos del inquilino. Para enviar datos entre inquilinos, primero debe habilitar Azure Lighthouse.

En el menú Supervisión, seleccione Reglas de recopilación de datos>Crear a fin de abrir la página para crear una nueva regla de recopilación de datos.

Configure las opciones de cada paso del asistente, como se detalla a continuación.

Aspectos básicos

Elemento de pantalla	Descripción
Nombre de regla	Escriba un nombre para la regla de recopilación de datos.
Suscripción	Asocie la regla de recopilación de datos a una suscripción.
Grupo de recursos	Asocie la regla de recopilación de datos a un grupo de recursos.
Región	Cree la regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics de destino. Puede asociar la regla de recopilación de datos a máquinas de cualquier suscripción o grupo de recursos del inquilino.
Tipo de plataforma	Seleccione Windows o Linuxo Todas, lo que permite tanto plataformas Windows como Linux.
Puntos de conexión de recopilación de datos en Azure Monitor	Para recopilar datos de syslog de Linux, registros de IIS, registros de texto personalizados o registros JSON personalizados, seleccione un punto de conexión de recopilación de datos existente o cree uno nuevo. No necesita un punto de conexión para recopilar contadores de rendimiento y registros de eventos de Windows. En esta pestaña, solo puede seleccionar un punto de conexión de recopilación de datos en la misma región que la regla de recopilación de datos. El agente envía los datos recopilados a este punto de conexión de recopilación de datos. Para obtener más información, consulte Componentes de un punto de conexión de recopilación de datos.

Recursos

Elemento de pantalla	Descripción
+ Agregar recursos	Asocie máquinas virtuales, Virtual Machine Scale Sets y Azure Arc para servidores a la regla de recopilación de datos. Azure Portal instala el agente de Azure Monitor en recursos que aún no tengan el agente instalado.
Habilitar puntos de conexión de recopilación de datos	Si la máquina que está supervisando no está en la misma región que el área de trabajo de Log Analytics de destino, habilite los puntos de conexión de recopilación de datos y seleccione un punto de conexión en la región de la máquina supervisada para recopilar datos de Syslog de Linux, registros de IIS, registros de texto personalizados o registros JSON personalizados. Si la máquina supervisada se encuentra en la misma región que el área de trabajo de Log Analytics de destino, o si está recopilando contadores de rendimiento y registros de eventos de Windows, no seleccione ningún punto de conexión de recopilación de datos en la pestaña Recursos. El punto de conexión de recopilación de datos de la pestaña Recursos es el punto de conexión de acceso de configuración, como se describe en Componentes de un punto de conexión de recopilación de datos. Si necesita aislamiento de red mediante vínculos privados, seleccione los puntos de conexión de la misma región que los recursos respectivos o cree uno.
Identidad de extensión de agente	Use una identidad administrada asignada por el sistema o seleccione una identidad asignada por el usuario existente asignada a la máquina virtual. Para más información, consulte Tipos de identidad administrada.

Recopilar y entregar

En la pestaña Recopilar y entregar, seleccione Agregar origen de datos y configure las opciones en las pestañas Origen y Destino, como se detalla a continuación.

Elemento de pantalla	Descripción
Origen de datos	Seleccione un Tipo de origen de datos y defina campos relacionados en función del tipo de origen de datos seleccionado. Para más información sobre cómo recopilar datos de los distintos tipos de orígenes de datos, consulte Recopilación de datos con el agente de Azure Monitor
Destino	Agregue uno o varios destinos para cada origen. Puede seleccionar destinos múltiples destinos del mismo o distinto tipo.

Revisar y crear

Revise los detalles de la regla de recopilación de datos y seleccione Crear para crear la regla de recopilación de datos.

Nota:

Los datos pueden tardar hasta 5 minutos en enviarse a los destinos al crear una regla de recopilación de datos mediante el Asistente de reglas de recopilación de datos.

Use el comando az monitor datos-colección regla crear para crear un DCR a partir del archivo JSON mediante la CLI de Azure, como se muestra en el ejemplo siguiente.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

Use el cmdlet New-AzDataCollectionRule para crear el DCR desde el archivo JSON mediante PowerShell, como se programan en el ejemplo siguiente.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Reglas de recopilación de datos

Acción	Get-Help
Obtener reglas	Get-AzDataCollectionRule
Crear una regla	New-AzDataCollectionRule
Actualiza una regla	Update-AzDataCollectionRule
Eliminar una regla	Remove-AzDataCollectionRule
Actualiza "Etiquetas" para una regla	Update-AzDataCollectionRule

Asociaciones de reglas de recopilación de datos

Acción	Get-Help
Obtener asociaciones	Get-AzDataCollectionRuleAssociation
Creación de una asociación	New-AzDataCollectionRuleAssociation
Eliminación de una asociación	Remove-AzDataCollectionRuleAssociation

Use el creación de API de DCR para crear el DCR a partir del archivo JSON. Puede usar cualquier método para llamar a una API de REST, como se muestra en los ejemplos siguientes.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

Consulte las referencias siguientes para definir DCR y asociaciones en una plantilla.

Use la plantilla siguiente para crear un DCR mediante información de Estructura de una regla de recopilación de datos en Azure Monitor y Reglas de recopilación de datos de ejemplo (DCR) en Azure Monitor para definir dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

Asociación de DCR: máquina virtual de Azure

En el siguiente ejemplo se crea una asociación entre una máquina virtual de Azure y una regla de recopilación de datos.

Plantilla de ejemplo de Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Archivo de plantilla de ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Archivo de parámetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Asociación de DCR :servidor habilitado para Arc

En el siguiente ejemplo se crea una asociación entre un servidor habilitado para Azure Arc y una regla de recopilación de datos.

Plantilla de ejemplo de Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Archivo de plantilla de ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Archivo de parámetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Edición de un DCR

Para editar un DCR, puede usar cualquiera de los métodos descritos en la sección anterior para crear un DCR mediante una versión modificada del JSON.

Si necesita recuperar el código JSON de un DCR existente, puede copiarlo desde la vista JSON para DCR en Azure Portal. También puede recuperarlo mediante una llamada API como se muestra en el siguiente ejemplo de PowerShell.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Para ver un tutorial que le guía por el proceso de recuperación y edición de un DCR existente, consulteTutorial: Edición de una regla de recopilación de datos (DCR).

Partekatu honen bidez: