Collecter des données avec l’agent Azure Monitor
L’agent Azure Monitor (AMA) est utilisé pour collecter des données à partir de machines virtuelles Azure, de groupes de machines virtuelles identiques et de serveurs avec Arc. Les règles de collecte de données (DCR) définissent les données à collecter auprès de l’agent et l’emplacement où ces données doivent être envoyées. Cet article explique comment utiliser le portail Azure pour créer une DCR pour collecter différents types de données et comment installer l’agent sur toutes les machines qui en ont besoin.
Si vous débutez avec Azure Monitor ou si vous avez des exigences de collecte de données de base, vous pourrez peut-être répondre à toutes vos exigences à l’aide du portail Azure et des conseils fournis dans cet article. Si vous souhaitez tirer parti des fonctionnalités DCR supplémentaires telles que les transformations, vous devrez peut-être créer une DCR à l’aide d’autres méthodes ou la modifier après l’avoir créée dans le portail. Vous pouvez également utiliser différentes méthodes pour gérer les règles de collecte de données et créer des associations si vous souhaitez déployer à l’aide de l’interface CLI, de PowerShell, des modèles ARM ou d’Azure Policy.
Remarque
Pour envoyer des données entre locataires, vous devez d’abord activer Azure Lighthouse.
Avertissement
Les cas suivants peuvent collecter des données en double, ce qui peut entraîner des frais supplémentaires.
- Créer plusieurs règles de collecte de données avec la même source de données et les associer au même agent. Vérifiez que vous filtrez les données dans les règles de collecte de données afin que chacun collecte des données uniques.
- Créer une DCR qui collecte les journaux de sécurité et activer Sentinel pour les mêmes agents. Dans ce cas, vous pouvez collecter les mêmes événements dans la table d’événements et la table SecurityEvent.
- Utilisation de l’agent Azure Monitor et de l’agent Log Analytics hérité sur le même ordinateur. Vous pouvez limiter les événements de duplication uniquement au moment de la transition entre deux agents.
Sources de données
Le tableau ci-dessous répertorie les types de données que vous pouvez actuellement collecter avec l’agent Azure Monitor et l’emplacement où vous pouvez envoyer ces données. Le lien de chaque article décrit les détails de la configuration de cette source de données. Suivez cet article pour créer la DCR et l’affecter aux ressources, puis suivez l’article lié pour configurer la source de données.
| Source de données | Description | Système d’exploitation client | Destinations |
|---|---|---|---|
| Événements Windows | Informations envoyées au système de journalisation des événements Windows, y compris les événements sysmon. | Windows | Espace de travail Log Analytics |
| Compteurs de performances | Valeurs numériques mesurant les performances de différents aspects du système d’exploitation et des charges de travail. | Windows Linux |
Métriques Azure Monitor (préversion) Espace de travail Log Analytics |
| Syslog | Informations envoyées au système de journalisation des événements Linux. | Linux | Espace de travail Log Analytics |
| Journal texte | Informations envoyées à un fichier journal texte sur un disque local. | Windows Linux |
Espace de travail Log Analytics |
| Journal JSON | Informations envoyées à un fichier journal JSON sur un disque local. | Windows Linux |
Espace de travail Log Analytics |
| Journaux d’activité IIS | Journaux IIS (Internet Information Services) à partir du disque local des machines Windows | Windows | Espace de travail Log Analytics |
Remarque
L’agent Azure Monitor prend également en charge l’évaluation des bonnes pratiques SQL du service Azure, actuellement en disponibilité générale. Pour plus d’informations, consultez Configurer l’évaluation des bonnes pratiques en utilisant l’agent Azure Monitor.
Prérequis
- Autorisations de créer des objets de règle de collecte de données dans l’espace de travail.
- Consultez l’article décrivant chaque source de données pour connaître les conditions préalables supplémentaires.
Vue d’ensemble
Lorsque vous créez une DCR dans le portail Azure, vous parcourez une série de pages pour fournir les informations nécessaires et collecter des données à partir des machines que vous spécifiez. Le tableau suivant décrit les informations que vous devez fournir sur chaque page.
| Section | Description |
|---|---|
| Ressources | Machines qui utiliseront le DCR. Lorsque vous ajoutez un ordinateur à la DCR, il crée une association de règles de collecte de données (DCRA) entre l’ordinateur et la DCR. Vous pouvez modifier la DCR pour ajouter ou supprimer des machines après sa création. |
| Source de données | Type de données à collecter à partir de l’ordinateur. La liste des sources de données disponibles est répertoriée ci-dessus dans Sources de données. Chaque source de données possède ses propres paramètres de configuration et éventuellement des prérequis. Pour plus d’informations, consultez l’article de chacune. |
| Destination | Destination où les données collectées à partir de la source de données doivent être envoyées. Si vous avez plusieurs sources de données dans la DCR, elles peuvent être envoyées à des destinations distinctes, et les données d’une seule source de données peuvent être envoyées à plusieurs destinations. Consultez l’article de chaque source de données pour plus d’informations sur leur destination, comme la table de l’espace de travail Log Analytics. |
Créer une règle de collecte de données
Dans le menu Surveiller, sélectionnez Règles de collecte de données>Créer pour ouvrir la page de création de DCR.
La page De base inclut des informations de base sur la DCR.
| Setting | Description |
|---|---|
| Nom de la règle | Nom de la DCR. Il doit s’agir d’un élément descriptif qui vous aide à identifier la règle. |
| Abonnement | Abonnement pour stocker la DCR. Il ne doit pas s’agir du même abonnement que les machines virtuelles. |
| Resource group | Groupe de ressources pour stocker la DCR. Il ne doit pas s’agir du même groupe de ressources que les machines virtuelles. |
| Région | Région pour stocker la DCR. Il doit s’agir de la même région que tout espace de travail Log Analytics ou Azure Monitor utilisé dans une destination de la DCR. Si vous disposez d’espaces de travail dans différentes régions, créez plusieurs règles de collecte de données associées au même ensemble de machines. |
| Type de plate-forme | Spécifie le type de sources de données qui seront disponibles pour la DCR, Windows ou Linux. Aucun permet les deux. 1 |
| Point de terminaison de collecte de données | Spécifie le point de terminaison de collecte de données (DCE) utilisé pour collecter des données. Cela n’est nécessaire que si vous utilisez Azure Monitor Private Links. Cette DCE doit se trouver dans la même région que la DCR. Pour plus d’informations, consultez Comment configurer des points de terminaison de collecte de données en fonction de votre déploiement. |
1 Cette option définit l’attribut kind dans la DCR. D’autres valeurs peuvent être définies pour cet attribut, mais elles ne sont pas disponibles dans le portail.
Ajout de ressources
La page Resources vous permet d’ajouter des ressources qui seront associées à la DCR. Cliquez sur + Ajouter des ressources pour sélectionner des ressources. L’agent Azure Monitor sera automatiquement installé sur les ressources sur lesquelles il n’est pas déjà installé.
Important
Le portail active une identité managée affectée par le système sur les ressources cibles, en plus des identités affectées par l’utilisateur (le cas échéant). Pour les applications existantes, à moins que vous ne spécifiez l’identité affectée par l’utilisateur dans la demande, la machine utilise par défaut l’identité affectée par le système à la place.
Si la machine que vous surveillez ne se trouve pas dans la même région que votre espace de travail Log Analytics de destination et que vous collectez des types de données nécessitant un DCE, sélectionnez Activer les points de terminaison de collecte de données et sélectionnez un point de terminaison dans la région de chaque ordinateur surveillé. Si l’ordinateur surveillé se trouve dans la même région que votre espace de travail Log Analytics de destination ou si vous n’avez pas besoin d’un DCE, ne sélectionnez pas de point de terminaison de collecte de données sous l’onglet Resources.
Ajouter des sources de données
La page Collecter et distribuer vous permet d’ajouter et de configurer des sources de données pour la DCR et une destination pour chacun d’eux.
| Élément d’écran | Description |
|---|---|
| Source de données | Sélectionnez un type de source de données et définissez les champs associés en fonction du type de source de données que vous sélectionnez. Consultez les articles liés dans Sources de données ci-dessus pour plus d’informations sur la configuration de chaque type de source de données. |
| Destination | Ajoutez une ou plusieurs destinations pour chaque source de données. Vous pouvez sélectionner plusieurs destinations du même type ou de différents types. Par exemple, vous pouvez sélectionner plusieurs espaces de travail Log Analytics, également appelé hébergement multiple. Consultez les détails de chaque type de données pour les différentes destinations qu’ils prennent en charge. |
Une DCR peut contenir plusieurs sources de données différentes jusqu’à une limite de 10 sources de données dans une seule DCR. Vous pouvez combiner différentes sources de données dans la même DCR, mais il vaut généralement mieux créer différentes DCR pour différents scénarios de collecte de données. Consultez Meilleures pratiques pour la création et la gestion des règles de collecte de données dans Azure Monitor pour obtenir des recommandations sur la façon d’organiser vos règles de collecte de données.
Vérifier l’opération
Une fois que vous avez créé une DCR et que vous l’avez associée à une machine, vous pouvez vérifier que l’agent est opérationnel et que les données sont collectées en exécutant des requêtes dans l’espace de travail Log Analytics.
Vérifier l’opération de l’agent
Vérifiez que l’agent est opérationnel et communique correctement en exécutant la requête suivante dans Log Analytics pour vérifier s’il existe des enregistrements dans la table Pulsation. Un enregistrement doit être envoyé à cette table à partir de chaque agent toutes les minutes.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Vérifier que les enregistrements sont reçus
L’installation de l’agent et l’exécution de toute règle de collecte de données nouvelle ou modifiée prennent quelques minutes. Vous pouvez ensuite vérifier que les enregistrements sont reçus de chacune de vos sources de données en vérifiant la table dans laquelle chaque écriture est effectuée dans l’espace de travail Log Analytics. Par exemple, la requête suivante vérifie les événements Windows dans la table Événement.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Dépannage
Suivez les étapes suivantes si vous ne collectez pas les données que vous attendez.
- Vérifiez que l’agent est installé et en cours d’exécution sur l’ordinateur.
- Consultez la section Résolution des problèmes de l’article de la source de données avec laquelle vous rencontrez des problèmes.
- Consultez Surveiller et résoudre les problèmes de collecte de données DCR dans Azure Monitor pour activer la surveillance de la DCR.
- Affichez les métriques pour déterminer si les données sont collectées et si des lignes sont supprimées.
- Affichez les journaux pour identifier les erreurs dans la collecte de données.
Étapes suivantes
- Collecter des journaux de texte à l’aide de l’agent Azure Monitor
- En savoir plus sur l’agent Azure Monitor
- En savoir plus sur les règles de collecte de données.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour