Események és teljesítményszámlálók gyűjtése virtuális gépekről az Azure Monitor Agent használatával

Ez a cikk azt ismerteti, hogyan gyűjthet eseményeket és teljesítményszámlálókat virtuális gépekről az Azure Monitor Agent használatával.

Előfeltételek

Az eljárás elvégzéséhez a következőkre van szüksége:

• Log Analytics-munkaterület, ahol legalább közreműködői jogosultságokkal rendelkezik.
• Engedélyek adatgyűjtési szabályobjektumok létrehozásához a munkaterületen.
• Az adatgyűjtési szabály társítása adott virtuális gépekhez.

Adatgyűjtési szabály létrehozása

Megadhat egy adatgyűjtési szabályt, amely adatokat küld több gépről több Log Analytics-munkaterületre, beleértve egy másik régióban vagy bérlőben lévő munkaterületeket is. Hozza létre az adatgyűjtési szabályt a Log Analytics-munkaterületével megegyező régióban . Windows-esemény- és Syslog-adatokat csak az Azure Monitor-naplókba küldhet. Teljesítményszámlálókat küldhet az Azure Monitor-metrikáknak és az Azure Monitor-naplóknak is.

Feljegyzés

A Microsoft.HybridCompute (Azure Arc-kompatibilis kiszolgálók) erőforrásai jelenleg nem tekinthetők meg a Metrics Explorerben (az Azure Portal UX-jében), de a Metrics REST API-n (Metrikanévterek – Lista, Metrikadefiníciók – Lista és Metrikák – Lista) keresztül szerezhető be.

Feljegyzés

Ahhoz, hogy adatokat küldjön a bérlők között, először engedélyeznie kell az Azure Lighthouse-t.

Portál

1. A Figyelés menüben válassza az Adatgyűjtési szabályok lehetőséget.

2. Új adatgyűjtési szabály és társítás létrehozásához válassza a Létrehozás lehetőséget.

   

3. Adjon meg egy szabálynevet , és adjon meg egy előfizetést, erőforráscsoportot, régiót és platformtípust:

   • A régió határozza meg, hogy a rendszer hol hozza létre a DCR-t. A virtuális gépek és társításaik a bérlő bármely előfizetésében vagy erőforráscsoportjában lehetnek.
   • A platform típusa határozza meg, hogy milyen típusú erőforrásokra vonatkozhat ez a szabály. Az Egyéni beállítás windowsos és linuxos típusok használatát is lehetővé teszi.

   

4. Az Erőforrások lapon:

5. 1. Válassza az + Erőforrások hozzáadása lehetőséget, és társítsa az erőforrásokat az adatgyűjtési szabályhoz. Az erőforrások lehetnek virtuális gépek, virtuálisgép-méretezési csoportok és Azure Arc kiszolgálókhoz. Az Azure Portal telepíti az Azure Monitor Agentet olyan erőforrásokra, amelyek még nincsenek telepítve.

      Fontos

      A portál lehetővé teszi a rendszer által hozzárendelt felügyelt identitást a célerőforrásokon, valamint a meglévő felhasználó által hozzárendelt identitásokat, ha vannak ilyenek. Meglévő alkalmazások esetén, hacsak nem adja meg a felhasználó által hozzárendelt identitást a kérelemben, a gép alapértelmezés szerint a rendszer által hozzárendelt identitást használja.

      Ha privát kapcsolatok használatával szeretne hálózati elkülönítést, válassza ki a meglévő végpontokat ugyanabból a régióból a megfelelő erőforrásokhoz, vagy hozzon létre egy új végpontot.

   2. Válassza az Adatgyűjtési végpontok engedélyezése lehetőséget.

   3. Válasszon ki egy adatgyűjtési végpontot az adatgyűjtési szabályhoz társított összes erőforráshoz.

   

6. Az Adatgyűjtés és kézbesítés lapon válassza az Adatforrás hozzáadása lehetőséget egy adatforrás hozzáadásához és egy célhely beállításához.

7. Válasszon egy adatforrástípust.

8. Válassza ki, hogy mely adatokat szeretné összegyűjteni. Teljesítményszámlálók esetén az objektumok előre definiált készletéből és azok mintavételezési sebességéből választhat. Események esetén a naplók és a súlyosság szintjei közül választhat.

   

9. Válassza az Egyéni lehetőséget az olyan naplók és teljesítményszámlálók gyűjtéséhez, amelyek jelenleg nem támogatott adatforrások, vagy XPath-lekérdezések használatával szűrik az eseményeket. Ezután megadhat egy XPath-t , amely összegyűjti a megadott értékeket. Példa: DCR-minta.

   

10. A Cél lapon adjon hozzá egy vagy több célhelyet az adatforráshoz. Több azonos vagy különböző típusú célhelyet is kijelölhet. Választhat például több Log Analytics-munkaterületet is, amelyet többhomingnak is neveznek.

    Windows-esemény- és Syslog-adatforrásokat csak az Azure Monitor-naplókba küldhet. Teljesítményszámlálókat küldhet az Azure Monitor-metrikáknak és az Azure Monitor-naplóknak is. A hibrid számítási erőforrások (Arc for Server) jelenleg nem támogatják az Azure Monitor Metrics (előzetes verzió) célhelyét.

    

11. Válassza az Adatforrás hozzáadása lehetőséget, majd a Véleményezés + létrehozás lehetőséget az adatgyűjtési szabály részleteinek áttekintéséhez és a virtuális gépek készletével való társításhoz.

12. Válassza a Létrehozás lehetőséget az adatgyűjtési szabály létrehozásához.

API

1. Hozzon létre egy DCR-fájlt a minta DCR-ben látható JSON-formátum használatával.

2. Hozza létre a szabályt a REST API használatával.

3. Hozzon létre társításokat az egyes virtuális gépekhez az adatgyűjtési szabályhoz a REST API használatával.

PowerShell

Adatgyűjtési szabályok

Művelet	Parancs
Szabályok lekérése	Get-AzDataCollectionRule
Szabály létrehozása	New-AzDataCollectionRule
Szabály frissítése	Set-AzDataCollectionRule
Szabály törlése	Remove-AzDataCollectionRule
Szabály "Címkék" frissítése	Update-AzDataCollectionRule

Adatgyűjtési szabály társításai

Művelet	Parancs
Társítások lekérése	Get-AzDataCollectionRuleAssociation
Társítás létrehozása	New-AzDataCollectionRuleAssociation
Társítás törlése	Remove-AzDataCollectionRuleAssociation

Azure CLI

Ez a képesség az Azure CLI monitor-control-service bővítmény részeként engedélyezve van. Az összes parancs megtekintése.

KAR

Társítás létrehozása Azure-beli virtuális géppel

Az alábbi minta társításokat hoz létre egy Azure-beli virtuális gép és egy adatgyűjtési szabály között.

Sablonfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Paraméterfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Társítás létrehozása az Azure Arctal

Az alábbi minta társításokat hoz létre egy Azure Arc-kompatibilis kiszolgáló és egy adatgyűjtési szabály között.

Sablonfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Társítás létrehozása Azure-beli virtuális géppel

Az alábbi minta társításokat hoz létre egy Azure-beli virtuális gép és egy adatgyűjtési szabály között.

Sablonfájl

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Paraméterfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Társítás létrehozása az Azure Arctal

Az alábbi minta társításokat hoz létre egy Azure Arc-kompatibilis kiszolgáló és egy adatgyűjtési szabály között.

Sablonfájl

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Paraméterfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Feljegyzés

Az adatgyűjtési szabály létrehozása után akár 5 percet is igénybe vehet, amíg az adatok el lesznek küldve a célhelyekre.

Események szűrése XPath-lekérdezésekkel

A Log Analytics-munkaterületen gyűjtött adatokért díjat számítunk fel. Ezért csak a szükséges eseményadatokat kell összegyűjtenie. Az Azure Portal alapkonfigurációja korlátozott lehetőséget biztosít az események szűrésére.

Tipp.

Az Azure Monitor költségeinek csökkentésére vonatkozó stratégiákért tekintse meg a költségoptimalizálást és az Azure Monitort.

További szűrők megadásához használjon egyéni konfigurációt, és adjon meg egy XPath-t, amely kiszűri a szükségtelen eseményeket. Az XPath-bejegyzések az űrlapon LogName!XPathQueryvannak megírva. Előfordulhat például, hogy csak az 1035-ös eseményazonosítójú alkalmazásesemény-naplóból szeretne eseményeket visszaadni. Ezeknek XPathQuery az eseményeknek az a célja, hogy *[System[EventID=1035]]. Mivel le szeretné kérni az eseményeket az alkalmazás eseménynaplójából, az XPath Application!*[System[EventID=1035]]

XPath-lekérdezések kinyerve a Windows Eseménynapló

Windows rendszerben a Eseménynapló használatával kinyerheti az XPath-lekérdezéseket a képernyőképeken látható módon.

Amikor beilleszti az XPath-lekérdezést az Adatforrás hozzáadása képernyő mezőjébe, az 5. lépésben látható módon hozzá kell fűznie a naplótípus kategóriát, majd egy felkiáltójelet (!).

Tipp.

A PowerShell-parancsmag Get-WinEvent és a FilterXPath paraméter segítségével először helyileg tesztelheti az XPath-lekérdezések érvényességét a számítógépen. További információkért tekintse meg a Windows-ügynökalapú kapcsolatokra vonatkozó utasításokban található tippet . A Get-WinEvent PowerShell-parancsmag legfeljebb 23 kifejezést támogat. Az Azure Monitor adatgyűjtési szabályai legfeljebb 20-et támogatnak. Az alábbi szkript egy példát mutat be:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Az előző parancsmagban a -LogName paraméter értéke az XPath-lekérdezés kezdeti része, amíg a felkiáltójel (!) meg nem jelenik. Az XPath-lekérdezés többi része a $XPath paraméterbe kerül.
• Ha a szkript eseményeket ad vissza, a lekérdezés érvényes.
• Ha a "Nem található olyan esemény, amely megfelel a megadott kiválasztási feltételeknek", a lekérdezés érvényes lehet, de a helyi gépen nincsenek egyező események.
• Ha a "Megadott lekérdezés érvénytelen" üzenetet kapja, a lekérdezés szintaxisa érvénytelen.

Példák az események szűrésére egyéni XPath használatával:

Leírás	Xpath
Csak az eseményazonosítóval rendelkező rendszeresemények gyűjtése = 4648	System!*[System[EventID=4648]]
Biztonsági naplóesemények gyűjtése az eseményazonosító = 4648 azonosítóval és a consent.exe folyamat nevével	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Gyűjtse össze az összes kritikus, hiba-, figyelmeztetési és információs eseményt a rendszer eseménynaplójából, kivéve az eseményazonosítót = 6 (illesztőprogram betöltve)	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Gyűjtse össze az összes sikeres és sikertelen biztonsági eseményt, kivéve a 4624-s eseményazonosítót (sikeres bejelentkezés)	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Feljegyzés

A Windows eseménynapló által támogatott XPath-korlátozások listáját az XPath 1.0-s korlátozásai című témakörben találja.
Használhatja például a "position", a "Band" és a "timediff" függvényt a lekérdezésen belül, de más függvények, például a "kezdő" és a "contains" jelenleg nem támogatottak.

Gyakori kérdések

Ez a szakasz választ ad a gyakori kérdésekre.

Hogyan gyűjthetem össze a Windows biztonsági eseményeket az Azure Monitor Agent használatával?

A Log Analytics-munkaterületre való küldéskor kétféleképpen gyűjthet biztonsági eseményeket az új ügynökkel:

• Az Azure Monitor Agent használatával natív módon gyűjthet biztonsági eseményeket, ugyanúgy, mint más Windows-eseményeket. Ezek a folyamatok a Log Analytics-munkaterület "Event" táblájába áramlanak.
• Ha engedélyezve van a Microsoft Sentinel a munkaterületen, a biztonsági események az Azure Monitor Agenten keresztül kerülnek a SecurityEvent táblába (ugyanúgy, mint a Log Analytics-ügynök használata). Ebben a forgatókönyvben mindig először engedélyezni kell a megoldást.

Duplikálom az eseményeket, ha az Azure Monitor-ügynököt és a Log Analytics-ügynököt használom ugyanazon a gépen?

Ha mindkét ügynökkel ugyanazokat az eseményeket gyűjti össze, duplikálás történik. Ez a duplikáció lehet az a régi ügynök, amely redundáns adatokat gyűjt a munkaterület konfigurációs adataiból, amelyet az adatgyűjtési szabály gyűjt. Vagy biztonsági eseményeket gyűjthet az örökölt ügynökkel, és engedélyezheti a Windows biztonsági eseményeket az Azure Monitor Agent-összekötőkkel a Microsoft Sentinelben.

A duplikálási eseményeket csak arra az időre korlátozza, amikor az egyik ügynökről a másikra vált. Miután tesztelte az adatgyűjtési szabályt, és ellenőrizte az adatgyűjtést, tiltsa le a munkaterület adatgyűjtését, és bontsa le a Microsoft Monitoring Agent adatösszekötőit.

Az Azure Monitor Agent az Xpath-lekérdezéseken és a teljesítményszámlálókon kívül részletesebb eseményszűrési lehetőségeket is kínál?

A Linuxon futó Syslog-események esetében kiválaszthatja az egyes létesítményekhez tartozó létesítményeket és a naplószintet.

Ha ugyanazt az eseményazonosítót tartalmazó adatgyűjtési szabályokat hozok létre, és ugyanahhoz a virtuális géphez társítom őket, az események duplikálva lesznek?

Igen. A duplikáció elkerülése érdekében győződjön meg arról, hogy az adatgyűjtési szabályokban megadott eseménykijelölés nem tartalmaz ismétlődő eseményeket.

Következő lépések

• Szöveges naplók gyűjtése az Azure Monitor Agent használatával.
• További információ az Azure Monitor-ügynökről.
• További információ az adatgyűjtési szabályokról.