Mengumpulkan peristiwa dan penghitung kinerja dari komputer virtual dengan Agen Azure Monitor
Artikel ini menjelaskan cara mengumpulkan peristiwa dan penghitung kinerja dari komputer virtual dengan menggunakan Agen Azure Monitor.
Prasyarat
Untuk menyelesaikan prosedur ini, Anda memerlukan:
- Ruang kerja Log Analitik tempat Anda memiliki setidaknya hak kontributor.
- Izin untuk membuat objek Aturan Pengumpulan Data di ruang kerja.
- Kaitkan aturan pengumpulan data ke mesin virtual tertentu.
Membuat aturan pengumpulan data
Anda dapat menentukan aturan pengumpulan data untuk mengirim data dari beberapa komputer ke beberapa ruang kerja Analitik Log, termasuk ruang kerja di wilayah atau penyewa yang berbeda. Buat aturan pengumpulan data di wilayah yang sama dengan ruang kerja Analitik Log Anda. Anda hanya dapat mengirim peristiwa Windows dan data Syslog ke Log Azure Monitor. Anda dapat mengirim penghitung kinerja ke Metrik Azure Monitor dan Log Azure Monitor.
Catatan
Saat ini, sumber daya Microsoft.HybridCompute (server dengan dukungan Azure Arc) tidak dapat dilihat di Metrics Explorer (portal Azure UX), tetapi dapat diperoleh melalui Metrics REST API (Metric Namespaces - List, Metric Definitions - List, and Metrics - List).
Catatan
Untuk mengirim data di seluruh penyewa, Anda harus terlebih dahulu mengaktifkan Azure Lighthouse.
Pada menu Monitor , pilih Aturan Pengumpulan Data.
Pilih Buat untuk membuat aturan dan asosiasi pengumpulan data baru.
Masukkan Nama aturan dan tentukan Langganan, Grup Sumber Daya, Wilayah, dan Jenis Platform:
- Wilayah menentukan lokasi DCR akan dibuat. Komputer virtual dan asosiasinya dapat berada di setiap grup langganan atau sumber daya di penyewa.
- Jenis Platform menentukan jenis sumber daya yang dapat diterapkan aturan ini. Opsi Kustom memungkinkan jenis Windows dan Linux.
Pada tab Sumber Daya :
-
Pilih + Tambahkan sumber daya dan kaitkan sumber daya ke aturan pengumpulan data. Sumber daya dapat berupa komputer virtual, Virtual Machine Scale Sets, dan Azure Arc untuk server. portal Azure menginstal Agen Azure Monitor pada sumber daya yang belum menginstalnya.
Penting
Portal memungkinkan identitas terkelola yang ditetapkan sistem pada sumber daya target, bersama dengan identitas yang ditetapkan pengguna yang ada, jika ada. Untuk aplikasi yang ada, kecuali Anda menentukan identitas yang ditetapkan pengguna dalam permintaan, komputer default menggunakan identitas yang ditetapkan sistem sebagai gantinya.
Jika Anda memerlukan isolasi jaringan menggunakan tautan privat, pilih titik akhir yang ada dari wilayah yang sama untuk sumber daya masing-masing atau buat titik akhir baru.
Pilih Aktifkan Titik Akhir Pengumpulan Data.
Pilih titik akhir pengumpulan data untuk setiap sumber daya yang terkait dengan aturan pengumpulan data.
Pada tab Kumpulkan dan kirim, klik Tambahkan sumber data untuk menambahkan sumber data dan set tujuan.
Pilih Jenis sumber data.
Pilih data yang ingin Anda kumpulkan. Untuk penghitung kinerja, Anda dapat memilih dari set objek yang telah ditentukan dan rasio pengambilan sampelnya. Untuk peristiwa, Anda dapat memilih dari serangkaian log dan tingkat keparahan.
Pilih Kustom untuk mengumpulkan log dan penghitung kinerja yang saat ini tidak didukung sumber data atau untuk memfilter peristiwa dengan menggunakan kueri XPath. Lalu, Anda dapat menentukan JalurX untuk mengumpulkan setiap nilai tertentu.
Untuk mengumpulkan penghitung kinerja yang tidak tersedia secara default, gunakan format
\PerfObject(ParentInstance/ObjectInstance#InstanceIndex)\Counter
. Jika nama penghitung berisi ampersand (&), ganti dengan&
. Contohnya,\Memory\Free & Zero Page List Bytes
.Untuk contoh DCR, lihat Contoh aturan pengumpulan data (DCR) di Azure Monitor.
Pada tab Tujuan, tambahkan satu atau beberapa tujuan untuk sumber data. Anda dapat memilih beberapa tujuan dari jenis yang sama atau berbeda. Misalnya, Anda dapat memilih beberapa ruang kerja Analitik Log, yang juga dikenal sebagai multihoming.
Anda hanya dapat mengirim peristiwa Windows dan sumber data Syslog ke Log Azure Monitor. Anda dapat mengirim penghitung kinerja ke Metrik Azure Monitor dan Log Azure Monitor. Saat ini, sumber daya komputasi hibrid (Arc untuk Server) tidak mendukung tujuan Metrik Azure Monitor (Pratinjau).
Pilih Tambahkan sumber data lalu pilih Tinjau + buat untuk meninjau detail aturan pengumpulan data dan kaitan dengan sekumpulan komputer virtual.
Pilih Buat untuk membuat aturan pengumpulan data.
File parameter
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"value": "my-azure-vm"
},
"associationName": {
"value": "my-windows-vm-my-dcr"
},
"dataCollectionRuleId": {
"value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
}
}
}
Catatan
Diperlukan waktu hingga 5 menit agar data dikirim ke tujuan setelah Anda membuat aturan pengumpulan data.
Memfilter peristiwa menggunakan kueri JalurX
Anda dikenakan biaya untuk data apa pun yang Anda kumpulkan di ruang kerja Analitik Log. Oleh karena itu, Anda hanya boleh mengumpulkan data peristiwa yang Anda butuhkan. Konfigurasi dasar dalam portal Microsoft Azure memberi Anda kemampuan terbatas untuk memfilter peristiwa.
Tip
Untuk strategi mengurangi biaya Azure Monitor Anda, lihat Pengoptimalan biaya dan Azure Monitor.
Untuk menentukan lebih banyak filter, gunakan konfigurasi kustom dan tentukan XPath yang memfilter peristiwa yang tidak Anda butuhkan. Entri JalurX ditulis dalam formulir LogName!XPathQuery
. Misalnya, Anda mungkin hanya ingin mengembalikan peristiwa dari log peristiwa Aplikasi dengan ID peristiwa 1035. Untuk XPathQuery
peristiwa ini adalah *[System[EventID=1035]]
. Karena Anda ingin mengambil peristiwa dari log peristiwa Aplikasi, XPath adalah Application!*[System[EventID=1035]]
Mengekstrak kueri XPath dari Windows Pemantau Peristiwa
Di Windows, Anda dapat menggunakan Pemantau Peristiwa untuk mengekstrak kueri XPath seperti yang ditunjukkan pada cuplikan layar.
Saat Anda menempelkan kueri XPath ke bidang pada layar Tambahkan sumber data, seperti yang ditunjukkan pada langkah 5, Anda harus menambahkan kategori jenis log diikuti dengan tanda seru (!).
Tip
Anda dapat menggunakan cmdlet Get-WinEvent
PowerShell dengan FilterXPath
parameter untuk menguji validitas kueri XPath secara lokal di komputer Anda terlebih dahulu. Untuk informasi selengkapnya, lihat tip yang diberikan di agen Windows berbasis instruksi koneksi . Get-WinEvent
Cmdlet PowerShell mendukung hingga 23 ekspresi. Aturan pengumpulan data Azure Monitor mendukung hingga 20. Skrip berikut ini memperlihatkan contoh:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Dalam cmdlet sebelumnya, nilai
-LogName
parameter adalah bagian awal dari kueri XPath hingga tanda seru (!). Kueri XPath lainnya masuk ke$XPath
parameter . - Jika skrip mengembalikan peristiwa, kueri valid.
- Jika Anda menerima pesan "Tidak ada peristiwa yang ditemukan yang cocok dengan kriteria pemilihan yang ditentukan," kueri mungkin valid tetapi tidak ada peristiwa yang cocok pada komputer lokal.
- Jika Anda menerima pesan Kueri yang ditentukan tidak valid , sintaksis kueri tidak valid.
Contoh penggunaan XPath kustom untuk memfilter peristiwa:
Deskripsi | XPath |
---|---|
Kumpulkan Peristiwa sistem dengan ID Peristiwa = 4648 saja | System!*[System[EventID=4648]] |
Kumpulkan peristiwa Log Keamanan dengan ID Peristiwa = 4648 dan nama proses dari consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
Kumpulkan semua peristiwa Kritis, Kesalahan, Peringatan, dan Informasi dari log Peristiwa sistem kecuali untuk ID Peristiwa = 6 (Driver dimuat) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
Kumpulkan semua peristiwa Keamanan yang sukses dan gagal kecuali untuk ID Peristiwa 4624 (Berhasil masuk) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Catatan
Untuk daftar batasan dalam XPath yang didukung oleh log peristiwa Windows, lihat Batasan XPath 1.0.
Misalnya, Anda dapat menggunakan fungsi "posisi", "Band", dan "timediff" dalam kueri tetapi fungsi lain seperti "starts-with" dan "contains" saat ini tidak didukung.
Tanya jawab umum
Bagian ini menyediakan jawaban atas pertanyaan umum.
Bagaimana cara mengumpulkan peristiwa keamanan Windows dengan menggunakan Agen Azure Monitor?
Ada dua cara untuk mengumpulkan peristiwa Keamanan menggunakan agen baru, saat mengirim ke ruang kerja Analitik Log:
- Anda dapat menggunakan Agen Azure Monitor untuk mengumpulkan Peristiwa Keamanan secara asli, sama seperti Peristiwa Windows lainnya. Ini mengalir ke tabel 'Peristiwa' di ruang kerja Analitik Log Anda.
- Jika Anda mengaktifkan Microsoft Azure Sentinel di ruang kerja, peristiwa keamanan mengalir melalui Agen Azure Monitor ke dalam
SecurityEvent
tabel sebagai gantinya (sama seperti menggunakan agen Analitik Log). Skenario ini selalu mengharuskan solusi diaktifkan terlebih dahulu.
Apakah saya akan menduplikasi peristiwa jika saya menggunakan Agen Azure Monitor dan agen Analitik Log pada komputer yang sama?
Jika Anda mengumpulkan peristiwa yang sama dengan kedua agen, duplikasi terjadi. Duplikasi ini bisa menjadi agen warisan yang mengumpulkan data redundan dari data konfigurasi ruang kerja, yang dikumpulkan oleh aturan pengumpulan data. Atau Anda mungkin mengumpulkan peristiwa keamanan dengan agen warisan dan mengaktifkan peristiwa keamanan Windows dengan konektor Agen Azure Monitor di Microsoft Azure Sentinel.
Batasi peristiwa duplikasi hanya untuk waktu saat Anda beralih dari satu agen ke agen lainnya. Setelah Anda sepenuhnya menguji aturan pengumpulan data dan memverifikasi pengumpulan datanya, nonaktifkan pengumpulan untuk ruang kerja dan putuskan sambungan konektor data Microsoft Monitoring Agent apa pun.
Apakah Agen Azure Monitor menawarkan opsi pemfilteran peristiwa yang lebih terperinci selain kueri Xpath dan menentukan penghitung kinerja?
Untuk peristiwa Syslog di Linux, Anda dapat memilih fasilitas dan tingkat log untuk setiap fasilitas.
Jika saya membuat aturan pengumpulan data yang berisi ID peristiwa yang sama dan mengaitkannya ke VM yang sama, apakah peristiwa akan diduplikasi?
Ya. Untuk menghindari duplikasi, pastikan pilihan peristiwa yang Anda buat dalam aturan pengumpulan data Anda tidak berisi peristiwa duplikat.
Langkah berikutnya
- Kumpulkan log teks dengan menggunakan Agen Azure Monitor.
- Pelajari selengkapnya tentang Agen Azure Monitor.
- Pelajari selengkapnya tentang aturan pengumpulan data.