Mengumpulkan peristiwa dan penghitung kinerja dari komputer virtual dengan Agen Azure Monitor

Artikel ini menjelaskan cara mengumpulkan peristiwa dan penghitung kinerja dari komputer virtual dengan menggunakan Agen Azure Monitor.

Prasyarat

Untuk menyelesaikan prosedur ini, Anda memerlukan:

• Ruang kerja Log Analitik tempat Anda memiliki setidaknya hak kontributor.
• Izin untuk membuat objek Aturan Pengumpulan Data di ruang kerja.
• Kaitkan aturan pengumpulan data ke mesin virtual tertentu.

Membuat aturan pengumpulan data

Anda dapat menentukan aturan pengumpulan data untuk mengirim data dari beberapa komputer ke beberapa ruang kerja Analitik Log, termasuk ruang kerja di wilayah atau penyewa yang berbeda. Buat aturan pengumpulan data di wilayah yang sama dengan ruang kerja Analitik Log Anda. Anda hanya dapat mengirim peristiwa Windows dan data Syslog ke Log Azure Monitor. Anda dapat mengirim penghitung kinerja ke Metrik Azure Monitor dan Log Azure Monitor.

Catatan

Saat ini, sumber daya Microsoft.HybridCompute (server dengan dukungan Azure Arc) tidak dapat dilihat di Metrics Explorer (portal Azure UX), tetapi dapat diperoleh melalui Metrics REST API (Metric Namespaces - List, Metric Definitions - List, and Metrics - List).

Catatan

Untuk mengirim data di seluruh penyewa, Anda harus terlebih dahulu mengaktifkan Azure Lighthouse.

Portal

1. Pada menu Monitor , pilih Aturan Pengumpulan Data.

2. Pilih Buat untuk membuat aturan dan asosiasi pengumpulan data baru.

   

3. Masukkan Nama aturan dan tentukan Langganan, Grup Sumber Daya, Wilayah, dan Jenis Platform:

   • Wilayah menentukan lokasi DCR akan dibuat. Komputer virtual dan asosiasinya dapat berada di setiap grup langganan atau sumber daya di penyewa.
   • Jenis Platform menentukan jenis sumber daya yang dapat diterapkan aturan ini. Opsi Kustom memungkinkan jenis Windows dan Linux.

   

4. Pada tab Sumber Daya :

5. 1. Pilih + Tambahkan sumber daya dan kaitkan sumber daya ke aturan pengumpulan data. Sumber daya dapat berupa komputer virtual, Virtual Machine Scale Sets, dan Azure Arc untuk server. portal Azure menginstal Agen Azure Monitor pada sumber daya yang belum menginstalnya.

      Penting

      Portal memungkinkan identitas terkelola yang ditetapkan sistem pada sumber daya target, bersama dengan identitas yang ditetapkan pengguna yang ada, jika ada. Untuk aplikasi yang ada, kecuali Anda menentukan identitas yang ditetapkan pengguna dalam permintaan, komputer default menggunakan identitas yang ditetapkan sistem sebagai gantinya.

      Jika Anda memerlukan isolasi jaringan menggunakan tautan privat, pilih titik akhir yang ada dari wilayah yang sama untuk sumber daya masing-masing atau buat titik akhir baru.

   2. Pilih Aktifkan Titik Akhir Pengumpulan Data.

   3. Pilih titik akhir pengumpulan data untuk setiap sumber daya yang terkait dengan aturan pengumpulan data.

   

6. Pada tab Kumpulkan dan kirim, klik Tambahkan sumber data untuk menambahkan sumber data dan set tujuan.

7. Pilih Jenis sumber data.

8. Pilih data yang ingin Anda kumpulkan. Untuk penghitung kinerja, Anda dapat memilih dari set objek yang telah ditentukan dan rasio pengambilan sampelnya. Untuk peristiwa, Anda dapat memilih dari serangkaian log dan tingkat keparahan.

   

9. Pilih Kustom untuk mengumpulkan log dan penghitung kinerja yang saat ini tidak didukung sumber data atau untuk memfilter peristiwa dengan menggunakan kueri XPath. Lalu, Anda dapat menentukan JalurX untuk mengumpulkan setiap nilai tertentu. Misalnya, lihat Sampel DCR.

   

10. Pada tab Tujuan, tambahkan satu atau beberapa tujuan untuk sumber data. Anda dapat memilih beberapa tujuan dari jenis yang sama atau berbeda. Misalnya, Anda dapat memilih beberapa ruang kerja Analitik Log, yang juga dikenal sebagai multihoming.

    Anda hanya dapat mengirim peristiwa Windows dan sumber data Syslog ke Log Azure Monitor. Anda dapat mengirim penghitung kinerja ke Metrik Azure Monitor dan Log Azure Monitor. Saat ini, sumber daya komputasi hibrid (Arc untuk Server) tidak mendukung tujuan Metrik Azure Monitor (Pratinjau).

    

11. Pilih Tambahkan sumber data lalu pilih Tinjau + buat untuk meninjau detail aturan pengumpulan data dan kaitan dengan sekumpulan komputer virtual.

12. Pilih Buat untuk membuat aturan pengumpulan data.

API

1. Buat file DCR dengan menggunakan format JSON yang diperlihatkan dalam Sampel DCR.

2. Buat aturan dengan menggunakan REST API.

3. Buat asosiasi untuk setiap komputer virtual ke aturan pengumpulan data dengan menggunakan REST API.

PowerShell

Aturan pengumpulan data

Perbuatan	Perintah
Mendapatkan aturan	Get-AzDataCollectionRule
Buat aturan	New-AzDataCollectionRule
Memperbarui aturan	Set-AzDataCollectionRule
Hapus aturan	Remove-AzDataCollectionRule
Memperbarui "Tag" untuk aturan	Update-AzDataCollectionRule

Asosiasi aturan pengumpulan data

Perbuatan	Perintah
Mendapatkan asosiasi	Get-AzDataCollectionRuleAssociation
Membuat asosiasi	New-AzDataCollectionRuleAssociation
Menghapus asosiasi	Remove-AzDataCollectionRuleAssociation

Azure CLI

Kemampuan ini diaktifkan sebagai bagian dari ekstensi layanan kontrol monitor Azure CLI. Lihat semua perintah.

ARM

Membuat hubungan dengan Azure VM

Sampel berikut membuat hubungan antara komputer virtual Azure dan aturan pengumpulan data.

File templat

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

File parameter

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Membuat hubungan dengan Azure Arc

Sampel berikut membuat hubungan antara server yang diaktifkan Azure Arc dan aturan pengumpulan data.

File templat

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Membuat hubungan dengan Azure VM

Sampel berikut membuat hubungan antara komputer virtual Azure dan aturan pengumpulan data.

File templat

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

File parameter

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Membuat hubungan dengan Azure Arc

Sampel berikut membuat hubungan antara server yang diaktifkan Azure Arc dan aturan pengumpulan data.

File templat

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

File parameter

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Catatan

Diperlukan waktu hingga 5 menit agar data dikirim ke tujuan setelah Anda membuat aturan pengumpulan data.

Memfilter peristiwa menggunakan kueri JalurX

Anda dikenakan biaya untuk data apa pun yang Anda kumpulkan di ruang kerja Analitik Log. Oleh karena itu, Anda hanya boleh mengumpulkan data peristiwa yang Anda butuhkan. Konfigurasi dasar dalam portal Microsoft Azure memberi Anda kemampuan terbatas untuk memfilter peristiwa.

Tip

Untuk strategi mengurangi biaya Azure Monitor Anda, lihat Pengoptimalan biaya dan Azure Monitor.

Untuk menentukan lebih banyak filter, gunakan konfigurasi kustom dan tentukan XPath yang memfilter peristiwa yang tidak Anda butuhkan. Entri JalurX ditulis dalam formulir LogName!XPathQuery. Misalnya, Anda mungkin hanya ingin mengembalikan peristiwa dari log peristiwa Aplikasi dengan ID peristiwa 1035. Untuk XPathQuery peristiwa ini adalah *[System[EventID=1035]]. Karena Anda ingin mengambil peristiwa dari log peristiwa Aplikasi, XPath adalah Application!*[System[EventID=1035]]

Mengekstrak kueri XPath dari Windows Pemantau Peristiwa

Di Windows, Anda dapat menggunakan Pemantau Peristiwa untuk mengekstrak kueri XPath seperti yang ditunjukkan pada cuplikan layar.

Saat Anda menempelkan kueri XPath ke bidang pada layar Tambahkan sumber data, seperti yang ditunjukkan pada langkah 5, Anda harus menambahkan kategori jenis log diikuti dengan tanda seru (!).

Tip

Anda dapat menggunakan cmdlet Get-WinEvent PowerShell dengan FilterXPath parameter untuk menguji validitas kueri XPath secara lokal di komputer Anda terlebih dahulu. Untuk informasi selengkapnya, lihat tip yang diberikan di agen Windows berbasis instruksi koneksi . Get-WinEvent Cmdlet PowerShell mendukung hingga 23 ekspresi. Aturan pengumpulan data Azure Monitor mendukung hingga 20. Skrip berikut ini memperlihatkan contoh:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Dalam cmdlet sebelumnya, nilai -LogName parameter adalah bagian awal dari kueri XPath hingga tanda seru (!). Kueri XPath lainnya masuk ke $XPath parameter .
• Jika skrip mengembalikan peristiwa, kueri valid.
• Jika Anda menerima pesan "Tidak ada peristiwa yang ditemukan yang cocok dengan kriteria pemilihan yang ditentukan," kueri mungkin valid tetapi tidak ada peristiwa yang cocok pada komputer lokal.
• Jika Anda menerima pesan Kueri yang ditentukan tidak valid , sintaksis kueri tidak valid.

Contoh penggunaan XPath kustom untuk memfilter peristiwa:

Deskripsi	XPath
Kumpulkan Peristiwa sistem dengan ID Peristiwa = 4648 saja	System!*[System[EventID=4648]]
Kumpulkan peristiwa Log Keamanan dengan ID Peristiwa = 4648 dan nama proses dari consent.exe	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Kumpulkan semua peristiwa Kritis, Kesalahan, Peringatan, dan Informasi dari log Peristiwa sistem kecuali untuk ID Peristiwa = 6 (Driver dimuat)	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Kumpulkan semua peristiwa Keamanan yang sukses dan gagal kecuali untuk ID Peristiwa 4624 (Berhasil masuk)	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Catatan

Untuk daftar batasan dalam XPath yang didukung oleh log peristiwa Windows, lihat Batasan XPath 1.0.
Misalnya, Anda dapat menggunakan fungsi "posisi", "Band", dan "timediff" dalam kueri tetapi fungsi lain seperti "starts-with" dan "contains" saat ini tidak didukung.

Tanya jawab umum

Bagian ini menyediakan jawaban atas pertanyaan umum.

Bagaimana cara mengumpulkan peristiwa keamanan Windows dengan menggunakan Agen Azure Monitor?

Ada dua cara untuk mengumpulkan peristiwa Keamanan menggunakan agen baru, saat mengirim ke ruang kerja Analitik Log:

• Anda dapat menggunakan Agen Azure Monitor untuk mengumpulkan Peristiwa Keamanan secara asli, sama seperti Peristiwa Windows lainnya. Ini mengalir ke tabel 'Peristiwa' di ruang kerja Analitik Log Anda.
• Jika Anda mengaktifkan Microsoft Azure Sentinel di ruang kerja, peristiwa keamanan mengalir melalui Agen Azure Monitor ke dalam SecurityEvent tabel sebagai gantinya (sama seperti menggunakan agen Analitik Log). Skenario ini selalu mengharuskan solusi diaktifkan terlebih dahulu.

Apakah saya akan menduplikasi peristiwa jika saya menggunakan Agen Azure Monitor dan agen Analitik Log pada komputer yang sama?

Jika Anda mengumpulkan peristiwa yang sama dengan kedua agen, duplikasi terjadi. Duplikasi ini bisa menjadi agen warisan yang mengumpulkan data redundan dari data konfigurasi ruang kerja, yang dikumpulkan oleh aturan pengumpulan data. Atau Anda mungkin mengumpulkan peristiwa keamanan dengan agen warisan dan mengaktifkan peristiwa keamanan Windows dengan konektor Agen Azure Monitor di Microsoft Azure Sentinel.

Batasi peristiwa duplikasi hanya untuk waktu saat Anda beralih dari satu agen ke agen lainnya. Setelah Anda sepenuhnya menguji aturan pengumpulan data dan memverifikasi pengumpulan datanya, nonaktifkan pengumpulan untuk ruang kerja dan putuskan sambungan konektor data Microsoft Monitoring Agent apa pun.

Apakah Agen Azure Monitor menawarkan opsi pemfilteran peristiwa yang lebih terperinci selain kueri Xpath dan menentukan penghitung kinerja?

Untuk peristiwa Syslog di Linux, Anda dapat memilih fasilitas dan tingkat log untuk setiap fasilitas.

Jika saya membuat aturan pengumpulan data yang berisi ID peristiwa yang sama dan mengaitkannya ke VM yang sama, apakah peristiwa akan diduplikasi?

Ya. Untuk menghindari duplikasi, pastikan pilihan peristiwa yang Anda buat dalam aturan pengumpulan data Anda tidak berisi peristiwa duplikat.

Langkah berikutnya

• Kumpulkan log teks dengan menggunakan Agen Azure Monitor.
• Pelajari selengkapnya tentang Agen Azure Monitor.
• Pelajari selengkapnya tentang aturan pengumpulan data.