Membuat dan mengedit aturan pengumpulan data (DCR) di Azure Monitor

Artikel
07/22/2024

Ada beberapa metode untuk membuat aturan pengumpulan data (DCR) di Azure Monitor. Dalam beberapa kasus, Azure Monitor akan membuat dan mengelola DCR sesuai dengan pengaturan yang Anda konfigurasi di portal Azure. Dalam kasus lain, Anda mungkin perlu membuat DCR Anda sendiri untuk menyesuaikan skenario tertentu.

Artikel ini menjelaskan berbagai metode untuk membuat dan mengedit DCR. Untuk konten DCR itu sendiri, lihat Struktur aturan pengumpulan data di Azure Monitor.

Izin

Anda memerlukan izin berikut untuk membuat DCR dan asosiasi:

Peran bawaan	Cakupan	Alasan
Kontributor Pemantauan	Berlangganan dan/atau Grup sumber daya dan/atau DCR yang ada	Buat atau edit DCR, tetapkan aturan ke komputer, sebarkan asosiasi.
Kontributor Komputer Virtual Administrator Sumber Daya Komputer Yang Terhubung Azure	Mesin virtual, set skala mesin virtual Server dengan Azure Arc yang diaktifkan	Menyebarkan ekstensi agen pada VM.
Peran apa pun yang menyertakan tindakan Microsoft.Resources/deployments/*	Berlangganan dan/atau Grup sumber daya dan/atau DCR yang ada	Menyebarkan templat Azure Resource Manager.

Metode otomatis untuk membuat DCR

Tabel berikut mencantumkan metode untuk membuat skenario pengumpulan data menggunakan portal Azure tempat DCR dibuat untuk Anda. Dalam kasus ini, Anda tidak perlu berinteraksi langsung dengan DCR itu sendiri.

Skenario	Sumber	Deskripsi
Memantau komputer virtual	Mengaktifkan gambaran umum wawasan VM	Saat Anda mengaktifkan wawasan VM pada VM, agen Azure Monitor diinstal, dan DCR dibuat yang mengumpulkan serangkaian penghitung kinerja yang telah ditentukan sebelumnya. Anda tidak boleh mengubah DCR ini.
Wawasan kontainer	Mengaktifkan wawasan Kontainer	Saat Anda mengaktifkan wawasan Kontainer pada kluster Kubernetes, versi kontainer agen Azure Monitor diinstal, dan DCR dibuat yang mengumpulkan data sesuai dengan konfigurasi yang Anda pilih. Anda mungkin perlu mengubah DCR ini untuk menambahkan transformasi.
Transformasi ruang kerja	Menambahkan transformasi dalam aturan pengumpulan data ruang kerja menggunakan portal Azure	Buat transformasi untuk tabel yang didukung di ruang kerja Log Analytics. Transformasi ditentukan dalam DCR yang kemudian terkait dengan ruang kerja. Ini diterapkan ke data apa pun yang dikirim ke tabel tersebut dari beban kerja warisan yang belum menggunakan DCR.

membuat DCR

Azure menyediakan rencana konfigurasi pengumpulan data berbasis cloud terpusat untuk komputer virtual, set skala komputer virtual, komputer Lokal, dan metrik Prometheus dari kontainer.

Artikel ini menjelaskan cara membuat DCR dari awal. Ada solusi wawasan lain yang memberikan pengalaman pembuatan DCR seperti Sentinel, wawasan VM, dan Application Insights yang membuat DCR sebagai bagian dari alur kerja sendiri. Beberapa waktu DCR yang dibuat dalam ini oleh solusi yang berbeda tampaknya dapat bertentangan. Ada tiga tabel tempat peristiwa Windows dapat dikirim. Peristiwa audit keamanan Sentinel dengan buka SecurityEvents, peristiwa konektor WEF masuk ke tabel WindowsEvent. Jika Anda menggunakan kumpulan peristiwa Windows awal, hasilnya masuk ke tabel Peristiwa.

Untuk membuat aturan pengumpulan data menggunakan templat Azure CLI, PowerShell, API, atau ARM, buat file JSON, dimulai dengan salah satu sampel DCR. Gunakan informasi dalam Struktur aturan pengumpulan data di Azure Monitor untuk mengubah file JSON untuk lingkungan dan persyaratan tertentu Anda.

Penting

Buat aturan pengumpulan data Anda di wilayah yang sama dengan ruang kerja Analitik Log tujuan atau ruang kerja Azure Monitor Anda. Anda dapat mengaitkan aturan pengumpulan data ke komputer atau kontainer dari langganan atau grup sumber daya apa pun di penyewa. Untuk mengirim data di seluruh penyewa, Anda harus terlebih dahulu mengaktifkan Azure Lighthouse.

Pada menu Monitor, pilih Aturan>Pengumpulan Data Buat untuk membuka halaman untuk membuat aturan pengumpulan data baru.

Konfigurasikan pengaturan di setiap langkah wizard, seperti yang dijelaskan di bawah ini.

Dasar

Elemen layar	Deskripsi
Nama aturan	Masukkan nama untuk aturan pengumpulan data.
Langganan	Kaitkan aturan pengumpulan data ke langganan.
Grup Sumber Daya	Kaitkan aturan pengumpulan data ke grup sumber daya.
Wilayah	Buat aturan pengumpulan data Anda di wilayah yang sama dengan ruang kerja Analitik Log tujuan Anda. Anda dapat mengaitkan aturan pengumpulan data ke komputer dari langganan atau grup sumber daya apa pun di penyewa.
Jenis Platform	Pilih Windows atau Linux, atau Semua, yang memungkinkan platform Windows dan Linux.
Titik Akhir Pengumpulan Data	Untuk mengumpulkan data syslog Linux, log IIS, log teks kustom, atau log JSON kustom, pilih titik akhir pengumpulan data yang ada atau buat titik akhir baru. Anda tidak memerlukan titik akhir untuk mengumpulkan penghitung kinerja dan log peristiwa Windows. Pada tab ini, Anda hanya dapat memilih titik akhir pengumpulan data di wilayah yang sama dengan aturan pengumpulan data. Agen mengirim data yang dikumpulkan ke titik akhir pengumpulan data ini. Untuk informasi selengkapnya, lihat Komponen titik akhir pengumpulan data.

Sumber

Elemen layar	Deskripsi
+ Tambahkan sumber daya	Kaitkan komputer virtual, Virtual Machine Scale Sets, dan Azure Arc untuk server ke aturan pengumpulan data. portal Azure menginstal Agen Azure Monitor pada sumber daya yang belum menginstal agen.
Mengaktifkan Titik Akhir Pengumpulan Data	Jika komputer yang Anda pantau tidak berada di wilayah yang sama dengan ruang kerja Analitik Log tujuan Anda, aktifkan titik akhir pengumpulan data dan pilih titik akhir di wilayah komputer yang dipantau untuk mengumpulkan data syslog Linux, log IIS, log teks kustom, atau log JSON kustom. Jika komputer yang dipantau berada di wilayah yang sama dengan ruang kerja Analitik Log tujuan Anda, atau jika Anda mengumpulkan penghitung kinerja dan log peristiwa Windows, jangan pilih titik akhir pengumpulan data pada tab Sumber Daya . Titik akhir pengumpulan data pada tab Sumber Daya adalah titik akhir akses konfigurasi, seperti yang dijelaskan dalam Komponen titik akhir pengumpulan data. Jika Anda memerlukan isolasi jaringan menggunakan tautan privat, pilih titik akhir yang ada dari wilayah yang sama untuk sumber daya masing-masing atau buat titik akhir baru.
Identitas ekstensi agen	Gunakan identitas terkelola yang ditetapkan sistem, atau pilih identitas yang ditetapkan pengguna yang ada yang ditetapkan ke komputer virtual. Untuk informasi selengkapnya, lihat Jenis identitas terkelola.

Kumpulkan dan kirim

Pada tab Kumpulkan dan kirim , pilih Tambahkan sumber data dan konfigurasikan pengaturan pada tab Sumber dan Tujuan , seperti yang dijelaskan di bawah ini.

Elemen layar	Deskripsi
Sumber data	Pilih Jenis sumber data dan tentukan bidang terkait berdasarkan jenis sumber data yang Anda pilih. Untuk informasi selengkapnya tentang mengumpulkan data dari berbagai jenis sumber data, lihat Mengumpulkan data dengan Agen Azure Monitor
Tujuan	Tambahkan satu atau beberapa tujuan untuk setiap sumber. Anda dapat memilih beberapa tujuan dari jenis yang sama atau berbeda.

Tinjau + buat

Tinjau detail aturan pengumpulan data dan pilih Buat untuk membuat aturan pengumpulan data.

Catatan

Diperlukan waktu hingga 5 menit agar data dikirim ke tujuan saat Anda membuat aturan pengumpulan data menggunakan wizard aturan pengumpulan data.

Gunakan perintah az monitor data-collection rule create untuk membuat DCR dari file JSON Anda menggunakan Azure CLI seperti yang ditunjukkan dalam contoh berikut.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

Gunakan cmdlet New-AzDataCollectionRule untuk membuat DCR dari file JSON Anda menggunakan PowerShell seperti yang ditunjukkan dalam contoh berikut.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Aturan pengumpulan data

Perbuatan	Perintah
Mendapatkan aturan	Get-AzDataCollectionRule
Buat aturan	New-AzDataCollectionRule
Memperbarui aturan	Update-AzDataCollectionRule
Hapus aturan	Remove-AzDataCollectionRule
Memperbarui "Tag" untuk aturan	Update-AzDataCollectionRule

Asosiasi aturan pengumpulan data

Perbuatan	Perintah
Mendapatkan asosiasi	Get-AzDataCollectionRuleAssociation
Membuat asosiasi	New-AzDataCollectionRuleAssociation
Menghapus asosiasi	Remove-AzDataCollectionRuleAssociation

Gunakan API buat DCR untuk membuat DCR dari file JSON Anda. Anda dapat menggunakan metode apa pun untuk memanggil REST API seperti yang ditunjukkan dalam contoh berikut.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

Lihat referensi berikut untuk menentukan DCR dan asosiasi dalam templat.

Gunakan templat berikut untuk membuat DCR menggunakan informasi dari Struktur aturan pengumpulan data di Azure Monitor dan Sampel aturan pengumpulan data (DCR) di Azure Monitor untuk menentukan dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

Asosiasi DCR -Azure VM

Sampel berikut membuat hubungan antara komputer virtual Azure dan aturan pengumpulan data.

File templat Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

File templat ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

File parameter

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Asosiasi DCR -Server berkemampuan Arc

Sampel berikut membuat hubungan antara server yang diaktifkan Azure Arc dan aturan pengumpulan data.

File templat Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

File templat ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

File parameter

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Mengedit DCR

Untuk mengedit DCR, Anda dapat menggunakan salah satu metode yang dijelaskan di bagian sebelumnya untuk membuat DCR menggunakan versi JSON yang dimodifikasi.

Jika Anda perlu mengambil JSON untuk DCR yang ada, Anda dapat menyalinnya dari Tampilan JSON untuk DCR di portal Azure. Anda juga dapat mengambilnya menggunakan panggilan API seperti yang ditunjukkan dalam contoh PowerShell berikut.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Untuk tutorial yang menelusuri proses pengambilan lalu mengedit DCR yang ada, lihat Tutorial: Mengedit aturan pengumpulan data (DCR).

Bagikan melalui