Raccogliere dati con l'agente di Monitoraggio di Azure
L'agente di Monitoraggio di Azure (AMA) viene usato per raccogliere dati da macchine virtuali di Azure, set di scalabilità di macchine virtuali e server abilitati per Arc. Le Regole di raccolta dati (DCR) definiscono i dati da raccogliere dall'agente e dove debbano essere inviati. Questo articolo descrive come usare il portale di Azure per creare un Registro Azure Container per raccogliere diversi tipi di dati e installare l'agente in tutti i computer che lo richiedano.
Se non si ha familiarità con Monitoraggio di Azure o si hanno requisiti di raccolta dati di base, è possibile soddisfare tutti i requisiti usando il portale di Azure e le indicazioni riportate in questo articolo. Se si desidera sfruttare le funzionalità aggiuntive del Registro Azure Container, ad esempio trasformazioni, potrebbe essere necessario creare un record di dominio usando altri metodi o modificarlo dopo averlo creato nel portale. È anche possibile usare metodi diversi per gestire i controller di dominio e creare associazioni se si vuole distribuire usando l'interfaccia della riga di comando, PowerShell, modelli ARM o Criteri di Azure.
Nota
Per inviare dati tra tenant, è necessario abilitare prima Azure Lighthouse.
Avviso
I casi seguenti possono raccogliere dati duplicati che potrebbero comportare addebiti aggiuntivi.
- Creare più controller di dominio con la stessa origine dati e associarli allo stesso agente. Assicurarsi di filtrare i dati nei controller di dominio in modo che ognuno di essi raccolga dati univoci.
- Creazione di un record di controllo di dominio che raccoglie i log di sicurezza e abilita Sentinel per gli stessi agenti. In questo caso, è possibile raccogliere gli stessi eventi nella tabella Event e nella tabella SecurityEvent.
- Uso dell'agente di Monitoraggio di Azure e dell'agente di Log Analytics legacy nello stesso computer. Limitare gli eventi di duplicazione esclusivamente al momento della transizione da un agente all'altro.
Origini dati
La tabella seguente elenca i tipi di dati che è attualmente possibile raccogliere con l'agente di Monitoraggio di Azure e dove è possibile inviare tali dati. Il link per ognuno rimanda a un articolo che descrive i dettagli su come configurare tale origine dati. Seguire questo articolo per creare il DCR e assegnarlo a risorse e quindi seguire l'articolo collegato per configurare l'origine dati.
Origine dati | Descrizione | Sistema operativo client | Destinazioni |
---|---|---|---|
Eventi Windows | Informazioni inviate al sistema di registrazione eventi di Windows, inclusi eventi sysmon. | Finestre | area di lavoro Log Analytics |
Contatori delle prestazioni | Valori numerici che misurano le prestazioni di diversi aspetti del sistema operativo e dei carichi di lavoro. | Windows Linux |
Metriche di Monitoraggio di Azure (anteprima) area di lavoro Log Analytics |
Syslog | Informazioni inviate al sistema di registrazione eventi di Linux. | Linux | area di lavoro Log Analytics |
Log di testo | Informazioni inviate a un file di log di testo su un disco locale. | Windows Linux |
area di lavoro Log Analytics |
Log JSON | Informazioni inviate a un file di log JSON in un disco locale. | Windows Linux |
area di lavoro Log Analytics |
Log IIS | Log di Internet Information Service (IIS) dal disco locale dei computer Windows | Finestre | area di lavoro Log Analytics |
Nota
L'agente di Monitoraggio di Azure supporta anche il servizio Valutazione delle procedure consigliate di SQL di Azure, attualmente disponibile a livello generale. Per altre informazioni, vedere Configurare la valutazione delle procedure consigliate mediante l'agente di Monitoraggio di Azure.
Prerequisiti
- Autorizzazioni per creare oggetti Regola di raccolta dei dati nell'area di lavoro.
- Vedere l'articolo che descrive ogni origine dati per eventuali prerequisiti aggiuntivi.
Panoramica
Alla creazione di un DCR nel portale di Azure, si è guidati in una serie di pagine che forniscono le informazioni necessarie per raccogliere dati dai computer specificati. Nella tabella seguente vengono descritte le informazioni da fornire in ogni pagina.
Sezione | Descrizione |
---|---|
Risorse | Computer che useranno il Registro Azure Container. Quando si aggiunge un computer al DCR, viene creata un‘associazione alla regola di raccolta dati (DCRA) tra il computer e il DCR. È possibile modificare il Registro Azure Container per aggiungere o rimuovere computer dopo la creazione. |
Origine dati | Tipo di dati da raccogliere dal computer. Le origini dati disponibili sono elencate sopra in Origini dati. Ogni origine dati ha impostazioni di configurazione specifiche e potenziali prerequisiti, quindi vedere l'articolo dedicato per ulteriori dettagli. |
Destinazione | Destinazione in cui devono essere inviati i dati raccolti dall'origine dati. Se sono presenti più origini dati nel DCR, possono essere inviate a destinazioni diverse e i dati di un’unica origine dati possono essere inviati a più destinazioni. Vedere l'articolo relativo a ogni origine dati per altri dettagli sulla destinazione, ad esempio la tabella nell'area di lavoro Log Analytics. |
Per passaggi dettagliati su come creare un DCR usando il portale di Azure, vedere Creare regole di raccolta di dati.
Verificare operazione
Dopo aver creato un registro di dominio e averlo associato a un computer, è possibile verificare che l'agente sia operativo e che i dati vengano raccolti eseguendo query nell'area di lavoro Log Analytics.
Verificare l'operazione dell'agente
Accertarsi che l'agente sia operativo e comunichi correttamente eseguendo la query seguente in Log Analytics per verificare se siano presenti record nella tabella Heartbeat. Un record dovrebbe essere inviato a questa tabella da ogni agente ogni minuto.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Verificare che i record vengano ricevuti
L'installazione dell'agente richiederà alcuni minuti e avvierà l'esecuzione di DCR nuovi o modificati. È quindi possibile verificare che i record vengano ricevuti da ognuna delle origini dati controllando la tabella in cui ogni scrittura viene eseguita nell'area di lavoro Log Analytics. Ad esempio, la query seguente verifica la presenza di eventi di Windows nella tabella Evento.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Risoluzione dei problemi
Se non si stanno raccogliendo i dati previsti, seguire questa procedura.
- Verificare che l'agente sia installato e in esecuzione nel computer.
- Vedere la sezione risoluzione dei problemi dell'articolo relativo all'origine dati con cui si stanno avebdi problemi.
- Vedere Monitorare e risolvere problemi relativi alla raccolta dati DCR in Monitoraggio di Azure per abilitare il monitoraggio per il Registro Azure Container.
- Visualizzare le metriche per determinare se i dati vengano raccolti e se vengano eliminate righe.
- Visualizzare log per identificare errori nella raccolta dati.
Passaggi successivi
- Raccogliere i log di testo usando l'agente di Monitoraggio di Azure.
- Altre informazioni su agente di Monitoraggio di Azure.
- Altre informazioni su regole di raccolta dati.