Soluzione Wire Data 2.0 (anteprima) in Monitoraggio di Azure (ritirata)
Nota
La soluzione Wire Data è stata sostituita con informazioni dettagliate sulle macchine virtuali e la soluzione Mapping dei servizi. Entrambi usano l'agente di Log Analytics e Dependency Agent per raccogliere i dati di connessione di rete in Monitoraggio di Azure.
Il supporto per la soluzione Wire Data terminerà il 31 marzo 2022. Fino alla data di ritiro, i clienti esistenti che usano la soluzione Wire Data 2.0 (anteprima) potrebbero continuare a usarla.
I clienti nuovi ed esistenti devono installare le informazioni dettagliate della macchina virtuale o la soluzione Mapping dei servizi. Il set di dati Map raccolto è paragonabile al set di dati Wire Data 2.0 (anteprima). Le informazioni dettagliate sulle macchine virtuali includono il set di dati di Mapping dei servizi insieme a dati aggiuntivi sulle prestazioni e funzionalità per l'analisi. Entrambe le offerte hanno connessioni con Microsoft Sentinel.
I dati in transito sono dati di prestazioni e di rete consolidati che vengono raccolti da computer connessi tramite Windows o Linux all'agente di Log Analytics e includono i dati monitorati da Operations Manager nell'ambiente in uso. I dati di rete vengono combinati con altri dati di log per consentire la correlazione dei dati.
Oltre all'agente di Log Analytics, la soluzione Wire Data usa le istanze di Microsoft Dependency Agent installate nei computer dell'infrastruttura IT. Le istanze di Dependency Agent monitorano i dati di rete inviati da e verso i computer per i livelli di rete 2-3 del modello OSI, che includono le diverse porte e i vari protocolli usati. I dati vengono quindi inviati a Monitoraggio di Azure usando gli agenti.
Eseguire la migrazione a Informazioni dettagliate macchina virtuale o Mapping dei servizi di Monitoraggio di Azure
In molti casi, si noterà che i clienti hanno spesso wire data 2.0 (anteprima) e informazioni dettagliate sulle macchine virtuali o la soluzione Mapping dei servizi già abilitata nelle stesse macchine virtuali. Ciò significa che nella macchina virtuale è abilitata l'offerta sostitutiva. È sufficiente rimuovere la soluzione Wire Data 2.0 (anteprima) dall'area di lavoro Log Analytics.
Se sono presenti macchine virtuali in cui sono abilitate solo Wire Data 2.0 (anteprima), è possibile eseguire l'onboarding delle macchine virtuali nelle informazioni dettagliate delle macchine virtuali o nella soluzione Mapping dei servizi e quindi rimuovere la soluzione Wire Data 2.0 (anteprima) dall'area di lavoro Log Analytics.
Eseguire la migrazione delle query alla tabella VMConnection dalle informazioni dettagliate sulle macchine virtuali di Monitoraggio di Azure
Agenti che forniscono dati
Query Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
Informazioni dettagliate sulle macchine virtuali e query di Mapping dei servizi
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
Indirizzi IP degli agenti che forniscono dati
Query Wire Data 2.0
WireData
| summarize AggregatedValue = count() by LocalIP
Informazioni dettagliate sulle macchine virtuali e query di Mapping dei servizi
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
Tutte le comunicazioni in uscita tramite indirizzo IP remoto
Query Wire Data 2.0
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
Informazioni dettagliate sulle macchine virtuali e query di Mapping dei servizi
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
Byte ricevuti dal nome del protocollo
Query Wire Data 2.0
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
Informazioni dettagliate sulle macchine virtuali e query di Mapping dei servizi
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
Quantità di traffico di rete (in byte) per processo
Query Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
Informazioni dettagliate sulle macchine virtuali e query di Mapping dei servizi
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
Altre query di esempio
Per altre query di esempio, vedere la documentazione sulla ricerca log delle informazioni dettagliate sulle macchine virtuali e la documentazione relativa agli avvisi delle informazioni dettagliate sulle macchine virtuali.
Disinstallare la soluzione Wire Data 2.0
Per disinstallare Wire Data 2.0, è sufficiente rimuovere la soluzione dalle aree di lavoro Log Analytics. Il risultato sarà il seguente:
- Il pacchetto Wire Gestione dati da rimuovere dalle macchine virtuali connesse all'area di lavoro.
- Il tipo di dati Wire Data non viene più visualizzato nell'area di lavoro
Seguire queste istruzioni per rimuovere la soluzione Wire Data.
Nota
Se nell'area di lavoro è disponibile la soluzione Mapping dei servizi o Informazioni dettagliate macchina virtuale, il Management Pack non verrà rimosso, perché queste soluzioni usano anche questo Management Pack.
Management Pack wire data 2.0
Quando viene attivato Wire Data in un'area di lavoro Log Analytics, a tutti i server Windows nell'area di lavoro viene inviato un Management Pack di 300 KB. Se si usano agenti System Center Operations Manager in un gruppo di gestione connesso, il Management Pack di Dependency Monitor viene distribuito da System Center Operations Manager. Se gli agenti sono connessi direttamente, Monitoraggio di Azure recapita il Management Pack.
Il Management Pack è denominato Microsoft.IntelligencePacks.ApplicationDependencyMonitor e viene inserito in %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs\. L'origine dati usata dal Management Pack è %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<IDGeneratoAutomaticamente>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.
Disinstallare Dependency Agent
Nota
Se si prevede di sostituire Wire Data con Mapping dei servizi o informazioni dettagliate sulle macchine virtuali, non è consigliabile rimuovere Dependency Agent.
Usare le sezioni seguenti per rimuovere Dependency Agent.
Disinstallare Dependency Agent in Windows
Dependency Agent per Windows può essere disinstallato da un amministratore tramite il Pannello di controllo.
Per disinstallare Dependency Agent, un amministratore può anche eseguire %Programfiles%\Microsoft Dependency Agent\Uninstall.exe.
Disinstallare Dependency Agent in Linux
Per disinstallare completamente Dependency Agent da Linux, è necessario rimuovere l'agente stesso e il connettore, che viene installato automaticamente con l'agente. È possibile disinstallare entrambi con il singolo comando seguente:
rpm -e dependency-agent dependency-agent-connector
Uso della soluzione Wire Data 2.0
Nella pagina Panoramica dell'area di lavoro Log Analytics nel portale di Azure, fare clic sul riquadro Wire Data 2.0 per aprire il dashboard di Wire Data. Il dashboard include le sezioni della tabella seguente. Ogni sezione elenca fino a 10 elementi corrispondenti ai criteri della sezione per l'ambito e l'intervallo di tempo specificati. È possibile eseguire una ricerca log che restituisce tutti i record facendo clic su Visualizza tutto nella parte inferiore della sezione o facendo clic sull'intestazione della sezione.
| Sezione | Descrizione |
|---|---|
| Agenti che acquisiscono il traffico di rete | Mostra il numero degli agenti che acquisiscono il traffico di rete e un elenco dei primi 10 computer che acquisiscono il traffico. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by Computer | take 500000. Fare clic su un computer nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte acquisiti. |
| Subnet locali | Mostra il numero delle subnet locali individuate dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by LocalSubnet e ottenere un elenco di tutte le subnet con il numero dei byte inviati tramite ognuna. Fare clic su una subnet nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati tramite la subnet. |
| Protocolli a livello dell'applicazione | Mostra il numero di protocolli a livello di applicazione in uso, in base a quanto individuato dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by ApplicationProtocol. Fare clic su un protocollo per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati usando il protocollo. |
È possibile usare la sezione Agenti che acquisisce il traffico di rete per determinare la quantità di larghezza di banda di rete utilizzata dai computer. Questa sezione consente di trovare facilmente il computer più chattiest nell'ambiente in uso. Tali computer potrebbero essere sovraccaricati, presentare un funzionamento anomalo o usare una quantità di risorse di rete superiore alla norma.
Analogamente, è possibile usare la sezione Subnet locali per determinare la quantità di traffico di rete in movimento tra le subnet. Gli utenti spesso definiscono le subnet per aree critiche per le applicazioni. Questa sezione offre una visualizzazione di tali aree.
La sezione Protocolli a livello di applicazione è utile perché è utile sapere quali protocolli sono in uso. Se ad esempio si prevede che SSH non venga usato nel proprio ambiente di rete, La visualizzazione delle informazioni disponibili nella sezione può confermare o disprovare rapidamente le aspettative.
È anche utile sapere se il traffico dei protocolli aumenta o diminuisce nel tempo. L'aumento della quantità di dati trasmessa da un'applicazione, ad esempio, può essere un aspetto di cui è consigliabile essere a conoscenza o che si potrebbe trovare degno di nota.
Dati di input
Wire Data raccoglie i metadati sul traffico di rete tramite gli agenti abilitati. Ogni agente invia dati ogni 15 secondi circa.
Dati di output
Per ogni tipo di dati di input vene creato un record con tipo WireData. I record WireData includono le proprietà elencate nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
| Computer | Nome del computer in cui sono stati raccolti i dati |
| TimeGenerated | Ora del record |
| LocalIP | Indirizzo IP del computer locale |
| SessionState | Sessione connessa o disconnessa |
| ReceivedBytes | Quantità di byte ricevuta |
| ProtocolName | Nome del protocollo di rete usato |
| IPVersion | Versione IP |
| Direzione | In ingresso o in uscita |
| MaliciousIP | Indirizzo IP di un'origine dannosa nota |
| Gravità | Gravità del software dannoso sospetto |
| RemoteIPCountry | Paese/area geografica dell'indirizzo IP remoto |
| ManagementGroupName | Nome del gruppo di gestione di Operations Manager |
| SourceSystem | Origine in cui sono stati raccolti i dati |
| SessionStartTime | Data e ora di inizio della sessione |
| SessionEndTime | Data e ora di fine della sessione |
| LocalSubnet | Subnet in cui sono stati raccolti i dati |
| LocalPortNumber | Numero di porta locale |
| RemoteIP | Indirizzo IP remoto usato dal computer remoto |
| RemotePortNumber | Numero di porta usato dall'indirizzo IP remoto |
| SessionID | Valore univoco che identifica la sessione di comunicazione tra due indirizzi IP |
| SentBytes | Numero di byte inviati |
| TotalBytes | Numero totale dei byte inviati durante la sessione |
| ApplicationProtocol | Tipo di protocollo di rete usato |
| ProcessID | ID processo Windows |
| ProcessName | Percorso e nome file del processo |
| RemoteIPLongitude | Valore di longitudine dell'indirizzo IP |
| RemoteIPLatitude | Valore di latitudine dell'indirizzo IP |
Passaggi successivi
- Vedere Distribuire informazioni dettagliate sulle macchine virtuali per i requisiti e i metodi che consentono il monitoraggio per le macchine virtuali.
- Ricerche nei log per visualizzare i record di ricerca dettagliati su Wire Data.