Soluzione Wire Data 2.0 (anteprima) in Monitoraggio di Azure (ritirata)

Simbolo di Wire Data

Nota

La soluzione Wire Data è stata sostituita con informazioni dettagliate della macchina virtuale e la soluzione Mappa dei servizi. Entrambi usano l'agente log analytics e l'agente di dipendenza per raccogliere i dati di connessione di rete in Monitoraggio di Azure.

Il supporto per la soluzione Wire Data termina il 31 marzo 2022. Fino alla data di ritiro, i clienti esistenti che usano la soluzione Wire Data 2.0 (anteprima) potrebbero continuare a usarla.

I clienti nuovi e esistenti devono installare le informazioni dettagliate della macchina virtuale o la soluzione Mappa dei servizi. Il set di dati map raccolto è paragonabile al set di dati Wire Data 2.0 (anteprima). Le informazioni dettagliate sulle macchine virtuali includono il set di dati di Mapping dei servizi insieme a dati e funzionalità aggiuntive per l'analisi. Entrambe le offerte hanno connessioni con Microsoft Sentinel.

I dati in transito sono dati di prestazioni e di rete consolidati che vengono raccolti da computer connessi tramite Windows o Linux all'agente di Log Analytics e includono i dati monitorati da Operations Manager nell'ambiente in uso. I dati di rete vengono combinati con altri dati di log per consentire la correlazione dei dati.

Oltre all'agente di Log Analytics, la soluzione Wire Data usa le istanze di Microsoft Dependency Agent installate nei computer dell'infrastruttura IT. Le istanze di Dependency Agent monitorano i dati di rete inviati da e verso i computer per i livelli di rete 2-3 del modello OSI, che includono le diverse porte e i vari protocolli usati. I dati vengono quindi inviati a Monitoraggio di Azure usando gli agenti.

Eseguire la migrazione alle informazioni dettagliate delle macchine virtuali di Monitoraggio di Azure o alla mappa dei servizi

In molti casi, si noterà che i clienti hanno spesso sia Wire Data 2.0 (anteprima) che informazioni dettagliate sulle macchine virtuali o la soluzione mappa dei servizi già abilitata nelle stesse macchine virtuali. Ciò significa che l'offerta di sostituzione è abilitata nella macchina virtuale. È sufficiente rimuovere la soluzione Wire Data 2.0 (anteprima) dall'area di lavoro Log Analytics.

Se sono abilitate solo macchine virtuali con Wire Data 2.0 (anteprima), è possibile eseguire l'onboarding delle macchine virtuali in informazioni dettagliate delle macchine virtuali o nella soluzione Mappa dei servizi e quindi rimuovere la soluzione Wire Data 2.0 (anteprima) dall'area di lavoro Log Analytics.

Eseguire la migrazione delle query alla tabella VMConnection da Informazioni dettagliate sulla macchina virtuale di Monitoraggio di Azure

Agenti che forniscono dati

Query Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000

Query di mappe dei servizi e informazioni dettagliate sulle macchine virtuali

VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000

Indirizzi IP degli agenti che forniscono dati

Query Wire Data 2.0

WireData
| summarize AggregatedValue = count() by LocalIP

Query di mappe dei servizi e informazioni dettagliate sulle macchine virtuali

VMComputer
| distinct Computer, tostring(Ipv4Addresses)

Tutte le comunicazioni in uscita dall'indirizzo IP remoto

Query Wire Data 2.0

WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP

Query di mappe dei servizi e informazioni dettagliate sulle macchine virtuali

VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp

Byte ricevuti dal nome del protocollo

Query Wire Data 2.0

WireData 
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName

Query di mappe dei servizi e informazioni dettagliate sulle macchine virtuali

VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol

Quantità di traffico di rete (in byte) per processo

Query Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName

Query di mappe dei servizi e informazioni dettagliate sulle macchine virtuali

VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName

Altre query di esempio

Per altre query di esempio, vedere la documentazione relativa alla ricerca dei log delle informazioni dettagliate della macchina virtuale e la documentazione dell'avviso di informazioni dettagliate sulla macchina virtuale .

Disinstallare la soluzione Wire Data 2.0

Per disinstallare Wire Data 2.0 è sufficiente rimuovere la soluzione dall'area di lavoro log analytics. Ciò comporterà quanto segue:

  • Il pacchetto Wire Gestione dati rimosso dalle macchine virtuali connesse all'area di lavoro.
  • Tipo di dati Wire Data non più visualizzato nell'area di lavoro

Seguire queste istruzioni per rimuovere la soluzione Wire Data.

Nota

Se è disponibile la soluzione Di mapping dei servizi o informazioni dettagliate sulla macchina virtuale nell'area di lavoro, il Management Pack non verrà rimosso, poiché queste soluzioni usano anche questo Management Pack.

Management Pack di Wire Data 2.0

Quando viene attivato Wire Data in un'area di lavoro Log Analytics, a tutti i server Windows nell'area di lavoro viene inviato un Management Pack di 300 KB. Se si usano agenti System Center Operations Manager in un gruppo di gestione connesso, il Management Pack di Dependency Monitor viene distribuito da System Center Operations Manager. Se gli agenti sono connessi direttamente, Monitoraggio di Azure fornisce il Management Pack.

Il Management Pack è denominato Microsoft.IntelligencePacks.ApplicationDependencyMonitor e viene inserito in %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs\. L'origine dati usata dal Management Pack è %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<IDGeneratoAutomaticamente>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.

Disinstallare l'agente di dipendenza

Nota

Se si prevede di sostituire Wire Data con informazioni dettagliate sulla mappa del servizio o sulla macchina virtuale, non è consigliabile rimuovere l'agente di dipendenza.

Usare le sezioni seguenti per rimuovere l'agente di dipendenza.

Disinstallare l'agente di dipendenza in Windows

Dependency Agent per Windows può essere disinstallato da un amministratore tramite il Pannello di controllo.

Per disinstallare Dependency Agent, un amministratore può anche eseguire %Programfiles%\Microsoft Dependency Agent\Uninstall.exe.

Disinstallare l'agente di dipendenza in Linux

Per disinstallare completamente l'agente di dipendenza da Linux, è necessario rimuovere l'agente stesso e il connettore, che viene installato automaticamente con l'agente. È possibile disinstallare entrambi con il singolo comando seguente:

rpm -e dependency-agent dependency-agent-connector

Uso della soluzione Wire Data 2.0

Nella pagina Panoramica dell'area di lavoro Log Analytics nel portale di Azure, fare clic sul riquadro Wire Data 2.0 per aprire il dashboard di Wire Data. Il dashboard include le sezioni della tabella seguente. Ogni sezione elenca fino a 10 elementi corrispondenti ai criteri della sezione per l'ambito e l'intervallo di tempo specificato. È possibile eseguire una ricerca log che restituisce tutti i record facendo clic su Visualizza tutti nella parte inferiore della sezione o facendo clic sull'intestazione della sezione.

Sezione Descrizione
Agenti che acquisiscono il traffico di rete Mostra il numero degli agenti che acquisiscono il traffico di rete e un elenco dei primi 10 computer che acquisiscono il traffico. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by Computer | take 500000. Fare clic su un computer nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte acquisiti.
Subnet locali Mostra il numero delle subnet locali individuate dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by LocalSubnet e ottenere un elenco di tutte le subnet con il numero dei byte inviati tramite ognuna. Fare clic su una subnet nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati tramite la subnet.
Protocolli a livello dell'applicazione Mostra il numero di protocolli a livello di applicazione in uso, in base a quanto individuato dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per WireData | summarize sum(TotalBytes) by ApplicationProtocol. Fare clic su un protocollo per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati usando il protocollo.

Dashboard di Wire Data

È possibile usare la sezione Agenti che acquisisce il traffico di rete per determinare la quantità di larghezza di banda di rete utilizzata dai computer. Questa sezione consente di trovare facilmente il computer più chattiest nell'ambiente. Tali computer potrebbero essere sovraccaricati, presentare un funzionamento anomalo o usare una quantità di risorse di rete superiore alla norma.

Screenshot della sezione Agenti che acquisisce il traffico di rete nel dashboard Wire Data 2.0 che mostra la larghezza di banda di rete utilizzata da ogni computer.

Analogamente, è possibile usare la sezione Subnet locali per determinare la quantità di traffico di rete in movimento attraverso le subnet. Gli utenti spesso definiscono le subnet per aree critiche per le applicazioni. Questa sezione offre una visualizzazione in tali aree.

Screenshot della sezione Subnet locali nel dashboard Wire Data 2.0 che mostra la larghezza di banda di rete utilizzata da ogni localSubnet.

La sezione Protocolli a livello di applicazione è utile perché è utile sapere quali protocolli sono in uso. Se ad esempio si prevede che SSH non venga usato nel proprio ambiente di rete, La visualizzazione delle informazioni disponibili nella sezione può confermare o annullare rapidamente le aspettative.

Screenshot della sezione Protocolli a livello di applicazione nel dashboard Wire Data 2.0 che mostra la larghezza di banda di rete utilizzata da ogni protocollo.

È anche utile sapere se il traffico dei protocolli aumenta o diminuisce nel tempo. L'aumento della quantità di dati trasmessa da un'applicazione, ad esempio, può essere un aspetto di cui è consigliabile essere a conoscenza o che si potrebbe trovare degno di nota.

Dati di input

Wire Data raccoglie i metadati sul traffico di rete tramite gli agenti abilitati. Ogni agente invia dati ogni 15 secondi circa.

Dati di output

Per ogni tipo di dati di input vene creato un record con tipo WireData. I record WireData includono le proprietà elencate nella tabella seguente:

Proprietà Descrizione
Computer Nome del computer in cui sono stati raccolti i dati
TimeGenerated Ora del record
LocalIP Indirizzo IP del computer locale
SessionState Sessione connessa o disconnessa
ReceivedBytes Quantità di byte ricevuta
ProtocolName Nome del protocollo di rete usato
IPVersion Versione IP
Direzione In ingresso o in uscita
MaliciousIP Indirizzo IP di un'origine dannosa nota
Gravità Gravità del software dannoso sospetto
RemoteIPCountry Paese/area geografica dell'indirizzo IP remoto
ManagementGroupName Nome del gruppo di gestione di Operations Manager
SourceSystem Origine in cui sono stati raccolti i dati
SessionStartTime Data e ora di inizio della sessione
SessionEndTime Data e ora di fine della sessione
LocalSubnet Subnet in cui sono stati raccolti i dati
LocalPortNumber Numero di porta locale
RemoteIP Indirizzo IP remoto usato dal computer remoto
RemotePortNumber Numero di porta usato dall'indirizzo IP remoto
SessionID Valore univoco che identifica la sessione di comunicazione tra due indirizzi IP
SentBytes Numero di byte inviati
TotalBytes Numero totale dei byte inviati durante la sessione
ApplicationProtocol Tipo di protocollo di rete usato
ProcessID ID processo Windows
ProcessName Percorso e nome file del processo
RemoteIPLongitude Valore di longitudine dell'indirizzo IP
RemoteIPLatitude Valore di latitudine dell'indirizzo IP

Passaggi successivi