Usare la soluzione Mapping dei servizi in Azure
Mapping dei servizi individua automaticamente i componenti delle applicazioni nei sistemi Windows e Linux ed esegue la mappatura della comunicazione fra i servizi. Con Mapping dei servizi è possibile visualizzare i server come sistemi interconnessi che offrono servizi critici. Mapping dei servizi mostra le connessioni tra server, processi, latenza di connessione in ingresso e in uscita e porte in qualsiasi architettura connessa a TCP. Non è necessaria alcuna configurazione diversa dall'installazione di un agente.
Importante
Mapping dei servizi verrà ritirato il 30 settembre 2025. Per monitorare le connessioni tra server, processi, latenza di connessione in ingresso e in uscita e porte in qualsiasi architettura connessa a TCP, assicurarsi di eseguire la migrazione alle informazioni dettagliate sulle macchine virtuali di Monitoraggio di Azure prima di questa data.
Questo articolo descrive come distribuire e usare Mapping dei servizi. I prerequisiti della soluzione sono:
- Area di lavoro Log Analytics in un'area supportata.
- L'agente di Log Analytics installato nel computer Windows o nel server Linux connesso alla stessa area di lavoro con cui è stata abilitata la soluzione.
- Dependency Agent installato nel computer Windows o nel server Linux.
Nota
Se è già stato distribuito Mapping dei servizi, è ora possibile visualizzare anche le mappe in Informazioni dettagliate macchina virtuale, che include altre funzionalità per monitorare l'integrità e le prestazioni delle macchine virtuali. Per altre informazioni, vedere Panoramica delle informazioni dettagliate sulle macchine virtuali. Per informazioni sulle differenze tra la soluzione Mapping dei servizi e la funzionalità mapping delle informazioni dettagliate sulle macchine virtuali, vedere queste domande frequenti.
Accedere ad Azure
Accedere al portale di Azure.
Abilitare il Mapping dei servizi
Abilitare la soluzione Mapping dei servizi da Azure Marketplace. In alternativa, usare il processo descritto in Aggiungere soluzioni di monitoraggio dalla Raccolta soluzioni.
Installare Dependency Agent in Windows o installare Dependency Agent in Linux in ogni computer in cui si vogliono ottenere i dati. Dependency Agent può monitorare le connessioni ai vicini immediati, pertanto potrebbe non essere necessario un agente in ogni computer.
Accedere a Mapping dei servizi nella portale di Azure dall'area di lavoro Log Analytics. Selezionare l'opzione Soluzioni legacy nel riquadro sinistro.
Nell'elenco delle soluzioni selezionare ServiceMap(workspaceName). Nella pagina panoramica della soluzione Mapping dei servizi selezionare il riquadro riepilogo mappa dei servizi .
Casi di utilizzo: Riconoscimento delle dipendenze nei processi IT
Individuazione
Mapping dei servizi genera automaticamente una mappa di riferimento delle dipendenze tra server, processi e servizi di terze parti. Individua ed esegue il mapping di tutte le dipendenze TCP. Identifica le connessioni a sorpresa, i sistemi remoti di terze parti da cui si dipende e le dipendenze alle aree scure tradizionali della rete, ad esempio Active Directory. Mapping dei servizi rileva le connessioni di rete non riuscite che i sistemi gestiti tentano di effettuare. Queste informazioni consentono di identificare potenziali problemi di configurazione, interruzione del servizio e rete del server.
Gestione di eventi imprevisti
Mapping dei servizi consente di eliminare le ipotesi di isolamento dei problemi mostrando come i sistemi sono connessi e influiscono l'uno sull'altro. Oltre a identificare le connessioni non riuscite, consente di identificare i servizi di bilanciamento del carico non configurati correttamente, il carico sorprendente o eccessivo nei servizi critici e i client non autorizzati, ad esempio i computer di sviluppo che comunicano con i sistemi di produzione. L'uso dei flussi di lavoro integrati in Rilevamento modifiche consente anche di verificare se un evento di modifica in un computer o servizio back-end descrive la causa principale di un evento imprevisto.
Garanzia di migrazione
Usando Mapping dei servizi, è possibile pianificare, accelerare e convalidare in modo efficace le migrazioni di Azure per garantire che non si verifichino interruzioni impreviste e che non si verifichino interruzioni impreviste. È possibile:
- Individuare tutti i sistemi interdipendenti che devono essere migrati insieme.
- Valutare la configurazione e la capacità del sistema.
- Identificare se un sistema in esecuzione sta ancora servendo gli utenti o è un candidato per la rimozione delle autorizzazioni anziché la migrazione.
Al termine dello spostamento, è possibile controllare il carico e l'identità del client per verificare che i sistemi di test e i clienti si connettino. Se la pianificazione della subnet e le definizioni del firewall presentano problemi, le connessioni non riuscite nelle mappe dei servizi indicano ai sistemi che necessitano di connettività.
Continuità aziendale
Se si usa Azure Site Recovery ed è necessaria assistenza per definire la sequenza di ripristino per l'ambiente dell'applicazione, Mapping dei servizi può mostrare automaticamente il modo in cui i sistemi si basano l'uno sull'altro. Queste informazioni consentono di garantire che il piano di ripristino sia affidabile.
Scegliendo un server o un gruppo critico e visualizzandone i client è possibile identificare i sistemi front-end che devono essere ripristinati soltanto dopo aver ripristinato e reso disponibile il server critico. Al contrario, esaminando le dipendenze back-end dei server critici, è possibile identificare i sistemi da ripristinare prima del ripristino dei sistemi di stato attivo.
Gestione delle patch
Mapping dei servizi migliora l'uso della valutazione degli aggiornamenti di sistema mostrando quali altri team e server dipendono dal servizio. In questo modo, è possibile notificarli in anticipo prima di arrestare i sistemi per l'applicazione di patch. Mapping dei servizi migliora anche la gestione delle patch mostrando se i servizi sono disponibili e connessi correttamente dopo l'applicazione di patch e il riavvio.
Panoramica sui mapping
Gli agenti di Mapping dei servizi raccolgono informazioni su tutti i processi connessi a TCP nel server in cui sono installati. Raccolgono anche i dettagli sulle connessioni in ingresso e in uscita per ogni processo.
Dall'elenco del riquadro a sinistra è possibile selezionare i computer o i gruppi con gli agenti di Mapping dei servizi per visualizzare le relative dipendenze in un intervallo di tempo specificato. Le mappe delle dipendenze del computer si concentrano su un computer specifico. Vengono visualizzati tutti i computer che sono client TCP diretti o server di tale computer. Le mappe del gruppo di computer mostrano i set di server e le relative dipendenze.
È possibile espandere i computer nella mappa per visualizzare i gruppi di processi e i processi in esecuzione con connessioni di rete attive nell'intervallo di tempo selezionato. Quando si espande un computer remoto con un agente di Mapping dei servizi per visualizzare i dettagli dei processi, vengono visualizzati solo i processi che comunicano con il computer.
Il numero di computer front-end senza agenti che si connettono al computer critico è indicato a sinistra dei processi a cui si connettono. Se il computer attivo effettua una connessione a un computer back-end senza agente, il server back-end viene incluso in un gruppo di porte del server. Questo gruppo include anche altre connessioni allo stesso numero di porta.
Per impostazione predefinita, le mappe in Mapping dei servizi mostrano gli ultimi 30 minuti di informazioni sulle dipendenze. È possibile usare i controlli ora in alto a sinistra per eseguire query sulle mappe per intervalli di tempo cronologici di un massimo di un'ora per visualizzare l'aspetto delle dipendenze nel passato. Ad esempio, è possibile visualizzare l'aspetto durante un evento imprevisto o prima che si verifichi una modifica. I dati di Mapping dei servizi vengono archiviati per 30 giorni nelle aree di lavoro a pagamento e per 7 giorni nelle aree di lavoro gratuite.
Notifiche di stato e colorazione del bordo
Nella parte inferiore di ogni server della mappa, potrebbe essere visualizzato un elenco di notifiche di stato che forniscono informazioni sullo stato del server. Le notifiche indicano che sono presenti informazioni rilevanti per il server da una delle integrazioni della soluzione.
La selezione di una notifica consente di accedere direttamente ai dettagli dello stato nel riquadro destro. Le notifiche di stato attualmente disponibili includono Avvisi, Service Desk, Modifiche, Sicurezza e Aggiornamenti.
In base alla gravità della notifica di stato, i bordi del nodo del computer possono essere colorati di rosso (critico), giallo (avviso) o blu (informativi). Il colore rappresenta lo stato di gravità di una notifica di stato. Un bordo grigio indica un nodo senza indicatori di stato.
Gruppi di processi
I gruppi di processi combinano processi associati a un prodotto o un servizio comune in un gruppo di processi. Quando un nodo del computer viene espanso, visualizza i processi autonomi insieme ai gruppi di processi. Se una connessione in ingresso o in uscita a un processo all'interno di un gruppo di processi non è riuscita, la connessione viene visualizzata come non riuscita per l'intero gruppo di processi.
Gruppi di computer
I gruppi di computer consentono di visualizzare mappe centrate intorno a un set di server, non solo a uno. In questo modo, è possibile visualizzare tutti i membri di un'applicazione multilivello o di un cluster server in un'unica mappa.
Gli utenti possono selezionare tutti i server che appartengono a un gruppo e scegliere un nome per il gruppo. È quindi possibile scegliere di visualizzare il gruppo con tutti i relativi processi e connessioni. È anche possibile visualizzarlo solo con i processi e le connessioni direttamente correlati agli altri membri del gruppo.
Creare un gruppo di computer
Per creare un gruppo:
Selezionare il computer o i computer desiderati nell'elenco Computer e selezionare Aggiungi al gruppo.
Selezionare Crea nuovo e assegnare al gruppo un nome.
Nota
I gruppi di computer sono limitati a 10 server.
Visualizzare un gruppo
Dopo aver creato alcuni gruppi, è possibile visualizzarli.
Selezionare la scheda Gruppi .
Selezionare il nome del gruppo per visualizzare la mappa per il gruppo di computer.
I computer appartenenti al gruppo sono descritti in bianco nella mappa.
Espandere il gruppo per elencare i computer che costituiscono il gruppo di computer.
Filtrare in base ai processi
È possibile attivare la visualizzazione mappa per visualizzare tutti i processi e le connessioni nel gruppo o solo quelli direttamente correlati al gruppo di computer. La visualizzazione predefinita mostra tutti i processi.
Selezionare l'icona del filtro sopra la mappa per modificare la visualizzazione.
Selezionare Tutti i processi per visualizzare la mappa con tutti i processi e le connessioni in ogni computer del gruppo.
Per creare una visualizzazione semplificata, modificare la visualizzazione per visualizzare solo processi connessi al gruppo. La mappa viene quindi ridotta per visualizzare solo i processi e le connessioni direttamente connesse ad altri computer nel gruppo.
Aggiungere computer a un gruppo
Per aggiungere computer a un gruppo esistente, selezionare le caselle di controllo accanto ai computer desiderati e selezionare Aggiungi al gruppo. Scegliere quindi il gruppo a cui si desidera aggiungere i computer.
Rimuovere i computer da un gruppo
Nell'elenco Gruppi espandere il nome del gruppo per elencare i computer nel gruppo di computer. Selezionare il menu con i puntini di sospensione accanto al computer da rimuovere e selezionare Rimuovi.
Rimuovere o rinominare un gruppo
Selezionare il menu con i puntini di sospensione accanto al nome del gruppo nell'elenco Gruppi .
Icone di ruolo
Alcuni processi servono ruoli specifici nei computer, ad esempio server Web, server applicazioni e database. Mapping dei servizi annota le caselle relative a processi e computer con icone di ruolo, per consentire di identificare rapidamente il ruolo di un processo o un server.
| Icona del ruolo | Description |
|---|---|
|
Server Web |
|
Server applicazioni |
|
Server di database |
|
Server LDAP |
|
Server SMB |
Connessioni non riuscite
Nella mappa dei servizi le connessioni non riuscite vengono visualizzate nelle mappe per i processi e i computer. Una linea rossa tratteggiata indica che un sistema client non riesce a raggiungere un processo o una porta.
Vengono visualizzate le connessioni non riuscite di qualsiasi sistema con un agente di Mapping dei servizi distribuito, a condizione che il sistema corrisponda a quello che esegue la connessione non riuscita. Mapping dei servizi esegue il calcolo di questo processo osservando i socket TCP che non riescono a stabilire una connessione. Questo errore potrebbe essere causato da un firewall, da un errore di configurazione del client o server oppure da un servizio remoto non disponibile.
Le informazioni sulle connessioni non riuscite facilitano la risoluzione dei problemi, la convalida della migrazione, l'analisi di sicurezza e la comprensione dell'intera architettura. Le connessioni non riuscite sono talvolta innocue, ma spesso puntano direttamente a un problema. Un ambiente di failover potrebbe diventare improvvisamente non raggiungibile o due livelli di applicazione potrebbero non essere in grado di parlare dopo una migrazione cloud.
Gruppi di client
I gruppi client sono caselle sulla mappa che rappresentano i computer client che non dispongono di agenti di dipendenza. Un singolo gruppo client rappresenta i client per un singolo processo o computer.
Per visualizzare gli indirizzi IP dei server in un gruppo client, selezionare il gruppo. Il contenuto del gruppo verrà elencato nel riquadro Client Group Properties (Proprietà del gruppo di client).
Gruppi di porte di server
I gruppi di porte del server sono caselle che rappresentano porte server nei server che non dispongono di agenti di dipendenza. La casella contiene la porta del server con il numero di server con connessioni a tale porta. Espandere la casella per visualizzare i singoli server e le connessioni. Se nella casella è presente un solo server, è elencato il nome o l'indirizzo IP.
Menu di scelta rapida
Selezionare i puntini di sospensione (...) nella parte superiore destra di qualsiasi server per visualizzare il menu di scelta rapida per tale server.
Caricare la mappa del server
Selezionare Carica mappa server per passare a una nuova mappa con il server selezionato come nuovo computer attivo.
Mostra collegamenti automatici
Selezionare Mostra collegamenti automatici per ridisegnare il nodo del server, inclusi i collegamenti self-link , che sono connessioni TCP che iniziano e terminano nei processi all'interno del server. Se vengono visualizzati collegamenti automatici, il comando di menu cambia in Nascondi collegamenti automatici in modo che sia possibile disattivarli.
Riepilogo del computer
Il riquadro di riepilogo del computer include una panoramica del sistema operativo di un server, i conteggi di dipendenza e i dati delle soluzioni. Tali dati includono le metriche delle prestazioni, i ticket del Service Desk, il rilevamento delle modifiche, la sicurezza e gli aggiornamenti.
Proprietà dei computer e dei processi
Quando si sposta una mappa in Mappa dei servizi, è possibile selezionare computer e processi per ottenere un maggiore contesto sulle proprietà. I computer visualizzano informazioni sul nome DNS, gli indirizzi IPv4, la capacità di CPU e di memoria, il tipo di macchina virtuale, la versione del sistema operativo, l'ora dell'ultimo riavvio e gli ID degli agenti OMS e di Mapping dei servizi.
È possibile raccogliere i dettagli del processo dai metadati del sistema operativo relativi ai processi in esecuzione. I dettagli includono il nome del processo, la descrizione del processo, il nome utente e il dominio (in Windows), il nome della società, il nome del prodotto, la versione del prodotto, la directory di lavoro, la riga di comando e l'ora di inizio del processo.
Il riquadro Riepilogo processi fornisce altre informazioni sulla connettività del processo, incluse le porte associate, le connessioni in ingresso e in uscita e le connessioni in uscita e le connessioni non riuscite.
Integrazione degli avvisi
Gli avvisi Azure integrati in Mapping dei servizi consentono di visualizzare gli avvisi attivati per un determinato server nell'intervallo di tempo selezionato. Se ci sono avvisi correnti, viene visualizzata un'icona per il server e nel riquadro degli avvisi del computer vengono elencati gli avvisi.
Per abilitare Mapping dei servizi al fine di visualizzare i relativi avvisi, creare una regola di avviso attivata per un computer specifico. Per creare gli avvisi appropriati:
- Includere una clausola per raggruppare in base al computer. Un esempio è in base all'intervallo computer di 1 minuto.
- Scegliere di impostare un avviso in base alle metriche misurate.
Integrazione eventi log
Mapping dei servizi si integra con ricerca di log per visualizzare un conteggio di tutti gli eventi di log disponibili per il server selezionato durante l'intervallo di tempo selezionato. È possibile selezionare qualsiasi riga nell'elenco dei conteggi eventi per passare alla ricerca log e visualizzare i singoli eventi di log.
Integrazione di Service Desk
L'integrazione di Mapping dei servizi con il connettore di gestione dei servizi IT è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics. L'integrazione nella mappa dei servizi è etichettata "Service Desk". Per altre informazioni, vedere Gestire centralmente gli elementi di lavoro ITSM usando IT Service Management Connector.
Il riquadro del Service Desk del computer elenca tutti gli eventi di gestione dei servizi IT per il server selezionato nell'intervallo di tempo selezionato. Se ci sono elementi correnti, viene visualizzata un'icona per il server e il riquadro del Service Desk del computer elenca gli elementi.
Per aprire l'elemento nella soluzione ITSM connessa, selezionare Visualizza elemento di lavoro.
Per visualizzare i dettagli dell'elemento nella ricerca log, selezionare Mostra nella ricerca log. Le metriche di connessione vengono scritte in due nuove tabelle in Log Analytics.
Integrazione con Rilevamento modifiche
L'integrazione del rilevamento delle modifiche in Mapping dei servizi è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.
Il riquadro Computer Rilevamento modifiche elenca tutte le modifiche, con il primo più recente, insieme a un collegamento per eseguire il drill-down alla ricerca log per altri dettagli.
L'immagine seguente è una visualizzazione dettagliata di un evento ConfigurationChange che potrebbe essere visualizzato dopo aver selezionato Mostra in Log Analytics.
Integrazione delle prestazioni
Il riquadro relativo alle prestazioni del computer mostra le metriche di prestazioni standard relative al server selezionato. Le metriche includono l'uso della CPU, l'uso della memoria, i byte di rete inviati e ricevuti e un elenco dei processi principali per byte di rete inviati e ricevuti.
Per visualizzare i dati sulle prestazioni, potrebbe essere necessario abilitare i contatori delle prestazioni di Log Analytics appropriati. I contatori che si desidera abilitare:
Windows:
- Processore(*)\% Tempo processore
- Byte di memoria\% commit in uso
- Scheda di rete(*)\Byte inviati/sec
- Scheda di rete(*)\Byte ricevuti/sec
Linux:
- Processore(*)\% Tempo processore
- Memoria(*)\% usata memoria
- Scheda di rete(*)\Byte inviati/sec
- Scheda di rete(*)\Byte ricevuti/sec
Integrazione della sicurezza
L'integrazione di sicurezza e controllo in Mapping dei servizi è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.
Il pannello relativo alla sicurezza del computer mostra i dati provenienti dalla soluzione di sicurezza e controllo relativi al server selezionato. Il riquadro elenca un riepilogo dei problemi di sicurezza del server non risolti durante l'intervallo di tempo selezionato. Selezionando uno dei problemi di sicurezza, eseguire il drill-down in una ricerca log per informazioni dettagliate su di essi.
Integrazione degli aggiornamenti
L'integrazione di Mapping dei servizi con Gestione aggiornamenti è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.
Il pannello relativo agli aggiornamenti del computer mostra i dati provenienti dalla soluzione di gestione degli aggiornamenti relativi al server selezionato. Il riquadro elenca un riepilogo degli aggiornamenti mancanti per il server durante l'intervallo di tempo selezionato.
Record di Log Analytics
I dati di inventario di computer e processi di Mapping dei servizi sono disponibili per la ricerca in Log Analytics. Questi dati possono essere applicati a diversi scenari, tra cui la pianificazione della migrazione, l'analisi della capacità, l'individuazione e la risoluzione dei problemi di prestazioni on demand.
Ogni ora viene generato un record per ogni computer e processo univoco che si aggiunge ai record generati quando un processo o computer viene avviato o caricato in Mapping dei servizi. I record hanno le proprietà descritte nelle tabelle seguenti.
I campi e i valori nell'ServiceMapComputer_CL eventi mappano ai campi della risorsa Machine nell'API Azure Resource Manager di ServiceMap. I campi e i valori nell'ServiceMapProcess_CL eventi mappano ai campi della risorsa Processo nell'API Azure Resource Manager di ServiceMap. Il campo ResourceName_s corrisponde al campo nome nella risorsa Resource Manager corrispondente.
Nota
Con l'aumentare delle funzionalità di Mapping dei servizi, questi campi sono soggetti a modifica.
È possibile usare proprietà generate internamente per identificare processi e computer univoci:
- Computer: usare ResourceId o ResourceName_s per identificare in modo univoco un computer all'interno di un'area di lavoro Log Analytics.
- Processo: usare ResourceId per identificare in modo univoco un processo all'interno di un'area di lavoro Log Analytics. ResourceName_s è univoco nel contesto del computer in cui il processo viene eseguito MachineResourceName_s.
Poiché possono essere presenti vari record per un determinato processo o computer in un intervallo di tempo specificato, le query possono restituire più di un record per lo stesso computer o processo. Per includere solo il record più recente, aggiungere "| dedup ResourceId" alla query.
Connessioni
Le metriche di connessione vengono scritte in una nuova tabella in Log Analytics denominata VMConnection. Questa tabella fornisce informazioni sulle connessioni in ingresso e in uscita per un computer. Le metriche relative alla connessione vengono inoltre esposte con le API che forniscono i mezzi per ottenere una metrica specifica durante un intervallo di tempo.
Le connessioni TCP risultanti dall'accettazione in un socket di ascolto sono in ingresso. Queste connessioni create connettendosi a un indirizzo IP e una porta specificati sono in uscita. La direzione di una connessione è rappresentata dalla Direction proprietà, che può essere impostata su inbound o outbound.
I record in queste tabelle vengono generati dai dati segnalati da Dependency Agent. Ogni record rappresenta un'osservazione in un intervallo di tempo di un minuto. La TimeGenerated proprietà indica l'inizio dell'intervallo di tempo. Ogni record contiene informazioni per identificare la rispettiva entità, ovvero la connessione o la porta e le metriche associate a tale entità. Attualmente viene segnalata solo l'attività di rete che si verifica usando TCP su IPv4.
Per gestire i costi e la complessità, i record di connessione non rappresentano le singole connessioni di rete fisica. Più connessioni di rete fisiche vengono raggruppate in una connessione logica, che viene quindi riflessa nella rispettiva tabella. Quindi i record nella tabella VMConnection rappresentano un raggruppamento logico e non le singole connessioni fisiche osservate.
Le connessioni di rete fisiche che condividono lo stesso valore per gli attributi seguenti durante un determinato intervallo di un minuto vengono aggregate in un singolo record logico in VMConnection.
| Proprietà | Descrizione |
|---|---|
Direction |
Direzione della connessione. Il valore è in ingresso o in uscita. |
Machine |
FQDN del computer. |
Process |
Identità del processo o dei gruppi di processi che avviano o accettano la connessione. |
SourceIp |
Indirizzo IP dell'origine. |
DestinationIp |
Indirizzo IP della destinazione. |
DestinationPort |
Numero di porta della destinazione. |
Protocol |
Protocollo usato per la connessione. Il valore è tcp. |
Per tenere conto dell'impatto del raggruppamento, vengono fornite informazioni sul numero di connessioni fisiche raggruppate nelle proprietà seguenti del record.
| Proprietà | Descrizione |
|---|---|
LinksEstablished |
Numero di connessioni di rete fisiche stabilite durante l'intervallo di tempo di report. |
LinksTerminated |
Numero di connessioni di rete fisiche terminate durante l'intervallo di tempo di creazione di report. |
LinksFailed |
Numero di connessioni di rete fisiche che hanno avuto esito negativo durante l'intervallo di tempo di creazione del report. Queste informazioni sono attualmente disponibili solo per le connessioni in uscita. |
LinksLive |
Numero di connessioni di rete fisiche aperte alla fine dell'intervallo di tempo di report. |
Metriche
Oltre alle metriche del conteggio delle connessioni, le informazioni sul volume di dati inviati e ricevuti in una connessione logica o una porta di rete specifica sono incluse anche nelle proprietà seguenti del record.
| Proprietà | Descrizione |
|---|---|
BytesSent |
Numero totale di byte inviati durante l'intervallo di tempo per la creazione di report. |
BytesReceived |
Numero totale di byte ricevuti durante l'intervallo di tempo per la creazione di report. |
Responses |
Numero totale di risposte osservate durante l'intervallo di tempo di creazione del report. |
ResponseTimeMax |
Il tempo di risposta più grande in millisecondi osservato durante l'intervallo di tempo per la creazione di report. Se non è presente alcun valore, la proprietà è vuota. |
ResponseTimeMin |
Tempo di risposta più piccolo in millisecondi osservato durante l'intervallo di tempo della segnalazione. Se non è presente alcun valore, la proprietà è vuota. |
ResponseTimeSum |
Somma di tutti i tempi di risposta in millisecondi osservati durante l'intervallo di tempo della segnalazione. Se non è presente alcun valore, la proprietà è vuota |
Il terzo tipo di dati segnalati è il tempo di risposta. Quanto tempo impiega un chiamante in attesa dell'elaborazione e della risposta di una richiesta inviata tramite una connessione dall'endpoint remoto?
Il tempo di risposta segnalato è una stima del tempo di risposta effettivo del protocollo dell'applicazione sottostante. Viene calcolato usando l'euristica in base all'osservazione del flusso di dati tra l'origine e la fine di destinazione di una connessione di rete fisica.
Concettualmente, il tempo di risposta è la differenza tra l'ora in cui l'ultimo byte di una richiesta lascia il mittente e l'ora in cui arriva l'ultimo byte della risposta. Questi due timestamp vengono usati per delineare gli eventi di richiesta e risposta in una connessione fisica specifica. La differenza tra di essi rappresenta il tempo di risposta di una singola richiesta.
In questa prima versione di questa funzionalità, l'algoritmo è un'approssimazione che può funzionare con diversi gradi di esito positivo a seconda del protocollo applicazione effettivo usato per una connessione di rete specifica. Ad esempio, l'approccio corrente funziona bene per i protocolli basati su richiesta-risposta, ad esempio HTTP/HTTPS. Questo approccio, tuttavia, non funziona con protocolli unidirezionale o basati su code di messaggi.
Ecco alcuni punti importanti da considerare:
- Se un processo accetta le connessioni sullo stesso indirizzo IP ma su più interfacce di rete, verrà segnalato un record distinto per ogni interfaccia.
- I record con IP con caratteri jolly non contengono attività. Sono inclusi per rappresentare il fatto che una porta nel computer è aperta al traffico in ingresso.
- Per ridurre il livello di dettaglio e il volume di dati, i record con IP con caratteri jolly verranno omessi quando è presente un record corrispondente (per lo stesso processo, porta e protocollo) con un indirizzo IP specifico. Quando viene omesso un record IP con caratteri jolly, la
IsWildcardBindproprietà record con l'indirizzo IP specifico verrà impostata suTrue.Questa impostazione indica che la porta viene esposta su ogni interfaccia del computer di report. - Le porte associate solo su un'interfaccia specifica sono
IsWildcardBindimpostate suFalse.
Denominazione e classificazione
Per praticità, l'indirizzo IP dell'estremità remota di una connessione è incluso nella RemoteIp proprietà . Per le connessioni in ingresso, RemoteIp è uguale SourceIpa , mentre per le connessioni in uscita è uguale DestinationIpa . La RemoteDnsCanonicalNames proprietà rappresenta i nomi canonici DNS segnalati dal computer per RemoteIp. Le RemoteDnsQuestions proprietà e RemoteClassification sono riservate per l'uso futuro.
Georilevazione
VMConnection include anche informazioni sulla georilevazione per la fine remota di ogni record di connessione nelle proprietà seguenti del record.
| Proprietà | Descrizione |
|---|---|
RemoteCountry |
Nome del paese o dell'area geografica che ospita RemoteIp. Un esempio è Stati Uniti. |
RemoteLatitude |
Latitudine della georilevazione. Un esempio è 47.68. |
RemoteLongitude |
Longitudine della georilevazione. Un esempio è -122.12. |
Indirizzi IP dannosi
Ogni RemoteIp proprietà nella tabella VMConnection viene verificata in base a un set di indirizzi IP con attività dannose note.
RemoteIp Se viene identificato come dannoso, le proprietà seguenti verranno popolate (sono vuote quando l'INDIRIZZO IP non è considerato dannoso) nelle proprietà seguenti del record.
| Proprietà | Descrizione |
|---|---|
MaliciousIp |
Indirizzo RemoteIp . |
IndicatorThreadType |
L'indicatore di minaccia rilevato è uno dei valori seguenti: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA o Watchlist. |
Description |
Descrizione della minaccia osservata. |
TLPLevel |
Il livello TLP (Traffic Light Protocol) è uno dei valori definiti: Bianco, Verde, Ambra, Rosso. |
Confidence |
I valori sono 0 - 100. |
Severity |
I valori sono 0 - 5, dove 5 è il più grave e 0 non è grave. Il valore predefinito è 3. |
FirstReportedDateTime |
La prima volta che il provider ha segnalato l'indicatore. |
LastReportedDateTime |
L'ultima volta in cui l'indicatore è stato visualizzato da Interflow. |
IsActive |
Indica che gli indicatori vengono disattivati con il valore True o False. |
ReportReferenceLink |
Offre collegamenti ai report relativi a un oggetto osservabile specificato. |
AdditionalInformation |
Fornisce altre informazioni, se applicabile, sulla minaccia osservata. |
Record ServiceMapComputer_CL
I record che contengono il tipo ServiceMapComputer_CL includono dati di inventario relativi ai server con agenti del modello dei servizi. Questi record includono le proprietà elencate nella tabella seguente.
| Proprietà | Descrizione |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
Identificatore univoco per il computer nell'area di lavoro |
ResourceName_s |
Identificatore univoco per il computer nell'area di lavoro |
ComputerName_s |
FQDN del computer |
Ipv4Addresses_s |
Un elenco degli indirizzi IPv4 del server |
Ipv6Addresses_s |
Un elenco degli indirizzi IPv6 del server |
DnsNames_s |
Una matrice di nomi DNS |
OperatingSystemFamily_s |
Windows o Linux |
OperatingSystemFullName_s |
Nome completo del sistema operativo |
Bitness_s |
Numero di bit del computer, a 32 bit o a 64 bit |
PhysicalMemory_d |
Memoria fisica in MB |
Cpus_d |
Numero di CPU |
CpuSpeed_d |
Velocità della CPU in MHz |
VirtualizationState_s |
sconosciuto, fisico, virtuale, hypervisor |
VirtualMachineType_s |
hyperv, vmware e così via |
VirtualMachineNativeMachineId_g |
ID della macchina virtuale assegnato dal relativo hypervisor |
VirtualMachineName_s |
Nome della macchina virtuale |
BootTime_t |
Tempo di avvio |
Record con tipo ServiceMapProcess_CL
I record con tipo ServiceMapProcess_CL includono dati di inventario relativi ai processi con connessione TCP eseguiti sui server con agenti del modello dei servizi. Questi record includono le proprietà elencate nella tabella seguente.
| Proprietà | Descrizione |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
Identificatore univoco per il processo nell'area di lavoro |
ResourceName_s |
Identificatore univoco per un processo all'interno del computer in cui è in esecuzione |
MachineResourceName_s |
Nome della risorsa del computer |
ExecutableName_s |
Nome dell'eseguibile del processo |
StartTime_t |
Ora di inizio del pool del processo |
FirstPid_d |
Primo PID nel pool del processo |
Description_s |
Descrizione del processo |
CompanyName_s |
Nome dell'azienda |
InternalName_s |
Nome interno |
ProductName_s |
Nome del prodotto |
ProductVersion_s |
Versione del prodotto |
FileVersion_s |
Versione del file |
CommandLine_s |
Riga di comando |
ExecutablePath _s |
Percorso del file eseguibile |
WorkingDirectory_s |
La directory di lavoro |
UserName |
Account con cui è in esecuzione il processo |
UserDomain |
Dominio in cui è in esecuzione il processo |
Ricerche di log di esempio
Questa sezione elenca gli esempi di ricerca dei log.
Visualizzare tutti i computer noti
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Elencare la capacità di memoria fisica di tutti i computer gestiti
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Elencare nome computer, DNS, IP e sistema operativo
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Trovare tutti i processi con "sql" nella riga di comando
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Trovare un computer (record più recente) in base al nome di risorsa
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Trovare un computer, ovvero il record più recente, in base all’indirizzo IP
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Elencare tutti i processi noti su un computer specifico
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Visualizzare tutti i computer che eseguono SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Elencare tutte le versioni di prodotto univoche di curl nel data center
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Creare un gruppo di tutti i computer che eseguono CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Riepilogare le connessioni in uscita da un gruppo di computer
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
API REST
Tutti i dati relativi a server, processi e dipendenze in Mapping dei servizi sono disponibili tramite l'API REST di Mapping dei servizi.
Dati di diagnostica e di utilizzo
Microsoft raccoglie automaticamente i dati sull'utilizzo e sulle prestazioni tramite l'uso di Service Map. Microsoft usa questi dati per fornire e migliorare la qualità, la sicurezza e l'integrità della mappa dei servizi.
Per fornire funzionalità di risoluzione dei problemi accurate ed efficienti, i dati includono informazioni sulla configurazione del software. Queste informazioni possono essere il sistema operativo e la versione, l'indirizzo IP, il nome DNS e il nome della workstation. Microsoft non raccoglie nomi, indirizzi o altre informazioni di contatto.
Per altre informazioni sulla raccolta e sull'uso dei dati , vedere l'Informativa sulla privacy Servizi online Microsoft .
Passaggi successivi
Altre informazioni sulle ricerche nei log in Log Analytics per recuperare i dati raccolti da Mapping dei servizi.
Risoluzione dei problemi
Se si verificano problemi di installazione o esecuzione di Mapping dei servizi, questa sezione può essere d'aiuto. Se non è ancora possibile risolvere il problema, contattare supporto tecnico Microsoft.
Problemi di installazione di Dependency Agent
Questa sezione risolve i problemi relativi all'installazione dell'agente di dipendenza.
Il programma di installazione richiede il riavvio
L'agente di dipendenza in genere non richiede un riavvio dopo l'installazione o la rimozione. In alcuni rari casi, Windows Server richiede un riavvio per continuare con un'installazione. Questo problema si verifica quando una dipendenza, in genere la libreria ridistribuibile Microsoft Visual C++, richiede un riavvio a causa di un file bloccato.
Viene visualizzato il messaggio "Non è stato possibile installare Dependency Agent: impossibile installare le librerie di runtime di Visual Studio (codice = [numero_di_codice])"
Microsoft Dependency Agent si basa sulle librerie di runtime di Microsoft Visual Studio. Se si verifica un problema durante l'installazione delle librerie, si riceverà un messaggio.
I programmi di installazione delle librerie di runtime creano log nella cartella %LOCALAPPDATA%\temp. Il file è , dove l'arco è x86 o amd64 e yyymmdhhmmss è dd_vcredist_arch_yyyymmddhhmmss.logla data e l'ora (in base a un orologio di 24 ore) quando il log è stato creato. Il log offre informazioni dettagliate sul problema che impedisce l'installazione.
Potrebbe essere utile per l'utente installare prima la versione più recente delle librerie di runtime.
La tabella seguente elenca i codici e le risoluzioni consigliate.
| Codice | Descrizione | Risoluzione |
|---|---|---|
| 0x17 | Il programma di installazione della libreria richiede un aggiornamento di Windows che non è stato installato. | Cercare nel log del programma di installazione della libreria più recente. Se un riferimento a Windows8.1-KB2999226-x64.msu è seguito da una riga Error 0x80240017: Failed to execute MSU package, che non dispone dei prerequisiti per installare KB2999226. Seguire le istruzioni riportate nella sezione prerequisiti nell'articolo Universal C Runtime in Windows . Potrebbe essere necessario eseguire Windows Update e riavviare più volte per installare i prerequisiti.Eseguire nuovamente il programma di installazione di Microsoft Dependency Agent. |
Problemi successivi all'installazione
Questa sezione risolve i problemi di post-installazione.
Il server non viene visualizzato in Mapping dei servizi
Se l'installazione dell'agente di dipendenza ha avuto esito positivo, ma non viene visualizzato il computer nella soluzione Mappa dei servizi:
Dependency Agent è stato installato correttamente? Verificare se il servizio è installato ed in esecuzione.
- Windows: cercare il servizio denominato agente di dipendenza Microsoft.
- Linux: cercare il processo in esecuzione microsoft-dependency-agent.
Si è nel livello gratuito di Log Analytics? Il piano gratuito consente di avere fino a cinque computer univoci di Mapping dei servizi. Tutti i computer successivi non verranno visualizzati in Mapping dei servizi, anche se i primi cinque non inviano più dati.
Il server invia i dati di log e perf ai log di Monitoraggio di Azure? Passare a Monitoraggio di Azure\Log ed eseguire la query seguente per il computer:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
I risultati mostrano eventi diversi? I dati sono aggiornati? In questo caso, l'agente di Log Analytics funziona correttamente e comunica con l'area di lavoro. In caso contrario, controllare l'agente nel computer. Vedere l'agente di Log Analytics per la risoluzione dei problemi di Windows o l'agente di Log Analytics per la risoluzione dei problemi di Linux.
Il server viene visualizzato in Mapping dei servizi, ma non dispone di alcun processo
Il computer viene visualizzato in Mapping dei servizi, ma non dispone di dati di elaborazione o connessione. Questo comportamento indica che l'agente di dipendenza è installato ed in esecuzione, ma il driver del kernel non è stato caricato.
Verificare C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file la presenza di Windows o /var/opt/microsoft/dependency-agent/log/service.log file linux. Le ultime righe del file dovrebbero indicare il motivo per cui il kernel non è stato caricato. Ad esempio, il kernel potrebbe non essere supportato in Linux se è stato aggiornato.
Suggerimenti
Per inviare commenti su Mapping dei servizi e sulla relativa documentazione, Vedere la pagina Voce utente in cui è possibile suggerire funzionalità o votare suggerimenti esistenti.