Gegevens verzamelen met Azure Monitor Agent
Azure Monitor-agent (AMA) wordt gebruikt voor het verzamelen van gegevens van virtuele Azure-machines, virtuele-machineschaalsets en servers met Arc. DcR (Data Collection Rules) definiëren de gegevens die moeten worden verzameld van de agent en waar die gegevens moeten worden verzonden. In dit artikel wordt beschreven hoe u Azure Portal gebruikt om een DCR te maken voor het verzamelen van verschillende typen gegevens en het installeren van de agent op alle computers waarvoor deze nodig is.
Als u geen ervaring hebt met Azure Monitor of basisvereisten voor het verzamelen van gegevens hebt, kunt u mogelijk voldoen aan al uw vereisten met behulp van Azure Portal en de richtlijnen in dit artikel. Als u wilt profiteren van extra DCR-functies, zoals transformaties, moet u mogelijk een DCR maken met andere methoden of deze bewerken nadat u deze in de portal hebt gemaakt. U kunt ook verschillende methoden gebruiken om DCR's te beheren en koppelingen te maken als u wilt implementeren met behulp van CLI, PowerShell, ARM-sjablonen of Azure Policy.
Notitie
Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.
Waarschuwing
In de volgende gevallen kunnen dubbele gegevens worden verzameld, wat kan leiden tot extra kosten.
- Meerdere DCR's maken met dezelfde gegevensbron en deze koppelen aan dezelfde agent. Zorg ervoor dat u gegevens in de DCR's filtert, zodat elke gegevens unieke gegevens verzamelt.
- Een DCR maken die beveiligingslogboeken verzamelt en Sentinel inschakelt voor dezelfde agents. In dit geval kunt u dezelfde gebeurtenissen verzamelen in de gebeurtenistabel en de tabel SecurityEvent.
- Gebruik zowel de Azure Monitor-agent als de verouderde Log Analytics-agent op dezelfde computer. Beperk dubbele gebeurtenissen tot alleen de tijd waarop u van de ene agent naar de andere overgaat.
Gegevensbronnen
De onderstaande tabel bevat de typen gegevens die u momenteel kunt verzamelen met de Azure Monitor-agent en waar u die gegevens kunt verzenden. De koppeling voor elk is naar een artikel met een beschrijving van de details van het configureren van die gegevensbron. Volg dit artikel om de DCR te maken en toe te wijzen aan resources en volg het gekoppelde artikel om de gegevensbron te configureren.
| Gegevensbron | Beschrijving | Clientbesturingssysteem | Bestemmingen |
|---|---|---|---|
| Windows-gebeurtenissen | Informatie die naar het Systeem voor logboekregistratie van Windows-gebeurtenissen wordt verzonden, inclusief sysmon-gebeurtenissen. | Windows | Log Analytics-werkruimte |
| Prestatiemeteritems | Numerieke waarden die de prestaties van verschillende aspecten van het besturingssysteem en workloads meten. | Windows Linux |
Metrische gegevens van Azure Monitor (preview) Log Analytics-werkruimte |
| Syslog | Informatie die wordt verzonden naar het Systeem voor logboekregistratie van Linux-gebeurtenissen. | Linux | Log Analytics-werkruimte |
| Tekstlogboek | Informatie die wordt verzonden naar een tekstbestand op een lokale schijf. | Windows Linux |
Log Analytics-werkruimte |
| JSON-logboek | Informatie die wordt verzonden naar een JSON-logboekbestand op een lokale schijf. | Windows Linux |
Log Analytics-werkruimte |
| IIS-logboeken | IIS-logboeken (Internet Information Service) vanaf de lokale schijf van Windows-computers | Windows | Log Analytics-werkruimte |
Notitie
Azure Monitor Agent biedt ook ondersteuning voor de evaluatie van best practices voor Azure-service SQL, die momenteel algemeen beschikbaar is. Raadpleeg Best practices-evaluatie configureren met behulp van De Azure Monitor-agent voor meer informatie.
Vereisten
- Machtigingen voor het maken van regelobjecten voor gegevensverzameling in de werkruimte.
- Zie het artikel waarin elke gegevensbron wordt beschreven voor eventuele aanvullende vereisten.
Overzicht
Wanneer u een DCR maakt in Azure Portal, doorloopt u een reeks pagina's om de informatie op te geven die nodig is voor het verzamelen van gegevens van de machines die u opgeeft. In de volgende tabel worden de gegevens beschreven die u op elke pagina moet opgeven.
| Sectie | Beschrijving |
|---|---|
| Resources | Machines die gebruikmaken van de DCR. Wanneer u een machine toevoegt aan de DCR, wordt er een DCRA (Data Collection Rule Association) tussen de computer en de DCR gemaakt. U kunt de DCR bewerken om machines toe te voegen of te verwijderen nadat deze zijn gemaakt. |
| Gegevensbron | Het type gegevens dat moet worden verzameld van de computer. De lijst met beschikbare gegevensbronnen wordt hierboven vermeld in gegevensbronnen. Elke gegevensbron heeft zijn eigen configuratie-instellingen en mogelijk vereisten, dus zie het afzonderlijke artikel voor elk voor meer informatie. |
| Bestemming | Bestemming waar de gegevens die zijn verzameld uit de gegevensbron moeten worden verzonden. Als u meerdere gegevensbronnen in de DCR hebt, kunnen ze worden verzonden naar afzonderlijke bestemmingen en kunnen gegevens van één gegevensbron naar meerdere bestemmingen worden verzonden. Zie het artikel voor elke gegevensbron voor meer informatie over hun bestemming, zoals de tabel in de Log Analytics-werkruimte. |
Zie Regels voor gegevensverzameling maken voor gedetailleerde stappen voor het maken van een DCR met behulp van Azure Portal.
Bewerking controleren
Nadat u een DCR hebt gemaakt en aan een computer hebt gekoppeld, kunt u controleren of de agent operationeel is en of de gegevens worden verzameld door query's uit te voeren in de Log Analytics-werkruimte.
Agentbewerking verifiëren
Controleer of de agent operationeel is en goed communiceert door de volgende query uit te voeren in Log Analytics om te controleren of er records in de Heartbeat-tabel staan. Er moet elke minuut vanaf elke agent een record naar deze tabel worden verzonden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Controleren of records worden ontvangen
Het duurt enkele minuten voordat de agent is geïnstalleerd en nieuwe of gewijzigde DCR's uitvoert. Vervolgens kunt u controleren of records worden ontvangen van elk van uw gegevensbronnen door de tabel te controleren waarnaar elke record in de Log Analytics-werkruimte schrijft. Met de volgende query wordt bijvoorbeeld gecontroleerd op Windows-gebeurtenissen in de tabel Gebeurtenis .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Probleemoplossing
Voer de volgende stappen uit als u geen gegevens verzamelt die u verwacht.
- Controleer of de agent is geïnstalleerd en wordt uitgevoerd op de computer.
- Zie de sectie Probleemoplossing van het artikel voor de gegevensbron waarmee u problemen ondervindt.
- Zie Controleren en problemen met het verzamelen van DCR-gegevens in Azure Monitor oplossen om bewaking voor de DCR in te schakelen.
- Bekijk metrische gegevens om te bepalen of gegevens worden verzameld en of er rijen worden verwijderd.
- Bekijk logboeken om fouten in de gegevensverzameling te identificeren.
Volgende stappen
- Verzamel tekstlogboeken met behulp van de Azure Monitor-agent.
- Meer informatie over Azure Monitor Agent.
- Meer informatie over regels voor gegevensverzameling.