Gebeurtenissen en prestatiemeteritems verzamelen van virtuele machines met Azure Monitor Agent

In dit artikel wordt beschreven hoe u gebeurtenissen en prestatiemeteritems van virtuele machines verzamelt met behulp van Azure Monitor Agent.

Vereisten

U hebt het volgende nodig om deze procedure te voltooien:

• Log Analytics-werkruimte met ten minste inzenderrechten.
• Machtigingen voor het maken van regelobjecten voor gegevensverzameling in de werkruimte.
• Koppel de regel voor gegevensverzameling aan specifieke virtuele machines.

Een regel voor gegevensverzameling maken

U kunt een regel voor gegevensverzameling definiëren om gegevens van meerdere computers naar meerdere Log Analytics-werkruimten te verzenden, inclusief werkruimten in een andere regio of tenant. Maak de regel voor gegevensverzameling in dezelfde regio als uw Log Analytics-werkruimte. U kunt alleen Windows-gebeurtenis- en Syslog-gegevens verzenden naar Azure Monitor-logboeken. U kunt prestatiemeteritems verzenden naar zowel metrische gegevens van Azure Monitor als Azure Monitor-logboeken.

Notitie

Op dit moment kunnen resources van Microsoft.HybridCompute (Servers met Azure Arc) niet worden weergegeven in Metrics Explorer (de UX van Azure Portal), maar ze kunnen worden verkregen via de Metrics REST API (Metric Namespaces - List, Metric Definitions - List, MetricS - List, and Metrics - List).

Notitie

Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.

Portal

1. Selecteer gegevensverzamelingsregels in het menu Bewaken.

2. Selecteer Maken om een nieuwe regel en koppelingen voor gegevensverzameling te maken.

   

3. Voer een regelnaam in en geef een abonnement, resourcegroep, regio en platformtype op:

   • Regio geeft aan waar de DCR wordt gemaakt. De virtuele machines en de bijbehorende koppelingen kunnen zich in elk abonnement of elke resourcegroep in de tenant bevinden.
   • Platformtype geeft het type resources op waarop deze regel kan worden toegepast. Met de optie Aangepast kunt u zowel Windows- als Linux-typen gebruiken.

   

4. Op het tabblad Resources :

5. 1. Selecteer + Resources toevoegen en resources koppelen aan de regel voor gegevensverzameling. Resources kunnen virtuele machines, virtuele-machineschaalsets en Azure Arc voor servers zijn. Azure Portal installeert Azure Monitor Agent op resources waarop deze nog niet is geïnstalleerd.

      Belangrijk

      De portal maakt door het systeem toegewezen beheerde identiteit mogelijk voor de doelbronnen, samen met bestaande door de gebruiker toegewezen identiteiten, indien aanwezig. Voor bestaande toepassingen, tenzij u de door de gebruiker toegewezen identiteit in de aanvraag opgeeft, wordt de computer standaard ingesteld op het gebruik van door het systeem toegewezen identiteit.

      Als u netwerkisolatie met behulp van privékoppelingen nodig hebt, selecteert u bestaande eindpunten uit dezelfde regio voor de respectieve resources of maakt u een nieuw eindpunt.

   2. Selecteer Eindpunten voor gegevensverzameling inschakelen.

   3. Selecteer een eindpunt voor gegevensverzameling voor elk van de resources die aan de regel voor gegevensverzameling zijn gekoppeld.

   

6. Selecteer op het tabblad Verzamelen en leveren de optie Gegevensbron toevoegen om een gegevensbron toe te voegen en een bestemming in te stellen.

7. Selecteer een gegevensbrontype.

8. Selecteer welke gegevens u wilt verzamelen. Voor prestatiemeteritems kunt u kiezen uit een vooraf gedefinieerde set objecten en hun steekproeffrequentie. Voor gebeurtenissen kunt u kiezen uit een set logboeken en ernstniveaus.

   

9. Selecteer Aangepast om logboeken en prestatiemeteritems te verzamelen die momenteel niet worden ondersteund of om gebeurtenissen te filteren met behulp van XPath-query's. Vervolgens kunt u een XPath opgeven om specifieke waarden te verzamelen. Zie Voorbeeld van DCR voor een voorbeeld.

   

10. Voeg op het tabblad Doel een of meer bestemmingen toe voor de gegevensbron. U kunt meerdere bestemmingen van dezelfde of verschillende typen selecteren. U kunt bijvoorbeeld meerdere Log Analytics-werkruimten selecteren, ook wel multihoming genoemd.

    U kunt alleen Windows-gebeurtenis- en Syslog-gegevensbronnen verzenden naar Azure Monitor-logboeken. U kunt prestatiemeteritems verzenden naar zowel metrische gegevens van Azure Monitor als Azure Monitor-logboeken. Op dit moment bieden hybride rekenresources (Arc for Server) geen ondersteuning voor het doel azure Monitor Metrics (Preview).

    

11. Selecteer Gegevensbron toevoegen en selecteer Vervolgens Beoordelen en maken om de details van de regel voor gegevensverzameling te bekijken en te koppelen aan de set virtuele machines.

12. Selecteer Maken om de regel voor gegevensverzameling te maken.

API

1. Maak een DCR-bestand met behulp van de JSON-indeling die wordt weergegeven in voorbeeld-DCR.

2. Maak de regel met behulp van de REST API.

3. Maak een koppeling voor elke virtuele machine naar de regel voor gegevensverzameling met behulp van de REST API.

PowerShell

Regels voor gegevensverzameling

Actie	Opdracht
Regels ophalen	Get-AzDataCollectionRule
Een regel maken	New-AzDataCollectionRule
Een regel bijwerken	Set-AzDataCollectionRule
Een regel verwijderen	Remove-AzDataCollectionRule
Tags bijwerken voor een regel	Update-AzDataCollectionRule

Koppelingen van regels voor gegevensverzameling

Actie	Opdracht
Koppelingen ophalen	Get-AzDataCollectionRuleAssociation
Een koppeling maken	New-AzDataCollectionRuleAssociation
Een koppeling verwijderen	Remove-AzDataCollectionRuleAssociation

Azure-CLI

Deze mogelijkheid is ingeschakeld als onderdeel van de Azure CLI monitor-control-service-extensie. Alle opdrachten weergeven.

ARM

Koppeling maken met Azure VM

In het volgende voorbeeld wordt een koppeling gemaakt tussen een virtuele Azure-machine en een regel voor gegevensverzameling.

Sjabloonbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parameterbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Koppeling maken met Azure Arc

In het volgende voorbeeld wordt een koppeling gemaakt tussen een server met Azure Arc en een regel voor gegevensverzameling.

Sjabloonbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Koppeling maken met Azure VM

In het volgende voorbeeld wordt een koppeling gemaakt tussen een virtuele Azure-machine en een regel voor gegevensverzameling.

Sjabloonbestand

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parameterbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Koppeling maken met Azure Arc

In het volgende voorbeeld wordt een koppeling gemaakt tussen een server met Azure Arc en een regel voor gegevensverzameling.

Sjabloonbestand

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parameterbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Notitie

Het kan tot vijf minuten duren voordat gegevens naar de bestemmingen worden verzonden nadat u de regel voor het verzamelen van gegevens hebt gemaakt.

Gebeurtenissen filteren met XPath-query's

Er worden kosten in rekening gebracht voor alle gegevens die u in een Log Analytics-werkruimte verzamelt. Daarom moet u alleen de gebeurtenisgegevens verzamelen die u nodig hebt. De basisconfiguratie in Azure Portal biedt u een beperkte mogelijkheid om gebeurtenissen te filteren.

Tip

Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.

Als u meer filters wilt opgeven, gebruikt u aangepaste configuratie en geeft u een XPath op waarmee de gebeurtenissen worden gefilterd die u niet nodig hebt. XPath-vermeldingen worden geschreven in het formulier LogName!XPathQuery. U wilt bijvoorbeeld alleen gebeurtenissen uit het gebeurtenislogboek van de toepassing retourneren met een gebeurtenis-id van 1035. De XPathQuery voor deze gebeurtenissen zou zijn *[System[EventID=1035]]. Omdat u de gebeurtenissen wilt ophalen uit het gebeurtenislogboek van de toepassing, is XPath Application!*[System[EventID=1035]]

XPath-query's extraheren uit Windows Logboeken

In Windows kunt u Logboeken gebruiken om XPath-query's te extraheren, zoals wordt weergegeven in de schermopnamen.

Wanneer u de XPath-query plakt in het veld op het scherm Gegevensbron toevoegen, zoals wordt weergegeven in stap 5, moet u de categorie van het logboektype toevoegen, gevolgd door een uitroepteken (!).

Tip

U kunt de PowerShell-cmdlet Get-WinEvent gebruiken met de FilterXPath parameter om eerst de geldigheid van een XPath-query lokaal op uw computer te testen. Zie de tip in de instructies voor verbindingen op basis van windows-agents voor meer informatie. De Get-WinEvent PowerShell-cmdlet ondersteunt maximaal 23 expressies. Azure Monitor-regels voor gegevensverzameling ondersteunen maximaal 20. In het volgende script ziet u een voorbeeld:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• In de voorgaande cmdlet is de waarde van de -LogName parameter het eerste deel van de XPath-query tot het uitroepteken (!). De rest van de XPath-query gaat naar de $XPath parameter.
• Als het script gebeurtenissen retourneert, is de query geldig.
• Als u het bericht 'Er zijn geen gebeurtenissen gevonden die overeenkomen met de opgegeven selectiecriteria' wordt weergegeven, is de query mogelijk geldig, maar er zijn geen overeenkomende gebeurtenissen op de lokale computer.
• Als u het bericht 'De opgegeven query is ongeldig' ontvangt, is de syntaxis van de query ongeldig.

Voorbeelden van het gebruik van een aangepast XPath voor het filteren van gebeurtenissen:

Beschrijving	Xpath
Alleen systeemevenementen verzamelen met gebeurtenis-id = 4648	System!*[System[EventID=4648]]
Gebeurtenissen in het beveiligingslogboek verzamelen met gebeurtenis-id = 4648 en een procesnaam van consent.exe	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Verzamel alle kritieke, fout-, waarschuwings- en informatiegebeurtenissen uit het gebeurtenislogboek van het systeem, met uitzondering van gebeurtenis-id = 6 (geladen stuurprogramma)	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Verzamel alle geslaagde en mislukte beveiligingsevenementen, met uitzondering van gebeurtenis-id 4624 (geslaagde aanmelding)	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Notitie

Zie XPath 1.0-beperkingen voor een lijst met beperkingen in het XPath-gebeurtenislogboek dat door Windows wordt ondersteund.
U kunt bijvoorbeeld de functies 'position', 'Band' en 'timediff' in de query gebruiken, maar andere functies zoals 'starts-with' en 'contains' worden momenteel niet ondersteund.

Veelgestelde vragen

In deze sectie vindt u antwoorden op veelgestelde vragen.

Hoe kan ik Windows-beveiligingsevenementen verzamelen met behulp van De Azure Monitor-agent?

Er zijn twee manieren waarop u beveiligingsevenementen kunt verzamelen met behulp van de nieuwe agent bij het verzenden naar een Log Analytics-werkruimte:

• U kunt De Azure Monitor-agent gebruiken om systeemeigen beveiligingsevenementen te verzamelen, net als andere Windows-gebeurtenissen. Deze stroom naar de tabel Gebeurtenis in uw Log Analytics-werkruimte.
• Als Microsoft Sentinel is ingeschakeld voor de werkruimte, stromen de beveiligingsgebeurtenissen via de Azure Monitor-agent naar de SecurityEvent tabel (hetzelfde als het gebruik van de Log Analytics-agent). Voor dit scenario moet de oplossing altijd eerst worden ingeschakeld.

Dupliceer ik gebeurtenissen als ik Azure Monitor Agent en de Log Analytics-agent op dezelfde computer gebruik?

Als u dezelfde gebeurtenissen met beide agents verzamelt, treedt duplicatie op. Deze duplicatie kan de verouderde agent zijn die redundante gegevens verzamelt uit de configuratiegegevens van de werkruimte, die wordt verzameld door de regel voor gegevensverzameling. U kunt ook beveiligingsevenementen verzamelen met de verouderde agent en Windows-beveiligingsevenementen inschakelen met Azure Monitor Agent-connectors in Microsoft Sentinel.

Beperk duplicatie-gebeurtenissen tot alleen de tijd waarop u van de ene agent naar de andere overgaat. Nadat u de gegevensverzamelingsregel volledig hebt getest en de bijbehorende gegevensverzameling hebt gecontroleerd, schakelt u de verzameling voor de werkruimte uit en verbreekt u de verbinding met gegevensconnectors van Microsoft Monitoring Agent.

Biedt Azure Monitor Agent meer gedetailleerde opties voor gebeurtenisfiltering dan Xpath-query's en geeft u prestatiemeteritems op?

Voor Syslog-gebeurtenissen in Linux kunt u faciliteiten en het logboekniveau voor elke faciliteit selecteren.

Als ik regels voor gegevensverzameling met dezelfde gebeurtenis-id maak en deze aan dezelfde VIRTUELE machine koppel, worden gebeurtenissen gedupliceerd?

Ja. Als u duplicatie wilt voorkomen, moet u ervoor zorgen dat de gebeurtenisselectie die u in uw regels voor gegevensverzameling maakt, geen dubbele gebeurtenissen bevat.

Volgende stappen

• Verzamel tekstlogboeken met behulp van de Azure Monitor-agent.
• Meer informatie over Azure Monitor Agent.
• Meer informatie over regels voor gegevensverzameling.