Zbieranie danych za pomocą agenta usługi Azure Monitor
Agent usługi Azure Monitor (AMA) służy do zbierania danych z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych i serwerów z obsługą usługi Arc. Reguły zbierania danych (DCR) definiują dane do zbierania z agenta i miejsca, w którym te dane powinny być wysyłane. W tym artykule opisano sposób używania witryny Azure Portal do tworzenia kontrolera domeny w celu zbierania różnych typów danych i instalowania agenta na wszystkich maszynach, które tego wymagają.
Jeśli dopiero zaczynasz korzystać z usługi Azure Monitor lub masz podstawowe wymagania dotyczące zbierania danych, możesz spełnić wszystkie wymagania, korzystając z witryny Azure Portal i wskazówek w tym artykule. Jeśli chcesz skorzystać z dodatkowych funkcji dcR, takich jak przekształcenia, może być konieczne utworzenie kontrolera DOMENY przy użyciu innych metod lub edytowanie go po utworzeniu go w portalu. Możesz również użyć różnych metod do zarządzania kontrolerami domeny i tworzenia skojarzeń, jeśli chcesz wdrożyć przy użyciu interfejsu wiersza polecenia, programu PowerShell, szablonów usługi ARM lub usługi Azure Policy.
Uwaga
Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.
Ostrzeżenie
Następujące przypadki mogą zbierać zduplikowane dane, co może spowodować dodatkowe opłaty.
- Tworzenie wielu kontrolerów DCR z tym samym źródłem danych i kojarzenie ich z tym samym agentem. Upewnij się, że filtrujesz dane w regułach DCR, tak aby każda z nich zbierała unikatowe dane.
- Tworzenie kontrolera domeny, który zbiera dzienniki zabezpieczeń i włączanie usługi Sentinel dla tych samych agentów. W takim przypadku możesz zebrać te same zdarzenia w tabeli Event (Zdarzenie) i tabeli SecurityEvent (SecurityEvent).
- Korzystanie zarówno z agenta usługi Azure Monitor, jak i starszego agenta usługi Log Analytics na tym samym komputerze. Ogranicz zduplikowane zdarzenia tylko do czasu przejścia z jednego agenta do drugiego.
Źródła danych
W poniższej tabeli wymieniono typy danych, które można obecnie zbierać za pomocą agenta usługi Azure Monitor i gdzie można wysyłać te dane. Link dla każdego z nich to artykuł opisujący sposób konfigurowania tego źródła danych. Postępuj zgodnie z tym artykułem, aby utworzyć kontroler domeny i przypisać go do zasobów, a następnie postępować zgodnie z połączonym artykułem, aby skonfigurować źródło danych.
| Źródło danych | opis | System operacyjny klienta | Miejsca docelowe |
|---|---|---|---|
| Zdarzenia systemu Windows | Informacje wysyłane do systemu rejestrowania zdarzeń systemu Windows, w tym zdarzenia sysmon. | Windows | Obszar roboczy usługi Log Analytics |
| Liczniki wydajności | Wartości liczbowe mierzące wydajność różnych aspektów systemu operacyjnego i obciążeń. | Windows Linux |
Metryki usługi Azure Monitor (wersja zapoznawcza) Obszar roboczy usługi Log Analytics |
| Syslog | Informacje wysyłane do systemu rejestrowania zdarzeń systemu Linux. | Linux | Obszar roboczy usługi Log Analytics |
| Dziennik tekstu | Informacje wysyłane do pliku dziennika tekstowego na dysku lokalnym. | Windows Linux |
Obszar roboczy usługi Log Analytics |
| Dziennik JSON | Informacje wysyłane do pliku dziennika JSON na dysku lokalnym. | Windows Linux |
Obszar roboczy usługi Log Analytics |
| Dzienniki usług IIS | Dzienniki usługi Internet Information Service (IIS) z dysku lokalnego maszyn z systemem Windows | Windows | Obszar roboczy usługi Log Analytics |
Uwaga
Agent usługi Azure Monitor obsługuje również ocenę najlepszych rozwiązań SQL usługi Azure, która jest obecnie ogólnie dostępna. Aby uzyskać więcej informacji, zobacz Konfigurowanie oceny najlepszych rozwiązań przy użyciu agenta usługi Azure Monitor.
Wymagania wstępne
- Uprawnienia do tworzenia obiektów reguły zbierania danych w obszarze roboczym.
- Zapoznaj się z artykułem opisującym każde źródło danych, aby uzyskać dodatkowe wymagania wstępne.
Omówienie
Podczas tworzenia kontrolera domeny w witrynie Azure Portal przechodzisz przez serię stron, aby podać informacje potrzebne do zbierania danych z maszyn, które określisz. W poniższej tabeli opisano informacje, które należy podać na każdej stronie.
| Sekcja | opis |
|---|---|
| Zasoby | Maszyny, które będą używać kontrolera domeny. Po dodaniu maszyny do kontrolera DOMENY tworzy skojarzenie reguły zbierania danych (DCRA) między maszyną a kontrolerem domeny. Kontroler domeny można edytować, aby dodawać lub usuwać maszyny po jego utworzeniu. |
| Źródło danych | Typ danych do zebrania z maszyny. Lista dostępnych źródeł danych znajduje się powyżej w temacie Źródła danych. Każde źródło danych ma własne ustawienia konfiguracji i potencjalnie wymagania wstępne, dlatego zapoznaj się z poszczególnymi artykułami, aby uzyskać szczegółowe informacje. |
| Element docelowy | Miejsce docelowe, w którym powinny być wysyłane dane zebrane ze źródła danych. Jeśli masz wiele źródeł danych w kontrolerze domeny, można je wysyłać do oddzielnych miejsc docelowych, a dane z jednego źródła danych mogą być wysyłane do wielu miejsc docelowych. Zobacz artykuł dla każdego źródła danych, aby uzyskać więcej informacji na temat ich miejsca docelowego, takiego jak tabela w obszarze roboczym usługi Log Analytics. |
Aby uzyskać szczegółowe instrukcje dotyczące tworzenia kontrolera domeny przy użyciu witryny Azure Portal, zobacz Tworzenie reguł zbierania danych.
Weryfikowanie operacji
Po utworzeniu kontrolera domeny i skojarzeniu go z maszyną możesz sprawdzić, czy agent działa i czy dane są zbierane, uruchamiając zapytania w obszarze roboczym usługi Log Analytics.
Weryfikowanie operacji agenta
Sprawdź, czy agent działa i prawidłowo komunikuje się, uruchamiając następujące zapytanie w usłudze Log Analytics, aby sprawdzić, czy istnieją rekordy w tabeli Puls . Rekord powinien być wysyłany do tej tabeli z każdego agenta co minutę.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Sprawdź, czy rekordy są odbierane
Zainstalowanie agenta i uruchomienie nowych lub zmodyfikowanych kontrolerów domeny potrwa kilka minut. Następnie możesz sprawdzić, czy rekordy są odbierane z każdego ze źródeł danych, sprawdzając tabelę, do której każdy zapis jest zapisywany w obszarze roboczym usługi Log Analytics. Na przykład następujące zapytanie sprawdza zdarzenia systemu Windows w tabeli Zdarzenia .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Rozwiązywanie problemów
Wykonaj poniższe kroki, jeśli nie zbierasz oczekiwanych danych.
- Sprawdź, czy agent jest zainstalowany i uruchomiony na maszynie.
- Zobacz sekcję Rozwiązywanie problemów z artykułem dotyczącym źródła danych, z którym masz problemy.
- Zobacz Monitorowanie i rozwiązywanie problemów z zbieraniem danych DCR w usłudze Azure Monitor , aby włączyć monitorowanie dla kontrolera domeny.
- Wyświetl metryki, aby określić, czy dane są zbierane i czy są usuwane jakiekolwiek wiersze.
- Wyświetl dzienniki, aby zidentyfikować błędy w zbieraniu danych.
Następne kroki
- Zbieranie dzienników tekstowych przy użyciu agenta usługi Azure Monitor.
- Dowiedz się więcej o agencie usługi Azure Monitor.
- Dowiedz się więcej o regułach zbierania danych.