Zbieranie zdarzeń i liczników wydajności z maszyn wirtualnych za pomocą agenta usługi Azure Monitor

  • Artykuł
  • Czas czytania: 5 min

W tym artykule opisano sposób zbierania zdarzeń i liczników wydajności z maszyn wirtualnych przy użyciu agenta usługi Azure Monitor.

Wymagania wstępne

Do wykonania tej procedury potrzebne są następujące elementy:

Tworzenie reguły zbierania danych

Regułę zbierania danych można zdefiniować w celu wysyłania danych z wielu maszyn do wielu obszarów roboczych usługi Log Analytics, w tym obszarów roboczych w innym regionie lub dzierżawie. Utwórz regułę zbierania danych w tym samym regionie co obszar roboczy usługi Log Analytics.

Uwaga

Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.

  1. W menu Monitor wybierz pozycję Reguły zbierania danych.

  2. Wybierz pozycję Utwórz , aby utworzyć nową regułę i skojarzenia zbierania danych.

    Zrzut ekranu przedstawiający przycisk Utwórz na ekranie Reguły zbierania danych.

  3. Wprowadź nazwę reguły i określ subskrypcję, grupę zasobów, region i typ platformy:

    • Region określa miejsce utworzenia kontrolera domeny. Maszyny wirtualne i ich skojarzenia mogą znajdować się w dowolnej subskrypcji lub grupie zasobów w dzierżawie.
    • Typ platformy określa typ zasobów, do których można zastosować tę regułę. Opcja Niestandardowa umożliwia korzystanie z typów systemów Windows i Linux.

    Zrzut ekranu przedstawiający kartę Podstawowe na ekranie Reguła zbierania danych.

  4. Na karcie Zasoby :

    1. Wybierz pozycję + Dodaj zasoby i skojarz zasoby z regułą zbierania danych. Zasoby mogą być maszynami wirtualnymi, Virtual Machine Scale Sets i usługą Azure Arc dla serwerów. Azure Portal instaluje agenta usługi Azure Monitor na zasobach, które nie zostały jeszcze zainstalowane.

      Ważne

      Portal umożliwia przypisaną przez system tożsamość zarządzaną w zasobach docelowych wraz z istniejącymi tożsamościami przypisanymi przez użytkownika, jeśli istnieją. W przypadku istniejących aplikacji, chyba że w żądaniu zostanie określona tożsamość przypisana przez użytkownika, zamiast tego maszyna domyślnie używa tożsamości przypisanej przez system.

      Jeśli potrzebujesz izolacji sieciowej przy użyciu linków prywatnych, wybierz istniejące punkty końcowe z tego samego regionu dla odpowiednich zasobów lub utwórz nowy punkt końcowy.

    2. Wybierz pozycję Włącz punkty końcowe zbierania danych.

    3. Wybierz punkt końcowy zbierania danych dla każdego zasobu skojarzonego z regułą zbierania danych.

    Zrzut ekranu przedstawiający kartę Zasoby na ekranie Reguła zbierania danych.

  6. Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych , aby dodać źródło danych i ustawić miejsce docelowe.

  7. Wybierz typ źródła danych.

  8. Wybierz dane, które chcesz zebrać. W przypadku liczników wydajności można wybrać wstępnie zdefiniowany zestaw obiektów i ich częstotliwość próbkowania. W przypadku zdarzeń można wybrać jeden z zestawów dzienników i poziomów ważności.

    Zrzut ekranu przedstawiający formularz Azure Portal w celu wybrania podstawowych liczników wydajności w regule zbierania danych.

  9. Wybierz pozycję Niestandardowe , aby zbierać dzienniki i liczniki wydajności, które nie są obecnie obsługiwanymi źródłami danych lub filtrować zdarzenia przy użyciu zapytań XPath. Następnie można określić ścieżkę XPath do zbierania dowolnych określonych wartości. Aby zapoznać się z przykładem, zobacz Przykładowy kontroler domeny.

    Zrzut ekranu przedstawiający formularz Azure Portal do wybierania niestandardowych liczników wydajności w regule zbierania danych.

  10. Na karcie Miejsce docelowe dodaj co najmniej jedno miejsce docelowe dla źródła danych. Możesz wybrać wiele miejsc docelowych tego samego lub różnych typów. Możesz na przykład wybrać wiele obszarów roboczych usługi Log Analytics, które są również nazywane wieloadresowością.

    Źródła danych zdarzeń systemu Windows i Syslog można wysyłać tylko do dzienników usługi Azure Monitor. Liczniki wydajności można wysyłać zarówno do metryk usługi Azure Monitor, jak i dzienników usługi Azure Monitor.

    Zrzut ekranu przedstawiający formularz Azure Portal umożliwiający dodanie źródła danych w regule zbierania danych.

  11. Wybierz pozycję Dodaj źródło danych , a następnie wybierz pozycję Przejrzyj i utwórz , aby przejrzeć szczegóły reguły zbierania danych i skojarzenia z zestawem maszyn wirtualnych.

  12. Wybierz pozycję Utwórz , aby utworzyć regułę zbierania danych.

Uwaga

Po utworzeniu reguły zbierania danych może upłynąć do 5 minut.

Filtrowanie zdarzeń przy użyciu zapytań XPath

Opłaty są naliczane za wszystkie dane zbierane w obszarze roboczym usługi Log Analytics. W związku z tym należy zbierać tylko potrzebne dane zdarzenia. Podstawowa konfiguracja w Azure Portal zapewnia ograniczoną możliwość filtrowania zdarzeń.

Porada

Aby zapoznać się ze strategiami zmniejszania kosztów usługi Azure Monitor, zobacz Optymalizacja kosztów i Usługa Azure Monitor.

Aby określić więcej filtrów, użyj konfiguracji niestandardowej i określ ścieżkę XPath, która filtruje zdarzenia, których nie potrzebujesz. Wpisy XPath są zapisywane w formularzu LogName!XPathQuery. Na przykład można zwrócić tylko zdarzenia z dziennika zdarzeń aplikacji o identyfikatorze zdarzenia 1035. Dla XPathQuery tych zdarzeń będzie .*[System[EventID=1035]] Ponieważ chcesz pobrać zdarzenia z dziennika zdarzeń aplikacji, ścieżka XPath jest Application!*[System[EventID=1035]]

Wyodrębnianie zapytań XPath z Podgląd zdarzeń systemu Windows

W systemie Windows można użyć Podgląd zdarzeń do wyodrębnienia zapytań XPath, jak pokazano na zrzutach ekranu.

Podczas wklejania zapytania XPath do pola na ekranie Dodawanie źródła danych , jak pokazano w kroku 5, należy dołączyć kategorię typu dziennika, a następnie wykrzyknik (!).

Zrzut ekranu przedstawiający kroki tworzenia zapytania XPath w Podgląd zdarzeń systemu Windows.

Porada

Możesz użyć polecenia cmdlet Get-WinEvent programu PowerShell z parametrem , FilterXPath aby najpierw przetestować ważność zapytania XPath na maszynie. Poniższy skrypt przedstawia przykład:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • W poprzednim poleceniu cmdlet wartość parametru -LogName jest początkową częścią zapytania XPath do wykrzyknika (!). Pozostała część zapytania XPath przechodzi do parametru $XPath .
  • Jeśli skrypt zwraca zdarzenia, zapytanie jest prawidłowe.
  • Jeśli zostanie wyświetlony komunikat "Nie znaleziono zdarzeń spełniających określone kryteria wyboru", zapytanie może być prawidłowe, ale na komputerze lokalnym nie ma pasujących zdarzeń.
  • Jeśli zostanie wyświetlony komunikat "Określone zapytanie jest nieprawidłowe", składnia zapytania jest nieprawidłowa.

Przykłady użycia niestandardowej ścieżki XPath do filtrowania zdarzeń:

Opis XPath
Zbieranie tylko zdarzeń systemowych o identyfikatorze zdarzenia = 4648 System!*[System[EventID=4648]]
Zbieranie zdarzeń dziennika zabezpieczeń z identyfikatorem zdarzenia = 4648 i nazwą procesu consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Zbierz wszystkie zdarzenia krytyczne, błędy, ostrzeżenia i informacje z dziennika zdarzeń systemu z wyjątkiem identyfikatora zdarzenia = 6 (sterownik załadowany) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Zbierz wszystkie zdarzenia zabezpieczeń powodzenia i niepowodzenia z wyjątkiem zdarzenia o identyfikatorze 4624 (pomyślne logowanie) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Uwaga

Aby uzyskać listę ograniczeń programu XPath obsługiwanych przez dziennik zdarzeń systemu Windows, zobacz Ograniczenia XPath 1.0.
Na przykład można użyć funkcji "position", "Band" i "timediff" w zapytaniu, ale inne funkcje, takie jak "starts-with" i "contains" nie są obecnie obsługiwane.

Następne kroki