Udostępnij za pośrednictwem


Tworzenie i edytowanie reguł zbierania danych (DCR) w usłudze Azure Monitor

Istnieje wiele metod tworzenia reguły zbierania danych (DCR) w usłudze Azure Monitor. W niektórych przypadkach usługa Azure Monitor utworzy kontroler domeny i zarządza nią zgodnie z ustawieniami skonfigurowanymi w witrynie Azure Portal. W innych przypadkach może być konieczne utworzenie własnych reguł DCR w celu dostosowania określonych scenariuszy.

W tym artykule opisano różne metody tworzenia i edytowania kontrolera domeny. Aby zapoznać się z zawartością samego kontrolera domeny, zobacz Struktura reguły zbierania danych w usłudze Azure Monitor.

Uprawnienia

Wymagane są następujące uprawnienia do tworzenia kontrolerów domeny i skojarzeń:

Rola wbudowana Zakresy Przyczyna
Współautor monitorowania
  • Subskrypcja i/lub
  • Grupa zasobów i/lub
  • Istniejący kontroler domeny
Utwórz lub edytuj reguły DCR, przypisz reguły do maszyny, wdróż skojarzenia.
Współautor maszyny wirtualnej
Administrator zasobów połączonej maszyny platformy Azure
  • Maszyny wirtualne, zestawy skalowania maszyn wirtualnych
  • Serwery z obsługą usługi Azure Arc
Wdrażanie rozszerzeń agenta na maszynie wirtualnej.
Dowolna rola obejmująca akcję Microsoft.Resources/deployments/*
  • Subskrypcja i/lub
  • Grupa zasobów i/lub
  • Istniejący kontroler domeny
Wdrażanie szablonów usługi Azure Resource Manager.

Zautomatyzowane metody tworzenia kontrolera domeny

W poniższej tabeli wymieniono metody tworzenia scenariuszy zbierania danych przy użyciu witryny Azure Portal, w której jest tworzona usługa DCR. W takich przypadkach nie trzeba bezpośrednio korzystać z modelu DCR.

Scenariusz Zasoby opis
Monitorowanie maszyny wirtualnej Omówienie włączania szczegółowych informacji o maszynie wirtualnej Po włączeniu szczegółowych informacji o maszynie wirtualnej agent usługi Azure Monitor jest instalowany, a kontroler domeny jest tworzony, który zbiera wstępnie zdefiniowany zestaw liczników wydajności. Nie należy modyfikować tego kontrolera domeny.
Analizy kontenerów Włączanie szczegółowych informacji o kontenerze Po włączeniu usługi Container Insights w klastrze Kubernetes zostanie zainstalowana konteneryzowana wersja agenta usługi Azure Monitor i zostanie utworzona funkcja DCR, która zbiera dane zgodnie z wybraną konfiguracją. Może być konieczne zmodyfikowanie tego kontrolera domeny w celu dodania przekształcenia.
Przekształcenie obszaru roboczego Dodawanie przekształcenia w regule zbierania danych obszaru roboczego przy użyciu witryny Azure Portal Utwórz przekształcenie dla dowolnej obsługiwanej tabeli w obszarze roboczym usługi Log Analytics. Przekształcenie jest definiowane w kontrolerze domeny, który jest następnie skojarzony z obszarem roboczym. Jest ona stosowana do wszystkich danych wysyłanych do tej tabeli ze starszego obciążenia, które nie korzysta już z kontrolera domeny.

Tworzenie reguły zbierania danych

Platforma Azure udostępnia scentralizowany plan konfiguracji zbierania danych oparty na chmurze dla maszyn wirtualnych, zestawów skalowania maszyn wirtualnych, maszyn lokalnych i metryk rozwiązania Prometheus z kontenerów.

W tym artykule opisano sposób tworzenia kontrolera domeny od podstaw. Istnieją inne rozwiązania do analizy, które udostępniają środowiska tworzenia dcR, takie jak Sentinel, szczegółowe informacje o maszynach wirtualnych i usługa Application Insights, które tworzą kontrolery domeny w ramach własnych przepływów pracy. Jakiś czas kontrolery domeny utworzone w tych elementach przez inne rozwiązanie mogą wydawać się sprzeczne. Istnieją trzy tabele, do których można wysyłać zdarzenia systemu Windows. Zdarzenia inspekcji zabezpieczeń usługi Sentinel z przejściem do pozycji SecurityEvents, zdarzenia łącznika WEF przejdź do tabeli WindowsEvent. Jeśli używasz kolekcji zdarzeń tymczasowych systemu Windows, wyniki przejdź do tabeli Zdarzenia.

Aby utworzyć regułę zbierania danych przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, interfejsu API lub szablonów usługi ARM, utwórz plik JSON, zaczynając od jednego z przykładowych kontrolerów domeny. Skorzystaj z informacji w temacie Struktura reguły zbierania danych w usłudze Azure Monitor , aby zmodyfikować plik JSON dla określonego środowiska i wymagań.

Ważne

Utwórz regułę zbierania danych w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub obszar roboczy usługi Azure Monitor. Regułę zbierania danych można skojarzyć z maszynami lub kontenerami z dowolnej subskrypcji lub grupy zasobów w dzierżawie. Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.

W menu Monitor wybierz pozycję Reguły>zbierania danych Utwórz, aby otworzyć stronę w celu utworzenia nowej reguły zbierania danych.

Zrzut ekranu przedstawiający przycisk Utwórz na ekranie Reguły zbierania danych.

Skonfiguruj ustawienia w każdym kroku kreatora, jak opisano poniżej.

Podstawy

Zrzut ekranu przedstawiający krok Podstawy ekranu Reguła zbierania danych.

Screen, element opis
Nazwa reguły Wprowadź nazwę reguły zbierania danych.
Subskrypcja Skojarz regułę zbierania danych z subskrypcją.
Grupa zasobów Skojarz regułę zbierania danych z grupą zasobów.
Region Utwórz regułę zbierania danych w tym samym regionie co docelowy obszar roboczy usługi Log Analytics. Regułę zbierania danych można skojarzyć z maszynami z dowolnej subskrypcji lub grupy zasobów w dzierżawie.
Typ platformy Wybierz pozycję Windows lub Linux lub Wszystkie, co umożliwia korzystanie zarówno z platform Windows, jak i Linux.
Punkt końcowy zbierania danych Aby zbierać dane dziennika systemu Linux, dzienniki usług IIS, niestandardowe dzienniki tekstowe lub niestandardowe dzienniki JSON, wybierz istniejący punkt końcowy zbierania danych lub utwórz nowy punkt końcowy.
Nie potrzebujesz punktu końcowego, aby zbierać liczniki wydajności i dzienniki zdarzeń systemu Windows.
Na tej karcie można wybrać tylko punkt końcowy zbierania danych w tym samym regionie co reguła zbierania danych. Agent wysyła zebrane dane do tego punktu końcowego zbierania danych. Aby uzyskać więcej informacji, zobacz Składniki punktu końcowego zbierania danych.

Zasoby

Zrzut ekranu przedstawiający kartę Zasoby na ekranie Reguła zbierania danych.

Screen, element opis
+ Dodaj zasoby Skojarz maszyny wirtualne, zestawy skalowania maszyn wirtualnych i usługę Azure Arc dla serwerów z regułą zbierania danych. Witryna Azure Portal instaluje agenta usługi Azure Monitor na zasobach, które nie mają jeszcze zainstalowanego agenta.
Włączanie punktów końcowych zbierania danych Jeśli monitorowana maszyna nie znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics, włącz punkty końcowe zbierania danych i wybierz punkt końcowy w regionie monitorowanej maszyny w celu zbierania danych dziennika systemu Linux, dzienników usług IIS, niestandardowych dzienników tekstowych lub niestandardowych dzienników JSON.
Jeśli monitorowana maszyna znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub jeśli zbierasz liczniki wydajności i dzienniki zdarzeń systemu Windows, nie wybieraj punktu końcowego zbierania danych na karcie Zasoby .
Punkt końcowy zbierania danych na karcie Zasoby to punkt końcowy dostępu do konfiguracji, zgodnie z opisem w temacie Składniki punktu końcowego zbierania danych.
Jeśli potrzebujesz izolacji sieci przy użyciu linków prywatnych, wybierz istniejące punkty końcowe z tego samego regionu dla odpowiednich zasobów lub utwórz nowy punkt końcowy.
Tożsamość rozszerzenia agenta Użyj tożsamości zarządzanej przypisanej przez system lub wybierz istniejącą tożsamość przypisaną przez użytkownika do maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Typy tożsamości zarządzanych.

Zbieranie i dostarczanie

Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych i skonfiguruj ustawienia na kartach Źródło i miejsce docelowe, jak opisano poniżej.

Zrzut ekranu przedstawiający kartę Zbieranie i dostarczanie kreatora reguły zbierania danych. Na tej karcie zdefiniujesz źródło danych, z którego agent usługi Azure Monitor zbiera dane i skąd agent wysyła dane.

Screen, element opis
Źródło danych Wybierz typ źródła danych i zdefiniuj powiązane pola na podstawie wybranego typu źródła danych. Aby uzyskać więcej informacji na temat zbierania danych z różnych typów źródeł danych, zobacz Zbieranie danych za pomocą agenta usługi Azure Monitor
Lokalizacja docelowa Dodaj co najmniej jedno miejsce docelowe dla każdego źródła. Możesz wybrać wiele miejsc docelowych tego samego lub różnych typów.

Przeglądanie i tworzenie

Przejrzyj szczegóły reguły zbierania danych i wybierz pozycję Utwórz , aby utworzyć regułę zbierania danych.

Uwaga

Wysyłanie danych do miejsc docelowych przy użyciu kreatora reguły zbierania danych może potrwać do 5 minut.

Edytowanie kontrolera domeny

Aby edytować kontroler domeny, można użyć dowolnej metody opisanej w poprzedniej sekcji, aby utworzyć kontroler domeny przy użyciu zmodyfikowanej wersji JSON.

Jeśli musisz pobrać kod JSON dla istniejącego kontrolera domeny, możesz skopiować go z widoku JSON dla kontrolera domeny w witrynie Azure Portal. Można go również pobrać przy użyciu wywołania interfejsu API, jak pokazano w poniższym przykładzie programu PowerShell.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Aby zapoznać się z samouczkiem, który przeprowadzi cię przez proces pobierania, a następnie edytowania istniejącego kontrolera domeny, zobacz Samouczek: edytowanie reguły zbierania danych (DCR).

Następne kroki