Tworzenie i edytowanie reguł zbierania danych (DCR) w usłudze Azure Monitor

Istnieje wiele metod tworzenia reguły zbierania danych (DCR) w usłudze Azure Monitor. W niektórych przypadkach usługa Azure Monitor utworzy kontroler domeny i zarządza nią zgodnie z ustawieniami skonfigurowanymi w witrynie Azure Portal. W innych przypadkach może być konieczne utworzenie własnych reguł DCR w celu dostosowania określonych scenariuszy.

W tym artykule opisano różne metody tworzenia i edytowania kontrolera domeny. Aby zapoznać się z zawartością samego kontrolera domeny, zobacz Struktura reguły zbierania danych w usłudze Azure Monitor.

Uprawnienia

Wymagane są następujące uprawnienia do tworzenia kontrolerów domeny i skojarzeń:

Rola wbudowana	Zakresy	Przyczyna
Współautor monitorowania	Subskrypcja i/lub Grupa zasobów i/lub Istniejący kontroler domeny	Utwórz lub edytuj reguły DCR, przypisz reguły do maszyny, wdróż skojarzenia.
Współautor maszyny wirtualnej Administrator zasobów połączonej maszyny platformy Azure	Maszyny wirtualne, zestawy skalowania maszyn wirtualnych Serwery z obsługą usługi Azure Arc	Wdrażanie rozszerzeń agenta na maszynie wirtualnej.
Dowolna rola obejmująca akcję Microsoft.Resources/deployments/*	Subskrypcja i/lub Grupa zasobów i/lub Istniejący kontroler domeny	Wdrażanie szablonów usługi Azure Resource Manager.

Zautomatyzowane metody tworzenia kontrolera domeny

W poniższej tabeli wymieniono metody tworzenia scenariuszy zbierania danych przy użyciu witryny Azure Portal, w której jest tworzona usługa DCR. W takich przypadkach nie trzeba bezpośrednio korzystać z modelu DCR.

Scenariusz	Zasoby	opis
Monitorowanie maszyny wirtualnej	Omówienie włączania szczegółowych informacji o maszynie wirtualnej	Po włączeniu szczegółowych informacji o maszynie wirtualnej agent usługi Azure Monitor jest instalowany, a kontroler domeny jest tworzony, który zbiera wstępnie zdefiniowany zestaw liczników wydajności. Nie należy modyfikować tego kontrolera domeny.
Analizy kontenerów	Włączanie szczegółowych informacji o kontenerze	Po włączeniu usługi Container Insights w klastrze Kubernetes zostanie zainstalowana konteneryzowana wersja agenta usługi Azure Monitor i zostanie utworzona funkcja DCR, która zbiera dane zgodnie z wybraną konfiguracją. Może być konieczne zmodyfikowanie tego kontrolera domeny w celu dodania przekształcenia.
Przekształcenie obszaru roboczego	Dodawanie przekształcenia w regule zbierania danych obszaru roboczego przy użyciu witryny Azure Portal	Utwórz przekształcenie dla dowolnej obsługiwanej tabeli w obszarze roboczym usługi Log Analytics. Przekształcenie jest definiowane w kontrolerze domeny, który jest następnie skojarzony z obszarem roboczym. Jest ona stosowana do wszystkich danych wysyłanych do tej tabeli ze starszego obciążenia, które nie korzysta już z kontrolera domeny.

Tworzenie reguły zbierania danych

Platforma Azure udostępnia scentralizowany plan konfiguracji zbierania danych oparty na chmurze dla maszyn wirtualnych, zestawów skalowania maszyn wirtualnych, maszyn lokalnych i metryk rozwiązania Prometheus z kontenerów.

W tym artykule opisano sposób tworzenia kontrolera domeny od podstaw. Istnieją inne rozwiązania do analizy, które udostępniają środowiska tworzenia dcR, takie jak Sentinel, szczegółowe informacje o maszynach wirtualnych i usługa Application Insights, które tworzą kontrolery domeny w ramach własnych przepływów pracy. Jakiś czas kontrolery domeny utworzone w tych elementach przez inne rozwiązanie mogą wydawać się sprzeczne. Istnieją trzy tabele, do których można wysyłać zdarzenia systemu Windows. Zdarzenia inspekcji zabezpieczeń usługi Sentinel z przejściem do pozycji SecurityEvents, zdarzenia łącznika WEF przejdź do tabeli WindowsEvent. Jeśli używasz kolekcji zdarzeń tymczasowych systemu Windows, wyniki przejdź do tabeli Zdarzenia.

Aby utworzyć regułę zbierania danych przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, interfejsu API lub szablonów usługi ARM, utwórz plik JSON, zaczynając od jednego z przykładowych kontrolerów domeny. Skorzystaj z informacji w temacie Struktura reguły zbierania danych w usłudze Azure Monitor , aby zmodyfikować plik JSON dla określonego środowiska i wymagań.

Ważne

Utwórz regułę zbierania danych w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub obszar roboczy usługi Azure Monitor. Regułę zbierania danych można skojarzyć z maszynami lub kontenerami z dowolnej subskrypcji lub grupy zasobów w dzierżawie. Aby wysyłać dane między dzierżawami, musisz najpierw włączyć usługę Azure Lighthouse.

Portal

W menu Monitor wybierz pozycję Reguły>zbierania danych Utwórz, aby otworzyć stronę w celu utworzenia nowej reguły zbierania danych.

Skonfiguruj ustawienia w każdym kroku kreatora, jak opisano poniżej.

Podstawy

Screen, element	opis
Nazwa reguły	Wprowadź nazwę reguły zbierania danych.
Subskrypcja	Skojarz regułę zbierania danych z subskrypcją.
Grupa zasobów	Skojarz regułę zbierania danych z grupą zasobów.
Region	Utwórz regułę zbierania danych w tym samym regionie co docelowy obszar roboczy usługi Log Analytics. Regułę zbierania danych można skojarzyć z maszynami z dowolnej subskrypcji lub grupy zasobów w dzierżawie.
Typ platformy	Wybierz pozycję Windows lub Linux lub Wszystkie, co umożliwia korzystanie zarówno z platform Windows, jak i Linux.
Punkt końcowy zbierania danych	Aby zbierać dane dziennika systemu Linux, dzienniki usług IIS, niestandardowe dzienniki tekstowe lub niestandardowe dzienniki JSON, wybierz istniejący punkt końcowy zbierania danych lub utwórz nowy punkt końcowy. Nie potrzebujesz punktu końcowego, aby zbierać liczniki wydajności i dzienniki zdarzeń systemu Windows. Na tej karcie można wybrać tylko punkt końcowy zbierania danych w tym samym regionie co reguła zbierania danych. Agent wysyła zebrane dane do tego punktu końcowego zbierania danych. Aby uzyskać więcej informacji, zobacz Składniki punktu końcowego zbierania danych.

Zasoby

Screen, element	opis
+ Dodaj zasoby	Skojarz maszyny wirtualne, zestawy skalowania maszyn wirtualnych i usługę Azure Arc dla serwerów z regułą zbierania danych. Witryna Azure Portal instaluje agenta usługi Azure Monitor na zasobach, które nie mają jeszcze zainstalowanego agenta.
Włączanie punktów końcowych zbierania danych	Jeśli monitorowana maszyna nie znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics, włącz punkty końcowe zbierania danych i wybierz punkt końcowy w regionie monitorowanej maszyny w celu zbierania danych dziennika systemu Linux, dzienników usług IIS, niestandardowych dzienników tekstowych lub niestandardowych dzienników JSON. Jeśli monitorowana maszyna znajduje się w tym samym regionie co docelowy obszar roboczy usługi Log Analytics lub jeśli zbierasz liczniki wydajności i dzienniki zdarzeń systemu Windows, nie wybieraj punktu końcowego zbierania danych na karcie Zasoby . Punkt końcowy zbierania danych na karcie Zasoby to punkt końcowy dostępu do konfiguracji, zgodnie z opisem w temacie Składniki punktu końcowego zbierania danych. Jeśli potrzebujesz izolacji sieci przy użyciu linków prywatnych, wybierz istniejące punkty końcowe z tego samego regionu dla odpowiednich zasobów lub utwórz nowy punkt końcowy.
Tożsamość rozszerzenia agenta	Użyj tożsamości zarządzanej przypisanej przez system lub wybierz istniejącą tożsamość przypisaną przez użytkownika do maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Typy tożsamości zarządzanych.

Zbieranie i dostarczanie

Na karcie Zbieranie i dostarczanie wybierz pozycję Dodaj źródło danych i skonfiguruj ustawienia na kartach Źródło i miejsce docelowe, jak opisano poniżej.

Screen, element	opis
Źródło danych	Wybierz typ źródła danych i zdefiniuj powiązane pola na podstawie wybranego typu źródła danych. Aby uzyskać więcej informacji na temat zbierania danych z różnych typów źródeł danych, zobacz Zbieranie danych za pomocą agenta usługi Azure Monitor
Lokalizacja docelowa	Dodaj co najmniej jedno miejsce docelowe dla każdego źródła. Możesz wybrać wiele miejsc docelowych tego samego lub różnych typów.

Przeglądanie i tworzenie

Przejrzyj szczegóły reguły zbierania danych i wybierz pozycję Utwórz , aby utworzyć regułę zbierania danych.

Uwaga

Wysyłanie danych do miejsc docelowych przy użyciu kreatora reguły zbierania danych może potrwać do 5 minut.

Interfejs wiersza polecenia

Użyj polecenia az monitor data-collection rule create, aby utworzyć kontroler domeny z pliku JSON przy użyciu interfejsu wiersza polecenia platformy Azure, jak pokazano w poniższym przykładzie.

az monitor data-collection rule create --location 'eastus' --resource-group 'my-resource-group' --name 'myDCRName' --rule-file 'C:\MyNewDCR.json' --description 'This is my new DCR'

Program PowerShell

Użyj polecenia cmdlet New-AzDataCollectionRule, aby utworzyć kontroler domeny z pliku JSON przy użyciu programu PowerShell, jak pokazano w poniższym przykładzie.

New-AzDataCollectionRule -Location 'east-us' -ResourceGroupName 'my-resource-group' -RuleName 'myDCRName' -RuleFile 'C:\MyNewDCR.json' -Description 'This is my new DCR'

Reguły zbierania danych

Akcja	Polecenie
Pobieranie reguł	Get-AzDataCollectionRule
Tworzenie reguły	New-AzDataCollectionRule
Aktualizowanie reguły	Update-AzDataCollectionRule
Usuń regułę	Remove-AzDataCollectionRule
Aktualizowanie tagów dla reguły	Update-AzDataCollectionRule

Skojarzenia reguł zbierania danych

Akcja	Polecenie
Pobieranie skojarzeń	Get-AzDataCollectionRuleAssociation
Tworzenie skojarzenia	New-AzDataCollectionRuleAssociation
Usuwanie skojarzenia	Remove-AzDataCollectionRuleAssociation

API

Użyj interfejsu API tworzenia kontrolera domeny, aby utworzyć kontroler domeny na podstawie pliku JSON. Możesz użyć dowolnej metody do wywołania interfejsu API REST, jak pokazano w poniższych przykładach.

$ResourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
$FilePath = ".\my-dcr.json"
$DCRContent = Get-Content $FilePath -Raw 
Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method PUT -Payload $DCRContent

ResourceId="/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionRules/my-dcr"
FilePath="my-dcr.json"
az rest --method put --url $ResourceId"?api-version=2022-06-01" --body @$FilePath

ARM

Zapoznaj się z poniższymi odwołaniami do definiowania kontrolerów domeny i skojarzeń w szablonie.

• Reguły zbierania danych
• Skojarzenia reguł zbierania danych

Użyj poniższego szablonu, aby utworzyć kontroler domeny przy użyciu informacji ze struktury reguły zbierania danych w usłudze Azure Monitor i przykładowych reguł zbierania danych (DCR) w usłudze Azure Monitor , aby zdefiniować element dcr-properties.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the Data Collection Rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the location in which to create the Data Collection Rule."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2021-09-01-preview",
            "properties": {
                "<dcr-properties>"
            }
        }
    ]
}

Skojarzenie dcR — maszyna wirtualna platformy Azure

Poniższy przykład tworzy skojarzenie między maszyną wirtualną platformy Azure i regułą zbierania danych.

Plik szablonu Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Plik szablonu usługi ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Plik parametrów

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Skojarzenie DCR — serwer z obsługą usługi Arc

Poniższy przykład tworzy skojarzenie między serwerem z obsługą usługi Azure Arc i regułą zbierania danych.

Plik szablonu Bicep

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Plik szablonu usługi ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Plik parametrów

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-hybrid-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Edytowanie kontrolera domeny

Aby edytować kontroler domeny, można użyć dowolnej metody opisanej w poprzedniej sekcji, aby utworzyć kontroler domeny przy użyciu zmodyfikowanej wersji JSON.

Jeśli musisz pobrać kod JSON dla istniejącego kontrolera domeny, możesz skopiować go z widoku JSON dla kontrolera domeny w witrynie Azure Portal. Można go również pobrać przy użyciu wywołania interfejsu API, jak pokazano w poniższym przykładzie programu PowerShell.

$ResourceId = "<ResourceId>" # Resource ID of the DCR to edit
$FilePath = "<FilePath>" # Store DCR content in this file
$DCR = Invoke-AzRestMethod -Path ("$ResourceId"+"?api-version=2022-06-01") -Method GET
$DCR.Content | ConvertFrom-Json | ConvertTo-Json -Depth 20 | Out-File -FilePath $FilePath

Aby zapoznać się z samouczkiem, który przeprowadzi cię przez proces pobierania, a następnie edytowania istniejącego kontrolera domeny, zobacz Samouczek: edytowanie reguły zbierania danych (DCR).

Następne kroki

• Przeczytaj o szczegółowej strukturze reguły zbierania danych
• Uzyskiwanie szczegółów dotyczących przekształceń w regule zbierania danych