Korzystanie z rozwiązania Service Map na platformie Azure
Mapa usługi automatycznie odnajduje składniki aplikacji w systemach Windows i Linux oraz mapuje komunikację między usługami. Za pomocą usługi Service Map można wyświetlać serwery jako połączone systemy dostarczające usługi krytyczne. Usługa Service Map przedstawia połączenia między serwerami, procesami, opóźnieniem połączenia przychodzącego i wychodzącego oraz portami w dowolnej architekturze połączonej z protokołem TCP. Nie jest wymagana żadna konfiguracja inna niż instalacja agenta.
Ważne
Usługa Service Map zostanie wycofana 30 września 2025 r. Aby monitorować połączenia między serwerami, procesami, opóźnieniami połączeń przychodzących i wychodzących oraz portami w dowolnej architekturze połączonej z protokołem TCP, przed tą datą należy przeprowadzić migrację do szczegółowych informacji o maszynie wirtualnej usługi Azure Monitor .
W tym artykule opisano sposób wdrażania i używania usługi Service Map. Wymagania wstępne rozwiązania są następujące:
- Obszar roboczy usługi Log Analytics w obsługiwanym regionie.
- Agent usługi Log Analytics zainstalowany na komputerze z systemem Windows lub serwerze z systemem Linux połączonym z tym samym obszarem roboczym, za pomocą którego włączono rozwiązanie.
- Agent zależności zainstalowany na komputerze z systemem Windows lub serwerze z systemem Linux.
Uwaga
Jeśli już wdrożono usługę Service Map, możesz teraz również wyświetlać mapy w szczegółowych informacjach o maszynie wirtualnej, która zawiera więcej funkcji monitorowania kondycji i wydajności maszyny wirtualnej. Aby dowiedzieć się więcej, zobacz Omówienie szczegółowych informacji o maszynie wirtualnej. Aby dowiedzieć się więcej o różnicach między rozwiązaniem Service Map i funkcją mapowania szczegółowych informacji maszyny wirtualnej, zobacz często zadawane pytania.
Logowanie do platformy Azure
Zaloguj się w witrynie Azure Portal.
Włączanie mapy usługi
Włącz rozwiązanie Service Map z Azure Marketplace. Możesz też użyć procesu opisanego w temacie Dodawanie rozwiązań do monitorowania z galerii rozwiązań.
Zainstaluj agenta zależności w systemie Windows lub zainstaluj agenta zależności w systemie Linux na każdym komputerze, na którym chcesz pobrać dane. Agent zależności może monitorować połączenia z bezpośrednimi sąsiadami, więc może nie być potrzebny agent na każdym komputerze.
Uzyskaj dostęp do mapy usługi w Azure Portal z obszaru roboczego usługi Log Analytics. Wybierz opcję Starsze rozwiązania w okienku po lewej stronie.
Z listy rozwiązań wybierz pozycję ServiceMap (workspaceName). Na stronie Omówienie rozwiązania Service Map wybierz kafelek Podsumowanie mapy usług .
.
Przypadki użycia: Określanie zależności procesów IT
Odnajdywanie
Usługa Service Map automatycznie tworzy wspólną mapę referencyjną zależności między serwerami, procesami i usługami innych firm. Odnajduje i mapuje wszystkie zależności PROTOKOŁU TCP. Identyfikuje on połączenia niespodziewane, zdalne systemy innych firm, od których zależysz, oraz zależności od tradycyjnych ciemnych obszarów sieci, takich jak usługa Active Directory. Usługa Service Map wykrywa nieudane połączenia sieciowe, które próbują wykonać zarządzane systemy. Te informacje ułatwiają identyfikowanie potencjalnych błędów konfiguracji serwera, awarii usługi i problemów z siecią.
Zarządzanie zdarzeniami
Usługa Service Map pomaga wyeliminować odgadnięcie izolacji problemów, pokazując, jak systemy są połączone i wpływają na siebie nawzajem. Oprócz identyfikowania nieudanych połączeń pomaga zidentyfikować nieprawidłowo skonfigurowane moduły równoważenia obciążenia, zaskakujące lub nadmierne obciążenie usług krytycznych oraz nieautoryzowanych klientów, takich jak maszyny deweloperskie rozmawiające z systemami produkcyjnymi. Korzystając ze zintegrowanych przepływów pracy z Change Tracking, można również sprawdzić, czy zdarzenie zmiany na maszynie zaplecza lub usłudze wyjaśnia główną przyczynę zdarzenia.
Kontrola migracji
Korzystając z usługi Service Map, można efektywnie planować, przyspieszać i weryfikować migracje platformy Azure, aby zapewnić, że nic nie zostało pozostawione i nie występują awarie niespodziewane. Możesz:
- Odkryj wszystkie wzajemnie zależne systemy, które muszą być migrowane razem.
- Ocena konfiguracji i pojemności systemu.
- Określ, czy uruchomiony system nadal obsługuje użytkowników, czy jest kandydatem do likwidacji zamiast migracji.
Po zakończeniu przenoszenia możesz sprawdzić obciążenie klienta i tożsamość, aby sprawdzić, czy systemy testowe i klienci łączą się. Jeśli występują problemy z planowaniem podsieci i definicjami zapory, połączenia w mapach w usłudze Service Map wskazują systemy, które wymagają łączności.
Ciągłość działalności biznesowej
Jeśli używasz usługi Azure Site Recovery i potrzebujesz pomocy w zdefiniowaniu sekwencji odzyskiwania dla środowiska aplikacji, usługa Service Map może automatycznie pokazać, jak systemy opierają się na sobie. Te informacje pomagają zapewnić niezawodność planu odzyskiwania.
Wybierając krytyczny serwer lub grupę i wyświetlając swoich klientów, można określić, które systemy frontonu mają być odzyskiwane po przywróceniu i udostępnieniu serwera. Z drugiej strony, patrząc na zależności zaplecza krytycznych serwerów, można zidentyfikować systemy do odzyskania przed przywróceniem systemów koncentracji uwagi.
Zarządzanie poprawkami
Usługa Service Map zwiększa wykorzystanie oceny aktualizacji systemu, pokazując, które inne zespoły i serwery zależą od usługi. Dzięki temu można je powiadomić z wyprzedzeniem przed usunięciem systemów w celu stosowania poprawek. Usługa Service Map zwiększa również zarządzanie poprawkami, pokazując, czy usługi są dostępne i prawidłowo połączone po ich poprawce i ponownym uruchomieniu.
Omówienie mapowania
Agenci usługi Service Map zbierają informacje o wszystkich procesach połączonych z protokołem TCP na serwerze, na którym są instalowani. Zbierają również szczegółowe informacje o połączeniach przychodzących i wychodzących dla każdego procesu.
Z listy w okienku po lewej stronie możesz wybrać maszyny lub grupy, które mają agentów usługi Service Map, aby wizualizować zależności w określonym zakresie czasu. Zależności maszyny koncentrują się na określonej maszynie. Pokazują wszystkie maszyny, które są bezpośrednimi klientami TCP lub serwerami tej maszyny. Mapy grup maszyn pokazują zestawy serwerów i ich zależności.
Maszyny można rozszerzyć na mapie, aby pokazać uruchomione grupy procesów i procesy z aktywnymi połączeniami sieciowymi w wybranym zakresie czasu. Po rozwinięciu maszyny zdalnej z agentem usługi Service Map w celu wyświetlenia szczegółów procesu są wyświetlane tylko te procesy, które komunikują się z maszyną fokusową.
Liczba maszyn frontonu bez agenta łączących się z maszyną fokusu jest wskazywana po lewej stronie procesów, z którymi się łączą. Jeśli maszyna fokusu wykonuje połączenie z maszyną zaplecza, która nie ma agenta, serwer zaplecza jest uwzględniony w grupie portów serwera. Ta grupa obejmuje również inne połączenia z tym samym numerem portu.
Domyślnie mapy w usłudze Service Map pokazują informacje o zależnościach z ostatnich 30 minut. Kontrolki czasu w lewym górnym rogu umożliwiają wykonywanie zapytań dotyczących historycznych zakresów czasu do jednej godziny, aby zobaczyć, jak zależności wyglądały w przeszłości. Możesz na przykład zobaczyć, jak wyglądały podczas zdarzenia lub przed zmianą. Dane usługi Service Map są przechowywane przez 30 dni w płatnych obszarach roboczych i przez 7 dni w bezpłatnych obszarach roboczych.
Znaczki stanu i kolorowanie obramowania
W dolnej części każdego serwera na mapie może pojawić się lista znaczków stanu, które przekazują informacje o stanie serwera. Znaczki wskazują, że istnieją istotne informacje dotyczące serwera z jednej z integracji rozwiązań.
Wybranie wskaźnika spowoduje przejście bezpośrednio do szczegółów stanu w okienku po prawej stronie. Obecnie dostępne znaczki stanu obejmują alerty, usługę Service Desk, zmiany, zabezpieczenia i Aktualizacje.
W zależności od ważności znaczków stanu obramowania węzłów maszyny mogą być kolorem czerwonym (krytycznym), żółtym (ostrzeżeniem) lub niebieskim (informacyjnym). Kolor reprezentuje najcięższy stan każdego z znaczków stanu. Szare obramowanie wskazuje węzeł, który nie ma wskaźników stanu.
Grupy procesów
Grupy procesów łączą procesy skojarzone z typowym produktem lub usługą w grupie procesów. Po rozwinięciu węzła maszyny będą wyświetlane autonomiczne procesy wraz z grupami procesów. Jeśli połączenie przychodzące lub wychodzące z procesem w grupie procesów nie powiodło się, połączenie jest wyświetlane jako nieudane dla całej grupy procesów.
Grupy maszyn
Grupy maszyn umożliwiają wyświetlanie map wyśrodkowanych wokół zestawu serwerów, a nie tylko jednego. W ten sposób można zobaczyć wszystkie elementy członkowskie wielowarstwowego klastra aplikacji lub serwera na jednej mapie.
Użytkownicy wybierają serwery należące do grupy razem i wybierają nazwę grupy. Następnie możesz wyświetlić grupę ze wszystkimi procesami i połączeniami. Można go również wyświetlić tylko przy użyciu procesów i połączeń, które bezpośrednio odnoszą się do innych członków grupy.
Tworzenie grupy maszyn
Aby utworzyć grupę:
Wybierz maszynę lub maszyny, które mają być na liście Maszyny , a następnie wybierz pozycję Dodaj do grupy.
Wybierz pozycję Utwórz nową i nadaj grupie nazwę.
Uwaga
Grupy maszyn są ograniczone do 10 serwerów.
Wyświetlanie grupy
Po utworzeniu niektórych grup można je wyświetlić.
Wybierz kartę Grupy.
Wybierz nazwę grupy, aby wyświetlić mapę dla tej grupy maszyn.
Maszyny należące do grupy są opisane w kolorze białym na mapie.
Rozwiń grupę, aby wyświetlić listę maszyn tworzących grupę maszyn.
Filtrowanie według procesów
Możesz przełączyć widok mapy, aby wyświetlić wszystkie procesy i połączenia w grupie lub tylko te, które bezpośrednio odnoszą się do grupy maszyn. Widok domyślny pokazuje wszystkie procesy.
Wybierz ikonę filtru nad mapą, aby zmienić widok.
Wybierz pozycję Wszystkie procesy , aby wyświetlić mapę ze wszystkimi procesami i połączeniami na każdej maszynie w grupie.
Aby utworzyć uproszczony widok, zmień widok, aby wyświetlić tylko procesy połączone z grupą. Następnie mapa jest zawężona, aby pokazać tylko te procesy i połączenia bezpośrednio połączone z innymi maszynami w grupie.
Dodawanie maszyn do grupy
Aby dodać maszyny do istniejącej grupy, zaznacz pola wyboru obok żądanych maszyn i wybierz pozycję Dodaj do grupy. Następnie wybierz grupę, do której chcesz dodać maszyny.
Usuwanie maszyn z grupy
Na liście Grupy rozwiń nazwę grupy, aby wyświetlić listę maszyn w grupie maszyn. Wybierz menu wielokropka obok maszyny, którą chcesz usunąć, i wybierz pozycję Usuń.
Usuwanie lub zmienianie nazwy grupy
Wybierz menu wielokropka obok nazwy grupy na liście Grupy .
Ikony ról
Niektóre procesy pełnią określone role na maszynach, takich jak serwery internetowe, serwery aplikacji i bazy danych. Mapowanie usługi umożliwia dodawanie adnotacji do procesów i pól maszyn z ikonami ról, które ułatwiają błyskawiczne identyfikowanie roli odgrywanej przez proces lub serwer.
| Ikona roli | Description |
|---|---|
 |
Serwer sieci Web |
 |
Serwer aplikacji |
 |
Serwer bazy danych |
 |
Serwer LDAP |
 |
Serwer SMB |
Nieudane połączenia
W mapie usługi połączenia nieudane są wyświetlane w mapach dla procesów i komputerów. Kreskowana czerwona linia wskazuje, że system kliencki nie dociera do procesu lub portu.
Połączenia, które zakończyły się niepowodzeniem, są zgłaszane z dowolnego systemu z wdrożonym agentem usługi Service Map, jeśli ten system jest próbą nieudanego połączenia. Usługa Service Map mierzy ten proces, obserwując gniazda TCP, które nie mogą nawiązać połączenia. Ten błąd może wynikać z zapory, błędnej konfiguracji klienta lub serwera albo niedostępności usługi zdalnej.
Zrozumienie nieudanych połączeń może pomóc w rozwiązywaniu problemów, walidacji migracji, analizie zabezpieczeń i ogólnej zrozumieniu architektury. Połączenia, które zakończyły się niepowodzeniem, są czasami nieszkodliwe, ale często wskazują bezpośrednio na problem. Środowisko trybu failover może nagle stać się niemożliwe do osiągnięcia lub dwie warstwy aplikacji mogą nie rozmawiać po migracji do chmury.
Grupy klientów
Grupy klientów to pola na mapie reprezentujące maszyny klienckie, które nie mają agentów zależności. Pojedyncza grupa klientów reprezentuje klientów dla pojedynczego procesu lub maszyny.
Aby wyświetlić adresy IP serwerów w grupie klienta, wybierz grupę. Zawartość grupy znajduje się w okienku Właściwości grupy klienta .
Grupy portów serwera
Grupy portów serwera to pola reprezentujące porty serwera na serwerach, które nie mają agentów zależności. Pole zawiera port serwera i liczbę serwerów z połączeniami z tym portem. Rozwiń pole, aby wyświetlić poszczególne serwery i połączenia. Jeśli w polu znajduje się tylko jeden serwer, zostanie wyświetlona nazwa lub adres IP.
Menu kontekstowe
Wybierz wielokropek (...) w prawym górnym rogu dowolnego serwera, aby wyświetlić menu kontekstowe dla tego serwera.
Załaduj mapę serwera
Wybierz pozycję Załaduj mapę serwera , aby przejść do nowej mapy z wybranym serwerem jako nową maszyną fokusu.
Pokaż linki samodzielne
Wybierz pozycję Pokaż łącza własne , aby ponownie narysować węzeł serwera, w tym wszystkie linki samodzielne, które są połączeniami TCP, które uruchamiają i kończą się na procesach w ramach serwera. Jeśli są wyświetlane linki samodzielne, polecenie menu zmieni się na Ukryj linki samodzielne , aby można było je wyłączyć.
Podsumowanie komputera
Okienko Podsumowanie komputera zawiera omówienie systemu operacyjnego serwera, liczby zależności i danych z innych rozwiązań. Takie dane obejmują metryki wydajności, bilety pomocy technicznej, śledzenie zmian, zabezpieczenia i aktualizacje.
Właściwości komputera i procesu
Po nawigowaniu po mapie usługi możesz wybrać maszyny i procesy, aby uzyskać więcej kontekstu na temat ich właściwości. Maszyny zawierają informacje o nazwie DNS, adresach IPv4, pojemności procesora CPU i pamięci, typie maszyny wirtualnej, systemie operacyjnym i wersji, czasie ostatniego ponownego rozruchu oraz identyfikatorach ich agentów pakietu OMS i usługi Service Map.
Szczegóły procesu można zebrać na podstawie metadanych systemu operacyjnego dotyczących uruchamiania procesów. Szczegóły obejmują nazwę procesu, opis procesu, nazwę użytkownika i domenę (w systemie Windows), nazwę firmy, nazwę produktu, wersję produktu, katalog roboczy, wiersz polecenia i czas rozpoczęcia procesu.
Okienko Podsumowanie procesu zawiera więcej informacji na temat łączności procesu, w tym powiązanych portów, połączeń przychodzących i wychodzących oraz połączeń niepomyślnie.
Integracja alertów
Usługa Service Map integruje się z alertami platformy Azure, aby wyświetlić wyzwolone alerty dla wybranego serwera w wybranym zakresie czasu. Na serwerze jest wyświetlana ikona, jeśli istnieją bieżące alerty, a w okienku Alerty maszynowe są wyświetlane alerty .
Aby włączyć usługę Service Map w celu wyświetlania odpowiednich alertów, utwórz regułę alertu uruchamianą dla określonego komputera. Aby utworzyć odpowiednie alerty:
- Dołącz klauzulę do grupowania według komputerów. Przykładem jest interwał komputera 1 minuta.
- Wybierz opcję alertu na podstawie miary metryki.
Integracja zdarzeń dziennika
Usługa Service Map integruje się z wyszukiwaniem dzienników, aby wyświetlić liczbę wszystkich dostępnych zdarzeń dziennika dla wybranego serwera w wybranym zakresie czasu. Możesz wybrać dowolny wiersz na liście zdarzeń, aby przejść do przeszukiwania dzienników i wyświetlić poszczególne zdarzenia dziennika.
Integracja z usługą Service Desk
Integracja usługi Service Map z łącznikiem zarządzania usługami IT jest automatyczna, gdy oba rozwiązania są włączone i skonfigurowane w obszarze roboczym usługi Log Analytics. Integracja w usłudze Service Map ma etykietę "Service Desk". Aby uzyskać więcej informacji, zobacz Centrally manage ITSM work items using IT Service Management Connector (Centralne zarządzanie elementami roboczymi ITSM przy użyciu łącznika zarządzania usługami IT).
Okienko Machine Service Desk zawiera listę wszystkich zdarzeń zarządzania usługami IT dla wybranego serwera w wybranym zakresie czasu. Serwer wyświetla ikonę, jeśli istnieją bieżące elementy, a okienko usługi Machine Service Desk wyświetla je.
Aby otworzyć element w połączonym rozwiązaniu ITSM, wybierz pozycję Wyświetl element roboczy.
Aby wyświetlić szczegóły elementu w wyszukiwaniu dzienników, wybierz pozycję Pokaż w wyszukiwaniu dzienników. Metryki połączeń są zapisywane w dwóch nowych tabelach w usłudze Log Analytics.
integracja Change Tracking
Integracja usługi Service Map z Change Tracking jest automatyczna, gdy oba rozwiązania są włączone i skonfigurowane w obszarze roboczym usługi Log Analytics.
Okienko Machine Change Tracking zawiera listę wszystkich zmian wraz z najnowszymi informacjami wraz z linkiem umożliwiającym przechodzenie do szczegółów wyszukiwania w dzienniku, aby uzyskać więcej szczegółów.
Na poniższej ilustracji przedstawiono szczegółowy widok zdarzenia ConfigurationChange , które można zobaczyć po wybraniu pozycji Pokaż w usłudze Log Analytics.
Integracja z wydajnością
W okienku Wydajność maszyny są wyświetlane standardowe metryki wydajności dla wybranego serwera. Metryki obejmują wykorzystanie procesora CPU, wykorzystanie pamięci, bajty sieciowe wysłane i odebrane oraz listę najważniejszych procesów według bajtów sieci wysłanych i odebranych.
Aby wyświetlić dane wydajności, może być konieczne włączenie odpowiednich liczników wydajności usługi Log Analytics. Liczniki, które chcesz włączyć:
W systemie Windows:
- Procesor(*)\% czas procesora
- Pamięć\% zatwierdzonych bajtów w użyciu
- Karta sieciowa(*)\Bajty wysłane/s
- Karta sieciowa(*)\Odebrane bajty/s
W systemie Linux:
- Procesor(*)\% czas procesora
- Pamięć(*)\% używanej pamięci
- Karta sieciowa(*)\Bajty wysłane/s
- Karta sieciowa(*)\Odebrane bajty/s
Integracja z zabezpieczeniami
Integracja usługi Service Map z zabezpieczeniami i inspekcją jest automatyczna, gdy oba rozwiązania są włączone i skonfigurowane w obszarze roboczym usługi Log Analytics.
W okienku Zabezpieczenia maszyny są wyświetlane dane z rozwiązania Zabezpieczenia i inspekcja dla wybranego serwera. Okienko zawiera podsumowanie wszelkich zaległych problemów z zabezpieczeniami serwera w wybranym zakresie czasu. Wybranie dowolnego z problemów z zabezpieczeniami przechodzi do szczegółów wyszukiwania w dzienniku, aby uzyskać szczegółowe informacje o nich.
integracja Aktualizacje
Integracja usługi Service Map z rozwiązaniem Update Management jest automatyczna, gdy oba rozwiązania są włączone i skonfigurowane w obszarze roboczym usługi Log Analytics.
W okienku Maszyna Aktualizacje są wyświetlane dane z rozwiązania Update Management dla wybranego serwera. Okienko zawiera podsumowanie brakujących aktualizacji serwera w wybranym zakresie czasu.
Rekordy usługi Log Analytics
Usługa Service Map komputer i dane spisu procesów są dostępne do wyszukiwania w usłudze Log Analytics. Te dane można zastosować do scenariuszy obejmujących planowanie migracji, analizę pojemności, odnajdywanie i rozwiązywanie problemów z wydajnością na żądanie.
Jeden rekord jest generowany na godzinę dla każdego unikatowego komputera i procesu, oprócz rekordów generowanych podczas uruchamiania procesu lub komputera lub jest dołączany do usługi Service Map. Te rekordy mają właściwości w poniższych tabelach.
Pola i wartości w zdarzeniach ServiceMapComputer_CL są mapowania na pola zasobu Maszyny w interfejsie API usługi Azure Resource Manager ServiceMap. Pola i wartości w zdarzeniach ServiceMapProcess_CL są mapowania na pola zasobu Proces w interfejsie API usługi Azure Resource Manager ServiceMap. Pole ResourceName_s jest zgodne z polem nazwy w odpowiednim zasobie Resource Manager.
Uwaga
W miarę zwiększania się funkcji mapy usług te pola mogą ulec zmianie.
Właściwości generowane wewnętrznie umożliwiają identyfikowanie unikatowych procesów i komputerów:
- Komputer: użyj identyfikatora ResourceId lub ResourceName_s , aby jednoznacznie zidentyfikować komputer w obszarze roboczym usługi Log Analytics.
- Proces: użyj identyfikatora ResourceId , aby jednoznacznie zidentyfikować proces w obszarze roboczym usługi Log Analytics. ResourceName_s jest unikatowa w kontekście maszyny, na której działa proces MachineResourceName_s.
Ponieważ w określonym zakresie czasu może istnieć wiele rekordów dla określonego procesu i komputera, zapytania mogą zwracać więcej niż jeden rekord dla tego samego komputera lub procesu. Aby uwzględnić tylko najnowszy rekord, dodaj "| dedup ResourceId" go do zapytania.
Połączenia
Metryki połączeń są zapisywane w nowej tabeli w usłudze Log Analytics o nazwie VMConnection. Ta tabela zawiera informacje o połączeniach przychodzących i wychodzących dla maszyny. Metryki połączeń są również uwidocznione za pomocą interfejsów API, które zapewniają środki umożliwiające uzyskanie określonej metryki w przedziale czasu.
Połączenia TCP wynikające z akceptowania gniazda nasłuchiwania są przychodzące. Te połączenia utworzone przez połączenie z danym adresem IP i portem są wychodzące. Kierunek połączenia jest reprezentowany przez Direction właściwość , którą można ustawić na inbound wartość lub outbound.
Rekordy w tych tabelach są generowane na podstawie danych zgłaszanych przez agenta zależności. Każdy rekord reprezentuje obserwację w odstępie czasu jednej minuty. Właściwość TimeGenerated wskazuje początek interwału czasu. Każdy rekord zawiera informacje umożliwiające zidentyfikowanie odpowiedniej jednostki, czyli połączenia lub portu oraz metryki skojarzone z tą jednostką. Obecnie zgłaszane jest tylko działanie sieciowe, które odbywa się przy użyciu protokołu TCP za pośrednictwem protokołu IPv4.
Aby zarządzać kosztami i złożonością, rekordy połączeń nie reprezentują pojedynczych połączeń sieci fizycznych. Wiele połączeń sieci fizycznych jest pogrupowanych w połączenie logiczne, które zostanie odzwierciedlone w odpowiedniej tabeli. Rekordy w tabeli VMConnection reprezentują grupowanie logiczne, a nie poszczególne obserwowane połączenia fizyczne.
Połączenia sieci fizycznej, które współdzielą tę samą wartość dla następujących atrybutów w danym interwale jednominutowym, są agregowane w jeden rekord logiczny w programie VMConnection.
| Właściwość | Opis |
|---|---|
Direction |
Kierunek połączenia. Wartość jest przychodząca lub wychodząca. |
Machine |
Nazwa FQDN komputera. |
Process |
Tożsamość procesu lub grup procesów inicjowania lub akceptowania połączenia. |
SourceIp |
Adres IP źródła. |
DestinationIp |
Adres IP miejsca docelowego. |
DestinationPort |
Numer portu miejsca docelowego. |
Protocol |
Protokół używany do połączenia. Wartość to tcp. |
Aby uwzględnić wpływ grupowania, informacje o liczbie pogrupowanych połączeń fizycznych znajdują się w następujących właściwościach rekordu.
| Właściwość | Opis |
|---|---|
LinksEstablished |
Liczba połączeń sieci fizycznych, które zostały ustanowione w przedziale czasu raportowania. |
LinksTerminated |
Liczba połączeń sieci fizycznych, które zostały przerwane w przedziale czasu raportowania. |
LinksFailed |
Liczba połączeń sieci fizycznych, które zakończyły się niepowodzeniem w przedziale czasu raportowania. Te informacje są obecnie dostępne tylko dla połączeń wychodzących. |
LinksLive |
Liczba połączeń sieci fizycznych otwartych na końcu okna czasu raportowania. |
Metryki
Oprócz metryk liczby połączeń informacje o ilości danych wysłanych i odebranych w określonym połączeniu logicznym lub porcie sieciowym są również zawarte w następujących właściwościach rekordu.
| Właściwość | Opis |
|---|---|
BytesSent |
Łączna liczba bajtów wysłanych w przedziale czasu raportowania. |
BytesReceived |
Łączna liczba bajtów, które zostały odebrane w przedziale czasu raportowania. |
Responses |
Liczba odpowiedzi zaobserwowanych w przedziale czasu raportowania. |
ResponseTimeMax |
Największy czas odpowiedzi w milisekundach zaobserwowany w przedziale czasu raportowania. Jeśli nie ma wartości, właściwość jest pusta. |
ResponseTimeMin |
Najmniejszy czas odpowiedzi w milisekundach zaobserwowany w przedziale czasu raportowania. Jeśli nie ma wartości, właściwość jest pusta. |
ResponseTimeSum |
Suma wszystkich czasów odpowiedzi w milisekundach zaobserwowanych w przedziale czasu raportowania. Jeśli nie ma żadnej wartości, właściwość jest pusta |
Trzeci typ zgłaszanych danych to czas odpowiedzi. Jak długo obiekt wywołujący wydaje oczekiwanie na wysłanie żądania przez połączenie, które ma zostać przetworzone i na które odpowiada zdalny punkt końcowy?
Zgłaszany czas odpowiedzi to szacowanie rzeczywistego czasu odpowiedzi podstawowego protokołu aplikacji. Jest on obliczany przy użyciu heurystyki na podstawie obserwacji przepływu danych między źródłem a docelowym końcem połączenia sieciowego fizycznego.
Koncepcyjnie czas odpowiedzi to różnica między czasem ostatniego bajtu żądania, który opuszcza nadawcę, a czasem, kiedy ostatni bajt odpowiedzi wróci do niego. Te dwa znaczniki czasu służą do oznaczania zdarzeń żądania i odpowiedzi na określone połączenie fizyczne. Różnica między nimi reprezentuje czas odpowiedzi pojedynczego żądania.
W tej pierwszej wersji tej funkcji algorytm jest przybliżeniem, które może pracować z różnym stopniem sukcesu w zależności od rzeczywistego protokołu aplikacji używanego dla określonego połączenia sieciowego. Na przykład bieżące podejście sprawdza się w przypadku protokołów opartych na żądaniach, takich jak HTTP/HTTPS. Jednak takie podejście nie działa z protokołami jednokierunkowymi ani opartymi na kolejkach komunikatów.
Oto kilka ważnych kwestii, które należy wziąć pod uwagę:
- Jeśli proces akceptuje połączenia na tym samym adresie IP, ale za pośrednictwem wielu interfejsów sieciowych, zostanie zgłoszony oddzielny rekord dla każdego interfejsu.
- Rekordy z wieloznacznymi adresami IP nie będą zawierać żadnych działań. Są one uwzględniane w celu reprezentowania faktu, że port na maszynie jest otwarty dla ruchu przychodzącego.
- Aby zmniejszyć szczegółowość i ilość danych, rekordy z wieloznacznym adresem IP zostaną pominięte, gdy istnieje pasujący rekord (dla tego samego procesu, portu i protokołu) z określonym adresem IP. Po pominięciu
IsWildcardBindrekordu IP z symbolem wieloznacznymi właściwość rekordu z określonym adresem IP zostanie ustawiona naTrue.wartość To ustawienie oznacza, że port jest uwidoczniony za pośrednictwem każdego interfejsu maszyny raportowania. - Porty powiązane tylko z określonym interfejsem mają
IsWildcardBindustawioną wartośćFalse.
Nazewnictwo i klasyfikacja
Dla wygody adres IP zdalnego końca połączenia znajduje się we RemoteIp właściwości . W przypadku połączeń przychodzących RemoteIp wartość jest taka sama jak SourceIp, natomiast w przypadku połączeń wychodzących jest taka sama jak DestinationIp. Właściwość RemoteDnsCanonicalNames reprezentuje nazwy kanoniczne DNS zgłaszane przez maszynę dla .RemoteIp Właściwości RemoteDnsQuestions i RemoteClassification są zarezerwowane do użytku w przyszłości.
Geolokalizacja
VmConnection zawiera również informacje o geolokalizacji dla zdalnego końca każdego rekordu połączenia w następujących właściwościach rekordu.
| Właściwość | Opis |
|---|---|
RemoteCountry |
Nazwa kraju/regionu hostowania RemoteIp. Przykładem jest Stany Zjednoczone. |
RemoteLatitude |
Szerokość geograficzna lokalizacji geograficznej. Przykładem jest 47,68. |
RemoteLongitude |
Długość geograficzna geolokalizacji. Przykładem jest -122.12. |
Złośliwy adres IP
Każda RemoteIp właściwość w tabeli VMConnection jest sprawdzana pod kątem zestawu adresów IP ze znanymi złośliwymi działaniami. Jeśli element RemoteIp zostanie zidentyfikowany jako złośliwy, następujące właściwości zostaną wypełnione (są puste, gdy adres IP nie jest uznawany za złośliwy) w następujących właściwościach rekordu.
| Właściwość | Opis |
|---|---|
MaliciousIp |
Adres RemoteIp . |
IndicatorThreadType |
Wykryto wskaźnik zagrożenia jest jedną z następujących wartości: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA lub Watchlist. |
Description |
Opis zaobserwowanego zagrożenia. |
TLPLevel |
Poziom TLP (Traffic Light Protocol) jest jedną z zdefiniowanych wartości: Biały, Zielony, Bursztynowy, Czerwony. |
Confidence |
Wartości to 0–100. |
Severity |
Wartości to 0–5, gdzie 5 jest najpoważniejsze, a 0 nie jest poważne. Wartość domyślna to 3. |
FirstReportedDateTime |
Przy pierwszym zgłoszeniu wskaźnika przez dostawcę. |
LastReportedDateTime |
Ostatni raz wskaźnik był widoczny przez Interflow. |
IsActive |
Wskazuje, że wskaźniki są dezaktywowane z wartością True lub False . |
ReportReferenceLink |
Linki do raportów związanych z daną możliwością obserwacji. |
AdditionalInformation |
Zawiera więcej informacji o zaobserwowanym zagrożeniu, jeśli ma to zastosowanie. |
rekordy ServiceMapComputer_CL
Rekordy z typem ServiceMapComputer_CL mają dane spisu dla serwerów z agentami usługi Service Map. Te rekordy mają właściwości podane w poniższej tabeli.
| Właściwość | Opis |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
Unikatowy identyfikator maszyny w obszarze roboczym |
ResourceName_s |
Unikatowy identyfikator maszyny w obszarze roboczym |
ComputerName_s |
Nazwa FQDN komputera |
Ipv4Addresses_s |
Lista adresów IPv4 serwera |
Ipv6Addresses_s |
Lista adresów IPv6 serwera |
DnsNames_s |
Tablica nazw DNS |
OperatingSystemFamily_s |
Windows lub Linux |
OperatingSystemFullName_s |
Pełna nazwa systemu operacyjnego |
Bitness_s |
Bitowość maszyny (32-bitowa lub 64-bitowa) |
PhysicalMemory_d |
Pamięć fizyczna w MB |
Cpus_d |
Liczba procesorów CPU |
CpuSpeed_d |
Szybkość procesora CPU w MHz |
VirtualizationState_s |
nieznany, fizyczny, wirtualny, hypervisor |
VirtualMachineType_s |
hyperv, vmware i tak dalej |
VirtualMachineNativeMachineId_g |
Identyfikator maszyny wirtualnej przypisany przez funkcję hypervisor |
VirtualMachineName_s |
Nazwa maszyny wirtualnej |
BootTime_t |
Czas rozruchu |
rekordy typu ServiceMapProcess_CL
Rekordy z typem ServiceMapProcess_CL mają dane spisu dla procesów połączonych z protokołem TCP na serwerach z agentami usługi Service Map. Te rekordy mają właściwości podane w poniższej tabeli.
| Właściwość | Opis |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
Unikatowy identyfikator procesu w obszarze roboczym |
ResourceName_s |
Unikatowy identyfikator procesu na maszynie, na której jest uruchomiony |
MachineResourceName_s |
Nazwa zasobu maszyny |
ExecutableName_s |
Nazwa pliku wykonywalnego procesu |
StartTime_t |
Godzina rozpoczęcia puli procesów |
FirstPid_d |
Pierwszy identyfikator PID w puli procesów |
Description_s |
Opis procesu |
CompanyName_s |
Nazwa firmy |
InternalName_s |
Nazwa wewnętrzna |
ProductName_s |
Nazwa produktu |
ProductVersion_s |
Wersja produktu |
FileVersion_s |
Wersja pliku |
CommandLine_s |
Wiersz polecenia |
ExecutablePath _s |
Ścieżka do pliku wykonywalnego |
WorkingDirectory_s |
Katalog roboczy |
UserName |
Konto, na którym jest wykonywany proces |
UserDomain |
Domena, w której jest wykonywany proces |
Przykładowe wyszukiwania dzienników
Ta sekcja zawiera listę przykładów przeszukiwania dzienników.
Wyświetl listę wszystkich znanych maszyn
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Wyświetlanie listy pojemności pamięci fizycznej wszystkich zarządzanych komputerów
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Wyświetlanie listy nazw komputerów, DNS, IP i systemu operacyjnego
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Znajdowanie wszystkich procesów za pomocą polecenia "sql" w wierszu polecenia
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Znajdowanie maszyny (najnowszy rekord) według nazwy zasobu
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Znajdowanie maszyny (najnowszego rekordu) według adresu IP
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Wyświetlanie listy wszystkich znanych procesów na określonym komputerze
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Wyświetl listę wszystkich komputerów z uruchomionym programem SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Wyświetlanie listy wszystkich unikatowych wersji produktu curl w moim centrum danych
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Tworzenie grupy komputerów wszystkich komputerów z systemem CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Podsumowywanie połączeń wychodzących z grupy maszyn
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
Interfejs API REST
Wszystkie dane serwera, procesu i zależności w usłudze Service Map są dostępne za pośrednictwem interfejsu API REST usługi Service Map.
Dane diagnostyczne i dane użycia
Firma Microsoft automatycznie zbiera dane użycia i wydajności za pomocą usługi Service Map. Firma Microsoft używa tych danych do zapewnienia i poprawy jakości, bezpieczeństwa i integralności usługi Service Map.
Aby zapewnić dokładne i wydajne możliwości rozwiązywania problemów, dane zawierają informacje o konfiguracji oprogramowania. Te informacje mogą być systemem operacyjnym i wersją, adresem IP, nazwą DNS i nazwą stacji roboczej. Firma Microsoft nie zbiera nazw, adresów ani innych informacji kontaktowych.
Aby uzyskać więcej informacji na temat zbierania i używania danych, zobacz Zasady zachowania poufności informacji w usługach online firmy Microsoft.
Następne kroki
Dowiedz się więcej na temat przeszukiwania dzienników w usłudze Log Analytics w celu pobrania danych zebranych przez usługę Service Map.
Rozwiązywanie problemów
Jeśli masz problemy z instalacją lub uruchamianiem usługi Service Map, ta sekcja może Ci pomóc. Jeśli nadal nie możesz rozwiązać problemu, skontaktuj się z pomoc techniczna firmy Microsoft.
Problemy z instalacją agenta zależności
W tej sekcji rozwiązano problemy z instalacją agenta zależności.
Instalator monituje o ponowne uruchomienie
Agent zależności zazwyczaj nie wymaga ponownego uruchomienia po instalacji ani usunięciu. W niektórych rzadkich przypadkach system Windows Server wymaga ponownego uruchomienia, aby kontynuować instalację. Ten problem występuje, gdy zależność, zwykle Microsoft Visual C++ biblioteki redystrybucyjnej, wymaga ponownego uruchomienia z powodu zablokowanego pliku.
Wyświetlany jest komunikat „Nie można zainstalować agenta zależności: Nie można zainstalować bibliotek środowiska uruchomieniowego programu Visual Studio (kod = [code_number])”
Program Microsoft Dependency Agent jest oparty na bibliotekach środowiska uruchomieniowego programu Microsoft Visual Studio. Jeśli podczas instalowania tych bibliotek wystąpi problem, jest wyświetlany komunikat.
Instalatory biblioteki środowiska uruchomieniowego tworzą dzienniki w folderze %LOCALAPPDATA%\temp. Plik to dd_vcredist_arch_yyyymmddhhmmss.log, gdzie arch to x86 lub amd64 i rrrrmmddhmmss jest datą i godziną (na podstawie zegara 24-godzinnego) podczas tworzenia dziennika. Dziennik zawiera szczegółowe informacje o problemie blokującym instalację.
Pierwszym działaniem, które może pomóc, jest zainstalowanie najnowszych bibliotek środowiska uruchomieniowego.
W poniższej tabeli wymieniono numery kodu i sugerowane rozwiązania.
| Kod | Description | Rozwiązanie |
|---|---|---|
| 0x17 | Instalator biblioteki wymaga aktualizacji systemu Windows, która nie została zainstalowana. | Zapoznaj się z najnowszym dziennikiem instalatora biblioteki. Jeśli po odwołaniu do Windows8.1-KB2999226-x64.msu znajduje się wiersz Error 0x80240017: Failed to execute MSU package, , nie masz wymagań wstępnych dotyczących instalowania aktualizacji KB2999226. Postępuj zgodnie z instrukcjami w sekcji wymagań wstępnych w artykule Uniwersalne środowisko uruchomieniowe języka C w systemie Windows . Aby zainstalować wymagania wstępne, może być konieczne wielokrotne uruchomienie Windows Update i ponowne uruchomienie.Uruchom ponownie Instalatora programu Microsoft Dependency Agent. |
Problemy po instalacji
W tej sekcji rozwiązano problemy po instalacji.
Serwer nie jest wyświetlany w usłudze Service Map
Jeśli instalacja agenta zależności zakończyła się pomyślnie, ale maszyna nie jest widoczna w rozwiązaniu Service Map:
Czy agent zależności został zainstalowany pomyślnie? Sprawdź, czy usługa jest zainstalowana i uruchomiona.
- Windows: wyszukaj usługę o nazwie Microsoft Dependency Agent.
- Linux: poszukaj uruchomionego procesu microsoft-dependency-agent.
Czy korzystasz z warstwy Bezpłatna usługi Log Analytics? Plan Bezpłatna pozwala na korzystanie z maksymalnie pięciu unikatowych maszyn w usłudze Service Map. Wszystkie kolejne maszyny nie będą wyświetlane w usłudze Service Map, nawet jeśli poprzednie pięć nie wysyła już danych.
Czy serwer wysyła dzienniki i dane wydajności do dzienników usługi Azure Monitor? Przejdź do katalogu Azure Monitor\Logs i uruchom następujące zapytanie dla komputera:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Czy w wynikach otrzymasz wiele zdarzeń? Czy są to świeże dane? Jeśli tak, Twój agent usługi Log Analytics działa prawidłowo i komunikuje się z obszarem roboczym. Jeśli nie, sprawdź agenta na maszynie. Zobacz Agent usługi Log Analytics na potrzeby rozwiązywania problemów z systemem Windows lub Agent usługi Log Analytics na potrzeby rozwiązywania problemów z systemem Linux.
Serwer jest wyświetlany w usłudze Service Map, ale nie ma procesów
Maszyna jest widoczna w usłudze Service Map, ale nie ma żadnych danych dotyczących przetwarzania ani połączenia. To zachowanie wskazuje, że agent zależności jest zainstalowany i uruchomiony, ale sterownik jądra nie został załadowany.
Sprawdź C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file system Windows lub /var/opt/microsoft/dependency-agent/log/service.log file linux. W ostatnich wierszach pliku powinna znajdować się odpowiedź, dlaczego nie załadowano jądra. Na przykład jądro może nie być obsługiwane w systemie Linux, jeśli zostało zaktualizowane.
Sugestie
Czy masz jakieś opinie dotyczące usługi Service Map lub tej dokumentacji? Zobacz naszą stronę User Voice, na której możesz sugerować funkcje lub głosować na istniejące sugestie.