Solução Wire Data 2.0 (versão prévia) no Azure Monitor (desativada)

Símbolo do Wire Data

Observação

A solução Wire Data foi substituída pela solução de insights de VM e de Mapa do Serviço. Ambas usam o agente do Log Analytics e o Dependency Agent para coletar dados de conexão de rede no Azure Monitor.

O suporte para a solução Wire Data será encerrado em 31 de março de 2022. Até a data de desativação, os clientes existentes que usam a solução Wire Data 2.0 (versão prévia) podem continuar a usá-la.

Os clientes novos e existentes devem instalar a solução de insights de VM ou de Mapa do Serviço. O conjunto de dados do Mapa coletado é comparável ao conjunto de dados do Wire Data 2.0 (versão prévia). Os insights da VM incluem o conjunto de dados do Mapa do Serviço juntamente com recursos e dados de desempenho adicionais para análise. Ambas as ofertas têm conexões com o Microsoft Sentinel.

Os dados de transferência são dados consolidados de rede e de desempenho coletados de computadores conectados por Windows e conectados por Linux com o agente do Log Analytics, incluindo aqueles monitorados pelo Operations Manager em seu ambiente. Os dados de rede são combinados a seus outros dados de log para ajudá-lo a correlacionar dados.

Além do agente do Log Analytics, a solução Wire Data usa os Agentes de Dependência da Microsoft que você instala em computadores na infraestrutura de TI. Os Agentes de Dependência monitoram dados de rede enviados de e para seus computadores para os níveis de rede 2 e 3 no modelo OSI, incluindo os diversos protocolos e portas usados. Em seguida, os dados são enviados para o Azure Monitor usando agentes.

Migrar para o Mapa do Serviço ou para os insights da VM do Azure Monitor

Em muitos casos, vemos que os clientes geralmente têm tanto o Wire Data 2.0 (versão prévia) quanto a solução de insights da VM ou de Mapa do Serviço já habilitada nas mesmas VMs. Isso significa que você tem a oferta de substituição habilitada na sua VM. Você pode simplesmente remover a solução Wire Data 2.0 (versão prévia) do seu workspace do Log Analytics.

Se você tiver VMs que têm apenas o Wire Data 2.0 (versão prévia) habilitado, você poderá integrá-las à solução de insights da VM ou de Mapa do Serviço e remover a solução Wire Data 2.0 (versão prévia) do seu workspace do Log Analytics.

Migrar as suas consultas para a tabela VMConnection dos insights de VM do Azure Monitor

Agentes que fornecem dados

Consulta do Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000

Consulta do Mapa do Serviço e insights da VM

VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000

Endereços IP dos agentes que fornecem os dados

Consulta do Wire Data 2.0

WireData
| summarize AggregatedValue = count() by LocalIP

Consulta do Mapa do Serviço e insights da VM

VMComputer
| distinct Computer, tostring(Ipv4Addresses)

Todas as comunicações de saída por endereço IP remoto

Consulta do Wire Data 2.0

WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP

Consulta do Mapa do Serviço e insights da VM

VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp

Bytes recebidos por nome de protocolo

Consulta do Wire Data 2.0

WireData 
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName

Consulta do Mapa do Serviço e insights da VM

VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol

Volume de tráfego de rede (em bytes) por processo

Consulta do Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName

Consulta do Mapa do Serviço e insights da VM

VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName

Mais exemplos de consultas

Consulte a documentação da pesquisa de logs dos insights da VM e a documentação do alerta de insights da VM para obter consultas de exemplo adicionais.

Desinstalar a solução Wire Data 2.0

Para desinstalar o Wire Data 2.0 você simplesmente precisa remover a solução dos Workspaces do Log Analytics. Isso resultará no seguinte:

  • O pacote de gerenciamento do Wire Data será removido das VMs que estão conectadas ao Workspace.
  • O tipo de dados do Wire Data não aparecerá mais no seu Workspace

Siga estas instruções para remover a solução Wire Data.

Observação

Se você tiver a solução de Mapa do Serviço ou de insights de VM no seu workspace, o pacote de gerenciamento não será removido, pois essas soluções também usarão esse pacote de gerenciamento.

Pacotes de gerenciamento do Wire Data 2.0

Quando o Wire Data é ativado em um espaço de trabalho do Log Analytics, um pacote de gerenciamento de 300 KB é enviado a todos os servidores do Windows nesse espaço de trabalho. Se você estiver usando agentes do System Center Operations Manager em um grupo de gerenciamento conectado, o pacote de gerenciamento do Monitor de Dependência será implantado do System Center Operations Manager. Se os agentes forem conectados diretamente, o Azure Monitor fornecerá o pacote de gerenciamento.

O pacote de gerenciamento chama-se Microsoft.IntelligencePacks.ApplicationDependencyMonitor. Ele é gravado em: %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. A fonte de dados usada pelo pacote de gerenciamento é: %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<AutoGeneratedID>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.

Desinstalar o Dependency Agent

Observação

Se você planeja substituir o Wire Data pelo Mapa do Serviço ou os insights de VM, você não deve remover o Dependency Agent.

Use as seções a seguir para ajudar você a remover o Dependency Agent.

Desinstalar o Dependency Agent no Windows

O Agente de Dependência para Windows pode ser desinstalado por um administrador por meio do Painel de Controle.

Um administrador também pode executar %Programfiles%\Microsoft Agent\Uninstall.exe para desinstalar o Microsoft Dependency Agent.

Desinstalar o Dependency Agent no Linux

Para desinstalar completamente o Dependency Agent do Linux, você precisa remover o agente propriamente dito e o conector, que é instalado automaticamente com o agente. Você pode desinstalar ambos usando o seguinte comando único:

rpm -e dependency-agent dependency-agent-connector

Usando a solução Wire Data 2.0

Na página Visão geral do seu espaço de trabalho do Log Analytics no Portal do Azure, clique no bloco Wire Data 2.0 para abrir o painel do Wire Data. O painel inclui as folhas na tabela a seguir. Cada folha lista os 10 principais itens que correspondem aos critérios da folha para o escopo e o intervalo de tempo especificados. É possível executar uma pesquisa de logs que retorna todos os registros clicando em Ver todos na parte inferior da folha ou clicando no cabeçalho de folha.

Folha Descrição
Agentes capturando tráfego de rede Mostra o número de agentes que estão capturando tráfego de rede e lista os 10 principais computadores que estão capturando tráfego. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by Computer | take 500000. Clique em um computador na lista para executar uma pesquisa de logs retornando o número total de bytes capturados.
Sub-redes locais Mostra o número de sub-redes locais que os agentes descobriram. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by LocalSubnet que liste todas as sub-redes com o número de bytes enviados em cada uma. Clique em uma sub-rede na lista para executar uma pesquisa de logs retornando o número total de bytes enviados pela sub-rede.
Protocolos no nível do aplicativo Mostra o número de protocolos no nível de aplicativo em uso, conforme detectados pelos agentes. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by ApplicationProtocol. Clique em um protocolo para executar uma pesquisa de logs retornando o número total de bytes enviados usando o protocolo.

Painel do Wire Data

Você pode usar a folha Agentes capturando tráfego de rede para determinar quanta largura de banda de rede está sendo consumida pelos computadores. Essa folha pode ajudá-lo a localizar facilmente o computador chattiest no seu ambiente. Esses computadores podem estar sobrecarregados, operando de modo anormal ou usando mais recursos de rede que o normal.

Captura de tela dos Agentes que exibe a folha de tráfego de rede no painel do Wire Data 2.0 mostrando a largura de banda de rede consumida pelos computadores.

De modo parecido, você pode usar a folha Sub-Redes Locais para determinar quanto tráfego de rede está passando pelas sub-redes. Os usuários geralmente definem sub-redes em torno de áreas críticas para seus aplicativos. Esta folha oferece uma exibição dessas áreas.

Captura de tela da folha Sub-redes Locais no painel do Wire Data 2.0 mostrando a largura de banda de rede consumida pelo LocalSubnet.

A folha Protocolos em Nível de Aplicativo é interessante porque é útil saber quais protocolos estão em uso. Por exemplo, você pode esperar que SSH não esteja em uso no seu ambiente de rede. Exibir informações disponíveis na folha pode rapidamente confirmar ou v. refutar suas expectativas.

Captura de tela da folha Protocolos de nível de Aplicativo no painel do Wire Data 2.0 mostrando a largura de banda de rede consumida pelos protocolos.

Também é útil saber se o tráfego do protocolo está aumentando ou diminuindo ao longo do tempo. Por exemplo, se a quantidade de dados que está sendo transmitida por um aplicativo estiver aumentando, isso pode ser algo a que você deve estar atento ou pode considerar importante.

Dados de entrada

A coleta de dados coleta metadados sobre o tráfego de rede usando os agentes que você habilitou. Cada agente envia dados aproximadamente a cada 15 segundos.

Dados de saída

Um registro com um tipo de WireData é criado para cada tipo de dados de entrada. Os registros do WireData têm as propriedades mostradas na tabela a seguir:

Propriedade Descrição
Computador Nome do computador em que os dados foram coletados
TimeGenerated Hora do registro
LocalIP Endereço IP do computador local
SessionState Conectado ou desconectado
ReceivedBytes Quantidade de bytes recebidos
ProtocolName Nome do protocolo de rede usado
IPVersion Versão IP
Direção Entrada ou saída
MaliciousIP Endereço IP de uma fonte mal-intencionada conhecida
Severidade Gravidade de suspeita de malware
RemoteIPCountry País/região do endereço IP remoto
ManagementGroupName Nome do grupo de gerenciamento do Operations Manager
SourceSystem Fonte na qual o dados foram coletados
SessionStartTime Hora de início da sessão
SessionEndTime Hora de término da sessão
LocalSubnet Sub-rede na qual o dados foram coletados
LocalPortNumber Número da porta local
RemoteIP Endereço IP remoto usado pelo computador remoto
RemotePortNumber Número da porta usada pelo endereço IP remoto
SessionID Um valor exclusivo que identifica a sessão de comunicação entre os dois endereços IP
SentBytes Número de bytes enviados
TotalBytes Número total de bytes enviados durante a sessão
ApplicationProtocol Tipo de protocolo de rede usado
ProcessID ID de processo do Windows
ProcessName Nome de arquivo e caminho do processo
RemoteIPLongitude Valor de longitude do IP
RemoteIPLatitude Valor de latitude do IP

Próximas etapas

  • Confira Implantar insights de VM para requisitos e métodos que permitem o monitoramento das suas máquinas virtuais.
  • Pesquise nos logs para exibir registros detalhados da pesquisa de dados de transmissão.