Сбор данных с помощью агента Azure Monitor
Агент Azure Monitor (AMA) используется для сбора данных из виртуальных машин Azure, масштабируемых наборов виртуальных машин и серверов с поддержкой Arc. Правила сбора данных (DCR) определяют данные для сбора данных из агента и места отправки данных. В этой статье описывается, как использовать портал Azure для создания DCR для сбора различных типов данных и установки агента на всех компьютерах, которым требуется это.
Если вы не знакомы с Azure Monitor или имеете базовые требования к сбору данных, вы можете выполнить все ваши требования с помощью портал Azure и рекомендаций, приведенных в этой статье. Если вы хотите воспользоваться дополнительными функциями DCR, такими как преобразования, может потребоваться создать DCR с помощью других методов или изменить его после создания на портале. Вы также можете использовать различные методы для управления контроллерами домена и создания связей, если требуется развернуть интерфейс командной строки, PowerShell, шаблоны ARM или Политика Azure.
Примечание.
Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse.
Предупреждение
В следующих случаях могут собираться повторяющиеся данные, которые могут привести к дополнительным расходам.
- Создание нескольких контроллеров домена с одинаковым источником данных и связывание их с тем же агентом. Убедитесь, что вы фильтруете данные в контроллерах домена, чтобы каждый из них собирал уникальные данные.
- Создание DCR, которое собирает журналы безопасности и включает Sentinel для одних и того же агента. В этом случае вы можете собирать те же события в таблице событий и в таблице SecurityEvent.
- Использование агента Azure Monitor и устаревшего агента Log Analytics на одном компьютере. Ограничение повторяющихся событий только во время перехода с одного агента на другой.
Источники данных
В следующей таблице перечислены типы данных, которые в настоящее время можно собирать с помощью агента Azure Monitor, и места, куда можно отправить эти данные. Ссылка для каждой из них — это статья, описывающая сведения о настройке этого источника данных. Следуйте этой статье, чтобы создать DCR и назначить его ресурсам, а затем следуйте связанной статье, чтобы настроить источник данных.
| Источник данных | Description | ОС клиента | Назначения |
|---|---|---|---|
| События Windows | Сведения, отправленные в систему ведения журнала событий Windows, включая события sysmon. | Windows | Рабочая область Log Analytics |
| Счетчики производительности | Числовые значения, представляющие собой оценки производительности разных элементов операционной системы и рабочих нагрузок. | Windows Linux |
Метрики Azure Monitor (предварительная версия) Рабочая область Log Analytics |
| Syslog | Информация, отправляемая системой ведения журналов событий Linux. | Linux | Рабочая область Log Analytics |
| Текстовый журнал | Сведения, отправленные в текстовый файл журнала на локальном диске. | Windows Linux |
Рабочая область Log Analytics |
| Журнал JSON | Сведения, отправленные в файл журнала JSON на локальном диске. | Windows Linux |
Рабочая область Log Analytics |
| Журналы IIS | Журналы службы IIS с локального диска компьютеров Windows | Windows | Рабочая область Log Analytics |
Примечание.
Агент Azure Monitor также поддерживает оценку рекомендаций ПО SQL службы Azure, которая в настоящее время общедоступна. Дополнительные сведения см. в статье о настройке оценки рекомендаций с помощью агента Azure Monitor.
Необходимые компоненты
- Разрешения на создание объектов правила сбора данных в рабочей области.
- Дополнительные предварительные требования см. в статье, описывающей каждый источник данных.
Обзор
При создании DCR в портал Azure вы просматриваете ряд страниц, чтобы предоставить сведения, необходимые для сбора данных с указанных компьютеров. В следующей таблице описаны сведения, необходимые для каждой страницы.
| Раздел | Описание |
|---|---|
| Ресурсы | Компьютеры, которые будут использовать DCR. При добавлении компьютера в DCR он создает связь правил сбора данных (DCRA) между компьютером и DCR. Вы можете изменить DCR, чтобы добавить или удалить компьютеры после его создания. |
| Источник данных | Тип данных, собираемых с компьютера. Список доступных источников данных приведен выше в источниках данных. Каждый источник данных имеет собственные параметры конфигурации и потенциально необходимые условия, поэтому дополнительные сведения см. в отдельной статье. |
| Назначение | Назначение, в котором должны отправляться данные, собранные из источника данных. Если в DCR есть несколько источников данных, их можно отправлять в отдельные назначения, а данные из одного источника данных могут отправляться в несколько назначений. Дополнительные сведения о назначении, например таблице в рабочей области Log Analytics, см. в статье для каждого источника данных. |
Подробные инструкции по созданию DCR с помощью портал Azure см. в разделе "Создание правил сбора данных".
Проверка операции
Создав DCR и связав его с компьютером, вы можете убедиться, что агент работает и собирает данные, выполняя запросы в рабочей области Log Analytics.
Проверка операции агента
Убедитесь, что агент работает и правильно взаимодействует, выполнив следующий запрос в Log Analytics, чтобы проверить наличие записей в таблице Heartbeat . Запись должна отправляться в эту таблицу от каждого агента каждую минуту.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Убедитесь, что записи получены
Для установки агента и запуска новых или измененных контроллеров домена потребуется несколько минут. Затем можно убедиться, что записи получены из каждого из источников данных, проверив таблицу, в которую записывается каждая запись в рабочую область Log Analytics. Например, следующий запрос проверяет события Windows в таблице событий .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Устранение неполадок
Выполните следующие действия, если вы не собираете данные, которые вы ожидаете.
- Убедитесь, что агент установлен и запущен на компьютере.
- См. раздел "Устранение неполадок" статьи для источника данных, с которым у вас возникли проблемы.
- См. сведения о мониторинге и устранении неполадок сбора данных DCR в Azure Monitor , чтобы включить мониторинг для DCR.
- Просмотрите метрики, чтобы определить, собираются ли данные и удаляются ли строки.
- Просмотр журналов для выявления ошибок в коллекции данных.
Следующие шаги
- Сбор текстовых журналов с помощью агента Azure Monitor.
- Дополнительные сведения об агенте Azure Monitor.
- Подробнее о правилах сбора данных.