Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Monitor автоматически собирает метрики узлов и журналы действий из виртуальных машин с поддержкой Azure и Arc. Чтобы собирать метрики и журналы из клиентской операционной системы и ее рабочих нагрузок, необходимо создать правила сбора данных (DCR), которые указывают, что нужно собирать и куда отправлять. В этой статье описывается, как с помощью портала Azure создать DCR для сбора различных типов общих данных от клиентов виртуальных машин.
Замечание
Если у вас есть основные требования к сбору данных, вы сможете соответствовать всем вашим требованиям, используя рекомендации в этой статье и связанные статьи по каждому источнику данных. Портал Azure можно использовать для создания и редактирования DCR, а агент Azure Monitor автоматически устанавливается на каждой виртуальной машине, которая еще не имеет ее.
Если вы хотите воспользоваться более сложными функциями, такими как преобразования или создавать и назначать контроллеры домена с помощью других методов, таких как Azure CLI или Политика Azure, см. статью "Установка агента Azure Monitor и создание контроллеров домена в Azure Monitor". Вы также можете просмотреть образцы правил сбора данных (DCR), созданных этим процессом, в примерах DCR для виртуальных машин в Azure Monitor.
Предпосылки
- Рабочая область Log Analytics, в которой у вас есть, по крайней мере, права участника, чтобы собирать данные, которые вы настраиваете. Если у вас еще нет рабочей области Log Analytics, см. статью "Создание рабочей области Log Analytics ".
- Разрешения на создание объектов DCR в рабочей области.
- Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse.
- Дополнительные предварительные требования см. в подробной статье по каждому источнику данных .
Это важно
Если рабочая область Log Analytics связана с периметром безопасности сети, см. статью "Настройка Azure Monitor с периметром безопасности сети " для настройки рабочей области Log Analytics.
Создание правила сбора данных
В портале Azure, в меню Монитор выберите Правила сбора данных, > чтобы открыть область создания DCR.
Вкладка "Основные сведения" содержит основные сведения о DCR.
| Настройки | Описание |
|---|---|
| Имя правила | Имя для DCR. Название должно быть описательным, что помогает определить правило. |
| Подписка | Подписка для сохранения DCR. Подписка не обязательно должна быть той же, что и у виртуальных машин. |
| Ресурс | Группа ресурсов для хранения DCR. Группа ресурсов не должна быть той же группой ресурсов, что и виртуальные машины. |
| Регион | Регион Azure для хранения DCR. Регион должен быть тем же, что и любая рабочая область Log Analytics или Azure Monitor, используемая в качестве назначения DCR. Если у вас есть рабочие области в разных регионах, создайте несколько контроллеров домена для связывания с одинаковым набором компьютеров. |
| Тип платформы | Указывает тип источников данных, доступных для DCR, Windows или Linux. Ни один из них не допускает обоих вариантов. 1 |
| Конечная точка сбора данных | Указывает конечную точку сбора данных (DCE), используемую для сбора данных. DCE требуется только в том случае, если используется источник данных, который требует его. Эти источники данных будут серыми на вкладке "Добавить источник данных ", если DCE не выбран. Для большинства реализаций можно использовать один DCE для каждой рабочей области Log Analytics. Дополнительные сведения о создании DCE см. в статье "Создание конечной точки сбора данных ". |
1 Этот параметр задает kind атрибут в DCR. Вы можете задать другие значения для этого атрибута, но значения недоступны для выбора на портале.
Добавить ресурсы
На панели "Ресурсы" выберите "Добавить ресурсы ", чтобы добавить виртуальные машины, которые будут использовать DCR. Вам еще не нужно добавлять виртуальные машины, так как после создания и добавления и удаления ресурсов можно обновить DCR. Если выбрать включение конечных точек сбора данных на вкладке "Ресурсы" , можно выбрать DCE для каждой виртуальной машины. Это необходимо только в том случае, если вы используете приватные ссылки Azure Monitor. В противном случае не выбирайте этот параметр.
Замечание
Невозможно добавить масштабируемый набор виртуальных машин (VMSS) с гибкой организацией в ресурс для DCR. Вместо этого добавьте каждую виртуальную машину, включенную в VMSS.
Это важно
При добавлении ресурсов в DCR в портале Azure по умолчанию предлагается включение управляемого удостоверения, назначаемого системой, для добавляемых ресурсов. Для существующих приложений, если управляемое удостоверение, назначаемое пользователем, уже установлено и если вы не указываете это удостоверение при добавлении ресурса в DCR через портал, то автоматически используется назначенное системой удостоверение, применяемое DCR.
Добавление источников данных
На панели "Сбор и доставка " нажмите кнопку "Добавить источник данных ", чтобы добавить и настроить источники данных и назначения для DCR. Вы можете выбрать: добавить несколько источников данных в один DCR либо создать несколько DCR с различными источниками данных. DCR может содержать до 10 источников данных, а виртуальная машина может использовать любое количество DCR.
| Настройки | Описание |
|---|---|
| Источник данных | Выберите тип источника данных и укажите значения полей на основе выбранного типа источника данных. Дополнительные сведения о настройке каждого типа источника данных см. в таблице ниже. |
| Назначение | Добавьте одно или несколько назначений для каждого источника данных. Некоторые источники данных допускают только одно подключение. Если требуется несколько, можно создать другой DCR. Хотя вы можете выбрать несколько назначений одного типа для некоторых источников данных, помните, что это приведет к отправке повторяющихся данных на каждый из них, что приведет к дополнительным затратам. См. сведения о каждом типе данных и различных поддерживаемых ими направлениях. |
В следующей таблице перечислены типы данных, которые можно собирать с клиента виртуальной машины с помощью Azure Monitor и где можно отправлять эти данные. См. связанную статью, чтобы узнать, как настроить данный источник данных.
| Источник данных | Описание | ОС клиента | Назначения |
|---|---|---|---|
| События Windows | Сведения, отправляемые в систему ведения журналов событий Windows, включая события sysmon | Виндоус | Рабочая область Log Analytics |
| Счетчики производительности | Числовые значения, измеряющие производительность различных аспектов операционной системы и рабочих нагрузок | Виндоус Линукс |
Метрики Azure Monitor (предварительная версия) Рабочая область Log Analytics |
| Системный журнал | Сведения, отправленные в систему ведения журнала событий Linux | Линукс | Рабочая область Log Analytics |
| Текстовый журнал | Сведения, отправленные в текстовый файл журнала на локальном диске | Виндоус Линукс |
Рабочая область Log Analytics |
| Лог JSON | Сведения, отправленные в файл журнала JSON на локальном диске | Виндоус Линукс |
Рабочая область Log Analytics |
| журналы IIS | Журналы службы IIS с локального диска компьютеров Windows | Виндоус | Рабочая область Log Analytics |
Проверка операции
После создания DCR данные могут быть отправлены в конечные пункты назначения в течение 5 минут. Вы можете убедиться, что агент работает и что данные собираются, запрашивая данные в рабочей области Log Analytics.
Проверка операции агента
Убедитесь, что агент работает и правильно взаимодействует с Azure Monitor, проверив пульс виртуальной машины. Когда агент правильно взаимодействует с Azure Monitor, он отправляет запись в таблицу Heartbeat каждую минуту.
На виртуальной машине на портале Azure выберите журналы, а затем нажмите кнопку Таблицы. В категории "Виртуальные машины" нажмите "Выполнить" рядом с Heartbeat. Если агент правильно взаимодействует, вы увидите записи пульса для виртуальной машины.
Убедитесь, что записи получены
Убедившись, что агент правильно взаимодействует, убедитесь, что ожидаемые данные собираются. Используйте тот же процесс, что и выше, чтобы просмотреть данные в таблице для настроенного источника данных. В следующей таблице перечислены категории и таблицы для каждого источника данных.
| Источник данных | Категория | Таблица |
|---|---|---|
| События Windows | Виртуальные машины | Событие |
| Счетчики производительности | Виртуальные машины | Перф |
| Системный журнал | Виртуальные машины | Системный журнал |
| журналы IIS | Виртуальные машины | W3CIISLog |
| Текстовый журнал | Пользовательские журналы | <Имя настраиваемой таблицы> |
| Лог JSON | Пользовательские журналы | <Имя настраиваемой таблицы> |
Предупреждение о повторяющихся данных
Будьте осторожны со следующими сценариями, которые могут привести к сбору повторяющихся данных, которые увеличат расходы на выставление счетов:
- Создание нескольких контроллеров домена с одинаковым источником данных и связывание их с одной виртуальной машиной. Если у вас есть контроллеры домена с тем же источником данных, убедитесь, что они настроены для фильтрации уникальных данных.
- Создание DCR, который собирает журналы безопасности и активирует Microsoft Sentinel для тех же виртуальных машин. В этом случае одни и те же события будут отправляться в таблицу событий (Azure Monitor) и в таблице SecurityEvent (Microsoft Sentinel).
- Создание DCR для виртуальной машины, которая также выполняет устаревший агент Log Analytics на том же компьютере. Оба могут собирать идентичные данные и хранить их в одной таблице. Следуйте инструкциям в статье "Миграция в агент Azure Monitor" из агента Log Analytics , чтобы перейти из устаревшего агента.
См. статью "Управление сопоставлениями правил сбора данных" в Azure Monitor, чтобы перечислить правила сбора данных (DCR), связанные с виртуальной машиной на портале Azure. Для перечисления всех правил сбора данных (DCR) для виртуальной машины можно также использовать следующую команду PowerShell:
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
Связанный контент
- Подробнее об агенте Azure Monitor.
- Подробнее о правилах сбора данных.