Поделиться через


Миграция на агент Azure Monitor с агента Log Analytics

Агент Azure Monitor (AMA) заменяет агент Log Analytics, также известный как Microsoft Monitor Agent (MMA) и OMS, для компьютеров Windows и Linux, в Azure и средах, отличных от Azure, локальных и других облаков. Агент представляет упрощенный гибкий метод настройки сбора данных с помощью правил сбора данных (DCR). В этой статье описано, как реализовать успешную миграцию агента Log Analytics в агент Azure Monitor.

Миграция — это сложная задача. Начните планирование миграции в агент Azure Monitor с помощью сведений в этой статье в качестве руководства.

Внимание

Агент Log Analytics был прекращен 31 августа 2024 года. Это не относится к агенту MMA, подключенном исключительно к установке SCOM on-Prem.

Вы можете ожидать следующее при использовании агента MMA или OMS после 31 августа 2024 г.

  • Отправка данных: службы приема в облако постепенно сокращают поддержку агентов MMA, что может привести к снижению поддержки и потенциальных проблем совместимости для агентов MMA со временем. Прием для MMA будет неизменным до 1 февраля 2025 года.
  • Установка. Возможность установки устаревших агентов будет удалена с портала Azure, а политики установки для устаревших агентов будут удалены. Вы по-прежнему можете установить расширение агентов MMA, а также выполнить автономные установки.
  • Поддержка клиентов: вы не сможете получить поддержку проблем с устаревшим агентом.
  • Поддержка ОС: поддержка новых дистрибутивов Linux или Windows, включая пакеты обновления, не будет добавлена после отмены устаревших агентов.
  • Агент Log Analytics может сосуществовать с агентом Azure Monitor. Ожидается, что будут отображаться повторяющиеся данные, если оба агента собирают одни и те же данные.

 

Льготы

Используя агент Azure Monitor, вы получаете немедленные преимущества, как показано ниже:

Схема преимущества агента Azure Monitor на первый взгляд. Это описано ниже.

  • Экономия затрат с помощью правил сбора данных:
    • Включает целевую и детализированную сбор данных для компьютера или подмножества компьютеров по сравнению с подходом "все или ничего" устаревших агентов.
    • Позволяет фильтровать правила и преобразования данных, чтобы уменьшить общий объем передаваемых данных, что значительно снижает затраты на прием и хранение.
  • Безопасность и производительность
    • Улучшенная безопасность с помощью управляемых удостоверений и токенов Microsoft Entra (для клиентов).
    • Более высокая пропускная способность событий, которая лучше, чем устаревшие агенты Log Analytics (MMA/OMS).
  • Упрощенное управление , включая эффективное устранение неполадок:
    • Поддерживает передачу данных в несколько назначений (несколько рабочих областей Log Analytics, т. е. многодомность в Windows и Linux), включая сбор данных между регионами и несколькими клиентами (с помощью Azure LightHouse).
    • Централизованная конфигурация агента "в облаке" для масштаба предприятия на протяжении всего жизненного цикла сбора данных, от подключения к развертыванию до обновлений и изменений с течением времени.
    • Все изменения конфигурации развертываются автоматически для всех агентов без необходимости развертывания на стороне клиента.
    • Большую прозрачность и управление дополнительными возможностями и службами, такими как Microsoft Sentinel, Defender для облака и VM Insights.
  • Один агент , который обслуживает все потребности в сборе данных на поддерживаемых серверах и клиентских устройствах. Один агент является целью, хотя агент Azure Monitor в настоящее время конвергентируется с агентами Log Analytics.

Подготовка к работе

  • Просмотрите предварительные требования для установки агента Azure Monitor. Чтобы отслеживать не azure и локальные серверы, необходимо установить агент Azure Arc. Агент Arc делает локальные серверы видимыми в Azure в качестве ресурса, который он может нацеливать. Вы не несете никаких дополнительных затрат на установку агента Azure Arc.

  • Убедитесь, что агент Azure Monitor может решать все ваши потребности. Агент Azure Monitor — это общедоступная версия для сбора данных и используется для сбора данных различными функциями Azure Monitor и другими службами Azure.

  • Убедитесь, что у вас есть необходимые разрешения для установки агента Azure Monitor. У вас должны быть необходимые разрешения для установки агента на компьютерах, которые вы хотите отслеживать. Дополнительные сведения см. в разделе "Разрешения", необходимые для установки агента Azure Monitor.

Руководство высокого уровня

Используйте следующие рекомендации для планирования и выполнения миграции.

  • Узнайте, сколько агентов нужно перенести.
  • Узнайте, как вы используете рабочие области.
  • Узнайте, какие решения, аналитические сведения и коллекции данных настроены.
  • Настройте коллекции данных и проверьте коллекции.
  • Ознакомьтесь с дополнительными зависимостями и службами.
  • Удалите устаревшие агенты.

Книга помощника по миграции агента Azure Monitor — это решение Azure Monitor на основе книги, которое поможет вам выполнить все описанные выше действия. Это руководство ссылается на книгу и другие средства на каждом этапе процесса миграции. Дополнительные сведения см . в книге помощника по миграции агента Azure Monitor.

Общие сведения об агентах

Используйте генератор DCR для автоматического преобразования конфигурации устаревшего агента в правила сбора данных.1. Чтобы понять агенты, ознакомьтесь со следующими вопросами:

Вопрос Действия
Сколько агентов нужно перенести? Сведения о количестве агентов, которые необходимо перенести.
У вас есть агенты, развернутые за пределами Azure?

Развертываются ли эти агенты в собственном центре обработки данных или в другой облачной среде?

Для серверов, которые находятся за пределами Azure, необходимо сначала развернуть агент подключенного компьютера Azure ARC. Дополнительные сведения см. в разделе "Обзор агента подключенного компьютера Azure".
Вы используете System Center Operations Manager (SCOM) ?

Какой план предназначен для SCOM?

Если вы планируете продолжать использовать SCOM, начните оценивать SCOM Управляемый экземпляр. Дополнительные сведения см. в Управляемый экземпляр SCOM.
Как вы развертываете агенты сегодня? Если вы используете любые автоматизированные методы для развертывания устаревшего агента, рассмотрите возможность остановки этих автоматизированных развертываний для новых серверов и начинаете сосредоточиться на развертывании нового агента. Остановка автоматического развертывания для новых серверов помогает убедиться, что вы не добавите усилия по миграции и позволяет сосредоточиться на существующем инвентаризации агентов для миграции.

Книга помощника по миграции агента Azure Monitor поможет вам понять, сколько агентов требуется перенести. Дополнительные сведения см. в вспомогательной книге службы миграции агента Azure Monitor. Агенты.|

Общие сведения о рабочих областях, решениях, аналитике и коллекциях данных

Перед миграцией вы узнаете, как используются рабочие области Log Analytics. Проверьте, используются ли они и какие агенты отправляют данные телеметрии в рабочие области. Многие рабочие области создаются со временем и могут стать неясными, какие рабочие области фактически используются, какие рабочие области используются для сбора данных телеметрии и с каких серверов. Миграция — это хорошая возможность для очистки и консолидации рабочих областей.

При просмотре рабочих областей обратите внимание, какие решения настроены. Эта информация важна для понимания того, какие данные вы собираете и как вы используете.

Книга помощника по миграции агента Azure Monitor поможет вам понять, какие рабочие области у вас есть, и решения, реализованные в каждой рабочей области, и когда вы последний раз использовали решение. Каждое решение имеет рекомендацию по миграции. Дополнительные сведения см. в вспомогательной книге службы миграции агента Azure Monitor. Рабочие области

Вы также можете использовать книгу аудита рабочей области Azure Monitor для понимания рабочих областей. Чтобы использовать книгу аудита рабочей области Azure Monitor, скопируйте книгу из репозитория GitHub и импортируйте ее в рабочую область Log Analytics.

Эта книга собирает все рабочие области Log Analytics и отображает следующие сведения для каждой рабочей области:

  • Все источники данных, отправляющие данные в рабочую область.
  • Агенты, отправляющие пульс в рабочую область.
  • Ресурсы, отправляющие данные в рабочую область.
  • Все ресурсы Application Insights, отправляющие данные в рабочую область.

Дополнительные сведения см . в книге "Аудит рабочей области Azure Monitor".

Настройка коллекций данных и проверка коллекций

При настройке коллекций данных рассмотрите следующие действия.

  • Определите пилотную группу серверов, которые можно использовать для этого процесса. Используйте пилотные серверы для проверки данных перед развертыванием в масштабе.

  • Используйте генератор конфигурации DCR, чтобы преобразовать коллекции данных, настроенные в рабочей области, и развернуть их в качестве правил сбора данных обратно в среду. Дополнительные сведения о генераторе конфигурации DCR см. в разделе "Генератор конфигурации DCR".

  • Перенос аналитики виртуальных машин или Azure Monitor для Виртуальные машины в агент Azure Monitor. Проверьте перенесенные коллекции данных для пилотной группы серверов по сравнению с тем, что было собрано до миграции. Чтобы избежать двойного приема данных, вы можете отключить сбор данных из устаревших агентов на этапе тестирования без удаления агентов, удалив конфигурации рабочей области для устаревших агентов. Дополнительные сведения см. в статье "Источники данных агента Log Analytics" в Azure Monitor

  • Проверьте новые данные, чтобы убедиться, что нет пробелов. Сравните данные, принятые устаревшими данными агента, с агентом Azure Monitor. Используйте KQL для сравнения эквивалентных данных каждого агента на основе типа агента.

  • Планирование развертывания в масштабе с помощью политики Azure. Используйте встроенные политики для развертывания расширений и сопоставлений DCR в масштабе. Использование политики также обеспечивает автоматическое развертывание расширений и сопоставлений DCR для новых компьютеров. Дополнительные сведения о развертывании в масштабе см. в статье "Управление агентом Azure Monitor— использование политик Azure".

Общие сведения о дополнительных зависимостях и службах

Прежде чем перенести, важно понять, как влияют другие службы.

Service Воздействие
Управление обновлениями Если вы используете управление обновлениями в служба автоматизации Azure, необходимо перейти в Диспетчер обновлений Azure.

Диспетчер обновлений Azure имеет свой собственный агент и отделен от агента Azure Monitor.

Управление обновлениями будет устарело в конце августа 2024 года. Рекомендуется выполнить миграцию в Диспетчер обновлений Azure.

Дополнительные сведения см. в статье "Переход с управления обновлениями службы автоматизации" в Диспетчер обновлений Azure.

В книге вспомогательной службы миграции AMA показано, какие из компьютеров используют решение для управления обновлениями сегодня и как перенести их. Дополнительные сведения см . в вспомогательной книге службы миграции агента Azure Monitor. Управление обновлениями.

Отслеживание изменений и инвентаризация Если вы используете Отслеживание изменений и инвентаризация, необходимо выполнить миграцию в служба автоматизации Azure.

Отслеживание изменений и инвентаризация также являются частью служба автоматизации Azure. Хотя агент Azure Monitor имеет решение для отслеживания изменений и инвентаризации, необходимо создать правило сбора данных. Дополнительные сведения см. в статье "Управление отслеживанием изменений и инвентаризацией" с помощью агента мониторинга Azure.

Defender для облака Если вы используете Defender для облака для службы или Defender для серверов, а P2 включен или планируете включить P2 для серверов, измените развертывание агента в Defender для облака с развертывания устаревшего агента на сканирование без агента.

Если вы используете Defender для облака для сбора событий безопасности, создайте настраиваемое правило сбора данных для сбора этих событий.

Microsoft Sentinel Если вы используете Microsoft Sentinel, решения, использующие устаревший агент, были преобразованы в решения на основе агента Azure Monitor и могут быть обновлены.

Удаление устаревших агентов

В рамках планирования миграции планируется удалить устаревший агент после завершения миграции, чтобы избежать дублирования сбора данных.

Если на компьютерах не требуется хранить MMA, используйте средство обнаружения и удаления MMA для удаления агента в большом масштабе. Дополнительные сведения о средстве обнаружения и удаления MMA см . в средстве обнаружения и удаления MMA.

Если вы используете System Center Operations Manager (SCOM), сохраните агент MMA, развернутый на компьютерах, которые будут продолжать управлять с помощью System Center Operations Manager.

Существует пакет управления администратора SCOM и может помочь удалить конфигурации рабочей области в большом масштабе при сохранении конфигурации группы управления SCOM. Дополнительные сведения о пакете управления администраторами SCOM см. в разделе SCOM Admin Management Pack.

Известные проблемы миграции

  • Журналы IIS. Если включена коллекция журналов IIS, AMA может не заполнять sSiteName столбец W3CIISLog таблицы. Это поле собирается по умолчанию, когда коллекция журналов IIS включена для устаревшего агента. Если необходимо собрать sSiteName поле с помощью AMA, включите Service Name (s-sitename) поле в журнале W3C iis. Инструкции по включению этого поля см. в разделе "Выбор полей W3C в журнал".
  • Решение для оценки SQL: теперь это часть оценки рекомендаций SQL. Для политик развертывания требуется одна рабочая область Log Analytics для каждой подписки, которая не рекомендуется для команды AMA.
  • Microsoft Defender для облака: перемещается в решение без агента. Некоторые функции не будут готовы к дате отмены. Клиенты должны оставаться на MMA для компьютеров, использующих мониторинг целостности файлов (FIM), рекомендации по обнаружению конечных точек, рекомендации по неправильной настройке ОС (рекомендации azure Security Benchmark (ASB) и адаптивные элементы управления приложениями.
  • Управление обновлениями перемещается в решение без агента, но не будет готово к дате амортизации MMA. Клиенты, использующие управление обновлениями, должны оставаться в MMA до тех пор, пока не будет готов новый диспетчер автоматического обновления службы.

Следующие шаги