Миграция на агент Azure Monitor с агента Log Analytics

Агент Azure Monitor (AMA) заменяет агент Log Analytics (также известный как Microsoft Monitor Agent (MMA) и OMS для компьютеров Windows и Linux, в azure и средах, отличных от Azure, включая локальные и сторонние облака. Агент представляет упрощенный гибкий метод настройки сбора данных с помощью правил сбора данных (DCR). В этой статье описано, как реализовать успешную миграцию агента Log Analytics в агент Azure Monitor.

Если вы используете агент Log Analytics с Azure Monitor или другими поддерживаемыми функциями и службами, начните планирование миграции в агент Azure Monitor с помощью сведений в этой статье. Если вы используете агент Log Analytics для SCOM, необходимо перейти к агенту SCOM.

Агент Log Analytics будет прекращен 31 августа 2024 г. Вы можете ожидать следующее, если вы используете агент MMA или OMS после этой даты.

• Отправка данных. Вы по-прежнему можете отправлять данные. В какой-то момент, когда крупные клиенты завершили миграцию, и объемы данных значительно упадут, отправка будет приостановлена. Вы можете ожидать, что это займет не менее 6 до 9 месяцев. Вы не получите уведомление о критическом изменении приостановки.
• Установка или переустановка. Вы по-прежнему можете установить и переустановить устаревшие агенты. Вы не сможете получить поддержку при установке или переустановке проблем.
• Поддержка клиентов: вы можете ожидать поддержки MMA/OMS для проблем с безопасностью.

Льготы

Помимо консолидации и улучшения устаревших агентов Log Analytics агент Azure Monitor предоставляет различные непосредственные преимущества, включая экономию затрат, упрощенное управление и повышение безопасности и производительность.

Руководство по миграции

Прежде чем начать миграцию из агента Log Analytics в агент Azure Monitor, просмотрите список проверка.

Подготовка к работе

• Проверьте предварительные требования для установки агента Azure Monitor.
  Чтобы отслеживать не azure и локальные серверы, необходимо установить агент Azure Arc. Агент Arc делает локальные серверы видимыми в Azure в качестве ресурса, который он может нацеливать. Вы не будете нести дополнительные затраты на установку агента Azure Arc.
• Понимание текущих потребностей.
  Перейдите на вкладку обзора рабочей области вспомогательной службы миграции AMA, чтобы просмотреть подключенные агенты и обнаружить решения, включенные в рабочие области Log Analytics, которые используют устаревшие агенты, включая рекомендации по миграции для каждого решения.
• Убедитесь, что агент Azure Monitor может решать все ваши потребности.
  Агент Azure Monitor — это общедоступная версия для сбора данных и используется для сбора данных различными функциями Azure Monitor и другими службами Azure. Дополнительные сведения см. в разделе "Поддерживаемые службы и функции".
• Рассмотрите возможность установки агента Azure Monitor вместе с устаревшим агентом в течение переходного периода.
  Запустите агент Azure Monitor вместе с устаревшим агентом Log Analytics на том же компьютере, чтобы продолжить использование существующих функций во время оценки или миграции. Помните, что выполнение двух агентов на одном компьютере увеличивает потребление ресурсов, включая, но не ограничивается ЦП, памятью, дисковым пространством и пропускной способностью сети.
  
  • Если вы настраиваете новую среду с ресурсами, такими как сценарии развертывания и шаблоны подключения, установите агент Azure Monitor вместе с устаревшим агентом в новой среде, чтобы уменьшить усилия миграции позже.
  • Если на одном компьютере есть два агента, избежать сбора повторяющихся данных.
    Сбор повторяющихся данных с того же компьютера может изменить результаты запроса, повлиять на подчиненные функции, такие как оповещения, панели мониторинга и книги, а также создавать дополнительные расходы на прием и хранение данных.
    Чтобы избежать дублирования данных:
    • Настройте агенты для отправки данных в разные рабочие области или разные таблицы в одной рабочей области.
    • Отключите дубликат сбора данных из устаревших агентов, удалив конфигурации рабочей области.
    • Defender для облака дедупликации данных в собственном коде при использовании обоих агентов, и вы будете выставлять счета один раз на компьютер при запуске агентов параллельно.
    • Для Sentinel можно легко отключить устаревший соединитель , чтобы остановить прием журналов из устаревших агентов.

Службы миграции и функции

1. Используйте генератор DCR для автоматического преобразования конфигурации устаревшего агента в правила сбора данных.¹

   Просмотрите созданные правила перед их созданием и воспользуйтесь дополнительными параметрами, такими как фильтрация, детализация (на компьютер) и другие оптимизации. Для переноса пользовательских журналов MMA в пользовательские журналы AMA необходимо выполнить специальные действия.

2. Проверьте новые правила агента и сбора данных на нескольких непроизводственных компьютерах:

   1. Разверните созданные правила сбора данных и свяжите их с несколькими компьютерами, как описано в разделе "Установка и использование генератора конфигурации DCR".

      Чтобы избежать двойного приема данных, вы можете отключить сбор данных из устаревших агентов на этапе тестирования без удаления агентов, удалив конфигурации рабочей области для устаревших агентов.

   2. Убедитесь, что нет пробелов, сравните данные, принятые устаревшими данными агента, с агентом Azure Monitor. Вы можете выполнить сравнение для любой таблицы с помощью оператора соединения, чтобы добавить Category столбец из таблицы Heartbeat , которая указывает Azure Monitor Agent на данные, собранные агентом Azure Monitor.

      Например, этот запрос добавляет Category столбец из таблицы в данные, полученные из HeartbeatEvent таблицы:

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      

3. Используйте встроенные политики для развертывания расширений и сопоставлений DCR в масштабе. Использование политики также обеспечивает автоматическое развертывание расширений и сопоставлений DCR для новых компьютеров.³

   Используйте помощник по миграции AMA для мониторинга масштабируемой миграции на компьютерах.

4. Убедитесь , что агент Azure Monitor собирает данные должным образом и все подчиненные зависимости, такие как панели мониторинга, оповещения и книги, правильно работают:

   1. Перейдите на вкладки "Обзор и использование" рабочей области Log Analytics Аналитика для пиковых или спадов в скорости приема после миграции. Проверьте общий прием рабочих областей и частоту приема на уровне таблицы.
   2. Проверьте книги, панели мониторинга и оповещения для дисперсии от типичного поведения после миграции.

5. Очистка. После подтверждения правильности сбора данных агентОм Azure Monitor отключите или удалите устаревшие агенты Log Analytics.

   • После установки агента Azure Monitor для всех требований удалите агент Log Analytics из отслеживаемых ресурсов. Удалите все файлы конфигурации, ключи рабочих областей и сертификаты, которые ранее использовались агентом Log Analytics. Продолжайте использовать устаревшую версию Log Analytics для функций и решений, которые агент Azure Monitor не поддерживает.

     Используйте средство удаления MMA для обнаружения и удаления расширения агента Log Analytics со всех компьютеров в клиенте.

   • Не удаляйте устаревший агент, если его необходимо использовать для отправки данных в System Center Operations Manager.

¹ Генератор DCR преобразует только конфигурации для журналов событий Windows, системного журнала Linux и счетчиков производительности. Поддержка дополнительных функций и решений будет доступна в ближайшее время.
² Может потребоваться развернуть расширения, необходимые для конкретных решений , в дополнение к расширению агента Azure Monitor.

Перенос дополнительных служб и функций

Агент Azure Monitor — это общедоступная версия для сбора данных. Большинство служб, использующих агент Log Analytics для сбора данных, перенесены в агент Azure Monitor.

Следующие функции и службы теперь имеют версию агента Azure Monitor (некоторые из них по-прежнему находятся в общедоступной предварительной версии). Это означает, что вы уже можете использовать агент Azure Monitor для сбора данных при включении функции или службы.

Служба или компонент	Рекомендация по миграции	Текущее состояние	Дополнительные сведения
Аналитика виртуальных машин, карта служб и агент зависимостей	Миграция в агент Azure Monitor	Общедоступная версия	Включение Аналитика виртуальной машины
Microsoft Sentinel	Миграция в агент Azure Monitor	Общедоступная предварительная версия	Миграция AMA для Microsoft Sentinel.
Отслеживание изменений и инвентаризация	Миграция в агент Azure Monitor	Общедоступная версия	Миграция для Отслеживание изменений и инвентаризации
Наблюдатель за сетями	Миграция на новую службу с именем Монитор подключений с помощью агента Azure Monitor	Общедоступная версия	Мониторинг сетевого подключения с помощью монитора подключений
Аналитические данные Azure Stack HCI	Миграция в агент Azure Monitor	Общедоступная версия	Мониторинг Azure Stack HCI с помощью Аналитика
Аналитика виртуального рабочего стола Azure (AVD)	Миграция в агент Azure Monitor	Общедоступная версия	Аналитика Виртуального рабочего стола Azure
Решение для мониторинга контейнеров	Миграция на новую службу с именем Container Аналитика с помощью агента Azure Monitor	Общедоступная версия	Включение Аналитика контейнера
Сборщик DNS	Использование нового Подключение Sentinel	Общедоступная версия	Включение Подключение DNS

При переносе следующих служб, которые в настоящее время используют агент Log Analytics, в соответствующие замены (версия 2), вам больше не нужен любой из агентов мониторинга:

Service	Рекомендация по миграции	Текущее состояние	Дополнительные сведения
Microsoft Defender для облака, серверы, SQL и конечная точка	Миграция на Microsoft Defender для облака (нет зависимости от агентов Log Analytics или агента Azure Monitor)	Общедоступная версия	план Defender для облака для агента Log Analytics не рекомендуется
Управление обновлениями	Миграция в Диспетчер обновлений Azure (нет зависимости от агентов Log Analytics или агента Azure Monitor)	Общедоступная версия	Документация по Диспетчеру обновлений
Общие сведения о гибридной рабочей роли Runbook в Службе автоматизации	Расширение гибридной рабочей роли службы автоматизации (не зависит от агентов Log Analytics или агента Azure Monitor)	Общедоступная версия	Миграция на гибридные рабочие роли на основе расширений

Известные пробелы в четности для решений, которые могут повлиять на миграцию

• Журналы IIS. Если включена коллекция журналов IIS, AMA может не заполнять sSiteName столбец W3CIISLog таблицы. Это поле собирается по умолчанию, когда коллекция журналов IIS включена для устаревшего агента. Если необходимо собрать sSiteName поле с помощью AMA, включите Service Name (s-sitename) поле в журнале W3C iis. Инструкции по включению этого поля см. в разделе "Выбор полей W3C в журнал".
• Sentinel: журналы брандмауэра Windows еще не являются общедоступной версии
• Решение для оценки SQL: теперь это часть оценки рекомендаций SQL. Для политик развертывания требуется одна рабочая область Log Analytics для каждой подписки, которая не рекомендуется для команды AMA.
• Microsoft Defender для облака: некоторые функции для нового решения без агента находятся в разработке. Миграция может повлиять на использование мониторинга интеграции файлов (FIM), рекомендаций по обнаружению конечных точек, неправильных конфигураций ОС (рекомендации azure Security Benchmark (ASB) и адаптивных элементов управления приложениями.
• Контейнер Аналитика: версия Windows доступна в общедоступной предварительной версии.

Часто задаваемые вопросы

В этом разделы приводятся ответы на часто задаваемые вопросы.

Может ли агент Azure Monitor и агент Log Analytics сосуществовать параллельно?

Да. Если вы переносите агент Azure Monitor, вы можете рассмотреть возможность установки агента Azure Monitor вместе с устаревшим агентом в течение переходного периода, но следует учитывать определенные аспекты. Дополнительные сведения о сосуществовании агентов см. в руководстве по миграции агента Azure Monitor.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Общие сведения об агенте Azure Monitor
• Миграция агента Azure Monitor для Microsoft Sentinel
• Часто задаваемые вопросы об агенте Azure Monitor