Общие сведения об агенте Azure Monitor

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Агент Azure Monitor (АМА) собирает данные мониторинга из гостевой ОС Azure и гибридных виртуальных машин и доставляет их в Azure Monitor, где они могут использоваться различными функциями, аналитикой и другими службами, такими как Microsoft Sentinel и Microsoft Defender для облака. Агент Azure Monitor заменяет все устаревшие агенты мониторинга Azure Monitor. В этой статье представлен обзор возможностей агента Azure Monitor и поддерживаемых вариантов использования.

Ниже приведены краткие сведения об видео агента Azure Monitor, в котором приведены краткие сведения о настройке агента из портал Azure: ITOps Talk: агент Azure Monitor

Льготы

Используя агент Azure Monitor, вы получаете немедленные преимущества, как показано ниже:

Фрагмент преимущества агента Azure Monitor на первый взгляд. Это описано ниже.

  • Экономия затрат с помощью правил сбора данных:
    • Включает целевую и детализированную сбор данных для компьютера или подмножества компьютеров по сравнению с подходом "все или ничего" устаревших агентов.
    • Позволяет фильтровать правила и преобразования данных, чтобы уменьшить общий объем передаваемых данных, что значительно снижает затраты на прием и хранение.
  • Упрощенное управление , включая эффективное устранение неполадок:
    • Поддерживает передачу данных в несколько назначений (несколько рабочих областей Log Analytics, т. е. многодомность в Windows и Linux), включая сбор данных между регионами и несколькими клиентами (с помощью Azure LightHouse).
    • Централизованная конфигурация агента "в облаке" для масштаба предприятия на протяжении всего жизненного цикла сбора данных, от подключения к развертыванию до обновлений и изменений с течением времени.
    • Все изменения конфигурации развертываются автоматически для всех агентов без необходимости развертывания на стороне клиента.
    • Большую прозрачность и управление дополнительными возможностями и службами, такими как Microsoft Sentinel, Defender для облака и Аналитика виртуальных машин.
  • Безопасность и производительность
    • Улучшенная безопасность с помощью управляемых удостоверений и токенов Microsoft Entra (для клиентов).
    • Более высокая пропускная способность событий, которая лучше, чем устаревшие агенты Log Analytics (MMA/OMS).
  • Один агент , который обслуживает все потребности в сборе данных на поддерживаемых серверах и клиентских устройствах. Один агент является целью, хотя агент Azure Monitor в настоящее время конвергентируется с агентами Log Analytics.

Консолидация устаревших агентов

Внимание

Агент Log Analytics скоро станет нерекомендуемым. Его поддержка прекратится c 31 августа 2024 г.. Любые новые центры обработки данных, перенесенные через интернет после 1 января 2024 года, не будут поддерживать агент Log Analytics. Если вы используете агент Log Analytics для приема данных в Azure Monitor, обязательно перейдите на использование нового агента Azure Monitor до этой даты.

Разверните агент Azure Monitor на всех новых виртуальных машинах, масштабируемых наборах и локальных серверах для сбора данных для поддерживаемых служб и функций.

Если у вас есть компьютеры, на которых развернуты устаревшие агенты Log Analytics, рекомендуем как можно скорее мигрировать на агент Azure Monitor. Поддержка устаревшего агента Log Analytics будет прекращена после августа 2024 г.

Агент Azure Monitor заменяет устаревшие агенты для Azure Monitor:

  • Агент Log Analytics. Передача данных в рабочую область Log Analytics и поддержка решения по мониторингу. Эти возможности полностью перенесены в агент Azure Monitor.
  • Агент Telegraf. Передача данных в метрики Azure Monitor (только для Linux). В агенте Azure Monitor сейчас поддерживаются только базовые подключаемые модули Telegraf.
  • Расширение диагностики. Передача данных в метрики Azure Monitor (только для Windows), Центры событий Azure и хранилище Azure. Эта возможность еще не реализована.

Установка агента и настройка сбора данных

Агент Azure Monitor использует правила сбора данных, в которых определяется, какие данные нужно собирать каждому агенту. Правила сбора данных позволяют управлять параметрами сбора данных в большом масштабе и определять уникальные конфигурации с заданной областью для подмножеств компьютеров. Вы можете определить правило для отправки данных с нескольких компьютеров в несколько мест назначения в разных регионах и клиентах.

Примечание.

Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse. Клонирование компьютера с установленным агентом Azure Monitor не поддерживается. Рекомендуется использовать Политика Azure или инфраструктуру в качестве средства кода для развертывания AMA в масштабе.

Чтобы собрать данные с помощью агента Azure Monitor, выполните следующее:

  1. Установите агент в ресурсе.

    Тип ресурса Метод установки Дополнительные сведения
    Виртуальные машины, масштабируемые наборы Расширение виртуальной машины Устанавливает агент с помощью платформы расширений Azure.
    Локальные серверы (серверы с поддержкой Azure Arc) Расширение виртуальной машины (после установки агента Azure Arc) Устанавливает агент с помощью платформы расширений Azure для локальной среды путем установки агента Azure Arc.
    Компьютеры и рабочие станции на Windows 10 и 11 Установщик клиента Устанавливает агент с помощью установщика Windows MSI.
    Ноутбуки на Windows 10 и 11 Установщик клиента Устанавливает агент с помощью установщика Windows MSI. Установщик запускается на ноутбуках, но агент еще не оптимизирован для энергосбережения и использования сети.
  2. Определите правило сбора данных и свяжите ресурс с правилом.

    В следующей таблице перечислены типы данных, которые в настоящее время можно собирать с помощью агента Azure Monitor, и места, куда можно отправить эти данные.

    Источник данных Назначения Description
    Производительность
    • Метрики Azure Monitor (общедоступная предварительная версия):
      • Для Windows — гостевое пространство имен виртуальной машины
      • Для Linux1 — пространство имен azure.vm.linux.guestmetrics
    • Рабочая область Log Analytics — таблица Perf
    Числовые значения, представляющие собой оценки производительности разных элементов операционной системы и рабочих нагрузок
    Журналы событий Windows (включая события sysmon) Рабочая область Log Analytics — таблица Event Информация, отправляемая системой ведения журналов событий Windows
    Системный журнал Рабочая область Log Analytics — таблица Syslog2 Информация, отправляемая системой ведения журналов событий Linux. Сбор системного журнала с помощью агента Azure Monitor
    Текстовые журналы и журналы Windows IIS Рабочая область Log Analytics — пользовательские таблицы, созданные вручную Сбор текстовых журналов с помощью агента Azure Monitor

    1 В Linux использование Метрик Azure Monitor в качестве единственного назначения поддерживается в версии 1 10.9.0 или более поздних версиях.
    2 Azure Monitor Linux Agent версии 1.15.2 и более поздние поддерживают форматы syslog RFC, включая Cisco Meraki, Cisco ASA, Cisco FTD, Sophos XG, Juniper Networks, Corelight Zeek, CipherTrust, NXLog, McAfee и Common Event Format (CEF).

    Примечание.

    В системах на основе rsyslog агент Linux Azure Monitor добавляет правила пересылки в набор правил по умолчанию, определенный в конфигурации rsyslog. Если используются несколько наборов правил, входные данные, привязанные к наборам правил, не перенаправляются в агент Azure Monitor. Дополнительные сведения о нескольких наборах правил в rsyslog см. в официальной документации.

    Примечание.

    Агент Azure Monitor также поддерживает оценку рекомендаций ПО SQL службы Azure, которая в настоящее время общедоступна. Дополнительные сведения см. в статье о настройке оценки рекомендаций с помощью агента Azure Monitor.

Поддерживаемые службы и компоненты

Список функций и служб, использующих агент Azure Monitor для сбора данных, см. в статье "Миграция на агент Azure Monitor" из агента Log Analytics.

Поддерживаемые регионы

Агент Azure Monitor доступен во всех общедоступных регионах, Azure для государственных организаций и облаках Китая для общедоступных функций. Он пока не поддерживается в облаках без подключения к Интернету. Дополнительные сведения см. в статье Доступность продуктов по регионам.

Затраты

Для агента Azure Monitor не взимается плата за прием и хранение данных. Подробнее о сборе и хранении данных Log Analytics, а также о метриках клиента см. в разделе Ценообразование Azure Monitor.

Сравнение с устаревшими агентами

В таблицах ниже приведено сравнение агента Azure Monitor с устаревшими агентами телеметрии Azure Monitor для Windows и Linux.

Агенты Windows

Категория Площадь Агент Azure Monitor Агент Log Analytics Расширение диагностики (WAD)
Поддерживаемые среды
Azure
Другое облако (Azure Arc)
Локально (Azure Arc)
ОС Клиента Windows
Собранные данные
журналы событий;
Производительность
Файловые журналы
Журналы IIS
ETW-события
Журналы приложений .NET
Аварийные дампы
Журналы диагностики агента
Место отправки данных
Azure Monitor Logs
Метрики Azure Monitor1 ✓ (общедоступная предварительная версия) ✓ (общедоступная предварительная версия)
служба хранилища Azure — только для виртуальных машин Azure ✓ (предварительная версия)
Центры событий — только для виртуальных машин Azure ✓ (предварительная версия)
Поддерживаемые службы и компоненты
Microsoft Sentinel ✓ (вид область)
Аналитика виртуальных машин
Microsoft Defender для облака. Используется только агент MDE
Управление обновлениями службы автоматизации— перемещено в Диспетчер обновлений Azure
Azure Stack HCI
Диспетчер обновлений — больше не использует агенты
Отслеживание изменений
Оценка соответствия рекомендациям SQL

Агенты Linux

Категория Площадь Агент Azure Monitor Агент Log Analytics Расширение диагностики (LAD) Агент Telegraf
Поддерживаемые среды
Azure
Другое облако (Azure Arc)
Локально (Azure Arc)
Собранные данные
Системный журнал
Производительность
Файловые журналы
Место отправки данных
Azure Monitor Logs
Метрики Azure Monitor1 ✓ (общедоступная предварительная версия) ✓ (общедоступная предварительная версия)
служба хранилища Azure — только для виртуальных машин Azrue ✓ (предварительная версия)
Центры событий — только для виртуальных машин Azure ✓ (предварительная версия)
Поддерживаемые службы и компоненты
Microsoft Sentinel ✓ (вид область)
Аналитика виртуальных машин
Microsoft Defender для облака. Использовать только агент MDE
Управление обновлениями службы автоматизации— перемещено в Диспетчер обновлений Azure
Диспетчер обновлений — больше не использует агенты
Отслеживание изменений

1 Чтобы ознакомиться с другими ограничениями по использованию метрик Azure Monitor, см. раздел Квоты и ограничения. В Linux использование метрик Azure Monitor в качестве единственного назначения поддерживается в версии 1.10.9.0 или более поздней версии.

Поддерживаемые операционные системы

В следующих таблицах перечислены операционные системы, поддерживаемые агентами Azure Monitor и устаревшими агентами. Предполагается, что все операционные системы имеют архитектуру x64. Архитектура x86 не поддерживается для любой операционной системы. Просмотрите поддерживаемые операционные системы для агента Подключение компьютера Azure Arc, который является обязательным условием для запуска агента Azure Monitor на физических серверах и виртуальных машинах, размещенных за пределами Azure (то есть локально) или в других облаках.

Windows

Операционная система Агент Azure Monitor Агент Log Analytics (устаревшая версия) Расширение системы диагностики
Windows Server 2022
Windows Server 2022 Core
Windows Server 2019
Windows Server 2019 Core
Windows Server 2016
Windows Server 2016 Core
Windows Server 2012 R2
Windows Server 2012
Клиент Windows 11 и Pro 2, 3
Windows 11 Корпоративная
(включая несколько сеансов)
Windows 10 1803 (RS4) и более новые версии 2
Windows 10 Корпоративная
(в том числе с несколькими сеансами) и Профессиональная
(только для сценариев с серверами)
Windows 8 Корпоративная и Профессиональная
(только для сценариев с серверами)
1
Windows 7 с пакетом обновления 1 (SP1)
(только для сценариев с серверами)
1
Azure Stack HCI
Windows IoT Корпоративная

1 Запуск ОС на серверном оборудовании, которое всегда подключено, всегда включено.
2 С помощью клиентского установщика агента Azure Monitor.
3 Также поддерживается на компьютерах на базе ARM64.

Linux

Операционная система Агент Azure Monitor 1 Агент Log Analytics (устаревшая версия) 1 Расширение системы диагностики 2
AlmaLinux 9 3
Alma Linux 8 3
Amazon Linux 2017.09
Amazon Linux 2
CentOS Linux 8
CentOS Linux 7 3
CBL-Mariner 2.0 3,4
Debian 11 3
Debian 10
Debian 9
Debian 8
OpenSUSE 15
Oracle Linux 9
Oracle Linux 8
Oracle Linux 7
Oracle Linux 6.4+
Red Hat Enterprise Linux Server 9+
Red Hat Enterprise Linux Server 8.6+ 3 2
Red Hat Enterprise Linux Server 8.0-8.5 2
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 6.7 и более поздних версий
Роки Linux 9
Rocky Linux 8
SUSE Linux Enterprise Server 15 SP4 3
SUSE Linux Enterprise Server 15 с пакетом обновления 3
SUSE Linux Enterprise Server 15 с пакетом обновления 2 (SP2)
SUSE Linux Enterprise Server 15 SP1
SUSE Linux Enterprise Server 15
SUSE Linux Enterprise Server 12
Ubuntu 22.04 LTS
Ubuntu 20.04 LTS 3
Ubuntu 18.04 LTS 3
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS

1 Требует установки Python (2 или 3) на компьютере.
2 Требуется установить Python 2 на компьютере и псевдоним для команды python.
3 Также поддерживается на компьютерах на базе ARM64.
4 Требуется не менее 4 ГБ места на диске (не указано по умолчанию).

Примечание.

Компьютеры и (модуль), которые выполняют сильно настроенные или отрезаемые версии указанных выше дистрибутивов и размещенные решения, которые запрещают настройку пользователем, не поддерживаются. Azure Monitor и устаревшие агенты используют различные пакеты и другие базовые функциональные возможности, которые часто удаляются из таких систем, и их установка может потребовать некоторых изменений среды, которые считаются запрещенными поставщиком (модуль). Например, GitHub Enterprise Server не поддерживается из-за тяжелой настройки, а также задокументированного запрета на изменение операционной системы на уровне лицензии.

Примечание.

Размер диска CBL-Mariner 2.0 по умолчанию составляет около 1 ГБ, чтобы обеспечить экономию хранилища по сравнению с другими виртуальными машинами Azure, которые составляет около 30 ГБ. Однако для успешной установки и запуска агента Azure Monitor требуется не менее 4 ГБ диска. Дополнительные сведения и инструкции по увеличению размера диска перед установкой агента проверка документации CBL-Mariner.

Стандарты защиты Linux

Агент мониторинга Azure для Linux теперь официально поддерживает различные стандарты защиты для операционных систем Linux и дистрибутивов. Каждый выпуск агента проверяется и сертифицирован по поддерживаемым стандартам защиты. Мы проверяем изображения, доступные в Azure Marketplace и опубликованные CIS, и поддерживают только параметры и защиту, применяемые к этим изображениям. Если вы применяете дополнительные настройки на собственных золотых изображениях, и эти параметры не охватываются изображениями CIS, он будет считаться не поддерживаемым сценарием.

Только агент мониторинга Azure для Linux поддерживает эти стандарты защиты. В агенте Log Analytics (устаревшая версия) или в расширении диагностики нет планов поддержки.

В настоящее время поддерживаются стандарты защиты:

  • Selinux
  • CIS Lvl 1 и 21
  • СТИГ
  • FIP
  • FedRamp
Операционная система Агент Azure Monitor 1 Агент Log Analytics (устаревшая версия) 1 Расширение системы диагностики 2
CentOS Linux 7
Debian 10
Ubuntu 18
Ubuntu 20
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 8

1 Поддерживает только указанные выше дистрибутивы и версии

Часто задаваемые вопросы

В этом разделы приводятся ответы на часто задаваемые вопросы.

Нужен ли специальный агент для Azure Monitor?

Агент требуется только для сбора данных из операционной системы и рабочих нагрузок на виртуальных машинах. Виртуальные машины могут размещаться в Azure, другой облачной среде или локально. Общие сведения об агенте Azure Monitor.

Как получать уведомления о прекращении сбора данных от агента Log Analytics?

Выполните действия, описанные в разделе "Создание оповещения поиска по журналам", чтобы получать уведомления при остановке сбора данных. Настройте следующие параметры для правила генерации оповещений.

  • Определение условия генерации оповещений. Укажите рабочую область Log Analytics в качестве целевого объекта ресурса.
  • Условия генерации оповещений:
    • Имя сигнала: пользовательский поиск по журналам.
    • Поисковый запрос: Heartbeat | summarize LastCall = max(TimeGenerated) by Computer | where LastCall < ago(15m).
    • Логика оповещений: в зависимости отколичества результатов условие больше, чем пороговое значение0.
    • Вычисляется на основе: период (в минутах)30, частота (в минутах)10.
  • Определите сведения об оповещении:
    • Имя: сбор данных остановлен.
    • Серьезность: предупреждение.

Укажите существующую или новую группу действий, чтобы, когда оповещение поиска по журналам соответствовало критериям, вы получите уведомление, если пульс отсутствует более 15 минут.

Поддерживает ли агент Azure Monitor сбор данных для различных решений Log Analytics и служб Azure, таких как Microsoft Defender для облака и Microsoft Sentinel?

Просмотрите список расширений агента Azure Monitor, доступных в настоящее время в предварительной версии. Эти расширения являются теми же решениями и службами, которые теперь доступны с помощью нового агента Azure Monitor.

Вы можете увидеть больше расширений, установленных для решения или службы, чтобы собирать дополнительные данные или выполнять преобразование или обработку по мере необходимости для решения или службы. Затем используйте агент Azure Monitor для маршрутизации окончательных данных в Azure Monitor.

На следующей схеме объясняется новая архитектура расширяемости.

Схема, показывющая архитектуру расширений.

Является ли агент Azure Monitor четностью с агентами Log Analytics?

Просмотрите текущие ограничения агента Azure Monitor по сравнению с агентами Log Analytics.

Поддерживает ли агент Azure Monitor среды, отличные от Azure, такие как другие облака или локальные среды?

Локальные компьютеры и компьютеры, подключенные к другим облакам, поддерживаются на серверах сегодня после установки агента Azure Arc. Для выполнения правил сбора данных и агента Azure Monitor требование Azure Arc не взимает дополнительных затрат или потребления ресурсов. Агент Azure Arc используется только в качестве механизма установки. Вам не нужно включать платные функции управления, если вы не хотите их использовать.

Поддерживает ли агент Azure Monitor аудит журналов в Linux или AUOMS?

Да, но необходимо подключиться к Defender для облака (ранее Центр безопасности Azure). Он доступен в качестве расширения для агента Azure Monitor, который собирает журналы аудита Linux через AUOMS.

Почему необходимо установить агент azure Arc Подключение ed Machine для использования агента Azure Monitor?

Агент Azure Monitor проходит проверку подлинности в рабочей области с помощью управляемого удостоверения, которое создается при установке агента Подключение компьютера. Управляемое удостоверение — это более безопасное и гибкое решение для проверки подлинности от Azure. Устаревший агент Log Analytics, прошедший проверку подлинности с помощью идентификатора рабочей области и ключа, поэтому не нужен Azure Arc.

Следующие шаги