Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Monitor автоматически собирает метрики узлов и журналы действий из виртуальных машин Azure, масштабируемых наборов виртуальных машин и серверов с поддержкой Azure Arc. Для полного мониторинга гостевой операционной системы и рабочих нагрузок обычно необходимо собирать данные журнала, которые не собираются по умолчанию. В этой статье описывается, как использовать портал Azure для создания правил сбора данных (DCR) для распространенных источников данных виртуальной машины.
Область статьи
Если у вас есть основные требования к сбору данных, рекомендации в этой статье и связанные статьи для каждого источника данных должны быть достаточными. Портал Azure может создавать и изменять DCR без необходимости понимать ее структуру или вручную связывать ее с виртуальной машиной.
Если вам нужны расширенные функции, такие как преобразования или требуется создать и назначить контроллеры домена с помощью Azure CLI, политики Azure или других методов, см. статью "Создание правил сбора данных( контроллеров домена) с помощью JSON. Вы также можете просмотреть примеры правил сбора данных, созданные этим процессом, в примерах правил сбора данных (DCR) для виртуальных машин в Azure Monitor.
Предпосылки
- Рабочая область Log Analytics, в которой у вас есть, по крайней мере, права участника для того, чтобы собирать данные, которые вы настраиваете.
- Разрешения на создание объектов DCR в рабочей области.
- Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse.
- Дополнительные предварительные требования см. в подробной статье по каждому источнику данных .
Это важно
Если рабочая область Log Analytics связана с периметром безопасности сети, см. статью "Настройка Azure Monitor с периметром безопасности сети ", чтобы настроить рабочую область Log Analytics.
Создание правила сбора данных (DCR)
Предупреждение
Если изменить существующее правило сбора данных (DCR) с помощью портала Azure, оно перезаписывает любые изменения, внесенные путем редактирования JSON DCR непосредственно, если эти функции не поддерживаются на портале. Например, при добавлении преобразования в DCR для источника данных, который не позволяет создавать преобразование на портале, это преобразование будет удалено, если впоследствии изменить DCR на портале. В этом случае необходимо продолжать вносить изменения в DCR, изменяя JSON напрямую.
В портале Azure, в меню Монитор выберите Правила сбора данных, > чтобы открыть область создания DCR.
Предварительная функция для создания правил сбора данных теперь доступна на портале Azure. Перейдите на вкладку ниже, чтобы узнать, как использовать интерфейс.
Вкладка "Основные сведения" содержит основные сведения о DCR.
| Настройки | Описание |
|---|---|
| Имя правила | Имя для DCR. Название должно быть описательным, что помогает определить правило. |
| Подписка | Подписка для сохранения DCR. Подписка не обязательно должна быть той же, что и у виртуальных машин. |
| Ресурс | Группа ресурсов для хранения DCR. Группа ресурсов не должна быть той же группой ресурсов, что и виртуальные машины. |
| Регион | Регион Azure для хранения DCR. Регион должен быть тем же, что и любая рабочая область Log Analytics или Azure Monitor, используемая в качестве назначения DCR. Если у вас есть рабочие области в разных регионах, создайте несколько контроллеров домена для связывания с одинаковым набором компьютеров. |
| Тип платформы | Указывает тип источников данных, доступных для DCR, Windows или Linux. Ни один из них не допускает обоих вариантов. 1 |
| Конечная точка сбора данных | Указывает конечную точку сбора данных (DCE), используемую для сбора данных. DCE требуется только в том случае, если используется источник данных, который требует его. Эти источники данных будут серыми на вкладке "Добавить источник данных ", если DCE не выбран. Для большинства реализаций можно использовать один DCE для каждой рабочей области Log Analytics. Дополнительные сведения о создании DCE см. в статье "Создание конечной точки сбора данных ". |
1 Этот параметр задает kind атрибут в DCR. Вы можете задать другие значения для этого атрибута, но значения недоступны для выбора на портале.
Добавить ресурсы
На панели "Ресурсы" выберите "Добавить ресурсы ", чтобы добавить виртуальные машины, которые будут использовать DCR. Вам еще не нужно добавлять виртуальные машины, так как после создания и добавления и удаления ресурсов можно обновить DCR. Если выбрать включение конечных точек сбора данных на вкладке "Ресурсы" , можно выбрать DCE для каждой виртуальной машины. Это необходимо только в том случае, если вы используете приватные ссылки Azure Monitor. В противном случае не выбирайте этот параметр.
Замечание
Невозможно добавить масштабируемый набор виртуальных машин с гибкой оркестрацией в качестве ресурса для DCR. Вместо этого добавьте каждую виртуальную машину, включенную в масштабируемый набор виртуальных машин.
Это важно
При добавлении ресурсов в DCR в портале Azure по умолчанию предлагается включение управляемого удостоверения, назначаемого системой, для добавляемых ресурсов. Для существующих приложений, если управляемое удостоверение, назначаемое пользователем, уже установлено и если вы не указываете это удостоверение при добавлении ресурса в DCR через портал, то автоматически используется назначенное системой удостоверение, применяемое DCR.
Добавление источников данных
В области "Сбор и доставка " выберите "Добавить источник данных ", чтобы добавить и настроить источники данных и назначения для DCR. Можно добавить несколько источников данных в один DCR или создать несколько DCR с различными источниками данных. DCR может содержать до 10 источников данных, а виртуальная машина может использовать любое количество DCR.
| Настройки | Описание |
|---|---|
| Источник данных | Выберите тип источника данных и укажите значения полей на основе выбранного типа источника данных. Дополнительные сведения о настройке каждого типа источника данных см. в разделе "Добавление источников данных ". |
| Назначение | Добавьте одно или несколько назначений для каждого источника данных. Некоторые источники данных разрешают только одно назначение. Если вам нужно несколько пунктов назначения, создайте другой DCR. Хотя вы можете выбрать несколько мест назначения одного типа для некоторых источников данных, имейте в виду, что это ведет к отправке повторяющихся данных в каждое место назначения и увеличению расходов. Смотреть сведения о каждом типе данных для поддерживаемых мест назначений. |
Добавление источников данных
В следующей таблице перечислены типы данных, которые можно собирать с клиента виртуальной машины с помощью Azure Monitor и где можно отправлять эти данные. См. связанную статью, чтобы узнать, как настроить данный источник данных.
| Источник данных | Описание | ОС клиента | Назначения |
|---|---|---|---|
| События Windows | Сведения, отправляемые в систему ведения журналов событий Windows, включая события sysmon | Виндоус | Рабочая область Log Analytics |
| Счетчики производительности | Числовые значения, измеряющие производительность различных аспектов операционной системы и рабочих нагрузок | Виндоус Линукс |
Метрики Azure Monitor (предварительная версия) Рабочая область Log Analytics |
| Метрики OpenTelemetry | Счетчики производительности OpenTelemetry из гостевой операционной системы | Виндоус Линукс |
Рабочая область Azure Monitor |
| Системный журнал | Сведения, отправленные в систему ведения журнала событий Linux | Линукс | Рабочая область Log Analytics |
| Текстовый журнал | Сведения, отправленные в текстовый файл журнала на локальном диске | Виндоус Линукс |
Рабочая область Log Analytics |
| Лог JSON | Сведения, отправленные в файл журнала JSON на локальном диске | Виндоус Линукс |
Рабочая область Log Analytics |
| журналы IIS | Журналы службы IIS с локального диска компьютеров Windows | Виндоус | Рабочая область Log Analytics |
| Ловушки SNMP | Опрос и ловушка данных SNMP, отправленные в таблицу данных Системного журнала или пользовательскую текстовую таблицу | Линукс | Рабочая область Log Analytics |
| Журналы брандмауэра Windows | Данные журнала брандмауэра клиента и сервера Windows, собранные с помощью DCR и решения "Безопасность и аудит" из Marketplace на портале Azure | Виндоус | Рабочая область Log Analytics |
Проверка операции
После создания DCR данные могут быть отправлены в конечные пункты назначения в течение 5 минут. Вы можете убедиться, что агент работает и что данные собираются, запрашивая данные в рабочей области Log Analytics.
Проверка операции агента
Убедитесь, что агент работает и правильно взаимодействует с Azure Monitor, проверив пульс виртуальной машины. Когда агент правильно взаимодействует с Azure Monitor, он отправляет запись в таблицу Heartbeat каждую минуту.
На виртуальной машине на портале Azure выберите журналы, а затем нажмите кнопку Таблицы. В категории "Виртуальные машины" нажмите "Выполнить" рядом с Heartbeat. Если агент правильно взаимодействует, вы увидите записи пульса для виртуальной машины.
Убедитесь, что записи получены
Убедившись, что агент правильно взаимодействует, убедитесь, что ожидаемые данные собираются. Используйте тот же процесс, что и выше, чтобы просмотреть данные в таблице для настроенного источника данных. В следующей таблице перечислены категории и таблицы для каждого источника данных.
| Источник данных | Категория | Таблица |
|---|---|---|
| События Windows | Виртуальные машины | Событие |
| Счетчики производительности | Виртуальные машины | Перф |
| Метрики OpenTelemetry | Виртуальные машины | Рабочая область Azure Monitor |
| Системный журнал | Виртуальные машины | Системный журнал |
| журналы IIS | Виртуальные машины | W3CIISLog |
| Текстовый журнал | Пользовательские журналы | <Имя настраиваемой таблицы> |
| Лог JSON | Пользовательские журналы | <Имя настраиваемой таблицы> |
Предупреждение о повторяющихся данных
Будьте осторожны со следующими сценариями, которые могут привести к сбору повторяющихся данных, которые увеличат расходы на выставление счетов:
- Создание нескольких контроллеров домена с одинаковым источником данных и связывание их с одной виртуальной машиной. Если у вас есть контроллеры домена с тем же источником данных, убедитесь, что они настроены для фильтрации уникальных данных.
- Создание DCR, который собирает журналы безопасности и активирует Microsoft Sentinel для тех же виртуальных машин. В этом случае одни и те же события будут отправляться в таблицу событий (Azure Monitor) и в таблице SecurityEvent (Microsoft Sentinel).
- Создание DCR для виртуальной машины, которая также выполняет устаревший агент Log Analytics на том же компьютере. Оба могут собирать идентичные данные и хранить их в одной таблице. Следуйте инструкциям в статье "Миграция в агент Azure Monitor" из агента Log Analytics , чтобы перейти из устаревшего агента.
См. статью "Управление сопоставлениями правил сбора данных" в Azure Monitor, чтобы перечислить правила сбора данных (DCR), связанные с виртуальной машиной на портале Azure. Для перечисления всех правил сбора данных (DCR) для виртуальной машины можно также использовать следующую команду PowerShell:
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
Связанный контент
- Обзор агента Azure Monitor . Узнайте, как агент Azure Monitor собирает данные из виртуальных машин.
- Правила сбора данных в Azure Monitor - Узнайте, как правила сбора данных определяют источники, назначения и связи.
- Сбор счетчиков производительности с виртуальных машин с помощью Azure Monitor — настройка коллекции счетчиков производительности для мониторинга на основе журналов.
- Руководство. Сбор гостевых журналов с виртуальной машины Azure. Пошаговое руководство по сбору журналов событий Windows или Системного журнала с отслеживаемой виртуальной машины.