Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается процесс миграции в агент мониторинга Azure (AMA) при наличии существующего устаревшего агента Log Analytics (MMA/OMS) и работы с Microsoft Sentinel.
Агент Log Analytics прекращен с 31 августа 2024 г. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется выполнить миграцию в AMA.
Предварительные условия
- Начните с документации по мониторингу Azure, которая содержит сравнение агентов и общие сведения для этого процесса миграции. В этой статье приводятся конкретные сведения и различия для Microsoft Sentinel.
Переход на агент мониторинга Azure
Каждая организация будет иметь различные метрики успеха и внутренних процессов миграции. В этом разделе приводятся рекомендации, которые следует учитывать при переходе с агента MMA/OMS Log Analytics на AMA, специально для Microsoft Sentinel.
Выполните следующие действия в процессе миграции.
Убедитесь, что вы ознакомились с необходимыми предварительными условиями и другими рекомендациями, как описано в документации по мониторингу Azure. Дополнительные сведения см. в разделе Перед началом работы.
Выполните подтверждение концепции, чтобы проверить, как AMA отправляет данные в Microsoft Sentinel, в идеале в среде разработки или песочницы.
В Microsoft Sentinel установите решение Microsoft Sentinel событий Безопасность Windows. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Чтобы подключить компьютеры Windows к соединителю событий Безопасность Windows, начните со страницы Безопасность Windows События через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в разделе Подключения на основе агента Windows.
Перейдите на страницу События безопасности через соединитель данных устаревшего агента . На вкладке Инструкции в разделе Настройка>Шаг 2>Выберите события для потоковой передачи выберите Нет. Это настраивает вашу систему так, что вы не будете получать никакие события безопасности через MMA/OMS, но другие источники данных, использующие этот агент, будут продолжать работать. Этот шаг влияет на все компьютеры, отчеты в текущую рабочую область Log Analytics.
Важно!
Прием данных из одного источника с помощью двух разных типов агентов приведет к двойной оплате приема и дублированию событий в рабочей области Microsoft Sentinel.
Если вам нужно поддерживать одновременное выполнение обоих соединителей данных, рекомендуется делать это только в течение ограниченного времени для тестового тестирования или действия сравнения тестов, в идеале в отдельной рабочей области тестирования.
Оцените успешность подтверждения концепции.
Чтобы помочь в этом шаге, используйте книгу отслеживания миграции AMA , в которой отображаются серверы, отчеты для рабочих областей, а также установлены ли на них устаревшие MMA, AMA или оба агента. Эту книгу также можно использовать для просмотра событий, собираемых с компьютеров, и событий, которые они собирают.
Обязательно выберите подписку и группу ресурсов в верхней части книги, чтобы отобразить данные для вашей среды. Например, вы можете:
Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.
Критерии успешности должны включать статистический анализ и сравнение количественных данных, принятых агентами MMA/OMS и AMA на одном узле:
Измеряйте успех за предопределенный период времени, который представляет собой обычную рабочую нагрузку для вашей среды.
Во время тестирования обязательно протестируйте каждую новую функцию, предоставляемую AMA, например Linux с несколькими адресами, фильтрацию событий Windows и т. д.
Спланируйте развертывание агентов AMA в рабочей среде в соответствии с профилем рисков и процессами изменений вашей организации.
Разверните новый агент в рабочей среде и запустите окончательную проверку функциональности AMA.
Отключите все соединители данных, которые используют устаревший соединитель, например события безопасности с ПОМОЩЬЮ MMA. Оставьте новый соединитель, например Безопасность Windows события с AMA, запущенным.
Хотя вы можете использовать как устаревшие агенты MMA/OMS, так и агенты AMA параллельно, предотвратите дублирование затрат и данных, убедившись, что каждый источник данных использует только один агент для отправки данных в Microsoft Sentinel.
Проверьте рабочую область Microsoft Sentinel, чтобы убедиться, что все потоки данных были заменены с помощью новых соединителей на основе AMA.
Удалите устаревший агент. Дополнительные сведения см. в статье Управление агентом Log Analytics Azure.
Для развертывания в рабочей среде рекомендуется настроить AMA для каждого источника данных. Чтобы устранить проблемы с дублированием, ознакомьтесь с соответствующими часто задаваемыми вопросами в документации по Azure Monitor.
Связанные материалы
Дополнительные сведения см. в разделе: