Samla in data med Azure Monitor Agent
Azure Monitor-agenten (AMA) används för att samla in data från virtuella Azure-datorer, VM-skalningsuppsättningar och Arc-aktiverade servrar. Regler för datainsamling (DCR) definierar de data som ska samlas in från agenten och var dessa data ska skickas. Den här artikeln beskriver hur du använder Azure Portal för att skapa en DCR för att samla in olika typer av data och installera agenten på alla datorer som kräver det.
Om du är nybörjare på Azure Monitor eller har grundläggande krav på datainsamling kan du kanske uppfylla alla dina krav med hjälp av Azure Portal och vägledningen i den här artikeln. Om du vill dra nytta av ytterligare DCR-funktioner, till exempel transformeringar, kan du behöva skapa en DCR med hjälp av andra metoder eller redigera den när du har skapat den i portalen. Du kan också använda olika metoder för att hantera domänkontrollanter och skapa associationer om du vill distribuera med HJÄLP av CLI, PowerShell, ARM-mallar eller Azure Policy.
Kommentar
Om du vill skicka data mellan klienter måste du först aktivera Azure Lighthouse.
Varning
Följande fall kan samla in dubblettdata som kan leda till ytterligare avgifter.
- Skapa flera domänkontrollanter med samma datakälla och associera dem med samma agent. Se till att du filtrerar data i domänkontrollanterna så att var och en samlar in unika data.
- Skapa en DCR som samlar in säkerhetsloggar och aktiverar Sentinel för samma agenter. I det här fallet kan du samla in samma händelser i tabellen Händelse och tabellen SecurityEvent.
- Använda både Azure Monitor-agenten och den äldre Log Analytics-agenten på samma dator. Begränsa duplicerade händelser till endast den tid då du övergår från en agent till en annan.
Datakällor
Tabellen nedan visar de typer av data som du för närvarande kan samla in med Azure Monitor-agenten och var du kan skicka dessa data. Länken för var och en är till en artikel som beskriver information om hur du konfigurerar datakällan. Följ den här artikeln för att skapa DCR och tilldela den till resurser och följ sedan den länkade artikeln för att konfigurera datakällan.
| Data source | beskrivning | Klientens operativsystem | Destinationer |
|---|---|---|---|
| Windows-händelser | Information som skickas till Windows händelseloggningssystem, inklusive sysmon-händelser. | Windows | Log Analytics-arbetsyta |
| Prestandaräknare | Numeriska värden som mäter prestanda för olika aspekter av operativsystem och arbetsbelastningar. | Windows Linux |
Azure Monitor-mått (förhandsversion) Log Analytics-arbetsyta |
| Syslog | Information som skickas till Linux-händelseloggningssystemet. | Linux | Log Analytics-arbetsyta |
| Textlogg | Information som skickas till en textloggfil på en lokal disk. | Windows Linux |
Log Analytics-arbetsyta |
| JSON-logg | Information som skickas till en JSON-loggfil på en lokal disk. | Windows Linux |
Log Analytics-arbetsyta |
| IIS-loggar | IIS-loggar (Internet Information Service) från den lokala disken för Windows-datorer | Windows | Log Analytics-arbetsyta |
Kommentar
Azure Monitor-agenten har också stöd för Azure-tjänsten SQL Best Practices Assessment som för närvarande är allmänt tillgänglig. Mer information finns i Konfigurera utvärdering av metodtips med Hjälp av Azure Monitor Agent.
Förutsättningar
- Behörigheter för att skapa datainsamlingsregelobjekt på arbetsytan.
- Se artikeln som beskriver varje datakälla för ytterligare krav.
Översikt
När du skapar en domänkontrollant i Azure Portal går du igenom en serie sidor för att ange den information som behövs för att samla in data från de datorer som du anger. I följande tabell beskrivs den information som du behöver ange på varje sida.
| Avsnitt | beskrivning |
|---|---|
| Resurser | Datorer som ska använda DCR. När du lägger till en dator i DCR skapar den en datainsamlingsregelassociation (DCRA) mellan datorn och DCR. Du kan redigera DCR för att lägga till eller ta bort datorer när den har skapats. |
| Data source | Vilken typ av data som ska samlas in från datorn. Listan över tillgängliga datakällor visas ovan i Datakällor. Varje datakälla har egna konfigurationsinställningar och potentiellt förutsättningar, så se den enskilda artikeln för var och en för mer information. |
| Mål | Mål där data som samlas in från datakällan ska skickas. Om du har flera datakällor i DCR kan de skickas till separata mål och data från en enda datakälla kan skickas till flera mål. Mer information om deras mål, till exempel tabellen på Log Analytics-arbetsytan, finns i artikeln för varje datakälla. |
Detaljerade anvisningar om hur du skapar en DCR med hjälp av Azure Portal finns i Skapa regler för datainsamling.
Verifiera åtgärden
När du har skapat en domänkontrollant och associerat den med en dator kan du kontrollera att agenten är i drift och att data samlas in genom att köra frågor på Log Analytics-arbetsytan.
Verifiera agentåtgärd
Kontrollera att agenten fungerar och kommunicerar korrekt genom att köra följande fråga i Log Analytics för att kontrollera om det finns några poster i tabellen Pulsslag . En post ska skickas till den här tabellen från varje agent varje minut.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Kontrollera att poster tas emot
Det tar några minuter innan agenten installeras och börjar köra nya eller ändrade domänkontrollanter. Du kan sedan kontrollera att poster tas emot från var och en av dina datakällor genom att kontrollera tabellen som var och en skriver till på Log Analytics-arbetsytan. Följande fråga söker till exempel efter Windows-händelser i tabellen Händelse .
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Felsökning
Gå igenom följande steg om du inte samlar in data som du förväntar dig.
- Kontrollera att agenten är installerad och körs på datorn.
- Se avsnittet Felsökning i artikeln för den datakälla som du har problem med.
- Se Övervaka och felsöka DCR-datainsamling i Azure Monitor för att aktivera övervakning för DCR.
- Visa mått för att avgöra om data samlas in och om några rader tas bort.
- Visa loggar för att identifiera fel i datainsamlingen.
Nästa steg
- Samla in textloggar med hjälp av Azure Monitor Agent.
- Läs mer om Azure Monitor Agent.
- Läs mer om regler för datainsamling.