Migrera till Azure Monitor-agenten från Log Analytics-agenten

Artikel
04/07/2024

Azure Monitor Agent (AMA) ersätter Log Analytics-agenten (även kallad Microsoft Monitor Agent (MMA) och OMS för Windows- och Linux-datorer, i Azure- och icke-Azure-miljöer, inklusive lokala moln och moln från tredje part. Agenten introducerar en förenklad, flexibel metod för att konfigurera datadocka med hjälp av datainsamlingsregler (DCR). Den här artikeln innehåller vägledning om hur du implementerar en lyckad migrering från Log Analytics-agenten till Azure Monitor Agent.

Om du för närvarande använder Log Analytics-agenten med Azure Monitor eller andra funktioner och tjänster som stöds börjar du planera migreringen till Azure Monitor Agent med hjälp av informationen i den här artikeln. Om du använder Log Analytics-agenten för SCOM måste du migrera till SCOM-agenten.

Log Analytics-agenten dras tillbaka den 31 augusti 2024. Du kan förvänta dig följande när du använder MMA- eller OMS-agenten efter det här datumet.

Datauppladdning: Du kan fortfarande ladda upp data. Någon gång när större kunder har slutfört migreringen och datavolymerna minskar avsevärt kommer uppladdningen att avbrytas. Du kan förvänta dig att detta tar minst 6 till 9 månader. Du får inget meddelande om icke-bakåtkompatibel ändring av avstängningen.

Installera eller installera om: Du kan fortfarande installera och installera om de äldre agenterna. Du kommer inte att kunna få stöd för att installera eller installera om problem.

Kundsupport: Du kan förvänta dig support för MMA/OMS för säkerhetsproblem.

Förmåner

Förutom att konsolidera och förbättra äldre Log Analytics-agenter ger Azure Monitor Agent olika omedelbara fördelar, inklusive kostnadsbesparingar, en förenklad hanteringsupplevelse och förbättrad säkerhet och prestanda.

Vägledning för migrering

Granska checklistan innan du börjar migrera från Log Analytics-agenten till Azure Monitor Agent.

Innan du börjar

Kontrollera förutsättningarna för att installera Azure Monitor-agenten.
Om du vill övervaka icke-Azure- och lokala servrar måste du installera Azure Arc-agenten. Arc-agenten gör dina lokala servrar synliga för Azure som en resurs som den kan rikta in sig på. Du debiteras ingen extra kostnad för att installera Azure Arc-agenten.
Förstå dina aktuella behov.
Använd fliken Arbetsyteöversikt i AMA Migration Helper för att se anslutna agenter och identifiera lösningar som är aktiverade på dina Log Analytics-arbetsytor som använder äldre agenter, inklusive migreringsrekommendationer per lösning.
Kontrollera att Azure Monitor-agenten kan uppfylla alla dina behov.
Azure Monitor-agenten är allmän tillgänglighet (GA) för datainsamling och används för datainsamling av olika Azure Monitor-funktioner och andra Azure-tjänster. Mer information finns i Tjänster och funktioner som stöds.
Överväg att installera Azure Monitor Agent tillsammans med en äldre agent under en övergångsperiod.
Kör Azure Monitor Agent tillsammans med den äldre Log Analytics-agenten på samma dator för att fortsätta använda befintliga funktioner under utvärderingen eller migreringen. Tänk på att om du kör två agenter på samma dator fördubblas resursförbrukningen, inklusive men inte begränsat till PROCESSOR, minne, lagringsutrymme och nätverksbandbredd.
- Om du konfigurerar en ny miljö med resurser, till exempel distributionsskript och registreringsmallar, installerar du Azure Monitor Agent tillsammans med en äldre agent i din nya miljö för att minska migreringsarbetet senare.
- Om du har två agenter på samma dator bör du undvika att samla in dubblettdata.
  Att samla in dubblettdata från samma dator kan förvränga frågeresultat, påverka underordnade funktioner som aviseringar, instrumentpaneler och arbetsböcker och generera extra avgifter för datainmatning och kvarhållning.
  Så här undviker du dataduplicering:
  - Konfigurera agenterna att skicka data till olika arbetsytor eller olika tabeller på samma arbetsyta.
  - Inaktivera duplicerad datainsamling från äldre agenter genom att ta bort konfigurationerna för arbetsytan.
  - Defender för molnet deduplicerar data internt när du använder båda agenterna, och du debiteras en gång per dator när du kör agenterna sida vid sida.
  - För Sentinel kan du enkelt inaktivera den äldre anslutningsappen för att stoppa inmatning av loggar från äldre agenter.

Migreringstjänster och funktioner

Använd DCR-generatorn för att konvertera din äldre agentkonfiguration till datainsamlingsregler automatiskt.¹

Granska de genererade reglerna innan du skapar dem och dra nytta av avancerade alternativ, till exempel filtrering, detaljerad inriktning (per dator) och andra optimeringar. Det finns särskilda steg som krävs för att migrera anpassade MMA-loggar till anpassade AMA-loggar
Testa de nya agent- och datainsamlingsreglerna på några icke-produktionsdatorer:
1. Distribuera de genererade reglerna för datainsamling och associera dem med några datorer, enligt beskrivningen i Installera och använda DCR Config Generator.
  
  För att undvika dubbel inmatning kan du inaktivera datainsamling från äldre agenter under testfasen utan att avinstallera agenterna ännu genom att ta bort arbetsytekonfigurationerna för äldre agenter.
2. Se till att det inte finns några luckor, jämför data som matas in av äldre agentdata med Azure Monitor Agent. Du kan göra jämförelsen i valfri tabell med hjälp av kopplingsoperatorn för att lägga Category till kolumnen från tabellen Heartbeat , vilket anger Azure Monitor Agent för data som samlas in av Azure Monitor-agenten.
  
  Den här frågan lägger Category till exempel kolumnen från Heartbeat tabellen till data som hämtats från Event tabellen:
```
Heartbeat
| distinct Computer, SourceComputerId, Category
| join kind=inner (
    Event
| extend d=parse_xml(EventData)
    | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
    | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
    ) on $left.SourceComputerId==$right.sourceHealthServiceId
| project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
```
Använd inbyggda principer för att distribuera tillägg och DCR-associationer i stor skala. Med hjälp av principen säkerställs även automatisk distribution av tillägg och DCR-associationer för nya datorer.³

Använd AMA Migration Helper för att övervaka migreringen i stor skala mellan dina datorer.
Kontrollera att Azure Monitor Agent samlar in data som förväntat och att alla underordnade beroenden, till exempel instrumentpaneler, aviseringar och arbetsböcker, fungerar korrekt:
1. Titta på flikarna Översikt och Användning i Log Analytics Workspace Insights för toppar eller dalar i inmatningshastigheter efter migreringen. Kontrollera både den övergripande inmatningen av arbetsytan och inmatningshastigheten på tabellnivå.
2. Kontrollera dina arbetsböcker, instrumentpaneler och aviseringar om det finns avvikelser från typiskt beteende efter migreringen.
Rensa: När du har bekräftat att Azure Monitor Agent samlar in data korrekt inaktiverar eller avinstallerar du de äldre Log Analytics-agenterna.
- När Azure Monitor-agenten har installerats för alla dina krav avinstallerar du Log Analytics-agenten från övervakade resurser. Rensa alla konfigurationsfiler, arbetsytenycklar eller certifikat som användes tidigare av Log Analytics-agenten. Fortsätt att använda den äldre Log Analytics för funktioner och lösningar som Azure Monitor Agent inte stöder.
  
  Använd MMA-borttagningsverktyget för att identifiera och ta bort Log Analytics-agenttillägget från alla datorer i din klientorganisation.
- Avinstallera inte den äldre agenten om du behöver använda den för att ladda upp data till System Center Operations Manager.

¹ DCR-generatorn konverterar endast konfigurationerna för Windows-händelseloggar, Linux-syslog och prestandaräknare. Stöd för fler funktioner och lösningar kommer snart att vara tillgängligt.
² Du kan behöva distribuera tillägg som krävs för specifika lösningar utöver Azure Monitor Agent-tillägget.

Migrera ytterligare tjänster och funktioner

Azure Monitor-agenten är GA för datainsamling. De flesta tjänster som använde Log Analytics-agenten för datainsamling har migrerats till Azure Monitor Agent.

Följande funktioner och tjänster har nu en Azure Monitor Agent-version (vissa är fortfarande i offentlig förhandsversion). Det innebär att du redan kan välja att använda Azure Monitor Agent för att samla in data när du aktiverar funktionen eller tjänsten.

Tjänst eller funktion	Migreringsrekommendering	Aktuell status	Mer information
VM-insikter, tjänstkarta och beroendeagent	Migrera till Azure Monitor-agenten	Allmän tillgänglighet	Aktivera VM Insights
Microsoft Sentinel	Migrera till Azure Monitor-agenten	Allmänt tillgänglig förhandsversion	AMA-migrering för Microsoft Sentinel.
Ändringsspårning och inventering	Migrera till Azure Monitor-agenten	Allmän tillgänglighet	Migrering för Ändringsspårning och inventering
Network Watcher	Migrera till en ny tjänst med namnet Anslut ion Monitor med Azure Monitor Agent	Allmän tillgänglighet	Övervaka nätverksanslutningen med anslutningsövervakaren
Azure Stack HCI Insights	Migrera till Azure Monitor-agenten	Allmän tillgänglighet	Övervaka Azure Stack HCI med Insights
Azure Virtual Desktop -insikter (AVD)	Migrera till Azure Monitor-agenten	Allmän tillgänglighet	Azure Virtual Desktop Insights
Övervakningslösning för containrar	Migrera till en ny tjänst med namnet Container Insights med Azure Monitor Agent	Allmän tillgänglighet	Aktivera Container Insights
DNS-insamlare	Använda ny Sentinel-Anslut eller	Allmän tillgänglighet	Aktivera DNS-Anslut eller

När du migrerar följande tjänster, som för närvarande använder Log Analytics-agenten, till deras respektive ersättningar (v2), behöver du inte längre någon av övervakningsagenterna:

Tjänst	Migreringsrekommendering	Aktuell status	Mer information
Microsoft Defender för molnet, servrar, SQL och slutpunkt	Migrera till Microsoft Defender för molnet (Inget beroende av Log Analytics-agenter eller Azure Monitor-agent)	Allmän tillgänglighet	Defender för molnet plan för utfasning av Log Analytics-agent
Hantering av uppdateringar	Migrera till Azure Update Manager (inget beroende av Log Analytics-agenter eller Azure Monitor-agent)	Allmän tillgänglighet	Dokumentation om Update Manager
Översikt över Automation Hybrid Runbook Worker	Automation Hybrid Worker-tillägg (inget beroende av Log Analytics-agenter eller Azure Monitor Agent)	Allmän tillgänglighet	Migrera till tilläggsbaserade hybridarbetare

Kända paritetsluckor för lösningar som kan påverka migreringen

Sentinel: Windows-brandväggsloggar är ännu inte allmänt tillgängliga
SQL-utvärderingslösning: Detta är nu en del av SQL Best Practice-utvärdering. Distributionsprinciperna kräver en Log Analytics-arbetsyta per prenumeration, vilket inte är den bästa praxis som rekommenderas av AMA-teamet.
Microsoft Defender för molnet: Vissa funktioner för den nya agentlösa lösningen är under utveckling. Migreringen kan påverkas om du använder FIM (File Integraty Monitoring), rekommendationer för identifiering av slutpunktsskydd, OS-felkonfigurationer (Azure Security Benchmark-rekommendationer (ASB) och anpassningsbara programkontroller.
Container Insights: Windows-versionen är i offentlig förhandsversion.

Vanliga frågor och svar

Det här avsnittet innehåller svar på vanliga frågor.

Kan Azure Monitor-agenten och Log Analytics-agenten samexistera sida vid sida?

Ja. Om du migrerar till Azure Monitor Agent kan du överväga att installera Azure Monitor Agent tillsammans med en äldre agent under en övergångsperiod, men du måste tänka på vissa överväganden. Läs mer om överväganden för agentens samexistens i migreringsvägledningen för Azure Monitor Agent.

Nästa steg

Mer information finns i: