Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver migreringsprocessen till Azure Monitor Agent (AMA) när du har en befintlig, äldre Log Analytics-agent (MMA/OMS) och arbetar med Microsoft Sentinel.
Log Analytics-agenten har dragits tillbaka från och med den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel distribution rekommenderar vi att du migrerar till AMA.
Förhandskrav
- Börja med dokumentationen om Azure Monitor, som innehåller en agentjämförelse och allmän information för den här migreringsprocessen. Den här artikeln innehåller specifik information och skillnader för Microsoft Sentinel.
Migrera till Azure Monitor-agenten
Varje organisation har olika mått för lyckade och interna migreringsprocesser. Det här avsnittet innehåller förslag på vägledning att överväga när du migrerar från Log Analytics MMA/OMS-agenten till AMA, särskilt för Microsoft Sentinel.
Inkludera följande steg i migreringsprocessen:
Kontrollera att du har granskat nödvändiga krav och andra överväganden som beskrivs i Azure Monitor-dokumentationen. Mer information finns i Innan du börjar.
Kör ett konceptbevis för att testa hur AMA skickar data till Microsoft Sentinel, helst i en utvecklings- eller sandbox-miljö.
Installera lösningen Windows-säkerhet Events Microsoft Sentinel i Microsoft Sentinel. Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll.
Om du vill ansluta dina Windows-datorer till Windows-säkerhet Event Connector börjar du med sidan Windows-säkerhet Händelser via AMA-dataanslutning i Microsoft Sentinel. Mer information finns i Windows-agentbaserade anslutningar.
Fortsätt med sidan Säkerhetshändelser via äldre agentdataanslutning . På fliken Instruktioner går du till Konfiguration>steg 2>Välj vilka händelser som ska strömmas och väljer Ingen. Detta konfigurerar systemet så att du inte får några säkerhetshändelser via MMA/OMS, men andra datakällor som förlitar sig på den här agenten fortsätter att fungera. Det här steget påverkar alla datorer som rapporterar till din aktuella Log Analytics-arbetsyta.
Viktigt
Inmatning av data från samma källa med hjälp av två olika typer av agenter resulterar i dubbla avgifter för inmatning och duplicerade händelser i Microsoft Sentinel arbetsytan.
Om du behöver hålla båda dataanslutningarna igång samtidigt rekommenderar vi att du bara gör det under en begränsad tid för en benchmarking eller testjämförelseaktivitet, helst i en separat testarbetsyta.
Mät framgång för ditt konceptbevis.
För att hjälpa till med det här steget använder du arbetsboken för AMA-migreringsspårare , som visar servrarna som rapporterar till dina arbetsytor och om de har äldre MMA, AMA eller båda agenterna installerade. Du kan också använda den här arbetsboken för att visa dcrs som samlar in händelser från dina datorer och vilka händelser de samlar in.
Se till att välja prenumeration och resursgrupp överst i arbetsboken för att visa data för din miljö. Till exempel:
Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Framgångskriterierna bör innehålla en statistisk analys och jämförelse av de kvantitativa data som matas in av MMA/OMS- och AMA-agenterna på samma värd:
Mät din framgång under en fördefinierad tidsperiod som representerar en normal arbetsbelastning för din miljö.
När du testar bör du testa varje ny funktion som tillhandahålls av AMA, till exempel Linux multi-homing, Windows-händelsefiltrering och så vidare.
Planera distributionen för AMA-agenter i produktionsmiljön enligt organisationens riskprofil och ändringsprocesser.
Distribuera den nya agenten i produktionsmiljön och kör ett sista test av AMA-funktionerna.
Koppla från alla dataanslutningar som förlitar sig på den äldre anslutningsappen, till exempel säkerhetshändelser med MMA. Låt den nya anslutningsappen, till exempel Windows-säkerhet Händelser med AMA, vara igång.
Du kan ha både äldre MMA/OMS och AMA-agenterna parallellt, men förhindra duplicerade kostnader och data genom att se till att varje datakälla bara använder en agent för att skicka data till Microsoft Sentinel.
Kontrollera din Microsoft Sentinel arbetsyta för att se till att alla dina dataströmmar har ersatts med hjälp av de nya AMA-baserade anslutningsapparna.
Avinstallera den äldre agenten. Mer information finns i Hantera Azure Log Analytics-agenten.
För produktionsdistributionen rekommenderar vi att du konfigurerar AMA för varje datakälla. Information om problem med duplicering finns i relevanta vanliga frågor och svar i dokumentationen om Azure Monitor.
Relaterat innehåll
Mer information finns i: