Log Analytics aracısından Azure İzleyici Aracısı'na geçiş

Azure İzleyici Aracısı (AMA), Şirket içi ve üçüncü taraf bulutlar da dahil olmak üzere Azure ve Azure dışı ortamlarda Windows ve Linux makineleri için Log Analytics aracısının (Microsoft İzleyici Aracısı (MMA) ve OMS olarak da bilinir) yerini alır. Aracı, Veri Toplama Kurallarını (DCR) kullanarak veri toplamayı yapılandırmak için basitleştirilmiş, esnek bir yöntem sağlar. Bu makalede, Log Analytics aracısından Azure İzleyici Aracısı'na başarılı bir geçiş gerçekleştirme hakkında yönergeler sağlanır.

Şu anda Log Analytics aracısını Azure İzleyici veya desteklenen diğer özellikler ve hizmetlerle kullanıyorsanız, bu makaledeki bilgileri kullanarak Azure İzleyici Aracısı'na geçişinizi planlamaya başlayın. SCOM için Log Analytics Aracısı kullanıyorsanız SCOM Aracısı'na geçiş yapmanız gerekir.

Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Bu tarihten sonra MMA veya OMS aracısını kullandığınızda aşağıdakileri bekleyebilirsiniz.

• Veri yükleme: Yine de verileri karşıya yükleyebilirsiniz. Büyük müşterilerin geçişi tamamladığında ve veri hacimleri önemli ölçüde azaldığında karşıya yükleme askıya alınır. Bunun en az 6-9 ay sürmesini bekleyebilirsiniz. Askıya alma işleminin hataya neden olan değişiklik bildirimini almazsınız.
• Yükleme veya yeniden yükleme: Yine de eski aracıları yükleyebilir ve yeniden yükleyebilirsiniz. Yükleme veya yeniden yükleme sorunları için destek alamayacaksınız.
• Müşteri Desteği: Güvenlik sorunları için MMA/OMS desteği bekleyebilirsiniz.

Sosyal haklar

Azure İzleyici Aracısı, eski Log Analytics aracılarını birleştirmeye ve geliştirmeye ek olarak maliyet tasarrufu, basitleştirilmiş bir yönetim deneyimi ve gelişmiş güvenlik ve performans gibi çeşitli anında avantajlar sunar.

Geçiş kılavuzu

Log Analytics aracısından Azure İzleyici Aracısı'na geçişe başlamadan önce denetim listesini gözden geçirin.

Başlamadan önce

• Azure İzleyici Aracısı'nı yüklemek için önkoşulları denetleyin.
  Azure dışı ve şirket içi sunucuları izlemek için Azure Arc aracısını yüklemeniz gerekir. Arc aracısı, şirket içi sunucularınızın hedefleyebileceğiniz bir kaynak olarak Azure'da görünür olmasını sağlar. Azure Arc aracısını yüklemek için ek ücret ödemezsiniz.
• Geçerli gereksinimlerinizi anlayın.
  Bağlı aracıları görmek ve Log Analytics çalışma alanlarınızda etkin olan ve çözüm başına geçiş önerileri de dahil olmak üzere eski aracıları kullanan çözümleri bulmak için AMA Geçiş Yardımcısı'nın Çalışma Alanına genel bakış sekmesini kullanın.
• Azure İzleyici Aracısı'nın tüm gereksinimlerinizi karşılayabildiğini doğrulayın.
  Azure İzleyici Aracısı, veri toplamaya yönelik Genel Kullanılabilirlik (GA) hizmetidir ve çeşitli Azure İzleyici özellikleri ve diğer Azure hizmetleri tarafından veri toplama için kullanılır. Ayrıntılar için bkz . Desteklenen hizmetler ve özellikler.
• Geçiş dönemi için Azure İzleyici Aracısını eski bir aracıyla birlikte yüklemeyi göz önünde bulundurun.
  Değerlendirme veya geçiş sırasında mevcut işlevleri kullanmaya devam etmek için Azure İzleyici Aracısı'nı aynı makinede eski Log Analytics aracısı ile birlikte çalıştırın. Aynı makinede iki aracı çalıştırmanın, CPU, bellek, depolama alanı ve ağ bant genişliği dahil ancak bunlarla sınırlı olmamak üzere kaynak tüketimini ikiye katladığını unutmayın.
  
  • Dağıtım betikleri ve ekleme şablonları gibi kaynaklarla yeni bir ortam ayarlanıyorsa, daha sonra geçiş eforunu azaltmak için Azure İzleyici Aracısı'nı yeni ortamınıza eski bir aracıyla birlikte yükleyin.
  • Aynı makinede iki aracınız varsa yinelenen verileri toplamaktan kaçının.
    Aynı makineden yinelenen verileri toplamak sorgu sonuçlarını çarpıtabilir, uyarılar, panolar ve çalışma kitapları gibi aşağı akış özelliklerini etkileyebilir ve veri alımı ve saklama için ek ücret oluşturabilir.
    Veri yinelemesini önlemek için:
    • Aracıları, verileri aynı çalışma alanında farklı çalışma alanlarına veya farklı tablolara gönderecek şekilde yapılandırın.
    • Çalışma alanı yapılandırmalarını kaldırarak eski aracılardan yinelenen veri toplamayı devre dışı bırakın.
    • Bulut için Defender her iki aracıyı da kullandığınızda verileri yerel olarak yinelenenleri kaldırarak aracıları yan yana çalıştırdığınızda makine başına bir kez faturalandırılırsınız.
    • Sentinel için, eski aracılardan günlük alımını durdurmak için eski bağlayıcıyı kolayca devre dışı bırakabilirsiniz.

Geçiş hizmetleri ve özellikleri

1. Eski aracı yapılandırmanızı otomatik olarak veri toplama kurallarına dönüştürmek için DCR oluşturucuyu kullanın.¹

   Oluşturulan kuralları oluşturmadan önce gözden geçirin ve filtreleme, ayrıntılı hedefleme (makine başına) ve diğer iyileştirmeler gibi gelişmiş seçeneklerden yararlanın. MMA özel günlüklerini AMA özel günlüklerine geçirmek için gereken özel adımlar vardır

2. Yeni aracı ve veri toplama kurallarını birkaç üretim dışı makinede test edin:

   1. Oluşturulan veri toplama kurallarını dağıtın ve DCR Yapılandırma Oluşturucu'nu yükleme ve kullanma bölümünde açıklandığı gibi bunları birkaç makineyle ilişkilendirin.

      Çift alımı önlemek için, eski aracıların çalışma alanı yapılandırmalarını kaldırarak aracıları kaldırmadan test aşamasında eski aracılardan veri toplamayı devre dışı bırakabilirsiniz.

   2. Boşluk olmadığından emin olun, eski aracı verileri tarafından alınan verileri Azure İzleyici Aracısı ile karşılaştırın. Azure İzleyici Aracısı tarafından toplanan veriler için sinyal Azure Monitor Agent tablosundan Category sütunu eklemek için join işlecini kullanarak herhangi bir tabloda karşılaştırma yapabilirsiniz.

      Örneğin, bu sorgu tablodaki Category sütunu tablodan Heartbeat alınan Event verilere ekler:

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      

3. Uzantıları ve DCR ilişkilendirmelerini büyük ölçekte dağıtmak için yerleşik ilkeleri kullanın. İlkenin kullanılması, yeni makineler için uzantıların ve DCR ilişkilendirmelerinin otomatik olarak dağıtılmasını da sağlar.³

   Makineleriniz arasında ölçekli geçişi izlemek için AMA Geçiş Yardımcısı'nı kullanın.

4. Azure İzleyici Aracısı'nın verileri beklendiği gibi topladığını ve panolar, uyarılar ve çalışma kitapları gibi tüm aşağı akış bağımlılıklarının düzgün çalıştığını doğrulayın:

   1. Geçiş sonrasında alım oranlarında ani artışlar veya düşüşler için Log Analytics Çalışma Alanı Analizler Genel Bakış ve Kullanım sekmelerine bakın. Hem genel çalışma alanı alımını hem de tablo düzeyinde alım oranlarını denetleyin.
   2. Geçiş sonrasındaki tipik davranıştan kaynaklanan farklar için çalışma kitaplarınızı, panolarınızı ve uyarılarınızı denetleyin.

5. Temizleme: Azure İzleyici Aracısı'nın verileri düzgün topladığını onayladıktan sonra eski Log Analytics aracılarını devre dışı bırakın veya kaldırın.

   • Tüm gereksinimleriniz için Azure İzleyici Aracısı yüklendikten sonra izlenen kaynaklardan Log Analytics aracısını kaldırın. Daha önce Log Analytics aracısı tarafından kullanılan tüm yapılandırma dosyalarını, çalışma alanı anahtarlarını veya sertifikaları temizleyin. Azure İzleyici Aracısı'nın desteklemediği özellikler ve çözümler için eski Log Analytics'i kullanmaya devam edin.

     Log Analytics aracı uzantısını bulmak ve kiracınızdaki tüm makinelerden kaldırmak için MMA kaldırma aracını kullanın.

   • System Center Operations Manager'a veri yüklemek için kullanmanız gerekiyorsa eski aracıyı kaldırmayın.

¹ DCR oluşturucu yalnızca Windows olay günlükleri, Linux syslog ve performans sayaçları için yapılandırmaları dönüştürür. Yakında daha fazla özellik ve çözüm desteği sağlanacaktır.
² Azure İzleyici Aracısı uzantısına ek olarak belirli çözümler için gereken uzantıları dağıtmanız gerekebilir.

Ek hizmetleri ve özellikleri geçirme

Azure İzleyici Aracısı, veri toplama için GA'dır. Veri toplama için Log Analytics aracısını kullanan hizmetlerin çoğu Azure İzleyici Aracısı'na geçirildi.

Aşağıdaki özellikler ve hizmetler artık bir Azure İzleyici Aracısı sürümüne sahiptir (bazıları hala Genel Önizleme aşamasındadır). Bu, özelliği veya hizmeti etkinleştirdiğinizde veri toplamak için Azure İzleyici Aracısı'nı kullanmayı seçebileceğiniz anlamına gelir.

Hizmet veya özellik	Geçiş önerisi	Geçerli durum	Daha Fazla Bilgi
VM içgörüleri, Hizmet Eşlemesi ve Bağımlılık aracısı	Azure İzleyici Aracısı'na geçiş	GA	VM Analizler etkinleştirme
Microsoft Sentinel	Azure İzleyici Aracısı'na geçiş	Genel Önizleme	Microsoft Sentinel için AMA geçişi.
Değişiklik İzleme ve Envanter	Azure İzleyici Aracısı'na geçiş	GA	Değişiklik İzleme ve envanter için geçiş
Ağ İzleyicisi	Azure İzleyici Aracısı ile Bağlantı İzleyicisi adlı yeni hizmete geçiş	GA	Bağlantı izleyicisi kullanarak ağ bağlantısını izleme
Azure Stack HCI Analizler	Azure İzleyici Aracısı'na geçiş	GA	Azure Stack HCI'i Analizler ile izleme
Azure Sanal Masaüstü (AVD) Analizler	Azure İzleyici Aracısı'na geçiş	GA	Azure Sanal Masaüstü Analizler
Kapsayıcı İzleme Çözümü	Azure İzleyici Aracısı ile Container Analizler adlı yeni hizmete geçiş	GA	Kapsayıcı Analizler Etkinleştirme
DNS Toplayıcısı	Yeni Sentinel Bağlan veya kullan	GA	DNS Bağlan'yi etkinleştirme veya

Şu anda Log Analytics aracısını kullanan aşağıdaki hizmetleri ilgili değiştirmelerine (v2) geçirdiğinizde artık izleme aracılarından herhangi biri gerekmez:

Hizmet	Geçiş önerisi	Geçerli durum	Daha Fazla Bilgi
Bulut için Microsoft Defender, Sunucular, SQL ve Uç Nokta	Bulut için Microsoft Defender geçiş (Log Analytics aracılarına veya Azure İzleyici Aracısı'na bağımlılık yoktur)	GA	Log Analytics aracısını kullanımdan kaldırma için Bulut için Defender planı
Güncelleştirme yönetimi	Azure Update Manager'a geçiş (Log Analytics aracılarına veya Azure İzleyici Aracısı'na bağımlılık yoktur)	GA	Güncelleştirme Yöneticisi belgeleri
Otomasyon Karma Runbook Çalışanına genel bakış	Otomasyon Karma Çalışanı Uzantısı (Log Analytics aracılarına veya Azure İzleyici Aracısı'na bağımlılık yoktur)	GA	Uzantı Tabanlı Karma Çalışanlara Geçiş

Geçişinizi etkileyebilecek çözümler için bilinen eşlik boşlukları

• Sentinel: Windows güvenlik duvarı günlükleri henüz GA değil

• SQL Değerlendirme Çözümü: Bu artık SQL en iyi uygulama değerlendirmesinin bir parçasıdır. Dağıtım ilkeleri abonelik başına bir Log Analytics Çalışma Alanı gerektirir ve bu, AMA ekibi tarafından önerilen en iyi yöntem değildir.

• Bulut için Microsoft Defender: Yeni aracısız çözüme yönelik bazı özellikler geliştirme aşamasındadır. Dosya Tümleştirme İzleme (FIM), Uç nokta koruma bulma önerileri, işletim sistemi yanlış yapılandırmaları (Azure Güvenlik Karşılaştırması (ASB) önerileri) ve Uyarlamalı Uygulama denetimleri kullanıyorsanız geçişiniz etkilenmiş olabilir.

• Kapsayıcı Analizler: Windows sürümü genel önizleme aşamasındadır.

Sık sorulan sorular

Bu bölüm, sık sorulan soruların yanıtlarını sağlar.

Azure İzleyici Aracısı ile Log Analytics aracısı yan yana birlikte bulunabilir mi?

Evet. Azure İzleyici Aracısı'na geçiş gerçekleştiriyorsanız, geçiş dönemi için Azure İzleyici Aracısı'nın eski aracıyla birlikte yüklenmesini düşünebilirsiniz, ancak bazı önemli noktalara dikkat etmeniz gerekir. Azure İzleyici Aracısı geçiş kılavuzunda aracı birlikte bulunma konusunda dikkat edilmesi gerekenler hakkında daha fazla bilgi edinin.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Azure İzleyici Aracısı'na genel bakış
• Microsoft Sentinel için Azure İzleyici Aracısı geçişi
• Azure İzleyici Aracısı için sık sorulan sorular