你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从 Log Analytics 代理迁移到 Azure Monitor 代理

Azure Monitor 代理 (AMA) 会替换 Windows 和 Linux 计算机的 Log Analytics 代理(也称为 MMA 和 OMS),不管是在 Azure 环境中还是在非 Azure 环境(本地和第三方云)中。 代理引入了一种简化、灵活的方法,用于使用数据收集规则 (DCR) 配置数据收集。 本文提供有关如何从 Log Analytics 代理成功迁移到 Azure Monitor 代理的指南。

如果当前将 Log Analytics 代理与 Azure Monitor 或其他受支持的功能和服务一起使用,可以使用本文中的信息开始规划迁移到 Azure Monitor 代理。 如果使用的是 SCOM 的 Log Analytics 代理,则需要迁移到 SCOM 代理

Log Analytics 代理将于 2024 年 8 月 31 日停用。 在此日期之后使用 MMA 或 OMS 代理时,应该会出现以下情况。

  • 数据上传:仍可以上传数据。 当主要客户完成迁移,数据量大幅下降时,上传将暂停。 预计这至少需要 6 到 9 个月。 你不会收到有关暂停的中断性变更通知。
  • 安装或重新安装:仍可以安装和重新安装旧版代理程序。 你将无法获取有关安装或重新安装问题的支持。
  • 客户支持:应该可以获得有关 MMA/OMS 安全问题的支持。

好处

除了整合和改进旧版 Log Analytics 代理外,Azure Monitor Agent 还具有各种直接优势,包括节省成本、简化的管理体验以及增强的安全性和性能。

迁移指南

在开始从 Log Analytics 代理迁移到 Azure Monitor 代理之前,请核对以下清单。

准备阶段

  • 检查安装 Azure Monitor 代理的先决条件
    若要监视非 Azure 服务器和本地服务器,必须安装 Azure Arc 代理。 Arc 代理让本地服务器能够作为它可面向的资源对 Azure 可见。 安装 Azure Arc 代理不会产生任何额外费用。
  • 了解当前需求。
    使用 AMA 迁移助手的“工作区概述”选项卡查看连接的代理,并发现在使用旧版代理程序的 Log Analytics 工作区上启用的解决方案,包括每个解决方案的迁移建议。
  • 验证 Azure Monitor 代理能否满足你的所有需求。
    Azure Monitor 代理通常可用于数据收集,并用于各种 Azure Monitor 功能和其他 Azure 服务的数据收集。 有关详细信息,请参阅支持的服务和功能
  • 考虑在过渡期间同时安装 Azure Monitor 代理和旧版代理程序。
    在同一台计算机上同时运行 Azure Monitor 代理和旧版 Log Analytics 代理,以便在评估或迁移期间继续使用现有功能。 请记住,在同一计算机上运行两个代理会导致资源消耗翻倍,包括但不限于 CPU、内存、存储空间和网络带宽。
    • 如果要使用部署脚本和载入模板等资源设置新环境,请在新环境中安装 Azure Monitor 代理和旧版代理,以减少以后的迁移工作。
    • 如果同一台计算机上有两个代理,请避免收集重复数据。
      从同一台计算机收集重复数据可能会扭曲查询结果,影响警报、仪表板、工作簿等下游功能,产生额外的数据引入和保留费用。
      若要避免数据重复:
      • 配置代理以将数据发送到不同工作区或同一工作区中的不同表。
      • 通过删除工作区配置来禁用旧版代理程序中的重复数据收集。
      • 同时使用两个代理时,Defender for Cloud 会以本机方式删除重复数据,并行运行代理时,每台计算机计费一次
      • 对于 Sentinel,你可以轻松禁用旧版连接器以停止从旧版代理程序引入日志。

迁移步骤

Flow diagram that shows the steps involved in agent migration and how the migration tools help in generating DCRs and tracking the entire migration process.

  1. 使用 DCR 生成器自动将旧版代理程序配置转换为数据收集规则1

    在创建生成的规则之前请检查它们,并利用高级选项,例如筛选、精细目标(每个计算机)和其他优化。 将 MMA 自定义日志迁移到 AMA 自定义日志需要执行一些特殊步骤

  2. 在一些非生产计算机上测试新的代理和数据收集规则:

    1. 部署生成的数据收集规则并将其与几台计算机关联,如安装和使用 DCR 配置生成器中所述。

      为避免双重引入,只需删除旧版代理程序的工作区配置,即可从旧版代理程序禁用数据收集,而无需卸载代理。

    2. 将 Azure Monitor 代理引入的数据与旧版代理程序数据进行比较,以确保没有差距。 你可以在任何表上执行此操作,方法是使用联接运算符添加检测信号表中的 Category 列,该表指示 Azure Monitor 代理收集的数据的 Azure Monitor Agent

      例如,此查询将 Heartbeat 表中的 Category 列添加到从 Event 表中检索到的数据:

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      
  3. 使用内置策略大规模部署扩展和 DCR 关联。 使用策略还可以确保为新的计算机自动部署扩展和 DCR 关联。3

    使用 AMA 迁移助手监视跨计算机的大规模迁移。

  4. 验证 Azure Monitor 代理是否按预期收集数据,以及所有下游依赖项(例如仪表板、警报和工作簿)是否正常运行:

    1. 查看 Log Analytics 工作区见解的“概述”和“使用情况”选项卡,了解迁移后引入速率的峰值或低值。 检查整个工作区引入和表级别引入速率。
    2. 检查工作簿、仪表板和警报,了解迁移后典型行为的差异。
  5. 清理:确认 Azure Monitor 代理正在正确收集数据后,禁用或卸载旧版 Log Analytics 代理。

    • 如果已根据所有需求迁移到 Azure Monitor 代理,则可以从受监视的资源中卸载 Log Analytics 代理。 清理 Log Analytics 代理以前所使用的任何配置文件、工作区密钥或证书。 继续使用旧版 Log Analytics 获取 Azure Monitor 代理不支持的功能和解决方案。

      使用 MMA 移除工具从租户中的所有计算机中发现并移除 Log Analytics 代理扩展。

    • 如果需要使用旧版代理程序将数据上传到 System Center Operations Manager,请不要卸载旧版代理程序。

1 DCR 生成器仅转换 Windows 事件日志、Linux 系统日志和性能计数器的配置。 即将推出对更多功能和解决方案的支持。
2 除了 Azure Monitor 代理扩展之外,你可能还需要部署特定解决方案所需的扩展

迁移附加服务和功能

Azure Monitor 代理通常可用于数据收集。 使用了 Log Analytics 代理进行数据收集的大多数服务都已迁移到 Azure Monitor 代理。

以下功能和服务现在有 Azure Monitor 代理版本(部分功能和服务仍为公共预览版)。 这意味着,在启用功能或服务时,你已可以选择使用 Azure Monitor 代理来收集数据。

服务或功能 迁移建议 当前状态 更多信息
虚拟机见解、服务映射和依赖项代理 迁移到 Azure Monitor 代理 正式发布 启用 VM 见解
Microsoft Sentinel 迁移到 Azure Monitor 代理 公共预览版 适用于 Microsoft Sentinel 的 AMA 迁移
更改跟踪和清单 迁移到 Azure Monitor 代理 正式发布 适用于更改跟踪和清单的迁移
网络观察程序 使用 Azure Monitor 代理迁移到名为“连接监视器”的新服务 正式发布 使用连接监视器监视网络连接
Azure Stack HCI Insights 迁移到 Azure Monitor 代理 正式发布 使用 Insights 监视 Azure Stack HCI
Azure 虚拟桌面 (AVD) 见解 迁移到 Azure Monitor 代理 正式发布 Azure Virtual Desktop Insights
容器监视解决方案 使用 Azure Monitor 代理迁移到名为“容器见解”的新服务 正式发布 启用容器见解
DNS 收集器 使用新的 Sentinel 连接器 正式发布 启用 DNS 连接器

将当前使用 Log Analytics 代理的以下服务迁移到其各自的替换项 (v2) 后,不再需要任何一个监视代理:

服务 迁移建议 当前状态 详细信息
Microsoft Defender for Cloud、Servers、SQL 和 Endpoint 迁移到 Microsoft Defender for Cloud(不依赖于 Log Analytics 代理或 Azure Monitor 代理) 正式发布 面向 Log Analytics 代理弃用的 Defender for Cloud 计划
更新管理 迁移到 Azure 更新管理器(不依赖于 Log Analytics 代理或 Azure Monitor 代理) 正式发布 更新管理员文档
自动化混合 Runbook 辅助角色概述 自动化混合辅助角色扩展(不依赖于 Log Analytics 代理或 Azure Monitor 代理) 正式发布 迁移到基于扩展的混合辅助角色

可能影响迁移的解决方案的已知奇偶校验差距

  • Sentinel:CEF 和 Windows 防火墙日志尚未正式发布
  • SQL 评估解决方案:这现在是 SQL 最佳做法评估的一部分。 部署策略要求每个订阅一个 Log Analytics 工作区,这不是 AMA 团队建议的最佳做法。
  • Microsoft Defender for cloud:新的无代理解决方案的一些功能正在开发中。 如果使用 FIM、终结点保护发现建议、OS 配置错误(ASB 建议)和自适应应用程序控制,则迁移可能会受到影响。
  • 容器见解:Windows 版本为公共预览版。

常见问题解答

本部分提供常见问题的解答。

Azure Monitor 代理和 Log Analytics 代理是否可以共存?

是的。 如果要迁移到 Azure Monitor 代理,可以考虑在过渡期内将 Azure Monitor 代理与旧代理一起安装,但必须注意某些注意事项。 详细阅读《Azure Monitor 代理迁移指导》中的代理共存注意事项。

后续步骤

有关详细信息,请参阅: