Azure Monitor 中的 Wire Data 2.0(预览版)解决方案(已停用)
注意
已将 Wire Data 解决方案替换为 VM 见解和服务映射解决方案。 两者都使用 Log Analytics 代理和 Dependency Agent 将网络连接数据收集到 Azure Monitor 中。
Wire Data 解决方案支持将于“2022 年 3 月 31 日”结束。 在停用日期之前,使用 Wire Data 2.0(预览版)解决方案的现有客户可能会继续使用它。
新客户和现有客户应安装 VM 见解或服务映射解决方案。 它们收集的映射数据集与 Wire Data 2.0(预览版)数据集相当。 VM 见解包含服务映射数据集以及其他性能数据和特性以供分析。 这两个产品/服务都具有与 Microsoft Sentinel 的连接。
线路数据是通过 Log Analytics 代理(包括由环境中的 Operations Manager 监视的代理)从与 Windows 和 Linux 相连的计算机中收集的网络与性能整合数据。 网络数据与其他日志数据结合在一起,可帮助你将数据进行关联。
除了 Log Analytics 代理之外,Wire Data 解决方案使用在 IT 基础结构中的计算机上安装的 Microsoft 依赖关系代理。 依赖关系代理将监视 OSI 模型中处于网络层 2-3 层中的计算机接收和发送的网络数据,包括使用的各种协议和端口。 然后,这些代理将数据发送到 Azure Monitor。
迁移到 Azure Monitor VM 见解或服务映射
很多情况下,我们会发现,客户在同一虚拟机上经常同时启用了 Wire Data 2.0(预览版)和 VM 见解或服务映射解决方案。 这意味着你在虚拟机上启用了替代产品/服务。 只需从 Log Analytics 工作区中删除 Wire Data 2.0(预览版)解决方案即可。
如果仅在虚拟机上启用了 Wire Data 2.0(预览版),则可以将虚拟机加入 VM 见解或服务映射解决方案,然后从 Log Analytics 工作区中删除 Wire Data 2.0(预览版)解决方案。
将查询从 Azure Monitor VM 见解迁移到 VMConnection 表
提供数据的代理
Wire Data 2.0 查询
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
VM 见解和服务映射查询
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
提供数据的代理的 IP 地址
Wire Data 2.0 查询
WireData
| summarize AggregatedValue = count() by LocalIP
VM 见解和服务映射查询
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
通过远程 IP 地址的所有出站通信
Wire Data 2.0 查询
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
VM 见解和服务映射查询
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
协议名称接收的字节数
Wire Data 2.0 查询
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
VM 见解和服务映射查询
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
进程的网络流量数(以字节为单位)
Wire Data 2.0 查询
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
VM 见解和服务映射查询
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
更多示例查询
有关其他示例查询,请参阅 VM 见解日志搜索文档和 VM 见解警报文档。
卸载 Wire Data 2.0 解决方案
若要卸载 Wire Data 2.0,只需从 Log Analytics 工作区中删除该解决方案。 这可能引发以下情况:
- 从连接到工作区的虚拟机中删除 Wire Data 管理包。
- Wire Data 数据类型不再显示在工作区中
按照这些说明操作以删除 Wire Data 解决方案。
注意
如果工作区中有服务映射或 VM 见解解决方案,则不会删除管理包,因为这些解决方案也使用此管理包。
Wire Data 2.0 管理包
在 Log Analytics 工作区中激活 Wire Data 时,将向该工作区中的所有 Windows 服务器发送 300KB 的管理包。 若在连接的管理组中使用 System Center Operations Manager 代理,则会从 System Center Operations Manager 部署依赖关系监视器管理包。 如果代理是直接连接的,则 Azure Monitor 会传送管理包。
管理包名为 Microsoft.IntelligencePacks.ApplicationDependencyMonitor。 它将写入到 %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs。 管理包所使用的数据源是 %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<AutoGeneratedID>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll。
卸载 Dependency Agent
注意
如果计划用服务映射或 VM 见解替换 Wire Data,则不应删除 Dependency Agent。
使用以下部分帮助删除 Dependency Agent。
卸载 Windows 上的 Dependency Agent
管理员可通过“控制面板”卸载适用于 Windows 的 Dependency Agent。
管理员还可以运行 %Programfiles%\Microsoft Dependency Agent\Uninstall.exe 卸载 Dependency Agent。
卸载 Linux 上的 Dependency Agent
若要从 Linux 中彻底卸载 Dependency Agent,必须删除代理本身以及随该代理自动安装的连接器。 可使用以下单个命令同时卸载这两项:
rpm -e dependency-agent dependency-agent-connector
使用 Wire Data 2.0 解决方案
在 Azure 门户的 Log Analytics 工作区的“概览”页中,单击“Wire Data 2.0”磁贴打开 Wire Data 仪表板。 仪表板包含下表中的部分。 每个部分按照指定范围和时间范围列出了匹配该部分条件的最多 10 个项。 可单击该部分底部的“全部查看”或单击部分标题来运行一个会返回所有记录的日志搜索。
| 节 | 说明 |
|---|---|
| 正在捕获网络流量的代理 | 显示正在捕获网络流量的代理数,并列出正在捕获流量的排名前 10 的计算机。 单击数字可以针对 WireData | summarize sum(TotalBytes) by Computer | take 500000 运行日志搜索。 单击列表中的某台计算机可运行日志搜索,将返回已捕获的总字节数。 |
| 本地子网 | 显示代理已发现的本地子网数。 单击数字可以针对 WireData | summarize sum(TotalBytes) by LocalSubnet 运行日志搜索,这将列出所有子网以及通过每个子网发送的字节数。 单击列表中的某个子网可运行日志搜索,将返回通过该子网发送的总字节数。 |
| 应用程序级协议 | 显示代理发现的使用中的应用程序级协议的数目。 单击数字可以针对 WireData | summarize sum(TotalBytes) by ApplicationProtocol 运行日志搜索。 单击某个协议可运行日志搜索,将返回使用该协议发送的总字节数。 |
可以使用“正在捕获网络流量的代理”部分来确定计算机正在消耗多少网络带宽。 可以通过此部分轻松找到你的环境中“最健谈的”计算机。 此类计算机可能负载过重,行为异常,或者使用比平时更多的网络资源。
类似地,可以使用“本地子网”部分确定有多少网络流量正在通过各个子网移动。 用户通常围绕其应用程序的关键领域定义子网。 可以通过此部分查看这些领域。
“应用程序级协议”部分很有用,因为它可以帮助你了解正在使用什么协议。 例如,你可能预料网络环境中没有使用 SSH。 查看此部分中提供的信息可以快速确认或否定你的预期。
了解协议流量是否在随时间推移而增加或减少也非常有用。 例如,如果某个应用程序传输的数据量在增加,则可能有某些事情需要注意或需要特别注意。
输入数据
线路数据使用已经启用的代理来收集网络流量的元数据。 每个代理大约每 15 秒发送一次数据。
输出数据
将为每种输入数据创建 WireData 类型的记录。 WireData 记录具有下表中所示的属性:
| 属性 | 说明 |
|---|---|
| Computer | 从中收集了数据的计算机名称 |
| TimeGenerated | 记录的时间 |
| LocalIP | 本地计算机的 IP 地址 |
| SessionState | 已连接或已断开连接 |
| ReceivedBytes | 已接收的字节数 |
| ProtocolName | 使用的网络协议的名称 |
| IPVersion | IP 版本 |
| 方向 | 入站或出站 |
| MaliciousIP | 某个已知恶意源的 IP 地址 |
| 严重性 | 可疑恶意软件的严重性 |
| RemoteIPCountry | 远程 IP 地址所在的国家/地区 |
| ManagementGroupName | Operations Manager 管理组的名称 |
| SourceSystem | 从中收集了数据的源 |
| SessionStartTime | 会话开始时间 |
| SessionEndTime | 会话结束时间 |
| LocalSubnet | 从中收集了数据的子网 |
| LocalPortNumber | 本地端口号 |
| RemoteIP | 远程计算机使用的远程 IP 地址 |
| RemotePortNumber | 远程 IP 地址使用的端口号 |
| SessionID | 标识两个 IP 地址之间的通信会话的唯一值 |
| SentBytes | 已发送的字节数 |
| TotalBytes | 会话期间发送的总字节数 |
| ApplicationProtocol | 使用的网络协议的类型 |
| ProcessID | Windows 进程 ID |
| ProcessName | 进程的路径和文件名 |
| RemoteIPLongitude | IP 经度值 |
| RemoteIPLatitude | IP 纬度值 |