你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 AMA 迁移
本文介绍在已有 Log Analytics 代理 (MMA/OMS) 并且正在使用 Microsoft Sentinel 时,迁移到 Azure Monitor 代理 (AMA) 的过程。
重要
Log Analytics 代理将于 2024 年 8 月 31 日停用。 如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理,我们建议你开始计划到 AMA 的迁移。
先决条件
请先参阅 Azure Monitor 文档,其中提供了有关此迁移过程的代理比较和一般信息。
本文提供针对 Microsoft Sentinel 的具体详细信息和相关差异。
代理之间的差距分析
下表显示了对于 Microsoft Sentinel,当前依赖于基于代理的数据收集的日志类型的差距分析。 将对此进行更新,以便 AMA 逐渐与 Log Analytics 代理实现功能奇偶一致性。
Windows 日志
| 日志类型/支持 | Azure Monitor 代理支持 | Log Analytics 代理支持 |
|---|---|---|
| 安全事件 | Windows 安全事件数据连接器 | Windows 安全事件数据连接器(旧版) |
| 按安全事件 ID 筛选 | Windows 安全事件数据连接器 (AMA) | - |
| 按事件 ID 筛选 | 仅收集 | - |
| Windows 事件转发 | Windows 转发事件 | - |
| Windows 防火墙日志 | - | Windows 防火墙数据连接器 |
| 性能计数器 | 仅收集 | 仅收集 |
| Windows (系统) 事件日志 | 仅收集 | 仅收集 |
| 自定义日志(文本) | 仅收集 | 仅收集 |
| IIS 日志 | 仅收集 | 仅收集 |
| 多归属 | 仅收集 | 仅收集 |
| 应用程序和服务日志 | 仅收集 | 仅收集 |
| Sysmon | 仅收集 | 仅收集 |
| DNS 日志 | 通过 AMA 连接器的 Windows DNS 服务器(公共预览版) | Windows DNS 服务器连接器(公共预览版) |
重要
Azure Monitor 代理提供的吞吐量比旧版 Log Analytics 代理高出 25%。 迁移到新的 AMA 连接器以获得更高的性能,尤其是在使用服务器作为 Windows 安全事件或转发事件的日志转发器时。
Linux 日志
| 日志类型/支持 | Azure Monitor 代理支持 | Log Analytics 代理支持 |
|---|---|---|
| Syslog | 仅收集 | Syslog 数据连接器 |
| 通用事件格式 (CEF) | 使用 AMA 数据连接器的 CEF | CEF 数据连接器 |
| Sysmon | 仅收集 | 仅收集 |
| 自定义日志(文本) | 仅收集 | 仅收集 |
| 多归属 | 仅收集 | - |
建议的迁移计划
每个组织会有不同的成功指标和内部迁移流程。 本部分提供了从 Log Analytics MMA/OMS 代理迁移到 AMA 时要考虑的建议指导,特别是针对 Microsoft Sentinel。
在迁移过程中包括以下步骤:
确保你已查看必要的先决条件和其他注意事项,如 Azure Monitor 文档中此处所述。
运行概念证明以(理想情况下在开发或沙盒环境中)测试 AMA 将数据发送到 Microsoft Sentinel 的情况。
要将 Windows 计算机连接到 Windows 安全事件连接器,请从 Microsoft Sentinel 中的“经由 AMA 的 Windows 安全事件”数据连接器页面开始。 有关详细信息,请参阅基于 Windows 代理的连接。
转到“经由旧版代理的安全事件”数据连接器页面。 在“指令”选项卡上,在“配置步骤 2”下,选择要流式处理的事件,选择“无”。 此过程将配置系统,使其不通过 MMA/OMS 接收任何安全事件,但依赖于此代理的其他数据源将继续正常运行。 此步骤会影响向当前 Log Analytics 工作区报告的所有计算机。
重要
使用两种不同类型的代理从同一源中引入数据会导致在 Microsoft Sentinel 工作区中产生双重的输入费用和重复事件。
如果需要同时运行这两个数据连接器,建议仅在有限时间内使用,并仅用于基准测试或测试比较活动,最好是在单独的测试工作区中执行。
度量概念证明的成功。
为了帮助执行此步骤,请使用 AMA 迁移跟踪器工作簿,该工作簿显示向工作区报告的服务器,以及其安装了旧版 MMA、AMA 还是同时安装了这两个代理。 还可使用此工作簿查看从计算机收集事件的 DCR,以及其收集的事件。
例如:
成功标准应包括对 MMA/OMS 和 AMA 代理在同一主机上所引入的定量数据的统计分析和比较:
衡量环境中某个正常工作负载在预定义的时间段内的成功情况。
测试时,请确保测试 AMA 提供的每个新功能,例如 Linux 多宿主、Windows 事件筛选等。
根据组织的风险状况和更改流程,规划生产环境中 AMA 代理的推出。
在生产环境中推出新代理,并运行 AMA 功能的最终测试。
断开依赖于旧版连接器的任何数据连接器的连接,例如使用 MMA 的安全事件。 只让新连接器(例如 Windows 使用 MMA 的安全事件)保持运行状态。
尽管可以并行运行旧版 MMA/OMS 和 AMA 代理,但请确保每个数据源仅使用一个代理将数据发送到 Microsoft Sentinel,以此防止重复的成本和数据。
检查 Microsoft Sentinel 工作区,确保已使用新的基于 AMA 的连接器替换所有数据流。
卸载旧代理。 有关详细信息,请参阅管理 Azure Log Analytics 代理。
常见问题
以下常见问题解答可帮助解决特定于 Microsoft Sentinel 的 AMA 迁移的问题。 有关详细信息,另请参阅 Azure Monitor 文档中的 AMA 迁移常见问题解答和 Azure Monitor 代理常见问题解答。
如果在 Microsoft Sentinel 部署中并行运行 MMA/OMS 和 AMA,会发生什么情况?
AMA 和 MMA/OMS 代理可以共存于同一台计算机上。 如果它们从同一个主机同时从同一数据源向 Microsoft Sentinel 工作区发送数据,将发生重复事件和双倍引入费用。
对于生产推出,建议为每个数据源配置 MMA/OMS 代理或 AMA 中的一个。 若要解决任何重复相关问题,请参阅 Azure Monitor 文档中的相关常见问题解答。
AMA 还不具有我的 Microsoft Sentinel 部署所需的功能。 我是否应该迁移?
旧版 Log Analytics 代理将于 2024 年 8 月 31 日停用。
AMA 将随时间推移逐步赶上 MMA/OMS 的步伐,建议随时关注并及时了解 AMA 发布的新功能。 希望在 AMA 中提供了你运行 Microsoft Sentinel 部署时所需的功能后能够尽快迁移。
虽然可以同时运行 MMA 和 AMA,但你可能希望在同时运行这两个代理时一次迁移一个连接器。
后续步骤
有关详细信息,请参阅: