你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 AMA 迁移
本文介绍在已有旧式 Log Analytics 代理 (MMA/OMS) 并且正在使用 Microsoft Sentinel 时,迁移到 Azure Monitor 代理 (AMA) 的过程。
Log Analytics 代理已于 2024 年 8 月 31 日停用。 如果在 Microsoft Sentinel 部署中使用 Log Analytics 代理,则建议你迁移到 AMA。
先决条件
- 请先参阅 Azure Monitor 文档,其中提供了有关此迁移过程的代理比较和一般信息。 本文提供针对 Microsoft Sentinel 的具体详细信息和相关差异。
迁移到 Azure Monitor 代理
每个组织会有不同的成功指标和内部迁移流程。 本部分提供了从 Log Analytics MMA/OMS 代理迁移到 AMA 时要考虑的建议指导,特别是针对 Microsoft Sentinel。
在迁移过程中包括以下步骤:
确保你已查看必要的先决条件和其他注意事项,如 Azure Monitor 文档中所述。 有关详细信息,请参阅开始之前。
运行概念证明以(理想情况下在开发或沙盒环境中)测试 AMA 将数据发送到 Microsoft Sentinel 的情况。
在 Microsoft Sentinel 中,安装 Windows 安全事件 Microsoft Sentinel 解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
要将 Windows 计算机连接到 Windows 安全事件连接器,请从 Microsoft Sentinel 中的“经由 AMA 的 Windows 安全事件”数据连接器页开始。 有关详细信息,请参阅基于 Windows 代理的连接。
继续“经由旧版代理的安全事件”数据连接器页面。 在“指令”选项卡上,在配置>步骤 2>下,选择要流式处理的事件,选择“无”。 此过程将配置系统,使其不通过 MMA/OMS 接收任何安全事件,但依赖于此代理的其他数据源将继续正常运行。 此步骤会影响向当前 Log Analytics 工作区报告的所有计算机。
重要
使用两种不同类型的代理从同一源中引入数据会导致在 Microsoft Sentinel 工作区中产生双重的输入费用和重复事件。
如果需要同时运行这两个数据连接器,建议仅在有限时间内使用,并仅用于基准测试或测试比较活动,最好是在单独的测试工作区中执行。
度量概念证明的成功。
为了帮助执行此步骤,请使用 AMA 迁移跟踪器工作簿,该工作簿显示向工作区报告的服务器,以及其安装了旧版 MMA、AMA 还是同时安装了这两个代理。 还可使用此工作簿查看从计算机收集事件的 DCR,以及其收集的事件。
确保在工作簿顶部选择订阅和资源组,以显示环境数据。 例如:
有关详细信息,请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据。
成功标准应包括对 MMA/OMS 和 AMA 代理在同一主机上所引入的定量数据的统计分析和比较:
衡量环境中某个正常工作负荷在预定义的时间段内的成功情况。
测试时,请确保测试 AMA 提供的每个新功能,例如 Linux 多宿主、Windows 事件筛选等。
根据组织的风险状况和更改流程,规划生产环境中 AMA 代理的推出。
在生产环境中推出新代理,并运行 AMA 功能的最终测试。
断开依赖于旧版连接器的任何数据连接器的连接,例如使用 MMA 的安全事件。 只让新连接器(例如 Windows 使用 MMA 的安全事件)保持运行状态。
尽管可以并行运行旧版 MMA/OMS 和 AMA 代理,但请确保每个数据源仅使用一个代理将数据发送到 Microsoft Sentinel,以此防止重复的成本和数据。
检查 Microsoft Sentinel 工作区,确保已使用新的基于 AMA 的连接器替换所有数据流。
卸载旧代理。 有关详细信息,请参阅 管理 Azure Log Analytics 代理。
对于生产推出,建议为每个数据源配置 AMA。 若要解决任何重复相关问题,请参阅 Azure Monitor 文档中的相关常见问题解答。
相关内容
有关详细信息,请参阅: