你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍在现有旧版 Log Analytics 代理 (MMA/OMS ) 且正在使用 Microsoft Sentinel 时,迁移到 Azure Monitor 代理 (AMA) 的过程。
Log Analytics 代理自 2024 年 8 月 31 日停用。 如果在Microsoft Sentinel部署中使用 Log Analytics 代理,建议迁移到 AMA。
先决条件
- 从 Azure Monitor 文档开始,该文档提供了此迁移过程的代理比较和一般信息。 本文提供了Microsoft Sentinel的具体详细信息和差异。
迁移到 Azure Monitor 代理
每个组织都有不同的成功指标和内部迁移过程。 本部分提供了从 Log Analytics MMA/OMS 代理迁移到 AMA 时要考虑的建议指南,特别是针对Microsoft Sentinel。
在迁移过程中包括以下步骤:
请确保已查看必要的先决条件和其他注意事项,如 Azure Monitor 文档中所述。 有关详细信息,请参阅 开始之前。
运行概念证明,测试 AMA 将数据发送到Microsoft Sentinel的方式,最好是在开发或沙盒环境中。
在 Microsoft Sentinel 中,安装 Windows 安全中心 事件Microsoft Sentinel解决方案。 有关详细信息,请参阅发现和管理Microsoft Sentinel现装内容。
若要将 Windows 计算机连接到Windows 安全中心事件连接器,请从 Microsoft Sentinel 中的“通过 AMA 数据连接器Windows 安全中心事件”页开始。 有关详细信息,请参阅 基于 Windows 代理的连接。
继续执行 “通过旧版代理数据连接器的安全事件 ”页。 在“ 说明 ”选项卡上的“ 配置>步骤 2>”下,选择要流式传输的事件,选择“ 无”。 这会配置系统,使你不会通过 MMA/OMS 收到任何安全事件,但依赖于此代理的其他数据源将继续工作。 此步骤会影响向当前 Log Analytics 工作区报告的所有计算机。
重要
使用两种不同类型的代理从同一源引入数据将导致Microsoft Sentinel工作区中产生双重引入费用和重复事件。
如果需要同时运行这两个数据连接器,建议仅在基准测试或测试比较活动的有限时间内执行此操作,最好是在单独的测试工作区中。
衡量概念证明是否成功。
为了帮助完成此步骤,请使用 AMA 迁移跟踪器 工作簿,该工作簿显示向工作区报告的服务器,以及它们是否安装了旧版 MMA 和 AMA 或这两个代理。 还可以使用此工作簿查看从计算机收集事件的 DCR,以及它们正在收集的事件。
请务必选择工作簿顶部的订阅和资源组,以显示环境的数据。 例如:
有关详细信息,请参阅在 Microsoft Sentinel 中使用工作簿可视化和监视数据。
成功标准应包括对同一主机上 MMA/OMS 和 AMA 代理引入的定量数据的统计分析和比较:
衡量在预定义时间段内的成功,该时间段表示环境的正常工作负荷。
测试时,请确保测试 AMA 提供的每个新功能,例如Linux多宿主、Windows 事件筛选等。
根据组织的风险状况和更改流程,在生产环境中规划 AMA 代理的推出。
在生产环境中推出新代理,并运行 AMA 功能的最终测试。
断开依赖于旧连接器的任何数据连接器的连接,例如 MMA 的安全事件。 让新连接器(例如具有 AMA 的 Windows 安全中心 事件)保持运行。
虽然可以并行运行旧版 MMA/OMS 和 AMA 代理,但请确保每个数据源仅使用一个代理将数据发送到Microsoft Sentinel,从而防止重复成本和数据。
检查Microsoft Sentinel工作区,确保已使用新的基于 AMA 的连接器替换了所有数据流。
卸载旧代理。 有关详细信息,请参阅管理 Azure Log Analytics 代理。
对于生产推出,建议为每个数据源配置 AMA。 若要解决任何重复问题,请参阅 Azure Monitor 文档中的相关常见问题解答。
相关内容
有关更多信息,请参阅: