重要
自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Microsoft将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理。
本文详细概述了 Log Analytics 代理以及代理的系统、网络要求和部署方法。
还可能会看到 Log Analytics 代理称为“Microsoft 监控代理”(MMA)。
主要方案
如果需要使用 Log Analytics 代理,请遵循以下步骤:
- 从 Azure 虚拟机或 Azure 外部托管的混合计算机收集日志和性能数据。
- 将数据发送到 Log Analytics 工作区,以利用 Azure Monitor 日志支持的功能,例如 日志查询。
- 使用 VM 见解,可以大规模监视计算机,并监视其进程以及对其他资源和外部进程的依赖关系。
- 使用 Microsoft Defender for Cloud 或 Microsoft Sentinel 管理计算机的安全性。
- 使用 Azure 自动化更新管理、 Azure Automation State Configuration 或 Azure 自动化更改跟踪和清单 来全面管理 Azure 和非 Azure 计算机。
- 使用不同的 解决方案 监视特定服务或应用程序。
Log Analytics 代理的限制:
- 无法将数据发送到 Azure Monitor 指标、Azure 存储或 Azure 事件中心。
- 难以为单个代理配置唯一监视定义。
- 难以大规模管理,因为每个虚拟机都有唯一的配置。
与其他代理的比较
有关 Azure Monitor 中的 Log Analytics 和其他代理之间的比较,请参阅 Azure Monitor 代理概述。
受支持的操作系统
有关 Log Analytics 代理支持的 Windows 和 Linux作系统版本的列表,请参阅 支持的作系统。
安装选项
本部分介绍如何在不同类型的虚拟机上安装 Log Analytics 代理并将计算机连接到 Azure Monitor。
重要
自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Microsoft将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理。
注释
不支持克隆已配置 Log Analytics 代理的计算机。 如果代理已与工作区关联,则克隆不适用于“黄金映像”。
Azure 虚拟机
- 使用 VM 见解通过 Azure 门户为单台计算机或大规模多台计算机安装代理。 这会安装 Log Analytics 代理和 依赖项代理。
- 可以使用 Azure 门户、Azure CLI、Azure PowerShell 或 Azure 资源管理器模板安装适用于 Windows 或 Linux 的 Log Analytics VM 扩展。
- Microsoft Defender for Cloud 可以在所有受支持的 Azure VM 上预配 Log Analytics 代理 ,并在启用 Log Analytics 代理来监视安全漏洞和威胁时创建的任何新 VM。
- 从 Azure 门户手动安装单个 Azure 虚拟机。
- 在 Azure 门户的 Log Analytics 工作区菜单中,从虚拟机(已弃用)选项将计算机连接到工作区。
本地或其他云中的 Windows 虚拟机
- 使用 已启用 Azure Arc 的服务器 部署和管理 Log Analytics VM 扩展。 查看 部署选项 ,了解注册到已启用 Azure Arc 的服务器的计算机上的扩展可用的不同部署方法。
- 从命令行手动安装代理。
- 使用 Azure Automation DSC 自动安装。
- 将资源管理器模板与 Azure Stack 配合使用。
本地或另一个云中的 Linux 虚拟机
- 使用 已启用 Azure Arc 的服务器 部署和管理 Log Analytics VM 扩展。 查看 部署选项 ,了解注册到已启用 Azure Arc 的服务器的计算机上的扩展可用的不同部署方法。
- 手动安装代理,调用托管在GitHub上的包装脚本。
- 将 System Center Operations Manager 与 Azure Monitor 集成,以转发从报告给管理组的 Windows 计算机收集的数据。
收集的数据
下表列出了可以将 Log Analytics 工作区配置为从所有连接的代理收集的数据类型。
| 数据源 | Description |
|---|---|
| Windows 事件日志 | 发送到 Windows 事件日志记录系统的信息 |
| Syslog | 发送到 Linux 事件日志记录系统的信息 |
| 性能 | 操作系统和工作负载不同方面性能的数值指标 |
| IIS 日志 | 来宾操作系统上运行的 IIS 网站的使用信息 |
| 自定义日志 | Windows 和 Linux 计算机上的文本文件中的事件 |
其他服务
适用于 Linux 和 Windows 的代理不仅用于连接到 Azure Monitor。 其他服务(如 Microsoft Defender for Cloud 和 Microsoft Sentinel)依赖于代理及其连接的 Log Analytics 工作区。 代理还支持 Azure Automation 托管 Hybrid Runbook Worker 角色和其他服务,例如 更改跟踪、更新管理和 Microsoft Defender for Cloud。 有关 Hybrid Runbook Worker 角色的详细信息,请参阅 Azure Automation Hybrid Runbook Worker。
工作区和管理组限制
有关将代理连接到 Operations Manager 管理组的详细信息,请参阅 配置代理以向 Operations Manager 管理组报告。
- 即使 Windows 代理连接到 System Center Operations Manager 管理组,也最多可以连接到四个工作区。
- Linux 代理不支持多宿主,只能连接到单个工作区或管理组。
安全性限制
Windows 和 Linux 代理支持 FIPS 140 标准,但 可能不支持其他类型的强化。
TLS 协议
为了确保传输到 Azure Monitor 日志的数据的安全性,强烈建议将代理配置为至少使用传输层安全性 (TLS) 1.2。 已发现较旧版本的 TLS/安全套接字层(SSL)易受攻击。 尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。
网络要求
适用于 Linux 和 Windows 的代理通过 TCP 端口 443 与 Azure Monitor 服务进行出站通信。 如果计算机通过防火墙或代理服务器进行连接以通过 Internet 进行通信,请查看以下要求以了解所需的网络配置。 如果 IT 安全策略不允许网络上的计算机连接到 Internet,请设置 Log Analytics 网关 ,并将代理配置为通过网关连接到 Azure Monitor。 然后,代理可以接收配置信息并发送收集的数据。
下表列出了 Linux 和 Windows 代理与 Azure Monitor 日志通信所需的代理和防火墙配置信息。
防火墙要求
| 代理资源 | Ports | 方向 | 旁路 HTTPS 检查 |
|---|---|---|---|
| *.ods.opinsights.azure.com | 端口 443 | 出站 | 是的 |
| *.oms.opinsights.azure.com | 端口 443 | 出站 | 是的 |
| *.blob.core.windows.net | 端口 443 | 出站 | 是的 |
| \* .azure-automation.net | 端口 443 | 出站 | 是的 |
有关 Azure 政府版所需的防火墙信息,请参阅 Azure 政府版管理。
重要
如果防火墙正在执行 CNAME 检查,则需要将其配置为允许 CNAME 中的所有域。
如果您计划使用 Azure 自动化混合 Runbook 工作器连接到自动化服务并注册,以便在您的环境中使用 Runbook 或管理功能,那么必须能够访问 配置您的网络以用于混合 Runbook 工作器中所述的端口号和 URL。
代理配置
Windows 和 Linux 代理支持使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 通信。 支持匿名身份验证和基本身份验证(用户名/密码)。
对于直接连接到服务的 Windows 代理,代理配置是在安装期间或在从控制面板或 PowerShell 部署后 指定的。 Log Analytics 代理(MMA)不使用系统代理设置。 因此,用户在安装 MMA 时必须传递代理设置。 这些设置将存储在虚拟机上的 MMA 配置(注册表)下。
对于 Linux 代理,代理服务器是在安装期间或通过修改 proxy.conf 配置文件在 安装之后 指定的。 Linux 代理代理程序的配置值具有以下语法:
[protocol://][user:password@]proxyhost[:port]
| 资产 | Description |
|---|---|
| 协议 | https |
| 用户 | 代理身份验证的可选用户名 |
| 密码 | 代理身份验证的可选密码 |
| 代理主机 | 代理服务器和 Log Analytics 网关的地址或完全限定域名(FQDN) |
| 移植 | 代理服务器/Log Analytics 网关的可选端口号 |
例如:https://user01:password@proxy01.contoso.com:30443
注释
如果在密码中使用特殊字符(如“@”),则会收到代理连接错误,因为该值分析不正确。 若要解决此问题,请使用 URLDecode 等工具在 URL 中对密码进行编码。