共用方式為

從 Log Analytics 代理程式移轉至 Azure 監視器代理程式

  • 發行項

Azure 監視器代理程式 (AMA) 會取代 Azure 與非 Azure 環境 (內部部署和第三方雲端) 中適用於 Windows 和 Linux 機器的 Log Analytics 代理程式 (也稱為 Microsoft Monitor Agent (MMA) 和 OMS)。 代理程式導入了簡易且有彈性的方法,可使用資料收集規則 (DCR) 設定資料收集。 此文章提供提供如何成功實作從 Log Analytics 代理程式移轉至 Azure 監視器代理程式的指引。

移轉是一項複雜的工作。 使用本文中的資訊作為指南,開始規劃移轉至 Azure 監視器代理程式。

重要

Log Analytics 代理程式已2024 年 8 月 31 日淘汰。 此淘汰不適用於以獨佔方式連線至內部部署 SCOM 安裝的 MMA 代理程式。

當您在 2024 年 8 月 31 日之後使用 MMA 或 OMS 代理程式時,可以預期下列項目。

  • 資料上傳:雲端擷取服務會逐漸減少對 MMA 代理程式的支援,這可能會導致一段時間後,MMA 代理程式的支援降低和潛在的相容性問題。 MMA 的擷取將保持不變,直到 2025 年 2 月 1 日為止。
  • 安裝:將從 Azure 入口網站移除安裝舊版代理程式的能力,並將一併移除舊版代理程式的安裝原則。 您仍然可以安裝 MMA 代理程式延伸項目,以及執行離線安裝。
  • 客戶支援:舊版代理程式發生問題時,您將無法取得支援。
  • OS 支援: 淘汰舊版代理程式之後,將不會新增新的 Linux 或 Windows 發行版的支援,包括服務套件。
  • Log Analytics 代理程式可以與 Azure 監視器代理程式共存。 如果兩個代理程式正在收集相同的資料,則預期會看到重複的資料。

 

福利

使用 Azure 監視器代理程式,您可以立即獲得好處,如下所示:

Azure 監視器代理程式優點的圖表概覽。以下詳細資料將說明這一點。

  • 使用資料收集規則節省成本
    • 相較於舊版代理程式的「所有或無」方法,啟用機器或機器子集的目標和細微資料收集。
    • 允許篩選規則和資料轉換,以減少上傳的整體資料量,因而大幅降低擷取和儲存體成本。
  • 安全性和效能
    • 透過受控識別和 Microsoft Entra 權杖來增強安全性 (適用於用戶端)。
    • 比舊版 Log Analytics (MMA/OMS) 代理程式高出 25% 的事件輸送量。
  • 更簡單的管理,包括有效率的疑難排解:
    • 支援將資料上傳至多個目的地 (多個 Log Analytics 工作區,例如 Windows 和 Linux 上的多路連接),包括跨區域和跨租用戶資料收集 (使用 Azure LightHouse)。
    • 從上線到部署到一段時間,在整個資料收集生命週期期間,「在雲端上」企業規模的集中代理程式設定會更新並變更。
    • 組態中任何變更都會自動推出到所有代理程式,而不需要用戶端部署。
    • 更加透明且能控制更多功能和服務,例如,Microsoft Sentinel、適用於雲端的 Defender,以及 VM 見解。
  • 單一代理程式,可針對支援伺服器和用戶端裝置的所有資料收集需求。 單一代理程式即為目標,儘管 Azure 監視器代理程式目前與 Log Analytics 代理程式有交集。

開始之前

  • 評論安裝 Azure 監視器代理程式的必要條件。 若要監視非 Azure 和內部部署伺服器,您必須安裝 Azure Arc 代理程式。 Arc 代理程式會在 Azure 中顯示您的內部部署伺服器作為其目標資源。 安裝 Azure Arc 代理程式不會產生任何額外費用。

  • 確認 Azure 監視器代理程式可以解決所有需求。 Azure 監視器代理程式是用於資料收集的正式發行版 (GA),可供各種 Azure 監視器功能和其他 Azure 服務用於資料收集。

  • 請確認您具有安裝 Azure 監視器代理程式的必要權限。 您必須具備必要權限,才能在想要監視的電腦上安裝代理程式。 如需詳細資訊,請參閱安裝 Azure 監視器代理程式所需的權限

高階指引

使用下列指引來規劃和執行移轉:

  • 了解您的代理程式,以及必須移轉的代理程式數量。
  • 了解如何使用工作區。
  • 了解所設定的解決方案、深入解析和資料集合。
  • 設定您的資料集合並驗證集合。
  • 了解其他相依性和服務。
  • 移除舊版代理程式。

Azure 監視器代理程式移轉協助程式活頁簿是以活頁簿為基礎的 Azure 監視器解決方案,可協助您完成上述每個步驟。 本指南會參考移轉程序每個階段的活頁簿和其他工具。 如需詳細資訊,請參閱 Azure 監視器代理程式移轉協助程式活頁簿

了解您的代理程式

使用 DCR 產生器,將舊版代理程式組態轉換成自動 資料收集規則1 若要協助瞭解您的代理程式,請檢閱下列問題:

動作
您必須移轉多少個代理程式? 了解您必須移轉的代理程式數目。
您是否有任何代理程式部署在 Azure 外部?

這些代理程式是否部署在您自己的資料中心,還是在另一個雲端環境中?

 針對 Azure 外部的伺服器,您必須先部署 Azure ARC Connected Machine Agent。 如需詳細資訊,請參閱 Azure Connected Machine Agent 概觀
您是否使用 System Center Operations Manager (SCOM)?

您打算如何規劃之後的 SCOM?

 如果您打算繼續使用 SCOM,請開始評估 SCOM 受控執行個體。 如需詳細資訊,請參閱 SCOM 受控執行個體
您今天要如何部署代理程式? 如果您使用任何自動化方法來部署舊版代理程式,請考慮何時停止新伺服器的這些自動化部署,並開始專注於部署新的代理程式。 停止新伺服器的自動化部署,可確保您不會持續增加移轉工作,並讓您專注於要移轉的現有代理程式清查。

Azure 監視器代理程式移轉協助程式活頁簿可協助您了解必須移轉的代理程式數目。 如需詳細資訊,請參閱 Azure 監視器代理程式移轉協助程式活頁簿 - 代理程式。|

了解您的工作區、解決方案、深入解析和資料集合

在移轉之前,請先了解 Log Analytics 工作區的使用方式。 檢查它們是否都在使用中,以及哪些代理程式正在將遙測資料傳送至哪些工作區。 許多工作區會隨著時間建立,而且目前還不清楚哪些工作區實際使用中、哪些工作區正用來收集遙測資料,以及是從哪些伺服器收集資料。 移轉是清除和合併工作區的好機會。

查看工作區時,請注意已設定哪些解決方案。 這項資訊對於了解您要收集的資料,以及其使用方式非常重要。

Azure 監視器代理程式移轉協助程式活頁簿可協助您了解您擁有的工作區,以及每個工作區中實作的解決方案,還有上次使用該解決方案的時間。 每個解決方案都有移轉建議。 如需詳細資訊,請參閱 Azure 監視器代理程式移轉協助程式活頁簿 - 工作區

您也可以使用 Azure 監視器工作區稽核活頁簿來協助您了解工作區。 若要使用 Azure 監視器工作區稽核活頁簿,請從 GitHub 存放庫複製活頁簿,並將其匯入 Log Analytics 工作區。

此活頁簿會收集所有 Log Analytics 工作區,並針對每個工作區顯示下列資訊:

  • 傳送資料至該工作區的所有資料來源。
  • 傳送活動訊號至工作區的代理程式。
  • 傳送資料至該工作區的資源。
  • 傳送資料至該工作區的任何 Application Insights 資源。

如需詳細資訊,請參閱 Azure 監視器工作區稽核活頁簿

設定您的資料集合並驗證集合

設定資料集合時,建議採取下列步驟:

  • 識別可用於此程序的伺服器試驗群組。 在大規模部署之前,請使用試驗伺服器來驗證資料。

  • 使用 DCR 設定產生器來轉換工作區中設定的資料集合,並將其當成資料收集規則重新部署到環境。 如需 DCR 設定產生器的詳細資訊,請參閱 DCR 設定產生器

  • 將適用於虛擬機器的虛擬機器深入解析或 Azure 監視器移轉至 Azure 監視器代理程式。 驗證伺服器試驗群組的已移轉資料集合,並與移轉之前收集的資料相比。 若要避免雙重擷取,您可以透過移除舊版代理程式的工作區組態,在測試階段停用舊版代理程序的資料收集,而不需解除安裝代理程式。 如需詳細資訊,請參閱 Azure 監視器中的 Log Analytics 代理程式資料來源

  • 驗證新的資料,以確保沒有任何差距。 比較舊版代理程式資料所擷取的資料與 Azure 監視器代理程式所擷取的資料。 使用 KQL 並根據代理程式類型來比較每個代理程式的對等資料。

  • 使用 Azure 原則規劃大規模部署。 使用內建原則大規模部署擴充功能和 DCR 關聯。 使用原則也可確保自動部署新機器的延伸模組和 DCR 關聯性。 如需大規模部署的詳細資訊,請參閱管理 Azure 監視器代理程式 - 使用 Azure 原則

了解其他相依性和服務

移轉之前,請務必了解其他服務的影響。

服務 影響
更新管理 如果您在 Azure 自動化下使用更新管理,則必須移轉至 Azure 更新管理員。

Azure 更新管理員有自己的代理程式,且與 Azure 監視器代理程序分離。

更新管理將於 2024 年 8 月底淘汰。 建議您移轉至 Azure 更新管理員。

如需詳細資訊,請參閱從自動化更新管理移至 Azure 更新管理員

AMA 移轉協助程式活頁簿會顯示哪些機器目前正在使用更新管理解決方案,以及如何移轉它們。 如需詳細資訊,請參閱 Azure 監視器代理程式移轉協助程式活頁簿 - 更新管理
變更追蹤和清查 如果您使用變更追蹤和清查,則必須移轉至 Azure 自動化。

變更追蹤和清查也是 Azure 自動化的一部分。 雖然 Azure 監視器代理程式具有變更追蹤和清查解決方案,但您必須建立資料收集規則。 如需詳細資訊,請參閱使用 Azure 監視代理程式管理變更追蹤和清查
適用於雲端的 Defender 如果您針對服務使用適用於雲端的 Defender 或適用於伺服器的 Defender,且您已啟用 P2 或計劃為伺服器啟用 P2,請將適用於雲端的 Defender 中的代理程式部署從舊版代理程式部署變更為無代理程序掃描。

如果您使用適用於雲端的 Defender 來收集安全性事件,請建立自訂資料收集規則來收集這些事件。
Microsoft Sentinel 如果您使用 Microsoft Sentinel,則使用舊版代理程式的解決方案已轉換為 Azure 監視器代理程式型解決方案,而且可以更新。

移除舊版代理程式

在移轉規劃的過程中,規劃在移轉完成後移除舊版代理程式,以避免資料集合重複。

如果您不需要在任何機器上保留 MMA,請使用 MMA 探索和移除工具來大規模移除代理程式。 如需 MMA 探索和移除工具的詳細資訊,請參閱 MMA 探索和移除工具

不過,如果您使用 System Center Operations Manager (SCOM),請將 MMA 代理程式部署至您將繼續使用 System Center Operations Manager 管理的機器。

SCOM 管理員管理組件存在,可協助您大規模移除工作區設定,同時保留 SCOM 管理群組設定。 如需 SCOM 管理員管理組件的詳細資訊,請參閱 SCOM 管理員管理組件

潛在的移轉問題

  • IIS 記錄:啟用 IIS 記錄收集時,AMA 可能不會填入 W3CIISLog 資料表的 sSiteName 資料行。 舊版代理程式啟用 IIS 記錄收集時,預設會收集此欄位的資料。 如果您必須使用 AMA 收集 sSiteName 欄位的資料,請在 IIS 的 W3C 記錄中啟用 Service Name (s-sitename) 欄位。 如需啟用此欄位的步驟,請參閱選取要記錄的 W3C 欄位
  • SQL 評定解決方案:這是目前 SQL 最佳做法評量的一部分。 部署原則需要每個訂用帳戶有一個 Log Analytics 工作區,這並不是 AMA 小組建議的最佳做法。
  • 適用於雲端的 Microsoft Defender:正在移至無代理程式的解決方案。 某些功能將無法在淘汰日期前就緒。 針對使用檔案完整性監視 (FIM)、端點保護探索建議、OS 設定錯誤 (Azure 安全性基準 (ASB) 建議) 和自適性應用程式控制的機器,客戶應該繼續使用 MMA。
  • 更新管理會移至無代理程式的解決方案,但在 MMA 折舊日期之前將不會就緒。 使用更新管理的客戶應該繼續使用 MMA,直到新的服務自動更新管理員準備就緒為止。

下一步