Azure 監視器代理程式概觀
Azure 監視器代理程式 (AMA) 會從 Azure 和混合式虛擬機器的客體作業系統收集監視資料,然後傳遞給 Azure 監視器以用於各個功能、見解和其他服務,例如 Microsoft Sentinel 和適用於雲端的 Microsoft Defender。 Azure 監視器代理程式會取代所有 Azure 監視器的舊版監視代理程式。 本文提供 Azure 監視器代理程式的功能和支援使用案例概觀。
以下是 Azure 監視器代理程式影片的簡介,其中包含如何從 Azure 入口網站設定代理程式的快速示範:ITOps Talk:Azure 監視器代理程式
優點
使用 Azure 監視器代理程式,您可以立即獲得好處,如下所示:
- 使用資料收集規則節省成本:
- 相較于舊版代理程式的「所有」方法,啟用機器或子集 () 的目標和細微資料收集。
- 允許篩選規則和資料轉換以減少上傳的整體資料量,因而大幅降低擷取和儲存體成本。
- 更簡單的管理 ,包括有效率的疑難排解:
- 支援將資料上傳至多個目的地, (多個 Log Analytics 工作區,也就是使用 Azure LightHouse) 在 Windows 和 Linux) 上進行 多路連接 ,包括跨區域和跨租使用者資料收集 (。
- 整個資料收集生命週期中的企業規模集中式代理程式設定「在雲端中」,從上線到部署到一段時間的更新和變更。
- 設定中的任何變更都會自動推出至所有代理程式,而不需要用戶端部署。
- 更加透明且能控制更多功能和服務,例如,Microsoft Sentinel、適用於雲端的 Defender,以及 VM 見解。
- 安全性和效能
- 透過受控識別和 Azure Active Directory (Azure AD) 權杖來增強安全性 (適用於用戶端)。
- 比舊版 Log Analytics (MMA/OMS) 代理程式更高的事件輸送量。
- 單一代理程式 ,可跨 支援 的伺服器和用戶端裝置提供所有資料收集需求。 單一代理程式是目標,雖然 Azure 監視器代理程式目前與 Log Analytics 代理程式交集。
合併舊版代理程式
在所有新的虛擬機器、擴展集和內部部署伺服器上部署 Azure 監視器代理程式,以收集 支援服務和功能的資料。
如果您有已經部署舊版 Log Analytics 代理程式的電腦,建議您盡快移轉至 Azure 監視器代理程式。 於 2024 年 8 月之後將不再支援舊版 Log Analytics 代理程式。
Azure 監視器代理程式會取代 Azure 監視器的舊版監視代理程式:
- Log Analytics 代理程式:將資料傳送至 Log Analytics 工作區,並支援監視解決方案。 這會完全合併到 Azure 監視器代理程式。
- Telegraf 代理程式:將資料傳送至 Azure 監視器計量 (僅限 Linux)。 Azure 監視器代理程式目前僅支援基本的 Telegraf 外掛程式。
- 診斷延伸模組:將資料傳送至 Azure 監視器計量 (僅限 Windows)、Azure 事件中樞和 Azure 儲存體。 這尚未合併。
安裝代理程式並設定資料收集
Azure 監視器代理程式會使用資料收集規則,以定義您想要每個代理程式收集的資料。 資料收集規則可讓您大規模管理資料收集設定,並為機器子集設定唯一範圍設定。 您可以定義規則,以將資料從多部電腦傳送到跨區域和租使用者的多個目的地。
注意
若要跨租使用者傳送資料,您必須先啟用 Azure Lighthouse。
若要使用 Azure 監視器代理程式收集資料:
在資源上安裝代理程式。
資源類型 安裝方法 詳細資訊 虛擬機器、擴展集 虛擬機器擴充功能 使用 Azure 延伸模組架構來安裝代理程式。 內部部署伺服器 (已啟用 Azure Arc 的伺服器) 虛擬機器擴充功能 (安裝 Azure Arc 代理程式之後) 使用第一次安裝 Azure Arc 代理程式時為內部部署提供的 Azure 擴充功能架構來安裝代理程式。 Windows 10、11 桌上型電腦、工作站 用戶端安裝程式 使用 Windows MSI 安裝程式來安裝代理程式。 Windows 10、11 膝上型電腦 用戶端安裝程式 使用 Windows MSI 安裝程式來安裝代理程式。 安裝程式可在膝上型電腦上進行,但代理程式「尚未」針對電池或網路使用量進行最佳化。 定義資料收集規則,並將資源與規則產生關聯。
下表列出您目前可以使用 Azure 監視器代理程式收集的資料類型,以及您可以傳送該資料的位置。
資料來源 目的地 Description 效能 Azure 監視器計量 (公開預覽) 1 - Insights.virtualmachine 命名空間
Log Analytics 工作區 - 效能資料表測量作業系統和工作負載不同層面效能的數值 Windows 事件記錄檔 (包括 sysmon 事件) Log Analytics 工作區 - 事件資料表 傳送至 Windows 事件記錄系統的資訊 syslog Log Analytics 工作區 - Syslog2 資料表 傳送至 Linux 事件記錄系統的資訊。 使用 Azure 監視器代理程式收集 syslog 文字記錄和 Windows IIS 記錄 Log Analytics 工作區 - 手動建立的自訂資料表 () 使用 Azure 監視器代理程式收集文字記錄 1 在 Linux 上,僅 1.10.9.0 版或更高版本支援使用 Azure 監視器計量作為唯一目的地。
2 Azure 監視器 Linux 代理程式 1.15.2 版和更高版本支援 syslog RFC 格式,包括 Cisco Meraki、Cisco ASA、Cisco FTD、Sophos XG、Juniper Networks、Corelight Zeek、CipherTrust、NXLog、McAfee 和常見事件格式 (CEF)。注意
在 rsyslog 型系統上,Azure 監視器 Linux 代理程式會將轉送規則新增至 rsyslog 設定中所定義的預設規則集。 如果使用多個規則集,則「不」會將繫結至非預設規則集的輸入轉送至 Azure 監視器代理程式。 如需 rsyslog 中多個規則集的詳細資訊,請參閱官方文件。
注意
Azure 監視器代理程式也支援目前正式運作的 Azure 服務 SQL 最佳做法評定 。 如需詳細資訊,請參閱 使用 Azure 監視器代理程式設定最佳做法評估。
支援的服務和功能
如需使用 Azure 監視器代理程式進行資料收集的功能和服務清單,請參閱 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式。
支援區域
Azure 監視器代理程式適用于所有公用區域,Azure Government和中國雲端,以取得正式運作的功能。 尚不支援實體隔離斷網雲端。 如需詳細資訊,請參閱各區域的產品供應情形。
費用
Azure 監視器代理程式不需要任何費用,但您可能會對內嵌和儲存的資料產生費用。 如需 Log Analytics 資料收集和保留,以及客戶計量的詳細資訊,請參閱 Azure 監視器定價。
與舊版代理程式比較
下表提供 Azure 監視器代理程式與舊版 Azure 監視器遙測代理程式 (Windows 和 Linux 版) 的比較。
Windows 代理程式
| Azure 監視器代理程式 | Log Analytics 代理程式 | 診斷延伸模組 (WAD) | ||
|---|---|---|---|---|
| 支援的環境 | ||||
| Azure | X | X | X | |
| 其他雲端 (Azure Arc) | X | X | ||
| 內部部署 (Azure Arc) | X | X | ||
| Windows 用戶端 OS | X | |||
| 收集的資料 | ||||
| 事件記錄 | X | X | X | |
| 效能 | X | X | X | |
| 檔案型記錄 | X | X | X | |
| IIS 記錄 | X | X | X | |
| ETW 事件 | X | |||
| .NET 應用程式記錄 | X | |||
| 損毀傾印 | X | |||
| 代理程式診斷記錄 | X | |||
| 資料傳送目的地 | ||||
| Azure 監視器記錄 | X | X | ||
| Azure 監視器計量1 | X (公開預覽) | X (公開預覽) | ||
| Azure 儲存體 | X | |||
| 事件中樞 | X | |||
| 支援的服務和功能 | ||||
| Microsoft Sentinel | X (檢視範圍) | X | ||
| VM Insights | X (公開預覽) | X | ||
| 適用於雲端的 Microsoft Defender | X (公開預覽) | X | ||
| 自動化更新管理 | X | |||
| 更新管理中心 | N/A (公開預覽版,與監視代理程式無關) | |||
| 變更追蹤 | X (公開預覽) | X | ||
| SQL 最佳做法評定 | X |
Linux 代理程式
| Azure 監視器代理程式 | Log Analytics 代理程式 | 診斷延伸模組 (LAD) | Telegraf 代理程式 | ||
|---|---|---|---|---|---|
| 支援的環境 | |||||
| Azure | X | X | X | X | |
| 其他雲端 (Azure Arc) | X | X | X | ||
| 內部部署 (Azure Arc) | X | X | X | ||
| 收集的資料 | |||||
| syslog | X | X | X | ||
| 效能 | X | X | X | X | |
| 檔案型記錄 | X | ||||
| 資料傳送目的地 | |||||
| Azure 監視器記錄 | X | X | |||
| Azure 監視器計量1 | X (公開預覽) | X (公開預覽) | |||
| Azure 儲存體 | X | ||||
| 事件中樞 | X | ||||
| 支援的服務和功能 | |||||
| Microsoft Sentinel | X (檢視範圍) | X | |||
| VM Insights | X (公開預覽) | X | |||
| 適用於雲端的 Microsoft Defender | X (公開預覽) | X | |||
| 自動化更新管理 | X | ||||
| 更新管理中心 | N/A (公開預覽版,與監視代理程式無關) | ||||
| 變更追蹤 | X (公開預覽) | X |
1 若要檢閱使用 Azure 監視器計量的其他限制,請參閱配額和限制。 在 Linux 1.10.9.0 版或更高版本中支援使用 Azure 監視器計量作為唯一目的地。
支援的作業系統
下表列出 Azure 監視器代理程式和舊版代理程式支援的作業系統。 所有作業系統皆假設為 x64。 所有作業系統皆不支援 x86。
檢視 Azure Arc 已連線機器代理程式所支援的作業系統,這是裝載在 Azure 外部 (即內部部署) 的實體伺服器和虛擬機器上或其他雲端中執行 Azure 監視器代理程式的必要條件。
Windows
| 作業系統 | Azure 監視器代理程式 | Log Analytics 代理程式 (舊版) | 診斷擴充功能 |
|---|---|---|---|
| Windows Server 2022 | X | X | |
| Windows Server 2022 Core | X | ||
| Windows Server 2019 | X | X | X |
| Windows Server 2019 Core | X | ||
| Windows Server 2016 | X | X | X |
| Windows Server 2016 Core | X | X | |
| Windows Server 2012 R2 | X | X | X |
| Windows Server 2012 | X | X | X |
| Windows Server 2008 R2 SP1 | X | X | X |
| Windows Server 2008 R2 | X | ||
| Windows Server 2008 SP2 | X | ||
| Windows 11 用戶端企業版和專業版 | X2,3 | ||
| Windows 10 1803 (RS4) 或更新版本 | X2 | ||
| Windows 10 Enterprise (包括多重工作階段) 和 Pro (伺服器案例僅限1) |
X | X | X |
| Windows 8 企業版和專業版 (伺服器案例僅限1) |
X | ||
| Windows 7 SP1 (伺服器案例僅限1) |
X | ||
| Azure Stack HCI | X |
1 在伺服器硬體上執行 OS,例如,一律已連線、一律開啟且未執行其他工作負載的機器 (電腦、系統、瀏覽器)。
2 使用 Azure 監視器代理程式用戶端安裝程式。
3 Arm64 型機器上也支援。
Linux
| 作業系統 | Azure 監視器代理程式 1 | Log Analytics 代理程式 (舊版) 1 | 診斷延伸模組 2 |
|---|---|---|---|
| AlmaLinux 8 | X3 | X | |
| Amazon Linux 2017.09 | X | ||
| Amazon Linux 2 | X | X | |
| CentOS Linux 8 | X | X | |
| CentOS Linux 7 | X3 | X | X |
| CentOS Linux 6 | X | ||
| CBL-Mariner 2.0 | X3,4 | ||
| Debian 11 | X3 | ||
| Debian 10 | X | X | |
| Debian 9 | X | X | X |
| Debian 8 | X | ||
| OpenSUSE 15 | X | ||
| Oracle Linux 8 | X | X | |
| Oracle Linux 7 | X | X | X |
| Oracle Linux 6 | X | ||
| Oracle Linux 6.4+ | X | X | |
| Red Hat Enterprise Linux Server 9+ | X | ||
| Red Hat Enterprise Linux Server 8.6 | X3 | X2 | X2 |
| Red Hat Enterprise Linux Server 8+ | X | X2 | X2 |
| Red Hat Enterprise Linux Server 7 | X | X | X |
| Red Hat Enterprise Linux Server 6.7+ | X | X | |
| Red Hat Enterprise Linux Server 6 | X | ||
| Rocky Linux 8 | X | X | |
| SUSE Linux Enterprise Server 15 SP4 | X3 | ||
| SUSE Linux Enterprise Server 15 SP3 | X | ||
| SUSE Linux Enterprise Server 15 SP2 | X | ||
| SUSE Linux Enterprise Server 15 SP1 | X | X | |
| SUSE Linux Enterprise Server 15 | X | X | |
| SUSE Linux Enterprise Server 12 | X | X | X |
| Ubuntu 22.04 LTS | X | ||
| Ubuntu 20.04 LTS | X3 | X | X |
| Ubuntu 18.04 LTS | X3 | X | X |
| Ubuntu 16.04 LTS | X | X | X |
| Ubuntu 14.04 LTS | X | X |
1 需要在機器上安裝 Python (2 或 3)。
2 需要將 Python 2 安裝在機器上,並以 python 命令作為別名。
3 Arm64 型機器上也支援。
4 預設不會提供至少 4 GB 的磁碟空間 (配置) 。
注意
不支援執行上述發行版本之大量自訂或移除版本的機器和設備,以及不允許使用者自訂的託管解決方案。 Azure 監視器和舊版代理程式依賴經常從這類系統移除的各種套件和其他基準功能,而且其安裝可能需要進行設備廠商視為不允許的一些環境修改。 例如,因為大量自訂以及記載的授權層級不允許修改作業系統,所以不支援GitHub Enterprise Server。
注意
相較于大約 30GB 的其他 Azure VM,CBL-Mariner 2.0 的磁片大小預設為大約 1GB,以提供儲存體 COGS 節省成本。 不過,Azure 監視器代理程式至少需要 4GB 磁片大小,才能順利安裝並執行。 如需有關如何在安裝代理程式之前增加磁片大小的詳細資訊和指示,請參閱 CBL-Protectionr 的檔 。
Linux 強化標準
適用于 Linux 的 Azure 監視代理程式現在正式支援適用于 Linux 作業系統和發行版本的各種強化標準。 每個代理程式版本都會根據支援的強化標準進行測試和認證。 我們會根據 CIS 公開提供的 Azure Marketplace映射進行測試,並只支援套用至這些映射的設定和強化。 如果您在自己的黃金映射上套用其他自訂,且 CIS 映射未涵蓋這些設定,則會被視為不支援的案例。
只有適用于 Linux 的 Azure 監視代理程式才支援這些強化標準。 Log Analytics 代理程式 (舊版) 或診斷擴充功能中沒有任何計畫支援此功能
目前支援的強化標準:
- SELinux
- CIS Lvl 1 和 21
在藍圖上
- 斯蒂格
- Fips
| 作業系統 | Azure 監視器代理程式 1 | Log Analytics 代理程式 (舊版) 1 | 診斷延伸模組 2 |
|---|---|---|---|
| CentOS Linux 7 | X | ||
| Debian 10 | X | ||
| Ubuntu 18 | X | ||
| Ubuntu 20 | X | ||
| Red Hat Enterprise Linux Server 7 | X | ||
| Red Hat Enterprise Linux Server 8 | X |
1 僅支援上述散發版本和版本
後續步驟
- 在 Windows 和 Linux 虛擬機器上安裝 Azure 監視器代理程式。
- 建立資料收集規則,以從代理程式收集資料,並將其傳送至 Azure 監視器。