使用 Azure 監視器代理程式收集資料
Azure 監視器代理程式 (AMA) 可用來從 Azure 虛擬機器、虛擬機器擴展集和已啟用 Arc 的伺服器收集資料。 資料收集規則 (DCR) 定義要從代理程式收集的資料,以及該資料應該傳送的位置。 本文說明如何使用 Azure 入口網站來建立 DCR 來收集不同類型的資料,並在需要它的任何機器上安裝代理程式。
如果您不熟悉 Azure 監視器或具有基本資料收集需求,您可以使用 Azure 入口網站和本文中的指導來符合所有需求。 如果您想要利用其他 DCR 功能,例如 轉換,您可能需要使用其他方法來建立 DCR,或在入口網站中建立 DCR 之後加以編輯。 如果您想要使用 CLI、PowerShell、ARM 範本或 Azure 原則進行部署,也可以使用不同的方法來管理 DCR 並建立關聯。
注意
若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse。
警告
下列情況可能會收集重複的資料,這可能會導致額外的費用。
- 使用相同的資料來源建立多個 DCR,並將其與相同的代理程式產生關聯。 請確定您正在篩選 DCR 中的資料,讓每個 DCR 都會收集唯一的資料。
- 建立 DCR 以收集安全性記錄,並為相同的代理程式啟用 Sentinel。 在此情況下,您可以在 Event 資料表和 SecurityEvent 資料表中收集相同的事件。
- 在同一部機器上使用 Azure 監視器代理程式和舊版 Log Analytics 代理程式。 將重複事件限制為只有從一個代理程式轉換到另一個代理程式的時間。
資料來源
下表列出您目前可以使用 Azure 監視器代理程式收集的資料類型,以及您可以傳送該資料的位置。 每個項目的連結是一篇文章,描述如何設定該資料來源的詳細資料。 請遵循本文來建立 DCR 並將它指派給資源,然後遵循連結的文章來設定資料來源。
| 資料來源 | 描述 | 用戶端作業系統 | 目的地 |
|---|---|---|---|
| Windows 事件 | 傳送至 Windows 事件記錄系統的資訊,包括 sysmon 事件。 | Windows | Log Analytics 工作區 |
| 效能計數器 | 測量作業系統和工作負載不同層面效能的數值。 | Windows Linux |
Azure 監視器指標 (預覽) Log Analytics 工作區 |
| Syslog | 傳送至 Linux 事件記錄系統的資訊。 | Linux | Log Analytics 工作區 |
| 文字記錄 | 傳送至本機磁碟上文字記錄檔的資訊。 | Windows Linux |
Log Analytics 工作區 |
| JSON 記錄 | 傳送至本機磁碟上 JSON 記錄檔的資訊。 | Windows Linux |
Log Analytics 工作區 |
| IIS 記錄 | Windows 機器本機磁碟的 Internet Information Service (IIS) 記錄 | Windows | Log Analytics 工作區 |
注意
Azure 監視器代理程式也支援 Azure 服務 SQL 最佳做法評量目前已正式推出。 如需詳細資訊,請參閱使用 Azure 監視器代理程式設定最佳做法評定。
必要條件
- 在工作區中建立資料收集規則物件的權限。
- 如需任何其他必要條件,請參閱說明每個資料來源的文章。
概觀
當您在 Azure 入口網站中建立 DCR 時,會逐步解說一系列頁面,以提供從您指定的機器收集資料所需的資訊。 下表說明您需要在每個頁面上提供的資訊。
| 區段 | 描述 |
|---|---|
| 資源 | 將使用 DCR 的機器。 當您將機器新增至 DCR 時,它會建立機器與 DCR 之間的 資料收集規則關聯 (DCRA)。 您可以在建立 DCR 之後編輯 DCR 來新增或移除電腦。 |
| 資料來源 | 要從機器收集的資料類型。 可用的資料來源清單列在 資料來源 中。 每個資料來源都有自己的組態設定和可能的必要條件,因此如需詳細資訊,請參閱個別文章。 |
| Destination | 應該從資料來源收集資料的目的地。 如果您在 DCR 中有多個資料來源,則可以將資料來源傳送至不同的目的地,而來自單一資料來源的資料可能會傳送至多個目的地。 如需目的地的詳細資訊,請參閱每個資料來源的文章,例如 Log Analytics 工作區中的資料表。 |
如需如何使用 Azure 入口網站建立 DCR 的詳細步驟,請參閱建立資料收集規則。
驗證作業
建立 DCR 並與機器建立關聯後,您就可以在 Log Analytics 工作區中執行查詢來確認代理程式是否正常運作,以及是否正在收集該資料。
確認代理程式作業
在 Log Analytics 中執行下列查詢來確認代理程式是否正常運作,並正常通訊,以檢查 Heartbeat 資料表中是否有任何記錄。 每分鐘應該從每個代理程式傳送一筆記錄至此資料表。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
確認正在接收記錄
安裝代理程式並開始執行任何新的或修改的 DCR 需要幾分鐘的時間。 然後,您可以檢查 Log Analytics 工作區中每個寫入的資料表,確認是否從每個資料來源接收記錄。 例如,下列查詢會檢查 事件 資料表中的 Windows 事件。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
疑難排解
如果您沒有收集到預期的資料,請執行下列步驟。
- 確認代理程式已安裝並在機器上執行。
- 如需發生問題之資料來源的文章,請參閱 疑難排解 一節。
- 請參閱 監視和疑難排解 Azure 監視器中的 DCR 資料收集,以啟用 DCR 的監視。
- 檢視指標,以判斷資料是否正在收集,以及是否要卸除任何資料列。
- 檢視記錄以識別資料收集中的錯誤。
下一步
- 使用 Azure 監視器代理程式收集文字記錄。
- 深入了解 Azure 監視器代理程式。
- 深入了解資料收集規則。