Azure 監視器會自動從已啟用 Azure 和 Arc 的虛擬機器收集主機計量和活動記錄。 不過,若要從客戶端操作系統及其工作負載中收集度量和日誌,您需要建立 數據收集規則 (DCR),以指定要收集的項目及傳送目標。 本文說明如何使用 Azure 入口網站建立 DCR,從 VM 用戶端收集不同類型的常見數據。
備註
如果您有基本數據收集需求,您應該能夠使用本文中的指引和每個 數據源的相關文章,來符合所有需求。 您可以使用 Azure 入口網站來建立和編輯 DCR,且 Azure 監視器代理程式 會自動安裝在尚未安裝它的每個 VM 上。
如果您想要利用轉換等更進階的功能,或使用 Azure CLI 或 Azure 原則等其他方法建立和指派 DCR,請參閱在 Azure 監視器中安裝和管理 Azure 監視器代理程式和建立 DCR。 您也可以在 Azure 監視器中 VM 的數據收集規則 (DCR) 範例中檢視此程式所建立的範例 DCR。
先決條件
- 在Log Analytics工作區中,您至少擁有參與者權限,用於收集您所設定的資料。 如果您還沒有可使用的工作區,請參閱 建立Log Analytics工作區 。
- 在工作區中建立 DCR 物件的權限。
- 若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse。
- 如需任何其他必要條件,請參閱每個 數據源 的詳細文章。
這很重要
如果您的 Log Analytics 工作區與網路安全邊界相關聯,請參閱 使用網路安全邊界設定 Azure 監視器 來設定 Log Analytics 工作區。
建立資料收集規則
在 Azure 入口網站的 [監視器] 功能表上,選取 [資料收集規則]> [建立] 以開啟 [DCR 建立] 頁面。
![顯示新資料收集規則 [建立] 按鈕的螢幕快照。](media/data-collection/create-data-collection-rule.png#lightbox)
基本標籤包含 DCR 的基本資訊。
| 設定 | 說明 |
|---|---|
| 規則名稱 | DCR 的名稱。 名稱應該是可協助您識別規則的描述性文字。 |
| 訂用帳戶 | 用來儲存 DCR 的訂用帳戶。 訂用帳戶不需要是與虛擬機器相同的訂用帳戶。 |
| 資源 | 用來儲存 DCR 的資源群組。 資源群組不需要是與虛擬機器相同的資源群組。 |
| 區域 | 儲存 DCR 的 Azure 地區。 區域必須與 DCR 目的地中使用的任何 Log Analytics 工作區或 Azure 監視器工作區相同 。 如果您有不同區域的工作區,請建立多個 DCR 來與同一組機器產生關聯。 |
| 平台類型 | 指定 DCR 、Windows 或 Linux 可用的數據源類型。 None 允許兩者。 1 |
| 資料收集端點 | 指定用來收集數據的 資料收集端點 (DCE )。 只有在您使用需要 DCE 的資料來源時,才需要 DCE。 如果未選取 DCE,這些數據源會在 [ 新增數據源 ] 索引卷標中呈現灰色。 針對大部分的實作,您可以針對每個Log Analytics工作區使用單一 DCE。 如需如何建立 DCE 的詳細資訊,請參閱 建立數據收集端點 。 |
1 此選項會在 DCR 中設定 kind 屬性。 您可以設定此屬性的其他值,但無法在入口網站中選取這些值。
新增資源
在 [ 資源] 窗格中,選取 [ 新增資源 ] 以新增將使用 DCR 的 VM。 您不需要新增任何 VM,因為您可以在建立後更新 DCR,並新增/移除任何資源。 如果您在 [資源] 索引標籤上選取 [啟用資料收集端點],您可以為每個 VM 選取 DCE。 只有在您使用 Azure 監視器私人連結 時,才需要這項設定。 否則,請勿選取此選項。
備註
您不能將具有彈性調度功能的虛擬機擴展集(VMSS)新增為 DCR 的資源。 請改為新增 VMSS 中包含的每個 VM。
![顯示新資料收集規則的 [資源] 索引標籤的螢幕擷取畫面。](media/data-collection/resources-tab.png#lightbox)
這很重要
將資源新增至 DCR 時,Azure 入口網站 中的預設選項是為資源啟用系統指派的受控識別。 針對現有的應用程式,如果已設定使用者指派的受控識別,如果您在使用入口網站將資源新增至 DCR 時未指定使用者指派的身分識別,則計算機預設會使用 DCR 所套用的系統指派 身分識別。
新增資料來源
在 [ 收集並傳遞 ] 窗格中,按兩下 [ 新增數據源 ] 以新增和設定 DCR 的數據源和目的地。 您可以選擇將多個資料來源新增至相同的 DCR,或使用不同的數據源建立多個 DCR。 DCR 最多可以有 10 個數據源,而 VM 可以使用任意數目的 DCR。
![此螢幕快照顯示新資料收集規則的 [新增數據源] 索引標籤。](media/data-collection/add-data-source.png#lightbox)
| 設定 | 說明 |
|---|---|
| 資料來源 | 選取 [數據源類型 ],並根據您選取的數據源類型提供欄位的值。 如需設定每種數據源類型的詳細資訊,請參閱下表。 |
| 目的地 | 為每個資料來源新增一或多個目的地。 某些數據源只允許單一數據源。 如果您需要多個,則可以建立另一個 DCR。 雖然您可以針對某些數據源選取相同類型的多個目的地,但請注意,這會將重複的數據傳送給每個目的地,這會導致額外的成本。 請參閱每一個資料類型的詳細資料,了解其支援的不同目的地。 |
下表列出您可以從具有 Azure 監視器的 VM 用戶端收集的數據類型,以及您可以在何處傳送該數據。 請參閱每個連結的文章,以瞭解如何設定該數據源。
| 數據源 | 說明 | 用戶端作業系統 | 目的地 |
|---|---|---|---|
| Windows 事件 | 傳送至 Windows 事件記錄系統的資訊,包括 Sysmon 事件 | 窗戶 | Log Analytics 工作區 |
| 效能計數器 | 衡量作業系統和工作負載各層面效能的數值 | 窗戶 Linux |
Azure 監視器指標 (預覽) Log Analytics 工作區 |
| Syslog | 傳送至 Linux 事件記錄系統的資訊 | Linux | Log Analytics 工作區 |
| 文字記錄 | 傳送至本機磁碟上文字記錄檔的資訊 | 窗戶 Linux |
Log Analytics 工作區 |
| JSON 記錄 | 傳送至本機磁碟上 JSON 記錄檔的資訊 | 窗戶 Linux |
Log Analytics 工作區 |
| IIS 記錄 | Windows 機器本機磁碟的 Internet Information Service (IIS) 記錄 | 窗戶 | Log Analytics 工作區 |
驗證操作
建立 DCR 之後,數據最多可能需要 5 分鐘才會傳送至目的地。 您可以藉由查詢 Log Analytics 工作區中的數據,確認代理程式可運作且正在收集數據。
確認代理程式作業
請透過檢查 VM 的活動訊號,確認代理程式是否正常運作並與 Azure 監視器正常通訊。 當代理與 Azure 監視器正確通訊時,每分鐘會將記錄傳送至 Heartbeat 表。
從 Azure 入口網站的虛擬機中,選取 [ 記錄 ],然後按兩下 [ 資料表] 按鈕。 在 [虛擬機器] 類別下,按一下 [活動訊號] 旁的 [執行]。 如果代理程式正確通訊,您應該會看到 VM 的活動訊號記錄。
確認已收到記錄
確認代理是否正常通信後,請確定您預期的資料是否正在被收集。 使用與上述相同的程式來檢視數據表中您設定之數據源的數據。 下表列出每個數據源的類別和數據表。
| 數據源 | 類別 | 資料表 |
|---|---|---|
| Windows 事件 | 虛擬機 | 事件 |
| 效能計數器 | 虛擬機 | Perf |
| Syslog | 虛擬機 | Syslog |
| IIS 記錄 | 虛擬機 | W3CIISLog |
| 文字記錄 | 自訂記錄 | <自訂數據表名稱> |
| JSON 記錄 | 自訂記錄 | <自訂數據表名稱> |
重複的數據警告
請留意下列可能導致收集重複數據而增加帳單費用的案例:
- 建立多個具有相同數據源的 DCR,並將其與相同的 VM 產生關聯。 如果您有具有相同數據源的 DCR,請確定您已設定它們來篩選唯一數據。
- 建立 DCR 來收集安全性記錄,併為相同的 VM 啟用 Microsoft Sentinel 。 在此情況下,相同的事件會同時傳送至 事件 數據表 (Azure 監視器) 和 SecurityEvent 數據表 (Microsoft Sentinel)。
- 為同時在相同電腦上執行舊版 Log Analytics代理程式的 VM 建立 DCR。 兩者可能會收集相同的數據,並將其儲存在相同的數據表中。 請遵循 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式的 指引,以從舊版代理程式移轉。
請參閱 在 Azure 監視器中管理資料收集規則關聯 ,以在 Azure 入口網站中列出與 VM 相關聯的 DCR。 您也可以使用下列 PowerShell 命令來列出 VM 的所有 DCR:
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
相關內容
- 深入瞭解 Azure 監視器代理程式。
- 深入了解資料收集規則。