Azure 監視器代理程式概觀
Azure 監視器代理程式 (AMA) 會從 Azure 和混合式虛擬機器的客體作業系統收集監視資料,然後傳遞給 Azure 監視器以用於各個功能、見解和其他服務,例如 Microsoft Sentinel 和適用於雲端的 Microsoft Defender。 Azure 監視器代理程式會取代 Azure 監視器的舊版監視代理程式 (MMA/OMS)。 本文提供 Azure 監視器代理程式的功能和支援使用案例概觀。
以下是 Azure 監視器代理程式影片的簡介,其中包含如何從 Azure 入口網站設定代理程式的快速示範:ITOps Talk:Azure 監視器代理程式
福利
使用 Azure 監視器代理程式,您可以立即獲得好處,如下所示:
- 使用資料收集規則來節省成本:
- 相較於舊版代理程式的「所有或無」方法,啟用機器或機器子集的目標和細微資料收集。
- 允許篩選規則和資料轉換,以減少上傳的整體資料量,因而大幅降低擷取和儲存體成本。
- 安全性和效能
- 透過受控識別和 Microsoft Entra 權杖來增強安全性 (適用於用戶端)。
- 比舊版 Log Analytics (MMA/OMS) 代理程式高出 25% 的事件輸送量。
- 更簡單的管理,包括有效率的疑難排解:
- 支援將資料上傳至多個目的地 (多個 Log Analytics 工作區,例如 Windows 和 Linux 上的多路連接),包括跨區域和跨租用戶資料收集 (使用 Azure LightHouse)。
- 從上線到部署到一段時間,在整個資料收集生命週期期間,「在雲端上」企業規模的集中代理程式設定會更新並變更。
- 組態中任何變更都會自動推出到所有代理程式,而不需要用戶端部署。
- 更加透明且能控制更多功能和服務,例如,Microsoft Sentinel、適用於雲端的 Defender,以及 VM 見解。
- 單一代理程式,可針對支援伺服器和用戶端裝置的所有資料收集需求。 單一代理程式即為目標,儘管 Azure 監視器代理程式目前與 Log Analytics 代理程式有交集。
合併舊版代理程式
Azure 監視器代理程式會取代 舊版代理程式,此代理程式會將數據傳送至 Log Analytics 工作區,並支援監視解決方案。
Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31日之後將不再受到支援。 任何在 2024 年 1 月 1 日後上線的新資料中心都不支援 Log Analytics 代理程式。 如果您使用 Log Analytics 代理程式將資料內嵌至 Azure 監視器,請在該日期之前移轉至新的 Azure 監視器代理程式。
安裝代理程式並設定資料收集
Azure 監視器代理程式會使用資料收集規則,以定義您想要每個代理程式收集的資料。 資料收集規則可讓您大規模管理資料收集設定,並為機器子集設定唯一範圍設定。 您可以定義規則,以將資料從多部機器傳送到跨區域和租用戶的多個目的地。
注意
若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse。 不支援複製已安裝 Azure 監視器代理程式的機器。 這些情況的最佳做法是使用 Azure 原則 或基礎結構作為大規模部署 AMA 的程式碼工具。
若要使用 Azure 監視器代理程式收集資料:
在資源上安裝代理程式。
資源類型 安裝方法 其他相關資訊 虛擬機和 VM 擴展集 虛擬機器擴充功能 使用 Azure 延伸模組架構來安裝代理程式。 已啟用內部部署Arc的伺服器 虛擬機器擴充功能 (安裝 Azure Arc 代理程式之後) 使用第一次安裝 Azure Arc 代理程式時為內部部署提供的 Azure 擴充功能架構來安裝代理程式。 Windows 10、11 用戶端作業系統 用戶端安裝程式 使用 Windows MSI 安裝程式來安裝代理程式。 安裝程式可在膝上型電腦上進行,但代理程式「尚未」針對電池或網路使用量進行最佳化。 定義資料收集規則,並將資源與規則產生關聯。
下表列出您目前可以使用 Azure 監視器代理程式收集的資料類型,以及您可以傳送該資料的位置。
資料來源 目的地 描述 效能 - Azure 監視器計量 (公開預覽):
- 針對 Windows - 虛擬機客體命名空間
- 適用於 Linux1 - azure.vm.linux.guestmetrics namespace
- Log Analytics 工作區 - 效能資料表
測量作業系統和工作負載不同層面效能的數值 Windows 事件記錄檔 (包括 sysmon 事件) Log Analytics 工作區 - 事件資料表 傳送至 Windows 事件記錄系統的資訊 Syslog Log Analytics 工作區 - Syslog2 資料表 傳送至 Linux 事件記錄系統的資訊。 使用 Azure 監視器代理程式收集 syslog 文字和 JSON 記錄 Log Analytics 工作區 - 手動建立自訂資料表 使用 Azure 監視器代理程式收集文字記錄 Windows IIS 記錄 從因特網資訊服務 (IIS) 記錄到 Windows 電腦的本機磁碟 [使用 Azure 監視器代理程式收集 IIS 記錄]。(data-collection-iis.md) Windows 防火牆記錄 來自 Windows 電腦的本機磁碟的防火牆記錄 1 在 Linux 上,僅 1.10.9.0 版或更高版本支援使用 Azure 監視器計量作為唯一目的地。
2 Azure 監視器 Linux 代理程式 1.15.2 版和更高版本支援 syslog RFC 格式,包括 Cisco Meraki、Cisco ASA、Cisco FTD、Sophos XG、Juniper Networks、Corelight Zeek、CipherTrust、NXLog、McAfee 和常見事件格式 (CEF)。注意
在 rsyslog 型系統上,Azure 監視器 Linux 代理程式會將轉送規則新增至 rsyslog 設定中所定義的預設規則集。 如果使用多個規則集,則「不」會將繫結至非預設規則集的輸入轉送至 Azure 監視器代理程式。 如需 rsyslog 中多個規則集的詳細資訊,請參閱官方文件。
注意
Azure 監視器代理程式也支援 Azure 服務 SQL 最佳做法評量目前已正式推出。 如需詳細資訊,請參閱使用 Azure 監視器代理程式設定最佳做法評定。
- Azure 監視器計量 (公開預覽):
支援的服務和功能
如需使用 Azure 監視器代理程式進行資料收集的功能和服務清單,請參閱從 Log Analytics 代理程式移轉至 Azure 監視器代理程式。
支援的區域
所有公用區域和 Azure Government 和中國雲端皆提供 Azure 監視器代理程式的正式推出功能。 尚不支援實體隔離斷網雲端。 如需詳細資訊,請參閱各區域的產品供應情形。
成本
Azure 監視器代理程式不需要任何費用,但對擷取和儲存的資料則可能產生費用。 如需 Log Analytics 資料收集和保留,以及客戶計量的詳細資訊,請參閱 Azure 監視器定價。
與舊版代理程式比較
下表提供 Azure 監視器代理程式與舊版 Azure 監視器遙測代理程式 (Windows 和 Linux 版) 的比較。
Windows 代理程式
| 類別 | 區域 | Azure 監視器代理程式 | 舊版代理程式 |
|---|---|---|---|
| 支援的環境 | |||
| Azure | ✓ | ✓ | |
| 其他雲端 (Azure Arc) | ✓ | ✓ | |
| 內部部署 (Azure Arc) | ✓ | ✓ | |
| Windows 用戶端 OS | ✓ | ||
| 收集的資料 | |||
| 事件記錄 | ✓ | ✓ | |
| 效能 | ✓ | ✓ | |
| 檔案型記錄 | ✓ | ✓ | |
| IIS 記錄 | ✓ | ✓ | |
| 資料傳送目的地 | |||
| Azure 監視器記錄 | ✓ | ✓ | |
| 支援的服務和功能 | |||
| Microsoft Sentinel | ✓ (檢視範圍) | ✓ | |
| VM 深入解析 | ✓ | ✓ | |
| 適用於雲端的 Microsoft Defender - 僅使用 MDE 代理程式 | |||
| 自動化更新管理 - 移至 Azure Update Manager | ✓ | ✓ | |
| Azure Stack HCI | ✓ | ||
| 更新管理員 - 不再使用代理程式 | |||
| 變更追蹤 | ✓ | ✓ | |
| SQL 最佳做法評定 | ✓ |
Linux 代理程式
| 類別 | 區域 | Azure 監視器代理程式 | 舊版代理程式 |
|---|---|---|---|
| 支援的環境 | |||
| Azure | ✓ | ✓ | |
| 其他雲端 (Azure Arc) | ✓ | ✓ | |
| 內部部署 (Azure Arc) | ✓ | ✓ | |
| 收集的資料 | |||
| Syslog | ✓ | ✓ | |
| 效能 | ✓ | ✓ | |
| 檔案型記錄 | ✓ | ||
| 資料傳送目的地 | |||
| Azure 監視器記錄 | ✓ | ✓ | |
| 支援的服務和功能 | |||
| Microsoft Sentinel | ✓ (檢視範圍) | ✓ | |
| VM 深入解析 | ✓ | ✓ | |
| 適用於雲端的 Microsoft Defender - 僅使用 MDE 代理程式 | |||
| 自動化更新管理 - 移至 Azure Update Manager | ✓ | ✓ | |
| 更新管理員 - 不再使用代理程式 | |||
| 變更追蹤 | ✓ | ✓ |
受支援的作業系統
下表列出 Azure 監視器代理程式和舊版代理程式支援的作業系統。 所有作業系統皆假設為 x64。 所有作業系統皆不支援 x86。 檢視 Azure Arc 已連線機器代理程式所支援的作業系統,這是裝載在 Azure 外部 (即內部部署) 的實體伺服器和虛擬機器上或其他雲端中執行 Azure 監視器代理程式的必要條件。
Windows
| 作業系統 | Azure 監視器代理程式 | 舊版代理程式 |
|---|---|---|
| Windows Server 2022 | ✓ | ✓ |
| Windows Server 2022 Core | ✓ | |
| Windows Server 2019 | ✓ | ✓ |
| Windows Server 2019 Core | ✓ | |
| Windows Server 2016 | ✓ | ✓ |
| Windows Server 2016 Core | ✓ | |
| Windows Server 2012 R2 | ✓ | ✓ |
| Windows Server 2012 | ✓ | ✓ |
| Windows 11 用戶端和專業版 | ✓1, 2 | |
| Windows 11 企業版 (包括多重工作階段) |
✓ | |
| Windows 10 1803 (RS4) 或更新版本 | ✓1 | |
| Windows 10 Enterprise (包括多重工作階段) 和 Pro (伺服器案例僅限) |
✓ | ✓ |
| Azure Stack HCI | ✓ | ✓ |
| Windows IoT 企業版 | ✓ |
1 使用 Azure 監視器代理程式 用戶端安裝程式。
2 Arm64 型機器也支援。
Linux
警告
本文參考 CentOS,這是接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
| 作業系統 | Azure 監視器代理程式 1 | 舊版代理程式 1 |
|---|---|---|
| AlmaLinux 9 | ✓2 | ✓ |
| AlmaLinux 8 | ✓2 | ✓ |
| Amazon Linux 2017.09 | ✓ | |
| Amazon Linux 2 | ✓ | ✓ |
| Azure Linux | ✓ | |
| CentOS Linux 8 | ✓ | ✓ |
| CentOS Linux 7 | ✓2 | ✓ |
| CBL-Mariner 2.0 | ✓2,3 | |
| Debian 11 | ✓2 | ✓ |
| Debian 10 | ✓ | ✓ |
| Debian 9 | ✓ | ✓ |
| Debian 8 | ✓ | |
| OpenSUSE 15 | ✓ | ✓ |
| Oracle Linux 9 | ✓ | |
| Oracle Linux 8 | ✓ | ✓ |
| Oracle Linux 7 | ✓ | ✓ |
| Oracle Linux 6.4+ | ||
| Red Hat Enterprise Linux Server 9+ | ✓ | ✓ |
| Red Hat Enterprise Linux Server 8.6+ | ✓2 | ✓ |
| Red Hat Enterprise Linux Server 8.0-8.5 | ✓ | ✓ |
| Red Hat Enterprise Linux Server 7 | ✓ | ✓ |
| Red Hat Enterprise Linux Server 6.7+ | ||
| Rocky Linux 9 | ✓ | ✓ |
| Rocky Linux 8 | ✓ | ✓ |
| SUSE Linux Enterprise Server 15 SP4 | ✓2 | ✓ |
| SUSE Linux Enterprise Server 15 SP3 | ✓ | ✓ |
| SUSE Linux Enterprise Server 15 SP2 | ✓ | ✓ |
| SUSE Linux Enterprise Server 15 SP1 | ✓ | ✓ |
| SUSE Linux Enterprise Server 15 | ✓ | ✓ |
| SUSE Linux Enterprise Server 12 | ✓ | ✓ |
| Ubuntu 22.04 LTS | ✓ | ✓ |
| Ubuntu 20.04 LTS | ✓2 | ✓ |
| Ubuntu 18.04 LTS | ✓2 | ✓ |
| Ubuntu 16.04 LTS | ✓ | ✓ |
| Ubuntu 14.04 LTS | ✓ |
1 需要在機器上安裝 Python (2 或 3)。
2 Arm64 型機器也支援。
3 至少需要配置 4 GB 的磁碟空間(預設未提供)。
注意
不支援執行上述發行版本之大量自訂或移除版本的機器和設備,以及不允許使用者自訂的託管解決方案。 Azure 監視器和舊版代理程式依賴經常從這類系統移除的各種套件和其他基準功能,而且其安裝可能需要進行設備廠商視為不允許的一些環境修改。 例如,因為大量自訂以及記載的授權層級不允許修改作業系統,所以不支援GitHub Enterprise Server。
注意
CBL-Mariner 2.0 的磁碟大小預設約為 1GB,可提供記憶體節省,而其他大約 30GB 的 Azure VM 則比較。 不過,Azure 監視器代理程式需要至少 4GB 的磁碟大小,才能成功安裝和執行。 如需有關如何在安裝代理程式之前增加磁碟大小的詳細資訊和指示,請參閱 CBL-Mariner 的文件。
Linux 強化標準
適用於 Linux 的 Azure 監視代理程式現在正式支援各種 Linux 作業系統和發行版強化標準。 每個版本的代理程式都會根據支持的強化標準進行測試和認證。 我們會針對 Azure Marketplace 上公開提供的映射進行測試,並由 CIS 發佈,並且只支援套用至這些映射的設定和強化。 如果您在自己的黃金映射上套用其他自訂項目,且 CIS 映射未涵蓋這些設定,則會被視為不支援的案例。
只有適用於Linux的 Azure 監視代理程式才支援這些強化標準。 Log Analytics 代理程式 (舊版) 或診斷擴充功能中沒有支援此計劃
目前支持的強化標準:
- SELinux
- CIS Lvl 1 和 21
- STIG
- FIPs
- FedRamp
| 作業系統 | Azure 監視器代理程式 1 | 舊版代理程式1 |
|---|---|---|
| CentOS Linux 7 | ✓ | |
| Debian 10 | ✓ | |
| Ubuntu 18 | ✓ | |
| Ubuntu 20 | ✓ | |
| Red Hat Enterprise Linux Server 7 | ✓ | |
| Red Hat Enterprise Linux Server 8 | ✓ |
1 僅支援上述散發版本和版本
常見問題集
本節提供常見問題的答案。
Azure 監視器需要代理程式嗎?
只有在虛擬機器中收集來自作業系統和工作負載的資料時,才需要代理程式。 虛擬機器可以位於 Azure、另一個雲端環境或內部部署中。 請參閱 Azure 監視器代理程式概觀。
Azure 監視器代理程式是否支援各種 Log Analytics 解決方案和 Azure 服務的數據收集,例如 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel?
如需使用 Azure 監視器代理程式進行資料收集的功能和服務清單,請參閱從 Log Analytics 代理程式移轉至 Azure 監視器代理程式。
某些服務可能會安裝其他延伸模組來收集更多數據或轉換或處理數據,然後使用 Azure 監視器代理程式將最終數據路由傳送至 Azure 監視器。
下列是說明新擴充性架構的圖表。
Azure 監視器代理程式是否支援非 Azure 環境,例如其他雲端或內部部署?
當您安裝 Azure Arc 代理程式後,伺服器現在會支援連線到其他雲端的內部部署機器和電腦。 為了執行 Azure 監視器代理程式和資料收集規則的目的,Azure Arc 需求不需要額外的成本或資源耗用量。 Azure Arc 代理程式只會當做安裝機制使用。 如果您不想使用付費管理功能,就不需要啟用這些管理功能。
Azure 監視器代理程式是否支援 Linux 或 AUOMS 上的稽核記錄?
是的,但您必須上線至適用於雲端的 Defender (先前為 Azure 資訊安全中心)。 這可作為 Azure 監視器代理程式的擴充功能,可透過 AUOMS 收集 Linux 稽核的記錄。
為什麼我需要安裝 Azure Arc Connected Machine 代理程式才能使用 Azure 監視器代理程式?
Azure 監視器代理程式會透過受控識別向工作區進行驗證,這是您安裝連線的電腦代理程式時所建立的。 受控識別是 Azure 中更安全且易於管理的驗證解決方案。 舊版 Log Analytics 代理程式會改用工作區識別碼和金鑰進行驗證,所以不需要 Azure Arc。
下一步
- 在 Windows 和 Linux 虛擬機器上安裝 Azure 監視器代理程式。
- 建立資料收集規則,以從代理程式收集資料,並將其傳送至 Azure 監視器。