Azure 監視器中的 Wire Data 2.0 (預覽版) 解決方案 (已淘汰)
注意
Wire Data 解決方案已取代為 VM 深入解析和 服務對應解決方案。 兩者都使用 Log Analytics 代理程式和相依性代理程式,以將網路連線資料收集至 Azure 監視器。
Wire Data 解決方案的支援將於「2022 年 3 月 31 日」結束。 在淘汰日期之前,使用 Wire Data 2.0 (預覽版) 解決方案的現有客戶可能還是會繼續使用。
新的和現有的客戶應該安裝 VM 深入解析或服務對應解決方案。 他們所收集的地圖資料集相當於 Wire Data 2.0 (預覽版) 資料集。 VM 深入解析包括服務對應資料集,以及用於分析的其他效能資料和功能。 這兩個供應項目都有與 Microsoft Sentinel 的連線。
連線資料是彙總的網路和效能資料,使用 Log Analytics 代理程式從 Windows 連線和 Linux 連線的電腦收集,包括您的環境中由 Operations Manager 監視的資料。 網路資料結合其他記錄資料可協助您將資料相互關聯。
除了 Log Analytics 代理程式,Wire Data 解決方案還會使用您在 IT 基礎結構的電腦上所安裝的 Microsoft 相依性代理程式。 相依性代理程式會監視往返於您電腦傳送的網路資料 (屬於 OSI 模型中的網路層級 2-3),包括使用的各種通訊協定和連接埠。 然後,使用代理程式將資料傳送至 Azure 監視器。
移轉至 Azure 監視器 VM 深入解析或服務對應
在許多情況下,我們會看到客戶通常已在相同的 VM 上同時啟用 Wire Data 2.0 (預覽版) 和 VM 深入解析或服務對應解決方案。 這表示您已在 VM 上啟用取代供應項目。 您只要從 Log Analytics 工作區移除 Wire Data 2.0 (預覽版) 解決方案即可。
如果您的 VM 只啟用 Wire Data 2.0 (預覽版),則可以將 VM 上線至 VM 深入解析或服務對應解決方案,然後從 Log Analytics 工作區中移除 Wire Data 2.0 (預覽版) 解決方案。
將查詢從 Azure 監視器 VM 深入解析移轉至 VMConnection 資料表
提供資料的代理程式
Wire Data 2.0 查詢
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
VM 深入解析和服務對應查詢
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
提供資料之代理程式的 IP 位址
Wire Data 2.0 查詢
WireData
| summarize AggregatedValue = count() by LocalIP
VM 深入解析和服務對應查詢
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
遠端 IP 位址的所有輸出通訊
Wire Data 2.0 查詢
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
VM 深入解析和服務對應查詢
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
通訊協定名稱收到的位元組
Wire Data 2.0 查詢
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
VM 深入解析和服務對應查詢
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
程序的網路流量 (位元組)
Wire Data 2.0 查詢
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
VM 深入解析和服務對應查詢
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
更多範例查詢
如需其他範例查詢,請參閱 VM 深入解析記錄搜尋文件和 VM 深入解析警示文件。
解除安裝 Wire Data 2.0 解決方案
若要解除安裝 Wire Data 2.0,您只需要從 Log Analytics 工作區中移除解決方案即可。 這將會導致下列項目:
- 從連線至工作區的 VM 中移除 Wire Data Management 組件。
- Wire Data 資料類型不再出現於工作區中
遵循這些指示來移除 Wire Data 解決方案。
注意
如果您的工作區上有服務對應或 VM 深入解析解決方案,則將不會移除管理組件,因為這些解決方案也會使用此管理組件。
Wire Data 2.0 管理組件
在 Log Analytics 工作區中啟動 Wire Data 時,會將 300 KB 的管理組件傳送至該工作區中的所有 Windows 伺服器。 如果您是在連線的管理群組中使用 System Center Operations Manager 代理程式,則會從 System Center Operations Manager 部署相依性監視管理組件。 如果直接連線代理程式,則 Azure 監視器會提供管理組件。
管理組件名稱為 Microsoft.IntelligencePacks.ApplicationDependencyMonitor。 它會寫入至 %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs。 管理組件所使用的資料來源是 %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<自動產生的識別碼>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll。
解除安裝相依性代理程式
注意
如果您打算將 Wire Data 取代為服務對應或 VM 深入解析,則不應該移除相依性代理程式。
請使用下列各節來協助您移除相依性代理程式。
在 Windows 上解除安裝相依性代理程式
系統管理員可透過控制台解除安裝 Windows Dependency Agent。
系統管理員也可以執行 %Programfiles%\Microsoft Dependency Agent\Uninstall.exe,以解除安裝 Dependency Agent。
在 Linux 上解除安裝相依性代理程式
若要從 Linux 中完全解除安裝相依性代理程式,您必須移除代理程式本身以及隨代理程式自動安裝的連接器。 您可以使用下列單一命令同時解除安裝這兩者:
rpm -e dependency-agent dependency-agent-connector
使用 Wire Data 2.0 解決方案
在 Azure 入口網站 Log Analytics 工作區的 [概觀] 頁面中,按一下 [Wire Data 2.0] 磚以開啟 [Wire Data] 儀表板。 儀表板包含下表中的區段。 每個區段最多會列出符合指定範圍和時間範圍之區段準則的 10 個專案。 您可以執行記錄搜尋來傳回所有記錄,方法是按一下區段底部的 [ 查看所有 ],或按一下區段標頭。
| 小節 | 說明 |
|---|---|
| 擷取網路流量的代理程式數 | 顯示擷取網路流量的代理程式數,並列出擷取最多流量的前 10 部電腦。 按一下此數字可執行記錄搜尋,以搜尋 WireData | summarize sum(TotalBytes) by Computer | take 500000。 按一下清單中的電腦可執行記錄搜尋,以傳回擷取的位元組總數。 |
| 區域子網路數 | 顯示代理程式探索到的區域子網路數。 按一下此數字可執行記錄搜尋,以搜尋 WireData | summarize sum(TotalBytes) by LocalSubnet,其中列出所有子網路及透過每個子網路傳送的位元組數目。 按一下清單中的子網路可執行記錄搜尋,以傳回透過子網路傳送的位元組總數。 |
| 應用程式層級通訊協定數 | 顯示代理程式探索到的使用中應用程式層級通訊協定數。 按一下此數字可執行記錄搜尋,以搜尋 WireData | summarize sum(TotalBytes) by ApplicationProtocol。 按一下通訊協定可執行記錄搜尋,以傳回使用該通訊協定傳送的位元組總數。 |
您可以使用 [代理程式擷取網路流量 ] 區段來判斷電腦耗用多少網路頻寬。 本節可協助您輕鬆地在環境中找到 最聊天 的電腦。 這類電腦可能超載、運作異常,或使用的網路資源不尋常地過多。
![[連線資料 2.0] 儀表板中 [擷取網路流量的代理程式擷取網路流量] 區段的螢幕擷取畫面,其中顯示每部電腦所耗用的網路頻寬。](media/wire-data/log-search-example01.png)
同樣地,您可以使用 [ 本機子網] 區段來判斷要透過子網移動的網路流量。 使用者通常會為其應用程式定義重要區域周圍的子網路。 本節提供這些區域的檢視。
![[連線資料 2.0] 儀表板中 [本機子網] 區段的螢幕擷取畫面,其中顯示每個 LocalSubnet 所耗用的網路頻寬。](media/wire-data/log-search-example02.png)
[應用層級通訊協定] 區段很有用,因為它有助於瞭解使用中的通訊協定。 例如,您可能預期 SSH 不會用於網路環境中。 檢視區段中可用的資訊可以快速確認或解除您的期望。
![[連線資料 2.0] 儀表板中 [應用層級通訊協定] 區段的螢幕擷取畫面,其中顯示每個通訊協定所耗用的網路頻寬。](media/wire-data/log-search-example03.png)
它也有助於了解通訊協定流量是否隨時間增加或減少。 例如,如果應用程式所傳輸的資料量增加,可能有應該注意或值得關注的問題。
輸入資料
連線資料會使用您已啟用的代理程式,來收集有關網路流量的中繼資料。 每個代理程式約每隔 15 秒傳送一次資料。
輸出資料
對於每種類型的輸入資料,系統會建立 WireData 類型的記錄。 WireData 記錄具有下表所示的屬性:
| 屬性 | 描述 |
|---|---|
| 電腦 | 收集資料所在的電腦名稱 |
| TimeGenerated | 記錄的時間 |
| LocalIP | 本機電腦的 IP 位址 |
| SessionState | 已連線或已中斷連線 |
| ReceivedBytes | 接收的位元組數目 |
| ProtocolName | 使用的網路通訊協定名稱 |
| IPVersion | IP 版本 |
| 方向 | 輸入或輸出 |
| MaliciousIP | 已知惡意來源的 IP 位址 |
| 嚴重性 | 可疑惡意程式碼嚴重性 |
| RemoteIPCountry | 遠端 IP 位址的國家/區域 |
| ManagementGroupName | Operations Manager 管理群組的名稱 |
| SourceSystem | 收集資料所在的來源 |
| SessionStartTime | 工作階段的開始時間 |
| SessionEndTime | 工作階段的結束時間 |
| LocalSubnet | 收集資料所在的子網路 |
| LocalPortNumber | 本機連接埠號碼 |
| RemoteIP | 遠端電腦所使用的遠端 IP 位址 |
| RemotePortNumber | 遠端 IP 位址所使用的連接埠號碼 |
| SessionID | 識別兩個 IP 位址之間通訊工作階段的唯一值 |
| SentBytes | 傳送的位元組數目 |
| TotalBytes | 工作階段期間傳送的位元組總數 |
| ApplicationProtocol | 使用的網路通訊協定類型 |
| ProcessID | Windows 處理序識別碼 |
| ProcessName | 處理序的路徑和檔案名稱 |
| RemoteIPLongitude | IP 經度值 |
| RemoteIPLatitude | IP 緯度值 |
下一步
- 如需了解為虛擬機器啟用監視的需求和方法,請參閱部署 VM 深入解析。
- 搜尋記錄以檢視詳細的連線資料搜尋記錄。