Používání řešení Service Map v Azure

Service Map automaticky rozpozná komponenty aplikace v systémech Windows a Linux a mapuje komunikaci mezi službami. Service Map zobrazuje vaše servery tak, jak o nich přemýšlíte, tzn. jako propojené systémy, které zajišťují důležité služby. Service Map zobrazuje propojení serverů, procesů, latenci příchozích a odchozích připojení a porty v libovolné architektuře propojené protokolem TCP. Kromě instalace agenta se nevyžaduje žádná konfigurace.

Tento článek popisuje podrobnosti o onboardingu a používání služby Service Map. Požadavky řešení jsou následující:

  • Pracovní prostor služby Log Analytics v podporované oblasti

  • Agent Log Analytics nainstalovaný na Windows počítači nebo na linuxovém serveru připojeném ke stejnému pracovnímu prostoru, pomocí kterého jste povolili řešení.

  • Agent závislostí nainstalovaný na Windows počítači nebo na serveru s Linuxem.

Poznámka

Pokud jste už službu Service Map nasadili, můžete si mapy zobrazit také v přehledech virtuálních počítačů, které zahrnují další funkce pro monitorování stavu a výkonu virtuálního počítače. Další informace najdete v přehledu přehledů virtuálních počítačů. Informace o rozdílech mezi řešením Service Map a funkcí Map přehledů virtuálních počítačů najdete v následujících nejčastějších dotazech.

Přihlášení k Azure

Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.

Povolení služby Service Map

  1. Povolte řešení Service Map z Azure Marketplace nebo pomocí procesu popsaného v tématu Přidání řešení monitorování z galerie řešení.
  2. Nainstalujte agenta závislostí na Windows nebo nainstalujte závislého agenta v Linuxu na každý počítač, kde chcete získat data. Závislý agent dokáže monitorovat připojení k bezprostředním sousedům, takže nepotřebujete mít agenta na každém počítači.

Ke službě Service Map se dostanete v Azure Portal z pracovního prostoru služby Log Analytics a v levém podokně vyberete možnost Řešení.

Select Solutions option in workspace.
V seznamu řešení vyberte ServiceMap(workspaceName) a na stránce přehledu řešení Service Map klikněte na dlaždici souhrnu služby Service Map.

Service Map summary tile.

Případy použití: Zajištění závislosti procesů IT

Zjišťování

Service Map automaticky sestaví společnou referenční mapu závislostí napříč vašimi servery, procesy a službami třetích stran. Zjišťuje a mapuje všechny závislosti TCP, identifikuje překvapivá připojení, vzdálené systémy třetích stran, na kterých závisíte, a závislosti na tradičních tmavých oblastech sítě, jako je Active Directory. Service Map zjišťuje neúspěšná síťová připojení, která se vaše spravované systémy pokouší provést, a pomáhá identifikovat potenciální chyby konfigurace serveru, výpadky služeb a problémy se sítí.

Správa incidentů

Service Map pomáhá eliminovat odhad izolace problémů tím, že ukazuje, jak jsou systémy vzájemně propojené a ovlivněné. Kromě identifikace neúspěšných připojení pomáhá identifikovat nesprávně nakonfigurované nástroje pro vyrovnávání zatížení, překvapivý nebo nadměrný zatížení kritických služeb a neautorizuje klienty, jako jsou počítače vývojářů, které komunikují s produkčními systémy. Pomocí integrovaných pracovních postupů s Change Tracking můžete také zjistit, jestli událost změny na back-endovém počítači nebo službě vysvětluje původní příčinu incidentu.

Zajištění migrace

Pomocí Service Map můžete efektivně plánovat, zrychlit a ověřovat migrace Azure, což pomáhá zajistit, aby nedošlo k žádným výpadkům a nedošlo k překvapením. Můžete zjistit všechny vzájemně závislé systémy, které je potřeba migrovat společně, posoudit konfiguraci a kapacitu systému a určit, jestli spuštěný systém stále obsluhuje uživatele, nebo je kandidátem na vyřazení z provozu místo migrace. Po dokončení přesunu můžete zkontrolovat zatížení klienta a identitu a ověřit, že se připojují testovací systémy a zákazníci. Pokud máte problémy s plánováním podsítě a definicemi brány firewall, namapují vás neúspěšná připojení ve službě Service Map na systémy, které potřebují připojení.

Kontinuita podnikových procesů

Pokud používáte Azure Site Recovery a potřebujete pomoc s definováním sekvence obnovení pro vaše aplikační prostředí, Service Map vám může automaticky ukázat, jak se systémy vzájemně spoléhají, aby se zajistilo, že váš plán obnovení je spolehlivý. Výběrem kritického serveru nebo skupiny a zobrazením svých klientů můžete určit, které front-endové systémy se mají po obnovení a dostupnosti serveru obnovit. Naopak, když se podíváte na back-endové závislosti kritických serverů, můžete určit, které systémy se mají obnovit před obnovením systémů fokusu.

Správa oprav

Service Map vylepšuje používání posouzení aktualizací systému tím, že vám ukáže, které další týmy a servery závisí na vaší službě, abyste je mohli předem informovat, než systém opravíte. Service Map také vylepšuje správu oprav tím, že vám ukáže, jestli jsou vaše služby po opravě a restartování dostupné a správně připojené.

Přehled mapování

Agenti Service Map shromažďují informace o všech procesech připojených protokolem TCP na serveru, kde jsou nainstalované, a podrobnosti o příchozích a odchozích připojeních pro každý proces.

V seznamu v levém podokně můžete vybrat počítače nebo skupiny, které mají agenty Service Map, a vizualizovat jejich závislosti v zadaném časovém rozsahu. Mapy závislostí počítačů se zaměřují na konkrétní počítač a zobrazují všechny počítače, které jsou přímými klienty TCP nebo servery daného počítače. Mapy skupin počítačů zobrazují sady serverů a jejich závislostí.

Service Map overview

Počítače je možné rozbalit na mapě, aby se během vybraného časového rozsahu zobrazily spuštěné skupiny procesů a procesy s aktivními síťovými připojeními. Když se vzdálený počítač s agentem Service Map rozbalí a zobrazí se podrobnosti o procesu, zobrazí se jenom procesy, které komunikují s fokusem. Počet front-endových počítačů bez agentů, které se připojují k detailnímu počítači, je uveden na levé straně procesů, ke kterým se připojují. Pokud fokus vytváří připojení k back-endovém počítači, který nemá žádného agenta, back-endový server je součástí skupiny portů serveru spolu s dalšími připojeními ke stejnému číslu portu.

Ve výchozím nastavení mapy Service Map zobrazují posledních 30 minut informací o závislostech. Pomocí ovládacích prvků času v levém horním rohu můžete dotazovat na historické časové rozsahy až jednu hodinu, abyste ukázali, jak závislosti vypadaly v minulosti (například během incidentu nebo před změnou). Data služby Service Map se ukládají po dobu 30 dnů v placených pracovních prostorech a po dobu 7 dnů v bezplatných pracovních prostorech.

Odznáčky stavu a obarvení ohraničení

V dolní části každého serveru na mapě může být seznam stavových odznáků s informacemi o stavu serveru. Odznáčky označují, že pro server existuje několik relevantních informací z jedné z integrací řešení. Kliknutím na odznáček přejdete přímo na podrobnosti o stavu v pravém podokně. Mezi aktuálně dostupné odznáčky stavu patří Výstrahy, Služba Desk, Změny, Zabezpečení a Aktualizace.

V závislosti na závažnosti stavových odznáků může být ohraničení uzlů počítače červeně (kritické), žluté (upozornění) nebo modré (informační). Barva představuje nejvýraznější stav některého ze stavových odznáků. Šedé ohraničení označuje uzel, který nemá žádné indikátory stavu.

Status badges

Skupiny procesů

Skupiny procesů kombinují procesy přidružené k běžnému produktu nebo službě do skupiny procesů. Když se uzel počítače rozbalí, zobrazí se samostatné procesy spolu se skupinami procesů. Pokud některá příchozí a odchozí připojení k procesu v rámci skupiny procesů selhala, zobrazí se připojení jako neúspěšné pro celou skupinu procesů.

Skupiny počítačů

Skupiny počítačů umožňují zobrazit mapy vycentrované kolem sady serverů, ne jenom jednoho, abyste viděli všechny členy vícevrstvé aplikace nebo serverového clusteru na jedné mapě.

Uživatelé vyberou, které servery patří do skupiny, a vyberou název skupiny. Pak se můžete rozhodnout zobrazit skupinu se všemi procesy a připojeními, nebo ji zobrazit jenom s procesy a připojeními, které přímo souvisejí s ostatními členy skupiny.

Machine Group

Vytvoření skupiny počítačů

Skupinu vytvoříte tak, že v seznamu Počítače vyberete požadovaný počítač nebo počítače a kliknete na Přidat do skupiny.

Create Group

Tam můžete zvolit Vytvořit nový a pojmenovat skupinu.

Name Group

Poznámka

Skupiny počítačů jsou omezené na 10 serverů.

Zobrazení skupiny

Po vytvoření některých skupin je můžete zobrazit tak, že zvolíte kartu Skupiny.

Groups tab

Pak vyberte název skupiny a zobrazte mapu pro tuto skupinu počítačů. Machine Group Počítače, které patří do skupiny, jsou na mapě uvedené bíle.

Rozbalením skupiny zobrazíte seznam počítačů, které tvoří skupinu počítačů.

Machine Group machines

Filtrování podle procesů

Zobrazení mapy můžete přepnout mezi zobrazením všech procesů a připojení ve skupině a pouze mezi procesy, které přímo souvisejí se skupinou počítačů. Výchozím zobrazením je zobrazit všechny procesy. Zobrazení můžete změnit kliknutím na ikonu filtru nad mapou.

Filter Group

Při výběru všech procesů bude mapa obsahovat všechny procesy a připojení na každém počítači ve skupině.

Machine Group all processes

Pokud změníte zobrazení tak, aby zobrazovalo pouze procesy připojené ke skupině, mapa se zúží jenom na procesy a připojení, které jsou přímo připojené k jiným počítačům ve skupině, a vytvoří zjednodušené zobrazení.

Machine Group filtered processes

Přidání počítačů do skupiny

Chcete-li přidat počítače do existující skupiny, zaškrtněte políčka vedle požadovaných počítačů a klepněte na tlačítko Přidat do skupiny. Pak zvolte skupinu, do které chcete počítače přidat.

Odebrání počítačů ze skupiny

V seznamu skupin rozbalte název skupiny a vypište počítače ve skupině počítačů. Potom klikněte na nabídku se třemi tečky vedle počítače, který chcete odebrat, a zvolte Odebrat.

Remove machine from group

Odebrání nebo přejmenování skupiny

Klikněte na nabídku se třemi tečky vedle názvu skupiny v seznamu skupin.

Machine group menu

Ikony rolí

Některé procesy obsluhují určité role na počítačích: webové servery, aplikační servery, databáze atd. Service Map anotuje procesová a strojová pole s ikonami rolí, které pomáhají na první pohled identifikovat roli, která hraje proces nebo server.

Ikona role Description
Web server Webový server
App server Aplikační server
Database server Databázový server
LDAP server Server LDAP
SMB server Server SMB

Role icons

Neúspěšná připojení

Neúspěšná připojení se zobrazují v mapách Service Map pro procesy a počítače s přerušovanou červenou čárou, která značí, že klientský systém se nedaří spojit s procesem nebo portem. Neúspěšná připojení se hlásí z libovolného systému s nasazeným agentem Service Map, pokud se jedná o připojení, které selhalo. Service Map tento proces měří pozorováním soketů TCP, které se nepodaří navázat připojení. Toto selhání může mít za následek bránu firewall, chybnou konfiguraci klienta nebo serveru nebo nedostupnou vzdálenou službu.

Screenshot of one part of a Service Map highlighting a dashed red line that indicates a failed connection between the backup.pl process and Port 4475.

Pochopení neúspěšných připojení může pomoct s řešením potíží, ověřením migrace, analýzou zabezpečení a celkovým porozuměním architektury. Neúspěšná připojení jsou někdy neškodná, ale často ukazují přímo na problém, například na prostředí převzetí služeb při selhání náhle přestane být nedostupné nebo dvě aplikační vrstvy nemůžou po migraci do cloudu mluvit.

Klientské skupiny

Klientské skupiny jsou pole na mapě, která představují klientské počítače, které nemají agenty závislostí. Jedna skupina klientů představuje klienty pro jednotlivé procesy nebo počítače.

Client Groups

Pokud chcete zobrazit IP adresy serverů ve skupině klientů, vyberte skupinu. Obsah skupiny je uvedený v podokně Vlastnosti skupiny klientů .

Client Group properties

Skupiny portů serveru

Skupiny portů serveru jsou pole, která představují porty serveru na serverech, které nemají agenty závislostí. Pole obsahuje port serveru a počet serverů s připojením k ho portu. Rozbalením pole zobrazíte jednotlivé servery a připojení. Pokud je v poli jenom jeden server, zobrazí se název nebo IP adresa.

Server Port Groups

Kontextová nabídka

Kliknutím na tři tečky (...) v pravém horním rohu libovolného serveru se zobrazí místní nabídka pro daný server.

Screenshot showing the opened context menu for a server in Service Map. The menu has the options Load Server Map and Show Self-Links.

Načtení mapy serveru

Kliknutím na Načíst mapu serveru přejdete na novou mapu s vybraným serverem jako novým fokusovým počítačem.

Kliknutím na Zobrazit samostatné odkazy překreslíte uzel serveru, včetně všech samoobslužných propojení, což jsou připojení TCP, která se spouští a končí na procesech na serveru. Pokud se zobrazí samoobslužné odkazy, příkaz nabídky se změní na Skrýt samoobslužné odkazy, abyste je mohli vypnout.

Souhrn počítače

Podokno Souhrn počítače obsahuje přehled operačního systému serveru, počty závislostí a data z jiných řešení. Tato data zahrnují metriky výkonu, lístky služeb, sledování změn, zabezpečení a aktualizace.

Machine Summary pane

Vlastnosti počítače a procesu

Při navigaci v mapě Service Map můžete vybrat počítače a procesy, abyste získali další kontext o jejich vlastnostech. Počítače poskytují informace o názvu DNS, adresách IPv4, kapacitě procesoru a paměti, typu virtuálního počítače, operačním systému a verzi, času posledního restartování a ID jejich agentů OMS a Service Map.

Machine Properties pane

Podrobnosti o procesu můžete shromažďovat z metadat operačního systému o spuštěných procesech, včetně názvu procesu, popisu procesu, uživatelského jména a domény (v Windows), názvu společnosti, názvu produktu, verze produktu, pracovního adresáře, příkazového řádku a času spuštění procesu.

Process Properties pane

Podokno Souhrn procesů poskytuje další informace o připojení procesu, včetně jeho vázaných portů, příchozích a odchozích připojení a neúspěšných připojení.

Process Summary pane

Integrace upozornění

Service Map se integruje s upozorněními Azure, aby zobrazovala aktivovaná upozornění pro vybraný server ve vybraném časovém rozsahu. Server zobrazí ikonu, pokud jsou k dispozici aktuální výstrahy, a v podokně Upozornění počítače se zobrazí seznam výstrah.

Machine Alerts pane

Pokud chcete službě Service Map povolit zobrazování relevantních výstrah, vytvořte pravidlo upozornění, které se aktivuje pro konkrétní počítač. Vytvoření správných upozornění:

  • Zahrňte klauzuli pro seskupení podle počítače (například podle intervalu počítače 1 minutu).
  • Zvolte upozornění na základě měření metriky.

Integrace událostí protokolu

Service Map se integruje s prohledáváním protokolů a zobrazuje počet všech dostupných událostí protokolu pro vybraný server během vybraného časového rozsahu. Kliknutím na libovolný řádek v seznamu počtu událostí můžete přejít do prohledávání protokolu a zobrazit jednotlivé události protokolu.

Machine Log Events pane

Integrace service desku

Integrace služby Service Map s konektorem pro správu IT je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení. Integrace ve službě Service Map je označená jako Service Desk. Další informace najdete v tématu Centrální správa pracovních položek ITSM pomocí konektoru IT Service Management Connector.

Podokno Machine Service Desk obsahuje seznam všech událostí správy IT pro vybraný server ve vybraném časovém rozsahu. Server zobrazí ikonu, pokud jsou k dispozici aktuální položky a podokno Machine Service Desk je vypíše.

Machine Service Desk pane

Pokud chcete položku otevřít v připojeném řešení ITSM, klikněte na Zobrazit pracovní položku.

Chcete-li zobrazit podrobnosti o položce v prohledávání protokolu, klepněte na tlačítko Zobrazit v prohledávání protokolu. Metriky připojení se zapisují do dvou nových tabulek v Log Analytics.

integrace Change Tracking

Integrace služby Service Map s Change Tracking je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

V podokně Machine Change Tracking jsou uvedeny všechny změny s nejnovějšími změnami a odkazem pro přechod k podrobnostem prohledávání protokolů a další podrobnosti.

Screenshot of the Machine Change Tracking pane in Service Map.

Následující obrázek je podrobný pohled na událost ConfigurationChange, kterou můžete vidět po výběru možnosti Zobrazit v Log Analytics.

ConfigurationChange event

Integrace výkonu

Podokno Výkon počítače zobrazuje standardní metriky výkonu pro vybraný server. Mezi metriky patří využití procesoru, využití paměti, odesílané a přijaté bajty sítě a seznam hlavních procesů odeslaných a přijatých síťovými bajty.

Machine Performance pane

Pokud chcete zobrazit data o výkonu, možná budete muset povolit příslušné čítače výkonu Log Analytics. Čítače, které chcete povolit:

Windows:

  • Processor(*)\% čas procesoru
  • Paměť\% potvrzené bajty, které se používají
  • Síťový adaptér(*)\Bajty odeslané/s
  • Síťový adaptér(*)\Bajty přijaté/s

Linux:

  • Processor(*)\% čas procesoru
  • Paměť(*)\% využitá paměť
  • Síťový adaptér(*)\Bajty odeslané/s
  • Síťový adaptér(*)\Bajty přijaté/s

Integrace zabezpečení

Integrace služby Service Map se zabezpečením a auditem je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

Podokno Zabezpečení počítače zobrazuje data z řešení Zabezpečení a audit pro vybraný server. V podokně se zobrazí souhrn všech nevyřízených problémů se zabezpečením serveru během vybraného časového rozsahu. Kliknutím na některý z problémů se zabezpečením přejdete k podrobnostem prohledávání protokolů.

Machine Security pane

Integrace aktualizací

Integrace služby Service Map se službou Update Management je automatická, když jsou v pracovním prostoru služby Log Analytics povolená a nakonfigurovaná obě řešení.

Podokno Aktualizace počítače zobrazuje data z řešení Update Management pro vybraný server. V podokně se zobrazí souhrn všech chybějících aktualizací pro server během vybraného časového rozsahu.

Screenshot of the Machine Updates pane in Service Map.

Záznamy služby Log Analytics

Data o inventáři služby Service Map jsou k dispozici pro vyhledávání v Log Analytics. Tato data můžete použít ve scénářích, mezi které patří plánování migrace, analýza kapacity, zjišťování a řešení potíží s výkonem na vyžádání.

Jeden záznam se vygeneruje za hodinu pro každý jedinečný počítač a proces, a to kromě záznamů, které se vygenerují při spuštění procesu nebo počítače nebo na palubě služby Service Map. Tyto záznamy mají vlastnosti v následujících tabulkách. Pole a hodnoty v událostech ServiceMapComputer_CL se mapuje na pole prostředku počítače v rozhraní SERVICEMap Azure Resource Manager API. Pole a hodnoty v událostech ServiceMapProcess_CL se mapuje na pole prostředku procesu v rozhraní API služby Azure Resource Manager ServiceMap. Pole ResourceName_s odpovídá poli názvu v odpovídajícím zdroji Resource Manager.

Poznámka

S rostoucím růstem funkcí Service Map se tato pole můžou změnit.

Existují interně generované vlastnosti, které můžete použít k identifikaci jedinečných procesů a počítačů:

  • Počítač: K jednoznačné identifikaci počítače v pracovním prostoru služby Log Analytics použijte Id prostředku nebo ResourceName_s .
  • Proces: Pomocí Id prostředku můžete jednoznačně identifikovat proces v pracovním prostoru služby Log Analytics. ResourceName_s je jedinečný v kontextu počítače, na kterém je proces spuštěný (MachineResourceName_s).

Vzhledem k tomu, že pro zadaný proces a počítač v zadaném časovém rozsahu může existovat více záznamů, můžou dotazy vrátit více záznamů pro stejný počítač nebo proces. Pokud chcete zahrnout pouze nejnovější záznam, přidejte "| Dedup ResourceId" na dotaz.

Připojení

Metriky připojení se zapisují do nové tabulky v Log Analytics – VMConnection. Tato tabulka obsahuje informace o připojeních pro počítač (příchozí a odchozí). Metriky připojení se také zobrazují pomocí rozhraní API, která poskytují prostředky k získání konkrétní metriky během časového intervalu. Připojení TCP vyplývající z příjmu na naslouchacího soketu jsou příchozí, zatímco připojení k dané IP adrese a portu jsou odchozí. Směr připojení je reprezentován Direction vlastnost, která může být nastavena na příchozí nebo odchozí.

Záznamy v těchto tabulkách se generují z dat hlášených agentem závislostí. Každý záznam představuje pozorování za jednu minutu. TimeGenerated vlastnost označuje začátek časového intervalu. Každý záznam obsahuje informace pro identifikaci příslušné entity, tj. připojení nebo portu, a také metriky přidružené k dané entitě. V současné době se hlásí pouze síťová aktivita, ke které dochází pomocí protokolu TCP přes protokol IPv4.

Pokud chcete spravovat náklady a složitost, záznamy připojení nepředstavují jednotlivá fyzická síťová připojení. Několik fyzických síťových připojení se seskupí do logického připojení, které se pak projeví v příslušné tabulce. To znamená, že záznamy v tabulce VMConnection představují logické seskupení, nikoli jednotlivá fyzická připojení, která se pozorují. Fyzické síťové připojení sdílející stejnou hodnotu pro následující atributy během daného intervalu jedné minuty se agregují do jednoho logického záznamu ve VMConnection.

Vlastnost Popis
Direction Směr připojení, hodnota je příchozí nebo odchozí
Machine Plně kvalifikovaný název domény počítače
Process Identita procesů nebo skupin procesů, iniciace nebo přijetí připojení
SourceIp IP adresa zdroje
DestinationIp IP adresa cíle
DestinationPort Číslo portu cíle
Protocol Protokol používaný pro připojení. Hodnoty jsou tcp.

Informace o počtu seskupených fyzických připojení jsou k dispozici v následujících vlastnostech záznamu, které mají vliv na seskupení:

Vlastnost Popis
LinksEstablished Počet fyzických síťových připojení vytvořených během časového intervalu generování sestav
LinksTerminated Počet fyzických síťových připojení, která byla ukončena během časového intervalu generování sestav
LinksFailed Počet fyzickýchsíťových Tyto informace jsou aktuálně dostupné jenom pro odchozí připojení.
LinksLive Počet fyzických síťových připojení, která byla otevřená na konci časového intervalu generování sestav

Metriky

Kromě metrik počtu připojení jsou informace o objemu dat odesílaných a přijatých na daném logickém připojení nebo síťovém portu zahrnuty také do následujících vlastností záznamu:

Vlastnost Popis
BytesSent Celkový počet bajtů odeslaných během časového intervalu generování sestav
BytesReceived Celkový počet bajtů přijatých během časového intervalu generování sestav
Responses Počet odpovědí pozorovaných během časového intervalu generování sestav.
ResponseTimeMax Největší doba odezvy (milisekundy) zjištěná během časového intervalu generování sestav. Pokud žádná hodnota není, vlastnost je prázdná.
ResponseTimeMin Nejmenší doba odezvy (milisekundy) zjištěná během časového intervalu generování sestav. Pokud žádná hodnota není, vlastnost je prázdná.
ResponseTimeSum Součet všech dob odezvy (milisekund) pozorovaných během časového intervalu generování sestav. Pokud žádná hodnota není, vlastnost je prázdná.

Třetím typem hlášených dat je doba odezvy – jak dlouho volající stráví čekáním na žádost odeslanou přes připojení, která se má zpracovat a reagovat na vzdálený koncový bod. Hlášená doba odezvy představuje odhad skutečné doby odezvy podkladového aplikačního protokolu. Vypočítá se pomocí heuristiky na základě pozorování toku dat mezi zdrojem a cílovým koncem fyzického síťového připojení. Koncepčně se jedná o rozdíl mezi časem posledního bajtu požadavku, který odesílatel opustí, a časem, kdy do ní přijde poslední bajt odpovědi. Tyto dvě časové razítka slouží k delineaci událostí požadavků a odpovědí na dané fyzické připojení. Rozdíl mezi nimi představuje dobu odezvy jednoho požadavku.

V této první verzi této funkce je náš algoritmus aproximací, která může fungovat s různou mírou úspěchu v závislosti na skutečném aplikačním protokolu použitém pro dané síťové připojení. Aktuální přístup například funguje dobře pro protokoly založené na žádostech, jako jsou HTTP(S), ale nefunguje s jednosměrnými protokoly nebo protokoly založenými na frontě zpráv.

Tady je několik důležitých bodů, které je potřeba vzít v úvahu:

  1. Pokud proces přijímá připojení na stejnou IP adresu, ale přes více síťových rozhraní, bude hlášen samostatný záznam pro každé rozhraní.
  2. Záznamy se zástupnými adresou IP nebudou obsahovat žádnou aktivitu. Zahrnují se, aby představovaly skutečnost, že port na počítači je otevřený pro příchozí provoz.
  3. Aby se snížila úroveň podrobností a objem dat, záznamy s IP adresou se zástupnými znamény nebudou vynechány, pokud existuje odpovídající záznam (pro stejný proces, port a protokol) s určitou IP adresou. Pokud je vynechán záznam IP se zástupnými znamény, vlastnost záznamu IsWildcardBind s konkrétní IP adresou bude nastavena na Hodnotu True, aby bylo uvedeno, že port je vystaven přes každé rozhraní počítače pro generování sestav.
  4. Porty vázané pouze na konkrétní rozhraní mají IsWildcardBind nastavenou na "False".

Pojmenování a klasifikace

Pro usnadnění je IP adresa vzdáleného konce připojení součástí vlastnosti RemoteIp. U příchozích připojení je RemoteIp stejný jako SourceIp, zatímco u odchozích připojení je stejný jako DestinationIp. Vlastnost RemoteDnsCanonicalNames představuje kanonické názvy DNS hlášené počítačem pro RemoteIp. Vlastnosti RemoteDnsQuestions a RemoteClassification jsou vyhrazeny pro budoucí použití.

Geografická poloha

VMConnection také obsahuje informace o geografické poloze pro vzdálený konec každého záznamu připojení v následujících vlastnostech záznamu:

Vlastnost Popis
RemoteCountry Název země nebo oblasti hostující RemoteIp. Například USA
RemoteLatitude Zeměpisná šířka zeměpisné polohy. Například 47,68
RemoteLongitude Zeměpisná délka zeměpisné polohy. Například -122.12

Škodlivá IP adresa

Každá vlastnost RemoteIp v tabulce VMConnection se kontroluje na sadě IP adres se známou škodlivou aktivitou. Pokud je RemoteIp identifikován jako škodlivé, naplní se následující vlastnosti (jsou prázdné, pokud IP adresa není považována za škodlivou) v následujících vlastnostech záznamu:

Vlastnost Popis
MaliciousIp Adresa RemoteIp
IndicatorThreadType Zjištěný indikátor hrozby je jedna z následujících hodnot, Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.
Description Popis pozorované hrozby
TLPLevel Úroveň TLP (Traffic Light Protocol) je jednou z definovaných hodnot, Bílá, Zelená, Amber, Červená.
Confidence Hodnoty jsou 0 – 100.
Severity Hodnoty jsou 0 – 5, kde 5 je nejvíce závažné a 0 není vůbec závažné. Výchozí hodnota je 3.
FirstReportedDateTime Při prvním nahlášení indikátoru poskytovatelem.
LastReportedDateTime Čas, kdy indikátor naposledy viděl Interflow.
IsActive Označuje, že indikátory jsou deaktivovány s hodnotou True nebo False .
ReportReferenceLink Odkazy na sestavy související s daným pozorovatelným prostředím
AdditionalInformation Poskytuje další informace, pokud je to možné, o pozorované hrozbě.

ServiceMapComputer_CL záznamy

Záznamy s typem ServiceMapComputer_CL mají data inventáře pro servery s agenty Service Map. Tyto záznamy mají vlastnosti v následující tabulce:

Vlastnost Popis
Type ServiceMapComputer_CL
SourceSystem OpsManager
ResourceId Jedinečný identifikátor počítače v pracovním prostoru
ResourceName_s Jedinečný identifikátor počítače v pracovním prostoru
ComputerName_s Plně kvalifikovaný název domény počítače
Ipv4Addresses_s Seznam adres IPv4 serveru
Ipv6Addresses_s Seznam adres IPv6 serveru
DnsNames_s Pole názvů DNS
OperatingSystemFamily_s Windows nebo Linux
OperatingSystemFullName_s Úplný název operačního systému
Bitness_s Bitová verze počítače (32bitová nebo 64bitová verze)
PhysicalMemory_d Fyzická paměť v MB
Cpus_d Počet procesorů
CpuSpeed_d Rychlost procesoru v MHz
VirtualizationState_s neznámý, fyzický, virtuální, hypervisor
VirtualMachineType_s hyperv, vmware atd.
VirtualMachineNativeMachineId_g ID virtuálního počítače přiřazené jeho hypervisorem
VirtualMachineName_s Název virtuálního počítače
BootTime_t Čas spuštění

záznamy typu ServiceMapProcess_CL

Záznamy s typem ServiceMapProcess_CL mají data inventáře pro procesy připojené k protokolu TCP na serverech s agenty Service Map. Tyto záznamy mají vlastnosti v následující tabulce:

Vlastnost Popis
Type ServiceMapProcess_CL
SourceSystem OpsManager
ResourceId Jedinečný identifikátor procesu v rámci pracovního prostoru
ResourceName_s Jedinečný identifikátor procesu v počítači, na kterém běží
MachineResourceName_s Název prostředku počítače
ExecutableName_s Název spustitelného souboru procesu
StartTime_t Čas zahájení fondu procesů
FirstPid_d První PID ve fondu procesů
Description_s Popis procesu
CompanyName_s Název společnosti
InternalName_s Interní název
ProductName_s Název produktu
ProductVersion_s Verze produktu
FileVersion_s Verze souboru
CommandLine_s Příkazový řádek
ExecutablePath _s Cesta ke spustitelnému souboru
WorkingDirectory_s Pracovní adresář
UserName Účet, pod kterým se proces spouští
UserDomain Doména, pod kterou se proces spouští

Ukázky hledání v protokolech

Výpis všech známých počítačů

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Vypíše kapacitu fyzické paměti všech spravovaných počítačů.

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Uveďte název počítače, DNS, IP adresu a operační systém.

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Vyhledání všech procesů s výrazem SQL na příkazovém řádku

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Vyhledání počítače (nejnovějšího záznamu) podle názvu prostředku

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Vyhledání počítače (nejnovějšího záznamu) podle IP adresy

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Výpis všech známých procesů na zadaném počítači

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Výpis všech počítačů se spuštěným SQL

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Výpis všech jedinečných verzí produktu curl v datovém centru

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Vytvoření skupiny počítačů se všemi počítači se systémem CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s

Shrnutí odchozích připojení ze skupiny počítačů

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

REST API

Všechna data serveru, procesu a závislostí ve službě Service Map jsou k dispozici prostřednictvím rozhraní REST API služby Service Map.

Diagnostika a data o používání

Microsoft automaticky shromažďuje data o využití a výkonu prostřednictvím služby Service Map. Microsoft tato data používá k poskytování a zlepšování kvality, zabezpečení a integrity služby Service Map. K zajištění přesných a efektivních možností řešení potíží zahrnují data informace o konfiguraci softwaru, jako je operační systém a verze, IP adresa, název DNS a název pracovní stanice. Společnost Microsoft neshromažďuje jména, adresy ani jiné kontaktní údaje.

Další informace o shromažďování a používání dat najdete v prohlášení o zásadách ochrany osobních údajů služeb Microsoft Online Services.

Další kroky

Přečtěte si další informace o prohledávání protokolů v Log Analytics pro načtení dat shromážděných službou Service Map.

Řešení potíží

Pokud máte nějaké problémy s instalací nebo spuštěním služby Service Map, může vám tato část pomoct. Pokud se vám problém stále nedaří vyřešit, kontaktujte podporu Microsoftu.

Problémy s instalací agenta závislostí

Instalační program zobrazí výzvu k restartování

Agent závislostí obecně nevyžaduje restartování při instalaci nebo odebrání. V některých výjimečných případech ale server Windows vyžaduje restartování, aby pokračoval v instalaci. K tomu dochází, když závislost, obvykle Microsoft Visual C++ redistributable knihovna vyžaduje restartování kvůli uzamčeného souboru.

Zobrazí se zpráva Nejde nainstalovat Dependency Agenta: Nepodařilo se nainstalovat knihovny modulu runtime sady Visual Studio (kód = [číslo_kódu])

Microsoft Dependency Agent využívá knihovny modulu runtime sady Visual Studio. Pokud během instalace těchto knihoven dojde k problému, zobrazí se zpráva.

Instalační programy knihoven modulu runtime vytváří protokoly ve složce %LOCALAPPDATA%\temp. Soubor je dd_vcredist_arch_yyyymmddhhmmss.log, kde arch je x86 nebo amd64a yyyymmddhhmmss je datum a čas (24hodinové hodiny) při vytvoření protokolu. Protokol obsahuje podrobnosti o problému, který blokuje instalaci.

Může být užitečné nejprve nainstalovat nejnovější knihovny modulu runtime.

Následující tabulka uvádí čísla kódu a navrhované rozlišení.

Kód Description Řešení
0x17 Instalační program knihovny vyžaduje aktualizaci Windows, která není nainstalovaná. Projděte si nejnovější protokol instalačního programu knihovny.

Pokud následuje odkaz na Windows8.1-KB2999226-x64.msu řádek Error 0x80240017: Failed to execute MSU package, , který nemáte požadavky na instalaci KB2999226. Postupujte podle pokynů v části Požadavky v článku věnovaném komponentě Universal C Runtime ve Windows. Instalace požadovaných součástí možná bude vyžadovat několik spuštění služby Windows Update a restartování.

Znovu spusťte instalační program Microsoft Dependency Agenta.

Problémy po instalaci

Server se nezobrazuje ve službě Service Map

Pokud instalace agenta závislostí proběhla úspěšně, ale v řešení Service Map se váš počítač nezobrazuje:

  • Je Dependency Agent správně nainstalovaný? Můžete to ověřit tak, že zkontrolujete, jestli je příslušná služba nainstalovaná a spuštěná.

    Windows: Vyhledejte službu s názvem Microsoft Dependency Agent. Linux: Vyhledejte spuštěný proces microsoft-dependency-agent.

  • Jste na úrovni Free služby Log Analytics? Plán Free umožňuje používat až pět jedinečných počítačů s řešením Service Map. Žádné další počítače s v řešení Service Map nezobrazí, a to ani v případě, že předchozích pět počítačů již neodesílá data.

  • Odesílá váš server protokol a data výkonu do protokolů služby Azure Monitor? Přejděte do složky Azure Monitor\Logs a spusťte pro váš počítač následující dotaz:

    Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
    

Dostali jste ve výsledcích celou řadu událostí? Jsou data aktuální? Pokud ano, váš agent Log Analytics funguje správně a komunikuje s pracovním prostorem. Pokud ne, zkontrolujte agenta na svém počítači: Řešení potíží s agentem Log Analytics pro Windows nebo Řešení potíží s agentem Log Analytics pro Linux.

Server se zobrazí ve službě Service Map, ale nemá žádné procesy.

Pokud se váš počítač zobrazí ve službě Service Map, ale neobsahuje žádná data o procesu nebo připojení, znamená to, že je agent závislostí nainstalovaný a spuštěný, ale ovladač jádra se nenačetl.

C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file Zkontrolujte (Windows) nebo /var/opt/microsoft/dependency-agent/log/service.log file (Linux). Poslední řádky souboru by měly obsahovat informace o tom, proč se jádro nenačetlo. Například pokud jste jádro aktualizovali, nemusí být podporované v Linuxu.

Návrhy

Máte pro nás nějaký názor na Service Map nebo tuto dokumentaci? Navštivte naši stránku Hlas uživatele, kde můžete navrhnout funkce nebo hlasovat pro stávající návrhy.