Používání řešení Service Map v Azure
Service Map automaticky rozpozná komponenty aplikace v systémech Windows a Linux a mapuje komunikaci mezi službami. Service Map zobrazuje vaše servery tak, jak o nich přemýšlíte, tzn. jako propojené systémy, které zajišťují důležité služby. Service Map zobrazuje propojení serverů, procesů, latenci příchozích a odchozích připojení a porty v libovolné architektuře propojené protokolem TCP. Kromě instalace agenta se nevyžaduje žádná konfigurace.
Tento článek popisuje podrobnosti o připojování a používání Service Map. Požadavky řešení jsou následující:
Pracovní prostor Log Analytics v podporované oblasti.
agent Log Analytics nainstalovaný na počítači s Windows nebo Linux server připojený ke stejnému pracovnímu prostoru, ve kterém jste řešení povolili.
agent závislostí nainstalovaný na počítači Windows nebo Linux serveru.
Poznámka
Pokud jste už nasadili Service Map, můžete si teď také zobrazit vaše mapy v nástroji VM Insights, které obsahují další funkce pro monitorování stavu a výkonu virtuálních počítačů. Další informace najdete v tématu Přehled virtuálních počítačů Insights. Další informace o rozdílech mezi funkcí Service Map řešení a mapa přehledů virtuálních počítačů najdete v následujících nejčastějších dotazech.
Přihlášení k Azure
Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
Povolit Service Map
- Povolte řešení Service Map z Azure Marketplace nebo pomocí postupu popsaného v tématu Přidání řešení monitorování z galerie řešení.
- nainstalujte agenta závislostí na Windows nebo nainstalujte agenta závislostí v systému Linux do každého počítače, kde chcete získat data. Závislý agent dokáže monitorovat připojení k bezprostředním sousedům, takže nepotřebujete mít agenta na každém počítači.
Přístup k Service Map v Azure Portal z pracovního prostoru Log Analytics a v levém podokně vyberte řešení možností.
.
V seznamu řešení vyberte ServiceMap (pracovní prostor) a na stránce přehled řešení Service map klikněte na dlaždici Service map souhrn.
Případy použití: Zajistěte, aby vaše IT procesy byly závislé na závislostech
Zjišťování
Service Map automaticky vytvoří společnou referenční mapu závislostí napříč vašimi servery, procesy a službami třetích stran. Zjišťuje a mapuje všechny závislosti TCP, identifikaci neohlášených připojení, vzdálených systémů třetích stran, na kterých jsou závislé, a závislostí na tradičních tmavých oblastech vaší sítě, jako je například služba Active Directory. Service Map zjistí neúspěšná síťová připojení, která se snaží provést vaše spravované systémy, a pomůže vám identifikovat potenciální chybnou konfiguraci serveru, výpadku služby a problémy se sítí.
Správa incidentů
Service Map pomáhá eliminovat přibližnou přibližnou izolaci problémů tím, že ukazuje, jak jsou systémy propojeny a vzájemně ovlivněny. Kromě identifikace neúspěšných připojení pomáhá identifikovat nesprávně nakonfigurované nástroje pro vyrovnávání zatížení, překvapivé nebo nadměrné zatížení v důležitých službách a podvodné klienty, jako jsou vývojářské počítače, které mluví s produkčními systémy. Pomocí integrovaných pracovních postupů s Change Tracking můžete také zjistit, jestli událost změny na back-endovém počítači nebo službě vysvětluje hlavní příčinu incidentu.
Záruka migrace
Pomocí Service Map můžete efektivně plánovat, zrychlit a ověřovat migrace do Azure, což pomáhá zajistit, aby nic nezůstalo a nedocházelo k výpadkům. Můžete zjistit všechny vzájemně závislé systémy, které se musí migrovat společně, vyhodnocovat konfiguraci a kapacitu systému a určit, jestli operační systém stále obsluhuje uživatele, nebo je kandidátem na vyřazení z provozu místo migrace. Po dokončení přesunu můžete zkontrolovat zatížení a identitu klienta a ověřit tak, že se zkušební systémy a zákazníci připojují. Pokud má vaše podsíť definice plánování a brány firewall problémy, neúspěšná připojení v Service Map mapách ukazují na systémy, které vyžadují připojení.
Kontinuita podnikových procesů
Pokud používáte Azure Site Recovery a potřebujete nápovědu definující sekvenci obnovení pro prostředí aplikace, Service Map vám může automaticky Ukázat, jak se systémy vzájemně spoléhají, aby se zajistilo, že je váš plán obnovení spolehlivý. Výběrem důležitého serveru nebo skupiny a zobrazením klientů můžete určit, které klientské systémy se mají obnovit po obnovení a zpřístupnění serveru. V opačném případě si prohlédněte kritické závislosti back-endu serverů, které vám pomůžou zjistit, které systémy se mají obnovit, než se obnoví vaše Fokusové systémy.
Správa oprav
Service Map zdokonaluje používání posouzení aktualizací systému tím, že ukazuje, které jiné týmy a servery na vaší službě závisí, abyste je mohli předem informovat před tím, než zaberete systémy na opravy. Service Map taky vylepšuje správu oprav tím, že vám ukáže, jestli jsou vaše služby k dispozici a správně připojené po opravě a restartu.
Přehled mapování
Agenti Service Map shromažďují informace o všech procesech propojených s protokolem TCP na serveru, kde jsou nainstalovány, a obsahují podrobnosti o příchozích a odchozích připojeních pro jednotlivé procesy.
V seznamu v levém podokně můžete vybrat počítače nebo skupiny, které Service Map agenti, aby vizualizují své závislosti v zadaném časovém rozsahu. Mapování závislostí počítačů se soustředí na konkrétní počítač a zobrazí všechny počítače, které jsou přímými klienty TCP nebo servery tohoto počítače. Mapy skupin počítačů zobrazují sady serverů a jejich závislosti.
Počítače lze v mapě rozbalit a zobrazit spuštěné skupiny procesů a procesy s aktivními síťovými připojeními v průběhu vybraného časového rozsahu. Když je vzdálený počítač s agentem Service Map rozbalený tak, aby zobrazoval podrobnosti procesu, zobrazují se jenom ty procesy, které komunikují s vybraným počítačem. Počet počítačů front-endu bez agentů, které se připojují k počítači Focus, je uvedený na levé straně procesů, ke kterým se připojují. Pokud se fokus stane připojením k back-endovému počítači, který nemá žádného agenta, je back-end Server součástí skupiny portů serveru spolu s dalšími připojeními ke stejnému číslu portu.
Ve výchozím nastavení Service Map Maps zobrazuje posledních 30 minut informací o závislostech. Pomocí ovládacích prvků pro čas v levém horním rohu se můžete dotazovat na mapování historických časových rozsahů po dobu až jedné hodiny, abyste viděli, jak se závislosti prohlédly v minulosti (například během incidentu nebo před změnou). Data Service Map se ukládají po dobu 30 dnů v placených pracovních prostorech a 7 dní v bezplatných pracovních prostorech.
Označení stavu a zvýraznění ohraničení
V dolní části každého serveru na mapě může být seznam stavových zpráv, které oznamují informace o stavu serveru. Označení označují, že pro server existují nějaké relevantní informace z jedné z integrací řešení. Kliknutím na označení se dostanete přímo k podrobnostem o stavu v pravém podokně. V aktuálně dostupných označeních stavu jsou výstrahy, oddělení služeb, změny, zabezpečení a aktualizace.
V závislosti na závažnosti stavových znaků můžou být hranice uzlu počítače barevně červené (kritické), žlutou (varovnou) nebo modrou (informativní). Barva představuje nejzávažnější stav kterékoli ze stavových oznámení. Šedé ohraničení označuje uzel, který nemá žádné indikátory stavu.
Skupiny procesů
Skupiny procesů spojují procesy, které jsou přidruženy ke společnému produktu nebo službě, do skupiny procesů. Když je uzel počítače rozbalený, zobrazí se samostatné procesy společně se skupinami procesů. Pokud se nezdařila příchozí a odchozí připojení k procesu v rámci skupiny procesů, je připojení zobrazeno jako neúspěšné pro celou skupinu procesů.
Skupiny počítačů
Skupiny počítačů vám umožní zobrazit mapy, které se provedly na základě sady serverů, ne jenom jednoho, abyste viděli všechny členy vícevrstvé aplikace nebo serverového clusteru v jedné mapě.
Uživatelé si můžou vybrat, které servery patří do skupiny dohromady, a zvolit název skupiny. Pak se můžete rozhodnout zobrazit skupinu se všemi jejími procesy a připojeními, nebo je zobrazit jenom pomocí procesů a připojení, která přímo souvisejí s ostatními členy skupiny.
Vytvoření skupiny počítačů
Pokud chcete vytvořit skupinu, vyberte počítače nebo počítače, které chcete v seznamu počítače, a klikněte na Přidat do skupiny.
Zde můžete zvolit vytvořit nové a zadat název skupiny.
Poznámka
Skupiny počítačů jsou omezené na 10 serverů.
Zobrazení skupiny
Po vytvoření některých skupin si je můžete zobrazit tak, že kliknete na kartu skupiny.
Pak vyberte název skupiny, chcete-li zobrazit mapu pro tuto skupinu počítačů.
: počítače, které patří do této skupiny, jsou v mapě uvedené bíle.
Rozbalením skupiny se zobrazí seznam počítačů, které tvoří skupinu počítačů.
Filtrovat podle procesů
Zobrazení mapy můžete přepínat mezi zobrazením všech procesů a připojení ve skupině a jenom těch, které se přímo vztahují k této skupině počítačů. Výchozím zobrazením je zobrazení všech procesů. Zobrazení můžete změnit kliknutím na ikonu filtru nad mapou.
Když je vybraná možnost všechny procesy , bude mapa zahrnovat všechny procesy a připojení na každém z počítačů ve skupině.
Pokud změníte zobrazení tak, aby zobrazovalo pouze procesy spojené s skupinou, bude tato mapa zúžena pouze na procesy a připojení, která jsou přímo připojena k ostatním počítačům ve skupině, což vytvoří zjednodušené zobrazení.
Přidávání počítačů do skupiny
Pokud chcete přidat počítače do existující skupiny, zaškrtněte políčka vedle počítačů, které chcete, a pak klikněte na Přidat do skupiny. Pak vyberte skupinu, do které chcete počítače přidat.
Odebírání počítačů ze skupiny
V seznamu skupiny rozbalte název skupiny a seznam počítačů ve skupině počítačů. Pak klikněte na nabídku se třemi tečkami vedle počítače, který chcete odebrat, a zvolte Odebrat.
Odebrání nebo přejmenování skupiny
V seznamu skupin klikněte na nabídku se třemi tečkami vedle názvu skupiny.
Ikony rolí
Některé procesy obsluhují konkrétní role na počítačích: webové servery, aplikační servery, databáze a tak dále. Service Map v oknech procesu a počítače s ikonami rolí, které vám pomůžou identifikovat na první pohled roli a proces, který server hraje.
| Ikona role | Description |
|---|---|
 |
Webový server |
 |
Aplikační server |
 |
Databázový server |
 |
Server LDAP |
 |
Server SMB |
Neúspěšná připojení
Neúspěšná připojení se zobrazují v Service Map mapách pro procesy a počítače se přerušovanou červenou čárou, která značí, že se klientský systém nedaří připojit k procesu nebo portu. Neúspěšná připojení se oznamují z libovolného systému pomocí nasazeného agenta Service Map, pokud je tento systém jedním pokusem o připojení, které selhalo. Service Map měří tento proces pomocí soketů TCP, u kterých se nepodaří navázat připojení. K této chybě mohlo dojít z brány firewall, chybné konfigurace klienta nebo serveru nebo vzdálené služby, která není k dispozici.
Porozumění neúspěšným připojením může pomáhat při řešení potíží, ověřování migrace, analýze zabezpečení a celkovém porozumění architektuře. Neúspěšná připojení jsou někdy neškodná, ale často přímo odkazují na problém, například prostředí s podporou převzetí služeb při selhání se náhle stane nedosažitelné, nebo dvě aplikační vrstvy, které nemůžou mluvit po migraci do cloudu.
Skupiny klientů
Skupiny klientů jsou pole na mapě, která představuje klientské počítače, které nemají agenty závislosti. Jedna skupina klientů představuje klienty pro jednotlivý proces nebo počítač.
Pokud chcete zobrazit IP adresy serverů ve skupině klientů, vyberte skupinu. Obsah skupiny je uveden v podokně Vlastnosti skupiny klientů .
Skupiny portů serveru
Skupiny portů serveru jsou pole, která představují porty serveru na serverech, které nemají agenty závislosti. Pole obsahuje port serveru a počet serverů s připojením k tomuto portu. Rozbalením okna zobrazíte jednotlivé servery a připojení. Pokud je v poli jenom jeden server, zobrazí se název nebo IP adresa.
Kontextová nabídka
Kliknutím na tlačítko se třemi tečkami (...) v pravém horním rohu kteréhokoli serveru se zobrazí místní nabídka pro tento server.
Načíst mapu serveru
Kliknutím na Načíst mapu serveru přejdete k nové mapě s vybraným serverem jako s novým vybraným počítačem.
Zobrazit odkazy na sebe
Kliknutím na možnost Zobrazit odkazy na sebe překreslí uzel serveru, včetně všech odkazů na sebe, což jsou připojení TCP, která začínají a končí na procesech v rámci serveru. Pokud se zobrazují odkazy na sebe, příkaz nabídky se změní, aby se skryly odkazy na sebe, abyste je mohli vypnout.
Shrnutí počítače
Podokno Souhrn počítače obsahuje přehled operačního systému serveru, počty závislostí a data z jiných řešení. Taková data zahrnují metriky výkonu, lístky oddělení služeb, sledování změn, zabezpečení a aktualizace.
Vlastnosti počítače a procesu
Když přejdete na mapu Service Map, můžete vybrat počítače a procesy a získat další kontext o jejich vlastnostech. Počítače poskytují informace o názvu DNS, adresách IPv4, kapacitě procesoru a paměti, typu virtuálního počítače, operačním systému a verzi, času posledního restartování a ID jejich agentů OMS a Service Map.
z metadat operačního systému můžete shromáždit podrobnosti o spuštěných procesech, včetně názvu procesu, popisu procesu, uživatelského jména a domény (na Windows), názvu společnosti, názvu produktu, verze produktu, pracovního adresáře, příkazového řádku a času spuštění procesu.
Podokno Souhrn procesu obsahuje další informace o připojení procesu, včetně jeho vázaných portů, příchozích a odchozích připojení a neúspěšných připojení.
Integrace výstrah
Service Map se integruje s výstrahami Azure, aby se zobrazily aktivované výstrahy pro vybraný server ve vybraném časovém rozsahu. Pokud jsou k dispozici aktuální výstrahy a v podokně výstrahy počítače jsou uvedeny výstrahy, Server zobrazí ikonu.
Pokud chcete povolit Service Map zobrazovat relevantní výstrahy, vytvořte pravidlo upozornění, které se aktivuje pro konkrétní počítač. Vytvoření správných výstrah:
- Zahrňte klauzuli pro seskupení podle počítače (například podle intervalu počítače 1 minuty).
- Vyberte výstrahu na základě měření metriky.
Integrace událostí protokolu
Service Map se integruje s prohledáváním protokolů a zobrazuje počet všech dostupných událostí protokolu pro vybraný server během vybraného časového rozsahu. Můžete kliknout na libovolný řádek v seznamu počtů událostí a přejít tak na prohledávání protokolu a zobrazit jednotlivé události protokolu.
Integrace oddělení služeb
Service Map integrace s konektorem pro správu služby IT je automaticky, pokud jsou obě řešení ve vašem pracovním prostoru Log Analytics povolená a nakonfigurovaná. Integrace v Service Map je označená jako oddělení služeb. Další informace najdete v tématu centrálně spravovat pracovní položky ITSM pomocí konektoru správy služeb IT.
Podokno Služba Machine Service obsahuje seznam všech událostí správy služeb IT pro vybraný server ve vybraném časovém rozsahu. Server zobrazí ikonu, pokud jsou k dispozici aktuální položky a podokno služba Machine Service.
Chcete-li otevřít položku v připojeném řešení ITSM, klikněte na tlačítko Zobrazit pracovní položku.
Chcete-li zobrazit podrobnosti o položce v hledání v protokolu, klikněte na možnost Zobrazit v hledání v protokolu. Metriky připojení jsou v Log Analytics zapsány do dvou nových tabulek.
Integrace Change Tracking
Service Map integrace s Change Tracking je automatická, pokud jsou obě řešení povolená a nakonfigurovaná v pracovním prostoru Log Analytics.
V podokně Change Tracking počítače jsou uvedeny všechny změny, s nejnovějšími posledními, spolu s odkazem pro přechod k podrobnostem o hledání v protokolu, kde najdete další podrobnosti.
Následující obrázek je detailní zobrazení události ConfigurationChange, která se může zobrazit po výběru možností Zobrazit v Log Analytics.
Integrace výkonu
V podokně výkon počítače se zobrazí standardní metriky výkonu pro vybraný server. Metriky zahrnují využití CPU, využití paměti, odeslané a přijímané síťové bajty a seznam nejčastějších procesů podle bajtů odesílaných a přijímaných v síti.
Chcete-li zobrazit údaje o výkonu, bude pravděpodobně nutné Povolit příslušné čítače výkonu Log Analytics. Čítače, které chcete povolit:
Windows:
- Procesor(*) \ % času procesoru
- Využití \ % paměti potvrzených bajtů
- Síťový adaptér(*) \ Odeslané bajty/s
- Síťový adaptér(*) \ Přijaté bajty/s
Linux:
- Procesor(*) \ % času procesoru
- Memory(*) \ % využité paměti
- Síťový adaptér(*) \ Odeslané bajty/s
- Síťový adaptér(*) \ Přijaté bajty/s
Pokud chcete získat data o výkonu sítě, musíte mít také povolené Wire Data 2.0 ve vašem pracovním prostoru.
Integrace zabezpečení
Service Map integrace s Security and Audit je automatická, pokud jsou obě řešení povolená a nakonfigurovaná ve vašem pracovním prostoru služby Log Analytics.
V podokně Zabezpečení počítače se zobrazují data z Security and Audit pro vybraný server. V podokně se zobrazí souhrn všech nevyřízených problémů se zabezpečením serveru během vybraného časového rozsahu. Kliknutím na některý z problémů se zabezpečením můžete přejít k podrobnostem prohledávání protokolu.
Integrace aktualizací
Service Map integrace s Update Management je automatická, pokud jsou obě řešení povolená a nakonfigurovaná ve vašem pracovním prostoru služby Log Analytics.
V podokně Aktualizace počítače se zobrazují data z Update Management pro vybraný server. V podokně se zobrazí souhrn všech chybějících aktualizací serveru během vybraného časového rozsahu.
Záznamy služby Log Analytics
Service Map počítače a zpracování dat inventáře jsou k dispozici pro vyhledávání v Log Analytics. Tato data můžete použít ve scénářích, které zahrnují plánování migrace, analýzu kapacity, zjišťování a řešení potíží s výkonem na vyžádání.
Pro každý jedinečný počítač a proces se vygeneruje jeden záznam za hodinu, kromě záznamů, které se generují při spuštění procesu nebo počítače nebo jeho připojení k Service Map. Tyto záznamy mají vlastnosti v následujících tabulkách. Pole a hodnoty v seznamu ServiceMapComputer_CL mapovat na pole prostředku Machine v rozhraní ServiceMap Azure Resource Manager API. Pole a hodnoty v ServiceMapProcess_CL události mapovat na pole prostředku Procesu v rozhraní Api Azure Resource Manager ServiceMap. Pole ResourceName_s odpovídá poli name v odpovídajícím prostředku Resource Manager prostředků.
Poznámka
S Service Map funkcí se tato pole mohou měnit.
Existují interně generované vlastnosti, které můžete použít k identifikaci jedinečných procesů a počítačů:
- Počítač: Použijte ResourceId nebo ResourceName_s k jednoznačné identifikaci počítače v pracovním prostoru služby Log Analytics.
- Proces: Použijte ResourceId k jednoznačné identifikaci procesu v pracovním prostoru služby Log Analytics. ResourceName_s je jedinečný v kontextu počítače, na kterém je proces spuštěný (MachineResourceName_s)
Vzhledem k tomu, že pro zadaný proces může existovat více záznamů a počítač v zadaném časovém rozsahu, mohou dotazy vrátit více záznamů pro stejný počítač nebo proces. Pokud chcete zahrnout jenom nejnovější záznam, přidejte | dedup ResourceId".
Připojení
Metriky připojení se zapisou do nové tabulky v Log Analytics – VMConnection. Tato tabulka obsahuje informace o připojeních pro počítač (příchozí a odchozí). Metriky připojení se také zveřejňuje pomocí rozhraní API, která poskytují prostředky k získání konkrétní metriky během časového okna. Připojení TCP vyplývající z přijetí v naslouchacím soketu jsou příchozí, zatímco připojení vytvořená připojením k dané IP adrese a portu jsou odchozí. Směr připojení je vyjádřen vlastností Direction, kterou lze nastavit na příchozí nebo odchozí.
Záznamy v těchto tabulkách se generují z dat hlášených agentem závislostí. Každý záznam představuje pozorování za jednominutový časový interval. Vlastnost TimeGenerated označuje začátek časového intervalu. Každý záznam obsahuje informace, které identifikují příslušnou entitu, to znamená připojení nebo port, a také metriky přidružené k dané entitě. V současné době se hlásí pouze síťová aktivita, ke které dochází pomocí protokolu TCP přes IPv4.
Kvůli správě nákladů a složitosti nepředstavují záznamy připojení jednotlivá fyzická síťová připojení. Několik fyzických síťových připojení je seskupeno do logického připojení, které se pak odráží v příslušné tabulce. To znamená, že záznamy v tabulce VMConnection představují logické seskupení, a ne jednotlivá fyzická připojení, která se pozorují. Připojení k fyzické síti, které sdílí stejnou hodnotu pro následující atributy během daného minutového intervalu, se agreguje do jednoho logického záznamu ve VMConnection.
| Vlastnost | Popis |
|---|---|
Direction |
Směr připojení, hodnota je příchozí nebo odchozí |
Machine |
Plně kvalifikovaný název domény počítače |
Process |
Identita procesu nebo skupin procesů, inicializace nebo přijetí připojení |
SourceIp |
IP adresa zdroje |
DestinationIp |
IP adresa cíle |
DestinationPort |
Číslo portu cíle |
Protocol |
Protokol použitý pro připojení. Hodnoty jsou tcp. |
Aby se zohlednil dopad seskupování, jsou informace o počtu seskupených fyzických připojení k dispozici v následujících vlastnostech záznamu:
| Vlastnost | Popis |
|---|---|
LinksEstablished |
Počet fyzických síťových připojení, která byla vytvořena během časového období generování sestav |
LinksTerminated |
Počet fyzických síťových připojení, která byla ukončena během časového období generování sestav |
LinksFailed |
Počet fyzických síťových připojení, která během časového období generování sestav selhala. Tyto informace jsou aktuálně k dispozici pouze pro odchozí připojení. |
LinksLive |
Počet fyzických síťových připojení, která byla otevřená na konci časového období generování sestav |
Metriky
Kromě metrik počtu připojení jsou informace o objemu dat odeslaných a přijatých na daném logickém připojení nebo síťovém portu zahrnuty také v následujících vlastnostech záznamu:
| Vlastnost | Popis |
|---|---|
BytesSent |
Celkový počet bajtů odeslaných během časového období generování sestav |
BytesReceived |
Celkový počet bajtů přijatých během časového období generování sestav |
Responses |
Počet odpovědí zjištěných během časového období generování sestav |
ResponseTimeMax |
Největší doba odezvy (milisekund) pozorovaná během časového intervalu generování sestav. Pokud žádná hodnota není, vlastnost je prázdná. |
ResponseTimeMin |
Nejmenší doba odezvy (milisekund) zjištěná během časového intervalu generování sestav. Pokud žádná hodnota není, vlastnost je prázdná. |
ResponseTimeSum |
Součet všech dob odezvy (milisekund) zjištěných během časového intervalu generování sestav Pokud žádná hodnota není, vlastnost je prázdná. |
Třetím typem hlášených dat je doba odezvy – jak dlouho volající stráví čekáním na zpracování požadavku odeslaného přes připojení a odpověď vzdáleného koncového bodu. Hlášená doba odezvy je odhad skutečné doby odezvy základního aplikačního protokolu. Počítá se pomocí heuristických výpočtů na základě pozorování toku dat mezi zdrojovým a cílovým koncem fyzického síťového připojení. Koncepčně je to rozdíl mezi časem, kdy poslední byt požadavku opustí odesílatele, a časem, kdy se do něj vrátí poslední byte odpovědi. Tato dvě časová razítka se používají k vyladění událostí požadavků a odpovědí u daného fyzického připojení. Rozdíl mezi nimi představuje dobu odezvy jednoho požadavku.
V této první verzi této funkce je náš algoritmus aproximací, která může fungovat s různou mírou úspěchu v závislosti na skutečném aplikačním protokolu použitém pro dané síťové připojení. Aktuální přístup například dobře funguje u protokolů založených na žádostech a odpovědích, jako jsou HTTP(S), ale nefunguje s protokoly založenými na jednosecích nebo frontách zpráv.
Tady je několik důležitých bodů ke zvážení:
- Pokud proces přijímá připojení na stejné IP adrese, ale přes více síťových rozhraní, bude hlášen samostatný záznam pro každé rozhraní.
- Záznamy s IP znaky se zástupnými znaky nebudou obsahovat žádnou aktivitu. Zahrnou se, aby představovaly skutečnost, že port na počítači je otevřený pro příchozí provoz.
- Pokud existuje odpovídající záznam (pro stejný proces, port a protokol) s konkrétní IP adresou, záznamy s IP znaky se zástupnými znaky se zmenšují, aby se snížila úroveň podrobností a objemu dat. Pokud je vynechán záznam IP adresy se zástupným znakem, vlastnost záznamu IsWildcardBind s konkrétní IP adresou se nastaví na hodnotu True, která označuje, že port je vystaven na všech rozhraních počítače pro vytváření sestav.
- Porty, které jsou vázány pouze na konkrétní rozhraní, mají vlastnost IsWildcardBind nastavenou na hodnotu False.
Pojmenování a klasifikace
Pro usnadnění práce se do vlastnosti RemoteIp zahrne IP adresa vzdáleného konce připojení. U příchozích připojení je RemoteIp stejná jako SourceIp, zatímco u odchozích připojení je stejná jako DestinationIp. Vlastnost RemoteDnsCanonicalNames představuje kanonické názvy DNS hlášené počítačem pro RemoteIp. Vlastnosti RemoteDnsQuestions a RemoteClassification jsou vyhrazené pro budoucí použití.
Geografická poloha
VMConnection také obsahuje informace o geografickém umístění pro vzdálené konce každého záznamu připojení v následujících vlastnostech záznamu:
| Vlastnost | Popis |
|---|---|
RemoteCountry |
Název země nebo oblasti hostující RemoteIp. Například USA |
RemoteLatitude |
Zeměpisná šířka zeměpisné polohy. Například 47,68 |
RemoteLongitude |
Zeměpisná délka zeměpisné polohy. Například -122,12 |
Škodlivá IP adresa
Každá vlastnost RemoteIp v tabulce VMConnection je kontrolována na základě sady IP adres se známou škodlivou aktivitou. Pokud je RemoteIp identifikovaný jako škodlivý, budou se naplnit následující vlastnosti (Pokud se IP adresa nepovažuje za škodlivou) v následujících vlastnostech záznamu:
| Vlastnost | Popis |
|---|---|
MaliciousIp |
Adresa RemoteIp |
IndicatorThreadType |
Zjištěného indikátoru hrozby je jedna z následujících hodnot: botnetu, C2, CryptoMining, adres darknetu, DDos, MaliciousUrl, malware, phishing, proxy, PUA, seznamu ke zhlédnutí. |
Description |
Popis pozorované hrozby. |
TLPLevel |
Úroveň TLP (provoz Light Protocol) je jedna z definovaných hodnot, bílá, zelená, oranžová a červená. |
Confidence |
Hodnoty jsou 0 – 100. |
Severity |
Hodnoty jsou 0 – 5, přičemž 5 je nejzávažnější a 0 není u sebe závažná. Výchozí hodnota je 3. |
FirstReportedDateTime |
První, kdy zprostředkovatel nahlásil ukazatel. |
LastReportedDateTime |
Čas posledního výskytu indikátoru v rámci přetečení. |
IsActive |
Označuje, že indikátory jsou dezaktivovány hodnotou true nebo false . |
ReportReferenceLink |
Odkazuje na sestavy související s daným pozorovatelem. |
AdditionalInformation |
Poskytuje další informace, pokud je to možné, o zjištěné hrozbě. |
ServiceMapComputer_CL záznamů
Záznamy s typem ServiceMapComputer_CL mají data inventáře pro servery s agenty Service map. Tyto záznamy mají vlastnosti v následující tabulce:
| Vlastnost | Popis |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
Jedinečný identifikátor počítače v pracovním prostoru |
ResourceName_s |
Jedinečný identifikátor počítače v pracovním prostoru |
ComputerName_s |
Plně kvalifikovaný název domény počítače |
Ipv4Addresses_s |
Seznam adres IPv4 serveru |
Ipv6Addresses_s |
Seznam IPv6 adres serveru |
DnsNames_s |
Pole názvů DNS |
OperatingSystemFamily_s |
Windows nebo Linux |
OperatingSystemFullName_s |
Úplný název operačního systému |
Bitness_s |
Bitová verze počítače (32-bit nebo 64) |
PhysicalMemory_d |
Fyzická paměť v MB |
Cpus_d |
Počet procesorů |
CpuSpeed_d |
Rychlost procesoru v MHz |
VirtualizationState_s |
Neznámý, fyzický, virtuální, hypervisor |
VirtualMachineType_s |
Hyper-v, VMware atd. |
VirtualMachineNativeMachineId_g |
ID virtuálního počítače přiřazené hypervisorem |
VirtualMachineName_s |
Název virtuálního počítače |
BootTime_t |
Čas spuštění |
Záznamy typu ServiceMapProcess_CL
Záznamy s typem ServiceMapProcess_CL mají data inventáře pro procesy připojené k protokolu TCP na serverech s agenty Service map. Tyto záznamy mají vlastnosti v následující tabulce:
| Vlastnost | Popis |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
Jedinečný identifikátor procesu v pracovním prostoru |
ResourceName_s |
Jedinečný identifikátor procesu v počítači, na kterém je spuštěný |
MachineResourceName_s |
Název prostředku počítače |
ExecutableName_s |
Název spustitelného procesu |
StartTime_t |
Čas spuštění fondu procesů |
FirstPid_d |
První PID ve fondu procesů |
Description_s |
Popis procesu |
CompanyName_s |
Název společnosti |
InternalName_s |
Interní název |
ProductName_s |
Název produktu |
ProductVersion_s |
Verze produktu |
FileVersion_s |
Verze souboru |
CommandLine_s |
Příkazový řádek |
ExecutablePath _s |
Cesta ke spustitelnému souboru |
WorkingDirectory_s |
Pracovní adresář |
UserName |
Účet, pod kterým se proces spouští |
UserDomain |
Doména, pod kterou je prováděn proces |
Ukázky hledání v protokolech
Zobrazit seznam všech známých počítačů
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Vypíše kapacitu fyzické paměti pro všechny spravované počítače.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Vypíše název počítače, DNS, IP adresu a operační systém.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Najde všechny procesy pomocí SQL na příkazovém řádku.
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Vyhledání počítače (nejaktuálnější záznam) podle názvu prostředku
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Vyhledání počítače (nejaktuálnější záznam) podle IP adresy
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Vypíše všechny známé procesy v zadaném počítači.
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Vypíše všechny počítače se systémem SQL.
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Vypíše všechny jedinečné verze produktu ve vaší datacentru.
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Vytvoření skupiny počítačů na všech počítačích se systémem CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Shrnutí odchozích připojení ze skupiny počítačů
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
REST API
Všechna data serveru, procesu a závislostí v Service Map jsou k dispozici prostřednictvím REST API Service map.
Diagnostika a data o používání
Společnost Microsoft automaticky shromažďuje data o využití a výkonu prostřednictvím služby Service Map. Společnost Microsoft používá tato data k zajištění a zlepšení kvality, zabezpečení a integrity služby Service Map. Aby poskytovaly přesné a efektivní možnosti odstraňování potíží, obsahují data informace o konfiguraci softwaru, jako je například operační systém a verze, IP adresa, název DNS a název pracovní stanice. Společnost Microsoft neshromažďuje jména, adresy ani jiné kontaktní údaje.
Další informace o shromažďování a používání dat naleznete v tématu prohlášení o zásadách ochrany osobních údajů služby Microsoft Online Services.
Další kroky
Přečtěte si další informace o prohledávání protokolů v Log Analytics, abyste načítali data shromážděná Service Map.
Řešení potíží
Pokud máte problémy s instalací nebo spuštěním Service Map, může vám tato část pomoct. Pokud se vám problém stále nedaří vyřešit, kontaktujte podporu Microsoftu.
Problémy s instalací agenta závislostí
Instalační program zobrazí výzvu k restartování
Dependency Agent obvykle po instalaci nebo odebrání nevyžaduje restartování. V některých výjimečných případech ale Windows Server vyžaduje restartování, aby bylo pokračovat v instalaci. K tomu dochází v případě, že Microsoft Visual C++ k redistribuovatelné knihovně vyžaduje restartování z důvodu uzamčeného souboru.
Zobrazí se zpráva Nejde nainstalovat Dependency Agenta: Nepodařilo se nainstalovat knihovny modulu runtime sady Visual Studio (kód = [číslo_kódu])
Microsoft Dependency Agent využívá knihovny modulu runtime sady Visual Studio. Pokud během instalace těchto knihoven dojde k problému, zobrazí se zpráva.
Instalační programy knihoven modulu runtime vytváří protokoly ve složce %LOCALAPPDATA%\temp. Soubor je , kde arch je nebo a dd_vcredist_arch_yyyymmddhhmmss.log x86 amd64 yyyymmddhhmmss je datum a čas (24hodinový formát), kdy byl protokol vytvořen. Protokol obsahuje podrobnosti o problému, který instalaci blokuje.
Může být užitečné nejprve nainstalovat nejnovější knihovny modulu runtime.
Následující tabulka uvádí čísla kódu a navrhovaná řešení.
| Kód | Description | Řešení |
|---|---|---|
| 0x17 | Instalační program knihovny vyžaduje aktualizaci Windows, která není nainstalovaná. | Projděte si nejnovější protokol instalačního programu knihovny. Pokud za odkazem následuje řádek, nemusíte instalovat aktualizaci Windows8.1-KB2999226-x64.msu Error 0x80240017: Failed to execute MSU package, KB2999226. Postupujte podle pokynů v části Požadavky v článku věnovaném komponentě Universal C Runtime ve Windows. Instalace požadovaných součástí možná bude vyžadovat několik spuštění služby Windows Update a restartování.Znovu spusťte instalační program Microsoft Dependency Agenta. |
Problémy po instalaci
Server se nezobrazuje v Service Map
Pokud instalace závislého agenta proběhla úspěšně, ale váš počítač se v tomto řešení Service Map nevidíte:
Je Dependency Agent správně nainstalovaný? Můžete to ověřit tak, že zkontrolujete, jestli je příslušná služba nainstalovaná a spuštěná.
Windows: Vyhledejte službu s názvem Microsoft Dependency Agent. Linux: Vyhledejte spuštěný proces microsoft-dependency-agent.Jste na úrovni Free služby Log Analytics? Plán Free umožňuje používat až pět jedinečných počítačů s řešením Service Map. Žádné další počítače s v řešení Service Map nezobrazí, a to ani v případě, že předchozích pět počítačů již neodesílá data.
Odesílá váš server data protokolů a výkonu do Azure Monitor protokolů? Přejděte do složky Azure Monitor\Logs a spusťte pro váš počítač následující dotaz:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Měli jste ve výsledcích různé události? Jsou data aktuální? Pokud ano, váš agent Log Analytics funguje správně a komunikuje s pracovním prostorem. Pokud ne, zkontrolujte agenta na svém počítači: Řešení potíží s agentem Log Analytics pro Windows nebo Řešení potíží s agentem Log Analytics pro Linux.
Server se zobrazí v Service Map ale nemá žádné procesy.
Pokud váš počítač vidíte v Service Map, ale nemá žádná data o procesu nebo připojení, znamená to, že je dependency agent nainstalovaný a spuštěný, ale ovladač jádra se nenačte.
Zkontrolujte C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file (Windows) nebo /var/opt/microsoft/dependency-agent/log/service.log file (Linux). Poslední řádky souboru by měly obsahovat informace o tom, proč se jádro nenačetlo. Například pokud jste jádro aktualizovali, nemusí být podporované v Linuxu.
Návrhy
Máte pro nás nějaké připomínky ohledně Service Map nebo této dokumentace? Navštivte naši stránku User Voice,kde můžete navrhovat funkce nebo hlasovat pro stávající návrhy.