Verwalten des Azure Monitor-Agents

Dieser Artikel enthält die verschiedenen Optionen, die derzeit zum Installieren, Deinstallieren und Aktualisieren des Azure Monitor-Agents verfügbar sind. Diese Agent-Erweiterung kann auf Azure-VMs, in Skalierungsgruppen und auf Azure Arc-fähigen Servern installiert werden. Außerdem werden die Optionen zum Erstellen von Zuordnungen mit Datensammlungsregeln aufgelistet, die definieren, welche Daten der Agent sammeln soll. Zum Installieren, Aktualisieren oder Deinstallieren des Azure Monitor-Agents müssen Sie den Server nicht neu starten.

Details zur VM-Erweiterung

Der Azure Monitor-Agent wird als Azure-VM-Erweiterung mit den Details aus der folgenden Tabelle implementiert. Sie können ihn mit einer der Methoden zum Installieren von VM-Erweiterungen installiert werden, einschließlich der in diesem Artikel beschriebenen Methoden.

Eigenschaft Windows Linux
Herausgeber Microsoft.Azure.Monitor Microsoft.Azure.Monitor
type AzureMonitorWindowsAgent AzureMonitorLinuxAgent
TypeHandlerVersion Weitere Informationen finden Sie unter Azure Monitor-Agent-Erweiterungsversionen. Azure Monitor-Agent-Erweiterungsversionen

Erweiterungsversionen

Zeigen Sie die Azure Monitor-Agent-Erweiterungsversionen an.

Voraussetzungen

Vor der Installation des Azure Monitor-Agents müssen die folgenden Voraussetzungen erfüllt sein.

  • Berechtigungen: Für andere Methoden als die Verwendung des Azure-Portals müssen Sie zum Installieren des Agents über die folgenden Rollenzuweisungen verfügen:

    Integrierte Rolle Bereiche `Reason`
    • VMs, VM-Skalierungsgruppen,
    • Server mit Azure Arc-Unterstützung
    Bereitstellen des Agents
    Jede Rolle, die die Aktion Microsoft.Resources/deployments/* enthält (z. B. Log Analytics-Mitwirkender)
    • Abonnement und/oder
    • Ressourcengruppe und/oder
    So stellen Sie die Agent-Erweiterung über Azure Resource Manager-Vorlagen bereit (auch von Azure Policy verwendet)
  • Nicht-Azure: Zum Installieren des Agents auf physischen Servern und VMs, die außerhalb von Azure (d. h. lokal) oder in anderen Clouds gehostet werden, müssen Sie zuerst den Azure Arc Connected Machine-Agent installieren. Dabei entstehen keine zusätzlichen Kosten.

  • Authentifizierung: Auf Azure-VMs muss eine verwaltete Identität aktiviert sein. Es werden sowohl benutzerseitig als auch systemseitig zugewiesene verwaltete Identitäten unterstützt.

    • Benutzerseitig zugewiesen: Diese verwaltete Identität wird für Bereitstellungen im großen Stil empfohlen, die über integrierte Azure-Richtlinien konfigurierbar sind. Sie können eine benutzerseitig zugewiesene verwaltete Identität ein Mal erstellen und sie für mehrere VMs freigeben. Somit ist sie skalierbarer als eine systemseitig zugewiesene verwaltete Identität. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden, müssen Sie die Details der verwalteten Identität über Erweiterungseinstellungen an den Azure Monitor-Agent übergeben:

      {
        "authentication": {
          "managedIdentity": {
            "identifier-name": "mi_res_id" or "object_id" or "client_id",
            "identifier-value": "<resource-id-of-uai>" or "<guid-object-or-client-id>"
          }
        }
      }
      

      Es empfiehlt sich, mi_res_id als identifier-name zu verwenden. Die folgenden Beispielbefehle zeigen der Kürze halber nur die Verwendung mit mi_res_id. Weitere Informationen zu mi_res_id, object_id und client_id finden Sie in der Dokumentation zu verwalteten Identitäten.

    • Systemseitig zugewiesen: Diese verwaltete Identität eignet sich für erste Tests oder kleine Bereitstellungen. Die Verwendung im großen Stil (z. B. für alle VMs in einem Abonnement) führt zu einer erheblichen Anzahl von Identitäten, die in Microsoft Entra ID erstellt (und gelöscht) werden. Um diesen Wechsel der Identitäten zu vermeiden, verwenden Sie stattdessen benutzerseitig zugewiesene verwaltete Identitäten. Für Azure Arc-aktivierte Server wird die systemseitig zugewiesene verwaltete Identität automatisch aktiviert, sobald Sie den Azure Arc-Agent installieren. Dies ist der einzige unterstützte Typ für Azure Arc-fähige Server.

    • Für Azure Arc-fähige Server nicht erforderlich: Die Systemidentität wird automatisch aktiviert, wenn Sie eine Datensammlungsregel im Azure-Portal erstellen.

  • Netzwerk: Wenn Sie Netzwerkfirewalls verwenden, muss das Azure Resource Manager-Diensttag im virtuellen Netzwerk für die VM aktiviert sein. Die VM benötigt außerdem Zugriff auf die folgenden HTTPS-Endpunkte:

    • global.handler.control.monitor.azure.com
    • <virtual-machine-region-name>.handler.control.monitor.azure.com (Beispiel: westus.handler.control.monitor.azure.com)
    • <log-analytics-workspace-id>.ods.opinsights.azure.com (Beispiel: 12345a01-b1cd-1234-e1f2-1234567g8h99.ods.opinsights.azure.com)
      (Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die DCE-Endpunkte hinzufügen.)
  • Speicherplatz: der erforderliche Speicherplatz kann stark variieren. Dies hängt z. B. davon ab, wie ein Agent verwendet wird oder ob Kommunikationsprobleme mit den Zielen auftreten, an die er Überwachungsdaten senden soll. Standardmäßig benötigt der Agent 10 GB Speicherplatz, um ausgeführt zu werden. Im Folgenden finden Sie Leitfäden für die Kapazitätsplanung:

Zweck Environment Pfad Vorgeschlagener Speicherplatz
Herunterladen und Installieren von Paketen Linux /var/lib/waagent/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent-{Version}/ 500 MB
Herunterladen und Installieren von Paketen Windows C:\Packages\Plugins\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent 500 MB
Erweiterungsprotokolle Linux (Azure-VM) /var/log/azure/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent/ 100 MB
Erweiterungsprotokolle Linux (Azure Arc) /var/lib/GuestConfig/extension_logs/Microsoft.Azure.Monitor.AzureMonitorLinuxAgent-{version}/ 100 MB
Erweiterungsprotokolle Windows (Azure-VM) C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent 100 MB
Erweiterungsprotokolle Windows (Azure Arc) C:\ProgramData\GuestConfig\extension_logs\Microsoft.Azure.Monitor.AzureMonitorWindowsAgent 100 MB
Agent-Cache Linux /etc/opt/microsoft/azuremonitoragent, /var/opt/microsoft/azuremonitoragent 500 MB
Agent-Cache Windows (Azure-VM) C:\WindowsAzure\Resources\AMADataStore.{Datenspeichername} 10,5 GB
Agent-Cache Windows (Azure Arc) C:\Resources\Directory\AMADataStore. {Datenspeichername} 10,5 GB
Ereigniscache Linux /var/opt/microsoft/azuremonitoragent/events 10 GB

Hinweis

Dieser Artikel bezieht sich nur auf die Installation oder Verwaltung des Agents. Nachdem Sie den Agent installiert haben, müssen Sie den nächsten Artikel lesen, um Datensammlungsregeln zu konfigurieren und sie den Computern mit installierten Agents zuzuordnen. Die Azure Monitor-Agents können ohne Zuordnung zu Datensammlungsregeln nicht funktionieren.

Installieren

Informationen zum Installieren des Azure Monitor-Agents über das Azure-Portal finden Sie unter Erstellen einer Datensammlungsregel und ihrer Zuordnung. Durch diesen Vorgang wird die Regel erstellt und den ausgewählten Ressourcen zugeordnet, und der Azure Monitor-Agent wird auf diesen installiert (sofern er noch nicht installiert ist).

Deinstallieren

Um den Azure Monitor-Agent mithilfe des Azure-Portals zu deinstallieren, navigieren Sie zu Ihrer VM, Ihrer Skalierungsgruppe oder Ihrem Azure Arc-fähigen Server. Wählen Sie die Registerkarte Erweiterungen und dann AzureMonitorWindowsAgent oder AzureMonitorLinuxAgent aus. Wählen Sie im daraufhin geöffneten Dialogfeld Deinstallieren aus.

Update

Hinweis

Die Empfehlung besteht darin, das automatische Erweiterungsupgrade zu aktivieren, das bis zu 5 Wochen nach der Veröffentlichung einer neuen Erweiterungsversion dauern kann, um installierte Erweiterungen auf die veröffentlichte (neueste) Version in allen Regionen zu aktualisieren. Upgrades werden in Batches ausgegeben, sodass möglicherweise einige Ihrer virtuellen Computer, Skalierungsgruppen oder Arc-fähigen Server vor anderen ein Upgrade erhalten werden. Wenn Sie sofort ein Upgrade für eine Erweiterung durchführen müssen, können Sie die unten aufgeführten manuellen Anweisungen verwenden.

Um ein einmaliges Update des Agents durchzuführen, müssen Sie zuerst die vorhandene Agent-Version deinstallieren. Installieren Sie dann die neue Version wie beschrieben.

Es wird empfohlen, automatische Updates des Agents zu aktivieren, indem Sie das Feature Automatisches Erweiterungsupgrade aktivieren. Navigieren Sie zu Ihrer VM oder Skalierungsgruppe, wählen Sie die Registerkarte Erweiterungen aus, und wählen Sie dann AzureMonitorWindowsAgent oder AzureMonitorLinuxAgent aus. Wählen Sie im daraufhin angezeigten Dialogfeld Automatisches Upgrade aktivieren aus.

Verwenden von Azure Policy

Verwenden Sie die folgenden Richtlinien und Richtlinieninitiativen, um den Agent bei jeder Erstellung einer VM, einer Skalierungsgruppe oder eines Azure Arc-fähigen Servers automatisch zu installieren und einer Datensammlungsregel zuzuordnen.

Hinweis

Gemäß den bewährten Methoden von Microsoft Identity basieren die Richtlinien für die Installation des Azure Monitor-Agents auf virtuellen Computern und in Skalierungsgruppen auf der benutzerseitig zugewiesenen verwalteten Identität. Diese Option ist für die verwaltete Identität für diese Ressourcen skalierbarer und resilienter. Bei Azure Arc-fähigen Servern sind Richtlinien nur auf die systemseitig zugewiesene verwaltete Identität angewiesen, da dies derzeit die einzige unterstützte Option ist.

Integrierte Richtlinieninitiativen

Bevor Sie fortfahren, sollten Sie die Voraussetzungen für die Installation des Agents prüfen.

Es gibt integrierte Richtlinieninitiativen für Windows- und Linux-VMs und Skalierungsgruppen, die das End-to-End-Onboarding im großen Stil mit Azure Monitor-Agents ermöglichen.

Hinweis

Die Richtliniendefinitionen enthalten nur die Liste der von Microsoft unterstützten Windows- und Linux-Versionen. Verwenden Sie den Additional Virtual Machine Images Parameter, um ein benutzerdefiniertes Bild hinzuzufügen.

Diese oben genannten Initiativen umfassen einzelne Richtlinien für Folgendes:

  • (Optional) Erstellen Sie eine integrierte, benutzerseitig zugewiesene verwaltete Identität pro Abonnement und Region und weisen Sie sie zu. Weitere Informationen

    • Bring Your Own User-Assigned Identity: Sofern auf false festgelegt, wird die integrierte, benutzerseitig zugewiesene verwaltete Identität in der vordefinierten Ressourcengruppe erstellt und allen Computern zugewiesen, auf welche die Richtlinie angewendet wird. Der Speicherort der Ressourcengruppe kann im Built-In-Identity-RG Location-Parameter konfiguriert werden. Wenn dies auf true festgelegt ist, können Sie stattdessen eine vorhandene benutzerseitig zugewiesene Identität verwenden, die automatisch allen Computern zugewiesen wird, auf welche die Richtlinie angewendet wird.
  • Installieren Sie die Azure Monitor-Agent-Erweiterung auf dem Computer, und konfigurieren Sie sie so, dass sie die benutzerseitig zugewiesene Identität verwendet, wie in den folgenden Parametern angegeben.

    • Bring Your Own User-Assigned Managed Identity: Wenn diese Option auf false festgelegt ist, wird der Agent so konfiguriert, dass er die integrierte, benutzerseitig zugewiesene verwaltete Identität verwendet, die mithilfe der Richtlinie oben erstellt wurde. Wenn dies auf true festgelegt ist, wird der Agent für die Verwendung einer benutzerseitig zugewiesenen Identität konfiguriert.
    • User-Assigned Managed Identity Name: Wenn Sie Ihre eigene Identität verwenden (true ist ausgewählt), geben Sie den Namen der Identität an, die den Computern zugewiesen ist.
    • User-Assigned Managed Identity Resource Group: Wenn Sie Ihre eigene Identität verwenden (true ist ausgewählt), geben Sie die Ressourcengruppe an, in der die Identität vorhanden ist.
    • Additional Virtual Machine Images: Übergeben Sie weitere Namen von VM-Images, auf die Sie die Richtlinie anwenden möchten, falls nicht bereits enthalten.
    • Built-In-Identity-RG Location: Wenn Sie die integrierte benutzerseitig zugewiesene verwaltete Identität verwenden, geben Sie den Speicherort an, in dem die Identität und die Ressourcengruppe erstellt werden sollen. Dieser Parameter wird nur verwendet, wenn Bring Your Own User-Assigned Managed Identity Parameter auf falsefestgelegt ist.
  • Erstellen Sie die Zuordnung und stellen Sie sie bereit, um den Computer mit der angegebenen Regel für die Datensammlung zu verknüpfen.

    • Data Collection Rule Resource Id: Die Azure Resource Manager-resourceId der Regel, die Sie über diese Richtlinie allen Computern zuordnen möchten, auf die die Richtlinie angewendet wird.

    Partial screenshot from the Azure Policy Definitions page that shows two built-in policy initiatives for configuring Azure Monitor Agent.

Bekannte Probleme

  • Standardverhalten einer verwalteten Identität. Weitere Informationen
  • Mögliche Racebedingung bei Verwendung der integrierten Erstellungsrichtlinie für benutzerseitig zugewiesene Identitäten. Weitere Informationen
  • Zuweisen von Richtlinien zu Ressourcengruppen. Wenn der Zuweisungsumfang der Richtlinie eine Ressourcengruppe und kein Abonnement ist, muss die von der Richtlinienzuweisung verwendete Identität (die sich von der benutzerseitig zugewiesenen Identität unterscheidet, die vom Agent verwendet wird) vor der Zuweisung/Neuzuweisung manuell mit diesen Rollen versehen werden. Wenn dieser Schritt nicht erfolgt, kann dies zu Bereitstellungsfehlern führen.
  • Andere Einschränkungen für verwaltete Identitäten.

Integrierte Richtlinien

Sie können die einzelnen Richtlinien aus der Richtlinieninitiative oben verwenden, um eine einzelne Aktion im großen Stil durchzuführen. Wenn Sie z. B. nur den Agent automatisch installieren möchten, verwenden Sie die zweite Richtlinie zur Agent-Installation aus der Initiative, wie gezeigt.

Partial screenshot from the Azure Policy Definitions page that shows policies contained within the initiative for configuring Azure Monitor Agent.

Wiederherstellung

Die Initiativen oder Richtlinien gelten für jeden virtuellen Computer, während er erstellt wird. Mit einer Wartungsaufgabe werden die Richtliniendefinitionen in der Initiative für vorhandene Ressourcen bereitgestellt, sodass Sie den Azure Monitor-Agent für alle Ressourcen konfigurieren können, die bereits erstellt wurden.

Wenn Sie die Zuweisung mithilfe des Azure-Portals erstellen, können Sie gleichzeitig einen Wartungstask erstellen. Weitere Informationen zur Wartung finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.

Screenshot that shows initiative remediation for Azure Monitor Agent.

Häufig gestellte Fragen

Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.

Welche Auswirkungen hat die Installation des Azure Arc Connected Machine-Agents auf meinen Nicht-Azure-Computer?

Nach der Installation des Azure Arc Connected Machine-Agents hat dies keine Auswirkungen auf den Computer. Der Agent verbraucht kaum System- oder Netzwerkressourcen und ist so konzipiert, dass er auf dem Host, auf dem er ausgeführt wird, nur wenig Platz benötigt.

Nächste Schritte

Erstellen Sie eine Datensammlungsregel, um Daten des Agents zu sammeln und an Azure Monitor zu senden.