Log Analytics-ügynökről Azure Monitor-ügynökre való migrálás

  • Cikk

Az Azure Monitor Agent (AMA) a Log Analytics-ügynököt (más néven Microsoft Monitor Agentet (MMA) és OMS-t váltja fel Windows és Linux rendszerű gépeken, Azure- és nem Azure-környezetekben, beleértve a helyszíni és külső felhőket is. Az ügynök egy egyszerűsített, rugalmas módszert vezet be az adatgyűjtés adatgyűjtési szabályok (DCRs) használatával történő konfigurálására. Ez a cikk útmutatást nyújt a Log Analytics-ügynökből az Azure Monitor Agentbe történő sikeres migrálás implementálásához.

Ha jelenleg a Log Analytics-ügynököt használja az Azure Monitorral vagy más támogatott szolgáltatásokkal és szolgáltatásokkal, kezdje el megtervezni az Azure Monitor-ügynökbe való migrálást a jelen cikkben található információk használatával. Ha az SCOM Log Analytics-ügynökét használja, át kell telepítenie az SCOM-ügynököt.

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Az MMA- vagy OMS-ügynök ezen dátum után a következőkre számíthat.

  • Adatfeltöltés: Továbbra is feltölthet adatokat. Egy bizonyos ponton, amikor a nagyobb ügyfelek befejezték a migrálást, és az adatmennyiségek jelentősen csökkennek, a feltöltés fel lesz függesztve. Ez várhatóan legalább 6–9 hónapot vesz igénybe. A felfüggesztésről nem kap kompatibilitástörő változásról szóló értesítést.
  • Telepítés vagy újratelepítés: Továbbra is telepítheti és újratelepítheti az örökölt ügynököket. Nem fog tudni támogatást kapni a telepítési vagy újratelepítési problémákhoz.
  • Ügyfélszolgálat: Biztonsági problémák esetén számíthat az MMA/OMS támogatására.

Juttatások

Az Örökölt Log Analytics-ügynökök konszolidálása és fejlesztése mellett az Azure Monitor Agent számos azonnali előnyt biztosít, beleértve a költségmegtakarítást, az egyszerűsített felügyeleti élményt, valamint a fokozott biztonságot és teljesítményt.

Útmutató az áttelepítéshez

Mielőtt elkezdené a Log Analytics-ügynökről az Azure Monitor-ügynökre való migrálást, tekintse át az ellenőrzőlistát.

Mielőtt elkezdené

  • Ellenőrizze az Azure Monitor-ügynök telepítésének előfeltételeit .
    A nem Azure-beli és helyszíni kiszolgálók monitorozásához telepítenie kell az Azure Arc-ügynököt. Az Arc-ügynök láthatóvá teszi a helyszíni kiszolgálókat az Azure-ban, mint olyan erőforrást, amely megcélzható. Az Azure Arc-ügynök telepítésének semmilyen többletköltsége nem merül fel.
  • Az aktuális igények megismerése.
    Az AMA migrálási segéd Munkaterület áttekintése lapján megtekintheti a csatlakoztatott ügynököket, és felderítheti az örökölt ügynököket használó Log Analytics-munkaterületeken engedélyezett megoldásokat, beleértve a megoldásonkénti migrálási javaslatokat is.
  • Ellenőrizze, hogy az Azure Monitor Agent képes-e az összes igény kielégítésére.
    Az Azure Monitor-ügynök általános Availablity (GA) az adatgyűjtéshez, és különböző Azure Monitor-funkciók és más Azure-szolgáltatások adatgyűjtésére szolgál. Részletekért lásd a támogatott szolgáltatásokat és funkciókat.
  • Érdemes lehet az Azure Monitor Agentet egy örökölt ügynökkel együtt telepíteni egy átmeneti időszakra.
    Futtassa az Azure Monitor Agentet az örökölt Log Analytics-ügynökkel együtt ugyanazon a gépen, hogy továbbra is használja a meglévő funkciókat a kiértékelés vagy a migrálás során. Ne feledje, hogy két ügynök ugyanazon a gépen való futtatása megduplázza az erőforrás-felhasználást, beleértve, de nem kizárólagosan a CPU-t, a memóriát, a tárterületet és a hálózati sávszélességet.
    • Ha új környezetet állít be erőforrásokkal, például üzembehelyezési szkriptekkel és előkészítési sablonokkal, telepítse az Azure Monitor Agentet egy régi ügynökkel együtt az új környezetben, hogy később csökkentse a migrálási munkát.
    • Ha két ügynöke van ugyanazon a gépen, ne gyűjtsön ismétlődő adatokat.
      A duplikált adatok ugyanabból a gépről történő gyűjtése eltúlozza a lekérdezési eredményeket, hatással lehet az alsóbb rétegbeli funkciókra, például a riasztásokra, irányítópultokra és munkafüzetekre, és többletköltségeket okozhat az adatok betöltéséért és megőrzéséért.
      Az adatismétlődés elkerülése érdekében:
      • Konfigurálja az ügynököket, hogy az adatokat különböző munkaterületekre vagy ugyanazon munkaterület különböző tábláira küldjék.
      • Tiltsa le az örökölt ügynökök ismétlődő adatgyűjtését a munkaterület konfigurációinak eltávolításával.
      • Felhőhöz készült Defender natív módon deduplikálja az adatokat, amikor mindkét ügynököt használja, és az ügynökök egymás melletti futtatásakor gépenként egyszer kell fizetnie.
      • A Sentinel esetében egyszerűen letilthatja az örökölt összekötőt a naplók régebbi ügynökökből való betöltésének leállításához.

Migrálási szolgáltatások és szolgáltatások

Folyamatábra, amely bemutatja az ügynök migrálásának lépéseit, valamint azt, hogy a migrálási eszközök hogyan segítik az adatgyűjtési szabályok (ok) létrehozásában és a teljes migrálási folyamat nyomon követésében.

  1. A DCR-generátor használatával az örökölt ügynök konfigurációját automatikusan adatgyűjtési szabályokká alakíthatja.1

    A létrehozásuk előtt tekintse át a létrehozott szabályokat, és használja ki a speciális lehetőségeket, például a szűrést, a részletes célzást (gépenként) és más optimalizálásokat. Az MMA-naplók AMA-egyéni naplókba való migrálásához speciális lépések szükségesek

  2. Tesztelje az új ügynök- és adatgyűjtési szabályokat néhány nem gyártási gépen:

    1. Telepítse a létrehozott adatgyűjtési szabályokat, és társítsa őket néhány géphez a DCR Config Generator telepítésével és használatával kapcsolatban leírtak szerint.

      A kettős betöltés elkerülése érdekében letilthatja az örökölt ügynökök adatgyűjtését a tesztelési fázisban anélkül, hogy eltávolítaná az ügynököket. Ehhez távolítsa el az örökölt ügynökök munkaterület-konfigurációit.

    2. Győződjön meg arról, hogy nincsenek hiányosságok, hasonlítsa össze az örökölt ügynökadatok által betöltött adatokat az Azure Monitor-ügynökkel. Bármely táblán elvégezheti az összehasonlítást úgy, hogy az illesztési operátorral hozzáadja az Category oszlopot a Szívverés táblából, amely az Azure Monitor-ügynök által gyűjtött adatokra utal Azure Monitor Agent .

      Ez a lekérdezés például hozzáadja a Category tábla oszlopát a HeartbeatEvent táblából lekért adatokhoz:

      Heartbeat
| distinct Computer, SourceComputerId, Category
| join kind=inner (
    Event
| extend d=parse_xml(EventData)
    | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
    | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
    ) on $left.SourceComputerId==$right.sourceHealthServiceId
| project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData

  3. A beépített szabályzatokkal bővítményeket és DCR-társításokat helyezhet üzembe nagy méretekben. A szabályzat használata biztosítja a bővítmények és DCR-társítások automatikus üzembe helyezését az új gépekhez.3

    Az AMA migrálási segédjesegítségével monitorozhatja a gépek közötti nagy léptékű migrálást.

  4. Ellenőrizze , hogy az Azure Monitor Agent a várt módon gyűjti-e az adatokat, és hogy az összes alsóbb rétegbeli függőség, például az irányítópultok, a riasztások és a munkafüzetek megfelelően működnek-e:

    1. Tekintse meg a Log Analytics-munkaterület Áttekintés és használat lapján Elemzések a migrálást követő betöltési arányok kiugrását vagy visszaesését. Ellenőrizze a munkaterület teljes betöltését és a táblaszintű betöltési arányokat.
    2. Ellenőrizze munkafüzeteit, irányítópultjait és riasztásait, hogy a migrálást követő tipikus viselkedés eltérései változnak-e.

  5. Tisztítás: Miután meggyőződött arról, hogy az Azure Monitor Agent megfelelően gyűjti az adatokat, tiltsa le vagy távolítsa el az örökölt Log Analytics-ügynököket.

    • Miután telepítette az Azure Monitor Agentet az összes követelményhez, távolítsa el a Log Analytics-ügynököt a figyelt erőforrásokból. Törölje a Log Analytics-ügynök által korábban használt konfigurációs fájlokat, munkaterületkulcsokat vagy tanúsítványokat. Folytassa az örökölt Log Analytics használatát olyan funkciókhoz és megoldásokhoz, amelyeket az Azure Monitor Agent nem támogat.

      Az MMA-eltávolító eszközzel felderítheti és eltávolíthatja a Log Analytics-ügynök bővítményt a bérlő összes gépéről.

    • Ne távolítsa el az örökölt ügynököt, ha arra van szüksége, hogy adatokat töltsön fel a System Center Operations Managerbe.

1 A DCR-generátor csak a Windows-eseménynaplók, a Linux-syslog és a teljesítményszámlálók konfigurációit alakítja át. Hamarosan további funkciók és megoldások támogatása is elérhető lesz.
2 Előfordulhat, hogy az Azure Monitor Agent bővítményen kívül bizonyos megoldásokhoz szükséges bővítményeket is üzembe kell helyeznie.

További szolgáltatások és szolgáltatások migrálása

Az Azure Monitor-ügynök ga az adatgyűjtéshez. A Legtöbb szolgáltatás, amely a Log Analytics-ügynököt használta az adatgyűjtéshez, az Azure Monitor-ügynökbe migrált.

Az alábbi funkciók és szolgáltatások már rendelkeznek Azure Monitor Agent-verzióval (néhány még nyilvános előzetes verzióban érhető el). Ez azt jelenti, hogy a szolgáltatás vagy szolgáltatás engedélyezésekor már dönthet úgy, hogy az Azure Monitor Agent használatával gyűjt adatokat.

Szolgáltatás vagy funkció Migrálási javaslat Aktuális állapot További információ
Virtuálisgép-elemzések, szolgáltatástérkép és függőségi ügynök Migrálás az Azure Monitor-ügynökbe FE Virtuálisgép-Elemzések engedélyezése
Microsoft Sentinel Migrálás az Azure Monitor-ügynökbe Nyilvános előzetes verzió AMA migrálása a Microsoft Sentinelhez.
változáskövetés és leltározás Migrálás az Azure Monitor-ügynökbe FE Migrálás a változáskövetéshez és a leltárhoz
Network Watcher Migrálás Csatlakozás ion Monitor nevű új szolgáltatásba az Azure Monitor-ügynökkel FE Hálózati kapcsolat figyelése kapcsolatfigyelővel
Azure Stack HCI Elemzések Migrálás az Azure Monitor-ügynökbe FE Az Azure Stack HCI monitorozása Elemzések
Azure Virtual Desktop (AVD) Elemzések Migrálás az Azure Monitor-ügynökbe FE Azure Virtual Desktop Elemzések
Tárolófelügyeleti megoldás Migrálás új, Container Elemzések nevű szolgáltatásba az Azure Monitor-ügynökkel FE Tároló Elemzések engedélyezése
DNS-gyűjtő Új Sentinel Csatlakozás or használata FE DNS-Csatlakozás or engedélyezése

Amikor a következő szolgáltatásokat migrálja, amelyek jelenleg a Log Analytics-ügynököt használják a megfelelő csere (v2) helyére, már nincs szüksége egyik monitorozási ügynökre sem:

Szolgáltatás Migrálási javaslat Aktuális állapot További információ
Felhőhöz készült Microsoft Defender, kiszolgálók, SQL és végpont Migrálás Felhőhöz készült Microsoft Defender (Nincs függőség a Log Analytics-ügynökökkel vagy az Azure Monitor-ügynökkel) FE Felhőhöz készült Defender Log Analytics-ügynök elavulásának terve
Frissítéskezelés Migrálás az Azure Update Managerbe (Nincs függőség a Log Analytics-ügynökökkel vagy az Azure Monitor-ügynökkel) FE Az Update Manager dokumentációja
Automation hibrid runbook-feldolgozó áttekintése Automation hibrid feldolgozóbővítmény (nincs függőség a Log Analytics-ügynökökkel vagy az Azure Monitor-ügynökkel) FE Migrálás bővítményalapú hibrid feldolgozókra

A migrálást befolyásoló megoldások ismert paritásbeli hiányosságai

  • IIS-naplók: Ha engedélyezve van az IIS-naplógyűjtés, előfordulhat, hogy az AMA nem tölti fel a sSiteNameW3CIISLog tábla oszlopát. Ez a mező alapértelmezés szerint akkor lesz összegyűjtve, ha az IIS-naplógyűjtés engedélyezve van az örökölt ügynök számára. Ha az AMA használatával kell összegyűjtenie a sSiteName mezőt, engedélyezze a mezőt az Service Name (s-sitename) IIS W3C-naplózásában. A mező engedélyezésének lépéseit a Naplózandó W3C mezők kiválasztása című témakörben találja.
  • Sentinel: A Windows tűzfalnaplói még nem ga
  • SQL Assessment Solution: Ez már része az SQL ajánlott eljárásának felmérésének. Az üzembehelyezési szabályzatok előfizetésenként egy Log Analytics-munkaterületet igényelnek, ami nem az AMA-csapat által ajánlott ajánlott eljárás.
  • Microsoft Defender felhőhöz: Az új ügynök nélküli megoldás néhány funkciója fejlesztés alatt áll. A migrálásra hatással lehet a fájlbetöltés (FIM), az végpontvédelmi felderítési javaslatok, az operációsrendszer-konfigurációk (Azure Security Benchmark (ASB) javaslatai) és az adaptív alkalmazásvezérlők használata.
  • Tároló Elemzések: A Windows-verzió nyilvános előzetes verzióban érhető el.

Gyakori kérdések

Ez a szakasz választ ad a gyakori kérdésekre.

Az Azure Monitor Agent és a Log Analytics-ügynök egymás mellett létezhetnek?

Igen. Ha az Azure Monitor Agentre migrál, érdemes lehet az Azure Monitor Agentet egy örökölt ügynökkel együtt telepíteni egy átmeneti időszakra, de figyelembe kell vennie bizonyos szempontokat. További információ az ügynökök egyidejűségével kapcsolatos szempontokról az Azure Monitor-ügynök migrálási útmutatójában.

Következő lépések

További információk: