Események és teljesítményszámlálók gyűjtése virtuális gépekről az Azure Monitor Agent használatával
Ez a cikk azt ismerteti, hogyan gyűjthet eseményeket és teljesítményszámlálókat virtuális gépekről az Azure Monitor Agent használatával.
Előfeltételek
Az eljárás elvégzéséhez a következőkre van szüksége:
- Log Analytics-munkaterület, ahol legalább közreműködői jogosultságokkal rendelkezik.
- Engedélyek adatgyűjtési szabályobjektumok létrehozásához a munkaterületen.
- Az adatgyűjtési szabály társítása adott virtuális gépekhez.
Adatgyűjtési szabály létrehozása
Megadhat egy adatgyűjtési szabályt, amely adatokat küld több gépről több Log Analytics-munkaterületre, beleértve egy másik régióban vagy bérlőben lévő munkaterületeket is. Hozza létre az adatgyűjtési szabályt a Log Analytics-munkaterületével megegyező régióban . Windows-esemény- és Syslog-adatokat csak az Azure Monitor-naplókba küldhet. Teljesítményszámlálókat küldhet az Azure Monitor-metrikáknak és az Azure Monitor-naplóknak is.
Feljegyzés
A Microsoft.HybridCompute (Azure Arc-kompatibilis kiszolgálók) erőforrásai jelenleg nem tekinthetők meg a Metrics Explorerben (az Azure Portal UX-jében), de a Metrics REST API-n (Metrikanévterek – Lista, Metrikadefiníciók – Lista és Metrikák – Lista) keresztül szerezhető be.
Feljegyzés
Ahhoz, hogy adatokat küldjön a bérlők között, először engedélyeznie kell az Azure Lighthouse-t.
A Figyelés menüben válassza az Adatgyűjtési szabályok lehetőséget.
Új adatgyűjtési szabály és társítás létrehozásához válassza a Létrehozás lehetőséget.
Adjon meg egy szabálynevet , és adjon meg egy előfizetést, erőforráscsoportot, régiót és platformtípust:
- A régió határozza meg, hogy a rendszer hol hozza létre a DCR-t. A virtuális gépek és társításaik a bérlő bármely előfizetésében vagy erőforráscsoportjában lehetnek.
- A platform típusa határozza meg, hogy milyen típusú erőforrásokra vonatkozhat ez a szabály. Az Egyéni beállítás windowsos és linuxos típusok használatát is lehetővé teszi.
Az Erőforrások lapon:
-
Válassza az + Erőforrások hozzáadása lehetőséget, és társítsa az erőforrásokat az adatgyűjtési szabályhoz. Az erőforrások lehetnek virtuális gépek, virtuálisgép-méretezési csoportok és Azure Arc kiszolgálókhoz. Az Azure Portal telepíti az Azure Monitor Agentet olyan erőforrásokra, amelyek még nincsenek telepítve.
Fontos
A portál lehetővé teszi a rendszer által hozzárendelt felügyelt identitást a célerőforrásokon, valamint a meglévő felhasználó által hozzárendelt identitásokat, ha vannak ilyenek. Meglévő alkalmazások esetén, hacsak nem adja meg a felhasználó által hozzárendelt identitást a kérelemben, a gép alapértelmezés szerint a rendszer által hozzárendelt identitást használja.
Ha privát kapcsolatok használatával szeretne hálózati elkülönítést, válassza ki a meglévő végpontokat ugyanabból a régióból a megfelelő erőforrásokhoz, vagy hozzon létre egy új végpontot.
Válassza az Adatgyűjtési végpontok engedélyezése lehetőséget.
Válasszon ki egy adatgyűjtési végpontot az adatgyűjtési szabályhoz társított összes erőforráshoz.
Az Adatgyűjtés és kézbesítés lapon válassza az Adatforrás hozzáadása lehetőséget egy adatforrás hozzáadásához és egy célhely beállításához.
Válasszon egy adatforrástípust.
Válassza ki, hogy mely adatokat szeretné összegyűjteni. Teljesítményszámlálók esetén az objektumok előre definiált készletéből és azok mintavételezési sebességéből választhat. Események esetén a naplók és a súlyosság szintjei közül választhat.
Válassza az Egyéni lehetőséget az olyan naplók és teljesítményszámlálók gyűjtéséhez, amelyek jelenleg nem támogatott adatforrások, vagy XPath-lekérdezések használatával szűrik az eseményeket. Ezután megadhat egy XPath-t , amely összegyűjti a megadott értékeket.
Ha alapértelmezés szerint nem elérhető teljesítményszámlálót szeretne gyűjteni, használja a formátumot
\PerfObject(ParentInstance/ObjectInstance#InstanceIndex)\Counter
. Ha a számláló neve egy és (>) értéket tartalmaz, cserélje le a következőre&
: . Például:\Memory\Free & Zero Page List Bytes
.A DCR-ek példáiért lásd az Azure Monitor adatgyűjtő szabályainak (DCR-jeinek) példáját.
A Cél lapon adjon hozzá egy vagy több célhelyet az adatforráshoz. Több azonos vagy különböző típusú célhelyet is kijelölhet. Választhat például több Log Analytics-munkaterületet is, amelyet többhomingnak is neveznek.
Windows-esemény- és Syslog-adatforrásokat csak az Azure Monitor-naplókba küldhet. Teljesítményszámlálókat küldhet az Azure Monitor-metrikáknak és az Azure Monitor-naplóknak is. A hibrid számítási erőforrások (Arc for Server) jelenleg nem támogatják az Azure Monitor Metrics (előzetes verzió) célhelyét.
Válassza az Adatforrás hozzáadása lehetőséget, majd a Véleményezés + létrehozás lehetőséget az adatgyűjtési szabály részleteinek áttekintéséhez és a virtuális gépek készletével való társításhoz.
Válassza a Létrehozás lehetőséget az adatgyűjtési szabály létrehozásához.
Paraméterfájl
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"value": "my-azure-vm"
},
"associationName": {
"value": "my-windows-vm-my-dcr"
},
"dataCollectionRuleId": {
"value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
}
}
}
Feljegyzés
Az adatgyűjtési szabály létrehozása után akár 5 percet is igénybe vehet, amíg az adatok el lesznek küldve a célhelyekre.
Események szűrése XPath-lekérdezésekkel
A Log Analytics-munkaterületen gyűjtött adatokért díjat számítunk fel. Ezért csak a szükséges eseményadatokat kell összegyűjtenie. Az Azure Portal alapkonfigurációja korlátozott lehetőséget biztosít az események szűrésére.
Tipp.
Az Azure Monitor költségeinek csökkentésére vonatkozó stratégiákért tekintse meg a költségoptimalizálást és az Azure Monitort.
További szűrők megadásához használjon egyéni konfigurációt, és adjon meg egy XPath-t, amely kiszűri a szükségtelen eseményeket. Az XPath-bejegyzések az űrlapon LogName!XPathQuery
vannak megírva. Előfordulhat például, hogy csak az 1035-ös eseményazonosítójú alkalmazásesemény-naplóból szeretne eseményeket visszaadni. Ezeknek XPathQuery
az eseményeknek az a célja, hogy *[System[EventID=1035]]
. Mivel le szeretné kérni az eseményeket az alkalmazás eseménynaplójából, az XPath Application!*[System[EventID=1035]]
XPath-lekérdezések kinyerve a Windows Eseménynapló
Windows rendszerben a Eseménynapló használatával kinyerheti az XPath-lekérdezéseket a képernyőképeken látható módon.
Amikor beilleszti az XPath-lekérdezést az Adatforrás hozzáadása képernyő mezőjébe, az 5. lépésben látható módon hozzá kell fűznie a naplótípus kategóriát, majd egy felkiáltójelet (!).
Tipp.
A PowerShell-parancsmag Get-WinEvent
és a FilterXPath
paraméter segítségével először helyileg tesztelheti az XPath-lekérdezések érvényességét a számítógépen. További információkért tekintse meg a Windows-ügynökalapú kapcsolatokra vonatkozó utasításokban található tippet . A Get-WinEvent
PowerShell-parancsmag legfeljebb 23 kifejezést támogat. Az Azure Monitor adatgyűjtési szabályai legfeljebb 20-et támogatnak. Az alábbi szkript egy példát mutat be:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Az előző parancsmagban a
-LogName
paraméter értéke az XPath-lekérdezés kezdeti része, amíg a felkiáltójel (!) meg nem jelenik. Az XPath-lekérdezés többi része a$XPath
paraméterbe kerül. - Ha a szkript eseményeket ad vissza, a lekérdezés érvényes.
- Ha a "Nem található olyan esemény, amely megfelel a megadott kiválasztási feltételeknek", a lekérdezés érvényes lehet, de a helyi gépen nincsenek egyező események.
- Ha a "Megadott lekérdezés érvénytelen" üzenetet kapja, a lekérdezés szintaxisa érvénytelen.
Példák az események szűrésére egyéni XPath használatával:
Leírás | Xpath |
---|---|
Csak az eseményazonosítóval rendelkező rendszeresemények gyűjtése = 4648 | System!*[System[EventID=4648]] |
Biztonsági naplóesemények gyűjtése az eseményazonosító = 4648 azonosítóval és a consent.exe folyamat nevével | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
Gyűjtse össze az összes kritikus, hiba-, figyelmeztetési és információs eseményt a rendszer eseménynaplójából, kivéve az eseményazonosítót = 6 (illesztőprogram betöltve) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
Gyűjtse össze az összes sikeres és sikertelen biztonsági eseményt, kivéve a 4624-s eseményazonosítót (sikeres bejelentkezés) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Feljegyzés
A Windows eseménynapló által támogatott XPath-korlátozások listáját az XPath 1.0-s korlátozásai című témakörben találja.
Használhatja például a "position", a "Band" és a "timediff" függvényt a lekérdezésen belül, de más függvények, például a "kezdő" és a "contains" jelenleg nem támogatottak.
Gyakori kérdések
Ez a szakasz választ ad a gyakori kérdésekre.
Hogyan gyűjthetem össze a Windows biztonsági eseményeket az Azure Monitor Agent használatával?
A Log Analytics-munkaterületre való küldéskor kétféleképpen gyűjthet biztonsági eseményeket az új ügynökkel:
- Az Azure Monitor Agent használatával natív módon gyűjthet biztonsági eseményeket, ugyanúgy, mint más Windows-eseményeket. Ezek a folyamatok a Log Analytics-munkaterület "Event" táblájába áramlanak.
- Ha engedélyezve van a Microsoft Sentinel a munkaterületen, a biztonsági események az Azure Monitor Agenten keresztül kerülnek a
SecurityEvent
táblába (ugyanúgy, mint a Log Analytics-ügynök használata). Ebben a forgatókönyvben mindig először engedélyezni kell a megoldást.
Duplikálom az eseményeket, ha az Azure Monitor-ügynököt és a Log Analytics-ügynököt használom ugyanazon a gépen?
Ha mindkét ügynökkel ugyanazokat az eseményeket gyűjti össze, duplikálás történik. Ez a duplikáció lehet az a régi ügynök, amely redundáns adatokat gyűjt a munkaterület konfigurációs adataiból, amelyet az adatgyűjtési szabály gyűjt. Vagy biztonsági eseményeket gyűjthet az örökölt ügynökkel, és engedélyezheti a Windows biztonsági eseményeket az Azure Monitor Agent-összekötőkkel a Microsoft Sentinelben.
A duplikálási eseményeket csak arra az időre korlátozza, amikor az egyik ügynökről a másikra vált. Miután tesztelte az adatgyűjtési szabályt, és ellenőrizte az adatgyűjtést, tiltsa le a munkaterület adatgyűjtését, és bontsa le a Microsoft Monitoring Agent adatösszekötőit.
Az Azure Monitor Agent az Xpath-lekérdezéseken és a teljesítményszámlálókon kívül részletesebb eseményszűrési lehetőségeket is kínál?
A Linuxon futó Syslog-események esetében kiválaszthatja az egyes létesítményekhez tartozó létesítményeket és a naplószintet.
Ha ugyanazt az eseményazonosítót tartalmazó adatgyűjtési szabályokat hozok létre, és ugyanahhoz a virtuális géphez társítom őket, az események duplikálva lesznek?
Igen. A duplikáció elkerülése érdekében győződjön meg arról, hogy az adatgyűjtési szabályokban megadott eseménykijelölés nem tartalmaz ismétlődő eseményeket.
Következő lépések
- Szöveges naplók gyűjtése az Azure Monitor Agent használatával.
- További információ az Azure Monitor-ügynökről.
- További információ az adatgyűjtési szabályokról.