Soluzione Wire Data 2.0 (anteprima) in Log Analytics

Simbolo di Wire Data

I dati in transito sono dati di rete e sulle prestazioni consolidati provenienti da computer con agenti OMS, tra cui agenti Operations Manager, connessi a Windows e Linux. I dati di rete vengono combinati con altri dati di log per consentire la correlazione dei dati.

Oltre agli agenti OMS, la soluzione Wire Data usa le istanze di Microsoft Dependency Agent installate nell'infrastruttura IT. Le istanze di Dependency Agent monitorano i dati di rete inviati da e verso i computer per i livelli di rete 2-3 del modello OSI, che includono le diverse porte e i vari protocolli usati. I dati vengono quindi inviati a Log Analytics usando gli agenti.

Nota

Non è possibile aggiungere la versione precedente della soluzione Wire Data a nuove aree di lavoro. Se è stata abilitata la soluzione Wire Data originale, è possibile continuare a usarla. Per usare Wire Data 2.0, tuttavia, è prima necessario rimuovere la versione originale.

Per impostazione predefinita, Log Analytics raccoglie i dati registrati sulle prestazioni di CPU, memoria, dischi e rete dai contatori integrati in Windows. La raccolta dei dati di rete e di altro tipo viene eseguita in tempo reale per ogni agente, inclusi subnet e protocolli a livello di applicazione usati dal computer. È possibile aggiungere altri contatori delle prestazioni nella pagina Settings della scheda Logs.

Se si è usato sFlow o un altro software con il protocollo NetFlow di Cisco, le statistiche e i dati visualizzati dai dati in transito risulteranno familiari.

Alcuni tipi di query di ricerca nei log predefinite includono:

  • Agenti che forniscono dati in transito
  • Indirizzo IP degli agenti che forniscono dati in transito
  • Comunicazioni in uscita da parte degli indirizzi IP
  • Numero di byte inviati dai protocolli applicativi
  • Numero di byte inviati da un servizio dell’applicazione
  • Byte ricevuti da protocolli diversi
  • Byte totali inviati e ricevuti per versione IP
  • Latenza media per le connessioni misurate in modo affidabile
  • Processi dei computer che hanno avviato o ricevuto traffico di rete
  • Quantità di traffico di rete per un processo

Quando si esegue una ricerca usando i dati in transito, è possibile filtrare e raggruppare i dati per visualizzare le informazioni su agenti e protocolli principali. In alternativa, è possibile visualizzare quando determinati computer (indirizzi IP/indirizzi MAC) hanno comunicato tra loro, per quanto tempo e quanti dati sono stati inviati, visualizzando essenzialmente metadati relativi al traffico di rete basati sulla ricerca.

La visualizzazione di metadati, tuttavia, non è necessariamente utile per una risoluzione dei problemi approfondita. I dati in transito in Log Analytics non sono un'acquisizione completa dei dati di rete e non sono quindi destinati a una risoluzione dei problemi approfondita a livello di pacchetto. Il vantaggio di usare l'agente, rispetto ad altri metodi di raccolta, è che non è necessario installare appliance, riconfigurare i commutatori di rete o eseguire configurazioni complesse. I dati in transito sono basati semplicemente sull'agente, che viene installato in un computer e monitora il proprio traffico di rete. Un altro vantaggio si riscontra quando si vogliono monitorare carichi di lavoro in esecuzione in provider di servizi cloud, provider di servizi di hosting o Microsoft Azure, in cui l'utente non è proprietario del livello infrastruttura.

Origini connesse

Wire Data ottiene i dati da Microsoft Dependency Agent. Dependency Agent dipende dall'agente OMS per le connessioni a Log Analytics, quindi prima di installare Dependency Agent è necessario che in un server sia installato e configurato l'agente OMS. La tabella seguente descrive le origini connesse supportate dalla soluzione Wire Data.

Origine connessa Supportato Descrizione
Agenti di Windows Wire Data analizza e raccoglie i dati da computer agente Windows.

Oltre a OMS Agent, gli agenti Windows richiedono Microsoft Dependency Agent. Per un elenco completo delle versioni del sistema operativo, vedere Sistemi operativi supportati.
Agenti Linux Wire Data analizza e raccoglie i dati da computer agente Linux.

Oltre a OMS Agent, gli agenti Linux richiedono Microsoft Dependency Agent. Per un elenco completo delle versioni del sistema operativo, vedere Sistemi operativi supportati.
Gruppo di gestione di System Center Operations Manager Wire Data analizza e raccoglie i dati dagli agenti Windows e Linux in un gruppo di gestione di System Center Operations Manager connesso.

È necessaria una connessione diretta dal computer agente System Center Operations Manager a Log Analytics. I dati vengono inoltrati dal gruppo di gestione a Log Analytics.
Account di archiviazione di Azure No Wire Data raccoglie i dati dai computer agente, quindi non devono essere raccolti dati da Archiviazione di Azure.

In Windows, Microsoft Monitoring Agent (MMA) viene usato sia da System Center Operations Manager che da Log Analytics per raccogliere e inviare dati. A seconda del contesto, l'agente viene chiamato agente System Center Operations Manager, agente OMS, agente Log Analytics, agente MMA o agente diretto. System Center Operations Manager e Log Analytics offrono versioni leggermente diverse dell'agente MMA. Ognuna di queste versioni può inviare segnalazioni a System Center Operations Manager, Log Analytics o entrambi.

In Linux, l'agente OMS per Linux raccoglie e invia i dati a Log Analytics. È possibile usare Wire Data in server con agenti OMS diretti o in server collegati a Log Analytics tramite gruppi di gestione di System Center Operations Manager.

In questo articolo, il termine agente OMS viene usato per fare riferimento a tutti gli agenti, sia Linux che Windows e sia connessi a un gruppo di gestione di System Center Operations Manager che direttamente a Log Analytics. Il nome della distribuzione specifica dell'agente verrà usato solo se necessario per il contesto.

L'istanza di Dependency Agent non trasmette dati e non richiede modifiche ai firewall o alle porte. I dati in Wire Data vengono sempre trasmessi dall'agente OMS a Log Analytics, direttamente o con il gateway OMS.

Diagramma degli agenti

Per un utente di System Center Operations Manager con un gruppo di gestione connesso a Log Analytics:

  • Non è necessaria alcuna configurazione aggiuntiva se gli agenti System Center Operations Manager possono accedere a Internet per connettersi a Log Analytics.
  • È necessario configurare il gateway OMS in modo da usare System Center Operations Manager quando gli agenti System Center Operations Manager non possono connettersi a Log Analytics tramite Internet.

Se si usa l'agente diretto, è necessario configurare l'agente OMS in modo che si connetta a Log Analytics o al gateway OMS. È possibile scaricare il gateway OMS dall'Area download Microsoft.

Prerequisiti

  • È necessaria la soluzione Insight & Analytics offerta.
  • Se si usa la versione precedente della soluzione Wire Data, prima di tutto è necessario rimuoverla. Tutti i dati acquisiti tramite la soluzione Wire Data originale, tuttavia, saranno ancora disponibili in Wire Data 2.0 e nella ricerca log.
  • Per installare o disinstallare Dependency Agent sono necessari privilegi di amministratore.
  • Dependency Agent deve essere installato in un computer con un sistema operativo a 64 bit.

Sistemi operativi

Le sezioni seguenti elencano i sistemi operativi supportati per l'agente di dipendenza. Wire Data non supporta architetture a 32 bit per i sistemi operativi.

Windows Server

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1,

Desktop di Windows

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7

Red Hat Enterprise Linux, CentOS Linux e Oracle Linux (con il kernel RHEL)

  • Sono supportate solo versioni predefinita e SMP del kernel Linux.
  • Le versioni del kernel non standard, ad esempio PAE e Xen, non sono supportate per le distribuzioni Linux. Un sistema con stringa di versione 2.6.16.21-0.8-xen, ad esempio, non è supportato.
  • I kernel personalizzati, tra cui le ricompilazioni dei kernel standard, non sono supportati.
  • Il kernel CentOSPlus non è supportato.
  • Unbreakable Enterprise Kernel (UEK) di Oracle è illustrato in una sezione successiva di questo articolo.

Red Hat Linux 7

Versione del sistema operativo Versione del kernel
7.0 3.10.0-123
7.1 3.10.0-229
7,2 3.10.0-327
7.3 3.10.0-514

Red Hat Linux 6

Versione del sistema operativo Versione del kernel
6.0 2.6.32-71
6.1 2.6.32-131
6.2 2.6.32-220
6.3 2.6.32-279
6.4 2.6.32-358
6,5 2.6.32-431
6.6 2.6.32-504
6.7 2.6.32-573
6.8 2.6.32-642

Red Hat Linux 5

Versione del sistema operativo Versione del kernel
5.8 2.6.18-308
5.9 2.6.18-348
5.10 2.6.18-371
5.11 2.6.18-398
2.6.18-400
2.6.18-402
2.6.18-404
2.6.18-406
2.6.18-407
2.6.18-408
2.6.18-409
2.6.18-410
2.6.18-411
2.6.18-412
2.6.18-416
2.6.18-417
2.6.18-419

Oracle Enterprise Linux con Unbreakable Enterprise Kernel

Oracle Linux 6

Versione del sistema operativo Versione del kernel
6.2 Oracle 2.6.32-300 (UEK R1)
6.3 Oracle 2.6.39-200 (UEK R2)
6.4 Oracle 2.6.39-400 (UEK R2)
6,5 Oracle 2.6.39-400 (UEK R2 i386)
6.6 Oracle 2.6.39-400 (UEK R2 i386)

Oracle Linux 5

Versione del sistema operativo Versione del kernel
5.8 Oracle 2.6.32-300 (UEK R1)
5.9 Oracle 2.6.39-300 (UEK R2)
5.10 Oracle 2.6.39-400 (UEK R2)
5.11 Oracle 2.6.39-400 (UEK R2)

SUSE Linux Enterprise Server

SUSE Linux 11

Versione del sistema operativo Versione del kernel
11 2.6.27
11 SP1 2.6.32
11 SP2 3.0.13
11 SP3 3.0.76
11 SP4 3.0.101

SUSE Linux 10

Versione del sistema operativo Versione del kernel
10 SP4 2.6.16.60

Download di Dependency Agent

File Sistema operativo Versione SHA-256
InstallDependencyAgent-Windows.exe Windows 9.0.5 73B3F6A2A76A08D58F72A550947FF839B588591C48E6EDDD6DDF73AA3FD82B43
InstallDependencyAgent-Linux64.bin Linux 9.0.5 A1BAD0B36EBF79F2B69113A07FCF48C68D90BD169C722689F9C83C69FC032371

Configurazione

Per configurare la soluzione Wire Data per le proprie aree di lavoro, seguire questa procedura.

  1. Abilitare la soluzione Log Analytics attività da Azure Marketplace o seguendo la procedura illustrata in Aggiungere soluzioni di Log Analytics dalla Raccolta soluzioni.
  2. Installare Dependency Agent in ogni computer in cui si vogliono ottenere i dati. Dependency Agent può monitorare le connessioni con i vicini immediati e potrebbe quindi non essere necessario un agente in ogni computer.

Installare Dependency Agent in Windows

Per installare o disinstallare l'agente sono necessari i privilegi di amministratore.

Dependency Agent viene installato nei computer che eseguono Windows con InstallDependencyAgent-Windows.exe. Se si esegue questo file eseguibile senza opzioni, avvia una procedura guidata che consente di completare l'installazione in modo interattivo.

Per installare Dependency Agent in ogni computer che esegue Windows, seguire questa procedura:

  1. Installare l'agente OMS seguendo le istruzioni riportate in Connettere computer Windows al servizio Log Analytics in Azure.
  2. Scaricare l'agente Windows usando il collegamento riportato nella sezione precedente e quindi eseguirlo con questo comando: InstallDependencyAgent-Windows.exe
  3. Seguire la procedura guidata per installare l'agente.
  4. Se l'agente di dipendenza non si avvia, controllare i registri per vedere le informazioni dettagliate sull'errore. Per gli agenti Windows, la directory di log è %Programfiles%\Microsoft Dependency Agent\logs.

Riga di comando di Windows

Usare le opzioni della tabella seguente per eseguire l'installazione dalla riga di comando. Per visualizzare un elenco dei flag di installazione, eseguire il programma di installazione con il flag /? come segue.

InstallDependencyAgent-Windows.exe /?

Flag Descrizione
/? Ottenere un elenco delle opzioni della riga di comando.
/S Eseguire un'installazione invisibile all'utente senza prompt per l'utente.

Per impostazione predefinita, i file di Dependency Agent per Windows si trovano in C:\Program Files\Microsoft Dependency Agent.

Installare Dependency Agent in Linux

Per installare o configurare l'agente è necessario l'accesso alla radice.

Dependency Agent viene installato nei computer Linux con InstallDependencyAgent-Linux64.bin, uno script della shell con un file binario autoestraente. È possibile eseguire il file con sh oppure aggiungere autorizzazioni di esecuzione al file stesso.

Per installare Dependency Agent in ogni computer Linux, seguire questa procedura:

  1. Installare l'agente OMS seguendo le istruzioni per raccogliere e gestire i dati da computer Linux.
  2. Scaricare Dependency Agent per Linux usando il collegamento riportato nella sezione precedente e quindi installarlo come radice con questo comando: sh InstallDependencyAgent-Linux64.bin
  3. Se l'agente di dipendenza non si avvia, controllare i registri per vedere le informazioni dettagliate sull'errore. Per gli agenti Linux, la directory di log è /var/opt/microsoft/dependency-agent/log.

Per visualizzare un elenco dei flag di installazione, eseguire il programma di installazione con il flag -help come segue.

InstallDependencyAgent-Linux64.bin -help
Flag Descrizione
-help Ottenere un elenco delle opzioni della riga di comando.
-s Eseguire un'installazione invisibile all'utente senza prompt per l'utente.
--check Controllare le autorizzazioni e il sistema operativo senza installare l'agente.

I file relativi a Dependency Agent sono memorizzati nelle directory seguenti.

File Posizione
File core /opt/microsoft/dependency-agent
File di log /var/opt/microsoft/dependency-agent/log
File di configurazione /etc/opt/microsoft/dependency-agent/config
File eseguibili del servizio /opt/microsoft/dependency-agent/bin/microsoft-dependency-agent

/opt/microsoft/dependency-agent/bin/microsoft-dependency-agent-manager
File binary di archiviazione /var/opt/microsoft/dependency-agent/storage

Esempi di script di installazione

Per distribuire facilmente Dependency Agent in più server contemporaneamente, è utile usare uno script. È possibile usare gli esempi di script seguenti per scaricare e installare Dependency Agent in Windows o Linux.

Script di PowerShell per Windows


Invoke-WebRequest "https://aka.ms/dependencyagentwindows" -OutFile InstallDependencyAgent-Windows.exe

.\InstallDependencyAgent-Windows.exe /S

Script della shell per Linux

wget --content-disposition https://aka.ms/dependencyagentlinux -O InstallDependencyAgent-Linux64.bin
sh InstallDependencyAgent-Linux64.bin -s

Configurazione dello stato desiderato

Per distribuire Dependency Agent tramite Desired State Configuration, è possibile usare il modulo xPSDesiredStateConfiguration e un frammento di codice come il seguente:

Import-DscResource -ModuleName xPSDesiredStateConfiguration

$DAPackageLocalPath = "C:\InstallDependencyAgent-Windows.exe"



Node $NodeName

{

    # Download and install the Dependency Agent

    xRemoteFile DAPackage

    {

        Uri = "https://aka.ms/dependencyagentwindows"

        DestinationPath = $DAPackageLocalPath

        DependsOn = "[Package]OI"

    }

    xPackage DA

    {

        Ensure="Present"

        Name = "Dependency Agent"

        Path = $DAPackageLocalPath

        Arguments = '/S'

        ProductId = ""

        InstalledCheckRegKey = "HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DependencyAgent"

        InstalledCheckRegValueName = "DisplayName"

        InstalledCheckRegValueData = "Dependency Agent"

    }

}

Disinstallare Dependency Agent

Per rimuovere Dependency Agent, usare le sezioni seguenti.

Disinstallare Dependency Agent in Windows

Dependency Agent per Windows può essere disinstallato da un amministratore tramite il Pannello di controllo.

Per disinstallare Dependency Agent, un amministratore può anche eseguire %Programfiles%\Microsoft Dependency Agent\Uninstall.exe.

Disinstallare Dependency Agent in Linux

Per disinstallare completamente Dependency Agent da Linux, è necessario rimuovere l'agente stesso e il connettore che viene installato automaticamente con l'agente. È possibile disinstallare entrambi con il singolo comando seguente:

rpm -e dependency-agent dependency-agent-connector

Management Pack

Quando viene attivato Wire Data in un'area di lavoro di Log Analytics, a tutti i server Windows nell'area di lavoro viene inviato un Management Pack di 300 KB. Se si usano agenti System Center Operations Manager in un gruppo di gestione connesso, il Management Pack di Dependency Monitor viene distribuito da System Center Operations Manager. Se gli agenti sono connessi direttamente, il Management Pack viene fornito da Log Analytics.

Il Management Pack è denominato Microsoft.IntelligencePacks.ApplicationDependencyMonitor e viene inserito in %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. L'origine dati usata dal Management Pack è %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<IDGeneratoAutomaticamente>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.

Uso della soluzione

Installazione e configurazione della soluzione

Usare le informazioni seguenti per installare e configurare la soluzione.

  • La soluzione Wire Data acquisisce i dati dai computer che eseguono Windows Server 2012 R2, Windows 8.1 e versioni successive.
  • Nei computer da cui si desidera acquisire i dati in transito è necessario che sia installato Microsoft .NET Framework 4.0 o versione successiva.
  • Aggiungere la soluzione Wire Data all'area di lavoro di Log Analytics usando la procedura descritta nell'articolo su come aggiungere soluzioni di Log Analytics dalla raccolta soluzioni. Non è richiesta alcuna ulteriore configurazione.
  • Se si vogliono visualizzare i dati in transito per una soluzione specifica, è necessario che la soluzione sia già stata aggiunta all'area di lavoro.

Dopo l'installazione degli agenti e della soluzione, nell'area di lavoro verrà visualizzato il riquadro Wire Data 2.0.

Nota

Attualmente, per visualizzare i dati in transito è necessario usare il portale di OMS. Non è possibile usare il portale di Azure a tale scopo.

Riquadro Wire Data

Uso della soluzione Wire Data 2.0

Nel portale di OMS fare clic sul riquadro Wire Data 2.0 per aprire il dashboard di Wire Data. Il dashboard include i pannelli nella tabella seguente. Ogni panello elenca fino a 10 elementi corrispondenti ai criteri del pannello per lo scope e l'intervallo di tempo specificati. È possibile eseguire una ricerca log per ottenere tutti i record facendo clic su Vedi tutto nella parte inferiore del pannello o facendo clic sull'intestazione del pannello.

Pannello Descrizione
Agenti che acquisiscono il traffico di rete Mostra il numero degli agenti che acquisiscono il traffico di rete e un elenco dei primi 10 computer che acquisiscono il traffico. Fare clic sul numero per eseguire una ricerca nei log per Type:WireData | measure Sum(TotalBytes) by Computer | top 500000. Fare clic su un computer nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte acquisiti.
Subnet locali Mostra il numero delle subnet locali individuate dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per Type:WireData | Measure Sum(TotalBytes) by LocalSubnet e ottenere un elenco di tutte le subnet con il numero dei byte inviati tramite ognuna. Fare clic su una subnet nell'elenco per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati tramite la subnet.
Protocolli a livello dell'applicazione Mostra il numero di protocolli a livello di applicazione in uso, in base a quanto individuato dagli agenti. Fare clic sul numero per eseguire una ricerca nei log per Type:WireData | Measure Sum(TotalBytes) by ApplicationProtocol. Fare clic su un protocollo per eseguire una ricerca nei log che restituisca il numero totale dei byte inviati usando il protocollo.
Nota

Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, è necessario convertire le query seguenti. È possibile usare il convertitore di linguaggio per eseguire questa conversione.

Dashboard di Wire Data

È possibile usare il pannello Agenti che acquisiscono il traffico di rete per determinare la quantità di larghezza di banda utilizzata dai computer. Questo pannello consente di trovare facilmente il computer più comunicativo nel proprio ambiente. Tali computer potrebbero essere sovraccaricati, presentare un funzionamento anomalo o usare una quantità di risorse di rete superiore alla norma.

Esempio di ricerca log

Analogamente, è possibile usare il pannello Subnet locali per determinare la quantità di traffico di rete sulle subnet. Gli utenti spesso definiscono le subnet per aree critiche delle applicazioni. Questo pannello offre un quadro di tali aree.

Esempio di ricerca log

Il pannello Protocolli a livello dell'applicazione è utile perché è opportuno sapere quali protocolli vengono usati. Se ad esempio si prevede che SSH non venga usato nel proprio ambiente di rete, visualizzando le informazioni disponibili nel pannello è possibile ottenere rapidamente conferma o smentita di tale previsione.

Esempio di ricerca log

In questo esempio si potrebbero esaminare i dettagli su SSH per scoprire quali computer usano SSH e molti altri dettagli relativi alle comunicazioni.

Risultati della ricerca su SSH

È anche utile sapere se il traffico dei protocolli aumenta o diminuisce nel tempo. L'aumento della quantità di dati trasmessa da un'applicazione, ad esempio, può essere un aspetto di cui è consigliabile essere a conoscenza o che si potrebbe trovare degno di nota.

Dati di input

Wire Data raccoglie i metadati sul traffico di rete tramite gli agenti abilitati. Ogni agente invia dati ogni 15 secondi circa.

Dati di output

Per ogni tipo di dati di input vene creato un record con tipo WireData. I record WireData includono le proprietà elencate nella tabella seguente:

Proprietà Descrizione
Computer Nome del computer in cui sono stati raccolti i dati
TimeGenerated Ora del record
LocalIP Indirizzo IP del computer locale
SessionState Sessione connessa o disconnessa
ReceivedBytes Quantità di byte ricevuta
ProtocolName Nome del protocollo di rete usato
IPVersion Versione IP
Direzione In ingresso o in uscita
MaliciousIP Indirizzo IP di un'origine dannosa nota
Severity Gravità del software dannoso sospetto
RemoteIPCountry Paese dell'indirizzo IP remoto
ManagementGroupName Nome del gruppo di gestione di Operations Manager
SourceSystem Origine in cui sono stati raccolti i dati
SessionStartTime Data e ora di inizio della sessione
SessionEndTime Data e ora di fine della sessione
LocalSubnet Subnet in cui sono stati raccolti i dati
LocalPortNumber Numero di porta locale
RemoteIP Indirizzo IP remoto usato dal computer remoto
RemotePortNumber Numero di porta usato dall'indirizzo IP remoto
SessionID Valore univoco che identifica la sessione di comunicazione tra due indirizzi IP
SentBytes Numero di byte inviati
TotalBytes Numero totale dei byte inviati durante la sessione
ApplicationProtocol Tipo di protocollo di rete usato
ProcessID ID processo Windows
ProcessName Percorso e nome file del processo
RemoteIPLongitude Valore di longitudine dell'indirizzo IP
RemoteIPLatitude Valore di latitudine dell'indirizzo IP

Passaggi successivi

  • Ricerche nei log per visualizzare i record di ricerca dettagliati su Wire Data.