Usare la soluzione Mapping dei servizi in Azure

  • Articolo

Mapping dei servizi individua automaticamente i componenti delle applicazioni nei sistemi Windows e Linux ed esegue la mappatura della comunicazione fra i servizi. Con Mapping dei servizi è possibile visualizzare i server come sistemi interconnessi che offrono servizi critici. Mapping dei servizi mostra le connessioni tra server, processi, latenza di connessione in ingresso e in uscita e porte in qualsiasi architettura connessa a TCP. Non è necessaria alcuna configurazione diversa dall'installazione di un agente.

Importante

Mapping dei servizi verrà ritirato il 30 settembre 2025. Per monitorare le connessioni tra server, processi, latenza di connessione in ingresso e in uscita e porte in qualsiasi architettura connessa a TCP, assicurarsi di eseguire la migrazione alle informazioni dettagliate sulle macchine virtuali di Monitoraggio di Azure prima di questa data.

Questo articolo descrive come distribuire e usare Mapping dei servizi. I prerequisiti della soluzione sono:

Nota

Se è già stato distribuito Mapping dei servizi, è ora possibile visualizzare anche le mappe in Informazioni dettagliate macchina virtuale, che include altre funzionalità per monitorare l'integrità e le prestazioni delle macchine virtuali. Per altre informazioni, vedere Panoramica delle informazioni dettagliate sulle macchine virtuali. Per informazioni sulle differenze tra la soluzione Mapping dei servizi e la funzionalità mapping delle informazioni dettagliate sulle macchine virtuali, vedere queste domande frequenti.

Accedere ad Azure

Accedere al portale di Azure.

Abilitare il Mapping dei servizi

  1. Abilitare la soluzione Mapping dei servizi da Azure Marketplace. In alternativa, usare il processo descritto in Aggiungere soluzioni di monitoraggio dalla Raccolta soluzioni.

  2. Installare Dependency Agent in Windows o installare Dependency Agent in Linux in ogni computer in cui si vogliono ottenere i dati. Dependency Agent può monitorare le connessioni ai vicini immediati, pertanto potrebbe non essere necessario un agente in ogni computer.

  3. Accedere a Mapping dei servizi nella portale di Azure dall'area di lavoro Log Analytics. Selezionare l'opzione Soluzioni legacy nel riquadro sinistro.

    Screenshot che mostra la selezione dell'opzione Soluzioni nell'area di lavoro.

  4. Nell'elenco delle soluzioni selezionare ServiceMap(workspaceName). Nella pagina panoramica della soluzione Mapping dei servizi selezionare il riquadro riepilogo mappa dei servizi .

    Screenshot che mostra il riquadro di riepilogo di Mapping dei servizi.

Casi di utilizzo: Riconoscimento delle dipendenze nei processi IT

Individuazione

Mapping dei servizi genera automaticamente una mappa di riferimento delle dipendenze tra server, processi e servizi di terze parti. Individua ed esegue il mapping di tutte le dipendenze TCP. Identifica le connessioni a sorpresa, i sistemi remoti di terze parti da cui si dipende e le dipendenze alle aree scure tradizionali della rete, ad esempio Active Directory. Mapping dei servizi rileva le connessioni di rete non riuscite che i sistemi gestiti tentano di effettuare. Queste informazioni consentono di identificare potenziali problemi di configurazione, interruzione del servizio e rete del server.

Gestione di eventi imprevisti

Mapping dei servizi consente di eliminare le ipotesi di isolamento dei problemi mostrando come i sistemi sono connessi e influiscono l'uno sull'altro. Oltre a identificare le connessioni non riuscite, consente di identificare i servizi di bilanciamento del carico non configurati correttamente, il carico sorprendente o eccessivo nei servizi critici e i client non autorizzati, ad esempio i computer di sviluppo che comunicano con i sistemi di produzione. L'uso dei flussi di lavoro integrati in Rilevamento modifiche consente anche di verificare se un evento di modifica in un computer o servizio back-end descrive la causa principale di un evento imprevisto.

Garanzia di migrazione

Usando Mapping dei servizi, è possibile pianificare, accelerare e convalidare in modo efficace le migrazioni di Azure per garantire che non si verifichino interruzioni impreviste e che non si verifichino interruzioni impreviste. È possibile:

  • Individuare tutti i sistemi interdipendenti che devono essere migrati insieme.
  • Valutare la configurazione e la capacità del sistema.
  • Identificare se un sistema in esecuzione sta ancora servendo gli utenti o è un candidato per la rimozione delle autorizzazioni anziché la migrazione.

Al termine dello spostamento, è possibile controllare il carico e l'identità del client per verificare che i sistemi di test e i clienti si connettino. Se la pianificazione della subnet e le definizioni del firewall presentano problemi, le connessioni non riuscite nelle mappe dei servizi indicano ai sistemi che necessitano di connettività.

Continuità aziendale

Se si usa Azure Site Recovery ed è necessaria assistenza per definire la sequenza di ripristino per l'ambiente dell'applicazione, Mapping dei servizi può mostrare automaticamente il modo in cui i sistemi si basano l'uno sull'altro. Queste informazioni consentono di garantire che il piano di ripristino sia affidabile.

Scegliendo un server o un gruppo critico e visualizzandone i client è possibile identificare i sistemi front-end che devono essere ripristinati soltanto dopo aver ripristinato e reso disponibile il server critico. Al contrario, esaminando le dipendenze back-end dei server critici, è possibile identificare i sistemi da ripristinare prima del ripristino dei sistemi di stato attivo.

Gestione delle patch

Mapping dei servizi migliora l'uso della valutazione degli aggiornamenti di sistema mostrando quali altri team e server dipendono dal servizio. In questo modo, è possibile notificarli in anticipo prima di arrestare i sistemi per l'applicazione di patch. Mapping dei servizi migliora anche la gestione delle patch mostrando se i servizi sono disponibili e connessi correttamente dopo l'applicazione di patch e il riavvio.

Panoramica sui mapping

Gli agenti di Mapping dei servizi raccolgono informazioni su tutti i processi connessi a TCP nel server in cui sono installati. Raccolgono anche i dettagli sulle connessioni in ingresso e in uscita per ogni processo.

Dall'elenco del riquadro a sinistra è possibile selezionare i computer o i gruppi con gli agenti di Mapping dei servizi per visualizzare le relative dipendenze in un intervallo di tempo specificato. Le mappe delle dipendenze del computer si concentrano su un computer specifico. Vengono visualizzati tutti i computer che sono client TCP diretti o server di tale computer. Le mappe del gruppo di computer mostrano i set di server e le relative dipendenze.

Screenshot che mostra una panoramica di Mapping dei servizi.

È possibile espandere i computer nella mappa per visualizzare i gruppi di processi e i processi in esecuzione con connessioni di rete attive nell'intervallo di tempo selezionato. Quando si espande un computer remoto con un agente di Mapping dei servizi per visualizzare i dettagli dei processi, vengono visualizzati solo i processi che comunicano con il computer.

Il numero di computer front-end senza agenti che si connettono al computer critico è indicato a sinistra dei processi a cui si connettono. Se il computer attivo effettua una connessione a un computer back-end senza agente, il server back-end viene incluso in un gruppo di porte del server. Questo gruppo include anche altre connessioni allo stesso numero di porta.

Per impostazione predefinita, le mappe in Mapping dei servizi mostrano gli ultimi 30 minuti di informazioni sulle dipendenze. È possibile usare i controlli ora in alto a sinistra per eseguire query sulle mappe per intervalli di tempo cronologici di un massimo di un'ora per visualizzare l'aspetto delle dipendenze nel passato. Ad esempio, è possibile visualizzare l'aspetto durante un evento imprevisto o prima che si verifichi una modifica. I dati di Mapping dei servizi vengono archiviati per 30 giorni nelle aree di lavoro a pagamento e per 7 giorni nelle aree di lavoro gratuite.

Notifiche di stato e colorazione del bordo

Nella parte inferiore di ogni server della mappa, potrebbe essere visualizzato un elenco di notifiche di stato che forniscono informazioni sullo stato del server. Le notifiche indicano che sono presenti informazioni rilevanti per il server da una delle integrazioni della soluzione.

La selezione di una notifica consente di accedere direttamente ai dettagli dello stato nel riquadro destro. Le notifiche di stato attualmente disponibili includono Avvisi, Service Desk, Modifiche, Sicurezza e Aggiornamenti.

In base alla gravità della notifica di stato, i bordi del nodo del computer possono essere colorati di rosso (critico), giallo (avviso) o blu (informativi). Il colore rappresenta lo stato di gravità di una notifica di stato. Un bordo grigio indica un nodo senza indicatori di stato.

Screenshot che mostra le notifiche di stato.

Gruppi di processi

I gruppi di processi combinano processi associati a un prodotto o un servizio comune in un gruppo di processi. Quando un nodo del computer viene espanso, visualizza i processi autonomi insieme ai gruppi di processi. Se una connessione in ingresso o in uscita a un processo all'interno di un gruppo di processi non è riuscita, la connessione viene visualizzata come non riuscita per l'intero gruppo di processi.

Gruppi di computer

I gruppi di computer consentono di visualizzare mappe centrate intorno a un set di server, non solo a uno. In questo modo, è possibile visualizzare tutti i membri di un'applicazione multilivello o di un cluster server in un'unica mappa.

Gli utenti possono selezionare tutti i server che appartengono a un gruppo e scegliere un nome per il gruppo. È quindi possibile scegliere di visualizzare il gruppo con tutti i relativi processi e connessioni. È anche possibile visualizzarlo solo con i processi e le connessioni direttamente correlati agli altri membri del gruppo.

Screenshot che mostra i gruppi di computer.

Creare un gruppo di computer

Per creare un gruppo:

  1. Selezionare il computer o i computer desiderati nell'elenco Computer e selezionare Aggiungi al gruppo.

    Screenshot che mostra la creazione di un gruppo.

  2. Selezionare Crea nuovo e assegnare al gruppo un nome.

    Screenshot che mostra la denominazione di un gruppo.

Nota

I gruppi di computer sono limitati a 10 server.

Visualizzare un gruppo

Dopo aver creato alcuni gruppi, è possibile visualizzarli.

  1. Selezionare la scheda Gruppi .

    Screenshot che mostra la scheda Gruppi.

  2. Selezionare il nome del gruppo per visualizzare la mappa per il gruppo di computer.

    Screenshot che mostra una mappa del gruppo di computer.

    I computer appartenenti al gruppo sono descritti in bianco nella mappa.

  3. Espandere il gruppo per elencare i computer che costituiscono il gruppo di computer.

    Screenshot che mostra i computer del gruppo di computer.

Filtrare in base ai processi

È possibile attivare la visualizzazione mappa per visualizzare tutti i processi e le connessioni nel gruppo o solo quelli direttamente correlati al gruppo di computer. La visualizzazione predefinita mostra tutti i processi.

  1. Selezionare l'icona del filtro sopra la mappa per modificare la visualizzazione.

    Screenshot che mostra il filtro di un gruppo.

  2. Selezionare Tutti i processi per visualizzare la mappa con tutti i processi e le connessioni in ogni computer del gruppo.

    Screenshot che mostra l'opzione Tutti i processi del gruppo di computer.

  3. Per creare una visualizzazione semplificata, modificare la visualizzazione per visualizzare solo processi connessi al gruppo. La mappa viene quindi ridotta per visualizzare solo i processi e le connessioni direttamente connesse ad altri computer nel gruppo.

    Screenshot che mostra i processi filtrati del gruppo di computer.

Aggiungere computer a un gruppo

Per aggiungere computer a un gruppo esistente, selezionare le caselle di controllo accanto ai computer desiderati e selezionare Aggiungi al gruppo. Scegliere quindi il gruppo a cui si desidera aggiungere i computer.

Rimuovere i computer da un gruppo

Nell'elenco Gruppi espandere il nome del gruppo per elencare i computer nel gruppo di computer. Selezionare il menu con i puntini di sospensione accanto al computer da rimuovere e selezionare Rimuovi.

Screenshot che mostra la rimozione di un computer da un gruppo.

Rimuovere o rinominare un gruppo

Selezionare il menu con i puntini di sospensione accanto al nome del gruppo nell'elenco Gruppi .

Screenshot che mostra il menu gruppo di computer.

Icone di ruolo

Alcuni processi servono ruoli specifici nei computer, ad esempio server Web, server applicazioni e database. Mapping dei servizi annota le caselle relative a processi e computer con icone di ruolo, per consentire di identificare rapidamente il ruolo di un processo o un server.

Icona del ruolo Description
Server Web Server Web
Server app Server applicazioni
Server di database Server di database
Server LDAP Server LDAP
Server SMB Server SMB

Screenshot che mostra le icone dei ruoli.

Connessioni non riuscite

Nella mappa dei servizi le connessioni non riuscite vengono visualizzate nelle mappe per i processi e i computer. Una linea rossa tratteggiata indica che un sistema client non riesce a raggiungere un processo o una porta.

Vengono visualizzate le connessioni non riuscite di qualsiasi sistema con un agente di Mapping dei servizi distribuito, a condizione che il sistema corrisponda a quello che esegue la connessione non riuscita. Mapping dei servizi esegue il calcolo di questo processo osservando i socket TCP che non riescono a stabilire una connessione. Questo errore potrebbe essere causato da un firewall, da un errore di configurazione del client o server oppure da un servizio remoto non disponibile.

Screenshot che mostra una parte di una mappa dei servizi che evidenzia una linea rossa tratteggiata che indica una connessione non riuscita tra il processo di backup.pl e la porta 4475.

Le informazioni sulle connessioni non riuscite facilitano la risoluzione dei problemi, la convalida della migrazione, l'analisi di sicurezza e la comprensione dell'intera architettura. Le connessioni non riuscite sono talvolta innocue, ma spesso puntano direttamente a un problema. Un ambiente di failover potrebbe diventare improvvisamente non raggiungibile o due livelli di applicazione potrebbero non essere in grado di parlare dopo una migrazione cloud.

Gruppi di client

I gruppi client sono caselle sulla mappa che rappresentano i computer client che non dispongono di agenti di dipendenza. Un singolo gruppo client rappresenta i client per un singolo processo o computer.

Screenshot che mostra i gruppi client.

Per visualizzare gli indirizzi IP dei server in un gruppo client, selezionare il gruppo. Il contenuto del gruppo verrà elencato nel riquadro Client Group Properties (Proprietà del gruppo di client).

Screenshot che mostra le proprietà del gruppo client.

Gruppi di porte di server

I gruppi di porte del server sono caselle che rappresentano porte server nei server che non dispongono di agenti di dipendenza. La casella contiene la porta del server con il numero di server con connessioni a tale porta. Espandere la casella per visualizzare i singoli server e le connessioni. Se nella casella è presente un solo server, è elencato il nome o l'indirizzo IP.

Screenshot che mostra i gruppi di porte del server.

Menu di scelta rapida

Selezionare i puntini di sospensione (...) nella parte superiore destra di qualsiasi server per visualizzare il menu di scelta rapida per tale server.

Screenshot che mostra la mappa del server di caricamento e mostra le opzioni di Self-Links per un server nella mappa dei servizi.

Caricare la mappa del server

Selezionare Carica mappa server per passare a una nuova mappa con il server selezionato come nuovo computer attivo.

Selezionare Mostra collegamenti automatici per ridisegnare il nodo del server, inclusi i collegamenti self-link , che sono connessioni TCP che iniziano e terminano nei processi all'interno del server. Se vengono visualizzati collegamenti automatici, il comando di menu cambia in Nascondi collegamenti automatici in modo che sia possibile disattivarli.

Riepilogo del computer

Il riquadro di riepilogo del computer include una panoramica del sistema operativo di un server, i conteggi di dipendenza e i dati delle soluzioni. Tali dati includono le metriche delle prestazioni, i ticket del Service Desk, il rilevamento delle modifiche, la sicurezza e gli aggiornamenti.

Screenshot che mostra il riquadro Riepilogo computer.

Proprietà dei computer e dei processi

Quando si sposta una mappa in Mappa dei servizi, è possibile selezionare computer e processi per ottenere un maggiore contesto sulle proprietà. I computer visualizzano informazioni sul nome DNS, gli indirizzi IPv4, la capacità di CPU e di memoria, il tipo di macchina virtuale, la versione del sistema operativo, l'ora dell'ultimo riavvio e gli ID degli agenti OMS e di Mapping dei servizi.

Screenshot che mostra il riquadro Proprietà computer.

È possibile raccogliere i dettagli del processo dai metadati del sistema operativo relativi ai processi in esecuzione. I dettagli includono il nome del processo, la descrizione del processo, il nome utente e il dominio (in Windows), il nome della società, il nome del prodotto, la versione del prodotto, la directory di lavoro, la riga di comando e l'ora di inizio del processo.

Screenshot che mostra il riquadro Proprietà processo.

Il riquadro Riepilogo processi fornisce altre informazioni sulla connettività del processo, incluse le porte associate, le connessioni in ingresso e in uscita e le connessioni in uscita e le connessioni non riuscite.

Screenshot che mostra il riquadro Riepilogo processi.

Integrazione degli avvisi

Gli avvisi Azure integrati in Mapping dei servizi consentono di visualizzare gli avvisi attivati per un determinato server nell'intervallo di tempo selezionato. Se ci sono avvisi correnti, viene visualizzata un'icona per il server e nel riquadro degli avvisi del computer vengono elencati gli avvisi.

Screenshot che mostra il riquadro Avvisi computer.

Per abilitare Mapping dei servizi al fine di visualizzare i relativi avvisi, creare una regola di avviso attivata per un computer specifico. Per creare gli avvisi appropriati:

  • Includere una clausola per raggruppare in base al computer. Un esempio è in base all'intervallo computer di 1 minuto.
  • Scegliere di impostare un avviso in base alle metriche misurate.

Integrazione eventi log

Mapping dei servizi si integra con ricerca di log per visualizzare un conteggio di tutti gli eventi di log disponibili per il server selezionato durante l'intervallo di tempo selezionato. È possibile selezionare qualsiasi riga nell'elenco dei conteggi eventi per passare alla ricerca log e visualizzare i singoli eventi di log.

Screenshot che mostra il riquadro Eventi log computer.

Integrazione di Service Desk

L'integrazione di Mapping dei servizi con il connettore di gestione dei servizi IT è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics. L'integrazione nella mappa dei servizi è etichettata "Service Desk". Per altre informazioni, vedere Gestire centralmente gli elementi di lavoro ITSM usando IT Service Management Connector.

Il riquadro del Service Desk del computer elenca tutti gli eventi di gestione dei servizi IT per il server selezionato nell'intervallo di tempo selezionato. Se ci sono elementi correnti, viene visualizzata un'icona per il server e il riquadro del Service Desk del computer elenca gli elementi.

Screenshot che mostra il riquadro Machine Service Desk.

Per aprire l'elemento nella soluzione ITSM connessa, selezionare Visualizza elemento di lavoro.

Per visualizzare i dettagli dell'elemento nella ricerca log, selezionare Mostra nella ricerca log. Le metriche di connessione vengono scritte in due nuove tabelle in Log Analytics.

Integrazione con Rilevamento modifiche

L'integrazione del rilevamento delle modifiche in Mapping dei servizi è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.

Il riquadro Computer Rilevamento modifiche elenca tutte le modifiche, con il primo più recente, insieme a un collegamento per eseguire il drill-down alla ricerca log per altri dettagli.

Screenshot che mostra il riquadro Rilevamento modifiche computer.

L'immagine seguente è una visualizzazione dettagliata di un evento ConfigurationChange che potrebbe essere visualizzato dopo aver selezionato Mostra in Log Analytics.

Screenshot che mostra l'evento ConfigurationChange.

Integrazione delle prestazioni

Il riquadro relativo alle prestazioni del computer mostra le metriche di prestazioni standard relative al server selezionato. Le metriche includono l'uso della CPU, l'uso della memoria, i byte di rete inviati e ricevuti e un elenco dei processi principali per byte di rete inviati e ricevuti.

Screenshot che mostra il riquadro Prestazioni computer.

Per visualizzare i dati sulle prestazioni, potrebbe essere necessario abilitare i contatori delle prestazioni di Log Analytics appropriati. I contatori che si desidera abilitare:

Windows:

  • Processore(*)\% Tempo processore
  • Byte di memoria\% commit in uso
  • Scheda di rete(*)\Byte inviati/sec
  • Scheda di rete(*)\Byte ricevuti/sec

Linux:

  • Processore(*)\% Tempo processore
  • Memoria(*)\% usata memoria
  • Scheda di rete(*)\Byte inviati/sec
  • Scheda di rete(*)\Byte ricevuti/sec

Integrazione della sicurezza

L'integrazione di sicurezza e controllo in Mapping dei servizi è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.

Il pannello relativo alla sicurezza del computer mostra i dati provenienti dalla soluzione di sicurezza e controllo relativi al server selezionato. Il riquadro elenca un riepilogo dei problemi di sicurezza del server non risolti durante l'intervallo di tempo selezionato. Selezionando uno dei problemi di sicurezza, eseguire il drill-down in una ricerca log per informazioni dettagliate su di essi.

Screenshot che mostra il riquadro Sicurezza computer.

Integrazione degli aggiornamenti

L'integrazione di Mapping dei servizi con Gestione aggiornamenti è automatica quando entrambe le soluzioni sono abilitate e configurate nell'area di lavoro Log Analytics.

Il pannello relativo agli aggiornamenti del computer mostra i dati provenienti dalla soluzione di gestione degli aggiornamenti relativi al server selezionato. Il riquadro elenca un riepilogo degli aggiornamenti mancanti per il server durante l'intervallo di tempo selezionato.

Screenshot che mostra il riquadro Aggiornamenti computer.

Record di Log Analytics

I dati di inventario di computer e processi di Mapping dei servizi sono disponibili per la ricerca in Log Analytics. Questi dati possono essere applicati a diversi scenari, tra cui la pianificazione della migrazione, l'analisi della capacità, l'individuazione e la risoluzione dei problemi di prestazioni on demand.

Ogni ora viene generato un record per ogni computer e processo univoco che si aggiunge ai record generati quando un processo o computer viene avviato o caricato in Mapping dei servizi. I record hanno le proprietà descritte nelle tabelle seguenti.

I campi e i valori nell'ServiceMapComputer_CL eventi mappano ai campi della risorsa Machine nell'API Azure Resource Manager di ServiceMap. I campi e i valori nell'ServiceMapProcess_CL eventi mappano ai campi della risorsa Processo nell'API Azure Resource Manager di ServiceMap. Il campo ResourceName_s corrisponde al campo nome nella risorsa Resource Manager corrispondente.

Nota

Con l'aumentare delle funzionalità di Mapping dei servizi, questi campi sono soggetti a modifica.

È possibile usare proprietà generate internamente per identificare processi e computer univoci:

  • Computer: usare ResourceId o ResourceName_s per identificare in modo univoco un computer all'interno di un'area di lavoro Log Analytics.
  • Processo: usare ResourceId per identificare in modo univoco un processo all'interno di un'area di lavoro Log Analytics. ResourceName_s è univoco nel contesto del computer in cui il processo viene eseguito MachineResourceName_s.

Poiché possono essere presenti vari record per un determinato processo o computer in un intervallo di tempo specificato, le query possono restituire più di un record per lo stesso computer o processo. Per includere solo il record più recente, aggiungere "| dedup ResourceId" alla query.

Connessioni

Le metriche di connessione vengono scritte in una nuova tabella in Log Analytics denominata VMConnection. Questa tabella fornisce informazioni sulle connessioni in ingresso e in uscita per un computer. Le metriche relative alla connessione vengono inoltre esposte con le API che forniscono i mezzi per ottenere una metrica specifica durante un intervallo di tempo.

Le connessioni TCP risultanti dall'accettazione in un socket di ascolto sono in ingresso. Queste connessioni create connettendosi a un indirizzo IP e una porta specificati sono in uscita. La direzione di una connessione è rappresentata dalla Direction proprietà, che può essere impostata su inbound o outbound.

I record in queste tabelle vengono generati dai dati segnalati da Dependency Agent. Ogni record rappresenta un'osservazione in un intervallo di tempo di un minuto. La TimeGenerated proprietà indica l'inizio dell'intervallo di tempo. Ogni record contiene informazioni per identificare la rispettiva entità, ovvero la connessione o la porta e le metriche associate a tale entità. Attualmente viene segnalata solo l'attività di rete che si verifica usando TCP su IPv4.

Per gestire i costi e la complessità, i record di connessione non rappresentano le singole connessioni di rete fisica. Più connessioni di rete fisiche vengono raggruppate in una connessione logica, che viene quindi riflessa nella rispettiva tabella. Quindi i record nella tabella VMConnection rappresentano un raggruppamento logico e non le singole connessioni fisiche osservate.

Le connessioni di rete fisiche che condividono lo stesso valore per gli attributi seguenti durante un determinato intervallo di un minuto vengono aggregate in un singolo record logico in VMConnection.

Proprietà Descrizione
Direction Direzione della connessione. Il valore è in ingresso o in uscita.
Machine FQDN del computer.
Process Identità del processo o dei gruppi di processi che avviano o accettano la connessione.
SourceIp Indirizzo IP dell'origine.
DestinationIp Indirizzo IP della destinazione.
DestinationPort Numero di porta della destinazione.
Protocol Protocollo usato per la connessione. Il valore è tcp.

Per tenere conto dell'impatto del raggruppamento, vengono fornite informazioni sul numero di connessioni fisiche raggruppate nelle proprietà seguenti del record.

Proprietà Descrizione
LinksEstablished Numero di connessioni di rete fisiche stabilite durante l'intervallo di tempo di report.
LinksTerminated Numero di connessioni di rete fisiche terminate durante l'intervallo di tempo di creazione di report.
LinksFailed Numero di connessioni di rete fisiche che hanno avuto esito negativo durante l'intervallo di tempo di creazione del report. Queste informazioni sono attualmente disponibili solo per le connessioni in uscita.
LinksLive Numero di connessioni di rete fisiche aperte alla fine dell'intervallo di tempo di report.

Metriche

Oltre alle metriche del conteggio delle connessioni, le informazioni sul volume di dati inviati e ricevuti in una connessione logica o una porta di rete specifica sono incluse anche nelle proprietà seguenti del record.

Proprietà Descrizione
BytesSent Numero totale di byte inviati durante l'intervallo di tempo per la creazione di report.
BytesReceived Numero totale di byte ricevuti durante l'intervallo di tempo per la creazione di report.
Responses Numero totale di risposte osservate durante l'intervallo di tempo di creazione del report.
ResponseTimeMax Il tempo di risposta più grande in millisecondi osservato durante l'intervallo di tempo per la creazione di report. Se non è presente alcun valore, la proprietà è vuota.
ResponseTimeMin Tempo di risposta più piccolo in millisecondi osservato durante l'intervallo di tempo della segnalazione. Se non è presente alcun valore, la proprietà è vuota.
ResponseTimeSum Somma di tutti i tempi di risposta in millisecondi osservati durante l'intervallo di tempo della segnalazione. Se non è presente alcun valore, la proprietà è vuota

Il terzo tipo di dati segnalati è il tempo di risposta. Quanto tempo impiega un chiamante in attesa dell'elaborazione e della risposta di una richiesta inviata tramite una connessione dall'endpoint remoto?

Il tempo di risposta segnalato è una stima del tempo di risposta effettivo del protocollo dell'applicazione sottostante. Viene calcolato usando l'euristica in base all'osservazione del flusso di dati tra l'origine e la fine di destinazione di una connessione di rete fisica.

Concettualmente, il tempo di risposta è la differenza tra l'ora in cui l'ultimo byte di una richiesta lascia il mittente e l'ora in cui arriva l'ultimo byte della risposta. Questi due timestamp vengono usati per delineare gli eventi di richiesta e risposta in una connessione fisica specifica. La differenza tra di essi rappresenta il tempo di risposta di una singola richiesta.

In questa prima versione di questa funzionalità, l'algoritmo è un'approssimazione che può funzionare con diversi gradi di esito positivo a seconda del protocollo applicazione effettivo usato per una connessione di rete specifica. Ad esempio, l'approccio corrente funziona bene per i protocolli basati su richiesta-risposta, ad esempio HTTP/HTTPS. Questo approccio, tuttavia, non funziona con protocolli unidirezionale o basati su code di messaggi.

Ecco alcuni punti importanti da considerare:

  • Se un processo accetta le connessioni sullo stesso indirizzo IP ma su più interfacce di rete, verrà segnalato un record distinto per ogni interfaccia.
  • I record con IP con caratteri jolly non contengono attività. Sono inclusi per rappresentare il fatto che una porta nel computer è aperta al traffico in ingresso.
  • Per ridurre il livello di dettaglio e il volume di dati, i record con IP con caratteri jolly verranno omessi quando è presente un record corrispondente (per lo stesso processo, porta e protocollo) con un indirizzo IP specifico. Quando viene omesso un record IP con caratteri jolly, la IsWildcardBind proprietà record con l'indirizzo IP specifico verrà impostata su True. Questa impostazione indica che la porta viene esposta su ogni interfaccia del computer di report.
  • Le porte associate solo su un'interfaccia specifica sono IsWildcardBind impostate su False.

Denominazione e classificazione

Per praticità, l'indirizzo IP dell'estremità remota di una connessione è incluso nella RemoteIp proprietà . Per le connessioni in ingresso, RemoteIp è uguale SourceIpa , mentre per le connessioni in uscita è uguale DestinationIpa . La RemoteDnsCanonicalNames proprietà rappresenta i nomi canonici DNS segnalati dal computer per RemoteIp. Le RemoteDnsQuestions proprietà e RemoteClassification sono riservate per l'uso futuro.

Georilevazione

VMConnection include anche informazioni sulla georilevazione per la fine remota di ogni record di connessione nelle proprietà seguenti del record.

Proprietà Descrizione
RemoteCountry Nome del paese o dell'area geografica che ospita RemoteIp. Un esempio è Stati Uniti.
RemoteLatitude Latitudine della georilevazione. Un esempio è 47.68.
RemoteLongitude Longitudine della georilevazione. Un esempio è -122.12.

Indirizzi IP dannosi

Ogni RemoteIp proprietà nella tabella VMConnection viene verificata in base a un set di indirizzi IP con attività dannose note. RemoteIp Se viene identificato come dannoso, le proprietà seguenti verranno popolate (sono vuote quando l'INDIRIZZO IP non è considerato dannoso) nelle proprietà seguenti del record.

Proprietà Descrizione
MaliciousIp Indirizzo RemoteIp .
IndicatorThreadType L'indicatore di minaccia rilevato è uno dei valori seguenti: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA o Watchlist.
Description Descrizione della minaccia osservata.
TLPLevel Il livello TLP (Traffic Light Protocol) è uno dei valori definiti: Bianco, Verde, Ambra, Rosso.
Confidence I valori sono 0 - 100.
Severity I valori sono 0 - 5, dove 5 è il più grave e 0 non è grave. Il valore predefinito è 3.
FirstReportedDateTime La prima volta che il provider ha segnalato l'indicatore.
LastReportedDateTime L'ultima volta in cui l'indicatore è stato visualizzato da Interflow.
IsActive Indica che gli indicatori vengono disattivati con il valore True o False.
ReportReferenceLink Offre collegamenti ai report relativi a un oggetto osservabile specificato.
AdditionalInformation Fornisce altre informazioni, se applicabile, sulla minaccia osservata.

Record ServiceMapComputer_CL

I record che contengono il tipo ServiceMapComputer_CL includono dati di inventario relativi ai server con agenti del modello dei servizi. Questi record includono le proprietà elencate nella tabella seguente.

Proprietà Descrizione
Type ServiceMapComputer_CL
SourceSystem OpsManager
ResourceId Identificatore univoco per il computer nell'area di lavoro
ResourceName_s Identificatore univoco per il computer nell'area di lavoro
ComputerName_s FQDN del computer
Ipv4Addresses_s Un elenco degli indirizzi IPv4 del server
Ipv6Addresses_s Un elenco degli indirizzi IPv6 del server
DnsNames_s Una matrice di nomi DNS
OperatingSystemFamily_s Windows o Linux
OperatingSystemFullName_s Nome completo del sistema operativo
Bitness_s Numero di bit del computer, a 32 bit o a 64 bit
PhysicalMemory_d Memoria fisica in MB
Cpus_d Numero di CPU
CpuSpeed_d Velocità della CPU in MHz
VirtualizationState_s sconosciuto, fisico, virtuale, hypervisor
VirtualMachineType_s hyperv, vmware e così via
VirtualMachineNativeMachineId_g ID della macchina virtuale assegnato dal relativo hypervisor
VirtualMachineName_s Nome della macchina virtuale
BootTime_t Tempo di avvio

Record con tipo ServiceMapProcess_CL

I record con tipo ServiceMapProcess_CL includono dati di inventario relativi ai processi con connessione TCP eseguiti sui server con agenti del modello dei servizi. Questi record includono le proprietà elencate nella tabella seguente.

Proprietà Descrizione
Type ServiceMapProcess_CL
SourceSystem OpsManager
ResourceId Identificatore univoco per il processo nell'area di lavoro
ResourceName_s Identificatore univoco per un processo all'interno del computer in cui è in esecuzione
MachineResourceName_s Nome della risorsa del computer
ExecutableName_s Nome dell'eseguibile del processo
StartTime_t Ora di inizio del pool del processo
FirstPid_d Primo PID nel pool del processo
Description_s Descrizione del processo
CompanyName_s Nome dell'azienda
InternalName_s Nome interno
ProductName_s Nome del prodotto
ProductVersion_s Versione del prodotto
FileVersion_s Versione del file
CommandLine_s Riga di comando
ExecutablePath _s Percorso del file eseguibile
WorkingDirectory_s La directory di lavoro
UserName Account con cui è in esecuzione il processo
UserDomain Dominio in cui è in esecuzione il processo

Ricerche di log di esempio

Questa sezione elenca gli esempi di ricerca dei log.

Visualizzare tutti i computer noti

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Elencare la capacità di memoria fisica di tutti i computer gestiti

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Elencare nome computer, DNS, IP e sistema operativo

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Trovare tutti i processi con "sql" nella riga di comando

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Trovare un computer (record più recente) in base al nome di risorsa

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Trovare un computer, ovvero il record più recente, in base all’indirizzo IP

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Elencare tutti i processi noti su un computer specifico

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Visualizzare tutti i computer che eseguono SQL

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Elencare tutte le versioni di prodotto univoche di curl nel data center

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Creare un gruppo di tutti i computer che eseguono CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s

Riepilogare le connessioni in uscita da un gruppo di computer

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

API REST

Tutti i dati relativi a server, processi e dipendenze in Mapping dei servizi sono disponibili tramite l'API REST di Mapping dei servizi.

Dati di diagnostica e di utilizzo

Microsoft raccoglie automaticamente i dati sull'utilizzo e sulle prestazioni tramite l'uso di Service Map. Microsoft usa questi dati per fornire e migliorare la qualità, la sicurezza e l'integrità della mappa dei servizi.

Per fornire funzionalità di risoluzione dei problemi accurate ed efficienti, i dati includono informazioni sulla configurazione del software. Queste informazioni possono essere il sistema operativo e la versione, l'indirizzo IP, il nome DNS e il nome della workstation. Microsoft non raccoglie nomi, indirizzi o altre informazioni di contatto.

Per altre informazioni sulla raccolta e sull'uso dei dati , vedere l'Informativa sulla privacy Servizi online Microsoft .

Passaggi successivi

Altre informazioni sulle ricerche nei log in Log Analytics per recuperare i dati raccolti da Mapping dei servizi.

Risoluzione dei problemi

Se si verificano problemi di installazione o esecuzione di Mapping dei servizi, questa sezione può essere d'aiuto. Se non è ancora possibile risolvere il problema, contattare supporto tecnico Microsoft.

Problemi di installazione di Dependency Agent

Questa sezione risolve i problemi relativi all'installazione dell'agente di dipendenza.

Il programma di installazione richiede il riavvio

L'agente di dipendenza in genere non richiede un riavvio dopo l'installazione o la rimozione. In alcuni rari casi, Windows Server richiede un riavvio per continuare con un'installazione. Questo problema si verifica quando una dipendenza, in genere la libreria ridistribuibile Microsoft Visual C++, richiede un riavvio a causa di un file bloccato.

Viene visualizzato il messaggio "Non è stato possibile installare Dependency Agent: impossibile installare le librerie di runtime di Visual Studio (codice = [numero_di_codice])"

Microsoft Dependency Agent si basa sulle librerie di runtime di Microsoft Visual Studio. Se si verifica un problema durante l'installazione delle librerie, si riceverà un messaggio.

I programmi di installazione delle librerie di runtime creano log nella cartella %LOCALAPPDATA%\temp. Il file è , dove l'arco è x86 o amd64 e yyymmdhhmmss è dd_vcredist_arch_yyyymmddhhmmss.logla data e l'ora (in base a un orologio di 24 ore) quando il log è stato creato. Il log offre informazioni dettagliate sul problema che impedisce l'installazione.

Potrebbe essere utile per l'utente installare prima la versione più recente delle librerie di runtime.

La tabella seguente elenca i codici e le risoluzioni consigliate.

Codice Descrizione Risoluzione
0x17 Il programma di installazione della libreria richiede un aggiornamento di Windows che non è stato installato. Cercare nel log del programma di installazione della libreria più recente.

Se un riferimento a Windows8.1-KB2999226-x64.msu è seguito da una riga Error 0x80240017: Failed to execute MSU package, che non dispone dei prerequisiti per installare KB2999226. Seguire le istruzioni riportate nella sezione prerequisiti nell'articolo Universal C Runtime in Windows . Potrebbe essere necessario eseguire Windows Update e riavviare più volte per installare i prerequisiti.

Eseguire nuovamente il programma di installazione di Microsoft Dependency Agent.

Problemi successivi all'installazione

Questa sezione risolve i problemi di post-installazione.

Il server non viene visualizzato in Mapping dei servizi

Se l'installazione dell'agente di dipendenza ha avuto esito positivo, ma non viene visualizzato il computer nella soluzione Mappa dei servizi:

  • Dependency Agent è stato installato correttamente? Verificare se il servizio è installato ed in esecuzione.

    • Windows: cercare il servizio denominato agente di dipendenza Microsoft.
    • Linux: cercare il processo in esecuzione microsoft-dependency-agent.

  • Si è nel livello gratuito di Log Analytics? Il piano gratuito consente di avere fino a cinque computer univoci di Mapping dei servizi. Tutti i computer successivi non verranno visualizzati in Mapping dei servizi, anche se i primi cinque non inviano più dati.

  • Il server invia i dati di log e perf ai log di Monitoraggio di Azure? Passare a Monitoraggio di Azure\Log ed eseguire la query seguente per il computer:

    Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType

I risultati mostrano eventi diversi? I dati sono aggiornati? In questo caso, l'agente di Log Analytics funziona correttamente e comunica con l'area di lavoro. In caso contrario, controllare l'agente nel computer. Vedere l'agente di Log Analytics per la risoluzione dei problemi di Windows o l'agente di Log Analytics per la risoluzione dei problemi di Linux.

Il server viene visualizzato in Mapping dei servizi, ma non dispone di alcun processo

Il computer viene visualizzato in Mapping dei servizi, ma non dispone di dati di elaborazione o connessione. Questo comportamento indica che l'agente di dipendenza è installato ed in esecuzione, ma il driver del kernel non è stato caricato.

Verificare C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file la presenza di Windows o /var/opt/microsoft/dependency-agent/log/service.log file linux. Le ultime righe del file dovrebbero indicare il motivo per cui il kernel non è stato caricato. Ad esempio, il kernel potrebbe non essere supportato in Linux se è stato aggiornato.

Suggerimenti

Per inviare commenti su Mapping dei servizi e sulla relativa documentazione, Vedere la pagina Voce utente in cui è possibile suggerire funzionalità o votare suggerimenti esistenti.