Wire Data 2.0-oplossing (preview) in Azure Monitor (buiten gebruik gesteld)
Notitie
De oplossing Wire Data is vervangen door VM-inzichten en servicetoewijzingsoplossing. Beide maken gebruik van de Log Analytics-agent en de afhankelijkheidsagent om netwerkverbindingsgegevens te verzamelen in Azure Monitor.
Ondersteuning voor Wire Data-oplossing eindigt op 31 maart 2022. Tot de buitengebruikstellingsdatum kunnen bestaande klanten die de Wire Data 2.0-oplossing (preview) gebruiken, deze blijven gebruiken.
Nieuwe en bestaande klanten moeten de vm-inzichten of servicetoewijzingsoplossing installeren. De kaartgegevensset die ze verzamelen, is vergelijkbaar met de gegevensset Wire Data 2.0 (preview). VM-inzichten bevat de gegevensset Servicetoewijzing, samen met aanvullende prestatiegegevens en functies voor analyse. Beide aanbiedingen hebben verbindingen met Microsoft Sentinel.
Wire-gegevens zijn geconsolideerde netwerk- en prestatiegegevens die worden verzameld van computers die zijn verbonden met Windows en Met Linux verbonden zijn met de Log Analytics-agent, inclusief die worden bewaakt door Operations Manager in uw omgeving. Netwerkgegevens worden gecombineerd met uw andere logboekgegevens om te helpen bij het correleren van gegevens.
Naast de Log Analytics-agent maakt de Wire Data-oplossing gebruik van Microsoft Dependency Agents die u installeert op computers in uw IT-infrastructuur. Agents voor afhankelijkheden controleren netwerkgegevens die worden verzonden naar en van uw computers voor netwerkniveaus 2-3 in het OSI-model, met inbegrip van de verschillende gebruikte protocollen en poorten. Gegevens worden vervolgens met behulp van agents naar Azure Monitor verzonden.
Migreren naar Azure Monitor VM-inzichten of servicetoewijzing
In veel gevallen zien we dat klanten vaak zowel Wire Data 2.0 (preview) als VM Insights of servicetoewijzingsoplossing al hebben ingeschakeld op dezelfde VM's. Dit betekent dat de vervangende aanbieding is ingeschakeld op uw VM. U kunt de oplossing Wire Data 2.0 (preview) gewoon verwijderen uit uw Log Analytics-werkruimte.
Als u VM's hebt waarop alleen Wire Data 2.0 (preview) is ingeschakeld, kunt u de VM's onboarden naar VM-inzichten of servicetoewijzingsoplossing en vervolgens de oplossing Wire Data 2.0 (preview) verwijderen uit uw Log Analytics-werkruimte.
Uw query's migreren naar de tabel VMConnection vanuit Azure Monitor VM Insights
Agents die gegevens leveren
Wire Data 2.0-query
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
VM-inzichten en servicetoewijzingsquery
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
IP-adressen van de agents die gegevens leveren
Wire Data 2.0-query
WireData
| summarize AggregatedValue = count() by LocalIP
VM-inzichten en servicetoewijzingsquery
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
Alle uitgaande communicatie per extern IP-adres
Wire Data 2.0-query
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
VM-inzichten en servicetoewijzingsquery
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
Bytes ontvangen door protocolnaam
Wire Data 2.0-query
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
VM-inzichten en servicetoewijzingsquery
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
Hoeveelheid netwerkverkeer (in bytes) per proces
Wire Data 2.0-query
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
VM-inzichten en servicetoewijzingsquery
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
Meer voorbeelden van query's
Raadpleeg de zoekdocumentatie voor VM Insights-logboeken en de documentatie over VM Insights-waarschuwingen voor aanvullende voorbeeldquery's.
Wire Data 2.0-oplossing verwijderen
Als u Wire Data 2.0 wilt verwijderen, hoeft u alleen de oplossing uit uw Log Analytics-werkruimte(s) te verwijderen. Dit resulteert in het volgende:
- Het Wire Gegevensbeheer-pakket wordt verwijderd uit de VM's die zijn verbonden met de werkruimte.
- Het gegevenstype Wire Data wordt niet meer weergegeven in uw werkruimte
Volg deze instructies om de wire data-oplossing te verwijderen.
Notitie
Als u de oplossing Servicetoewijzing of VM Insights in uw werkruimte hebt, wordt het management pack niet verwijderd, omdat deze oplossingen ook gebruikmaken van dit management pack.
Wire Data 2.0 Management packs
Wanneer Wire Data wordt geactiveerd in een Log Analytics-werkruimte, wordt een management pack van 300 kB verzonden naar alle Windows-servers in die werkruimte. Als u System Center Operations Manager-agents in een verbonden beheergroep gebruikt, wordt het management pack Afhankelijkheidsmonitor geïmplementeerd vanuit System Center Operations Manager. Als de agents rechtstreeks zijn verbonden, levert Azure Monitor het management pack.
De naam van het management pack is Microsoft.IntelligencePacks.ApplicationDependencyMonitor. Het management pack wordt geschreven naar: %Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. De gegevensbron waarvan het management pack gebruikmaakt is: %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<AutoGeneratedID>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.
De agent voor afhankelijkheden verwijderen
Notitie
Als u Wire Data wilt vervangen door Servicetoewijzing of VM-inzichten, moet u de Agent voor afhankelijkheden niet verwijderen.
Gebruik de volgende secties om de agent voor afhankelijkheden te verwijderen.
De agent voor afhankelijkheden verwijderen in Windows
Een beheerder kan de afhankelijkheidsagent voor Windows verwijderen via Configuratiescherm.
Een beheerder kan ook %Programfiles%\Microsoft Dependency Agent\Uninstall.exe uitvoeren om de dependency-agent te verwijderen.
De afhankelijkheidsagent verwijderen in Linux
Als u de agent voor afhankelijkheden volledig van Linux wilt verwijderen, moet u de agent zelf en de connector verwijderen, die automatisch met de agent worden geïnstalleerd. U kunt beide verwijderen met behulp van de volgende opdracht:
rpm -e dependency-agent dependency-agent-connector
De oplossing Wire Data 2.0 gebruiken
Op de pagina Overzicht voor uw Log Analytics-werkruimte in de Azure Portal klikt u op de tegel Wire Data 2.0 om het dashboard van Wire Data te openen. Het dashboard bevat de secties in de volgende tabel. Elke sectie bevat maximaal 10 items die overeenkomen met de criteria van die sectie voor het opgegeven bereik en tijdsbereik. U kunt een zoekopdracht in logboeken uitvoeren die alle records retourneert door te klikken op Alles weergeven onderaan de sectie of door op de sectiekop te klikken.
Sectie | Beschrijving |
---|---|
Agents waarmee het netwerkverkeer wordt vastgelegd | Toont het aantal agents dat netwerkverkeer vastlegt en geeft de eerste 10 computers weer die het meeste verkeer vastleggen. Klik op het nummer om zoeken in logboeken uit te voeren voor WireData | summarize sum(TotalBytes) by Computer | take 500000 . Klik op een computer in de lijst om zoeken in logboeken uit te voeren waarmee het totale aantal vastgelegde bytes wordt geretourneerd. |
Lokale subnetten | Toont het aantal lokale subnetten dat door agents is gedetecteerd. Klik op het nummer om zoeken in logboeken uit te voeren voor WireData | summarize sum(TotalBytes) by LocalSubnet , waarmee alle subnetten worden weergegeven met het aantal bytes dat via elk daarvan is verzonden. Klik op een subnet in de lijst om zoeken in logboeken uit te voeren waarmee het totale aantal via het subnet verzonden bytes wordt geretourneerd. |
Protocollen op toepassingsniveau | Toont het aantal protocollen op toepassingsniveau in gebruik, zoals gedetecteerd door agents. Klik op het nummer om zoeken in logboeken uit te voeren voor WireData | summarize sum(TotalBytes) by ApplicationProtocol . Klik op een protocol om zoeken in logboeken uit te voeren waarmee het totale aantal met het protocol verzonden bytes wordt geretourneerd. |
U kunt de sectie Agents die netwerkverkeer vastleggen gebruiken om te bepalen hoeveel netwerkbandbreedte wordt gebruikt door computers. In deze sectie kunt u eenvoudig de spraakmakende computer in uw omgeving vinden. Deze computers kunnen overbelast zijn, zich abnormaal gedragen of meer netwerkbronnen dan normaal gebruiken.
Op dezelfde manier kunt u de sectie Lokale subnetten gebruiken om te bepalen hoeveel netwerkverkeer door uw subnetten wordt verplaatst. Gebruikers definiëren vaak subnetten rondom essentiële gebieden voor hun toepassingen. Deze sectie biedt een overzicht van deze gebieden.
De sectie Protocollen op toepassingsniveau is handig omdat het handig is om te weten welke protocollen worden gebruikt. U verwacht bijvoorbeeld dat SSH niet in uw netwerkomgeving wordt gebruikt. Als u de informatie weergeeft die beschikbaar is in de sectie, kunt u uw verwachting snel bevestigen of weerleggen.
Het is ook handig om te weten als protocolverkeer gedurende een bepaalde periode toe- of afneemt. Als bijvoorbeeld de hoeveelheid gegevens die wordt verzonden door een toepassing toeneemt, is dat misschien iets waarmee u rekening wilt houden.
Invoergegevens
Wire Data verzamelt metagegevens over netwerkverkeer met behulp van de agents die u hebt ingeschakeld. Elke agent verzendt ongeveer elke 15 seconden gegevens.
Uitvoergegevens
Een record met het type WireData is gemaakt voor elk type invoergegevens. WireData-records hebben eigenschappen die worden weergegeven in de volgende tabel:
Eigenschap | Beschrijving |
---|---|
Computer | De naam van de computer waar gegevens zijn verzameld |
TimeGenerated | Tijd van de record |
LocalIP | IP-adres van de lokale computer |
SessionState | Verbonden of verbroken |
ReceivedBytes | Hoeveelheid ontvangen bytes |
ProtocolName | Naam van het gebruikte netwerkprotocol |
IPVersion | IP-versie |
Richting | Binnenkomend of uitgaand |
MaliciousIP | IP-adres van een bekende schadelijke bron |
Ernst | Ernst van mogelijke malware |
RemoteIPCountry | Land/regio van het externe IP-adres |
ManagementGroupName | Naam van de Operations Manager-beheergroep |
SourceSystem | Bron waar gegevens zijn verzameld |
SessionStartTime | Starttijd van de sessie |
SessionEndTime | Eindtijd van de sessie |
LocalSubnet | Subnet waar gegevens zijn verzameld |
LocalPortNumber | Nummer van de lokale poort |
RemoteIP | Extern IP-adres gebruikt door de externe computer |
RemotePortNumber | Poortnummer gebruikt door het externe IP-adres |
SessionID | Een unieke waarde die de communicatiesessie tussen twee IP-adressen aangeeft |
SentBytes | Aantal verzonden bytes |
TotalBytes | Totaal aantal bytes dat tijdens de sessie is verzonden |
ApplicationProtocol | Type van het gebruikte netwerkprotocol |
ProcessID | Windows-proces-id |
ProcessName | Pad en bestandsnaam van het proces |
RemoteIPLongitude | Waarde IP-lengtegraad |
RemoteIPLatitude | Waarde IP-breedtegraad |
Volgende stappen
- Zie VM-inzichten implementeren voor vereisten en methoden voor het inschakelen van bewaking voor uw virtuele machines.
- Zoeken in een logboek om gedetailleerde zoekrecords van Wire Data te bekijken.