Servicetoewijzing gebruiken in Azure
Serviceoverzicht ontdekt automatisch toepassingsonderdelen op Windows- en Linux-systemen en wijst de communicatie tussen services toe. Met Servicetoewijzing kunt u uw servers weergeven op de manier zoals u ze ziet: als onderling verbonden systemen die essentiële services leveren. Servicetoewijzing toont verbindingen tussen servers, processen, latentie van binnenkomende en uitgaande verbindingen en poorten voor elke via TCP verbonden architectuur. Na installatie van een agent is er geen verdere configuratie vereist.
In dit artikel worden de details van onboarding en het gebruik van Servicetoewijzing. De vereisten van de oplossing zijn als volgt:
Een Log Analytics-werkruimte in een ondersteunde regio.
De Log Analytics-agent die is geïnstalleerd op Windows computer of Linux-server die is verbonden met dezelfde werkruimte als waarmee u de oplossing hebt ingeschakeld.
De afhankelijkheidsagent die is geïnstalleerd op Windows computer of Linux-server.
Notitie
Als u al een Servicetoewijzing hebt geïmplementeerd, kunt u uw kaarten nu ook weergeven in VM-inzichten, waaronder aanvullende functies voor het bewaken van de VM-status en -prestaties. Zie Overzicht van VM-inzichten voor meer informatie. Zie de volgende veelgestelde vragenvoor meer Servicetoewijzing de verschillen tussen de oplossing Servicetoewijzing VM insights Map.
Aanmelden bij Azure
Meld u aan bij de Azure Portal op https://portal.azure.com.
Servicetoewijzing
- Schakel de Servicetoewijzing in vanuit de Azure Marketplace of met behulp van het proces dat wordt beschreven in Bewakingsoplossingen toevoegen vanuit de Oplossingengalerie.
- Installeer de afhankelijkheidsagent op Windows of installeer de afhankelijkheidsagent op Linux op elke computer waarop u gegevens wilt op halen. De agent voor afhankelijkheden kan verbindingen met computers in de directe nabijheid controleren, zodat er wellicht geen agent op elke computer nodig is.
U gaat Servicetoewijzing in de Azure Portal vanuit uw Log Analytics-werkruimte en selecteert de optie Oplossingen in het linkerdeelvenster.
.
Selecteer ServiceMap(workspaceName) in de lijst met oplossingen en klik op de overzichtspagina van Servicetoewijzing oplossing op de Servicetoewijzing overzichtstegel.
.
Use cases: De afhankelijkheid van uw IT-processen bewust maken
Detectie
Servicetoewijzing maakt automatisch een algemeen referentiekaart van afhankelijkheden op uw servers, processen en services van derden. Het detecteert en wijs alle TCP-afhankelijkheden, identificeert verrassingsverbindingen, externe systemen van derden die u nodig hebt en afhankelijkheden aan traditionele donkere gebieden van uw netwerk, zoals Active Directory. Servicetoewijzing detecteert mislukte netwerkverbindingen die uw beheerde systemen proberen te maken, zodat u potentiële onjuiste serverconfiguraties, service-uitval en netwerkproblemen kunt identificeren.
Incidentbeheer
Servicetoewijzing voorkomt u het gissen van probleemisolatie door u te laten zien hoe systemen zijn verbonden en elkaar beïnvloeden. Naast het identificeren van mislukte verbindingen, helpt het bij het identificeren van onjuist geconfigureerde load balancers, het verrassend of overmatig belasten van kritieke services en rogue clients, zoals ontwikkelmachines die met productiesystemen praten. Door geïntegreerde werkstromen met Wijzigingen bijhouden, kunt u ook zien of een wijzigingsgebeurtenis op een back-endmachine of -service de hoofdoorzaak van een incident verklaart.
Migratiegarantie
Met behulp Servicetoewijzing kunt u Azure-migraties effectief plannen, versnellen en valideren, zodat er niets achterblijft en er geen uitval optreedt. U kunt alle onderling afhankelijke systemen ontdekken die samen moeten worden gemigreerd, de systeemconfiguratie en -capaciteit moeten evalueren en bepalen of een actief systeem nog steeds gebruikers bedienen of een kandidaat is voor buitengebruikstelling in plaats van migratie. Nadat de overstap is voltooid, kunt u controleren op de belasting en identiteit van de client om te controleren of testsystemen en klanten verbinding maken. Als uw subnetplanning en firewalldefinities problemen hebben, wijzen mislukte verbindingen in Servicetoewijzing u naar de systemen die verbinding nodig hebben.
Bedrijfscontinuïteit
Als u Azure Site Recovery gebruikt en hulp nodig hebt bij het definiëren van de herstelvolgorde voor uw toepassingsomgeving, kan Servicetoewijzing u automatisch laten zien hoe systemen van elkaar afhankelijk zijn om ervoor te zorgen dat uw herstelplan betrouwbaar is. Door een kritieke server of groep te kiezen en de clients ervan weer te geven, kunt u bepalen welke front-endsystemen moeten worden hersteld nadat de server is hersteld en beschikbaar is. Als u daarentegen naar de back-endafhankelijkheden van kritieke servers kijkt, kunt u bepalen welke systemen moeten worden hersteld voordat uw focussystemen worden hersteld.
Patchbeheer
Servicetoewijzing verbetert uw gebruik van de evaluatie van systeemupdates door u te laten zien welke andere teams en servers afhankelijk zijn van uw service, zodat u ze vooraf op de hoogte kunt stellen voordat u uw systemen voor patching in gebruik neemt. Servicetoewijzing verbetert ook het patchbeheer door te laten zien of uw services beschikbaar zijn en goed zijn verbonden nadat ze zijn gepatcht en opnieuw zijn opgestart.
Overzicht van toewijzingen
Servicetoewijzing agents verzamelen informatie over alle met TCP verbonden processen op de server waarop ze zijn geïnstalleerd en details over de binnenkomende en uitgaande verbindingen voor elk proces.
In de lijst in het linkerdeelvenster kunt u machines of groepen met Servicetoewijzing selecteren om hun afhankelijkheden gedurende een opgegeven tijdsbereik te visualiseren. Machineafhankelijkheidskaarten richten zich op een specifieke machine en ze tonen alle machines die directe TCP-clients of -servers van die machine zijn. Machinegroepskaarten tonen sets servers en hun afhankelijkheden.
Machines kunnen worden uitgebreid in de kaart om de actieve procesgroepen en processen met actieve netwerkverbindingen weer te geven tijdens het geselecteerde tijdsbereik. Wanneer een externe machine met een Servicetoewijzing agent wordt uitgebreid om procesdetails weer te geven, worden alleen de processen weergegeven die communiceren met de focusmachine. Het aantal front-endmachines zonder agent dat verbinding maakt met de focusmachine wordt aangegeven aan de linkerkant van de processen die ze verbinden. Als de focusmachine verbinding maakt met een back-endmachine zonder agent, wordt de back-endserver opgenomen in een serverpoortgroep, samen met andere verbindingen met hetzelfde poortnummer.
Standaard worden in Servicetoewijzing de afgelopen 30 minuten aan afhankelijkheidsgegevens weergegeven. Met behulp van de tijdsbesturingselementen in de linkerbovenhoek kunt u een query uitvoeren op kaarten voor historische tijdsbereiken van maximaal één uur om te laten zien hoe afhankelijkheden er in het verleden uitzagen (bijvoorbeeld tijdens een incident of vóór een wijziging). Servicetoewijzing gegevens worden 30 dagen opgeslagen in betaalde werkruimten en 7 dagen in gratis werkruimten.
Statusbadges en randkleuren
Onderaan elke server op de kaart staat een lijst met statusbadges die statusinformatie over de server bevatten. De badges geven aan dat er relevante informatie is voor de server van een van de oplossingsintegraties. Als u op een badge klikt, gaat u rechtstreeks naar de details van de status in het rechterdeelvenster. De momenteel beschikbare statusbadges zijn waarschuwingen, Service Desk, wijzigingen, beveiliging en updates.
Afhankelijk van de ernst van de statusbadges kunnen de randen van het machine-knooppunt rood (kritiek), geel (waarschuwing) of blauw (informatief) zijn. De kleur vertegenwoordigt de ernstigste status van een van de statusbadges. Een grijze rand geeft aan dat een knooppunt geen statusindicatoren heeft.
Procesgroepen
Procesgroepen combineren processen die zijn gekoppeld aan een gemeenschappelijk product of service in een procesgroep. Wanneer een machine-knooppunt wordt uitgebreid, worden zelfstandige processen samen met procesgroepen weergegeven. Als binnenkomende en uitgaande verbindingen met een proces binnen een procesgroep zijn mislukt, wordt de verbinding weergegeven als mislukt voor de hele procesgroep.
Machinegroepen
Met Machinegroepen kunt u kaarten bekijken die zijn gecentreerd rond een set servers, niet slechts één, zodat u alle leden van een toepassing met meerdere lagen of een servercluster op één kaart kunt zien.
Gebruikers selecteren welke servers bij elkaar horen in een groep en kiezen een naam voor de groep. Vervolgens kunt u ervoor kiezen om de groep met alle processen en verbindingen te bekijken of deze alleen te bekijken met de processen en verbindingen die rechtstreeks zijn gerelateerd aan de andere leden van de groep.
Een machinegroep maken
Als u een groep wilt maken, selecteert u de machine of machines die u wilt in de lijst Machines en klikt u op Toevoegen aan groep.
Daar kunt u Nieuwe maken kiezen en de groep een naam geven.
Notitie
Machinegroepen zijn beperkt tot 10 servers.
Een groep weergeven
Nadat u een aantal groepen hebt gemaakt, kunt u deze weergeven door het tabblad Groepen te kiezen.
Selecteer vervolgens de groepsnaam om de kaart voor die machinegroep weer te geven.
De machines die deel uitmaken van de groep worden wit weergegeven op de kaart.
Als u groep uitbreidt, worden de machines weergegeven waar de machinegroep uit bestaat.
Filteren op processen
U kunt de kaartweergave schakelen tussen het weergeven van alle processen en verbindingen in de groep en alleen de processen die rechtstreeks verband houden met de machinegroep. De standaardweergave is om alle processen weer te geven. U kunt de weergave wijzigen door op het filterpictogram boven de kaart te klikken.
Wanneer Alle processen is geselecteerd, bevat de kaart alle processen en verbindingen op elk van de machines in de groep.
Als u de weergave wijzigt zodat alleen met groepen verbonden processen worden weergegeven, wordt de kaart beperkt tot alleen de processen en verbindingen die rechtstreeks zijn verbonden met andere computers in de groep, waardoor een vereenvoudigde weergave wordt gemaakt.
Machines toevoegen aan een groep
Als u machines wilt toevoegen aan een bestaande groep, selecteert u de selectievakjes naast de machines die u wilt en klikt u vervolgens op Toevoegen aan groep. Kies vervolgens de groep waar u de machines aan wilt toevoegen.
Machines uit een groep verwijderen
Vouw in de lijst Groepen de groepsnaam uit om de machines in de machinegroep weer te geven. Klik vervolgens op het beletseltekenmenu naast de machine die u wilt verwijderen en kies Verwijderen.
Een groep verwijderen of een andere naam wijzigen
Klik op het beletseltekenmenu naast de groepsnaam in de lijst Groep.
Rolpictogrammen
Bepaalde processen dienen bepaalde rollen op computers: webservers, toepassingsservers, database, en meer. Servicetoewijzing proces- en machinevakken met rolpictogrammen om in één oogopslag te identificeren welke rol een proces of server speelt.
| Rolpictogram | Description |
|---|---|
 |
Webserver |
 |
Toepassingsserver |
 |
Databaseserver |
 |
LDAP-server |
 |
SMB-server |
Mislukte verbindingen
Mislukte verbindingen worden weergegeven in Servicetoewijzing voor processen en computers, met een rode stippellijn die aangeeft dat een clientsysteem een proces of poort niet kan bereiken. Mislukte verbindingen worden gerapporteerd vanuit elk systeem met een geïmplementeerde Servicetoewijzing agent als dat systeem het systeem is dat de mislukte verbinding probeert te maken. Servicetoewijzing meet dit proces door TCP-sockets te observeren die geen verbinding kunnen maken. Deze fout kan het gevolg zijn van een firewall, een onjuiste configuratie in de client of server of een externe service die niet beschikbaar is.
Inzicht in mislukte verbindingen kan helpen bij het oplossen van problemen, migratievalidatie, beveiligingsanalyse en algemene kennis van de architectuur. Mislukte verbindingen zijn soms onschadelijk, maar ze wijzen vaak rechtstreeks naar een probleem, zoals een failoveromgeving die plotseling onbereikbaar wordt of twee toepassingslagen die niet kunnen praten na een cloudmigratie.
Clientgroepen
Clientgroepen zijn vakken op de kaart die clientmachines vertegenwoordigen die geen dependency agents hebben. Eén clientgroep vertegenwoordigt de clients voor een afzonderlijk proces of computer.
Als u de IP-adressen van de servers in een clientgroep wilt zien, selecteert u de groep. De inhoud van de groep wordt weergegeven in het deelvenster Eigenschappen van clientgroep.
Serverpoortgroepen
Serverpoortgroepen zijn vakken die serverpoorten vertegenwoordigen op servers die geen afhankelijkheidsagents hebben. Het vak bevat de serverpoort en een telling van het aantal servers met verbindingen met die poort. Vouw het vak uit om de afzonderlijke servers en verbindingen te zien. Als er slechts één server in het vak staat, wordt de naam of het IP-adres vermeld.
Contextmenu
Als u op het beletselteken (...) rechtsboven van een server klikt, wordt het contextmenu voor die server weergegeven.
Serverkaart laden
Als u op Serverkaart laden klikt, gaat u naar een nieuwe kaart met de geselecteerde server als de nieuwe focusmachine.
Zelfkoppelingen tonen
Als u op Zelfkoppelingen tonen klikt, wordt het server-knooppunt opnieuw getekend, inclusief eventuele zelfkoppelingen. Dit zijn TCP-verbindingen die processen binnen de server starten en beëindigen. Als er zelfkoppelingen worden weergegeven, verandert de menuopdracht in Zelfkoppelingen verbergen, zodat u ze kunt uitschakelen.
Computeroverzicht
Het deelvenster Computeroverzicht bevat een overzicht van het besturingssysteem van een server, het aantal afhankelijkheden en de gegevens van andere oplossingen. Dergelijke gegevens omvatten metrische gegevens over prestaties, servicedesktickets, wijzigingen bijhouden, beveiliging en updates.
Computer- en proceseigenschappen
Wanneer u door een Servicetoewijzing navigeert, kunt u machines en processen selecteren om meer context te krijgen over hun eigenschappen. Machines bieden informatie over DNS-naam, IPv4-adressen, CPU en geheugencapaciteit, VM-type, besturingssysteem en versie, laatste keer opnieuw opstarten en de ID's van hun OMS- en Servicetoewijzing agents.
U kunt procesdetails verzamelen van metagegevens van het besturingssysteem over het uitvoeren van processen, waaronder procesnaam, procesbeschrijving, gebruikersnaam en domein (op Windows), bedrijfsnaam, productnaam, productversie, werkmap, opdrachtregel en begintijd van het proces.
Het deelvenster Procesoverzicht bevat aanvullende informatie over de connectiviteit van het proces, waaronder de gebonden poorten, binnenkomende en uitgaande verbindingen en mislukte verbindingen.
Integratie van waarschuwingen
Servicetoewijzing kan worden geïntegreerd met Azure-waarschuwingen om de waarschuwingen voor de geselecteerde server in het geselecteerde tijdsbereik weer te geven. De server geeft een pictogram weer als er huidige waarschuwingen zijn en in het deelvenster Machinewaarschuwingen worden de waarschuwingen weergegeven.
Als u Servicetoewijzing relevante waarschuwingen wilt weergeven, maakt u een waarschuwingsregel die wordt ingeschakeld voor een specifieke computer. De juiste waarschuwingen maken:
- Neem een -component op om te groepen op computer (bijvoorbeeld op Computerinterval 1 minuut).
- Kies ervoor om een waarschuwing te ontvangen op basis van metrische meting.
Integratie van logboekgebeurtenissen
Servicetoewijzing kan worden geïntegreerd met Zoeken in logboeken om een telling weer te geven van alle beschikbare logboekgebeurtenissen voor de geselecteerde server tijdens het geselecteerde tijdsbereik. U kunt op een rij in de lijst met gebeurtenistellingen klikken om naar Zoeken in logboeken te gaan en de afzonderlijke logboekgebeurtenissen te bekijken.
Service Desk integratie
Servicetoewijzing integratie met de IT Service Management-connector is automatisch wanneer beide oplossingen zijn ingeschakeld en geconfigureerd in uw Log Analytics-werkruimte. De integratie in Servicetoewijzing is gelabeld als 'Service Desk'. Zie ITSM-werkitems centraal beherenmet behulp van IT Service Management-connector voor IT Service Management-connector.
Het deelvenster Machine Service Desk bevat alle IT Service Management-gebeurtenissen voor de geselecteerde server in het geselecteerde tijdsbereik. De server geeft een pictogram weer als er huidige items zijn en in het deelvenster Machine Service Desk weergegeven.
Als u het item in de verbonden ITSM-oplossing wilt openen, klikt u op Werkitem weergeven.
Als u de details van het item in Zoeken in logboeken wilt weergeven, klikt u op Weergeven in Zoeken in logboeken. Metrische verbindingsgegevens worden geschreven naar twee nieuwe tabellen in Log Analytics
Wijzigingen bijhouden integratie
Servicetoewijzing integratie met Wijzigingen bijhouden is automatisch wanneer beide oplossingen zijn ingeschakeld en geconfigureerd in uw Log Analytics-werkruimte.
Het deelvenster Machine Wijzigingen bijhouden bevat alle wijzigingen, met de meest recente eerst, samen met een koppeling om in te zoomen op Zoeken in logboeken voor meer informatie.
De volgende afbeelding is een gedetailleerde weergave van een ConfigurationChange-gebeurtenis die u kunt zien nadat u Weergeven in Log Analytics hebt geselecteerd.
Integratie van prestaties
In het deelvenster Machineprestaties worden standaard metrische prestatiegegevens voor de geselecteerde server weergegeven. De metrische gegevens omvatten CPU-gebruik, geheugengebruik, verzonden en ontvangen netwerk bytes, en een lijst met de belangrijkste processen per verzonden en ontvangen netwerk bytes.
Als u prestatiegegevens wilt bekijken, moet u mogelijk de juiste Log Analytics-prestatiemeters inschakelen. De tellers die u wilt inschakelen:
Windows:
- Processor(*) \ % processortijd
- Geheugengebruik \ in procenten van in gebruik vastgelegde bytes
- Verzonden \ bytes netwerkadapter(*) per seconde
- Ontvangen \ bytes netwerkadapter(*) per seconde
Linux:
- Processor(*) \ % processortijd
- Geheugen(*) \ % gebruikt geheugen
- Verzonden \ bytes netwerkadapter(*) per seconde
- Ontvangen \ bytes netwerkadapter(*) per seconde
Als u de netwerkprestatiegegevens wilt op halen, moet u ook de Wire Data 2.0 in uw werkruimte hebben ingeschakeld.
Beveiligingsintegratie
Servicetoewijzing integratie met Beveiliging en audit is automatisch wanneer beide oplossingen zijn ingeschakeld en geconfigureerd in uw Log Analytics-werkruimte.
In het deelvenster Machinebeveiliging worden gegevens van de Beveiliging en audit oplossing voor de geselecteerde server weergegeven. Het deelvenster bevat een overzicht van eventuele openstaande beveiligingsproblemen voor de server tijdens het geselecteerde tijdsbereik. Als u op een van de beveiligingsproblemen klikt, zoomt u in op Zoeken in logboeken voor meer informatie over deze problemen.
Integratie van updates
Servicetoewijzing integratie met Updatebeheer is automatisch wanneer beide oplossingen zijn ingeschakeld en geconfigureerd in uw Log Analytics-werkruimte.
In het deelvenster Computerupdates worden gegevens van de Updatebeheer oplossing voor de geselecteerde server weergegeven. Het deelvenster bevat een overzicht van ontbrekende updates voor de server tijdens het geselecteerde tijdsbereik.
Log Analytics-records
Servicetoewijzing computer en procesinventarisgegevens zijn beschikbaar voor zoeken in Log Analytics. U kunt deze gegevens toepassen op scenario's met migratieplanning, capaciteitsanalyse, detectie en probleemoplossing voor prestaties op aanvraag.
Er wordt één record per uur gegenereerd voor elke unieke computer en elk proces, naast de records die worden gegenereerd wanneer een proces of computer wordt gestart of in gebruik wordt Servicetoewijzing. Deze records hebben de eigenschappen in de volgende tabellen. De velden en waarden in de ServiceMapComputer_CL gebeurtenissen worden aan de velden van de machineresource in de ServiceMap Azure Resource Manager-API. De velden en waarden in de ServiceMapProcess_CL gebeurtenissen worden aan de velden van de resource Proces in de ServiceMap Azure Resource Manager API. Het ResourceName_s veld komt overeen met het naamveld in de Resource Manager resource.
Notitie
Naarmate Servicetoewijzing groter worden, kunnen deze velden worden gewijzigd.
Er zijn intern gegenereerde eigenschappen die u kunt gebruiken om unieke processen en computers te identificeren:
- Computer: gebruik ResourceId of ResourceName_s om een computer binnen een Log Analytics-werkruimte uniek te identificeren.
- Proces: Gebruik ResourceId om een proces binnen een Log Analytics-werkruimte uniek te identificeren. ResourceName_s is uniek binnen de context van de machine waarop het proces wordt uitgevoerd (MachineResourceName_s)
Omdat er meerdere records kunnen bestaan voor een opgegeven proces en computer binnen een opgegeven tijdsbereik, kunnen query's meer dan één record voor dezelfde computer of hetzelfde proces retourneren. Als u alleen de meest recente record wilt opnemen, voegt u '| dedup ResourceId' in de query.
Verbindingen
Metrische verbindingsgegevens worden geschreven naar een nieuwe tabel in Log Analytics - VMConnection. Deze tabel bevat informatie over de verbindingen voor een machine (binnenkomende en uitgaande). Metrische verbindingsgegevens worden ook weergegeven met API's die de middelen bieden om een specifieke metrische gegevens te verkrijgen tijdens een tijdvenster. TCP-verbindingen die het gevolg zijn van accepteren op een luisterende socket zijn inkomende, terwijl de verbindingen die zijn gemaakt door verbinding te maken met een bepaald IP-adres en poort uitgaand zijn. De richting van een verbinding wordt vertegenwoordigd door de eigenschap Direction, die kan worden ingesteld op inkomende of uitgaande.
Records in deze tabellen worden gegenereerd op basis van gegevens die zijn gerapporteerd door de afhankelijkheidsagent. Elke record vertegenwoordigt een observatie gedurende een tijdsinterval van één minuut. De eigenschap TimeGenerated geeft het begin van het tijdsinterval aan. Elke record bevat informatie om de respectieve entiteit te identificeren, dat wil zeggen verbinding of poort, evenals metrische gegevens die aan die entiteit zijn gekoppeld. Op dit moment wordt alleen netwerkactiviteit gerapporteerd die TCP via IPv4 gebruikt.
Voor het beheren van kosten en complexiteit vertegenwoordigen verbindingsrecords geen afzonderlijke fysieke netwerkverbindingen. Meerdere fysieke netwerkverbindingen worden gegroepeerd in een logische verbinding, die vervolgens wordt weergegeven in de respectieve tabel. Records in de tabel VMConnection vertegenwoordigen een logische groepering en niet de afzonderlijke fysieke verbindingen die worden waargenomen. Fysieke netwerkverbindingen die dezelfde waarde delen voor de volgende kenmerken gedurende een bepaald interval van één minuut, worden geaggregeerd in één logische record in VMConnection.
| Eigenschap | Beschrijving |
|---|---|
Direction |
Richting van de verbinding, waarde is binnenkomende of uitgaande |
Machine |
De FQDN van de computer |
Process |
Identiteit van proces of groepen processen, initiëren/accepteren van de verbinding |
SourceIp |
IP-adres van de bron |
DestinationIp |
IP-adres van het doel |
DestinationPort |
Poortnummer van de bestemming |
Protocol |
Protocol dat wordt gebruikt voor de verbinding. Waarden is tcp. |
Om rekening te houden met de impact van groepering, wordt informatie over het aantal gegroepeerde fysieke verbindingen opgegeven in de volgende eigenschappen van de record:
| Eigenschap | Beschrijving |
|---|---|
LinksEstablished |
Het aantal fysieke netwerkverbindingen dat is ingesteld tijdens het rapportagetijdvenster |
LinksTerminated |
Het aantal fysieke netwerkverbindingen dat is beëindigd tijdens het rapportagetijdvenster |
LinksFailed |
Het aantal fysieke netwerkverbindingen dat is mislukt tijdens de rapportageperiode. Deze informatie is momenteel alleen beschikbaar voor uitgaande verbindingen. |
LinksLive |
Het aantal fysieke netwerkverbindingen dat is geopend aan het einde van het rapportagetijdvenster |
Metrische gegevens
Naast metrische gegevens over het aantal verbindingen wordt ook informatie over het volume aan verzonden en ontvangen gegevens voor een bepaalde logische verbinding of netwerkpoort opgenomen in de volgende eigenschappen van de record:
| Eigenschap | Beschrijving |
|---|---|
BytesSent |
Totaal aantal bytes dat is verzonden tijdens het rapportagetijdvenster |
BytesReceived |
Totaal aantal bytes dat is ontvangen tijdens het rapportagetijdvenster |
Responses |
Het aantal reacties dat is waargenomen tijdens het rapportagetijdvenster. |
ResponseTimeMax |
De grootste reactietijd (milliseconden) die is waargenomen tijdens het rapportagetijdvenster. Als er geen waarde is, is de eigenschap leeg. |
ResponseTimeMin |
De kleinste reactietijd (milliseconden) die is waargenomen tijdens het rapportagetijdvenster. Als er geen waarde is, is de eigenschap leeg. |
ResponseTimeSum |
De som van alle reactietijden (milliseconden) die tijdens het rapportagetijdvenster zijn waargenomen. Als er geen waarde is, is de eigenschap leeg |
Het derde type gegevens dat wordt gerapporteerd, is reactietijd: hoe lang wacht een aanroeper totdat een aanvraag die via een verbinding is verzonden, wordt verwerkt en waarop wordt gereageerd door het externe eindpunt. De gerapporteerde reactietijd is een schatting van de werkelijke reactietijd van het onderliggende toepassingsprotocol. Het wordt berekend met behulp van heuristiek op basis van de waarneming van de gegevensstroom tussen de bron- en doel-kant van een fysieke netwerkverbinding. Conceptueel gezien is dit het verschil tussen het moment waarop de laatste byte van een aanvraag de afzender verlaat en het tijdstip waarop de laatste byte van het antwoord er weer bij is. Deze twee tijdstempels worden gebruikt om aanvraag- en responsgebeurtenissen voor een bepaalde fysieke verbinding af te geven. Het verschil tussen deze twee vertegenwoordigt de reactietijd van één aanvraag.
In deze eerste versie van deze functie is ons algoritme een benadering die met verschillende succesgraden kan werken, afhankelijk van het daadwerkelijke toepassingsprotocol dat wordt gebruikt voor een bepaalde netwerkverbinding. De huidige benadering werkt bijvoorbeeld goed voor op aanvragen gebaseerde protocollen, zoals HTTP(S), maar werkt niet met protocollen op basis van een een-weg of berichtenwachtrijen.
Hier zijn enkele belangrijke punten om rekening mee te houden:
- Als een proces verbindingen accepteert op hetzelfde IP-adres maar via meerdere netwerkinterfaces, wordt er een afzonderlijke record voor elke interface gerapporteerd.
- Records met een IP-jokerteken bevatten geen activiteit. Ze zijn opgenomen om aan te geven dat een poort op de computer is geopend voor inkomende verkeer.
- Om de omvang en het gegevensvolume te verminderen, worden records met een IP-jokerteken weggelaten wanneer er een overeenkomende record (voor hetzelfde proces, dezelfde poort en hetzelfde protocol) met een specifiek IP-adres is. Wanneer een IP-record met jokertekens wordt weggelaten, wordt de record-eigenschap IsWildcardBind met het specifieke IP-adres ingesteld op Waar om aan te geven dat de poort wordt blootgesteld via elke interface van de rapportagemachine.
- Voor poorten die alleen op een specifieke interface zijn gebonden, is IsWildcardBind ingesteld op False.
Naamgeving en classificatie
Voor het gemak is het IP-adres van de externe kant van een verbinding opgenomen in de eigenschap RemoteIp. Voor binnenkomende verbindingen is RemoteIp hetzelfde als SourceIp, terwijl het voor uitgaande verbindingen hetzelfde is als DestinationIp. De eigenschap RemoteDnsCanonicalNames vertegenwoordigt de canonieke DNS-namen die door de computer voor RemoteIp worden gerapporteerd. De eigenschappen RemoteDnsQuestions en RemoteClassification zijn gereserveerd voor toekomstig gebruik.
Geolocatie
VMConnection bevat ook geolocatie-informatie voor het externe einde van elke verbindingsrecord in de volgende eigenschappen van de record:
| Eigenschap | Beschrijving |
|---|---|
RemoteCountry |
De naam van het land/de regio waar RemoteIp wordt host. Bijvoorbeeld: Verenigde Staten |
RemoteLatitude |
De geolocatiegraad. Bijvoorbeeld 47,68 |
RemoteLongitude |
De lengtegraad van de geolocatie. Bijvoorbeeld -122.12 |
Schadelijk IP-adres
Elke eigenschap RemoteIp in de tabel VMConnection wordt gecontroleerd op een set METP's met bekende schadelijke activiteiten. Als de RemoteIp wordt geïdentificeerd als schadelijk, worden de volgende eigenschappen ingevuld (ze zijn leeg, wanneer het IP-adres niet als schadelijk wordt beschouwd) in de volgende eigenschappen van de record:
| Eigenschap | Beschrijving |
|---|---|
MaliciousIp |
Het RemoteIp-adres |
IndicatorThreadType |
De gedetecteerde bedreigingsindicator is een van de volgende waarden: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist. |
Description |
Beschrijving van de waargenomen bedreiging. |
TLPLevel |
Het niveau van Traffic Light Protocol (TLP) is een van de gedefinieerde waarden: Wit, Groen, Moet, Rood. |
Confidence |
Waarden zijn 0 – 100. |
Severity |
Waarden zijn 0 – 5, waarbij 5 het ernstigst is en 0 helemaal niet ernstig is. De standaardwaarde is 3. |
FirstReportedDateTime |
De eerste keer dat de provider de indicator heeft gerapporteerd. |
LastReportedDateTime |
De laatste keer dat de indicator door Interflow werd gezien. |
IsActive |
Geeft aan dat indicatoren zijn gedeactiveerd met de waarde Waar of Onwaar. |
ReportReferenceLink |
Koppelingen naar rapporten met betrekking tot een bepaalde waarneembare. |
AdditionalInformation |
Biedt aanvullende informatie, indien van toepassing, over de waargenomen bedreiging. |
ServiceMapComputer_CL records
Records met een type ServiceMapComputer_CL hebben inventarisgegevens voor servers met Servicetoewijzing agents. Deze records hebben de eigenschappen in de volgende tabel:
| Eigenschap | Beschrijving |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
De unieke id voor een machine in de werkruimte |
ResourceName_s |
De unieke id voor een machine in de werkruimte |
ComputerName_s |
De FQDN van de computer |
Ipv4Addresses_s |
Een lijst met de IPv4-adressen van de server |
Ipv6Addresses_s |
Een lijst met IPv6-adressen van de server |
DnsNames_s |
Een matrix met DNS-namen |
OperatingSystemFamily_s |
Windows of Linux |
OperatingSystemFullName_s |
De volledige naam van het besturingssysteem |
Bitness_s |
De bititeit van de machine (32-bits of 64-bits) |
PhysicalMemory_d |
Het fysieke geheugen in MB |
Cpus_d |
Het aantal CPU's |
CpuSpeed_d |
De CPU-snelheid in MHz |
VirtualizationState_s |
onbekende, fysieke, virtuele, hypervisor |
VirtualMachineType_s |
hyperv, vmware, en meer |
VirtualMachineNativeMachineId_g |
De VM-id zoals toegewezen door de hypervisor |
VirtualMachineName_s |
De naam van de VM |
BootTime_t |
De opstarttijd |
ServiceMapProcess_CL type records
Records met een type ServiceMapProcess_CL hebben inventarisgegevens voor met TCP verbonden processen op servers Servicetoewijzing agents. Deze records hebben de eigenschappen in de volgende tabel:
| Eigenschap | Beschrijving |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
De unieke id voor een proces in de werkruimte |
ResourceName_s |
De unieke id voor een proces binnen de computer waarop het wordt uitgevoerd |
MachineResourceName_s |
De resourcenaam van de machine |
ExecutableName_s |
De naam van het uitvoerbare proces |
StartTime_t |
De begintijd van de procesgroep |
FirstPid_d |
De eerste PID in de procesgroep |
Description_s |
De beschrijving van het proces |
CompanyName_s |
De naam van het bedrijf |
InternalName_s |
De interne naam |
ProductName_s |
De naam van het product |
ProductVersion_s |
De productversie |
FileVersion_s |
De bestandsversie |
CommandLine_s |
De opdrachtregel |
ExecutablePath _s |
Het pad naar het uitvoerbare bestand |
WorkingDirectory_s |
De adreslijst |
UserName |
Het account waarmee het proces wordt uitgevoerd |
UserDomain |
Het domein waaronder het proces wordt uitgevoerd |
Voorbeeldzoekopdrachten in logboeken
Een lijst maken van alle bekende machines
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Vermeld de capaciteit van het fysieke geheugen van alle beheerde computers.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Computernaam, DNS, IP en besturingssysteem.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Alle processen zoeken met 'sql' in de opdrachtregel
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Een machine zoeken (meest recente record) op resourcenaam
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Een computer zoeken (meest recente record) op IP-adres
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Een lijst met alle bekende processen op een opgegeven computer
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Alle computers met SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Een lijst met alle unieke productversies van curl in mijn datacenter
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Een computergroep maken van alle computers waarop CentOS wordt uitgevoerd
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
De uitgaande verbindingen van een groep computers samenvatten
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
REST-API
Alle server-, proces- en afhankelijkheidsgegevens in Servicetoewijzing zijn beschikbaar via de Servicetoewijzing REST API.
Diagnostische gegevens en gebruiksgegevens
Microsoft verzamelt automatisch gebruiks- en prestatiegegevens via uw gebruik van de Servicetoewijzing service. Microsoft gebruikt deze gegevens om de kwaliteit, beveiliging en integriteit van de Servicetoewijzing verbeteren. Voor nauwkeurige en efficiënte probleemoplossingsmogelijkheden bevatten de gegevens informatie over de configuratie van uw software, zoals besturingssysteem en versie, IP-adres, DNS-naam en werkstationnaam. Microsoft verzamelt geen namen, adressen of andere contactgegevens.
Zie de privacyverklaring van Microsoft Online Services voor meer informatie over het verzamelen en gebruiken van gegevens.
Volgende stappen
Meer informatie over zoekopdrachten in logboeken in Log Analytics om gegevens op te halen die zijn verzameld door Servicetoewijzing.
Problemen oplossen
Als u problemen hebt met het installeren of uitvoeren van Servicetoewijzing, kan deze sectie u helpen. Als u het probleem nog steeds niet kunt oplossen, neem dan contact op met Microsoft Ondersteuning.
Installatieproblemen met afhankelijkheidsagent
Het installatieprogramma vraagt om opnieuw op te starten
De Afhankelijkheidsagent vereist doorgaans geen herstart bij installatie of verwijdering. In bepaalde zeldzame gevallen moet Windows server echter opnieuw worden opgestart om door te gaan met een installatie. Dit gebeurt wanneer een afhankelijkheid, meestal de Herdistribueerbare bibliotheek van Microsoft Visual C++ opnieuw moet worden opgestart vanwege een vergrendeld bestand.
Het bericht ‘kan de afhankelijkheidsagent niet installeren: installatie van Visual Studio Runtime-bibliotheken is mislukt (code = [code_number])’ wordt weergegeven
De afhankelijkheidsagent van Microsoft is gebaseerd op de runtime-bibliotheken van Microsoft Visual Studio. Er wordt een bericht weergegeven als er een probleem is tijdens de installatie van de bibliotheken.
De installatiepogramma's voor runtime-bibliotheken maken logboeken in de map %LOCALAPPDATA%\temp. Het bestand is , waarbij de boog of is en dd_vcredist_arch_yyyymmddhhmmss.log x86 amd64 yyyymmddhhmmss de datum en tijd (24-uurs klok) is waarop het logboek is gemaakt. Het logboek bevat details over het probleem dat de installatie blokkeert.
Het kan handig zijn om eerst de meest recente runtime-bibliotheken te installeren.
De volgende tabel bevat codenummers en voorgestelde oplossingen.
| Code | Beschrijving | Oplossing |
|---|---|---|
| 0x17 | Voor het installatieprogramma van de bibliotheek is een Windows-update vereist die niet is geïnstalleerd. | Bekijk het meest recente installatielogboek van de bibliotheek. Als een verwijzing naar wordt gevolgd door een regel, hebt u niet de vereisten voor het installeren van Windows8.1-KB2999226-x64.msu Error 0x80240017: Failed to execute MSU package, KB2999226. Volg de instructies in het gedeelte vereiste onderdelen in het artikel Universal C-runtime in Windows. Mogelijk moet u Windows Update uitvoeren en meerdere keren opnieuw opstarten om de vereiste onderdelen te kunnen installeren.Voer het installatieprogramma voor de Microsoft-afhankelijkheidsagent opnieuw uit. |
Problemen na installatie
Server wordt niet weergegeven in Servicetoewijzing
Als de installatie van de afhankelijkheidsagent is geslaagd, maar u uw computer niet ziet in de Servicetoewijzing oplossing:
Is de afhankelijkheidsagent correct geïnstalleerd? U kunt dit valideren door te controleren of de service is geïnstalleerd en actief is.
Windows: zoek naar de service met de naam Microsoft Dependency Agent. Linux: zoek naar het lopende proces microsoft-dependency-agent.Gebruikt u de gratis laag van Log Analytics? Met het gratis abonnement kunnen maximaal vijf unieke servicetoewijzingen worden gemaakt. Alle volgende computers worden niet weergegeven in het serviceoverzicht, zelfs niet als de voorgaande vijf geen gegevens meer verzenden.
Stuurt uw server logboek- en perf-gegevens naar Azure Monitor logboeken? Ga naar Azure Monitor\Logs en voer de volgende query uit voor uw computer:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Hebt u verschillende gebeurtenissen in de resultaten? Zijn de gegevens recent? Als dit het geval is, wordt uw Log Analytics-agent correct uitgevoerd en communiceert deze met de werkruimte. Als dat niet het geval is, moet u de agent op uw computer controleren: Problemen oplossen met de Log Analytic-agent voor Windows of Problemen oplossen met de Log Analytics-agent voor Linux.
Server wordt weergegeven in Servicetoewijzing maar heeft geen processen
Als u uw computer in Servicetoewijzing ziet, maar er geen proces- of verbindingsgegevens zijn, geeft dit aan dat de afhankelijkheidsagent is geïnstalleerd en wordt uitgevoerd, maar het kernel-stuurprogramma niet is geladen.
Controleer C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file de (Windows) of /var/opt/microsoft/dependency-agent/log/service.log file (Linux). De laatste regels van het bestand zouden moeten aangeven waarom de kernel niet is geladen. Het is bijvoorbeeld mogelijk dat de kernel niet wordt ondersteund op Linux als u uw kernel hebt bijgewerkt.
Suggesties
Hebt u feedback voor ons over Servicetoewijzing of deze documentatie? Ga naar onze user voice-pagina,waar u functies kunt voorstellen of bestaande suggesties kunt stemmen.