Solução Wire Data 2.0 (versão prévia) no Azure Monitor (desativada)
Observação
A solução Wire Data foi substituída pela solução de insights de VM e de Mapa do Serviço. Ambas usam o agente do Log Analytics e o Dependency Agent para coletar dados de conexão de rede no Azure Monitor.
O suporte para a solução Wire Data será encerrado em 31 de março de 2022. Até a data de desativação, os clientes existentes que usam a solução Wire Data 2.0 (versão prévia) podem continuar a usá-la.
Os clientes novos e existentes devem instalar a solução de insights de VM ou de Mapa do Serviço. O conjunto de dados do Mapa coletado é comparável ao conjunto de dados do Wire Data 2.0 (versão prévia). Os insights da VM incluem o conjunto de dados do Mapa do Serviço juntamente com recursos e dados de desempenho adicionais para análise. Ambas as ofertas têm conexões com o Microsoft Sentinel.
Os dados de transferência são dados consolidados de rede e de desempenho coletados de computadores conectados por Windows e conectados por Linux com o agente do Log Analytics, incluindo aqueles monitorados pelo Operations Manager em seu ambiente. Os dados de rede são combinados a seus outros dados de log para ajudá-lo a correlacionar dados.
Além do agente do Log Analytics, a solução Wire Data usa os Agentes de Dependência da Microsoft que você instala em computadores na infraestrutura de TI. Os Agentes de Dependência monitoram dados de rede enviados de e para seus computadores para os níveis de rede 2 e 3 no modelo OSI, incluindo os diversos protocolos e portas usados. Em seguida, os dados são enviados para o Azure Monitor usando agentes.
Migrar para o Mapa do Serviço ou para os insights da VM do Azure Monitor
Em muitos casos, vemos que os clientes geralmente têm tanto o Wire Data 2.0 (versão prévia) quanto a solução de insights da VM ou de Mapa do Serviço já habilitada nas mesmas VMs. Isso significa que você tem a oferta de substituição habilitada na sua VM. Você pode simplesmente remover a solução Wire Data 2.0 (versão prévia) do seu workspace do Log Analytics.
Se você tiver VMs que têm apenas o Wire Data 2.0 (versão prévia) habilitado, você poderá integrá-las à solução de insights da VM ou de Mapa do Serviço e remover a solução Wire Data 2.0 (versão prévia) do seu workspace do Log Analytics.
Migrar as suas consultas para a tabela VMConnection dos insights de VM do Azure Monitor
Agentes que fornecem dados
Consulta do Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
Consulta do Mapa do Serviço e insights da VM
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
Endereços IP dos agentes que fornecem os dados
Consulta do Wire Data 2.0
WireData
| summarize AggregatedValue = count() by LocalIP
Consulta do Mapa do Serviço e insights da VM
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
Todas as comunicações de saída por endereço IP remoto
Consulta do Wire Data 2.0
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
Consulta do Mapa do Serviço e insights da VM
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
Bytes recebidos por nome de protocolo
Consulta do Wire Data 2.0
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
Consulta do Mapa do Serviço e insights da VM
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
Volume de tráfego de rede (em bytes) por processo
Consulta do Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
Consulta do Mapa do Serviço e insights da VM
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
Mais exemplos de consultas
Consulte a documentação da pesquisa de logs dos insights da VM e a documentação do alerta de insights da VM para obter consultas de exemplo adicionais.
Desinstalar a solução Wire Data 2.0
Para desinstalar o Wire Data 2.0 você simplesmente precisa remover a solução dos Workspaces do Log Analytics. Isso resultará no seguinte:
- O pacote de gerenciamento do Wire Data será removido das VMs que estão conectadas ao Workspace.
- O tipo de dados do Wire Data não aparecerá mais no seu Workspace
Siga estas instruções para remover a solução Wire Data.
Observação
Se você tiver a solução de Mapa do Serviço ou de insights de VM no seu workspace, o pacote de gerenciamento não será removido, pois essas soluções também usarão esse pacote de gerenciamento.
Pacotes de gerenciamento do Wire Data 2.0
Quando o Wire Data é ativado em um espaço de trabalho do Log Analytics, um pacote de gerenciamento de 300 KB é enviado a todos os servidores do Windows nesse espaço de trabalho. Se você estiver usando agentes do System Center Operations Manager em um grupo de gerenciamento conectado, o pacote de gerenciamento do Monitor de Dependência será implantado do System Center Operations Manager. Se os agentes forem conectados diretamente, o Azure Monitor fornecerá o pacote de gerenciamento.
O pacote de gerenciamento chama-se Microsoft.IntelligencePacks.ApplicationDependencyMonitor. Ele é gravado em: %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. A fonte de dados usada pelo pacote de gerenciamento é: %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<AutoGeneratedID>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.
Desinstalar o Dependency Agent
Observação
Se você planeja substituir o Wire Data pelo Mapa do Serviço ou os insights de VM, você não deve remover o Dependency Agent.
Use as seções a seguir para ajudar você a remover o Dependency Agent.
Desinstalar o Dependency Agent no Windows
O Agente de Dependência para Windows pode ser desinstalado por um administrador por meio do Painel de Controle.
Um administrador também pode executar %Programfiles%\Microsoft Agent\Uninstall.exe para desinstalar o Microsoft Dependency Agent.
Desinstalar o Dependency Agent no Linux
Para desinstalar completamente o Dependency Agent do Linux, você precisa remover o agente propriamente dito e o conector, que é instalado automaticamente com o agente. Você pode desinstalar ambos usando o seguinte comando único:
rpm -e dependency-agent dependency-agent-connector
Usando a solução Wire Data 2.0
Na página Visão geral do seu espaço de trabalho do Log Analytics no Portal do Azure, clique no bloco Wire Data 2.0 para abrir o painel do Wire Data. O painel inclui as seções na tabela a seguir. Cada seção lista os 10 principais itens que correspondem aos critérios da seção para o escopo e o intervalo de tempo especificados. É possível executar uma pesquisa de log que retorna todos os registros clicando em Ver todos na parte inferior da seção ou clicando no cabeçalho de seção.
| Seção | Descrição |
|---|---|
| Agentes capturando tráfego de rede | Mostra o número de agentes que estão capturando tráfego de rede e lista os 10 principais computadores que estão capturando tráfego. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by Computer | take 500000. Clique em um computador na lista para executar uma pesquisa de logs retornando o número total de bytes capturados. |
| Sub-redes locais | Mostra o número de sub-redes locais que os agentes descobriram. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by LocalSubnet que liste todas as sub-redes com o número de bytes enviados em cada uma. Clique em uma sub-rede na lista para executar uma pesquisa de logs retornando o número total de bytes enviados pela sub-rede. |
| Protocolos no nível do aplicativo | Mostra o número de protocolos no nível de aplicativo em uso, conforme detectados pelos agentes. Clique no número para executar uma pesquisa de logs para WireData | summarize sum(TotalBytes) by ApplicationProtocol. Clique em um protocolo para executar uma pesquisa de logs retornando o número total de bytes enviados usando o protocolo. |
Você pode usar a seção Agentes capturando tráfego de rede para determinar quanta largura de banda de rede está sendo consumida pelos computadores. Essa seção pode ajudá-lo a localizar facilmente o computador chattiest no seu ambiente. Esses computadores podem estar sobrecarregados, operando de modo anormal ou usando mais recursos de rede que o normal.
De modo parecido, você pode usar a seção Sub-Redes Locais para determinar quanto tráfego de rede está passando pelas sub-redes. Os usuários geralmente definem sub-redes em torno de áreas críticas para seus aplicativos. Esta seção oferece uma exibição dessas áreas.
A seção Protocolos em Nível de Aplicativo é interessante porque é útil saber quais protocolos estão em uso. Por exemplo, você pode esperar que SSH não esteja em uso no seu ambiente de rede. Exibir informações disponíveis na seção pode rapidamente confirmar ou v. refutar suas expectativas.
Também é útil saber se o tráfego do protocolo está aumentando ou diminuindo ao longo do tempo. Por exemplo, se a quantidade de dados que está sendo transmitida por um aplicativo estiver aumentando, isso pode ser algo a que você deve estar atento ou pode considerar importante.
Dados de entrada
A coleta de dados coleta metadados sobre o tráfego de rede usando os agentes que você habilitou. Cada agente envia dados aproximadamente a cada 15 segundos.
Dados de saída
Um registro com um tipo de WireData é criado para cada tipo de dados de entrada. Os registros do WireData têm as propriedades mostradas na tabela a seguir:
| Propriedade | Descrição |
|---|---|
| Computador | Nome do computador em que os dados foram coletados |
| TimeGenerated | Hora do registro |
| LocalIP | Endereço IP do computador local |
| SessionState | Conectado ou desconectado |
| ReceivedBytes | Quantidade de bytes recebidos |
| ProtocolName | Nome do protocolo de rede usado |
| IPVersion | Versão IP |
| Direção | Entrada ou saída |
| MaliciousIP | Endereço IP de uma fonte mal-intencionada conhecida |
| Severidade | Gravidade de suspeita de malware |
| RemoteIPCountry | País/região do endereço IP remoto |
| ManagementGroupName | Nome do grupo de gerenciamento do Operations Manager |
| SourceSystem | Fonte na qual o dados foram coletados |
| SessionStartTime | Hora de início da sessão |
| SessionEndTime | Hora de término da sessão |
| LocalSubnet | Sub-rede na qual o dados foram coletados |
| LocalPortNumber | Número da porta local |
| RemoteIP | Endereço IP remoto usado pelo computador remoto |
| RemotePortNumber | Número da porta usada pelo endereço IP remoto |
| SessionID | Um valor exclusivo que identifica a sessão de comunicação entre os dois endereços IP |
| SentBytes | Número de bytes enviados |
| TotalBytes | Número total de bytes enviados durante a sessão |
| ApplicationProtocol | Tipo de protocolo de rede usado |
| ProcessID | ID de processo do Windows |
| ProcessName | Nome de arquivo e caminho do processo |
| RemoteIPLongitude | Valor de longitude do IP |
| RemoteIPLatitude | Valor de latitude do IP |
Próximas etapas
- Confira Implantar insights de VM para requisitos e métodos que permitem o monitoramento das suas máquinas virtuais.
- Pesquise nos logs para exibir registros detalhados da pesquisa de dados de transmissão.