Решение Wire Data 2.0 (предварительная версия) в Azure Monitor (поддержка прекращена)
Примечание
Решение Wire Data было заменено на VM Insights и Сопоставление служб. Оба компонента используют агенты Log Analytics и Dependency Agent для получения данных сетевого подключения в Azure Monitor.
Поддержка решения Wire Data будет завершена 31 марта 2022 г. До даты прекращения поддержки клиенты, использующие решение Wire Data 2.0 (предварительная версия), могут продолжать его использовать.
Новые и существующие клиенты должны установить решения VM Insights или Сопоставление служб. Набор данных сопоставлений, который они собирают, сравним с набором данных Wire Data 2.0 (предварительная версия). VM Insights включает в себя набор данных Сопоставления служб и дополнительные данные о производительности, а также функции для анализа. Оба предложения имеют подключение к Microsoft Sentinel.
Wire data — это объединенные сетевые данные и данные производительности, собираемые с компьютеров Windows или Linux с установленными агентами Log Analytics, включая данные, отслеживаемые Operations Manager в вашей среде. Сетевые данные вместе с другими данными журнала помогают коррелировать данные.
Помимо агента Log Analytics, решение Wire Data использует агенты зависимостей Майкрософт, установленные на компьютерах в вашей ИТ-инфраструктуре. Агенты зависимостей отслеживают сетевые данные, отправляемые на эти компьютеры и с них, для сетевых уровней 2–3 в модели OSI, включая различные используемые протоколы и порты. Затем данные отправляются в Azure Monitor с помощью агентов.
Миграция в Azure Monitor VM Insights или Сопоставление служб
Часто мы наблюдаем, что у клиентов уже запущены на одних и тех же виртуальных машинах и Wire Data 2.0 (предварительная версия), и VM Insights или Сопоставление служб. Это означает, что предложение замены на виртуальной машине включено. Вы можете просто удалить решение Wire Data 2.0 (предварительная версия) из рабочей области Log Analytics.
Если у вас есть виртуальные машины, на которых включено только решение Wire Data 2.0 (предварительная версия), можно подключить их к VM Insights или Сопоставлению служб, а затем удалить решение Wire Data 2.0 (предварительная версия) из рабочей области Log Analytics.
Перенесите запросы в таблицу VMConnection из решения Azure Monitor VM Insights
Агенты, предоставляющие данные
Запрос Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000
Запросы VM Insights и Сопоставления служб
VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000
IP-адреса агентов, предоставляющих данные
Запрос Wire Data 2.0
WireData
| summarize AggregatedValue = count() by LocalIP
Запросы VM Insights и Сопоставления служб
VMComputer
| distinct Computer, tostring(Ipv4Addresses)
Все исходящие сообщения по удаленному IP-адресу
Запрос Wire Data 2.0
WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP
Запросы VM Insights и Сопоставления служб
VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp
Байтов, полученных по имени протокола
Запрос Wire Data 2.0
WireData
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName
Запросы VM Insights и Сопоставления служб
VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol
Объем сетевого трафика (в байтах) по процессам
Запрос Wire Data 2.0
WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName
Запросы VM Insights и Сопоставления служб
VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName
Дополнительные примеры запросов
Дополнительные примеры запросов см. в Документации по поиску по журналам VM Insights и в документации по предупреждениям VM Insights.
Удаление решения Wire Data 2.0
Для удаления Wire Data 2.0 необходимо просто удалить решение из рабочих областей Log Analytics. В результате появляется следующее сообщение об ошибке:
- пакет управления Wire Data удаляется из виртуальных машин, подключенных к рабочей области.
- Тип данных Wire Data больше не отображается в рабочей области
Выполните эти инструкции, чтобы удалить решение Wire Data.
Примечание
Если в вашей рабочей области есть решения Сопоставление служб или VM Insights, пакет управления не будет удален, так как эти решения также используют этот пакет управления.
Пакеты управления Wire Data 2.0
Если решение "Данные передачи" активировано в рабочей области Log Analytics, то на все серверы в этой рабочей области отправляется пакет управления размером 300 КБ. Если агенты System Center Operations Manager используются в подключенной группе управления, то пакет управления монитора зависимости развертывается из System Center Operations Manager. Если агенты подключены напрямую, пакет управления доставляется с помощью Azure Monitor.
Пакет управления называется Microsoft.IntelligencePacks.ApplicationDependencyMonitor. Он записывается в папку %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. Источник данных, используемый пакетом управления, — %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<Автоматически_созданный_идентификатор>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.
Удаление агента зависимостей
Примечание
Если вы планируете заменить Wire Data решениями Сопоставление служб или VM Insights, то агент зависимостей удалять не следует.
Руководствуйтесь следующими разделами при удалении агента зависимостей.
Удаление агента зависимостей в Windows
Администратор может удалить Dependency Agent для Windows через панель управления.
Для удаления Dependency Agent администратор может также запустить файл %Programfiles%\Microsoft Dependency Agent\Uninstall.exe.
Удаление агента зависимостей в Linux
Чтобы полностью удалить агент зависимостей в Linux, необходимо удалить сам агент и соединитель, который автоматически устанавливается с агентом. Удалить и то, и другое одновременно можно с помощью одной команды.
rpm -e dependency-agent dependency-agent-connector
Использование решения Wire Data 2.0
На странице Обзор в рабочей области Log Analytics на портале Azure щелкните плитку Wire Data 2.0, чтобы открыть панель мониторинга Wire Data. Панель мониторинга содержит разделы в следующей таблице. В каждом разделе содержится до 10 элементов, соответствующих критериям этого раздела для указанной области и диапазона времени. Вы можете выполнить поиск по журналам, который возвращает все записи, щелкнув Просмотреть все в нижней части раздела или щелкнув заголовок раздела.
| Раздел | Описание |
|---|---|
| Агенты, записывающие сетевой трафик | Отображает число агентов, которые записывают сетевой трафик, и показывает первые 10 компьютеров, записывающих сетевой трафик. Щелкните количество, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by Computer | take 500000. Щелкните в списке компьютер, чтобы выполнить поиск по журналам и получить общее число записанных байт. |
| Локальные подсети | Показывает число локальных подсетей, которые обнаружили агенты. Щелкните число, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by LocalSubnet. В результате вы получите список всех подсетей и количество байт, отправленных в каждой из них. Выберите подсеть в списке, чтобы выполнить поиск по журналам и получить общее число байт, отправленных в подсети. |
| Протоколы уровня приложений | Показывает количество используемых протоколов уровня приложений, обнаруженных агентами. Щелкните количество, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by ApplicationProtocol. Щелкните в списке протокол, чтобы выполнить поиск по журналам и получить общее число байт, отправленных с помощью протокола. |
Вы можете использовать раздел Агенты записи сетевого трафика , чтобы определить, какая пропускная способность сети потребляется компьютерами. Этот раздел поможет вам легко найти самый чативный компьютер в вашей среде. Такие компьютеры могут быть перегружены, работать со сбоями либо использовать больше сетевых ресурсов, чем обычно.
Аналогичным образом можно использовать раздел Локальные подсети , чтобы определить, сколько сетевого трафика проходит через подсети. Пользователи часто создают подсети для важных областей своих приложений. В этом разделе представлены сведения об этих областях.
Раздел Протоколы на уровне приложения полезен, так как полезно знать, какие протоколы используются. Например, вы ожидаете, что SSH не используется в вашей сетевой среде. Просмотр сведений, доступных в разделе, может быстро подтвердить или опровергнуть ваши ожидания.
Также полезно знать об увеличении или уменьшении трафика по протоколу по прошествии времени. Например, если объем данных, передаваемых приложением, увеличился, вам следует об этом знать.
Входные данные
Данные передачи собирают метаданные о сетевом трафике с помощью включенных агентов. Каждый агент передает данные примерно каждые 15 секунд.
Выходные данные
Для каждого типа входных данных создается запись с данными о типе WireData. У этих записей есть свойства, приведенные в таблице ниже.
| Свойство | Description |
|---|---|
| Компьютер | Имя компьютера, на котором были собраны данные |
| TimeGenerated | Время создания записи |
| LocalIP | IP-адрес локального компьютера |
| SessionState | Подключен или отключен |
| ReceivedBytes | Число полученных байт |
| ProtocolName | Имя сетевого протокола, который используется |
| IPVersion | Версия IP |
| Направление | Входящий или исходящий |
| MaliciousIP | IP-адрес известного вредоносного источника |
| Severity | Опасность потенциально вредоносной программы |
| RemoteIPCountry | Страна удаленного IP-адреса |
| ManagementGroupName | Имя группы управления Operations Manager |
| SourceSystem | Источник, на котором были собраны данные |
| SessionStartTime | Время начала сеанса |
| SessionEndTime | Время окончания сеанса |
| LocalSubnet | Подсеть, в которой были собраны данные |
| LocalPortNumber | Номер локального порта |
| RemoteIP | Удаленный IP-адрес, используемый удаленным компьютером |
| RemotePortNumber | Номер порта, используемый удаленным IP-адресом |
| SessionID | Уникальное значение, которое идентифицирует сеанс связи между двумя IP-адресами |
| SentBytes | Число отправленных байт |
| TotalBytes | Общее число байтов, отправленных в течение сеанса |
| ApplicationProtocol | Тип используемого сетевого протокола |
| ProcessID | Идентификатор процесса Windows |
| ProcessName | Путь и имя файла процесса |
| RemoteIPLongitude | Значение долготы IP |
| RemoteIPLatitude | Значение широты IP |
Дальнейшие действия
- Требования и методы, позволяющие включить мониторинг для виртуальных машин, см. в статье Развертывание VM Insights.
- поиск в журналах , чтобы просмотреть подробные записи поиска данных передачи.