Решение Wire Data 2.0 (Предварительная версия) в Azure Monitor (поддержка прекращена)

Символ Wire Data

Примечание

Решение Wire Data было заменено на VM Insights и Сопоставление служб. Оба компонента используют агенты Log Analytics и Dependency Agent для получения данных сетевого подключения в Azure Monitor.

Поддержка решения Wire Data будет завершена 31 марта 2022 г. До даты прекращения поддержки клиенты, использующие решение Wire Data 2.0 (предварительная версия), могут продолжать его использовать.

Новые и существующие клиенты должны установить решения VM Insights или Сопоставление служб. Набор данных сопоставлений, который они собирают, сравним с набором данных Wire Data 2.0 (предварительная версия). VM Insights включает в себя набор данных Сопоставления служб и дополнительные данные о производительности, а также функции для анализа. Оба предложения имеют подключение к Azure Sentinel.

Wire data — это объединенные сетевые данные и данные производительности, собираемые с компьютеров Windows или Linux с установленными агентами Log Analytics, включая данные, отслеживаемые Operations Manager в вашей среде. Сетевые данные вместе с другими данными журнала помогают коррелировать данные.

Помимо агента Log Analytics, решение Wire Data использует агенты зависимостей Майкрософт, установленные на компьютерах в вашей ИТ-инфраструктуре. Агенты зависимостей отслеживают сетевые данные, отправляемые на эти компьютеры и с них, для сетевых уровней 2–3 в модели OSI, включая различные используемые протоколы и порты. Затем данные отправляются в Azure Monitor с помощью агентов.

Миграция в Azure Monitor VM Insights или Сопоставление служб

Часто мы наблюдаем, что у клиентов уже запущены на одних и тех же виртуальных машинах и Wire Data 2.0 (предварительная версия), и VM Insights или Сопоставление служб. Это означает, что предложение замены на виртуальной машине включено. Вы можете просто удалить решение Wire Data 2.0 (предварительная версия) из рабочей области Log Analytics.

Если у вас есть виртуальные машины, на которых включено только решение Wire Data 2.0 (предварительная версия), можно подключить их к VM Insights или Сопоставлению служб, а затем удалить решение Wire Data 2.0 (предварительная версия) из рабочей области Log Analytics.

Перенесите запросы в таблицу VMConnection из решения Azure Monitor VM Insights

Агенты, предоставляющие данные

Запрос Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by Computer
| limit 500000

Запросы VM Insights и Сопоставления служб

VMConnection
| summarize AggregatedValue = sum(BytesReceived + BytesSent) by Computer
| limit 500000

IP-адреса агентов, предоставляющих данные

Запрос Wire Data 2.0

WireData
| summarize AggregatedValue = count() by LocalIP

Запросы VM Insights и Сопоставления служб

VMComputer
| distinct Computer, tostring(Ipv4Addresses)

Все исходящие сообщения по удаленному IP-адресу

Запрос Wire Data 2.0

WireData
| where Direction == "Outbound"
| summarize AggregatedValue = count() by RemoteIP

Запросы VM Insights и Сопоставления служб

VMConnection
| where Direction == "outbound"
| summarize AggregatedValue = count() by RemoteIp

Байтов, полученных по имени протокола

Запрос Wire Data 2.0

WireData 
| where Direction == "Inbound"
| summarize AggregatedValue = sum(ReceivedBytes) by ProtocolName

Запросы VM Insights и Сопоставления служб

VMConnection
| where Direction == "inbound"
| summarize AggregatedValue = sum(BytesReceived) by Protocol

Объем сетевого трафика (в байтах) по процессам

Запрос Wire Data 2.0

WireData
| summarize AggregatedValue = sum(TotalBytes) by ProcessName

Запросы VM Insights и Сопоставления служб

VMConnection
| summarize sum(BytesReceived), sum(BytesSent) by ProcessName

Дополнительные примеры запросов

Дополнительные примеры запросов см. в Документации по поиску по журналам VM Insights и в документации по предупреждениям VM Insights.

Удаление решения Wire Data 2.0

Для удаления Wire Data 2.0 необходимо просто удалить решение из рабочих областей Log Analytics. В результате появляется следующее сообщение об ошибке:

  • пакет управления Wire Data удаляется из виртуальных машин, подключенных к рабочей области
  • тип данных Wire Data больше не отображается в рабочей области

Выполните эти инструкции, чтобы удалить решение Wire Data.

Примечание

Если в вашей рабочей области есть решения Сопоставление служб или VM Insights, пакет управления не будет удален, так как эти решения также используют этот пакет управления.

Пакеты управления Wire Data 2.0

Если решение "Данные передачи" активировано в рабочей области Log Analytics, то на все серверы в этой рабочей области отправляется пакет управления размером 300 КБ. Если агенты System Center Operations Manager используются в подключенной группе управления, то пакет управления монитора зависимости развертывается из System Center Operations Manager. Если агенты подключены напрямую, пакет управления доставляется с помощью Azure Monitor.

Пакет управления называется Microsoft.IntelligencePacks.ApplicationDependencyMonitor. Он записывается в папку %Programfiles%\Microsoft Monitoring Agent\Agent\Health Service State\Management Packs. Источник данных, используемый пакетом управления, — %Program files%\Microsoft Monitoring Agent\Agent\Health Service State\Resources<Автоматически_созданный_идентификатор>\Microsoft.EnterpriseManagement.Advisor.ApplicationDependencyMonitorDataSource.dll.

Удаление агента зависимостей

Примечание

Если вы планируете заменить Wire Data решениями Сопоставление служб или VM Insights, то агент зависимостей удалять не следует.

Руководствуйтесь следующими разделами при удалении агента зависимостей.

Удаление агента зависимостей в Windows

Администратор может удалить Dependency Agent для Windows через панель управления.

Для удаления Dependency Agent администратор может также запустить файл %Programfiles%\Microsoft Dependency Agent\Uninstall.exe.

Удаление агента зависимостей в Linux

Чтобы полностью удалить агент зависимостей в Linux, необходимо удалить сам агент и соединитель, который автоматически устанавливается с агентом. Удалить и то, и другое одновременно можно с помощью одной команды.

rpm -e dependency-agent dependency-agent-connector

Использование решения Wire Data 2.0

На странице Обзор в рабочей области Log Analytics на портале Azure щелкните плитку Wire Data 2.0, чтобы открыть панель мониторинга Wire Data. Панель мониторинга содержит колонки, перечисленные в приведенной ниже таблице. В каждой колонке содержится максимум 10 элементов, соответствующих таким указанным критериям, как область действия и диапазон времени. Вы можете выполнить поиск по журналам, в результате которого возвращаются все записи, если щелкнуть заголовок колонки или Показать все в ее нижней части.

Колонка Описание
Агенты, записывающие сетевой трафик Отображает число агентов, которые записывают сетевой трафик, и показывает первые 10 компьютеров, записывающих сетевой трафик. Щелкните количество, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by Computer | take 500000. Щелкните в списке компьютер, чтобы выполнить поиск по журналам и получить общее число записанных байт.
Локальные подсети Показывает число локальных подсетей, которые обнаружили агенты. Щелкните число, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by LocalSubnet. В результате вы получите список всех подсетей и количество байт, отправленных в каждой из них. Выберите подсеть в списке, чтобы выполнить поиск по журналам и получить общее число байт, отправленных в подсети.
Протоколы уровня приложений Показывает количество используемых протоколов уровня приложений, обнаруженных агентами. Щелкните количество, чтобы выполнить поиск по журналам: WireData | summarize sum(TotalBytes) by ApplicationProtocol. Щелкните в списке протокол, чтобы выполнить поиск по журналам и получить общее число байт, отправленных с помощью протокола.

Панель мониторинга "Данные передачи"

Используйте колонку Агенты, записывающие сетевой трафик, чтобы определить, какой процент пропускной способности сети используется компьютерами. Эта колонка поможет найти самый активный компьютер в среде. Такие компьютеры могут быть перегружены, работать со сбоями либо использовать больше сетевых ресурсов, чем обычно.

Снимок экрана: "Агенты перехватывают сетевой трафик в Панели мониторинга Wire Data 2.0", на котором отображается пропускная способность сети, используемая каждым компьютером.

Вы также можете использовать колонку Локальные подсети, чтобы определить объем сетевого трафика, проходящего через подсети. Пользователи часто создают подсети для важных областей своих приложений. Эта колонка позволяет просматривать такие области.

Снимок экрана: "Локальные подсети на Панели мониторинга Wire Data 2.0", показывающий пропускную способность сети, используемую каждой локальной подсетью.

Колонка Протоколы уровня приложений помогает узнать, какие протоколы используются. Например, вы ожидаете, что SSH не используется в вашей сетевой среде. С помощью этой колонки можно быстро проверить, так ли это.

Снимок экрана: "Протоколы уровня приложения на Панели мониторинга Wire Data 2.0", показывающий пропускную способность сети, используемую каждым протоколом.

Также полезно знать об увеличении или уменьшении трафика по протоколу по прошествии времени. Например, если объем данных, передаваемых приложением, увеличился, вам следует об этом знать.

Входные данные

Данные передачи собирают метаданные о сетевом трафике с помощью включенных агентов. Каждый агент передает данные примерно каждые 15 секунд.

Выходные данные

Для каждого типа входных данных создается запись с данными о типе WireData. У этих записей есть свойства, приведенные в таблице ниже.

Свойство Описание
Компьютер Имя компьютера, на котором были собраны данные
TimeGenerated Время создания записи
LocalIP IP-адрес локального компьютера
SessionState Подключен или отключен
ReceivedBytes Число полученных байт
ProtocolName Имя сетевого протокола, который используется
IPVersion Версия IP
Направление Входящий или исходящий
MaliciousIP IP-адрес известного вредоносного источника
Severity Опасность потенциально вредоносной программы
RemoteIPCountry Страна удаленного IP-адреса
ManagementGroupName Имя группы управления Operations Manager
SourceSystem Источник, на котором были собраны данные
SessionStartTime Время начала сеанса
SessionEndTime Время окончания сеанса
LocalSubnet Подсеть, в которой были собраны данные
LocalPortNumber Номер локального порта
RemoteIP Удаленный IP-адрес, используемый удаленным компьютером
RemotePortNumber Номер порта, используемый удаленным IP-адресом
SessionID Уникальное значение, которое идентифицирует сеанс связи между двумя IP-адресами
SentBytes Число отправленных байт
TotalBytes Общее число байтов, отправленных в течение сеанса
ApplicationProtocol Тип используемого сетевого протокола
ProcessID Идентификатор процесса Windows
ProcessName Путь и имя файла процесса
RemoteIPLongitude Значение долготы IP
RemoteIPLatitude Значение широты IP

Дальнейшие действия

  • Требования и методы, позволяющие включить мониторинг для виртуальных машин, см. в статье Развертывание VM Insights.
  • поиск в журналах , чтобы просмотреть подробные записи поиска данных передачи.