Konfigurera datainsamling för Azure Monitor agenten

Regler för datainsamling (DCR) definierar data som kommer Azure Monitor och anger var de ska skickas. Den här artikeln beskriver hur du skapar en regel för datainsamling för att samla in data från virtuella datorer med hjälp Azure Monitor agenten.

En fullständig beskrivning av datainsamlingsregler finns i Datainsamlingsregler i Azure Monitor.

Anteckning

Den här artikeln beskriver hur du konfigurerar data för virtuella datorer med Azure Monitor agenten.

Regelassociationer för datainsamling

Om du vill tillämpa en DCR på en virtuell dator skapar du en association för den virtuella datorn. En virtuell dator kan ha en koppling till flera domänkontrollanter och en DCR kan ha flera associerade virtuella datorer. På så sätt kan du definiera en uppsättning domänkontrollanter, som var och en matchar ett visst krav, och tillämpa dem endast på de virtuella datorer där de är tillämpliga.

Tänk dig till exempel en miljö med en uppsättning virtuella datorer som kör ett affärsprogram och andra som kör SQL Server. Du kan ha en standardregel för datainsamling som gäller för alla virtuella datorer och separata datainsamlingsregler som samlar in data specifikt för verksamhetsapplikationen och för SQL Server. Associationerna för de virtuella datorerna till datainsamlingsreglerna skulle se ut ungefär som i följande diagram.

Diagram som visar virtuella datorer som är värdar för affärsprogram och SQL Server som är associerade med regler för datainsamling med namnet central-i-default och lob-app för affärsprogram och central-i-t-default och s q l för SQL Server.

Skapa regel och association i Azure Portal

Du kan använda Azure Portal för att skapa en datainsamlingsregel och associera virtuella datorer i din prenumeration med den regeln. Agenten Azure Monitor installeras automatiskt och en hanterad identitet skapas för alla virtuella datorer som inte redan har den installerad.

Viktigt

Genom att skapa en regel för datainsamling med hjälp av portalen kan du System-Assigned hanterad identitet på målresurserna, utöver befintliga User-Assigned identiteter (om det finns några). För befintliga program om de inte User-Assigned identiteten i begäran använder datorn som standard System-Assigned Identity i stället. Läs mer

Anteckning

Om du vill skicka data till Log Analytics måste du skapa datainsamlingsregeln i samma region där Log Analytics-arbetsytan finns. Regeln kan associeras till datorer i andra regioner som stöds.

I menyn Azure Monitor i Azure Portal väljer du Regler för datainsamling i Inställningar avsnittet. Klicka på Skapa för att skapa en ny regel för datainsamling och tilldelning.

Regler för datainsamling

Klicka på Lägg till för att skapa en ny regel och uppsättning associationer. Ange ett regelnamn och ange prenumeration, resursgrupp och region. Detta anger var DCR ska skapas. De virtuella datorerna och deras associationer kan finnas i valfri prenumeration eller resursgrupp i klientorganisationen. Välj också lämplig plattformstyp som anger vilken typ av resurser som regeln kan gälla för. Anpassad tillåter både Windows och Linux-typer. Detta möjliggör förvalt skapande med alternativ som är begränsade till den valda plattformstypen.

Grunderna i datainsamlingsregel

På fliken Resurser lägger du till de resurser (virtuella datorer, VM-skalningsuppsättningar, Arc för servrar) som ska ha datainsamlingsregeln tillämpad. Den Azure Monitor agenten installeras på resurser som inte redan har installerats och aktiverar även Hanterad Azure-identitet.

Virtuella datorer för datainsamlingsregel

På fliken Samla in och leverera klickar du på Lägg till datakälla för att lägga till en datakälla och måluppsättning. Välj typen Datakälla så visas motsvarande information som ska väljas. För prestandaräknare kan du välja från en fördefinierad uppsättning objekt och deras samplingsfrekvens. För händelser kan du välja från en uppsättning loggar eller anläggningar och allvarlighetsgraden.

Grundläggande datakälla

Om du vill ange andra loggar och prestandaräknare från de datakällor som stöds för närvarande eller filtrera händelser med hjälp av XPath-frågor väljer du Anpassad. Du kan sedan ange en XPath för alla specifika värden som ska samlas in. Exempel finns i Exempel på DCR.

Anpassad datakälla

På fliken Mål lägger du till ett eller flera mål för datakällan. Windows händelse- och Syslog-datakällor kan bara skicka till Azure Monitor Logs. Prestandaräknare kan skicka till både Azure Monitor mått och Azure Monitor loggar.

Mål

Klicka på Lägg till datakälla och granska + skapa för att granska informationen om datainsamlingsregeln och associationen med uppsättningen virtuella datorer. Klicka på Skapa för att skapa den.

Anteckning

När datainsamlingsregeln och associationerna har skapats kan det ta upp till 5 minuter innan data skickas till destinationerna.

Begränsa datainsamling med anpassade XPath-frågor

Eftersom du debiteras för alla data som samlas in på en Log Analytics-arbetsyta bör du endast samla in de data som du behöver. Med grundläggande konfiguration i Azure Portal har du bara begränsad möjlighet att filtrera händelser att samla in. För program- och systemloggar är detta alla loggar med en viss allvarlighetsgrad. För säkerhetsloggar är allt detta granskningsframgång eller alla granskningsfelloggar.

Om du vill ange ytterligare filter måste du använda Anpassad konfiguration och ange en XPath som filtrerar bort de händelser som du inte gör. XPath-poster skrivs i formen LogName!XPathQuery . Du kanske till exempel bara vill returnera händelser från programhändelseloggen med händelse-ID:t 1035. XPathQuery för dessa händelser är *[System[EventID=1035]] . Eftersom du vill hämta händelserna från programhändelseloggen skulle XPath vara Application!*[System[EventID=1035]]

Se XPath 1.0-begränsningar för en lista över begränsningar i XPath som stöds Windows av händelseloggen.

Tips

Använd PowerShell-cmdleten Get-WinEvent med FilterXPath parametern för att testa giltigheten för en XPathQuery. Följande skript visar ett exempel.

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Om händelser returneras är frågan giltig.
  • Om du får meddelandet Inga händelser hittades som matchar de angivna urvalskriterierna. kan frågan vara giltig, men det finns inga matchande händelser på den lokala datorn.
  • Om du får meddelandet Den angivna frågan är ogiltig är frågesyntaxen ogiltig.

I följande tabell visas exempel på filtrering av händelser med hjälp av en anpassad XPath.

Description Xpath
Samla endast in systemhändelser med händelse-ID = 4648 System!*[System[EventID=4648]]
Samla endast in systemhändelser med händelse-ID = 4648 och processnamnet consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Samla in alla kritiska händelser, fel-, varnings- och informationshändelser från systemhändelseloggen förutom händelse-ID = 6 (drivrutinen har lästs in) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Samla in alla lyckade och misslyckade säkerhetshändelser utom händelse-ID 4624 (lyckad inloggning) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Skapa regel och association med hjälp av REST API

Följ stegen nedan för att skapa en regel för datainsamling och associationer med hjälp av REST API.

Anteckning

Om du vill skicka data till Log Analytics måste du skapa datainsamlingsregeln i samma region där Log Analytics-arbetsytan finns. Regeln kan associeras till datorer i andra regioner som stöds.

  1. Skapa DCR-filen manuellt med JSON-formatet som visas i Dcr-exemplet.

  2. Skapa regeln med hjälp av REST API.

  3. Skapa en association för varje virtuell dator till datainsamlingsregeln med hjälp av REST API.

Skapa regel och association med hjälp Resource Manager mall

Anteckning

Om du vill skicka data till Log Analytics måste du skapa datainsamlingsregeln i samma region där Log Analytics-arbetsytan finns. Regeln kan associeras till datorer i andra regioner som stöds.

Du kan skapa en regel och en association för en virtuell Azure-dator eller Azure Arc-aktiverad server med hjälp Resource Manager mallar. Se Resource Manager mallexempel för datainsamlingsregler i Azure Monitor exempelmallar).

Hantera regler och associationer med PowerShell

Anteckning

Om du vill skicka data till Log Analytics måste du skapa datainsamlingsregeln i samma region där Log Analytics-arbetsytan finns. Regeln kan associeras till datorer i andra regioner som stöds.

Regler för datainsamling

Åtgärd Kommando
Hämta regler Get-AzDataCollectionRule
Skapa en regel New-AzDataCollectionRule
Uppdatera en regel Set-AzDataCollectionRule
Ta bort en regel Remove-AzDataCollectionRule
Uppdatera "Taggar" för en regel Update-AzDataCollectionRule

Regelassociationer för datainsamling

Åtgärd Kommando
Hämta associationer Get-AzDataCollectionRuleAssociation
Skapa en association New-AzDataCollectionRuleAssociation
Ta bort en association Remove-AzDataCollectionRuleAssociation

Hantera regler och associationer med Azure CLI

Anteckning

Om du vill skicka data till Log Analytics måste du skapa datainsamlingsregeln i samma region där Log Analytics-arbetsytan finns. Regeln kan associeras med datorer i andra regioner som stöds.

Detta är aktiverat som en del av Azure CLI-tillägget monitor-control-service. Visa alla kommandon

Nästa steg