Använda lösningen Tjänstkarta i Azure
Tjänstkarta identifierar automatiskt programkomponenter i Windows- och Linux-system och mappar kommunikationen mellan olika tjänster. Med Tjänstkarta kan du se dina servrar på samma sätt som du tänker på dem, dvs. som sammankopplade system som levererar kritiska tjänster. Tjänstkarta visar anslutningar mellan servrar, processer, inkommande och utgående anslutningssvarstid, samt portar i valfri TCP-ansluten arkitektur, utan att det krävs någon konfiguration förutom installationen av en agent.
I den här artikeln beskrivs information om registrering och användning Tjänstkarta. Kraven för lösningen är följande:
En Log Analytics-arbetsyta i en region som stöds.
Log Analytics-agenten installerad på Windows eller Linux-server som är ansluten till samma arbetsyta som du aktiverade lösningen med.
Beroendeagenten som är installerad Windows eller Linux-servern.
Anteckning
Om du redan har distribuerat Tjänstkarta kan du nu även visa dina kartor i VM-insikter, vilket innehåller ytterligare funktioner för att övervaka VM-hälsa och prestanda. Mer information finns i Översikt över VM-insikter. Mer information om skillnaderna mellan kartfunktionen för Tjänstkarta och VM-insikter finns i följande vanliga frågor och svar.
Logga in på Azure
Logga in på Azure Portal på https://portal.azure.com.
Aktivera Tjänstkarta
- Aktivera Tjänstkarta från Azure Marketplace eller genom att använda processen som beskrivs i Lägga till övervakningslösningar från Lösningsgalleriet.
- Installera beroendeagenten på Windows installera beroendeagenten på Linux på varje dator där du vill hämta data. Beroendeagenten kan övervaka anslutningar till omedelbara grannar, så du behöver kanske inte ha en agent på varje dator.
Du kommer Tjänstkarta i Azure Portal från Log Analytics-arbetsytan och väljer alternativet Lösningar i det vänstra fönstret.
.
Välj ServiceMap(workspaceName) i listan över lösningar och klicka Tjänstkarta sammanfattningspanelen på sidan Tjänstkarta lösningsöversikten.
.
Användningsfall: Gör dina IT-processer beroendemedvetna
Identifiering
Tjänstkarta skapar automatiskt en gemensam referenskarta över beroenden mellan dina servrar, processer och tjänster från tredje part. Den identifierar och mappar alla TCP-beroenden, identifierar oväntade anslutningar, fjärranslutna tredjepartssystem som du är beroende av och beroenden till traditionella mörka delar av nätverket, till exempel Active Directory. Tjänstkarta identifierar misslyckade nätverksanslutningar som dina hanterade system försöker göra, vilket hjälper dig att identifiera potentiella felkonfigurationer, tjänstavbrott och nätverksproblem.
Incidenthantering
Tjänstkarta hjälper till att eliminera gissningen av problemisolering genom att visa hur system är anslutna och påverkar varandra. Förutom att identifiera misslyckade anslutningar hjälper det till att identifiera felkonfigurerade lastbalanserare, överraskande eller överdriven belastning på kritiska tjänster och falska klienter, till exempel utvecklardatorer som pratar med produktionssystem. Genom att använda integrerade arbetsflöden med Ändringsspårning kan du också se om en ändringshändelse på en backend-dator eller tjänst förklarar rotorsaken till en incident.
Migreringsgaranti
Genom att Tjänstkarta kan du effektivt planera, påskynda och validera Azure-migreringar, vilket hjälper till att se till att inget lämnas kvar och att det inte uppstår oväntade avbrott. Du kan identifiera alla system som är beroende av varandra och som behöver migreras tillsammans, utvärdera systemkonfiguration och kapacitet och identifiera om ett system som körs fortfarande betjänar användare eller är en kandidat för avställning i stället för migrering. När flytten är klar kan du kontrollera klientens belastning och identitet för att kontrollera att testsystemen och kunderna ansluter. Om det finns problem med planerings- och brandväggsdefinitionerna för undernätet kan misslyckade anslutningar i Tjänstkarta mappning peka dig på de system som behöver anslutning.
Verksamhetskontinuitet
Om du använder Azure Site Recovery och behöver hjälp med att definiera återställningssekvensen för din programmiljö kan Tjänstkarta automatiskt visa hur system förlitar sig på varandra för att säkerställa att din återställningsplan är tillförlitlig. Genom att välja en kritisk server eller grupp och visa dess klienter kan du identifiera vilka klientsystem som ska återställas efter att servern har återställts och är tillgänglig. Omvänt kan du genom att titta på kritiska servrars serverberoenden identifiera vilka system som ska återställas innan dina fokussystem återställs.
Uppdateringshantering
Tjänstkarta förbättrar din användning av systemuppdateringsutvärderingen genom att visa vilka andra team och servrar som är beroende av din tjänst, så att du kan meddela dem i förväg innan du tar bort dina system för korrigering. Tjänstkarta också förbättra korrigeringshanteringen genom att visa om dina tjänster är tillgängliga och korrekt anslutna när de har korrigerats och startats om.
Mappningsöversikt
Tjänstkarta samlar in information om alla TCP-anslutna processer på servern där de är installerade och information om inkommande och utgående anslutningar för varje process.
I listan i det vänstra fönstret kan du välja datorer eller grupper som har Tjänstkarta agenter för att visualisera deras beroenden över ett angivet tidsperiod. Datorberoendemappningar fokuserar på en specifik dator och de visar alla datorer som är direkta TCP-klienter eller servrar på den datorn. Datorgruppsmappningar visar uppsättningar med servrar och deras beroenden.
Datorer kan expanderas på kartan för att visa processgrupper och processer som körs med aktiva nätverksanslutningar under det valda tidsperioden. När en fjärrdator med Tjänstkarta agent expanderas för att visa processinformation visas endast de processer som kommunicerar med fokusdatorn. Antalet agentlösa frontend-datorer som ansluter till fokusdatorn anges på vänster sida av de processer som de ansluter till. Om fokusdatorn upprättar en anslutning till en serverdator som inte har någon agent, ingår backend-servern i en serverportgrupp, tillsammans med andra anslutningar till samma portnummer.
Som standard visar Tjänstkarta de senaste 30 minuterna beroendeinformation. Genom att använda tidskontrollerna längst upp till vänster kan du fråga efter historiska tidsintervall på upp till en timme för att visa hur beroenden har sett ut tidigare (till exempel under en incident eller innan en ändring har skett). Tjänstkarta data lagras i 30 dagar på betalda arbetsytor och i 7 dagar på kostnadsfria arbetsytor.
Statusmärken och kantlinjefärgning
Längst ned på varje server på kartan kan en lista med statusmärken förmedla statusinformation om servern. Märkena visar att det finns viss relevant information för servern från någon av lösningsintegreringarna. När du klickar på en aktivitetsikon kommer du direkt till informationen om statusen i den högra rutan. De statusmärken som för närvarande är tillgängliga är aviseringar, Support, ändringar, säkerhet och uppdateringar.
Beroende på statusikonens allvarlighetsgrad kan datornodkanter färgas röda (kritiska), gula (varningar) eller blå (information). Färgen representerar den allvarligaste statusen för någon av statusikonerna. En grå kantlinje anger en nod som inte har några statusindikatorer.
Processgrupper
Processgrupper kombinerar processer som är associerade med en gemensam produkt eller tjänst i en processgrupp. När en datornod expanderas visas fristående processer tillsammans med processgrupper. Om några inkommande och utgående anslutningar till en process i en processgrupp har misslyckats visas anslutningen som misslyckad för hela processgruppen.
Datorgrupper
Med datorgrupper kan du se kartor som är centrerade kring en uppsättning servrar, inte bara en så att du kan se alla medlemmar i ett flernivåprogram eller serverkluster på en karta.
Användarna väljer vilka servrar som tillhör en grupp tillsammans och väljer ett namn för gruppen. Du kan sedan välja att visa gruppen med alla dess processer och anslutningar, eller visa den med endast de processer och anslutningar som är direkt relaterade till de andra medlemmarna i gruppen.
Skapa en datorgrupp
Om du vill skapa en grupp väljer du den dator eller de datorer som du vill använda i listan Datorer och klickar på Lägg till i gruppen.
Där kan du välja Skapa ny och ge gruppen ett namn.
Anteckning
Datorgrupper är begränsade till 10 servrar.
Visa en grupp
När du har skapat vissa grupper kan du visa dem genom att välja fliken Grupper.
Välj sedan gruppnamnet för att visa kartan för den datorgruppen.
De datorer som tillhör gruppen beskrivs i vitt på kartan.
Om du expanderar gruppen visas de datorer som utgör datorgruppen.
Filtrera efter processer
Du kan växla kartvyn mellan att visa alla processer och anslutningar i gruppen och endast de som är direkt relaterade till datorgruppen. Standardvyn är att visa alla processer. Du kan ändra vyn genom att klicka på filterikonen ovanför kartan.
När Alla processer har valts innehåller kartan alla processer och anslutningar på var och en av datorerna i gruppen.
Om du ändrar vyn så att endast gruppanslutna processer visas kommer kartan endast att begränsas till de processer och anslutningar som är direkt anslutna till andra datorer i gruppen, vilket skapar en förenklad vy.
Lägga till datorer i en grupp
Om du vill lägga till datorer i en befintlig grupp markerar du kryssrutorna bredvid de datorer som du vill använda och klickar sedan på Lägg till i gruppen. Välj sedan den grupp som du vill lägga till datorerna i.
Ta bort datorer från en grupp
I listan Grupper expanderar du gruppnamnet för att visa en lista över datorerna i datorgruppen. Klicka sedan på ellipsmenyn bredvid den dator som du vill ta bort och välj Ta bort.
Ta bort eller byta namn på en grupp
Klicka på ellipsmenyn bredvid gruppnamnet i grupplistan.
Rollikoner
Vissa processer har särskilda roller på datorer: webbservrar, programservrar, databaser och så vidare. Tjänstkarta kommenterar process- och datorrutor med rollikoner för att snabbt identifiera vilken roll en process eller server spelar.
| Rollikon | Beskrivning |
|---|---|
 |
Webbserver |
 |
Programserver |
 |
Databasserver |
 |
LDAP-server |
 |
SMB-server |
Misslyckade anslutningar
Misslyckade anslutningar visas i Tjänstkarta mappar för processer och datorer, med en streckad röd linje som anger att ett klientsystem inte kan nå en process eller port. Misslyckade anslutningar rapporteras från alla system med en distribuerad Tjänstkarta agent om det är det system som försöker upprätta den misslyckade anslutningen. Tjänstkarta den här processen genom att observera TCP-sockets som inte kan upprätta en anslutning. Det här felet kan uppstå på grund av en brandvägg, en felaktig konfiguration i klienten eller servern eller att en fjärrtjänst inte är tillgänglig.
Att förstå misslyckade anslutningar kan hjälpa till med felsökning, migreringsverifiering, säkerhetsanalys och övergripande arkitekturförståelse. Misslyckade anslutningar är ibland ofarliga, men de pekar ofta direkt på ett problem, till exempel att en redundansmiljö plötsligt blir oåtkomlig, eller att två programnivåer inte kan kommunicera efter en molnmigrering.
Klientgrupper
Klientgrupper är rutor på kartan som representerar klientdatorer som inte har beroendeagenter. En enskild klientgrupp representerar klienterna för en enskild process eller dator.
Om du vill se IP-adresserna för servrarna i en klientgrupp väljer du gruppen. Innehållet i gruppen visas i fönstret Egenskaper för klientgrupp.
Serverportgrupper
Serverportgrupper är rutor som representerar serverportar på servrar som inte har beroendeagenter. Rutan innehåller serverporten och antalet servrar med anslutningar till den porten. Expandera rutan för att se enskilda servrar och anslutningar. Om det bara finns en server i rutan visas namnet eller IP-adressen.
Snabbmeny
Om du klickar på ellipsen (...) längst upp till höger på en server visas snabbmenyn för den servern.
Läs in serverkarta
Om du klickar på Läs in serverkarta kommer du till en ny karta med den valda servern som den nya fokusdatorn.
Visa självlänkar
När du klickar på Visa självlänkar ritas servernoden om, inklusive eventuella självlänkar, som är TCP-anslutningar som startar och slutar med processer på servern. Om självlänkar visas ändras menykommandot till Dölj självlänkar, så att du kan inaktivera dem.
Datorsammanfattning
Fönstret Datorsammanfattning innehåller en översikt över en servers operativsystem, beroendeantal och data från andra lösningar. Sådana data omfattar prestandamått, supportärenden, ändringsspårning, säkerhet och uppdateringar.
Egenskaper för dator och process
När du navigerar Tjänstkarta mappning kan du välja datorer och processer för att få ytterligare kontext om deras egenskaper. Datorer tillhandahåller information om DNS-namn, IPv4-adresser, CPU- och minneskapacitet, typ av virtuell dator, operativsystem och version, senaste omstartstid och IP-adresserna för deras OMS- och Tjänstkarta agenter.
Du kan samla in processinformation från metadata för operativsystemet om processer som körs, inklusive processnamn, processbeskrivning, användarnamn och domän (på Windows), företagsnamn, produktnamn, produktversion, arbetskatalog, kommandorad och processstarttid.
Fönstret Processsammanfattning innehåller ytterligare information om processens anslutning, inklusive dess bundna portar, inkommande och utgående anslutningar och misslyckade anslutningar.
Aviseringsintegrering
Tjänstkarta kan integreras med Azure Alerts för att visa utt sparken-aviseringar för den valda servern i det valda tidsperioden. Servern visar en ikon om det finns aktuella aviseringar och fönstret Datoraviseringar visar aviseringarna.
Om du Tjänstkarta att visa relevanta aviseringar skapar du en aviseringsregel som aktiveras för en specifik dator. Så här skapar du rätt aviseringar:
- Inkludera en -sats för att gruppera efter dator (till exempel efter datorintervall 1 minut).
- Välj att avisering baserat på måttmätning.
Integrering av logghändelser
Tjänstkarta integreras med loggsökning för att visa antalet tillgängliga logghändelser för den valda servern under det valda tidsperioden. Du kan klicka på valfri rad i listan över händelseantal för att gå till Loggsökning och se enskilda logghändelser.
Support integrering
Tjänstkarta integreringen med Anslutningsprogram för hantering av IT-tjänster (ITSM) är automatisk när båda lösningarna aktiveras och konfigureras i Log Analytics-arbetsytan. Integreringen i Tjänstkarta är märkt "Support". Mer information finns i Centralt hantera ITSM-arbetsobjekt med hjälp av Anslutningsprogram för hantering av IT-tjänster (ITSM).
Fönstret Machine Support visar alla IT Service Management-händelser för den valda servern inom det valda tidsperioden. Servern visar en ikon om det finns aktuella objekt och machine Support visar dem.
Öppna objektet i den anslutna ITSM-lösningen genom att klicka på Visa arbetsobjekt.
Om du vill visa information om objektet i Loggsökning klickar du på Visa i Loggsökning. Anslutningsmått skrivs till två nya tabeller i Log Analytics
Ändringsspårning integrering
Tjänstkarta integrering med Ändringsspårning automatiskt när båda lösningarna aktiveras och konfigureras i Log Analytics-arbetsytan.
Fönstret Machine Ändringsspårning listar alla ändringar, med den senaste först, tillsammans med en länk för att öka detaljgranskningen till Loggsökning för ytterligare information.
Följande bild är en detaljerad vy över en ConfigurationChange-händelse som du kan se när du har valt Visa i Log Analytics.
Prestandaintegrering
Fönstret Datorprestanda visar standardprestandamått för den valda servern. Måtten omfattar processoranvändning, minnesanvändning, skickade och mottagna nätverksbyte och en lista över de främsta processerna efter antal skickade och mottagna nätverksbyte.
Om du vill se prestandadata kan du behöva aktivera lämpliga Log Analytics-prestandaräknare. Räknarna som du vill aktivera:
Windows:
- Processor(*) \ % processortid
- Minne \ % deterade byte som används
- Nätverkskort(*) \ Skickade byte/sek
- Nätverkskort(*) \ Mottagna byte/sek
Linux:
- Processor(*) \ % processortid
- Memory(*) \ % använt minne
- Nätverkskort(*) \ Skickade byte/sek
- Nätverkskort(*) \ Mottagna byte/sek
För att hämta data om nätverksprestanda måste du också ha aktiverat Wire Data 2.0 på din arbetsyta.
Säkerhetsintegrering
Tjänstkarta integrering med Säkerhet och granskning automatiskt när båda lösningarna är aktiverade och konfigurerade i Log Analytics-arbetsytan.
Fönstret Datorsäkerhet visar data från Säkerhet och granskning för den valda servern. I fönstret visas en sammanfattning av eventuella utestående säkerhetsproblem för servern under det valda tidsperioden. När du klickar på något av säkerhetsproblemen ökas detaljgranskningen till en loggsökning för att få information om dem.
Uppdateringsintegrering
Tjänstkarta integrering med Uppdateringshantering automatiskt när båda lösningarna aktiveras och konfigureras i Log Analytics-arbetsytan.
Fönstret Datoruppdateringar visar data från Uppdateringshantering för den valda servern. I fönstret visas en sammanfattning av eventuella uppdateringar som saknas för servern under det valda tidsperioden.
Log Analytics-poster
Tjänstkarta och bearbeta inventeringsdata är tillgängliga för sökning i Log Analytics. Du kan använda dessa data för scenarier som omfattar migreringsplanering, kapacitetsanalys, identifiering och prestandafelsökning på begäran.
En post genereras per timme för varje unik dator och process, förutom de poster som genereras när en process eller dator startar eller är Tjänstkarta. Dessa poster har egenskaperna i följande tabeller. Fälten och värdena i ServiceMapComputer_CL mappning till fälten för machine-resursen i ServiceMap Azure Resource Manager-API:et. Fälten och värdena i ServiceMapProcess_CL mappning till fälten för processresursen i ServiceMap Azure Resource Manager-API:et. Fältet ResourceName_s matchar namnfältet i motsvarande Resource Manager resurs.
Anteckning
När Tjänstkarta funktioner växer kan dessa fält komma att ändras.
Det finns internt genererade egenskaper som du kan använda för att identifiera unika processer och datorer:
- Dator: Använd ResourceId eller ResourceName_s för att unikt identifiera en dator i en Log Analytics-arbetsyta.
- Process: Använd ResourceId för att unikt identifiera en process på en Log Analytics-arbetsyta. ResourceName_s är unikt inom kontexten för den dator där processen körs (MachineResourceName_s)
Eftersom det kan finnas flera poster för en angiven process och dator i ett angivet tidsperiod, kan frågor returnera fler än en post för samma dator eller process. Om du bara vill inkludera den senaste posten lägger du till "| dedup ResourceId" till frågan.
Anslutningar
Anslutningsmått skrivs till en ny tabell i Log Analytics – VMConnection. Den här tabellen innehåller information om anslutningar för en dator (inkommande och utgående). Anslutningsmått exponeras också med API:er som ger möjlighet att hämta ett visst mått under en tidsperiod. TCP-anslutningar som är resultatet av att acceptera på en lyssningssocket är inkommande, medan de som skapas genom att ansluta till en viss IP-adress och port är utgående. Riktningen för en anslutning representeras av egenskapen Direction, som kan anges till antingen inkommande eller utgående.
Poster i dessa tabeller genereras från data som rapporteras av beroendeagenten. Varje post representerar en observation över ett tidsintervall på en minut. Egenskapen TimeGenerated anger starten av tidsintervallet. Varje post innehåller information för att identifiera respektive entitet, det vill säga anslutning eller port, samt mått som är associerade med den entiteten. För närvarande rapporteras endast nätverksaktivitet som sker med TCP över IPv4.
För att hantera kostnader och komplexitet representerar anslutningsposter inte enskilda fysiska nätverksanslutningar. Flera fysiska nätverksanslutningar grupperas i en logisk anslutning, som sedan visas i respektive tabell. Det innebär att poster i VMConnection-tabellen representerar en logisk gruppering och inte de enskilda fysiska anslutningar som observeras. Fysisk nätverksanslutning som delar samma värde för följande attribut under ett visst minutintervall aggregeras i en enda logisk post i VMConnection.
| Egenskap | Beskrivning |
|---|---|
Direction |
Anslutningens riktning, värdet är inkommande eller utgående |
Machine |
Datorns FQDN |
Process |
Identitet för process eller grupper av processer, initiera/acceptera anslutningen |
SourceIp |
KÄLLANS IP-adress |
DestinationIp |
MÅLETs IP-adress |
DestinationPort |
Målets portnummer |
Protocol |
Protokoll som används för anslutningen. Värdena är tcp. |
För att ta hänsyn till effekten av gruppering anges information om antalet grupperade fysiska anslutningar i följande egenskaper för posten:
| Egenskap | Beskrivning |
|---|---|
LinksEstablished |
Antalet fysiska nätverksanslutningar som har upprättats under rapporttidsfönstret |
LinksTerminated |
Antalet fysiska nätverksanslutningar som har avslutats under rapporttidsfönstret |
LinksFailed |
Antalet fysiska nätverksanslutningar som misslyckades under rapporttidsfönstret. Den här informationen är för närvarande endast tillgänglig för utgående anslutningar. |
LinksLive |
Antalet fysiska nätverksanslutningar som var öppna i slutet av rapporttidsfönstret |
Mått
Förutom mått för antal anslutningar ingår även information om mängden data som skickas och tas emot på en viss logisk anslutning eller nätverksport i följande egenskaper för posten:
| Egenskap | Beskrivning |
|---|---|
BytesSent |
Totalt antal byte som har skickats under rapporttidsfönstret |
BytesReceived |
Totalt antal byte som har tagits emot under rapporttidsfönstret |
Responses |
Antalet svar som observerats under rapporttidsfönstret. |
ResponseTimeMax |
Den största svarstiden (millisekunder) som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom. |
ResponseTimeMin |
Den minsta svarstiden (millisekunder) som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom. |
ResponseTimeSum |
Summan av alla svarstider (millisekunder) som observerats under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom |
Den tredje typen av data som rapporteras är svarstid – hur lång tid lägger en anropare på att vänta på att en begäran som skickas via en anslutning ska bearbetas och besvaras av fjärrslutpunkten. Den rapporterade svarstiden är en uppskattning av den sanna svarstiden för det underliggande programprotokollet. Den beräknas med hjälp av heuristik baserat på observation av dataflödet mellan käll- och målslutet för en fysisk nätverksanslutning. Konceptuellt är det skillnaden mellan den tid då den sista byten av en begäran lämnar avsändaren och den tid då den sista byten av svaret kommer tillbaka till den. Dessa två tidsstämplar används för att beskriva begäran- och svarshändelser på en viss fysisk anslutning. Skillnaden mellan dem representerar svarstiden för en enskild begäran.
I den här första versionen av den här funktionen är vår algoritm en uppskattning som kan fungera med varierande grad av framgång beroende på det faktiska programprotokollet som används för en viss nätverksanslutning. Den aktuella metoden fungerar till exempel bra för protokoll som baseras på begäran/svar, till exempel HTTP(S), men fungerar inte med envägs- eller meddelandeköbaserade protokoll.
Här är några viktiga saker att tänka på:
- Om en process accepterar anslutningar på samma IP-adress men via flera nätverksgränssnitt rapporteras en separat post för varje gränssnitt.
- Poster med jokertecken-IP innehåller ingen aktivitet. De ingår för att representera det faktum att en port på datorn är öppen för inkommande trafik.
- För att minska ordagrannhet och datavolym utelämnas poster med jokertecken-IP när det finns en matchande post (för samma process, port och protokoll) med en specifik IP-adress. När en IP-post med jokertecken utelämnas anges postegenskapen IsWildcardBind med den specifika IP-adressen till "True" för att indikera att porten exponeras över varje gränssnitt i rapportdatorn.
- Portar som endast är bundna i ett visst gränssnitt har IsWildcardBind inställt på "False".
Namngivning och klassificering
För enkelhetens skull ingår IP-adressen för fjärrslutet av en anslutning i egenskapen RemoteIp. För inkommande anslutningar är RemoteIp detsamma som SourceIp, men för utgående anslutningar är det samma som DestinationIp. Egenskapen RemoteDnsCanonicalNames representerar de DNS-kanoniska namn som rapporteras av datorn för RemoteIp. Egenskaperna RemoteDnsQuestions och RemoteClassification är reserverade för framtida användning.
Geolocation
VMConnection innehåller även geoplatsinformation för fjärrslutet för varje anslutningspost i följande egenskaper för posten:
| Egenskap | Beskrivning |
|---|---|
RemoteCountry |
Namnet på det land/den region som är värd för RemoteIp. Till exempel USA |
RemoteLatitude |
Geoplats-latitud. Till exempel 47,68 |
RemoteLongitude |
Geoplats longitud. Till exempel -122.12 |
Skadlig IP-adress
Varje RemoteIp-egenskap i VMConnection-tabellen kontrolleras mot en uppsättning IP-adresser med känd skadlig aktivitet. Om RemoteIp identifieras som skadlig fylls följande egenskaper i (de är tomma när IP-adressen inte betraktas som skadlig) i följande egenskaper för posten:
| Egenskap | Beskrivning |
|---|---|
MaliciousIp |
RemoteIp-adressen |
IndicatorThreadType |
Hotindikator som identifierats är ett av följande värden: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist. |
Description |
Beskrivning av det observerade hotet. |
TLPLevel |
Traffic Light Protocol (TLP)-nivå är ett av de definierade värdena White, Green, Orange, Red. |
Confidence |
Värdena är 0–100. |
Severity |
Värdena är 0–5, där 5 är den allvarligaste och 0 är inte allvarlig alls. Standardvärdet är 3. |
FirstReportedDateTime |
Första gången leverantören rapporterade indikatorn. |
LastReportedDateTime |
Senaste gången indikatorn sågs av Interflow. |
IsActive |
Indikerar att indikatorer inaktiveras med värdet True eller False. |
ReportReferenceLink |
Länkar till rapporter relaterade till en viss observerbar. |
AdditionalInformation |
Ger ytterligare information, om tillämpligt, om det observerade hotet. |
ServiceMapComputer_CL poster
Poster med en typ av ServiceMapComputer_CL har inventeringsdata för servrar med Tjänstkarta agenter. De här posterna har egenskaperna i följande tabell:
| Egenskap | Beskrivning |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
Den unika identifieraren för en dator på arbetsytan |
ResourceName_s |
Den unika identifieraren för en dator på arbetsytan |
ComputerName_s |
Datorns FQDN |
Ipv4Addresses_s |
En lista över serverns IPv4-adresser |
Ipv6Addresses_s |
En lista över serverns IPv6-adresser |
DnsNames_s |
En matris med DNS-namn |
OperatingSystemFamily_s |
Windows eller Linux |
OperatingSystemFullName_s |
Det fullständiga namnet på operativsystemet |
Bitness_s |
Datorns bithet (32-bitars eller 64-bitars) |
PhysicalMemory_d |
Det fysiska minnet i MB |
Cpus_d |
Antalet processorer |
CpuSpeed_d |
Processorhastigheten i MHz |
VirtualizationState_s |
unknown, physical, virtual, hypervisor |
VirtualMachineType_s |
hyperv, vmware och så vidare |
VirtualMachineNativeMachineId_g |
Det virtuella dator-ID som tilldelats av dess hypervisor |
VirtualMachineName_s |
Namnet på den virtuella datorn |
BootTime_t |
Starttiden |
ServiceMapProcess_CL typposter
Poster med en typ ServiceMapProcess_CL har inventeringsdata för TCP-anslutna processer på servrar med Tjänstkarta agenter. De här posterna har egenskaperna i följande tabell:
| Egenskap | Beskrivning |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
Den unika identifieraren för en process i arbetsytan |
ResourceName_s |
Den unika identifieraren för en process på den dator där den körs |
MachineResourceName_s |
Datorns resursnamn |
ExecutableName_s |
Namnet på den körbara process-filen |
StartTime_t |
Starttiden för processpoolen |
FirstPid_d |
Den första PID:en i processpoolen |
Description_s |
Processbeskrivningen |
CompanyName_s |
Företagets namn |
InternalName_s |
Det interna namnet |
ProductName_s |
Namnet på produkten |
ProductVersion_s |
Produktversionen |
FileVersion_s |
Filversionen |
CommandLine_s |
Kommandoraden |
ExecutablePath _s |
Sökvägen till den körbara filen |
WorkingDirectory_s |
Arbetskatalogen |
UserName |
Kontot som processen körs under |
UserDomain |
Domänen som processen körs under |
Exempel på loggsökningar
Lista alla kända datorer
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Visa en lista över kapaciteten för fysiskt minne för alla hanterade datorer.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Lista datornamn, DNS, IP och OPERATIVSYSTEM.
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Hitta alla processer med "sql" på kommandoraden
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Hitta en dator (den senaste posten) efter resursnamn
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Hitta en dator (den senaste posten) efter IP-adress
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Lista alla kända processer på en angiven dator
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Lista alla datorer som kör SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Lista alla unika produktversioner av curl i mitt datacenter
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Skapa en datorgrupp för alla datorer som kör CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Sammanfatta de utgående anslutningarna från en grupp med datorer
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
REST API
Alla server-, process- och beroendedata i Tjänstkarta är tillgängliga via Tjänstkarta REST API.
Diagnostik- och användningsdata
Microsoft samlar automatiskt in användnings- och prestandadata genom din användning Tjänstkarta tjänsten. Microsoft använder dessa data för att tillhandahålla och förbättra kvaliteten, säkerheten och integriteten hos Tjänstkarta tjänsten. För att tillhandahålla korrekta och effektiva felsökningsfunktioner innehåller data information om konfigurationen av programvaran, till exempel operativsystem och version, IP-adress, DNS-namn och arbetsstationsnamn. Microsoft samlar inte in namn, adresser eller annan kontaktinformation.
Mer information om insamling och användning av data finns i Sekretesspolicy för Microsoft Online Services.
Nästa steg
Läs mer om loggsökningar i Log Analytics för att hämta data som samlas in av Tjänstkarta.
Felsökning
Om du har problem med att installera eller köra Tjänstkarta kan det här avsnittet hjälpa dig. Om du fortfarande inte kan lösa problemet kontaktar du Microsoft Support.
Problem med installation av beroendeagent
Installationsprogrammet begär en omstart
Beroendeagenten kräver vanligtvis inte någon omstart vid installation eller borttagning. I vissa sällsynta fall kräver dock Windows Server en omstart för att fortsätta med en installation. Detta inträffar när ett beroende, vanligtvis Microsoft Visual C++ Redistributable-biblioteket kräver en omstart på grund av en låst fil.
Meddelandet ”Det går inte att installera Dependency Agent: Det gick inte att installera Visual Studio Runtime-bibliotek (code = [code_number])” visas
Microsoft Dependency Agent bygger på Microsoft Visual Studio-körningsbiblioteken. Du får ett meddelande om det uppstår problem under installationen av biblioteken.
Installationsprogrammen för körningsbiblioteken skapar loggar i mappen %LOCALAPPDATA%\temp. Filen är dd_vcredist_arch_yyyymmddhhmmss.log , där arch är eller x86 och amd64 yyyymmddhhmmsss är datum och tid (24-timmarsklocka) när loggen skapades. Loggen innehåller information om problemet som blockerar installationen.
Det kan vara bra att installera de senaste körningsbiblioteken först.
I följande tabell visas kodnummer och föreslagna lösningar.
| Kod | Beskrivning | Lösning |
|---|---|---|
| 0x17 | Biblioteksinstallationsprogrammet kräver en Windows-uppdatering som inte har installerats. | Titta i den senaste biblioteksinstallationsloggen. Om en referens till följs av en rad har du inte de nödvändiga förutsättningarna för att Windows8.1-KB2999226-x64.msu Error 0x80240017: Failed to execute MSU package, installera KB2999226. Följ anvisningarna i avsnittet med förhandskrav i artikeln om Universal C Runtime i Windows. Du kan behöva köra Windows Update och starta om flera gånger för att installera det som krävs för att uppfylla förhandskraven.Kör installationsprogrammet för Microsoft Dependency Agent igen. |
Problem efter installationen
Servern visas inte i Tjänstkarta
Om installationen av beroendeagenten lyckades, men du inte ser datorn i Tjänstkarta lösningen:
Har Dependency Agent installerats på rätt sätt? Du kan validera detta genom att kontrollera om tjänsten är installerad och körs.
Windows: Leta efter tjänsten med namnet Microsoft Dependency Agent. Linux: Leta efter den process som körs microsoft-dependency-agent.Är du på den kostnadsfria Log Analytics-nivån? Den kostnadsfria planen tillåter upp till fem unika datorer med Tjänstkarta. Efterföljande datorer visas inte i Tjänstkarta, även om de fem föregående inte längre skickar data.
Skickar servern logg- och prestandadata till Azure Monitor loggar? Gå till Monitor\Logs och kör följande fråga för datorn:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Fick du en mängd olika händelser i resultatet? Är data aktuella? I så fall fungerar Log Analytics-agenten som den ska och kommunicerar med arbetsytan. Om inte kontrollerar du agenten på datorn: Log Analytics-agent för Windows-felsökning eller Log Analytics-agent för Linux-felsökning.
Servern visas i Tjänstkarta men har inga processer
Om du ser din dator i Tjänstkarta, men den inte har några process- eller anslutningsdata, indikerar det att beroendeagenten är installerad och körs, men kerneldrivrutinen har inte läses in.
Kontrollera C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file (Windows) eller /var/opt/microsoft/dependency-agent/log/service.log file (Linux). De sista raderna i filen anger varför kerneln inte har lästs in. Till exempel kanske din kernel inte stöds i Linux om du har uppdaterat den.
Förslag
Har du någon feedback till oss om Tjänstkarta eller den här dokumentationen? Besök vår User Voice-sidadär du kan föreslå funktioner eller rösta fram befintliga förslag.