Azure İzleyici Aracısı ile sanal makinelerden olayları ve performans sayaçlarını toplama

Bu makalede, Azure İzleyici Aracısı kullanılarak sanal makinelerden olayların ve performans sayaçlarının nasıl toplandığı açıklanmaktadır.

Önkoşullar

Bu yordamı tamamlamak için şunları yapmanız gerekir:

• En az katkıda bulunan haklarına sahip olduğunuz Log Analytics çalışma alanı.
• Çalışma alanında Veri Toplama Kuralı nesneleri oluşturma izinleri.
• Veri toplama kuralını belirli sanal makinelerle ilişkilendirin.

Veri toplama kuralı oluşturma

Farklı bir bölgedeki veya kiracıdaki çalışma alanları dahil olmak üzere birden çok makineden birden çok Log Analytics çalışma alanına veri göndermek için bir veri toplama kuralı tanımlayabilirsiniz. Log Analytics çalışma alanınızla aynı bölgede veri toplama kuralı oluşturun. Windows olayı ve Syslog verilerini yalnızca Azure İzleyici Günlüklerine gönderebilirsiniz. Performans sayaçlarını hem Azure İzleyici Ölçümlerine hem de Azure İzleyici Günlüklerine gönderebilirsiniz.

Not

Şu anda Microsoft.HybridCompute (Azure Arc özellikli sunucular) kaynakları Ölçüm Gezgini'nde (Azure portal UX) görüntülenemez, ancak Ölçümler REST API'si (Ölçüm Ad Alanları - Liste, Ölçüm Tanımları - Liste ve Ölçümler - Liste) aracılığıyla edinilebilir.

Not

Kiracılar arasında veri göndermek için önce Azure Lighthouse'ı etkinleştirmeniz gerekir.

Portal

1. İzleyici menüsünde Veri Toplama Kuralları'nı seçin.

2. Yeni bir veri toplama kuralı ve ilişkilendirmeleri oluşturmak için Oluştur'u seçin.

   

3. Bir Kural adı girin ve Abonelik, Kaynak Grubu, Bölge ve Platform Türü belirtin:

   • Bölge , DCR'nin nerede oluşturulacağını belirtir. Sanal makineler ve bunların ilişkilendirmeleri kiracıdaki herhangi bir abonelikte veya kaynak grubunda olabilir.
   • Platform Türü , bu kuralın uygulanabileceği kaynak türünü belirtir. Özel seçeneği hem Windows hem de Linux türlerine izin verir.

   

4. Kaynaklar sekmesinde:

5. 1. + Kaynak ekle'yi seçin ve kaynakları veri toplama kuralıyla ilişkilendirin. Kaynaklar sanal makineler, Sanal Makine Ölçek Kümeleri ve sunucular için Azure Arc olabilir. Azure portalı, henüz yüklü olmayan kaynaklara Azure İzleyici Aracısı'nı yükler.

      Önemli

      Portal, varsa mevcut kullanıcı tarafından atanan kimliklerle birlikte hedef kaynaklarda sistem tarafından atanan yönetilen kimliği etkinleştirir. İstekte kullanıcı tarafından atanan kimliği belirtmediğiniz sürece, mevcut uygulamalar için makine varsayılan olarak sistem tarafından atanan kimliği kullanır.

      Özel bağlantıları kullanarak ağ yalıtımına ihtiyacınız varsa, ilgili kaynaklar için aynı bölgeden mevcut uç noktaları seçin veya yeni bir uç nokta oluşturun.

   2. Veri Toplama Uç Noktalarını Etkinleştir'i seçin.

   3. Veri toplama kuralıyla ilişkili kaynakların her biri için bir veri toplama uç noktası seçin.

   

6. Veri kaynağı eklemek ve hedef ayarlamak için Veri kaynağı ekle ve teslim etme sekmesinde Veri kaynağı ekle'yi seçin.

7. Bir Veri kaynağı türü seçin.

8. Hangi verileri toplamak istediğinizi seçin. Performans sayaçları için önceden tanımlanmış bir nesne kümesinden ve bunların örnekleme hızından seçim yapabilirsiniz. Olaylar için bir dizi günlük ve önem düzeyi arasından seçim yapabilirsiniz.

   

9. Şu anda desteklenmeyen veri kaynaklarını toplamak veya XPath sorgularını kullanarak olayları filtrelemek için Özel'i seçin. Daha sonra belirli değerleri toplamak için bir XPath belirtebilirsiniz.

   Varsayılan olarak kullanılamayan bir performans sayacı toplamak için biçimini \PerfObject(ParentInstance/ObjectInstance#InstanceIndex)\Counterkullanın. Sayaç adı bir ve işareti (& içeriyorsa) ile &değiştirin. Örneğin, \Memory\Free & Zero Page List Bytes.

   DCR örnekleri için bkz . Azure İzleyici'de örnek veri toplama kuralları (DCR' ler).

   

10. Hedef sekmesinde, veri kaynağı için bir veya daha fazla hedef ekleyin. Aynı veya farklı türlerde birden çok hedef seçebilirsiniz. Örneğin, çoklu giriş olarak da bilinen birden çok Log Analytics çalışma alanı seçebilirsiniz.

    Windows olayı ve Syslog veri kaynaklarını yalnızca Azure İzleyici Günlüklerine gönderebilirsiniz. Performans sayaçlarını hem Azure İzleyici Ölçümlerine hem de Azure İzleyici Günlüklerine gönderebilirsiniz. Şu anda karma işlem (Sunucu için Arc) kaynakları Azure İzleyici Ölçümleri (Önizleme) hedefini desteklemez .

    

11. Veri kaynağı ekle'yi seçin ve ardından gözden geçir + oluştur'u seçerek veri toplama kuralının ayrıntılarını ve sanal makine kümesiyle ilişkilendirmeyi gözden geçirin.

12. Veri toplama kuralını oluşturmak için Oluştur'u seçin.

API

1. Örnek DCR'de gösterilen JSON biçimini kullanarak bir DCR dosyası oluşturun.

2. REST API'yi kullanarak kuralı oluşturun.

3. REST API kullanarak her sanal makine için veri toplama kuralıyla bir ilişkilendirme oluşturun.

PowerShell

Veri toplama kuralları

Eylem	Command
Kuralları alma	Get-AzDataCollectionRule
Kural oluşturun	New-AzDataCollectionRule
Kuralı güncelleştirme	Set-AzDataCollectionRule
Kuralı silme	Remove-AzDataCollectionRule
Kural için "Etiketler"i güncelleştirme	Update-AzDataCollectionRule

Veri toplama kuralı ilişkilendirmeleri

Eylem	Command
İlişkilendirmeleri alma	Get-AzDataCollectionRuleAssociation
İlişki oluşturma	New-AzDataCollectionRuleAssociation
İlişkilendirmeyi silme	Remove-AzDataCollectionRuleAssociation

Azure CLI

Bu özellik, Azure CLI monitor-control-service uzantısının bir parçası olarak etkinleştirilir. Tüm komutları görüntüleyin.

ARM

Azure VM ile ilişkilendirme oluşturma

Aşağıdaki örnek, Azure sanal makinesi ile veri toplama kuralı arasında bir ilişki oluşturur.

Şablon dosyası

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Parametre dosyası

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Azure Arc ile ilişkilendirme oluşturma

Aşağıdaki örnek, Azure Arc özellikli bir sunucu ile veri toplama kuralı arasında bir ilişki oluşturur.

Şablon dosyası

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string",
      "metadata": {
        "description": "The name of the virtual machine."
      }
    },
    "associationName": {
      "type": "string",
      "metadata": {
        "description": "The name of the association."
      }
    },
    "dataCollectionRuleId": {
      "type": "string",
      "metadata": {
        "description": "The resource ID of the data collection rule."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "apiVersion": "2021-09-01-preview",
      "scope": "[format('Microsoft.Compute/virtualMachines/{0}', parameters('vmName'))]",
      "name": "[parameters('associationName')]",
      "properties": {
        "description": "Association of data collection rule. Deleting this association will break the data collection for this virtual machine.",
        "dataCollectionRuleId": "[parameters('dataCollectionRuleId')]"
      }
    }
  ]
}

Bicep

Azure VM ile ilişkilendirme oluşturma

Aşağıdaki örnek, Azure sanal makinesi ile veri toplama kuralı arasında bir ilişki oluşturur.

Şablon dosyası

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.Compute/virtualMachines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this virtual machine.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parametre dosyası

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

Azure Arc ile ilişkilendirme oluşturma

Aşağıdaki örnek, Azure Arc özellikli bir sunucu ile veri toplama kuralı arasında bir ilişki oluşturur.

Şablon dosyası

@description('The name of the virtual machine.')
param vmName string

@description('The name of the association.')
param associationName string

@description('The resource ID of the data collection rule.')
param dataCollectionRuleId string

resource vm 'Microsoft.HybridCompute/machines@2021-11-01' existing = {
  name: vmName
}

resource association 'Microsoft.Insights/dataCollectionRuleAssociations@2021-09-01-preview' = {
  name: associationName
  scope: vm
  properties: {
    description: 'Association of data collection rule. Deleting this association will break the data collection for this Arc server.'
    dataCollectionRuleId: dataCollectionRuleId
  }
}

Parametre dosyası

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "value": "my-azure-vm"
    },
    "associationName": {
      "value": "my-windows-vm-my-dcr"
    },
    "dataCollectionRuleId": {
      "value": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.insights/datacollectionrules/my-dcr"
    }
   }
}

---

Not

Veri toplama kuralını oluşturduktan sonra verilerin hedeflere gönderilmesi 5 dakika kadar sürebilir.

XPath sorgularını kullanarak olayları filtreleme

Log Analytics çalışma alanında topladığınız tüm veriler için ücretlendirilirsiniz. Bu nedenle, yalnızca ihtiyacınız olan olay verilerini toplamanız gerekir. Azure portalındaki temel yapılandırma, olayları filtrelemek için sınırlı bir olanak sağlar.

İpucu

Azure İzleyici maliyetlerinizi azaltma stratejileri için bkz . Maliyet iyileştirme ve Azure İzleyici.

Daha fazla filtre belirtmek için özel yapılandırma kullanın ve ihtiyacınız olmayan olayları filtreleyen bir XPath belirtin. XPath girdileri biçiminde LogName!XPathQueryyazılır. Örneğin, yalnızca Uygulama olay günlüğünden olay kimliği 1035 olan olayları döndürmek isteyebilirsiniz. XPathQuery Bu olaylar *[System[EventID=1035]]için olacaktır. Olayları Uygulama olay günlüğünden almak istediğiniz için XPath şu şekildedir: Application!*[System[EventID=1035]]

Windows Olay Görüntüleyicisi'dan XPath sorgularını ayıklama

Windows'da Olay Görüntüleyicisi kullanarak ekran görüntülerinde gösterildiği gibi XPath sorgularını ayıklayabilirsiniz.

XPath sorgusunu Veri kaynağı ekle ekranındaki alana yapıştırdığınızda, 5. adımda gösterildiği gibi, günlük türü kategorisini ve ardından bir ünlem işareti (!) eklemeniz gerekir.

İpucu

Önce makinenizde yerel olarak bir XPath sorgusunun geçerliliğini test etmek için parametresiyle FilterXPath PowerShell cmdlet'ini Get-WinEvent kullanabilirsiniz. Daha fazla bilgi için Windows aracı tabanlı bağlantılar yönergelerinde sağlanan ipucuna bakın. PowerShell cmdlet'i Get-WinEvent en fazla 23 ifadeyi destekler. Azure İzleyici veri toplama kuralları en fazla 20'yi destekler. Aşağıdaki betik bir örnek gösterir:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Yukarıdaki cmdlet'te parametresinin -LogName değeri, ünlem işaretine (!) kadar XPath sorgusunun ilk bölümüdür. XPath sorgusunun geri kalanı parametresine $XPath gider.
• Betik olayları döndürürse sorgu geçerli olur.
• "Belirtilen seçim ölçütlerine uyan hiçbir olay bulunamadı" iletisini alırsanız, sorgu geçerli olabilir ancak yerel makinede eşleşen olay yok.
• "Belirtilen sorgu geçersiz" iletisini alırsanız, sorgu söz dizimi geçersizdir.

Olayları filtrelemek için özel XPath kullanma örnekleri:

Açıklama	XPath
Yalnızca Olay Kimliği = 4648 olan Sistem olaylarını toplama	System!*[System[EventID=4648]]
Olay Kimliği = 4648 ve işlem adı consent.exe olan Güvenlik Günlüğü olaylarını toplama	Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Olay Kimliği = 6 (Sürücü yüklendi) dışında Sistem olay günlüğünden tüm Kritik, Hata, Uyarı ve Bilgi olaylarını toplayın	System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Olay Kimliği 4624 (Başarılı oturum açma) dışındaki tüm başarı ve başarısızlık güvenlik olaylarını toplama	Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Not

Windows olay günlüğü tarafından desteklenen XPath sınırlamalarının listesi için bkz . XPath 1.0 sınırlamaları.
Örneğin, sorgunun içinde "position", "Band" ve "timediff" işlevlerini kullanabilirsiniz, ancak "starts-with" ve "contains" gibi diğer işlevler şu anda desteklenmez.

Sık sorulan sorular

Bu bölüm, sık sorulan soruların yanıtlarını sağlar.

Azure İzleyici Aracısı kullanarak Windows güvenlik olaylarını nasıl toplayabilirim?

Log Analytics çalışma alanına gönderirken yeni aracıyı kullanarak Güvenlik olaylarını toplamanın iki yolu vardır:

• Azure İzleyici Aracısını kullanarak diğer Windows Olayları ile aynı Güvenlik Olaylarını yerel olarak toplayabilirsiniz. Bunlar Log Analytics çalışma alanınızdaki 'Event' tablosuna akar.
• Çalışma alanında Microsoft Sentinel'i etkinleştirdiyseniz, güvenlik olayları Azure İzleyici Aracısı aracılığıyla tabloya SecurityEvent akar (Log Analytics aracısını kullanmakla aynıdır). Bu senaryo her zaman önce çözümün etkinleştirilmesini gerektirir.

Aynı makinede Azure İzleyici Aracısı ve Log Analytics aracısını kullanırsam olayları yineleyecek miyim?

Her iki aracıyla da aynı olayları topluyorsanız, yineleme gerçekleşir. Bu yineleme, veri toplama kuralı tarafından toplanan çalışma alanı yapılandırma verilerinden yedekli verileri toplayan eski aracı olabilir. Veya eski aracıyla güvenlik olayları topluyor ve Microsoft Sentinel'de Azure İzleyici Aracısı bağlayıcılarıyla Windows güvenlik olaylarını etkinleştiriyor olabilirsiniz.

Yinelenenleri çoğaltma olaylarını yalnızca bir aracıdan diğerine geçtiğiniz zamanla sınırlayın. Veri toplama kuralını tam olarak test ettikten ve veri toplamasını doğruladıktan sonra, çalışma alanı için koleksiyonu devre dışı bırakın ve Microsoft Monitoring Agent veri bağlayıcılarının bağlantısını kesin.

Azure İzleyici Aracısı, Xpath sorguları ve performans sayaçları belirtme dışında daha ayrıntılı olay filtreleme seçenekleri sunuyor mu?

Linux üzerindeki Syslog olayları için her bir tesis için tesisleri ve günlük düzeyini seçebilirsiniz.

Aynı olay kimliğini içeren veri toplama kuralları oluşturur ve bunları aynı VM ile ilişkilendirirsem olaylar yinelenir mi?

Evet. Yinelenenleri önlemek için, veri toplama kurallarınızda yaptığınız olay seçiminin yinelenen olaylar içermediğinden emin olun.

Sonraki adımlar

• Azure İzleyici Aracısı'ni kullanarak metin günlüklerini toplayın.
• Azure İzleyici Aracısı hakkında daha fazla bilgi edinin.
• Veri toplama kuralları hakkında daha fazla bilgi edinin.