從 Log Analytics 代理程式移轉至 Azure 監視器代理程式

Azure 監視器代理程式 （AMA） 會取代 Windows 和 Linux 機器的 Log Analytics 代理程式（也稱為 Microsoft 監視器代理程式 （MMA） 和 OMS，包括內部部署和第三方雲端。 代理程式引進了使用數據收集規則 （DCR） 設定數據收集的簡化彈性方法。 此文章提供提供如何成功實作從 Log Analytics 代理程式移轉至 Azure 監視器代理程式的指引。

如果您目前搭配 Azure 監視器或其他支援的功能和服務使用 Log Analytics 代理程式，請使用此文章中的資訊，開始規劃移轉至 Azure 監視器代理程式。 如果您使用適用於 SCOM 的 Log Analytics 代理程式，則必須 移轉至 SCOM 代理程式。

Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 當您在此日期之後使用 MMA 或 OMS 代理程式時，可以預期下列項目。

• 資料上傳：您仍然可以上傳資料。 在某些時候，當主要客戶完成移轉且數據量大幅下降時，上傳將會暫停。 預期會花上至少 6 到 9 個月。 您不會收到暫停的中斷性變更通知。
• 安裝或重新安裝：您仍然可以安裝和重新安裝舊版代理程式。 您將無法取得安裝或重新安裝問題的支援。
• 客戶支援：您可以預期 MMA/OMS 支援安全性問題。

福利

除了合併和改進舊版Log Analytics代理程式之外，Azure 監視器代理程式還提供各種立即優點，包括節省成本、簡化的管理體驗，以及增強的安全性和效能。

移轉指引

開始從 Log Analytics 代理程式移轉至 Azure 監視器代理程式之前，請先檢閱檢查清單。

開始之前

• 檢查安裝 Azure 監視器代理程式的必要條件。
  若要監視非 Azure 和內部部署伺服器，您必須安裝 Azure Arc 代理程式。 Arc 代理程式可讓 Azure 看到內部部署伺服器作為其目標資源。 安裝 Azure Arc 代理程式不會產生任何額外費用。
• 了解您目前的需求。
  使用 AMA 移轉協助程式的工作區概觀索引編嵌來檢視已連線的代理程式，並探索使用舊版代理程式之 Log Analytics 工作區上啟用的解決方案，包括個別解決方案移轉建議。
• 確認 Azure 監視器代理程式可以解決所有需求。
  Azure 監視器代理程式是數據收集的一般可用性（GA），並用於各種 Azure 監視器功能和其他 Azure 服務的數據收集。 如需詳細資訊，請參閱支援的裝置和功能。
• 考慮在轉換期間一起安裝 Azure 監視器代理程式與舊版代理程式。
  執行 Azure 監視器代理程式與舊版 Log Analytics 代理程式在同一部機器上並排執行，以在評估或移轉期間繼續使用其現有功能。 請記住，在同一部機器上執行兩個代理程式會加倍資源耗用量，包括但不限於 CPU、記憶體、儲存空間和網路頻寬。
  
  • 如果您要設定具有資源的新環境，例如部署指令碼和上線範本，請在新環境一起安裝 Azure 監視器代理程式與舊版代理程，以減少稍後的移轉工作。
  • 如果您在同一部機器上有兩個代理程式，請避免收集重複的資料。
    從同一部機器收集重複的資料可能會扭曲查詢結果、影響警示、儀表板和活頁簿等下游功能，並產生資料擷取和保留的額外費用。
    避免資料重複：
    • 設定代理程式將資料傳送至相同工作區中的不同工作區或不同資料表。
    • 從舊版代理程式停用重複的資料收集，方法是移除工作區組態。
    • 當您同時使用代理程式時，適用於雲端的 Defender 會以原生方式重複資料刪除資料，而當您同時使用代理程式時，每部機器都會向您收取一次費用。
    • 針對 Sentinel，您可以輕鬆停用舊版連接器，以停止從舊版代理程式擷取記錄。

移轉服務和功能

1. 使用 DCR 產生器，將您的舊版代理程式設定自動轉換為資料收集規則。¹

   在建立規則之前，請先檢閱產生的規則，並利用進階選項，例如篩選、細微目標 (每部機器)，以及其他最佳化。 將 MMA 自訂記錄移轉至 AMA 自訂記錄

2. 在少數非生產機器上測試新的代理程式和資料收集規則：

   1. 部署產生的資料收集規則，並將其與一些機器產生關聯，如安裝和使用 DCR 設定產生器中所述。

      若要避免雙重擷取，您可以透過移除舊版代理程式的工作區組態，在測試階段停用舊版代理程序的資料收集，而不需解除安裝代理程式。

   2. 請確定沒有任何差距，請將舊版代理程序數據所擷取的數據與 Azure 監視器代理程式進行比較。 您可以使用聯結運算符從活動訊號數據表新增Category數據行，以Azure Monitor Agent針對 Azure 監視器代理程式收集的數據進行比較。

      例如，此查詢會將 Heartbeat 資料表的 Category 資料行，新增至從 Event 資料表擷取的資料：

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      

3. 使用內建原則大規模部署擴充功能和 DCR 關聯。 使用原則也可確保自動部署新機器的擴充功能和 DCR 關聯。³

   使用 AMA 移轉協助程式來監視您機器上的大規模移轉。

4. 驗證 Azure 監視器代理程式是否如預期般收集資料，以及儀表板、警示和活頁簿等所有下游相依項目都正常運作：

   1. 檢視移轉後 Log Analytics 工作區深入解析的概觀和使用量索引標籤，以取得擷取率的尖峰或下降。 檢查整體工作區擷取和資料表層級擷取速率。
   2. 檢查您的活頁簿、儀表板和警示，以取得移轉後一般行為的差異。

5. 清除：確認 Azure 監視器代理程式正確收集資料之後，請停用或解除安裝 Log Analytics 代理程式。

   • 安裝 Azure 監視器代理程式以符合所有需求之後， 請從受監視的資源卸載 Log Analytics 代理程式 。 清除 Log Analytics 代理程式之前使用的任何設定檔、工作區金鑰或憑證。 針對 Azure 監視器代理程式不支援的功能和解決方案，繼續使用舊版 Log Analytics。

     使用 MMA 移除工具，從租用戶內的所有機器探索和移除 Log Analytics 代理程式擴充功能。

   • 如果您需要將資料上傳至 System Center Operations Manager，請勿解除安裝舊版代理程式。

¹ DCR 產生器只會轉換 Windows 事件記錄、Linux syslog 和效能計數器的設定。 即將推出更多功能和解決方案的支援。
² 除了 Azure 監視器代理程式擴充功能之外，您可能需要部署特定解決方案所需的擴充功能。

移轉其他服務和功能

Azure 監視器代理程式是用於數據收集的 GA。 大部分使用 Log Analytics 代理程式進行資料收集的服務已移轉至 Azure 監視器代理程式。

下列功能和服務現在有 Azure 監視器代理程式版本 (有些仍處於公開預覽狀態)。 這表示當您啟用功能或服務時，您已經可以選擇使用 Azure 監視器代理程式收集資料。

服務或功能	移轉建議	目前狀態	其他相關資訊
VM 深入解析、服務對應和相依性代理程式	移轉至 Azure 監視器代理程式	GA	啟用 VM 深入解析
Microsoft Sentinel	移轉至 Azure 監視器代理程式	公開預覽	Microsoft Sentinel 的 AMA 移轉。
變更追蹤和清查	移轉至 Azure 監視器代理程式	GA	變更追蹤和清查的移轉
網路監看員	使用 Azure 監視器代理程式移轉至稱為連線監視器的新服務	GA	使用線上監視器監視網路連線
Azure Stack HCI 深入解析	移轉至 Azure 監視器代理程式	GA	使用深入解析監視 Azure Stack HCI
Azure 虛擬桌面 (AVD) 深入解析	移轉至 Azure 監視器代理程式	GA	Azure 虛擬桌面深入解析
容器監視解決方案	使用 Azure 監視器代理程式移轉至稱為容器深入解析的新服務	GA	啟用容器深入解析
DNS 記錄收集器	使用新的 Sentinel 連接器	GA	啟用 DNS 連接器

當您將目前使用 Log Analytics 代理程式的下列服務移轉至其各自的取代項目 (v2)，您不再需要其中一個監視代理程式：

服務	移轉建議	目前狀態	其他相關資訊
適用於雲端的 Microsoft Defender、伺服器、SQL 和端點	移轉至適用於雲端的 Microsoft Defender (對 Log Analytics 代理程式或 Azure 監視器代理程式沒有相依性)	GA	適用於雲端的 Defender Log Analytics 代理程式淘汰的計劃
更新管理	移轉至 Azure 更新管理員 (對 Log Analytics 代理程式或 Azure 監視器代理程式沒有相依性)	GA	更新管理員文件
自動化混合式 Runbook 背景工作角色概觀	自動化混合式背景工作角色擴充功能 (對 Log Analytics 代理程式或 Azure 監視器代理程式沒有相依性)	GA	移轉至擴充式混合式背景工作角色

可能會影響移轉之解決方案的已知同位差距

• Sentinel：Windows 防火牆記錄尚未正式運作

• SQL 評定解決方案：這是 SQL 最佳做法評定的一部分。 部署原則需要每個訂用帳戶一個 Log Analytics 工作區，這不是 AMA 小組建議的最佳做法。

• 適用於雲端的 Microsoft Defender：新無代理程式解決方案的一些功能正在開發中。 如果您使用檔案整合監視（FIM）、端點保護探索建議、OS 設定錯誤（Azure 安全性效能評定 （ASB） 建議和自適性應用程控，您的移轉可能會受到影響。

• Container Insights：Windows 版本處於公開預覽狀態。

常見問題集

本節提供常見問題的答案。

新的 Azure 監視器代理程式和 Log Analytics 代理程式是否可以並存？

是。 如果您要移轉至 Azure 監視器代理程式，請考慮在轉換期間將 Azure 監視器代理程式與舊版代理程式一起安裝，但您必須注意某些考慮。 在 Azure 監視器代理程式移轉指引中深入了解代理程式共存考慮。

下一步

如需詳細資訊，請參閱

• Azure 監視器代理程式概觀
• 適用於 Microsoft Sentinel 的 Azure 監視器代理程式移轉
• Azure 監視器代理程式的常見問題