Sammeln von Daten mit dem Azure Monitor-Agent
Der Azure Monitor-Agent (AMA) wird verwendet, um Daten von virtuellen Azure-Computern, VM-Skalierungsgruppen und Arc-fähigen Servern zu sammeln. Datensammlungsregeln (Data Collection Rules, DCR) definieren, welche Daten vom Agent gesammelt werden sollen und wohin diese Daten gesendet werden sollen. In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um eine DCR zu erstellen und verschiedene Datentypen zu sammeln, und den Agent auf allen Computern installieren, die dies erfordern.
Wenn Sie mit Azure Monitor noch nicht vertraut sind oder grundlegende Datensammlungsanforderungen haben, können Sie möglicherweise alle Ihre Anforderungen über das Azure-Portal und die Anleitungen in diesem Artikel erfüllen. Wenn Sie zusätzliche DCR-Features wie Transformationen nutzen möchten, müssen Sie möglicherweise eine DCR mit anderen Methoden erstellen oder sie nach dem Erstellen im Portal bearbeiten. Sie können auch unterschiedliche Methoden verwenden, um DCRs zu verwalten und Zuordnungen zu erstellen, wenn Sie für die Bereitstellung CLI, PowerShell, ARM-Vorlagen oder Azure Policy verwenden möchten.
Hinweis
Zum mandantenübergreifenden Senden von Daten müssen Sie zuerst Azure Lighthouse aktivieren.
Warnung
In den folgenden Fällen können doppelte Daten gesammelt werden, die zu zusätzlichen Gebühren führen können.
- Erstellen mehrerer DCRs mit derselben Datenquelle und Zuordnen der DCRs zum selben Agent. Stellen Sie sicher, dass Sie Daten in den DCRs filtern, sodass jede eindeutige Daten sammelt.
- Erstellen einer DCR, die Sicherheitsprotokolle sammelt, und Aktivieren von Sentinel für dieselben Agents. In diesem Fall sammeln Sie möglicherweise dieselben Ereignisse in der Tabelle „Event“ und in der Tabelle „SecurityEvent“.
- Verwenden des Azure Monitor-Agents und des Log Analytics-Legacy-Agents auf demselben Computer. Begrenzen Sie die Duplizierung von Ereignissen auf die Zeit, in der Sie von einem Agent auf den anderen umstellen.
Datenquellen
In der folgenden Tabelle sind die Typen von Daten, die Sie derzeit mit dem Azure Monitor-Agent sammeln können, und die Ziele aufgeführt, an die Sie diese Daten senden können. Der Link gehört jeweils zu einem Artikel, in dem die Details zum Konfigurieren dieser Datenquelle beschrieben werden. Folgen Sie diesem Artikel, um die DCR zu erstellen und Ressourcen zuzuweisen, und folgen Sie dann dem verknüpften Artikel, um die Datenquelle zu konfigurieren.
| Datenquelle | Beschreibung | Clientbetriebssystem | Destinations |
|---|---|---|---|
| Windows-Ereignisse | An das Windows-System für die Ereignisprotokollierung gesendete Informationen, einschließlich sysmon-Ereignisse. | Windows | Log Analytics-Arbeitsbereich |
| Leistungsindikatoren | Numerische Werte, die die Leistung verschiedener Aspekte von Betriebssystem und Workloads messen. | Windows Linux |
Azure Monitor-Metriken (Vorschau) Log Analytics-Arbeitsbereich |
| Syslog | Informationen, die an das Linux-System für die Ereignisprotokollierung gesendet werden | Linux | Log Analytics-Arbeitsbereich |
| Textprotokoll | Informationen, die an eine Textdatei auf einem lokalen Datenträger gesendet werden. | Windows Linux |
Log Analytics-Arbeitsbereich |
| JSON-Protokoll | Informationen, die an eine JSON-Protokolldatei auf einem lokalen Datenträger gesendet werden. | Windows Linux |
Log Analytics-Arbeitsbereich |
| IIS-Protokolle | IIS-Protokolle (Internetinformationsdienst) auf dem lokalen Datenträger von Windows-Computern | Windows | Log Analytics-Arbeitsbereich |
Hinweis
Der Azure Monitor-Agent unterstützt auch die SQL-Best-Practices-Bewertung des Azure-Diensts, die derzeit allgemein verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Bewertung bewährter Methoden mithilfe des Azure Monitor-Agents.
Voraussetzungen
- Berechtigungen zum Erstellen von Datensammlungsregel-Objekten im Arbeitsbereich.
- Im Artikel, in dem jede Datenquelle beschrieben wird, finden Sie zusätzliche Voraussetzungen.
Übersicht
Wenn Sie eine DCR im Azure-Portal erstellen, werden Sie durch eine Reihe von Seiten geführt, um die Informationen bereitzustellen, die zum Sammeln von Daten von den von Ihnen angegebenen Computern erforderlich sind. In der folgenden Tabelle werden die Informationen beschrieben, die Sie auf jeder Seite angeben müssen.
| Abschnitt | Beschreibung |
|---|---|
| Ressourcen | Computer, die die DCR verwenden. Wenn Sie der DCR einen Computer hinzufügen, wird eine Zuordnung zur Datensammlungsregel (Data Collection Rule Association, DCRA) zwischen dem Computer und der DCR erstellt. Sie können die DCR nach der Erstellung bearbeiten, um Computer hinzuzufügen oder zu entfernen. |
| Datenquelle | Der Datentyp, der auf dem Computer gesammelt werden soll. Die Liste der verfügbaren Datenquellen ist oben in Datenquellen aufgeführt. Jede Datenquelle verfügt über eigene Konfigurationseinstellungen und potenzielle Voraussetzungen. Weitere Informationen finden Sie in den einzelnen Artikeln. |
| Destination | Ziel, an das die in der Datenquelle gesammelten Daten gesendet werden sollen. Wenn Sie über mehrere Datenquellen in der DCR verfügen, können sie an separate Ziele gesendet werden. Zudem können Daten aus einer einzelnen Datenquelle an mehrere Ziele gesendet werden. Weitere Informationen zum Ziel, z. B. die Tabelle im Log Analytics-Arbeitsbereich, finden Sie im Artikel für die jeweilige Datenquelle. |
Ausführliche Schritte zum Erstellen eines DCR mithilfe des Azure-Portals finden Sie unter Erstellen von Datensammlungsregeln.
Überprüfen des Betriebs
Nachdem Sie eine DCR erstellt und einem Computer zugeordnet haben, können Sie überprüfen, ob der Agent betriebsbereit ist und ob Daten gesammelt werden, indem Sie Abfragen im Log Analytics-Arbeitsbereich ausführen.
Überprüfen des Agent-Betriebs
Überprüfen Sie, ob der Agent betriebsbereit ist und ordnungsgemäß kommuniziert, indem Sie die folgende Abfrage in Log Analytics ausführen, um zu überprüfen, ob Datensätze in der Tabelle Heartbeat vorhanden sind. Ein Datensatz sollte jede Minute von jedem Agent an diese Tabelle gesendet werden.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Überprüfen, ob Datensätze empfangen werden
Es dauert ein paar Minuten, bis der Agent installiert ist und alle neuen oder geänderten DCRs ausführt. Sie können dann überprüfen, ob Datensätze von jeder Ihrer Datenquellen empfangen werden, indem Sie im Log Analytics-Arbeitsbereich die Tabelle überprüfen, in die jede schreibt. Die folgende Abfrage überprüft beispielsweise die Tabelle Event auf Windows-Ereignisse.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Problembehandlung
Führen Sie die folgenden Schritte aus, wenn Sie nicht die erwarteten Daten sammeln.
- Stellen Sie sicher, dass der Agent auf dem Computer installiert ist und ausgeführt wird.
- Weitere Informationen finden Sie im Abschnitt Problembehandlung des Artikels für die Datenquelle, mit der Sie Probleme haben.
- Informationen zum Aktivieren der Überwachung für die DCR finden Sie unter Überwachen und Behandeln von Problemen mit der DCR-Datensammlung in Azure Monitor.
- Zeigen Sie Metriken an, um festzustellen, ob Daten gesammelt werden und ob Zeilen gelöscht werden.
- Zeigen Sie Protokolle an, um Fehler in der Datensammlung zu identifizieren.
Nächste Schritte
- Sammeln von Textprotokollen mit dem Azure Monitor-Agent.
- Weitere Informationen zum Azure Monitor-Agent.
- Informieren Sie sich über die Datensammlungsregeln.