Collecter des données avec l’agent Azure Monitor

L’agent Azure Monitor (AMA) est utilisé pour collecter des données à partir de machines virtuelles Azure, de groupes de machines virtuelles identiques et de serveurs avec Arc. Les règles de collecte de données (DCR) définissent les données à collecter auprès de l’agent et l’emplacement où ces données doivent être envoyées. Cet article explique comment utiliser le portail Azure pour créer une DCR pour collecter différents types de données et comment installer l’agent sur toutes les machines qui en ont besoin.

Si vous débutez avec Azure Monitor ou si vous avez des exigences de collecte de données de base, vous pourrez peut-être répondre à toutes vos exigences à l’aide du portail Azure et des conseils fournis dans cet article. Si vous souhaitez tirer parti des fonctionnalités DCR supplémentaires telles que les transformations, vous devrez peut-être créer une DCR à l’aide d’autres méthodes ou la modifier après l’avoir créée dans le portail. Vous pouvez également utiliser différentes méthodes pour gérer les règles de collecte de données et créer des associations si vous souhaitez déployer à l’aide de l’interface CLI, de PowerShell, des modèles ARM ou d’Azure Policy.

Remarque

Pour envoyer des données entre locataires, vous devez d’abord activer Azure Lighthouse.

Avertissement

Les cas suivants peuvent collecter des données en double, ce qui peut entraîner des frais supplémentaires.

  • Créer plusieurs règles de collecte de données avec la même source de données et les associer au même agent. Vérifiez que vous filtrez les données dans les règles de collecte de données afin que chacun collecte des données uniques.
  • Créer une DCR qui collecte les journaux de sécurité et activer Sentinel pour les mêmes agents. Dans ce cas, vous pouvez collecter les mêmes événements dans la table d’événements et la table SecurityEvent.
  • Utilisation de l’agent Azure Monitor et de l’agent Log Analytics hérité sur le même ordinateur. Vous pouvez limiter les événements de duplication uniquement au moment de la transition entre deux agents.

Sources de données

Le tableau ci-dessous répertorie les types de données que vous pouvez actuellement collecter avec l’agent Azure Monitor et l’emplacement où vous pouvez envoyer ces données. Le lien de chaque article décrit les détails de la configuration de cette source de données. Suivez cet article pour créer la DCR et l’affecter aux ressources, puis suivez l’article lié pour configurer la source de données.

Source de données Description Système d’exploitation client Destinations
Événements Windows Informations envoyées au système de journalisation des événements Windows, y compris les événements sysmon. Windows Espace de travail Log Analytics
Compteurs de performances Valeurs numériques mesurant les performances de différents aspects du système d’exploitation et des charges de travail. Windows
Linux
Métriques Azure Monitor (préversion)
Espace de travail Log Analytics
Syslog Informations envoyées au système de journalisation des événements Linux. Linux Espace de travail Log Analytics
Journal texte Informations envoyées à un fichier journal texte sur un disque local. Windows
Linux
Espace de travail Log Analytics
Journal JSON Informations envoyées à un fichier journal JSON sur un disque local. Windows
Linux
Espace de travail Log Analytics
Journaux d’activité IIS Journaux IIS (Internet Information Service) à partir du disque local des machines Windows Windows Espace de travail Log Analytics

Remarque

L’agent Azure Monitor prend également en charge l’évaluation des bonnes pratiques SQL du service Azure, actuellement en disponibilité générale. Pour plus d’informations, consultez Configurer l’évaluation des bonnes pratiques en utilisant l’agent Azure Monitor.

Prérequis

Vue d’ensemble

Lorsque vous créez une DCR dans le portail Azure, vous parcourez une série de pages pour fournir les informations nécessaires et collecter des données à partir des machines que vous spécifiez. Le tableau suivant décrit les informations que vous devez fournir sur chaque page.

Section Description
Ressources Machines qui utiliseront le DCR. Lorsque vous ajoutez un ordinateur à la DCR, il crée une association de règles de collecte de données (DCRA) entre l’ordinateur et la DCR. Vous pouvez modifier la DCR pour ajouter ou supprimer des machines après sa création.
Source de données Type de données à collecter à partir de l’ordinateur. La liste des sources de données disponibles est répertoriée ci-dessus dans Sources de données. Chaque source de données possède ses propres paramètres de configuration et éventuellement des prérequis. Pour plus d’informations, consultez l’article de chacune.
Destination Destination où les données collectées à partir de la source de données doivent être envoyées. Si vous avez plusieurs sources de données dans la DCR, elles peuvent être envoyées à des destinations distinctes, et les données d’une seule source de données peuvent être envoyées à plusieurs destinations. Consultez l’article de chaque source de données pour plus d’informations sur leur destination, comme la table de l’espace de travail Log Analytics.

Pour obtenir des instructions détaillées sur la création d’une règle de collecte de données à l’aide du Portail Azure, consultez Créer des règles de collecte de données.

Vérifier l’opération

Une fois que vous avez créé une DCR et que vous l’avez associée à une machine, vous pouvez vérifier que l’agent est opérationnel et que les données sont collectées en exécutant des requêtes dans l’espace de travail Log Analytics.

Vérifier l’opération de l’agent

Vérifiez que l’agent est opérationnel et communique correctement en exécutant la requête suivante dans Log Analytics pour vérifier s’il existe des enregistrements dans la table Pulsation. Un enregistrement doit être envoyé à cette table à partir de chaque agent toutes les minutes.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

Vérifier que les enregistrements sont reçus

L’installation de l’agent et l’exécution de toute règle de collecte de données nouvelle ou modifiée prennent quelques minutes. Vous pouvez ensuite vérifier que les enregistrements sont reçus de chacune de vos sources de données en vérifiant la table dans laquelle chaque écriture est effectuée dans l’espace de travail Log Analytics. Par exemple, la requête suivante vérifie les événements Windows dans la table Événement.

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Dépannage

Suivez les étapes suivantes si vous ne collectez pas les données que vous attendez.

  • Vérifiez que l’agent est installé et en cours d’exécution sur l’ordinateur.
  • Consultez la section Résolution des problèmes de l’article de la source de données avec laquelle vous rencontrez des problèmes.
  • Consultez Surveiller et résoudre les problèmes de collecte de données DCR dans Azure Monitor pour activer la surveillance de la DCR.
    • Affichez les métriques pour déterminer si les données sont collectées et si des lignes sont supprimées.
    • Affichez les journaux pour identifier les erreurs dans la collecte de données.

Étapes suivantes