Azure İzleyici Aracısı ile veri toplama
Azure İzleyici aracısı (AMA), Azure sanal makinelerinden, Sanal Makine ölçek kümelerinden ve Arc özellikli sunuculardan veri toplamak için kullanılır. Veri toplama kuralları (DCR), aracıdan toplanacak verileri ve bu verilerin nereye gönderilmesi gerektiğini tanımlar. Bu makalede, Azure portalını kullanarak farklı veri türlerini toplamak ve aracıyı gerektiren makinelere yüklemek üzere DCR oluşturma işlemi açıklanmaktadır.
Azure İzleyici'de yeniyseniz veya temel veri toplama gereksinimleriniz varsa Azure portalını ve bu makaledeki yönergeleri kullanarak tüm gereksinimlerinizi karşılayabilirsiniz. Dönüştürmeler gibi ek DCR özelliklerinden yararlanmak istiyorsanız, başka yöntemler kullanarak bir DCR oluşturmanız veya portalda oluşturduktan sonra düzenlemeniz gerekebilir. CLI, PowerShell, ARM şablonları veya Azure İlkesi kullanarak dağıtmak istiyorsanız DCR'leri yönetmek ve ilişkilendirmeler oluşturmak için farklı yöntemler de kullanabilirsiniz.
Not
Kiracılar arasında veri göndermek için önce Azure Lighthouse'ı etkinleştirmeniz gerekir.
Uyarı
Aşağıdaki durumlarda yinelenen veriler toplanabilir ve bu da ek ücrete neden olabilir.
- Aynı veri kaynağıyla birden çok DCR oluşturma ve bunları aynı aracıyla ilişkilendirme. DCR'lerdeki verileri her birinin benzersiz verileri toplayacak şekilde filtrelediğinden emin olun.
- Güvenlik günlüklerini toplayan ve sentinel'i aynı aracılar için etkinleştiren bir DCR oluşturma. Bu durumda, Olay tablosunda ve SecurityEvent tablosunda aynı olayları toplayabilirsiniz.
- Aynı makinede hem Azure İzleyici aracısını hem de eski Log Analytics aracısını kullanma. Yinelenen olayları yalnızca bir aracıdan diğerine geçtiğiniz zamanla sınırlayın.
Veri kaynakları
Aşağıdaki tabloda, Azure İzleyici Aracısı ile şu anda toplayabileceğiniz veri türleri ve bu verileri nereye gönderebileceğiniz listelenir. Her birinin bağlantısı, bu veri kaynağının nasıl yapılandırıldığını açıklayan bir makaleye yöneliktir. DCR'yi oluşturmak ve kaynaklara atamak için bu makaleyi izleyin ve ardından veri kaynağını yapılandırmak için bağlantılı makaleyi izleyin.
| Data source | Açıklama | İstemci İşletim Sistemi | Hedefler |
|---|---|---|---|
| Windows olayları | Sysmon olayları da dahil olmak üzere Windows olay günlüğü sistemine gönderilen bilgiler. | Windows | Log Analytics çalışma alanı |
| Performans sayaçları | İşletim sistemi ve iş yüklerinin farklı yönlerinin performansını ölçen sayısal değerler. | Windows Linux |
Azure İzleyici Ölçümleri (Önizleme) Log Analytics çalışma alanı |
| Syslog | Linux olay günlüğü sistemine gönderilen bilgiler. | Linux | Log Analytics çalışma alanı |
| Metin günlüğü | Yerel diskte bir metin günlüğü dosyasına gönderilen bilgiler. | Windows Linux |
Log Analytics çalışma alanı |
| JSON günlüğü | Yerel diskte JSON günlük dosyasına gönderilen bilgiler. | Windows Linux |
Log Analytics çalışma alanı |
| IIS günlükleri | Windows makinelerinin yerel diskinden Internet Information Service (IIS) günlükleri | Windows | Log Analytics çalışma alanı |
Not
Azure İzleyici Aracısı, şu anda Genel kullanıma sunulan Azure hizmeti SQL En İyi Yöntemler Değerlendirmesi'ni de destekler. Daha fazla bilgi için bkz . Azure İzleyici Aracısı kullanarak en iyi yöntemler değerlendirmesini yapılandırma.
Önkoşullar
- Çalışma alanında Veri Toplama Kuralı nesneleri oluşturma izinleri.
- Ek önkoşullar için her veri kaynağını açıklayan makaleye bakın.
Genel bakış
Azure portalında bir DCR oluşturduğunuzda, belirttiğiniz makinelerden veri toplamak için gereken bilgileri sağlamak için bir dizi sayfadan geçersiniz. Aşağıdaki tabloda, her sayfada sağlamanız gereken bilgiler açıklanmaktadır.
| Bölüm | Açıklama |
|---|---|
| Kaynaklar | DCR kullanacak makineler. DCR'ye bir makine eklediğinizde, makine ile DCR arasında bir veri toplama kuralı ilişkisi (DCRA) oluşturur. DCR'yi düzenleyerek makine oluşturulduktan sonra makine ekleyebilir veya kaldırabilirsiniz. |
| Data source | Makineden toplayacak veri türü. Kullanılabilir veri kaynaklarının listesi yukarıda Veri kaynakları'nda listelenmiştir. Her veri kaynağının kendi yapılandırma ayarları ve olası önkoşulları vardır, bu nedenle ayrıntılar için her biri için tek tek makaleye bakın. |
| Hedef | Veri kaynağından toplanan verilerin gönderilmesi gereken hedef. DCR'de birden çok veri kaynağınız varsa bunlar ayrı hedeflere ve tek bir veri kaynağındaki veriler birden çok hedefe gönderilebilir. Log Analytics çalışma alanında yer alan tablo gibi hedefleriyle ilgili daha fazla ayrıntı için her veri kaynağının makalesine bakın. |
Azure portalını kullanarak DCR oluşturma hakkında ayrıntılı adımlar için bkz . Veri toplama kuralları oluşturma.
İşlemi doğrulama
Bir DCR oluşturup bir makineyle ilişkilendirdikten sonra, Log Analytics çalışma alanında sorgu çalıştırarak aracının çalışır durumda olduğunu ve verilerin toplandığını doğrulayabilirsiniz.
Aracı işlemini doğrulama
Sinyal tablosunda kayıt olup olmadığını denetlemek için Log Analytics'te aşağıdaki sorguyu çalıştırarak aracının çalışır durumda olduğunu ve düzgün iletişim kurduğunu doğrulayın. Her aracıdan dakikada bir bu tabloya bir kayıt gönderilmelidir.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Kayıtların alındığını doğrulayın
Aracının yüklenmesi ve yeni veya değiştirilmiş DCR'leri çalıştırmaya başlaması birkaç dakika sürer. Ardından Log Analytics çalışma alanında her birinin yazdığı tabloyu denetleyerek her veri kaynağınızdan kayıtların alındığını doğrulayabilirsiniz. Örneğin, aşağıdaki sorgu Olay tablosundaki Windows olaylarını denetler.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Sorun giderme
Beklediğiniz verileri toplamazsanız aşağıdaki adımları izleyin.
- Aracının makinede yüklendiğini ve çalıştığını doğrulayın.
- Sorun yaşadığınız veri kaynağı için makalenin Sorun Giderme bölümüne bakın.
- DCR için izlemeyi etkinleştirmek için bkz . Azure İzleyici'de DCR veri toplamayı izleme ve sorunlarını giderme.
- Verilerin toplanıp toplanmadığını ve herhangi bir satırın bırakılıp bırakılmadığını belirlemek için ölçümleri görüntüleyin.
- Veri toplamadaki hataları belirlemek için günlükleri görüntüleyin.
Sonraki adımlar
- Azure İzleyici Aracısı'ni kullanarak metin günlüklerini toplayın.
- Azure İzleyici Aracısı hakkında daha fazla bilgi edinin.
- Veri toplama kuralları hakkında daha fazla bilgi edinin.