手动代理预配
手动 Azure Monitor 代理部署
建议使用 Azure Monitor 代理(AMA)从虚拟机收集数据。 与旧的 Log Analytics 代理不同,AMA 使用数据收集规则(DCR)指定要收集和发送数据的位置。 此方法提供更大的灵活性和更好的性能。
先决条件
在安装 Azure Monitor 代理并配置数据收集规则之前,请确保:
- 在 Log Analytics 工作区中,您至少需要具有参与者权限
- 在工作区中创建 DCR 对象的权限
- 要监视的虚拟机(Azure VM 或已启用 Azure Arc 的计算机)
创建数据收集规则
若要使用数据收集规则手动安装 Azure Monitor 代理,请执行以下作:
创建数据收集规则:
- 在 Azure 门户中,转到 “监视>数据收集规则”
- 选择“ 创建 ”以打开“DCR 创建”窗格
- 在 “基本信息 ”选项卡上,提供:
- 规则名称:DCR 的描述性名称
- 订阅:用于存储 DCR 的订阅
- 资源组:用于存储 DCR 的资源组
- 区域:必须与 Log Analytics 工作区同一区域
- 平台类型:根据目标计算机选择 Windows、Linux 或全部
添加目标资源:
- 在“资源”选项卡上,选择“添加资源”
- 选择使用此 DCR 的 VM
- Azure Monitor 代理会自动安装在尚未安装它的所选 VM 上
配置数据源:
- 在“收集和传递”选项卡上,选择“添加数据源”
- 从可用的数据源类型中进行选择:
- Windows 事件:对于 Windows 事件日志和安全事件
- 性能计数器:对于系统性能指标
- Syslog:用于 Linux 系统日志功能
- 文本日志:对于自定义应用程序日志
- IIS 日志:Web 服务器日志
- 指定目标 Log Analytics 工作区
保存配置:
- 查看设置并选择“创建”
- 使用所选 VM 创建 DCR
用于安全监视的数据源
对于 Microsoft Defender for Cloud 集成,请配置以下常见数据源:
Windows 计算机
- Windows 事件:从 Windows 事件日志收集安全事件
- 性能计数器:监视系统性能指标
- 安全事件:捕获身份验证和授权事件
Linux 计算机
- Syslog:收集系统和安全日志
- 性能计数器:监视系统性能
- 身份验证日志:跟踪用户访问和安全事件
部署方法
可以使用多种方法通过 DCR 部署 Azure Monitor 代理:
Azure 门户
使用 Azure 门户界面创建 DCR 并将其与 VM 相关联,如上所述。
Azure 资源管理器模板
使用 ARM 模板部署代理,以便跨多台计算机进行一致的可重复部署。
PowerShell
使用 Azure PowerShell cmdlet 以编程方式创建和管理 DCR:
# Create a DCR association
New-AzDataCollectionRuleAssociation -ResourceUri <vm-resource-id> -RuleId <dcr-resource-id>
Azure CLI
对脚本部署使用 Azure CLI 命令:
# Associate a DCR with a VM
az monitor data-collection rule association create --resource <vm-resource-id> --rule-id <dcr-resource-id>
验证安装
创建 DCR 并将其与 VM 关联后:
检查代理状态:
- 验证是否已在目标 VM 上安装并运行 Azure Monitor 代理
- 检查 Log Analytics 工作区中的 心跳 表
验证数据收集:
- 查询 Log Analytics 中的相应表以确认正在收集数据
- 创建 DCR 后显示数据最多可能需要 5 分钟
监视代理运行状况:
- 使用 Azure Monitor 跟踪代理运行状况和连接
- 查看代理日志中的任何错误消息
最佳做法
- 避免重复数据:不要为同一 VM 创建具有相同数据源的多个 DCR
- 使用描述性名称:清楚地命名 DCR 以标识其用途
- 定期维护:在监视要求发生更改时查看和更新 DCR
- 成本优化:仅收集需要避免不必要的费用的数据
使用数据收集规则的 Azure Monitor 代理提供了一种新式灵活的数据收集方法,可与 Microsoft Defender for Cloud 的安全监视功能无缝集成。