Coletar dados usando o Agente do Azure Monitor
O Agente do Azure Monitor coleta dados de máquinas virtuais do Azure, Conjuntos de Dimensionamento de Máquinas Virtuais e servidores habilitados para Azure Arc. DCRs (regras de coleta de dados) definem os dados a serem coletados do agente e para onde os dados serão enviados. Este artigo descreve como usar o portal do Azure para criar uma DCR para coletar diferentes tipos de dados e para instalar o agente em qualquer computador que o exija.
Se não conhecer o Azure Monitor ou tiver requisitos básicos de coleta de dados, poderá atender a todos os seus requisitos usando o portal do Azure e as diretrizes neste artigo. Se você quiser aproveitar mais recursos da DCR, como transformações, talvez seja necessário criar uma DCR usando outros métodos ou editá-la depois de criá-la no portal. Você pode usar métodos diferentes para gerenciar DCRs e criar associações se quiser implantar usando a CLI do Azure, o Azure PowerShell, um modelo do ARM (Azure Resource Manager) ou o Azure Policy.
Observação
Para enviar dados entre locatários, primeiro você deve habilitar o Azure Lighthouse.
Aviso
Os cenários a seguir podem coletar dados duplicados, o que pode aumentar os encargos de cobrança:
- Criar várias DCRs que têm a mesma fonte de dados e associá-las ao mesmo agente. Verifique se você está filtrando dados nas DCRs de modo que cada uma colete dados exclusivos.
- Criar uma DCR que coleta logs de segurança e habilitar o Microsoft Sentinel para os mesmos agentes. Nesse caso, você pode coletar os mesmos eventos na tabela Evento e na tabela SecurityEvent.
- Usar o agente do Azure Monitor e o agente herdado do Log Analytics no mesmo computador. Limite eventos duplicados para apenas a hora em que você faz a transição de um agente para o outro.
Fontes de dados
A tabela a seguir lista os tipos de dados que você pode coletar atualmente usando o Agente do Azure Monitor e para onde você pode enviá-los. O link para cada fonte de dados é para um artigo que descreve os detalhes de como configurar a fonte de dados. Realize as etapas neste artigo para criar a DCR e atribuí-la aos recursos e, em seguida, veja o artigo relevante vinculado para saber como configurar a fonte de dados.
| Fonte de dados | Descrição | SO Cliente | Destinos |
|---|---|---|---|
| Eventos do Windows | Informações enviadas para o sistema de log de eventos do Windows, incluindo eventos de sysmon | Windows | Espaço de Trabalho do Log Analytics |
| Contadores de desempenho | Valores numéricos que medem o desempenho de diferentes aspectos do sistema operacional e de cargas de trabalho | Windows Linux |
Métricas do Azure Monitor (versão prévia) Workspace do Log Analytics |
| syslog | Informações enviadas ao sistema de registro de evento do Linux | Linux | Espaço de Trabalho do Log Analytics |
| Log de texto | Informações enviadas para um arquivo de log de texto em um disco local | Windows Linux |
Espaço de Trabalho do Log Analytics |
| Log JSON | Informações enviadas para um arquivo de log JSON em um disco local | Windows Linux |
Espaço de Trabalho do Log Analytics |
| Logs do IIS | Logs do IIS (Serviço de Informações da Internet) no disco local de computadores Windows | Windows | Espaço de Trabalho do Log Analytics |
Observação
O agente do Azure Monitor também é compatível com as Práticas recomendadas de avaliação do SQL do serviço do Azure, que está em disponibilidade geral no momento. Para saber mais, confira Configurar a avaliação de práticas recomendadas usando o agente do Azure Monitor.
Pré-requisitos
- Permissões para criar objetos de DCR no workspace.
- Para todos os pré-requisitos, consulte o artigo vinculado na tabela anterior que descreve a fonte de dados relevante.
Criar uma regra de coleta de dados
O portal do Azure fornece uma experiência simplificada para criar uma DCR para máquinas virtuais e conjuntos de dimensionamento. Usando esse método, você não precisará entender a estrutura de uma DCR, a menos que deseje implementar um recurso avançado, como uma transformação. Você também pode usar outros métodos de criação descritos em Criar DCRs no Azure Monitor.
No portal do Azure, no menu Monitorar, selecione Regras de Coleta de Dados>Criar para abrir o painel de criação da DCR.
A guia Informações básicas inclui informações básicas sobre a DCR.
| Configuração | Descrição |
|---|---|
| Nome da regra | Um nome para a DCR. O nome deve ser algo descritivo que ajude você a identificar a regra. |
| Assinatura | A assinatura para armazenar a DCR. A assinatura não precisa ser a mesma assinatura das máquinas virtuais. |
| Recurso | Um grupo de recursos para armazenar a DCR. O grupo de recursos não precisa ser o mesmo grupo de recursos das máquinas virtuais. |
| Região | Uma região do Azure para armazenar a DCR. A região deve ser a mesma região de qualquer workspace do Log Analytics ou do Azure Monitor que é usado em um destino da DCR. Se você tiver workspaces em regiões diferentes, crie várias DCRs associadas ao mesmo conjunto de computadores. |
| Tipo de Plataforma | Especifica o tipo de fontes de dados que estão disponíveis para a DCR, Windows ou Linux. Nenhum permite ambos. 1 |
| Ponto de extremidade da coleta de dados | Especifica o ponto de extremidade de coleta de dados (DCE) usado para coletar dados. O DCE só é necessário se você usar Links Privados do Azure Monitor. Esse DCE deve estar na mesma região que a DCR. Para obter mais informações, consulte Configurar pontos de extremidade de coleta de dados com base na sua implantação. |
1 Essa opção define o atributo kind no DCR. Você pode definir outros valores para esse atributo, mas os valores não estão disponíveis para seleção no portal.
Adicionar recursos
No painel Recursos, você pode adicionar VMs para serem associadas à DCR. Para escolher um recurso para adicionar, selecione Adicionar recursos. O agente do Azure Monitor é instalado automaticamente em qualquer recurso que ainda não tenha o agente instalado. Uma DCRA (associação de regra de coleta de dados) é criada entre o computador e a DCR.
Importante
Quando os recursos são adicionados a uma DCR, a opção padrão no portal do Azure é habilitar uma identidade gerenciada atribuída pelo sistema para os recursos. Para aplicativos existentes, se uma identidade gerenciada atribuída pelo usuário já estiver definida, se você não especificar a identidade atribuída pelo usuário ao adicionar o recurso a uma DCR usando o portal, o computador usará uma identidade atribuída pelo sistema que é aplicada pela DCR.
Se o computador que você está monitorando não estiver na mesma região que seu workspace de destino do Log Analytics e você estiver coletando tipos de dados que exigem um DCE, selecione Habilitar pontos de extremidade de coleta de dados e selecione um ponto de extremidade na região de cada computador monitorado. Se o computador monitorado estiver na mesma região que o workspace do Log Analytics de destino ou se você não precisar de um DCE, não selecione um ponto de extremidade de coleta de dados na guia Recursos.
Adicionar fontes de dados
No painel Coletar e entregar, você pode adicionar e configurar fontes de dados para a DCR e adicionar um destino para cada fonte.
| Configuração | Descrição |
|---|---|
| Fonte de dados | Selecione um Tipo de fonte de dados e defina os campos relacionados com base no tipo de fonte de dados selecionado. Para obter detalhes sobre como configurar cada tipo de fonte de dados, veja os artigos relacionados em Fontes de dados. |
| Destino | Adicione um ou mais destinos para cada fonte de dados. Você pode selecionar vários destinos do mesmo tipo ou selecionar tipos diferentes. Por exemplo, você pode selecionar vários workspaces do Log Analytics, o que é chamado de multihoming. Consulte os detalhes de cada tipo de dados para os diferentes destinos aos quais eles dão suporte. |
Uma DCR pode conter várias fontes de dados diferentes. No máximo 10 fontes de dados podem estar em uma única DCR. Você pode combinar diferentes fontes de dados na mesma DCR, mas geralmente você cria DCRs diferentes para diferentes cenários de coleta de dados. Para obter recomendações sobre como organizar sua DCR, consulte Práticas recomendadas para criação e gerenciamento de regra de coleta de dados no Azure Monitor.
Observação
Quando você cria uma DCR usando o assistente de regra de coleta de dados, pode levar até 5 minutos para que os dados sejam enviados aos destinos.
Verificar operação
Depois de criar uma DCR e associá-la a um computador, você pode verificar se o agente está em funcionamento e se os dados estão sendo coletados executando consultas no workspace do Log Analytics.
Verificar a operação do agente
Verifique se o agente está em funcionamento e se comunicando corretamente executando a consulta a seguir no Log Analytics. A consulta verifica se há registros na tabela Pulsação. Um registro deve ser enviado a esta tabela de cada agente a cada minuto.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Verifique se os registros são recebidos
Levará alguns minutos para que o agente seja instalado e comece a executar DCRs novas ou modificadas. Em seguida, você pode verificar se os registros estão sendo recebidos de cada uma de suas fontes de dados verificando a tabela na qual cada fonte grava no workspace do Log Analytics.
Por exemplo, a consulta a seguir verifica se há eventos do Windows na tabela Eventos:
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Solucionar problemas
Se os dados que você espera ver não forem coletados, realize as seguintes etapas:
Verifique se o agente está instalado e em execução no computador.
Consulte a seção Solução de problemas do artigo para a fonte de dados com a qual você está tendo problemas.
Habilite o monitoramento da DCR e, em seguida:
- Exiba métricas para determinar se os dados estão sendo coletados e se alguma linha está sendo descartada.
- Exibir logs para identificar erros na coleta de dados.
Conteúdo relacionado
- Colete logs de texto usando o Agente do Azure Monitor.
- Saiba mais sobre o Agente do Azure Monitor.
- Saiba mais sobre as regras de coleta de dados.