Log Analytics 代理概述
本文详细概述了 Log Analytics 代理和该代理的系统、网络要求和部署方法。
重要
自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Azure 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理。
你可能还会看到称为 Microsoft Monitoring Agent (MMA) 的 Log Analytics 代理。
主要方案
如果需要执行以下操作,请使用 Log Analytics 代理:
- 从 Azure 虚拟机或者 Azure 外部托管的混合计算机收集日志和性能数据。
- 将数据发送到 Log Analytics 工作区,以利用 Azure Monitor 日志支持的功能,例如日志查询。
- 使用 Microsoft Defender for Cloud 或 Microsoft Sentinel 管理计算机的安全性。
- 使用 Azure 自动化更新管理或 Azure 自动化 State Configuration 提供对 Azure 和非 Azure 计算机的全面管理。
- 使用不同的解决方案监视特定服务或者应用程序。
Log Analytics 代理的限制:
- 无法将数据发送到 Azure Monitor 指标、Azure 存储或 Azure 事件中心。
- 难以为单个代理配置唯一的监视定义。
- 难以大规模管理,因为每个虚拟机都有唯一的配置。
与其他代理的比较
若要了解 Azure Monitor 中 Log Analytics 与其他代理之间的比较信息,请参阅 Azure Monitor 代理概述。
支持的操作系统
有关 Log Analytics 代理支持的 Windows 和 Linux 操作系统版本的列表,请参阅支持的操作系统。
安装选项
本部分介绍如何在不同类型的虚拟机上安装 Log Analytics 代理,以及如何将计算机连接到 Azure Monitor。
重要
自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Azure 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请现在迁移到 Azure Monitor 代理。
注意
不支持对已经配置了 Log Analytics 代理的计算机进行克隆。 如果代理已与工作区关联,则克隆对“黄金映像”不起作用。
Azure 虚拟机
- 可以使用 Azure 门户、Azure CLI、Azure PowerShell 或 Azure 资源管理器模板来安装适用于 Windows 或 Linux 的 Log Analytics VM 扩展。
- Microsoft Defender for Cloud 可在所有受支持的 Azure VM 以及任何新建的 Azure VM 中Microsoft Defender for Cloud 可预配 Log Analytics 代理(如果已启用此功能),以监视安全漏洞和威胁。
- 从 Azure 门户“Log Analytics 工作区”菜单中的“虚拟机(已弃用)”选项将计算机连接到工作区。
本地或其他云中的 Windows 虚拟机
- 使用已启用 Azure Arc 的服务器来部署和管理 Log Analytics VM 扩展。 查看部署选项,了解可用于已向启用了 Azure Arc 的服务器注册的计算机上的扩展的不同部署方法。
- 从命令行手动安装代理。
- 使用 Azure Automation DSC 自动执行安装。
- 配合使用资源管理器模板与 Azure Stack。
本地或其他云中的 Linux 虚拟机
- 使用已启用 Azure Arc 的服务器来部署和管理 Log Analytics VM 扩展。 查看部署选项,了解可用于已向启用了 Azure Arc 的服务器注册的计算机上的扩展的不同部署方法。
- 通过调用 GitHub 上托管的包装器脚本来手动安装该代理。
收集的数据
下表列出了在配置 Log Analytics 工作区后即可从所有连接的代理收集的数据的类型。
| 数据源 | 说明 |
|---|---|
| Windows 事件日志 | 发送到 Windows 事件日志记录系统的信息 |
| Syslog | 发送到 Linux 事件日志记录系统的信息 |
| 性能 | 度量操作系统和工作负荷的各方面性能的数值 |
| IIS 日志 | 在来宾操作系统上运行的 IIS 网站的使用情况信息 |
| 自定义日志 | Windows 和 Linux 计算机上的文本文件中的事件 |
其他服务
Linux 和 Windows 的代理不只是用于连接到 Azure Monitor。 其他服务(例如 Microsoft Defender for Cloud 和 Microsoft Sentinel)依赖于代理及其连接的 Log Analytics 工作区。 该代理还支持使用 Azure 自动化来托管混合 Runbook 辅助角色和其他服务(如更新管理和 Microsoft Defender for Cloud)。 有关混合 Runbook 辅助角色的详细信息,请参阅 Azure 自动化混合 Runbook 辅助角色。
工作区和管理组的限制
- Windows 代理最多可以连接到四个工作区。
- Linux 代理不支持多宿主,并且只能连接到一个工作区或管理组。
安全性限制
Windows 和 Linux 代理支持 FIPS 140 标准,但可能不支持其他类型的强化。
TLS 协议
为了确保传输到 Azure Monitor 日志的数据的安全性,我们强烈建议你将代理配置为至少使用传输层安全性 (TLS) 1.2。 已发现较早版本的 TLS/安全套接字层 (SSL) 易受攻击。 尽管它们目前仍支持向后兼容,但不建议这样做。 有关详细信息,请参阅使用 TLS 安全地发送数据。
网络要求
用于 Linux 和 Windows 的代理通过 TCP 端口 443 与 Azure Monitor 服务进行出站通信。 如果计算机通过防火墙或代理服务器建立连接,以便通过 Internet 进行通信,请查看以下要求以了解所需网络配置。 如果 IT 安全策略不允许网络上的计算机连接到 Internet,请设置 Log Analytics 网关并将代理配置为通过该网关连接到 Azure Monitor。 然后,代理可以接收配置信息并发送收集的数据。
下表列出了 Linux 和 Windows 代理与 Azure Monitor 日志通信所需的代理和防火墙配置信息。
防火墙要求
| 代理资源 | 端口 | 方向 | 绕过 HTTPS 检查 |
|---|---|---|---|
| *.ods.opinsights.azure.cn | 端口 443 | 出站 | 是 |
| *.oms.opinsights.azure.cn | 端口 443 | 出站 | 是 |
| *.blob.core.chinacloudapi.cn | 端口 443 | 出站 | 是 |
| *.azure-automation.cn | 端口 443 | 出站 | 是 |
重要
如果防火墙正在进行 CNAME 检查,则需要将其配置为允许 CNAME 中的所有域。
如果计划使用 Azure 自动化混合 Runbook 辅助角色连接到自动化服务并在该服务中注册以在环境中使用 Runbook 或管理功能,则它必须可以访问针对混合 Runbook 辅助角色配置网络中所述的端口号和 URL。
代理配置
Windows 和 Linux 代理支持使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 服务进行通信。 并同时支持匿名身份验证和基本身份验证(用户名/密码)。
对于直接连接到服务的 Windows 代理,代理配置在安装过程中指定,或在部署后从控制面板或使用 PowerShell 指定。 Log Analytics 代理 (MMA) 不使用系统代理设置。 因此,用户在安装 MMA 时必须传递代理设置。 这些设置将存储在虚拟机上的 MMA 配置(注册表)下。
对于 Linux 代理,代理服务器在安装过程中指定,或者在安装后通过修改 proxy.conf 配置文件来指定。 Linux 代理的代理配置值具有以下语法:
[protocol://][user:password@]proxyhost[:port]
| 属性 | 说明 |
|---|---|
| 协议 | https |
| user | 用于代理身份验证的可选用户名 |
| password | 用于代理身份验证的可选密码 |
| proxyhost | 代理服务器/Log Analytics 网关的地址或 FQDN |
| port | 代理服务器/Log Analytics 网关的可选端口号 |
例如: https://user01:password@proxy01.contoso.com:30443
注意
如果密码中使用了特殊字符(如“@”),则会收到代理连接错误,因为值解析不正确。 若要解决此问题,请使用 URLDecode 等工具在 URL 中对密码进行编码。