Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Monitor 代理(AMA)取代 Log Analytics 代理(也称为 Microsoft 监视代理(MMA)和 Operations Management Suite(OMS)),用于 Azure、非 Azure、本地和其他云环境中的 Windows 和 Linux 计算机。 Azure Monitor代理使用 data collection rules (DCR)来配置数据收集,这比Log Analytics代理使用的基于工作区的配置更简单、更灵活。
本文逐步讲解从 Log Analytics 代理到 Azure Monitor 代理的端到端迁移过程:
- 评估当前环境(代理、工作区和依赖服务)。
- 使用数据收集规则配置和部署Azure Monitor代理。
- 验证数据收集是否正常工作。
- 从计算机中删除Log Analytics代理。
重要
Log Analytics 代理在 2024年8月31日 退役。 如果尚未迁移,请注意以下影响:
- 数据上传:正在关闭用于Log Analytics代理的云数据引入服务。 2026 年 3 月 2 日之后,从Log Analytics代理上传的数据随时可以停止,而无需进一步通知。
- Installation: 无法从Azure门户安装Log Analytics代理。 脱机安装和基于扩展的安装仍然有效。
- Support: Microsoft不支持Log Analytics代理。
- OS 支持: Log Analytics 代理不再接收新的分发版或服务包。
此停用不适用于专门连接到本地 System Center Operations Manager(SCOM)安装的 Log Analytics 代理。
先决条件
- 查看 安装 Azure Monitor Agent 的先决条件。
- 对于非Azure和本地服务器,安装 Azure Arc Connected Machine 代理。 Azure Arc代理使本地服务器能够看到Azure作为可定向资源,无需额外付费。
- 请确认您是否具备在目标计算机上安装 Azure Monitor 代理所需的权限。
- 确认Azure Monitor代理支持数据收集要求。 Azure Monitor 代理一般可用(GA)用于数据收集,各种 Azure Monitor 功能和 Azure 服务都在使用它。
迁移工具
两个工具可帮助你完成迁移过程:
| 工具 | Purpose |
|---|---|
| Azure Monitor代理迁移助手工作簿 | 基于工作簿的Azure Monitor解决方案,可帮助你清点代理、审核工作区、识别依赖服务以及跟踪迁移进度。 |
| DCR 配置生成器 | 自动将现有Log Analytics代理工作区配置转换为数据收集规则。 |
评估您的当前代理部署
在开始迁移之前,请检查你当前的 Log Analytics 代理程序部署。 Azure Monitor代理迁移帮助程序工作簿可帮助你回答以下问题:
| Question | Action |
|---|---|
| 需要迁移多少个代理? | 使用迁移帮助程序工作簿对环境中Log Analytics代理进行计数。 |
| 是否在Azure外部部署任何代理? | 对于Azure(本地或其他云)之外的服务器,请在安装 Azure Monitor 代理之前部署 Azure Arc Connected Machine agent。 |
| 你使用的是 System Center Operations Manager (SCOM)吗? | 如果计划继续使用 SCOM,请评估 SCOM 托管实例。 可以在 SCOM 管理的计算机上保留Log Analytics代理。 |
| 今天代理是如何部署的? | 如果对 Log Analytics 代理使用自动部署,请停止将其部署到新服务器。 此步骤可防止迁移积压工作增长。 |
审计工作区和解决方案
查看Log Analytics工作区,了解哪些工作区会主动接收数据和配置的解决方案。 迁移是合并未使用的工作区的好机会。
迁移帮助程序工作簿显示你拥有的工作区、你实现的解决方案以及上次使用每个解决方案时。 每个解决方案都包含迁移建议。
还可以使用 Azure Monitor 工作区审核工作簿进行详细的工作区分析。 若要设置此工作簿,请从 GitHub 存储库将其复制到Log Analytics工作区中。 此工作簿显示:
- 所有将数据发送到工作区的数据源。
- 代理将心跳信号发送到工作区。
- 将数据发送到工作区的资源。
- Application Insights 资源将数据发送到工作区。
标识依赖服务
在迁移之前,请确定哪些服务依赖于Log Analytics代理并规划其迁移路径。
| 服务 | 迁移操作 |
|---|---|
| Microsoft Defender for Cloud | 如果使用 Defender for Servers Plan 2,请将您在 Defender for Cloud 中的代理部署从 Log Analytics 代理更改为无代理扫描。 如果使用Defender for Cloud收集安全事件,请创建自定义数据收集规则来收集这些事件。 |
| Microsoft Sentinel | 以前使用Log Analytics代理的解决方案现在支持Azure Monitor代理。 更新这些解决方案以使用最新版本。 |
配置数据收集规则并部署Azure Monitor代理
按照以下步骤使用数据收集规则设置Azure Monitor代理:
确定试点组。 在大规模部署之前,选择一小组服务器来验证数据收集。
生成数据收集规则。 使用 DCR 配置生成器 将现有的基于工作区的数据收集配置转换为数据收集规则。 将生成的规则部署到试点组。
在测试期间禁用Log Analytics代理数据收集。 为了避免双重引入,请在试点服务器上删除Log Analytics代理的工作区配置,而无需卸载Log Analytics代理。 有关详细信息,请参阅配置Log Analytics代理的数据源。
使用Azure Policy大规模部署。 使用内置策略以大规模部署 Azure Monitor 代理扩展和数据收集规则关联。 Azure Policy还会自动部署到新计算机。 有关详细信息,请参阅 使用Azure Policy安装和管理 Azure Monitor Agent。
验证Azure Monitor代理数据收集
将Azure Monitor代理部署到试点组后,请在展开部署之前验证数据收集是否正常工作:
比较引入的数据。 针对Log Analytics工作区运行 KQL 查询,将Log Analytics代理引入的数据与 Azure Monitor 代理引入的数据进行比较。 例如,查询
Heartbeat表并按Category进行筛选,以确认 Azure Monitor Agent 心跳信号的到达。检查数据差距。 验证Azure Monitor代理是否收集所有预期的数据类型(性能计数器、Windows事件、Syslog、自定义日志)。 比较两个代理程序在同一时间段内的记录数量和数据类型。
验证相关服务。 确认Microsoft Defender for Cloud、Microsoft Sentinel和更改跟踪等服务是否继续正常使用 Azure Monitor 代理。
验证成功后,将Azure Monitor代理部署扩展到环境的其余部分。
删除Log Analytics代理
验证Azure Monitor代理是否在环境中正确收集数据后,请删除Log Analytics代理以避免重复数据收集。
- 在大规模环境中:使用 MMA 发现和删除工具移除环境内计算机上的 Log Analytics 代理。
- SCOM exception: 如果使用System Center Operations Manager,请将Log Analytics代理保留在 SCOM 管理的计算机上。 Operations Manager 管理员管理包有助于大规模删除工作区配置,同时保持 SCOM 管理组配置不变。
已知迁移问题
-
IIS logs: 启用 IIS 日志收集时,Azure Monitor代理可能不会填充
sSiteName表的W3CIISLog列。 默认情况下,Log Analytics代理收集此字段。 若要使用 Azure Monitor 代理收集sSiteName,请为 IIS 启用 W3C 日志记录中的 Service Name (s-sitename)字段。 有关步骤,请参阅 选择要记录的 W3C 字段。 - SQL 评估解决方案: 此解决方案是 SQL 最佳做法评估的一部分。 部署策略要求每个订阅拥有一个 Log Analytics 工作区,这不同于推荐的 Azure Monitor 代理部署方式。