在 Windows 计算机上安装 Log Analytics 代理

本文提供有关如何使用以下方法在 Windows 计算机上安装 Log Analytics 代理的信息:

  • 使用安装向导或命令行手动进行安装。
  • Azure 自动化 Desired State Configuration (DSC)。

本文所述的安装方法通常用于本地或其他云中的虚拟机。 有关可用于 Azure 虚拟机的更高效选项,请参阅安装选项

重要

旧版 Log Analytics 代理将于 2024 年 8 月弃用。 请确保在 2024 年 8 月之前迁移到 Azure Monitor 代理,这样才能继续引入数据。

注意

安装 Log Analytics 代理通常不需要重启计算机。

要求

支持的操作系统

有关 Log Analytics 代理支持的 Windows 版本的列表,请参阅 Azure Monitor 代理概述

SHA-2 代码签名支持要求

Windows 代理于 2020 年 8 月 17 日开始以独占方式使用 SHA-2 签名。 此更改将影响使用旧版 OS 上的 Log Analytics 代理作为任何 Azure 服务(如 Azure Monitor、Azure 自动化、Azure 更新管理、Azure 更改跟踪、Microsoft Defender for Cloud、Windows Defender Advanced Threat Protection)一部分的客户。

除非你在旧版 OS 版本(如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008)上运行代理,否则更改不需要任何客户操作。 在 2020 年 8 月 17 日之前,在旧版 OS 版本上运行的客户必须在其计算机上执行以下操作,否则其代理会停止将数据发送到其 Log Analytics 工作区:

  1. 为 OS 安装最新服务器包。 必需的服务包版本包括:

    • Windows 7 SP1
    • Windows Server 2008 SP2
    • Windows Server 2008 R2 SP1
  2. 要为 OS 安装 SHA-2 签名 Windows 更新,请参阅适用于 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求

  3. 更新到 Windows 代理的最新版本(版本 10.20.18029)。

  4. 我们建议你将代理配置为使用 TLS 1.2

网络要求

有关 Windows 代理的网络要求,请参阅 Log Analytics 代理概述

将代理配置为使用 TLS 1.2

TLS 1.2 协议可确保在 Windows 代理与 Log Analytics 服务之间进行通信的传输中数据的安全性。 如果要在默认情况下未启用 TLS 1.2 的操作系统上安装,则应使用以下步骤配置 TLS 1.2。

  1. 查找以下注册表子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols。

  2. 在“Protocols”下为 TLS 1.2 创建一个子项:HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2。

  3. 在你之前创建的 TLS 1.2 协议版本子项下创建一个 Client 子项。 例如,HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client。

  4. 在 HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client 下创建以下 DWORD 值:

    • Enabled [值 = 1]
    • DisabledByDefault [值 = 0]

将 .NET Framework 4.6 或更高版本配置为安全加密,因为默认情况下禁用此功能。 强加密使用更安全的网络协议(例如 TLS 1.2)并且会阻止不安全的协议。

  1. 查找以下注册表子项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319。
  2. 在此子项下创建值为 1的 DWORD 值 SchUseStrongCrypto
  3. 查找以下注册表子项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319。
  4. 在此子项下创建值为 1的 DWORD 值 SchUseStrongCrypto
  5. 重启系统以使设置生效。

工作区 ID 和密钥

无论使用何种安装方法,都需要有该代理将要连接到的 Log Analytics 工作区的工作区 ID 和密钥。 请从 Azure 门户中的“Log Analytics 工作区”菜单中选择该工作区。 然后在“设置”部分中选择“代理管理”。

显示 workspace_publish 的屏幕截图。

注意

在初始设置期间,无法将代理配置为向多个工作区报告。 通过从控制面板或 PowerShell 更新设置,在安装后添加或删除工作区

安装代理

重要

旧版 Log Analytics 代理将于 2024 年 8 月弃用。 请确保在 2024 年 8 月之前迁移到 Azure Monitor 代理,这样才能继续引入数据。

以下步骤在计算机上使用代理的安装向导在 Azure 中国云中安装并配置 Log Analytics 代理。

  1. 在 Log Analytics 工作区中,从先前导航到的“Windows 服务器”页,根据 Windows 操作系统的处理器体系结构选择相应的“下载 Windows 代理”版本。
  2. 运行安装程序在计算机上安装该代理。
  3. 在“欢迎”页面上,单击“下一步”。
  4. 在“许可条款”页面上阅读许可协议,然后单击“我接受” 。
  5. 在“目标文件夹”页面上更改或保留默认安装文件夹,然后单击“下一步” 。
  6. 在“代理安装选项”页上,选择将代理连接到 Azure Log Analytics,单击“下一步”。
  7. 在“Azure Log Analytics”页上执行以下操作:
    1. 粘贴前面复制的“工作区 ID”和“工作区密钥(主密钥)”。 如果计算机应向 Azure 中国云中的 Log Analytics 工作区报告,请从“Azure 云”下拉列表中选择“Azure 中国” 。
    2. 如果计算机需要通过代理服务器来与 Log Analytics 通信,请单击“高级”并提供代理服务器的 URL 和端口号。 如果代理服务器要求身份验证,请键入用于在代理服务器上进行身份验证的用户名和密码,并单击“下一步”。
  8. 提供所需的配置设置后,单击“下一步”。

    粘贴工作区 ID 和主要密钥

  9. 在“准备安装”页上检查所做的选择,并单击“安装”。
  10. 在“配置已成功完成”页上,单击“完成”。

完成后,Microsoft Monitoring Agent 将显示在“控制面板”中。 要确认其正在向 Log Analytics 报告,请参阅验证代理与 Log Analytics 的连接

验证代理与 Azure Monitor 的连接

安装代理完成后,可以验证代理是否已成功连接并采用两种方式进行报告。

在计算机的“控制面板”中,找到“Microsoft Monitoring Agent”项 。 选择此项,代理应会在“Azure Log Analytics”选项卡上显示一条消息,指出:“Microsoft Monitoring Agent 已成功连接到 Microsoft Operations Management Suite 服务”。

显示与 Log Analytics 消息的 MMA 连接状态的屏幕截图。

还可在 Azure 门户中执行日志查询:

  1. 在 Azure 门户中,搜索并选择“监视”。

  2. 在菜单中选择“日志”。

  3. 在“日志”窗格的查询字段中输入:

    Heartbeat 
    | where Category == "Direct Agent" 
    | where TimeGenerated > ago(30m)  
    

在返回的搜索结果中,应可以看到计算机的检测信号记录,该记录指示计算机已连接到服务,并向其报告。

缓存信息

来自 Log Analytics 代理的数据在发送到 Azure Monitor 之前会缓存在本地计算机上的“C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State”中。 该代理会尝试每隔 20 秒上传一次。 如果操作失败,它会等待以指数级增加的一段时间,直到成功为止: 它会在第二次尝试之前等待 30 秒,在接下来的一次尝试之前等待 60 秒,在再下一次尝试之前等待 120 秒,依此类推,直到再次成功连接为止,两次重试之间的最长间隔为 8.5 小时。 此等待时间会稍微随机化,以避免所有代理同时尝试连接。 达到最大缓冲时,会丢弃最早的数据。

默认缓存大小为 50 MB,但可以在最小 5 MB 和最大 1.5 GB 之间进行配置。 缓存大小将存储在注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Persistence Cache Maximum”中。 该值表示页数(每页 8 KB)。

后续步骤