Log Analytics 代理概述

本文详细概述了 Log Analytics 代理和该代理的系统、网络要求和部署方法。

重要

Log Analytics 代理“已弃用”,且在 2024 年 8 月 31 日之后将不再受支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请在此日期之前迁移到新的 Azure Monitor 代理

你可能还会看到称为 Microsoft Monitoring Agent (MMA) 的 Log Analytics 代理。

主要方案

如果需要执行以下操作,请使用 Log Analytics 代理:

Log Analytics 代理的限制:

  • 无法将数据发送到 Azure Monitor 指标、Azure 存储或 Azure 事件中心。
  • 难以为单个代理配置唯一的监视定义。
  • 难以大规模管理,因为每个虚拟机都有唯一的配置。

与其他代理的比较

若要了解 Azure Monitor 中 Log Analytics 与其他代理之间的比较信息,请参阅 Azure Monitor 代理概述

支持的操作系统

有关 Log Analytics 代理支持的 Windows 和 Linux 操作系统版本的列表,请参阅支持的操作系统

安装选项

本部分介绍如何在不同类型的虚拟机上安装 Log Analytics 代理,以及如何将计算机连接到 Azure Monitor。

重要

旧版 Log Analytics 代理将于 2024 年 8 月弃用。 请确保在 2024 年 8 月之前迁移到 Azure Monitor 代理,这样才能继续引入数据。

注意

不支持对已经配置了 Log Analytics 代理的计算机进行克隆。 如果代理已与工作区关联,则克隆对“黄金映像”不起作用。

Azure 虚拟机

  • 可以使用 Azure 门户、Azure CLI、Azure PowerShell 或 Azure 资源管理器模板来安装适用于 WindowsLinux 的 Log Analytics VM 扩展。
  • Microsoft Defender for Cloud 可在所有受支持的 Azure VM 以及任何新建的 Azure VM 中Microsoft Defender for Cloud 可预配 Log Analytics 代理(如果已启用此功能),以监视安全漏洞和威胁。
  • 从 Azure 门户的“Log Analytics 工作区”菜单中的“虚拟机”选项连接计算机到工作区。

本地或其他云中的 Windows 虚拟机

收集的数据

下表列出了在配置 Log Analytics 工作区后即可从所有连接的代理收集的数据的类型。 有关使用 Log Analytics 代理收集其他类型的数据的见解和解决方案的列表,请参阅 Azure Monitor 监视的内容是什么?

数据源 说明
Windows 事件日志 发送到 Windows 事件日志记录系统的信息
Syslog 发送到 Linux 事件日志记录系统的信息
“性能” 度量操作系统和工作负荷的各方面性能的数值
IIS 日志 在来宾操作系统上运行的 IIS 网站的使用情况信息
自定义日志 Windows 和 Linux 计算机上的文本文件中的事件

其他服务

Linux 和 Windows 的代理不只是用于连接到 Azure Monitor。 其他服务(如 Microsoft Defender for Cloud)依赖于该代理及其连接的 Log Analytics 工作区。 该代理还支持使用 Azure 自动化来托管混合 Runbook 辅助角色和其他服务(如更新管理Microsoft Defender for Cloud)。 有关混合 Runbook 辅助角色的详细信息,请参阅 Azure 自动化混合 Runbook 辅助角色

工作区和管理组的限制

  • Windows 代理最多可以连接到四个工作区。
  • Linux 代理不支持多宿主,并且只能连接到一个工作区或管理组。

安全性限制

Windows 和 Linux 代理支持 FIPS 140 标准,但可能不支持其他类型的强化

TLS 1.2 协议

为了确保传输到 Azure Monitor 日志的数据的安全性,我们强烈建议你将代理配置为至少使用传输层安全性 (TLS) 1.2。 已发现较早版本的 TLS/安全套接字层 (SSL) 易受攻击。 尽管它们目前仍支持向后兼容,但不建议这样做。 有关详细信息,请参阅使用 TLS 1.2 安全地发送数据

网络要求

用于 Linux 和 Windows 的代理通过 TCP 端口 443 与 Azure Monitor 服务进行出站通信。 如果计算机通过防火墙或代理服务器建立连接,以便通过 Internet 进行通信,请查看以下要求以了解所需网络配置。 如果 IT 安全策略不允许网络上的计算机连接到 Internet,请设置 Log Analytics 网关并将代理配置为通过该网关连接到 Azure Monitor。 然后,代理可以接收配置信息并发送收集的数据。

Log Analytics 代理通信示意图。

下表列出了 Linux 和 Windows 代理与 Azure Monitor 日志通信所需的代理和防火墙配置信息。

防火墙要求

代理资源 端口 方向 绕过 HTTPS 检查
*.ods.opinsights.azure.cn 端口 443 出站
*.oms.opinsights.azure.cn 端口 443 出站
*.blob.core.chinacloudapi.cn 端口 443 出站
*.azure-automation.cn 端口 443 出站

重要

如果防火墙正在进行 CNAME 检查,则需要将其配置为允许 CNAME 中的所有域。

如果计划使用 Azure 自动化混合 Runbook 辅助角色连接到自动化服务并在该服务中注册以在环境中使用 Runbook 或管理功能,则它必须可以访问针对混合 Runbook 辅助角色配置网络中所述的端口号和 URL。

代理配置

Windows 和 Linux 代理支持使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 服务进行通信。 并同时支持匿名身份验证和基本身份验证(用户名/密码)。

对于直接连接到服务的 Windows 代理,代理配置在安装过程中指定,或在部署后从控制面板或使用 PowerShell 指定。 Log Analytics 代理 (MMA) 不使用系统代理设置。 因此,用户在安装 MMA 时必须传递代理设置。 这些设置将存储在虚拟机上的 MMA 配置(注册表)下。

对于 Linux 代理,代理服务器在安装过程中指定,或者在安装后通过修改 proxy.conf 配置文件来指定。 Linux 代理的代理配置值具有以下语法:

[protocol://][user:password@]proxyhost[:port]

属性 说明
协议 https
user 用于代理身份验证的可选用户名
password 用于代理身份验证的可选密码
proxyhost 代理服务器/Log Analytics 网关的地址或 FQDN
port 代理服务器/Log Analytics 网关的可选端口号

例如: https://user01:password@proxy01.contoso.com:30443

注意

如果密码中使用了特殊字符(如“@”),则会收到代理连接错误,因为值解析不正确。 若要解决此问题,请使用 URLDecode 等工具在 URL 中对密码进行编码。

后续步骤

  • 查看数据源,了解可用于从 Windows 或 Linux 系统收集数据的数据源。
  • 了解日志查询以便分析从数据源和解决方案中收集的数据。
  • 了解监视解决方案如何将功能添加到 Azure Monitor,以及如何将数据收集到 Log Analytics 工作区中。