Log Analytics 代理概述

重要

自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Azure 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请现在迁移到 Azure Monitor 代理

本文详细概述了 Log Analytics 代理和该代理的系统、网络要求和部署方法。

重要

自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Azure 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理

你可能还会看到称为 Microsoft Monitoring Agent (MMA) 的 Log Analytics 代理。

主要方案

如果需要执行以下操作,请使用 Log Analytics 代理:

Log Analytics 代理的限制:

  • 无法将数据发送到 Azure Monitor 指标、Azure 存储或 Azure 事件中心。
  • 难以为单个代理配置唯一的监视定义。
  • 难以大规模管理,因为每个虚拟机都有唯一的配置。

与其他代理的比较

若要了解 Azure Monitor 中 Log Analytics 与其他代理之间的比较信息,请参阅 Azure Monitor 代理概述

支持的操作系统

有关 Log Analytics 代理支持的 Windows 和 Linux 操作系统版本的列表,请参阅支持的操作系统

安装选项

本部分介绍如何在不同类型的虚拟机上安装 Log Analytics 代理,以及如何将计算机连接到 Azure Monitor。

重要

自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Azure 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请现在迁移到 Azure Monitor 代理

注意

不支持对已经配置了 Log Analytics 代理的计算机进行克隆。 如果代理已与工作区关联,则克隆对“黄金映像”不起作用。

Azure 虚拟机

  • 可以使用 Azure 门户、Azure CLI、Azure PowerShell 或 Azure 资源管理器模板来安装适用于 WindowsLinux 的 Log Analytics VM 扩展。
  • Microsoft Defender for Cloud 可在所有受支持的 Azure VM 以及任何新建的 Azure VM 中Microsoft Defender for Cloud 可预配 Log Analytics 代理(如果已启用此功能),以监视安全漏洞和威胁。
  • 从 Azure 门户“Log Analytics 工作区”菜单中的“虚拟机(已弃用)”选项将计算机连接到工作区。

本地或其他云中的 Windows 虚拟机

本地或其他云中的 Linux 虚拟机

  • 使用已启用 Azure Arc 的服务器来部署和管理 Log Analytics VM 扩展。 查看部署选项,了解可用于已向启用了 Azure Arc 的服务器注册的计算机上的扩展的不同部署方法。
  • 通过调用 GitHub 上托管的包装器脚本来手动安装该代理。

收集的数据

下表列出了在配置 Log Analytics 工作区后即可从所有连接的代理收集的数据的类型。

数据源 说明
Windows 事件日志 发送到 Windows 事件日志记录系统的信息
Syslog 发送到 Linux 事件日志记录系统的信息
性能 度量操作系统和工作负荷的各方面性能的数值
IIS 日志 在来宾操作系统上运行的 IIS 网站的使用情况信息
自定义日志 Windows 和 Linux 计算机上的文本文件中的事件

其他服务

Linux 和 Windows 的代理不只是用于连接到 Azure Monitor。 其他服务(例如 Microsoft Defender for Cloud 和 Microsoft Sentinel)依赖于代理及其连接的 Log Analytics 工作区。 该代理还支持使用 Azure 自动化来托管混合 Runbook 辅助角色和其他服务(如更新管理Microsoft Defender for Cloud)。 有关混合 Runbook 辅助角色的详细信息,请参阅 Azure 自动化混合 Runbook 辅助角色

工作区和管理组的限制

  • Windows 代理最多可以连接到四个工作区。
  • Linux 代理不支持多宿主,并且只能连接到一个工作区或管理组。

安全性限制

Windows 和 Linux 代理支持 FIPS 140 标准,但可能不支持其他类型的强化

TLS 协议

为了确保传输到 Azure Monitor 日志的数据的安全性,我们强烈建议你将代理配置为至少使用传输层安全性 (TLS) 1.2。 已发现较早版本的 TLS/安全套接字层 (SSL) 易受攻击。 尽管它们目前仍支持向后兼容,但不建议这样做。 有关详细信息,请参阅使用 TLS 安全地发送数据

网络要求

用于 Linux 和 Windows 的代理通过 TCP 端口 443 与 Azure Monitor 服务进行出站通信。 如果计算机通过防火墙或代理服务器建立连接,以便通过 Internet 进行通信,请查看以下要求以了解所需网络配置。 如果 IT 安全策略不允许网络上的计算机连接到 Internet,请设置 Log Analytics 网关并将代理配置为通过该网关连接到 Azure Monitor。 然后,代理可以接收配置信息并发送收集的数据。

Log Analytics 代理通信示意图。

下表列出了 Linux 和 Windows 代理与 Azure Monitor 日志通信所需的代理和防火墙配置信息。

防火墙要求

代理资源 端口 方向 绕过 HTTPS 检查
*.ods.opinsights.azure.cn 端口 443 出站
*.oms.opinsights.azure.cn 端口 443 出站
*.blob.core.chinacloudapi.cn 端口 443 出站
*.azure-automation.cn 端口 443 出站

重要

如果防火墙正在进行 CNAME 检查,则需要将其配置为允许 CNAME 中的所有域。

如果计划使用 Azure 自动化混合 Runbook 辅助角色连接到自动化服务并在该服务中注册以在环境中使用 Runbook 或管理功能,则它必须可以访问针对混合 Runbook 辅助角色配置网络中所述的端口号和 URL。

代理配置

Windows 和 Linux 代理支持使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 服务进行通信。 并同时支持匿名身份验证和基本身份验证(用户名/密码)。

对于直接连接到服务的 Windows 代理,代理配置在安装过程中指定,或在部署后从控制面板或使用 PowerShell 指定。 Log Analytics 代理 (MMA) 不使用系统代理设置。 因此,用户在安装 MMA 时必须传递代理设置。 这些设置将存储在虚拟机上的 MMA 配置(注册表)下。

对于 Linux 代理,代理服务器在安装过程中指定,或者在安装后通过修改 proxy.conf 配置文件来指定。 Linux 代理的代理配置值具有以下语法:

[protocol://][user:password@]proxyhost[:port]

属性 说明
协议 https
user 用于代理身份验证的可选用户名
password 用于代理身份验证的可选密码
proxyhost 代理服务器/Log Analytics 网关的地址或 FQDN
port 代理服务器/Log Analytics 网关的可选端口号

例如: https://user01:password@proxy01.contoso.com:30443

注意

如果密码中使用了特殊字符(如“@”),则会收到代理连接错误,因为值解析不正确。 若要解决此问题,请使用 URLDecode 等工具在 URL 中对密码进行编码。

后续步骤

  • 查看数据源,了解可用于从 Windows 或 Linux 系统收集数据的数据源。
  • 了解日志查询以便分析从数据源和解决方案中收集的数据。
  • 了解监视解决方案如何将功能添加到 Azure Monitor,以及如何将数据收集到 Log Analytics 工作区中。