通过

适用于 Microsoft Sentinel 的 AMA 迁移

  • 项目

本文介绍在已有 Log Analytics 代理 (MMA/OMS) 并且正在使用 Microsoft Sentinel 时,迁移到 Azure Monitor 代理 (AMA) 的过程。

重要

Log Analytics 代理将于 2024 年 8 月 31 日停用。 如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理,我们建议你开始计划到 AMA 的迁移。

先决条件

请先参阅 Azure Monitor 文档,其中提供了有关此迁移过程的代理比较和一般信息。

本文提供针对 Microsoft Sentinel 的具体详细信息和相关差异。

代理之间的差距分析

Azure Monitor 代理提供额外的功能和吞吐量,比旧版 Log Analytics 代理高出 25%。 迁移到新的 AMA 连接器以获得更高的性能,尤其是在使用服务器作为 Windows 安全事件或转发事件的日志转发器时。

Azure Monitor 代理提供以下附加功能,旧版 Log Analytics 代理不支持此功能:

日志类型 功能
Windows 日志 按安全事件 ID 进行筛选
Windows 事件转发
Linux 日志 多归属

仅旧版 Log Analytics 代理支持的唯一日志是 Windows 防火墙日志。

每个组织会有不同的成功指标和内部迁移流程。 本部分提供了从 Log Analytics MMA/OMS 代理迁移到 AMA 时要考虑的建议指导,特别是针对 Microsoft Sentinel。

在迁移过程中包括以下步骤:

  1. 确保你已查看必要的先决条件和其他注意事项,如 Azure Monitor 文档中此处所述

  2. 运行概念证明以(理想情况下在开发或沙盒环境中)测试 AMA 将数据发送到 Microsoft Sentinel 的情况。

    1. 要将 Windows 计算机连接到 Windows 安全事件连接器,请从 Microsoft Sentinel 中的“经由 AMA 的 Windows 安全事件”数据连接器页面开始。 有关详细信息,请参阅基于 Windows 代理的连接

    2. 转到“经由旧版代理的安全事件”数据连接器页面。 在“指令”选项卡上,在“配置步骤 2”下,选择要流式处理的事件,选择“无”。 此过程将配置系统,使其不通过 MMA/OMS 接收任何安全事件,但依赖于此代理的其他数据源将继续正常运行。 此步骤会影响向当前 Log Analytics 工作区报告的所有计算机。

    重要

    使用两种不同类型的代理从同一源中引入数据会导致在 Microsoft Sentinel 工作区中产生双重的输入费用和重复事件。

    如果需要同时运行这两个数据连接器,建议仅在有限时间内使用,并仅用于基准测试或测试比较活动,最好是在单独的测试工作区中执行。

  3. 度量概念证明的成功。

    为了帮助执行此步骤,请使用 AMA 迁移跟踪器工作簿,该工作簿显示向工作区报告的服务器,以及其安装了旧版 MMA、AMA 还是同时安装了这两个代理。 还可使用此工作簿查看从计算机收集事件的 DCR,以及其收集的事件。

    例如:

    AMA 迁移跟踪器工作簿的屏幕截图。

    成功标准应包括对 MMA/OMS 和 AMA 代理在同一主机上所引入的定量数据的统计分析和比较:

    • 衡量环境中某个正常工作负载在预定义的时间段内的成功情况。

    • 测试时,请确保测试 AMA 提供的每个新功能,例如 Linux 多宿主、Windows 事件筛选等。

    • 根据组织的风险状况和更改流程,规划生产环境中 AMA 代理的推出。

  4. 在生产环境中推出新代理,并运行 AMA 功能的最终测试。

  5. 断开依赖于旧版连接器的任何数据连接器的连接,例如使用 MMA 的安全事件。 只让新连接器(例如 Windows 使用 MMA 的安全事件)保持运行状态。

    尽管可以并行运行旧版 MMA/OMS 和 AMA 代理,但请确保每个数据源仅使用一个代理将数据发送到 Microsoft Sentinel,以此防止重复的成本和数据。

  6. 检查 Microsoft Sentinel 工作区,确保已使用新的基于 AMA 的连接器替换所有数据流。

  7. 卸载旧代理。 有关详细信息,请参阅管理 Azure Log Analytics 代理

常见问题

以下常见问题解答可帮助解决特定于 Microsoft Sentinel 的 AMA 迁移的问题。 有关详细信息,请参阅 Azure Monitor 文档中的 Azure Monitor 代理的常见问题解答

如果在 Microsoft Sentinel 部署中并行运行 MMA/OMS 和 AMA,会发生什么情况?

AMA 和 MMA/OMS 代理可以共存于同一台计算机上。 如果它们从同一个主机同时从同一数据源向 Microsoft Sentinel 工作区发送数据,将发生重复事件和双倍引入费用。

对于生产推出,建议为每个数据源配置 MMA/OMS 代理或 AMA 中的一个。 若要解决任何重复相关问题,请参阅 Azure Monitor 文档中的相关常见问题解答。

AMA 还不具有我的 Microsoft Sentinel 部署所需的功能。 我是否应该迁移?

旧版 Log Analytics 代理将于 2024 年 8 月 31 日停用。

AMA 将随时间推移逐步赶上 MMA/OMS 的步伐,建议随时关注并及时了解 AMA 发布的新功能。 希望在 AMA 中提供了你运行 Microsoft Sentinel 部署时所需的功能后能够尽快迁移。

虽然可以同时运行 MMA 和 AMA,但你可能希望在同时运行这两个代理时一次迁移一个连接器。

后续步骤

有关详细信息,请参阅: