Provisioning manuale dell'agente

  • 3 minuti

Distribuzione manuale dell'agente di Monitoraggio di Azure

L'agente di Monitoraggio di Azure è l'agente moderno consigliato per la raccolta di dati dalle macchine virtuali. A differenza dell'agente di Log Analytics legacy, AMA usa regole di raccolta dati (DCR) per specificare quali dati raccogliere e dove inviarli. Questo approccio offre maggiore flessibilità e prestazioni migliori.

Prerequisiti

Prima di installare l'agente di Monitoraggio di Azure con le regole di raccolta dati, assicurarsi di disporre di:

  • Un'area di lavoro Log Analytics in cui si dispone almeno dei diritti di collaboratore
  • Autorizzazioni per creare oggetti DCR nell'area di lavoro
  • Le macchine virtuali da monitorare (macchine virtuali di Azure o macchine abilitate per Azure Arc)

Creare una regola di raccolta dati

Per installare manualmente l'agente di Monitoraggio di Azure usando le regole di raccolta dati:

  1. Creare la regola di raccolta dati:

    • Nel portale di Azure passare a Monitor>Regole di raccolta dei dati
    • Selezionare Crea per aprire il riquadro di creazione del DCR
    • Nella scheda Informazioni di base specificare:
      • Nome regola: nome descrittivo per la regola di raccolta dati
      • Sottoscrizione: sottoscrizione in cui archiviare la regola di raccolta dati
      • Gruppo di risorse: Gruppo di risorse per archiviare il DCR
      • Area: deve essere la stessa area dell'area di lavoro Log Analytics
      • Tipo di piattaforma: selezionare Windows, Linux o Tutti in base ai computer di destinazione

  2. Aggiungere le risorse di destinazione:

    • Nella scheda Risorse selezionare Aggiungi risorse
    • Scegliere le macchine virtuali che usano questo DCR
    • L'agente di Monitoraggio di Azure viene installato automaticamente nelle macchine virtuali selezionate che non lo hanno già

  3. Configurare le origini dati:

    • Nella scheda Raccogli e recapita selezionare Aggiungi origine dati
    • Scegliere tra i tipi di origine dati disponibili:
      • Eventi di Windows: per i registri eventi di Windows ed eventi di sicurezza
      • Contatori delle prestazioni: per le metriche delle prestazioni del sistema
      • Syslog: per i log di sistema Linux
      • Log di testo: per i log applicazioni personalizzati
      • Log IIS: per i log del server Web
    • Specificare l'area di lavoro Log Analytics di destinazione

  4. Salvare la configurazione:

    • Esaminare le impostazioni e selezionare Crea
    • Il DCR viene creato con le VM selezionate

Origini dati per il monitoraggio della sicurezza

Per l'integrazione di Microsoft Defender for Cloud, configurare queste origini dati comuni:

Macchine Windows

  • Eventi di Windows: raccogliere eventi di sicurezza dai registri eventi di Windows
  • Contatori delle prestazioni: monitorare le metriche delle prestazioni del sistema
  • Eventi di sicurezza: acquisire eventi di autenticazione e autorizzazione

Macchine Linux

  • Syslog: raccogliere i log di sicurezza e di sistema
  • Contatori delle prestazioni: monitorare le prestazioni del sistema
  • Log di autenticazione: tenere traccia dell'accesso utente e degli eventi di sicurezza

Metodi di distribuzione

È possibile implementare l'agente di Monitoraggio di Azure con le regole di raccolta dati usando più metodi:

Portale di Azure

Usare l'interfaccia del portale di Azure per creare regole di raccolta dati e associarle alle macchine virtuali, come descritto in precedenza.

Modelli di Azure Resource Manager

Distribuire gli agenti usando i template ARM per distribuzioni coerenti e ripetibili in varie macchine.

PowerShell

Usare i cmdlet di Azure PowerShell per creare e gestire a livello di codice le regole di raccolta dati (DCR):

# Create a DCR association
New-AzDataCollectionRuleAssociation -ResourceUri <vm-resource-id> -RuleId <dcr-resource-id>

Azure CLI

Usare i comandi dell'interfaccia della riga di comando di Azure per le distribuzioni con script:

# Associate a DCR with a VM
az monitor data-collection rule association create --resource <vm-resource-id> --rule-id <dcr-resource-id>

Verificare l'installazione

Dopo aver creato il DCR e associarlo alle macchine virtuali:

  1. Controllare lo stato dell'agente:

    • Verificare che l'agente di Monitoraggio di Azure sia installato e in esecuzione nelle macchine virtuali di destinazione
    • Controllare la tabella Heartbeat nell'area di lavoro Log Analytics

  2. Verificare la raccolta dati:

    • Eseguire query sulle tabelle appropriate in Log Analytics per verificare che i dati vengano raccolti
    • La visualizzazione dei dati dopo la creazione di DCR può richiedere fino a 5 minuti

  3. Monitorare lo stato di salute dell'agente

    • Usare Monitoraggio di Azure per tenere traccia dell'integrità e della connettività dell'agente
    • Esaminare eventuali messaggi di errore nei log dell'agente

Migliori pratiche

  • Evitare dati duplicati: non creare più richieste di raccolta dati con le stesse origini dati per le stesse macchine virtuali
  • Usare nomi descrittivi: denominare chiaramente i DCRs per identificarne lo scopo
  • Manutenzione regolare: esaminare e aggiornare le regole di raccolta dati quando cambiano i requisiti di monitoraggio
  • Ottimizzazione dei costi: raccogliere solo i dati necessari per evitare addebiti non necessari

L'agente di Monitoraggio di Azure con regole di raccolta dati offre un approccio moderno e flessibile alla raccolta dati che si integra perfettamente con le funzionalità di monitoraggio della sicurezza di Microsoft Defender for Cloud.