Material sussidiario per la migrazione da Rilevamento modifiche e inventario usando Analisi dei log per Rilevamento modifiche e inventario usando la versione dell'agente di Monitoraggio di Azure
Articolo
Si applica a: ✔️ macchine virtuali Windows✔️ macchine virtuali Linux ✔️ server abilitati per Azure Arc.
Questo articolo fornisce indicazioni per passare da Rilevamento modifiche e Inventario usando la versione di Log Analytics (LA) alla versione di Azure Monitoring Agent (AMA).
Usando il portale di Azure, è possibile eseguire la migrazione da Rilevamento modifiche e inventario con l'agente LA a Rilevamento modifiche e inventario con AMA, e sono disponibili due modi per eseguire questa migrazione:
Eseguire la migrazione di macchine virtuali singole/multiple dalla pagina Macchine virtuali.
Eseguire la migrazione di più macchine virtuali nella soluzione di versione LA all'interno di un account di Automazione specifico.
Nota
Il monitoraggio dell'integrità dei file (FIM) con Microsoft Defender per endpoint (MDE) è attualmente disponibile. Seguire le indicazioni per eseguire la migrazione da:
Per eseguire l'onboarding di macchine virtuali abilitate per Arc, usare lo script di PowerShell. Per altre informazioni, vedere i passaggi elencati nella scheda Uso dello script di PowerShell - Macchine virtuali abilitate per Arc.
Per eseguire l'onboarding tramite il portale di Azure, seguire questa procedura:
Selezionare Configura con AMA e in Configura con l'agente di Monitoraggio di Azure specificare l'area di lavoro Log Analytics, e selezionare Eseguire la migrazione per avviare la distribuzione.
Selezionare Passa a CT&I con AMA per valutare gli eventi e i log in ingresso tra l'agente LA e la versione AMA.
Accedere al portale di Azure e selezionare l'account di Automazione.
In Gestione configurazione, selezionare Rilevamento modifiche e quindi selezionare Configura con AMA.
Nella pagina Onboarding in Rilevamento modifiche con Monitoraggio di Azure, è possibile visualizzare l'account di automazione e l'elenco dei computer attualmente presenti in Log Analytics e pronti per l'onboarding nell'agente di monitoraggio di Azure di Rilevamento modifiche e inventario.
Nella scheda Valuta macchine virtuali, selezionare le macchine virtuali e quindi selezionare Avanti.
Nella scheda Assegna area di lavoro, assegnare un nuovo ID risorsa dell'area di lavoro Log Analytics a cui archiviare le impostazioni della soluzione basata su AMA e selezionare Avanti.
Nella scheda Esamina è possibile esaminare i computer di cui viene eseguito l'onboarding e la nuova area di lavoro.
Selezionare Esegui migrazione per avviare la distribuzione.
Dopo una migrazione riuscita, selezionare Passa a CT&I con AMA per confrontare l'esperienza LA e AMA.
Per eseguire l'onboarding di macchine virtuali abilitate per Arc, seguire questa procedura:
Prerequisiti
Assicurarsi di aver installato PowerShell. È consigliabile usare la versione più recente di PowerShell 7 o versione successiva. Seguire la procedura per installare PowerShell in Windows, Linux e macOS.
Ottenere l'accesso in lettura per le risorse dell'area di lavoro specificate.
Assicurarsi di avere le credenziali di Azure per eseguire Connect-AzAccount e Select-AzContext che impostano il contesto dello script.
Seguire questa procedura per eseguire la migrazione usando gli script.
Indicazioni sulla migrazione
Installare lo script ed eseguirlo per eseguire le migrazioni. Lo script effettua le operazioni seguenti:
Garantisce che il nuovo ID risorsa dell'area di lavoro sia diverso da quello associato a Rilevamento modifiche e inventario usando la versione di LA.
Esegue la migrazione delle impostazioni per i tipi di dati seguenti:
Servizi Windows
File di Linux
File Windows
Registro di sistema di Windows
Daemon Linux
Lo script è costituito dai parametri seguenti che richiedono un input da parte dell'utente.
Parametro
Obbligatorio
Descrizione
InputWorkspaceResourceId
Sì
ID risorsa dell'area di lavoro associata a Rilevamento modifiche e inventario con Log Analytics.
OutputWorkspaceResourceId
Sì
ID risorsa dell'area di lavoro associata a Rilevamento modifiche e inventario con l'agente di monitoraggio di Azure.
OutputDCRName
Sì
Nome personalizzato del nuovo record di controllo di dominio creato.
OutputDCRLocation
Sì
Posizione di Azure dell'ID dell'area di lavoro di output.
OutputDCRTemplateFolderPath
Sì
Percorso della cartella in cui vengono creati i modelli DCR.
Viene generato un modello DCR quando si esegue lo script precedente e il modello è disponibile in OutputDCRTemplateFolderPath. È necessario associare il nuovo Registro Azure Container per trasferire le impostazioni a Rilevamento modifiche e inventario tramite AMA.
Accedere a portale di Azure e passare a Monitoraggio e in Impostazioni selezionare Regole di raccolta dati.
Selezionare la regola di raccolta dati creata nel passaggio 1 nella pagina di presentazione.
Nella pagina della regola di raccolta dati, in Configurazioni, selezionare Risorse e quindi selezionare Aggiungi.
Installare l'estensione Rilevamento modifiche in base al tipo di sistema operativo per la macchina virtuale abilitata per Arc.
Linux
az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20 --type ChangeTracking-Linux --machine-name XYZ --resource-group XYZ-RG --location X --enable-auto-upgrade
Windows
az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20 --type ChangeTracking-Windows --machine-name XYZ --resource-group XYZ-RG --location X --enable-auto-upgrade
Se lo schema della tabella dei log CT non esiste, lo script indicato nel passaggio 1 avrà esito negativo. Per risolvere i problemi, eseguire lo script seguente -
Confrontare i dati tra l'agente di Log Analytics e la versione dell'agente di monitoraggio di Azure
Dopo aver completato l'onboarding in Rilevamento modifiche con la versione AMA, selezionare Passa a CT con AMA nella pagina di destinazione per passare da una versione all'altra e confrontare gli eventi seguenti.
Ad esempio, se l'onboarding nella versione AMA del servizio avviene dopo il 3 novembre alle 6:00. È possibile confrontare i dati mantenendo filtri coerenti tra parametri, ad esempio Tipi di modifica, Intervallo di tempo. È possibile confrontare i log in ingresso nella sezione Modifiche e nella sezione grafica per garantire la coerenza dei dati.
Nota
È necessario confrontare i dati e i log in ingresso dopo aver completato l'onboarding alla versione AMA.
Ottenere l'ID risorsa dell'area di lavoro Log Analytics
Per ottenere l'ID risorsa dell'area di lavoro Log Analytics, seguire questa procedura:
Per una singola macchina virtuale e un account di Automazione
È possibile eseguire la migrazione di 100 macchine virtuali per account di Automazione in un'unica istanza.
Qualsiasi macchina virtuale con 100 impostazioni di file/registro > per la migrazione tramite il portale non è ora supportata.
La migrazione di macchine virtuali Arc non è supportata con il portale. È consigliabile usare la migrazione di script di PowerShell.
Per le impostazioni basate sulle modifiche del contenuto dei file, è necessario eseguire la migrazione manuale dalla versione LA alla versione AMA di Rilevamento modifiche e inventario. Seguire le indicazioni elencate in Tenere traccia del contenuto del file.
Gli avvisi configurati usando l'area di lavoro Log Analytics devono essere configurati manualmente.
Per le impostazioni basate sulle modifiche del contenuto dei file, è necessario eseguire manualmente la migrazione dalla versione di LA alla versione AMA di Rilevamento modifiche e inventario. Seguire le indicazioni elencate in Tenere traccia del contenuto del file.
Qualsiasi macchina virtuale con 100 impostazioni di file/registro > per la migrazione tramite il portale di Azure non è supportata.
Gli avvisi configurati usando l'area di lavoro Log Analytics devono essere configurati manualmente.
Disabilitare il rilevamento delle modifiche con l'agente di Log Analytics
Dopo aver abilitato la gestione delle macchine virtuali usando Rilevamento modifiche e inventario usando l'agente di monitoraggio di Azure, è possibile decidere di interrompere l'uso di Rilevamento modifiche e inventario con la versione dell'agente LA e rimuovere la configurazione dall'account.