Usar a solução Mapa do Serviço no Azure
O Mapa do Serviço descobre automaticamente os componentes de aplicativo em sistemas Windows e Linux e mapeia a comunicação entre os serviços. Com o Mapa do Serviço é possível exibir seus servidores como sistemas interconectados que fornecem serviços críticos. O Mapa do Serviço mostra conexões entre servidores, processos, latência de conexão de entrada e saída e portas em qualquer arquitetura conectada ao TCP. Nenhuma configuração é necessária além da instalação de um agente.
Importante
O Mapa do Serviço será desativado em 30 de setembro de 2025. Para monitorar conexões entre servidores, processos, latência de conexão de entrada e saída, e portas em qualquer arquitetura conectada ao TCP, certifique-se de migrar para os insights da VM do Azure Monitor antes dessa data.
Este artigo descreve como implantar e usar o Mapa do Serviço. Os pré-requisitos da solução são:
- Um workspace do Log Analytics em uma região com suporte.
- O agente do Log Analytics instalado no computador Windows ou no servidor Linux conectado ao mesmo workspace com o qual você habilitou a solução.
- O Dependency Agent instalado no computador Windows ou no servidor Linux.
Observação
Se você já tiver implantado o Mapa do Serviço, agora também poderá ver seus mapas nos insights da VM, que incluem mais recursos para monitorar a integridade e o desempenho da VM. Para saber mais, confira Visão geral dos insights da VM. Para conhecer as diferenças entre a solução Mapa do Serviço e o recurso Mapa de insights da VM, confira estas Perguntas frequentes.
Entrar no Azure
Entre no portal do Azure.
Habilitar Mapa do Serviço
Habilite a solução Mapa do Serviço do Azure Marketplace. Ou use o processo descrito em Adicionar soluções de monitoramento a partir da Galeria de Soluções.
Instale o Agente de Dependência no Windows ou instale o Agente de Dependência no Linux em todos os computadores nos quais você deseja obter dados. O agente de Dependência pode monitorar conexões a vizinhos imediatos, portanto, talvez não seja necessário ter um agente em cada computador.
Acesse o Mapa do Serviço no portal do Azure do workspace do Log Analytics. Selecione a opção Soluções herdadas no painel esquerdo.
.
Na lista de soluções, selecione ServiceMap(workspaceName). Na página de visão geral da solução Mapa do Serviço, selecione o bloco resumo do Mapa do Serviço.
.
Casos de uso: Fazer com que seus processos de TI reconheçam a dependência
Descoberta
O Mapa do Serviço compila automaticamente um mapa de referência comum de dependências em seus servidores, processos e serviços de terceiros. Ele descobre e mapeia todas as dependências do TCP. Ele identifica conexões inesperadas, sistemas remotos de terceiros dos quais você depende e dependências para áreas escuras tradicionais da rede, como o Active Directory. O Mapa do Serviço descobre conexões de rede com falha que seus sistemas gerenciados estão tentando fazer. Essas informações ajudam você a identificar possíveis problemas de configuração incorreta do servidor, interrupção de serviço e rede.
Gerenciamento de incidentes
O Mapa do Serviço ajuda a eliminar as suposições de isolamento do problema, mostrando a você como os sistemas estão conectados e afetam uns aos outros. Além de identificar conexões com falha, ele ajuda a identificar balanceadores de carga configurados incorretamente, carga excessiva ou inesperada em serviços críticos e clientes invasores, como computadores de desenvolvedores conversando com sistemas de produção. Ao utilizar fluxos de trabalho integrados com o Controle de Alterações, também é possível verificar se um evento de alteração em um computador de back-end ou serviço explica a causa raiz de um incidente.
Garantia de migração
Ao utilizar o Mapa do Serviço você pode, efetivamente, planejar, acelerar e validar as migrações do Azure, para ajudar a assegurar que nada seja deixado para trás e que interrupções inesperadas não ocorram. Você pode:
- Descobrir todos os sistemas interdependentes que precisam migrar juntos.
- Avaliar a configuração e a capacidade do sistema.
- Identificar se um sistema em execução ainda está atendendo aos usuários ou é candidato para encerramento em vez de migração.
Após a conclusão do movimento, será possível inspecionar a identidade e a carga do cliente para verificar se os sistemas de teste e os clientes estão se conectando. Se o seu planejamento de sub-rede e definições de firewall tiverem problemas, as conexões com falha em mapas do Mapa do Serviço apontarão para os sistemas que precisam de conectividade.
Continuidade de negócios
Se você estiver usando o Azure Site Recovery e precisar de ajuda com a definição da sequência de recuperação para seu ambiente de aplicativo, o Mapa do Serviço poderá mostrar automaticamente como os sistemas dependem uns dos outros. Essas informações ajudam a garantir que seu plano de recuperação seja confiável.
Ao escolher um grupo ou servidor crítico e exibir seus clientes, será possível identificar quais são os sistemas front-end a serem recuperados depois que o servidor estiver restaurado e disponível. Por outro lado, analisando as dependências de back-end de servidores críticos, você poderá identificar os sistemas que devem ser recuperados antes que os sistemas de foco sejam restaurados.
Gerenciamento de patch
O Mapa do Serviço aprimora seu uso da Avaliação de Atualização do Sistema, mostrando que outras equipes e servidores dependem de seu serviço. Dessa forma, você pode notificá-los com antecedência antes de desligar seus sistemas para aplicação de patch. O Mapa do Serviço também aprimora o gerenciamento de patch mostrando se os seus serviços estão disponíveis e conectados corretamente após terem sido corrigidos e reiniciados.
Visão geral do mapeamento
Os agentes do Mapa do Serviço coletam informações sobre todos os processos conectados ao TCP no servidor em que estão instalados. Eles também coletam detalhes sobre as conexões de entrada e saída para cada processo.
Na lista no painel esquerdo, você pode selecionar computadores ou grupos que possuem agentes do Mapa do Serviço para visualizar suas dependências em um intervalo de tempo especificado. A dependência do computador mapeia o foco em um computador específico. Eles mostram todas os computadores que são clientes TCP diretos ou servidores desse computador. Os mapas do grupo de computadores mostram os conjuntos de servidores e suas dependências.
Computadores podem ser expandidos no mapa para mostrar os grupos de processos em execução e os processos com conexões de rede ativas durante o intervalo de tempo selecionado. Quando um computador remoto com um agente do Mapa do Serviço é expandido para mostrar os detalhes do processo, somente os processos comunicando-se com o computador serão mostrados.
A contagem de computadores front-end sem agente conectando-se com o computador de foco é indicada no lado esquerdo dos processos aos quais se conectam. Se o computador de foco estiver fazendo uma conexão com um computador back-end que não possui nenhum agente, o servidor back-end será incluído em um grupo de portas do servidor. Esse grupo também inclui outras conexões com o mesmo número de porta.
Por padrão, os mapas do Mapa do Serviço mostram os últimos 30 minutos de informações de dependência. Use os controles de tempo no canto superior esquerdo para consultar mapas para intervalos de tempo históricos de até uma hora para ver como as dependências pareciam no passado. Por exemplo, talvez você queira ver como elas eram durante um incidente ou antes de ocorrer uma alteração. Os dados do Mapa do Serviço são armazenados por 30 dias em workspaces pagos e por sete dias em workspaces gratuitos.
Notificações de status e a cor de borda
Na parte inferior de cada servidor no mapa, uma lista de notificações de status que transmitem informações de status sobre o servidor pode aparecer. As notificações indicam que há informações relevantes para o servidor de uma das integrações de solução.
Ao selecionar em uma notificação, você será direcionado diretamente para os detalhes do status no painel direito. As notificações de status atualmente disponíveis incluem Alertas, Central de Serviços, Alterações, Segurança e Atualizações.
Dependendo da gravidade das notificações de status, as bordas do nó do computador poderão ser coloridas em vermelho (crítico), amarelo (aviso) ou azul (informativo). A cor representa o status mais grave de qualquer uma das notificações de status. Uma borda cinza indica um nó que não possui indicadores de status.
Grupos de processos
Grupos de processos combinam os processos que estão associados com um produto ou serviço comum em um grupo de processos. Quando um nó de computador é expandido, ele exibe processos autônomos junto com grupos de processos. Se uma conexão de entrada ou de saída para um processo dentro de um grupo de processos falhou, a conexão será mostrada como com falha para todo o grupo de processos.
Grupos de computadores
Os grupos de computadores permitem que você veja mapas centralizados em torno de um conjunto de servidores, não apenas um. Dessa forma, você poderá visualizar todos os membros de um aplicativo de várias camadas ou cluster de servidor em um mapa.
Os usuários selecionam quais servidores pertencem em um grupo e escolhem um nome para o grupo. Em seguida, você pode optar por exibir o grupo com todos os seus processos e conexões. Você também pode visualizá-lo apenas com os processos e conexões que se relacionam diretamente com os outros membros do grupo.
Criar um grupo de computadores
Para criar um grupo:
Selecione o computador ou os computadores que você deseja na lista Computadores e selecione Adicionar ao grupo.
Selecione Criar novo e dê um nome ao grupo.
Observação
Os grupos de computadores são limitados a 10 servidores.
Exibir um grupo
Depois de criar alguns grupos, você pode exibi-los.
Selecione a guia Grupos .
Selecione o nome do grupo para exibir o mapa para esse grupo de computadores.
Os computadores que pertencem ao grupo são contornados em branco no mapa.
Expanda o grupo para listar os computadores que constituem o grupo de computadores.
Filtrar por processos
É possível alternar a exibição do mapa para mostrar todos os processos e conexões no grupo ou apenas aqueles que se relacionam diretamente com o grupo de computadores. A exibição padrão mostra todos os processos.
Selecione o ícone de filtro acima do mapa para alterar o modo de exibição.
Selecione Todos os processos para visualizar o mapa com todos os processos e conexões em cada um dos computadores no grupo.
Para criar uma exibição simplificada, altere a exibição para mostrar apenas os processos conectados ao grupo. Em seguida, o mapa é restringido para mostrar apenas esses processos e conexões diretamente conectados a outros computadores no grupo.
Adicionar computadores a um grupo
Para adicionar computadores a um grupo existente, marque as caixas de seleção ao lado dos computadores que deseja e selecione Adicionar ao grupo. Em seguida, escolha o grupo para o qual deseja adicionar os computadores.
Remover computadores de um grupo
Na lista de Grupos, expanda o nome do grupo para listar os computadores no grupo de computadores. Selecione o menu de reticências próximo ao computador que deseja remover e selecione Remover.
Remover ou renomear um grupo
Selecione o menu de reticências próximo ao nome do grupo na lista de Grupos.
Ícones de função
Alguns processos possuem funções específicas em computadores, como servidores Web, servidores de aplicativos e bancos de dados. O Mapa do Serviço adiciona ao processo e às caixas do computador ícones de função para ajudar a identificar rapidamente a função de um processo ou servidor.
Ícone de função | Descrição |
---|---|
Servidor Web | |
Servidor de aplicativos | |
Servidor de banco de dados | |
Servidor LDAP | |
Servidor SMB |
Conexões com falha
No Mapa do Serviço, as conexões com falha são mostradas em mapas para processos e computadores. Uma linha vermelha tracejada indica que um sistema cliente não consegue acessar um processo ou uma porta.
Conexões com falha são reportadas de qualquer sistema com um agente do Mapa do Serviço implantado, se esse sistema estiver tentando a conexão com falha. O Mapa do Serviço mede esse processo, observando os soquetes TCP que falham ao estabelecer uma conexão. Isso pode ocorrer devido a um firewall, uma configuração incorreta no cliente ou servidor ou um serviço remoto não disponível.
Entender as conexões com falha pode ajudar com a solução de problemas, validação da migração, análise de segurança e noções básicas sobre arquitetura em geral. As conexões com falha são algumas vezes inofensivas, mas geralmente apontam diretamente para um problema. Um ambiente de failover de repente pode se tornar inacessível ou duas camadas de aplicativo podem não conseguir falar após uma migração na nuvem.
Grupos de clientes
Os grupos de clientes são caixas no mapa que representam computadores cliente que não possuem agentes de Dependência. Um grupo de clientes individual representa os clientes de um computador ou de um processo individual.
Para ver os endereços IP dos servidores em um grupo de clientes, selecione o grupo. O conteúdo do grupo está listado no painel Propriedades do Grupo de Clientes.
Grupos de portas do servidor
Os grupos de portas do servidor são caixas que representam portas de servidor em servidores que não possuem agentes de Dependência. A caixa contém a porta do servidor e uma contagem do número de servidores com conexões para essa porta. Expanda a caixa para ver conexões e servidores individuais. Se houver apenas um servidor na caixa, o nome ou endereço IP será listado.
Menu de contexto
Selecione as reticências (...), no canto superior direito de qualquer servidor para exibir o menu de contexto desse servidor.
Carregar mapa do servidor
Selecione Carregar Mapa do Servidor para acessar um novo mapa com o servidor selecionado como o novo computador de foco.
Mostrar self-links
Selecione Mostrar Self-Links para redesenhar o nó do servidor, incluindo quaisquer self-links, que são conexões do TCP que começam e terminam em processos no servidor. Se os self-links forem mostrados, o comando de menu irá alterar para Ocultar Self-Links de modo que você possa desativá-los.
Resumo do computador
O painel Resumo do Computador inclui uma visão geral do sistema operacional de um servidor, contagens de dependência e dados de outras soluções. Esses dados incluem métricas de desempenho, tíquetes de central serviços, controle de alterações, segurança e atualizações.
Propriedades do computador e do processo
Ao navegar em um mapa no Mapa do Serviço, é possível selecionar computadores e processos para obter mais contexto sobre suas propriedades. As máquinas fornecem informações sobre o nome DNS, endereços IPv4, capacidade de CPU e memória, tipo de VM, sistema operacional e versão, horário da última reinicialização e as IDs de seus agentes OMS e Mapa do Serviço.
Você pode coletar detalhes do processo de metadados do sistema operacional sobre como executar processos. Os detalhes incluem nome do processo, descrição do processo, nome de usuário e domínio (no Windows), nome da empresa, nome do produto, versão do produto, diretório de trabalho, linha de comando e hora de início do processo.
O painel do Resumo do Processo fornece mais informações sobre a conectividade do processo, incluindo as portas associadas, as conexões de entrada e saída e as conexões com falha.
Integração de alertas
O Mapa do Serviço integra-se aos Alertas do Microsoft Azure para mostrar os alertas acionados para o servidor selecionado no intervalo de tempo selecionado. Se houver alertas atuais, o servidor exibirá um ícone e o painel Alertas do Computador listará os alertas.
Para habilitar o Mapa do Serviço para exibir alertas relevantes, crie uma regra de alerta que dispara para um computador específico. Para criar alertas apropriadas:
- Inclua uma cláusula para agrupar por computador. Um exemplo é por intervalo de 1 minuto do computador.
- Escolha o alerta com base na medida métrica.
Integração de eventos de log
O Mapa do Serviço integra-se à Pesquisa de Logs para mostrar uma contagem de todos os eventos de log disponíveis para o servidor selecionado no intervalo de tempo selecionado. Você pode selecionar qualquer linha na lista de contagens de eventos para pular para a Pesquisa de Logs e visualizar os eventos de log individuais.
Integração da Central de Serviços
A integração do Mapa do Serviço com o Conector de Gerenciamento de Serviços de TI é automática quando as duas soluções estão habilitadas e configuradas no espaço de trabalho do Log Analytics. A integração Mapa do Serviço é rotulada como "Central de Serviços". Para obter mais informações, consulte Gerenciar centralmente itens de trabalho de ITSM usando Conector de Gerenciamento de Serviços de TI.
O painel Central de Serviços do Computador lista todos os eventos de Gerenciamento de Serviço de TI para o servidor selecionado no intervalo de tempo selecionado. Se houver itens atuais, o servidor exibirá um ícone e o painel da Central de Serviços do Computador irá listá-los.
Para abrir o item na sua solução ITSM conectada, selecione Exibir Item de Trabalho.
Para exibir os detalhes do item na Pesquisa de Logs, selecione Mostrar na Pesquisa de Logs. As métricas de conexão são gravadas em duas novas tabelas no Log Analytics.
Integração de Controle de Alterações
A integração do Mapa do Serviço com o Controle de Alterações é automática quando as duas soluções estão habilitadas e configuradas em seu espaço de trabalho do Log Analytics.
O painel do Controle de Alterações do Computador lista todas as alterações, as mais recentes primeiro, juntamente com um link para fazer busca detalhada da Pesquisa de Logs para obter mais detalhes.
A imagem a seguir é uma exibição detalhada de um evento ConfigurationChange que poderá ser exibido após selecionar Mostrar no Log Analytics.
Integração de desempenho
O painel Desempenho do Computador exibe métricas de desempenho padrão para o servidor selecionado. As métricas incluem utilização de CPU, utilização de memória, bytes de rede enviados e recebidos, e uma lista dos principais processos por bytes de rede enviados e recebidos.
Para visualizar os dados de desempenho, talvez seja necessário habilitar os contadores de desempenho apropriados do Log Analytics. Os contadores que você desejará habilitar:
Windows:
- Processador(*)% Tempo do Processador
- Memory\% Bytes confirmados em uso
- Adaptador de Rede(*)\Bytes Enviados/s
- Adaptador de Rede(*)\Bytes Recebidos/s
Linux:
- Processador(*)% Tempo do Processador
- Memória(*)\% Memória Utilizada
- Adaptador de Rede(*)\Bytes Enviados/s
- Adaptador de Rede(*)\Bytes Recebidos/s
Integração de segurança
A integração do Mapa do Serviço com Segurança e Auditoria é automática quando as duas soluções estão habilitadas e configuradas em seu espaço de trabalho do Log Analytics.
O painel Segurança do Computador mostra dados da solução de Segurança e Auditoria para o servidor selecionado. O painel lista um resumo de quaisquer problemas de segurança pendentes para o servidor durante o intervalo de tempo selecionado. Ao selecionar qualquer um dos problemas de segurança, a busca detalhada será realizada em uma pesquisa de logs para obter mais detalhes sobre esses problemas.
Integração de atualizações
A integração do Mapa do Serviço com o Gerenciamento de Atualizações é automática quando as duas soluções estão habilitadas e configuradas em seu espaço de trabalho do Log Analytics.
O painel Atualizações do Computador exibe dados da solução de Gerenciamento de Atualizações para o servidor selecionado. O painel lista um resumo de quaisquer atualizações ausentes para o servidor durante o intervalo de tempo selecionado.
Registros do Log Analytics
Dados de inventário do processo e do computador do Mapa do Serviço estão disponíveis para pesquisa no Log Analytics. Você pode aplicar esses dados a cenários que incluem planejamento de migração, análise de capacidade, descoberta e solução de problemas de desempenho sob demanda.
Um registro é gerado por hora para cada computador e processo exclusivo, além dos registros que são gerados quando um processo ou computador inicia ou é integrado ao Mapa do Serviço. Esses registros têm as propriedades descritas nas tabelas a seguir.
Os campos e valores nos eventos ServiceMapComputer_CL mapeiam para campos do recurso do Computador na API do ServiceMap do Azure Resource Manager. Os campos e valores nos eventos ServiceMapProcess_CL mapeiam para os campos do recurso do Processo na API do ServiceMap do Azure Resource Manager. O campo ResourceName_s corresponde ao campo de nome no recurso do Gerenciador de Recursos correspondente.
Observação
À medida que os recursos do Mapa do Serviço crescem, esses campos estarão sujeitos a alterações.
Você pode usar propriedades geradas internamente para identificar computadores e processos exclusivos:
- Computador: use ResourceId ou ResourceName_s para identificar exclusivamente um computador em um espaço de trabalho do Log Analytics.
- Processo: use ResourceId para identificar exclusivamente um processo em um espaço de trabalho do Log Analytics. O ResourceName_s é exclusivo no contexto do computador no qual o processo está em execução MachineResourceName_s.
Como vários registros podem existir para um processo e computador específicos em um intervalo de tempo específico, as consultas podem retornar mais de um registro para o mesmo computador ou processo. Para incluir somente o registro mais recente, adicione "| dedup ResourceId"
à consulta.
conexões
As métricas de conexão são gravadas em uma nova tabela no Log Analytics denominada VMConnection. Essa tabela fornece informações sobre as conexões de entrada e saída de um computador. As Métricas de Conexão também são expostas com APIs que fornecem meios para obter uma métrica específica durante um intervalo de tempo.
As conexões do TCP resultantes da aceitação em um soquete de escuta são de entrada. Essas conexões criadas pela conexão a um determinado IP e porta são de saída. A direção de uma conexão é representada pela propriedade Direction
, o que pode ser definida para inbound
ou outbound
.
Os registros nessas tabelas são gerados a partir dos dados relatados pelo agente de Dependência. Cada registro representa uma observação durante o intervalo de tempo de um minuto. A propriedade TimeGenerated
indica o início do intervalo de tempo. Cada registro contém informações para identificar a respectiva entidade, ou seja, conexão ou porta e as métricas associadas àquela entidade. Atualmente, apenas as atividades de rede que ocorre usando TCP via IPv4 são relatadas.
Para gerenciar o custo e a complexidade, os registros de conexão não representam as conexões de rede física individuais. Várias conexões de rede física são agrupadas em uma conexão lógica, o que é refletido na respectiva tabela. Assim, os registros na tabela VMConnection representam um agrupamento lógico, não as conexões físicas individuais sendo observadas.
As conexões de rede físicas que compartilham o mesmo valor para os atributos a seguir durante o intervalo especificado de um minuto são agregadas em um único registro lógico em VMConnection.
Propriedade | Descrição |
---|---|
Direction |
Direção da conexão. O valor é de entrada ou de saída. |
Machine |
O FQDN do computador. |
Process |
Identidade do processo ou grupos de processos iniciando ou aceitando a conexão. |
SourceIp |
Endereço IP da origem. |
DestinationIp |
Endereço IP do destino. |
DestinationPort |
Número da porta de destino. |
Protocol |
Protocolo usado para a conexão. O valor é tcp. |
Para levar em conta o impacto do agrupamento, são fornecidas informações sobre o número de conexões físicas agrupadas nas seguintes propriedades do registro.
Propriedade | Descrição |
---|---|
LinksEstablished |
O número de conexões de rede física que foram estabelecidas durante o intervalo de tempo de geração de relatórios. |
LinksTerminated |
O número de conexões de rede física que foram terminadas durante o intervalo de tempo de geração de relatórios. |
LinksFailed |
O número de conexões de rede física que falharam durante o intervalo de tempo de geração de relatórios. Essa informação está disponível atualmente apenas para as conexões de saída. |
LinksLive |
O número de conexões de rede física que estavam abertas no final do intervalo de tempo de geração de relatórios. |
Métricas
Além das métricas de contagem de conexões, as informações sobre o volume de dados enviados e recebidos em uma conexão lógica específica ou porta de rede também estão incluídas nas seguintes propriedades do registro.
Propriedade | Descrição |
---|---|
BytesSent |
Número total de bytes enviados durante o intervalo de tempo de geração de relatórios. |
BytesReceived |
Número total de bytes recebidos durante o intervalo de tempo de geração de relatórios. |
Responses |
O número de respostas observadas durante o intervalo de tempo de geração de relatórios. |
ResponseTimeMax |
O maior tempo de resposta em milissegundos observado durante o intervalo de tempo de geração de relatórios. Se não houver valor, a propriedade ficará em branco. |
ResponseTimeMin |
O menor tempo de resposta em milissegundos observado durante o intervalo de tempo de geração de relatórios. Se não houver valor, a propriedade ficará em branco. |
ResponseTimeSum |
A soma de todos os tempos de resposta em milissegundos observados durante o intervalo de tempo de geração de relatórios. Se não houver valor, a propriedade ficará em branco |
O terceiro tipo de dados que está sendo relatado é o tempo de resposta. Quanto tempo quem chama fica aguardando uma solicitação enviada em uma conexão para ser processada e respondida pelo ponto de extremidade remoto?
O tempo de resposta relatado é uma estimativa do tempo real de resposta do protocolo do aplicativo subjacente. Ele é calculado usando uma heurística baseada na observação do fluxo de dados entre a origem e o destino final de uma conexão de rede física.
Conceitualmente, o tempo de resposta é a diferença entre a hora em que o último byte de uma solicitação deixa o emissor e a hora em que o último byte da resposta volta para ele. Esses dois carimbos de data/hora são usados para delinear os eventos de solicitação e resposta em uma conexão física específica. A diferença entre eles representa o tempo de resposta de uma única solicitação.
Na primeira versão do recurso, nosso algoritmo é uma aproximação que pode funcionar com vários graus de sucesso, dependendo do protocolo do aplicativo real usado para uma conexão de rede específica. Por exemplo, a abordagem atual funciona bem para protocolos baseados em solicitação-resposta, como HTTP/HTTPS. Mas essa abordagem não funciona com protocolos unidirecionais ou baseados em fila de mensagens.
Aqui estão alguns pontos importantes a considerar:
- Se um processo aceita conexões no mesmo endereço IP, mas em várias interfaces de rede, é relatado um registro separado para cada interface.
- Os registros com IP curinga não conterão nenhuma atividade. Eles são incluídos para representar o fato de que uma porta no computador está aberta para o tráfego de entrada.
- Para reduzir o nível de detalhes e o volume de dados, os registros com IP curinga serão omitidos quando houver um registro correspondente (para o mesmo processo, porta e protocolo) com um endereço IP específico. Quando um registro IP curinga for omitido, a propriedade de registro
IsWildcardBind
com o endereço IP específico será definida paraTrue.
como Esta configuração indica que a porta está exposta em cada interface do computador que gera os relatórios. - As portas associadas somente a uma interface específica tem
IsWildcardBind
definida comoFalse
.
Nomenclatura e classificação
Para sua conveniência, o endereço IP da extremidade remota de uma conexão é incluído na propriedade RemoteIp
. No caso das conexões de entrada, RemoteIp
é igual a SourceIp
, já para conexões de saída, é igual a DestinationIp
. A propriedade RemoteDnsCanonicalNames
representa os nomes DNS aceitos relatados pelo computador para RemoteIp
. As propriedades RemoteDnsQuestions
e RemoteClassification
são reservadas para uso futuro.
Geolocalização
VMConnection também inclui informações de localização geográfica para a extremidade remota de cada registro de conexão nas seguintes propriedades do registro.
Propriedade | Descrição |
---|---|
RemoteCountry |
O nome do país/da região que hospeda o RemoteIp . Um exemplo é Estados Unidos. |
RemoteLatitude |
A latitude da localização geográfica. Um exemplo é 47.68. |
RemoteLongitude |
A longitude da localização geográfica. Um exemplo é 122.12. |
IP malicioso
Todas as propriedades RemoteIp
na tabela VMConnection são verificadas em um conjunto de IPs com atividades mal-intencionadas conhecidas. Se RemoteIp
for identificado como mal-intencionado, as propriedades a seguir serão preenchidas (elas ficam em branco quando o IP não é considerado mal-intencionado) nas seguintes propriedades do registro.
Propriedade | Descrição |
---|---|
MaliciousIp |
O endereço RemoteIp . |
IndicatorThreadType |
O indicador de ameaça detectado é um dos seguintes valores: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA ou Watchlist. |
Description |
Descrição da ameaça observada. |
TLPLevel |
O TLP (Traffic Light Protocol) é um dos valores definidos: Branco, Verde, Âmbar, Vermelho. |
Confidence |
Os valores são 0 – 100. |
Severity |
Os valores são 0 – 5, onde 5 é o mais grave e 0 não é grave. O valor padrão é 3. |
FirstReportedDateTime |
A primeira vez que o provedor relatou o indicador. |
LastReportedDateTime |
A última vez que o indicador foi visto pelo Interflow. |
IsActive |
Indica que os indicadores estão desativados com o valor Verdadeiro ou Falso. |
ReportReferenceLink |
Links para relatórios relacionados a um dado observável. |
AdditionalInformation |
Fornece mais informações, se aplicáveis, sobre a ameaça observada. |
Registros ServiceMapComputer_CL
Registros com um tipo de ServiceMapComputer_CL têm dados de inventário para servidores com agentes do Mapa do Serviço. Esses registros têm as propriedades descritas na tabela a seguir.
Propriedade | Descrição |
---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
O identificador exclusivo para um computador dentro do workspace |
ResourceName_s |
O identificador exclusivo para um computador dentro do workspace |
ComputerName_s |
O FQDN do computador |
Ipv4Addresses_s |
Uma lista dos endereços IPv4 do servidor |
Ipv6Addresses_s |
Uma lista dos endereços IPv6 do servidor |
DnsNames_s |
Uma matriz de nomes DNS |
OperatingSystemFamily_s |
Windows ou Linux |
OperatingSystemFullName_s |
O nome completo do sistema operacional |
Bitness_s |
O número de bit do computador (32-BIT ou 64-BIT) |
PhysicalMemory_d |
A memória física em MB |
Cpus_d |
O número de CPUs |
CpuSpeed_d |
A velocidade da CPU em MHz |
VirtualizationState_s |
desconhecido, físico, virtual, hipervisor |
VirtualMachineType_s |
hyperv, vmware, e assim por diante |
VirtualMachineNativeMachineId_g |
A ID da VM conforme atribuída pelo seu hipervisor |
VirtualMachineName_s |
O nome da VM |
BootTime_t |
O tempo de inicialização |
Registros do tipo ServiceMapProcess_CL Type
Registros com um tipo de ServiceMapProcess_CL têm dados de inventário para processos conectados com TCP em servidores com agentes do Mapa do Serviço. Esses registros têm as propriedades descritas na tabela a seguir.
Propriedade | Descrição |
---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
O identificador exclusivo para um processo dentro do workspace |
ResourceName_s |
O identificador exclusivo para um processo dentro do computador no qual está sendo executado |
MachineResourceName_s |
O nome do recurso do computador |
ExecutableName_s |
O nome do processo executável |
StartTime_t |
O tempo de início do pool de processos |
FirstPid_d |
O primeiro PID no pool de processos |
Description_s |
A descrição do processo |
CompanyName_s |
O nome da empresa |
InternalName_s |
O nome interno |
ProductName_s |
O nome do produto |
ProductVersion_s |
A versão do produto |
FileVersion_s |
A versão do arquivo |
CommandLine_s |
A linha de comando |
ExecutablePath _s |
O caminho para o arquivo executável |
WorkingDirectory_s |
O diretório de trabalho |
UserName |
A conta sob a qual o processo está sendo executado |
UserDomain |
O domínio sob o qual o processo está sendo executado |
Pesquisas de log de exemplo
Esta seção lista exemplos de pesquisa de log.
Lista todas as máquinas conhecidas
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Lista a capacidade de memória física de todos os computadores gerenciados
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Listar o nome, DNS, IP e sistema operacional do computador
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Localizar todos os processos com "sql" na linha de comando
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Localizar uma máquina (registro mais recente) por nome de recurso
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Localizar um computador (registro mais recente) pelo endereço IP
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Listar todos os processos conhecidos em um computador especificado
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Listar todos os computadores que executam SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Listar todas as versões de produtos exclusivas de curl no meu datacenter
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Criar um grupo de computadores de todos os computadores executando CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Resumir as conexões de saída a partir de um grupo de computadores
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
API REST
Todos os dados do servidor, do processo e de dependência no Mapa do Serviço estão disponíveis por meio da API REST do Mapa do Serviço.
Dados de uso e de diagnóstico
A Microsoft coleta automaticamente dados de uso e de desempenho por meio do uso do Mapa do Serviço. A Microsoft utiliza esses dados para fornecer e aprimorar a qualidade, a segurança e a integridade do Mapa do Serviço.
Para fornecer capacidades de solucionar problemas mais precisos e eficientes, os dados incluem informações sobre a configuração do seu software. Essas informações podem ser o sistema operacional e a versão, o endereço IP, o nome DNS e o nome da estação de trabalho. A Microsoft não coleta nomes, endereços nem outras informações de contato.
Para obter mais informações sobre a coleta e uso de dados, consulte a Política de privacidade do Microsoft Online Services.
Próximas etapas
Saiba mais sobre pesquisas de logs no Log Analytics para recuperar dados coletados pelo Mapa do Serviço.
Solução de problemas
Se você enfrentar problemas ao instalar ou executar o Mapa do Serviço, esta seção poderá lhe ajudar. Se ainda não for possível resolver o problema, entre em contato com o Suporte da Microsoft.
Problemas de instalação do Agente de Dependência
Esta seção aborda problemas com a instalação do agente de Dependência.
O instalador solicita uma reinicialização
O Agente de Dependência geralmente não exige uma reinicialização após a instalação ou a remoção. Em alguns casos raros, o Windows Server exige uma reinicialização para continuar com uma instalação. Esse problema ocorre quando uma dependência, normalmente, a biblioteca de Pacotes Redistribuíveis do Microsoft Visual C++, exige uma reinicialização devido a um arquivo bloqueado.
A mensagem "Não é possível instalar o Agente de Dependência: as bibliotecas de runtime do Visual Studio não foram instaladas (código = [número_de_código])" aparece
O Microsoft Dependency Agent é compilado com base nas bibliotecas de runtime do Microsoft Visual Studio. Você receberá uma mensagem se houver um problema durante a instalação das bibliotecas.
Os instaladores da biblioteca de runtime criam logs na pasta %LOCALAPPDATA%\temp. O arquivo é dd_vcredist_arch_yyyymmddhhmmss.log
, em que arch é x86
ou amd64
e aaaammddhhmmss é a data e a hora (com base em um relógio de 24 horas) de quando o log foi criado. O log fornece detalhes sobre o problema que está bloqueando a instalação.
Pode ser útil instalar as Bibliotecas de runtime mais recentes primeiro.
A tabela a seguir lista números de código e soluções sugeridas.
Código | Descrição | Resolução |
---|---|---|
0x17 | O instalador da biblioteca exige uma atualização do Windows que não foi instalada. | Procure no log do instalador de biblioteca mais recente. Se uma referência a Windows8.1-KB2999226-x64.msu é seguida por uma linha Error 0x80240017: Failed to execute MSU package, , você não tem os pré-requisitos necessários para instalar a KB2999226. Siga as instruções na seção de pré-requisitos no artigo Runtime C Universal no Windows. Talvez seja necessário executar o Windows Update e reiniciar várias vezes para instalar os pré-requisitos.Execute novamente o instalador do Agente de Dependência da Microsoft. |
Problemas pós-instalação
Esta seção aborda problemas pós-instalação.
O servidor não aparece no Mapa do Serviço
Se a instalação do Dependency Agent for bem-sucedida, mas se o seu computador não for exibido na solução Mapa do Serviço:
O Agente de Dependência foi instalado com êxito? Verifique se o serviço está instalado e em execução.
- Windows: procure o serviço chamado Microsoft Dependency Agent.
- Linux: procure o processo em execução microsoft-dependency-agent.
Você está usando a camada gratuita do Log Analytics? O plano Gratuito permite até cinco servidores exclusivos de Mapa do Serviço. Quaisquer servidores subsequentes serão exibidos no Mapa do Serviço, mesmo que os cinco anteriores não estejam enviando dados.
Seu servidor está enviando dados de log e de desempenho para os Logs do Azure Monitor? Acesse a Azure Monitor/Logs e execute a consulta a seguir para seu computador:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Você obteve uma variedade de eventos nos resultados? Os dados são recentes? Se sim, o Agente do Log Analytics está operando corretamente e se comunicando com o espaço de trabalho. Caso contrário, verifique o agente em seu computador. Consulte Solução de problemas do agente do Log Analytics para Windows ou Solução de problemas do agente do Log Analytics para Linux.
O servidor aparece no Mapa do Serviço, mas sem processos
Você visualiza seu computador no Mapa do Serviço, mas ele não tem nenhum processo ou dados de conexão. Esse comportamento indica que o agente de dependência está instalado e em execução, mas o driver de kernel não foi carregado.
Verifique C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file
para o Windows ou /var/opt/microsoft/dependency-agent/log/service.log file
para o Linux. As últimas linhas do arquivo devem indicar por que o kernel não foi carregado. Por exemplo, se o kernel tiver sido atualizado por você, talvez o Linux não dê suporte a ele.
Sugestões
Você tem algum comentário sobre o Mapa de Serviço ou sobre esta documentação? Confira nossa página Voz do Usuário onde você pode sugerir recursos ou votar em sugestões existentes.