Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives overførselsprocessen til Azure Monitor Agent (AMA), når du har en eksisterende, ældre Log Analytics Agent (MMA/OMS) og arbejder med Microsoft Sentinel.
Log Analytics-agenten udgår den 31. august 2024. Hvis du bruger Log Analytics-agenten i din Microsoft Sentinel udrulning, anbefaler vi, at du overfører til AMA.
Forudsætninger
- Start med dokumentationen til Azure Monitor, som giver en agentsammenligning og generelle oplysninger for denne migreringsproces. Denne artikel indeholder specifikke oplysninger og forskelle for Microsoft Sentinel.
Overfør til Azure Monitor Agent
Hver organisation har forskellige målepunkter for vellykkede og interne migreringsprocesser. Dette afsnit indeholder en foreslået vejledning, som du skal overveje, når du migrerer fra Log Analytics MMA/OMS-agenten til AMA, specielt til Microsoft Sentinel.
Medtag følgende trin i overførselsprocessen:
Sørg for, at du har gennemgået de nødvendige forudsætninger og andre overvejelser, som beskrevet i dokumentationen til Azure Monitor. Du kan få flere oplysninger under Før du begynder.
Kør en blåstempling for at teste, hvordan AMA sender data til Microsoft Sentinel, ideelt set i et udviklings- eller sandkassemiljø.
I Microsoft Sentinel skal du installere løsningen Windows Sikkerhed Events Microsoft Sentinel. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.
Hvis du vil forbinde dine Windows-maskiner med Windows Sikkerhed Event-connectoren, skal du starte med siden Windows Sikkerhed Hændelser via AMA-dataconnector i Microsoft Sentinel. Du kan få flere oplysninger under Windows-agentbaserede forbindelser.
Fortsæt med siden Sikkerhedshændelser via Legacy Agent-dataconnectoren. Under fanen Instruktioner under Konfigurationstrin>2>Vælg, hvilke hændelser der skal streames, skal du vælge Ingen. Dette konfigurerer dit system, så du ikke modtager sikkerhedshændelser via MMA/OMS, men andre datakilder, der er afhængige af denne agent, vil fortsat fungere. Dette trin påvirker alle maskiner, der rapporterer til dit aktuelle Log Analytics-arbejdsområde.
Vigtigt!
Indtagelse af data fra den samme kilde ved hjælp af to forskellige typer agenter medfører dobbelt indtagelsesomkostninger og dublethændelser i Microsoft Sentinel arbejdsområdet.
Hvis du har brug for at holde begge dataconnectors kørende samtidigt, anbefaler vi, at du kun gør det i en begrænset periode for en benchmarking- eller testsammenligningsaktivitet, ideelt set i et separat testarbejdsområde.
Mål succesen med din blåstempling.
Som en hjælp til dette trin skal du bruge projektmappen AMA Migration Tracker , som viser de servere, der rapporterer til dine arbejdsområder, og om de har den ældre MMA, AMA eller begge agenter installeret. Du kan også bruge denne projektmappe til at få vist de DCR-hændelser, der indsamler hændelser fra dine maskiner, og hvilke hændelser de indsamler.
Sørg for at vælge dit abonnement og din ressourcegruppe øverst i projektmappen for at få vist data for dit miljø. Det kan f.eks. være:
Du kan få flere oplysninger under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.
Succeskriterier bør omfatte en statistisk analyse og sammenligning af de kvantitative data, der indtages af MMA/OMS og AMA-agenter på samme vært:
Mål din succes i en foruddefineret tidsperiode, der repræsenterer en normal arbejdsbelastning for dit miljø.
Under test skal du sørge for at teste hver ny funktion, der leveres af AMA, f.eks. Linux multi-homing, Windows-hændelsesfiltrering osv.
Planlæg udrulningen for AMA-agenter i dit produktionsmiljø i henhold til din organisations risikoprofil og ændringsprocesser.
Udrul den nye agent i produktionsmiljøet, og kør en endelig test af AMA-funktionaliteten.
Afbryd forbindelsen til alle dataconnectors, der er afhængige af den ældre connector, f.eks. sikkerhedshændelser med MMA. Lad den nye connector, f.eks. Windows Sikkerhed Hændelser med AMA, køre.
Selvom både ældre MMA/OMS og AMA-agenter kan køre parallelt, kan du forhindre dublerede omkostninger og data ved at sikre, at hver datakilde kun bruger én agent til at sende data til Microsoft Sentinel.
Kontrollér dit Microsoft Sentinel arbejdsområde for at sikre, at alle dine datastreams er blevet erstattet ved hjælp af de nye AMA-baserede connectors.
Fjern den ældre agent. Du kan få flere oplysninger under Administrer Azure Log Analytics-agent.
I forbindelse med udrulningen af produktionen anbefaler vi, at du konfigurerer AMA for hver enkelt datakilde. Hvis du vil løse eventuelle problemer med duplikering, skal du se de relevante ofte stillede spørgsmål i dokumentationen til Azure Monitor.
Relateret indhold
Du kan finde flere oplysninger under: