Como configurar o Azure Log Analytics workspace e Log Analytics Gateway

Log Analytics workspaces

Um  Log Analytics workspace é um ambiente exclusivo para dados de log do Azure Monitor. Cada espaço de trabalho tem seu próprio repositório e configuração de dados, e as origens de dados e soluções são configuradas para armazenar seus dados em um espaço de trabalho específico. Você precisa de um Log Analytics workspace se pretende coletar dados das seguintes fontes:

  • Recursos do Azure em sua assinatura;
  • Computadores locais monitorados pelo System Center Operations Manager;
  • Coletas de dispositivos do System Center Configuration Manager;
  • Diagnóstico ou dados de log do armazenamento do Azure;

Passo a passo

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Log Analytics Workspace.

03 – Na tela Log Analytics workspace clique em + Create.

04 – Na tela Create Log Analytics workspace selecione a assinatura, em Resource group selecione o grupo de recuros, em Instance details selecione um nome para o recurso e a localização que será provisionado, em seguida clique em Review + Create.

05 – Na tela Review + Create verifique se todas as informações estão corretas e clique em Create.

06 – Aguarde a finalização do provisionamento do recurso.

07 – Como podemos observar o recuros foi provisionado.

Vinculando storage account ao Log Analytics workspace

O Log Analytics se baseia no armazenamento do Azure em vários cenários. Esse uso normalmente é gerenciado de forma automática. No entanto, alguns casos exigem que você forneça e gerencie sua própria conta de armazenamento, também conhecida como conta de armazenamento gerenciada pelo cliente.

08 – Execute o script abaixo para criar um storage account do tipo StorageV2 com replicação Locally-redudant storage (LRS).

OBESERVAÇÃO: O script pode ser executa no PowerShell on-premises ou no Azure Cloud Shell.

# Variaveis 
$resourceGroup = “RG-Log_Analytics”
$location = “East US”

# Criar Storage Account
New-AzStorageAccount -ResourceGroupName $resourceGroup `
-Name stoaloadanalytics `
-Location $location `
-SkuName Standard_LRS `
-Kind StorageV2

09 – Como podemos observar na imagem abaixo o storage account foi criado com sucesso.

10 – No portal do Azure pesquise por Log analytics workspace..

11 – Na tela Log Analytics workspace selecione o loganalyticsteste.

12 – Após selecionar o loganalyticsteste em Settings clique em Linked storage accounts.

13 – Selecione Custom logs & IIS logs, a tela Link storage account será aberta, selecione o storage account que deseja adicionar, em seguida clique em Save.

14 – Como podemos observar o storage account foi adicionado ao Custom logs & IIS logs.

15 – O proximo passo é adicionar o storage account para Saved queries e Saved log alert queries, repita as configurações realizadas nas etapas 12 e 13.

Configurando event logs e performance counters

Nessa etapa vamos selecionar quais logs de eventos e contadores de performance queremos coletar dos nossos servidores.

16 – Na tela do Log Analytics workspace (loganalticsteste) em Settings clique em Agents configuration.

17 – Na tela Agents configuration em Windows event logs clique em + Add windows event log.

18 – Podemos pesquisar quais eventos queremos adicionar, para nosso exemplo vamos adicionar o Microsoft-Windows-Security-Netlogon/Operational, Microsoft-Windows-Windows Firewall With Advanced Security/Firewall, Microsoft-Windows-Diagnostics-Networking/Operational, Microsoft-Windows-WindowsUpdateClient/Operational, também podemos selecionar qual tipo de evento vamos coletar se vai ser do Error, Warning e Information, vamos selecionar Error e Warning em seguida clique em Apply.

19 – Como podemos obervar as configurações de logs de eventos foram adicionadas.

20 – Em seguida clique em Windows performance counters e clique em + Add performance counter.

21 – Podemos pesquisar quais contadores de performance queremos adicionar, para nosso exemplo vamos adicionar System(*)\Processes, Server(*)\Errors Logon, LogicalDisk(*)\% Free Space, Memory(*)\Available Bytes, MSAS12:Memory(*)\Memory Usage KB, em seguida clique em Apply.

22 – Como podemos observar as configurações de contadores de performance foram adicionadas.

23 – Em seguida clique em Linux performance counters e clique em + Add performance counter.

24 – Podemos pesquisar quais contadores de performance queremos adicionar, para nosso exemplo vamos adicionar % Used Space, % Used Memory, Users, em seguida clique em Apply.

25 – Como podemos observar as configurações de contadores de performance foram adicionadas.

26 – Na tela Agents configuration clique em Syslog, em seguida clique em Add facility.

27 – Podemos pesquisar quais eventos queremos adicionar, para nosso exemplo vamos adicionar syslog, também podemos selecionar qual tipo de evento vamos coletar Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug, vamos selecionar Emergency, Alert, Critical, Error, Warning, em seguida clique em Apply.

28 – Como podemos observar as configurações de syslog foram adicionadas.

Preço Log Anaytics Workspace

O log analytics é cobrado por armazenamento de dados, quando você cria o recurso a cobrança padrão é Pay-as-you-go podendo ser alterado de acordo com a sua necessidade.

Para maiores informações sobre preços do Log Analytics acesse o link abaixo:

https://azure.microsoft.com/pt-br/pricing/details/monitor/

29 – Para verificar o uso do Log Analytics, estiamativa de custos ou alterar a camadas de preços, em General clique em Usage and estimated costs.

Log Analytics Gateway

O Log Analytics gateway é um proxy de encaminhamento HTTP que oferece suporte ao túnel HTTP usando o comando HTTP CONNECT. Este gateway envia dados para o Azure Automation e um Log Analytics workspace no Azure Monitor em nome dos computadores que não podem se conectar diretamente à Internet.

O Log Analytics gateway  oferece suporte a:

  • Relatórios até os mesmos espaços de trabalho do Log Analytics configurados em cada agente por trás dele e que são configurados com Funcionários de Runbook Híbridos de Automação do Azure.
  • Computadores Windows nos quais o Microsoft Monitoring Agent está conectado diretamente a um espaço de trabalho do Log Analytics no Azure Monitor.
  • Computadores Linux nos quais um agente Log Analytics para Linux está diretamente conectado a um espaço de trabalho Log Analytics no Azure Monitor.
  • System Center Operations Manager 2012 SP1 com UR7, Operations Manager 2012 R2 com UR3 ou um grupo de gerenciamento no Operations Manager 2016 ou posterior integrado ao Log Analytics.

Algumas políticas de segurança de TI não permitem conexão com a Internet para computadores em rede. Esses computadores não conectados podem ser dispositivos de ponto de venda (POS) ou servidores que oferecem suporte a serviços de TI, por exemplo. Para conectar esses dispositivos à Automação do Azure ou a um espaço de trabalho do Log Analytics para que você possa gerenciá-los e monitorá-los, configure-os para se comunicarem diretamente com o gateway do Log Analytics. O gateway Log Analytics pode receber informações de configuração e encaminhar dados em seu nome. Se os computadores estiverem configurados com o agente Log Analytics para se conectar diretamente a um espaço de trabalho do Log Analytics, os computadores se comunicam com o gateway do Log Analytics.

O gateway Log Analytics transfere dados dos agentes para o serviço diretamente. Ele não analisa nenhum dos dados em trânsito e o gateway não armazena os dados em cache quando perde a conectividade com o serviço. Quando o gateway não consegue se comunicar com o serviço, o agente continua em execução e enfileira os dados coletados no disco do computador monitorado. Quando a conexão é restaurada, o agente envia os dados em cache coletados para o Azure Monitor.

O computador que executa o gateway do Log Analytics requer o agente do Windows Log Analytics para identificar os terminais de serviço com os quais o gateway precisa se comunicar. O agente também precisa direcionar o gateway para se reportar aos mesmos espaços de trabalho com os quais os agentes ou grupo de gerenciamento do Operations Manager atrás do gateway estão configurados. Essa configuração permite que o gateway e o agente se comuniquem com sua área de trabalho atribuída.

Cada agente deve ter conectividade de rede com o gateway para que os agentes possam transferir dados automaticamente de e para o gateway. Evite instalar o gateway em um controlador de domínio. Os computadores Linux que estão atrás de um servidor de gateway não podem usar o método de instalação de script de wrapper para instalar o agente Log Analytics para Linux. O agente deve ser baixado manualmente, copiado para o computador e instalado manualmente porque o gateway só oferece suporte à comunicação com os serviços do Azure mencionados anteriormente.

O diagrama a seguir mostra o fluxo de dados de agentes diretos, por meio do gateway, para a Automação do Azure e Log Analytics. A configuração do proxy do agente deve corresponder à porta com a qual o gateway do Log Analytics está configurado.

Instalar o agente do log analytics no servidor do Log Analytics Gateway

30 –  Na tela do Log Analytics workspace (loganalticsteste) em Settings clique em Agents management.

31 – É necessário instalar o agente do log Analytics no servidor que será o Log Analytics Gateway, em Windows servers clique em Download Windows Agent (64 bit), anote as informações de Workspace ID e Primary Key, vamos precisar dessas informações para configurar o Log Analytics Gateway e agents.

32 – Após baixar o agente do log analytics, execute o arquivo MMASetup-AMD64.exe

33 – Na tela Welcome to the Microsoft Monitoring Agent setup Wizard clique em Next.

34 – Na tela Importante Notice clique em I Agree.

35 – Na tela Destination Folder deixe o local sugerido para instalação e clique em Next.

36 – Na tela Agent Setup Options selecione Connect the agent to Azure Log Analytics (OMS) e clique em Next.

37 – Na tela Azure Log analytics adicione o Workspace ID e Workspace Key, para a opção Azure Cloud selecione Azure Comercial, em seguida clique em Next.

38 – Na tela Microsoft Update selecione Use Microsoft Update when I check for updates (recommended), em seguida clique em Next.

39 – Na tela Ready to Install clique em Install.

40 – Clique Finish para fechar o assitente de instalação.

41 – Em Control Panel temos instalado o Microsoft Monitoring Agent.

42 – Selecione o Microsoft Monitoring Agent, clique em Azure Log Analytics (OMS) e perceba que temos nosso agente configurado.

Configurar o Log Analytics Gateway

43 – Em Agents Management em Log Analytics Gateway clique em Download Log Analytics Gateway.

44 – Após baixar o Log Analytics Gateway execute o OMS Gateway.msi

45 – Na tela OMS Gateway Setup clique em Next.

46 – Na tela End-User License Agreement selecione I accept the terms in the License Agreement, em seguida clique em Next.

47 – Na tela OMS Configurations  temos a configuração da porta que o servidor vai utilizar, nesse caso utilizaremos a porta padrão 8080, todos os clientes com o agente do log analytics instalados deveram apontar em sua configuração para essa porta.

48 – Na tela Destination Folder clique em Next.

49 – Na tela Ready to install OMS Gateway clique em Install.

50 – Na tela Complete the OMS Gateway Setup Wizard clique em Finish.

51 – Em Services do Windows observe que temos o serviços OMS Gateway em execuação.

Instalar o agente do log Analytics nos servidores Azure

O agente do Log Analytics do Azure coleta a telemetria de máquinas virtuais Windows e Linux em qualquer nuvem, computadores locais e aquelas monitoradas pelo System Center Operations Manager e envia os dados coletados para o workspace do Log Analytics no Azure Monitor. O agente do Log Analytics também dá suporte a insights e outros serviços no Azure Monitor, como o VM insights, o Microsoft Defender para Nuvem e a Automação do Azure.

Dados coletados

A tabela a seguir lista os tipos de dados que você pode configurar para um workspace do Log Analytics coletar de todos os agentes conectados. Confira O que é monitorado pelo Azure Monitor? para obter uma lista de informações, soluções e outras opções que usam o Agente do Log Analytics para coletar outros tipos de dados.

DADOS COLETADOS
fonte de dadosDescrição
Logs de eventos do WindowsInformações enviadas ao sistema de registro de evento do Windows.
SyslogInformações enviadas ao sistema de registro de evento do Linux.
DesempenhoValores numéricos que medem o desempenho de diferentes aspectos do sistema operacional e das cargas de trabalho.
Logs do IISInformações de uso para sites do IIS em execução no sistema operacional convidado.
Logs personalizadosEventos de arquivos de texto tanto em computadores Windows quanto Linux.

Acesse o link abaixo para maiores informações sobre o agente do Log Analytics.

https://docs.microsoft.com/pt-br/azure/azure-monitor/agents/log-analytics-agent

52 – No portal do Azure pesquise por Log Analytics workspaces.

53 – Na tela Log Analytics workspace selecione loganalyticsteste.

54 – Na tela loganalyticsteste em Workspace Data Sources selecione Virtual machines.

55 – Na tela Virtual machines selecione a máquina virtual que deseja instalar o agente, para nosso exemplo vamos selecionar a máquina virtual cliente-01, o sistema operacional da vm cliente-01 é Linux.

56 – Após selecionar a máquina virtual cliente-01 clique em Connect.

57 – Como podemos obervar na imagem abaixo a vm cliente-01 foi conectada ao workspace, clique em loganalyticsteste.

58 – De volta a tela Virtual machines podemos observar que a vm cliente-01 está connectado ao workspace.

59 – No portal do Azure pesquise por Virtual machines.

60 – Na tela Virtual machines selecione a vm cliente-01.

61 – Na tela cliente-01 em Settings clique em Extensions + applications.

62 – Após adicionar a máquina virtual cliente-01 ao workspace foi adicionada a extensão do log analytics a máquina virtual.

Instalar o agente do log Analytics nos servidores On-premises

Nos servidores on-premises vamos instalar o agente do Log Aanalytics direcionando para o Log Analytics Gateway.

63 – Faça o download do agente do log analytics no servidor on-premises.

https://go.microsoft.com/fwlink/?LinkId=828603

64 – Após baixar o agente do Log Analytics execute o arquivo MMASetup-AMD64.exe

64 – Na tela Welcome to the Microsoft Monitoring Agent setup Wizard clique em Next.

65 – Na tela Importante Notice clique em I Agree.

66 – Na tela Destination Folder deixe o local sugerido para instalação e clique em Next.

67 – Na tela Agent Setup Options selecione Connect the agent to Azure Log Analytics (OMS) e clique em Next.

68 – Na tela Azure Log analytics adicione o Workspace ID e Workspace Key, para a opção Azure Cloud selecione Azure Comercial, em seguida clique em Advanced.

69 – Insira o endereço IP (192.168.0.4) e a porta padrão (8080) do servidor que instalamos o agente do Log Analytics Gateway, em seguida clique em Next.

70 – De volta a tela Azure Log Analytics clique em Next.

71 – Na tela Microsoft Update selecione Use Microsoft Update when I check for updates (recommended), em seguida clique em Next.

72 – Na tela Ready to Install clique em Install.

73 – Clique Finish para fechar o assitente de instalação.

74 – Em Control Panel temos instalado o Microsoft Monitoring Agent.

75 – Selecione o Microsoft Monitoring Agent, clique em Azure Log Analytics (OMS) e perceba que temos nosso agente configurado.

Verificando as conexões no Log Analytics Gateway

76 – No servidor que instalamos o Log Analytics Gateway, no meu iniciar pesquise por Event Viewer.

77 – Na tela do Event Viewer expanda Applications and Services Logs em Microsoft clique em OMS Gateway Log.

78 – Aqui podemos observar que nosso cliente (192.168.0.6) conectou no Gateway (192.168.0.4).

Queries Log Analytics

79 – No portal do Azure pesquise por Log Analytics workspace.

80 – Na tela Log Analytics workspace selecione loganalyticsteste.

81 – Em General clique em Logs.

82 – Na tela Logs feche a tela Queries.

83 – A querie abaixo executa uma consulta simples que fornece detalhes dos servidores Windows detectados.

Heartbeat
| where OSType == ‘Windows’
| summarize arg_max(TimeGenerated, *) by SourceComputerId
| sort by Computer
| render table

84 – A querie abaixo nos mostra todos os dados desempenho de um determinado computador.

Perf | where Computer == “cliente-02”

85 – Para maiores informações sobre consultas de log e coleta de fontes de dados de desempenho acessem os seguintes links.

https://docs.microsoft.com/pt-br/azure/azure-monitor/logs/get-started-queries

https://docs.microsoft.com/en-us/azure/azure-monitor/logs/log-analytics-tutorial

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post

One Reply to “Como configurar o Azure Log Analytics workspace e Log Analytics Gateway”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *