Microsoft 监控代理

Microsoft Monitoring Agent 到底是什么？

Microsoft Monitoring Agent (MMA) 是一项服务，用于跟踪和提供有关 Windows 计算机上应用程序和系统运行状况的信息。它会传输和提供大量信息，例如性能指标、跟踪统计信息和事件日志。

软件开发人员使用 MMA 来测试新版本的性能。系统管理员使用 MMA 来监控公司系统的应用程序运行状况和效率。

Microsoft Monitoring Agent 的目的是什么？

Microsoft Monitoring Agent (MMA)，也称为 Windows 的 Log Analytics 代理，对于需要执行比收集指标和部分日志更多的复杂监控至关重要。

• Log Analytics 代理旨在为 System Centre Operations Manager 监控的 PC、托管在不同云上的虚拟机以及本地物理和虚拟机提供全面的管理。
• 计算机上的 Windows 代理会连接到 Azure Monitor Log Analytics 环境，以便从基于监控解决方案的输入和专门配置的自定义数据源中收集数据。
• 为了使用 Azure Monitor 来监控和控制我们本地数据中心或其他云环境中的虚拟机或物理系统，我们必须安装 Log Analytics 代理（也称为 Microsoft Monitoring Agent (MMA)）并进行配置，以便为任意数量的 Log Analytics 位置提供数据。Azure Automation Hybrid Runbook Worker 角色也受该代理支持。
  
• 在受监控的 Windows 计算机上，该代理被标识为 Microsoft Monitoring Agent 服务。Microsoft Monitoring Agent 服务收集性能信息、附加指标以及来自日志文件和 Windows 事件日志的事件。即使代理无法连接到其报告的 Azure Monitor，它也会保持运行并将收集到的数据排队到受监控计算机的磁盘上。Microsoft Monitoring Agent 服务会在恢复连接时将收集到的数据转发到该服务。
• 管理员使用 MMA 通过 System Centre Operations Manager (SCOM) 来监控基础设施。该代理会监控和评估监控设备的状态，然后将更新发送到管理服务器。SCOM 管理包可以控制代理获取的信息，并执行事件和其他活动。
• 通过 SCOM，MMA 还可以实现应用程序性能监控 (APM)，使开发人员和管理员都能够跟踪使用 .NET 框架创建的基于 Web 的应用程序和 Windows 服务。同样，MMA 也可以独立运行，并通过 Microsoft Visual Studio 等开发平台通过 IntelliTrace 日志执行基本的 APM。
• 该代理可以执行持续的应用程序监控，报告 .NET 框架应用程序的性能和可能影响应用程序可用性或客户满意度的中断。当 SCOM 实现时，MMA 会使用 .NET 应用程序性能监控模板实现与 System Centre APM 的持续监控。SCOM 会收到关于应用程序性能问题和失败尝试的警告，并将其转换为可在 Visual Studio 中使用的 **IntelliTrace** 文件。管理员可以使用 PowerShell cmdlet 来管理独立模式下的 MMA，以收集信息和进行持续监控。
• 实际上，MMA 会将收集到的数据以及有关代理状态和有效性的详细信息通信给管理服务器。服务器会将获取的数据保存在数据库中。
• 数据通常根据触发条件进行响应。例如，只有当数据样本与设定的标准值偏差达到指定值（如 10%）时，数据才可能从 MMA 传输到管理服务器。这样使用触发条件可以减少网络流量并限制数据库大小。MMA 唯一定期发送的数据是每 60 秒发送一次的心跳数据包，以检查 MMA 和管理服务器之间的通信。

Azure Monitor Agent 的作用是什么？

Microsoft Azure Monitor Agent (AMA) 执行 MMA 的许多活动。AMA 通过 Azure 虚拟机 (VM) 的操作系统收集监控相关信息，并将获取的数据传输到 Azure Monitor。其他 Azure 服务，如 Microsoft Sentinel 和 Microsoft Defender for Cloud，会利用 Azure Monitor 获取的数据。

AMA 可以在不同的场景下部署

• 可以使用 Azure 扩展框架中的 VM 扩展来设置 VM。
• 已启用 Azure Arc 的本地服务器在安装 Azure Arc 代理后，可以使用扩展框架将 AMA 部署到 Azure VM。
• Windows 10 和 11 的 PC 和笔记本电脑可以使用 Windows MSI 安装程序安装 AMA。
• 部署后，AMA 可以收集四种关键数据类型并与 Azure Monitor 通信
• 操作系统和工作负载的性能数据可以提交到 Azure Monitor 指标。
• Windows 事件和 Sysmon 日志可以转发到 Azure Log Analytics 工作区。
• Syslog 数据可以传输到 Log Analytics 工作区。
• 文本日志和 Windows Internet Information Services 日志可以提交到 Log Analytics 工作区。

AMA 取代了以前的传统 Azure Monitor 代理版本，包括 Log Analytics 代理、Telegraf 代理和 Diagnostics 扩展。应将使用旧版 Log Analytics 代理的系统更新到 AMA，旧代理将在 2024 年 8 月后不再维护。值得一提的是，Azure Monitor Agent 是免费的，但 Azure 客户需要支付 Azure 云数据上传和存储费用。

MMA 的不同模式

Microsoft Monitoring Agent 有三种运行模式

1. 监控模式：捕获数据和事件，例如重大异常。这是 MMA 的正常运行模式。
2. 跟踪模式：利用 MMA 捕获 IntelliTrace 数据，以便使用 Microsoft Visual Studio 进行检查和报告。
3. 自定义模式：允许管理员调整数据收集策略，以根据组织的特定要求调整监控。

如何安装和卸载 MMA？

MMA 可以通过三种方法之一进行安装和维护

1. 控制台：可以通过 SCOM 控制台找到并安装 MMA。这是最常见的方法。它需要通过远程过程调用（RPC）建立与目标计算机的连接能力，以及具有计算机管理权限的管理服务器。
2. 镜像：为了实现这一点，必须使用在计算机设置或软件初步安装过程中创建的基础映像来安装代理。为了立即将新设置的计算机链接到管理计算机，还可以实现 Active Directory (AD) 功能。
3. 手动：我们可以在任何操作系统或软件分发工具上手动启动代理。为了执行手动安装，必须定期更新软件代理。

为了确保每个系统都被分配了正确的管理代理，大多数数据中心和企业环境都混合使用了这些技术。

在托管 System Centre Essentials、System Centre Service Manager 或管理服务器架构的其他组件（如入口点服务器、操作控制台和操作数据库）的 PC 上，既不需要也不允许安装。这些平台已内置原生 MMA 版本。

MMA 的优点和挑战是什么？

尽管 Microsoft Monitoring Agent 在基于代理的系统监控方案中已被证明是一个可靠的工具，但 MMA 用户在实施之前应权衡其利弊。使用 MMA 有许多优点，其中一些如下：

好处

1. 洞察力：MMA 提供有关工作负载和操作系统运行状况和有效性的全面、一致的洞察。由于每台设备都使用相同的代理，因此监控数据的性质和质量是已知的，所有信息都会同时收集和呈现。
2. 指标：MMA 可以访问和收集大量的指标，这使得管理员能够轻松发现问题和中断。
   
3. 灵活性：由于 MMA 可以在各种 Windows 和 Linux 计算机终端、服务器和虚拟机 (VM) 上运行，因此组织可以跟踪大多数重要的系统和任务。

挑战

然而，像 MMA 这样的基于代理的监控系统在 IT 架构的各个方面并非完美或无缝。采用者应考虑潜在的挑战：

1. 范围：MMA 理想情况下应在公司所有系统上运行，使管理员能够监控整个环境。然而，任何未包含在监控方案中或未运行 MMA 的系统，例如不满足代理系统要求的计算机，都将导致系统监控出现中断。请检查代理是否与每个需要监控的系统完美兼容。
2. 开销：代理使用网络交换信息并存储数据。尽管许多受监控的系统可能会对网络和存储产生可衡量的开销，但理想情况下，这种成本是微不足道的。请考虑监控环境对存储和网络通信的要求。
3. 时间：像 MMA 这样的代理会报告问题，但问题发生后，中央监控服务器可能需要一些时间才能收到信息并发出通知或警报。请确保监控平台能够及时地通知管理员问题，以满足公司的需求。
4. 维护：代理安装后需要进行维护、修复和修改。可以查找并修复损坏或未正常工作的代理。否则，损坏的代理可能会导致分析出现漏洞，过时的代理可能会停止与较新的管理服务器通信。