IT menedzsmentM betűs definíciókSzoftver fogalmak

Microsoft Monitoring Agent (MMA): a monitorozó ügynök működése és szerepe

A Microsoft Monitoring Agent (MMA) egy fontos eszköz, amely segít figyelemmel kísérni a számítógépek és szerverek állapotát. Ez az ügynök adatokat gyűjt, majd továbbítja a monitorozó rendszereknek, hogy időben észrevegyük a problémákat és javítsuk a teljesítményt.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
38 Min Read
Gyors betekintő

A modern IT infrastruktúrák komplexitása folyamatosan növekszik, és ezzel együtt a megbízható, átfogó monitorozás iránti igény is. A vállalati környezetekben működő szerverek, alkalmazások és hálózati eszközök zavartalan működésének biztosítása kulcsfontosságú a kritikus üzleti folyamatok fenntartásához. Ebben a kihívásokkal teli környezetben a Microsoft Monitoring Agent (MMA) évtizedek óta alapvető szerepet játszott a Microsoft-alapú rendszerek felügyeletében, gyűjtve és továbbítva a létfontosságú telemetriai adatokat a központi monitorozó platformok felé. Ez az ügynök nem csupán egy adatgyűjtő eszköz, hanem egy híd, amely összeköti a helyszíni infrastruktúrát a felhőalapú elemző és vizualizációs szolgáltatásokkal, lehetővé téve a proaktív hibaelhárítást, a teljesítményoptimalizálást és a biztonsági incidensek gyors azonosítását.

A Microsoft Monitoring Agent, korábbi nevén Operations Manager Agent, a System Center Operations Manager (SCOM) ökoszisztémájának szerves része volt, de képességei messze túlmutattak ezen az egyetlen terméken. Később az Azure Log Analytics és az Azure Monitor kulcsfontosságú adatforrásává vált, lehetővé téve a hibrid felhőalapú környezetek egységes felügyeletét. Az MMA biztosította azt a mechanizmust, amellyel a helyszíni vagy virtuális gépeken futó operációs rendszerek, alkalmazások és szolgáltatások állapotáról szóló információk eljuthattak a központi elemző motorokhoz. Ez a cikk részletesen bemutatja az MMA működését, szerepét, fejlődését, és rávilágít arra, miért volt és miért maradt alapvető fontosságú elem a Microsoft monitorozási stratégiájában, még annak ellenére is, hogy a legújabb generáció, az Azure Monitor Agent (AMA), fokozatosan átveszi a helyét.

A Microsoft Monitoring Agent alapvető működése és architektúrája

A Microsoft Monitoring Agent (MMA) egy könnyűsúlyú szoftverkomponens, amelyet Windows és Linux szerverekre telepítenek, hogy adatokat gyűjtsön és továbbítson egy monitorozó platformra. Fő feladata az adatok gyűjtése, gyorsítótárazása és biztonságos továbbítása. Az MMA a háttérben futó szolgáltatásként működik, minimális erőforrás-felhasználással, miközben folyamatosan figyeli a kijelölt adatforrásokat.

Az ügynök architektúrája viszonylag egyszerű, de rendkívül robusztus. Amikor az MMA-t telepítik egy szerverre, az létrehoz egy helyi adatbázist és konfigurációs fájlokat, amelyek meghatározzák, milyen típusú adatokat gyűjtsön, és hová küldje azokat. Az ügynök képes kommunikálni egy System Center Operations Manager (SCOM) felügyeleti csoporttal vagy közvetlenül az Azure Log Analytics munkaterülettel, illetve mindkettővel egyidejűleg. Ez a kettős csatlakozási képesség tette az MMA-t rendkívül rugalmassá a hibrid környezetekben.

Az adatgyűjtés a következőképpen zajlik: az ügynök figyeli a konfigurált adatforrásokat, mint például a teljesítményszámlálókat, az eseménynaplókat (rendszer, biztonság, alkalmazás), a IIS naplókat, az egyéni szöveges naplókat és a Syslog adatokat Linux rendszereken. Amikor új adat keletkezik, vagy a megadott mintavételi időköz lejárt, az ügynök begyűjti az adatokat, formázza azokat, és a helyi gyorsítótárba írja. Ezt követően, ha van hálózati kapcsolat a cél monitorozó platformmal (SCOM Management Server vagy Azure Log Analytics), az ügynök biztonságos csatornán (általában SSL/TLS) keresztül továbbítja az adatokat. Ha a kapcsolat megszakad, az adatok a gyorsítótárban maradnak, és a kapcsolat helyreállása után kerülnek elküldésre, ezzel biztosítva az adatvesztés minimalizálását.

Az MMA kulcsszerepet játszott abban is, hogy az Azure Automation szolgáltatásai, mint például a Hybrid Runbook Worker vagy az Update Management, képesek legyenek a helyszíni vagy más felhőben futó gépeken műveleteket végrehajtani. Az MMA telepítése volt az első lépés ezen funkciók engedélyezéséhez, mivel az ügynök biztosította a kommunikációs csatornát az Azure Automation és a célgépek között.

Az MMA nem csupán adatokat gyűjt, hanem intelligens módon szűri és előkészíti azokat a továbbításra, biztosítva a releváns információk eljuttatását a központi analitikai rendszerekhez.

Az MMA evolúciója: a System Center Operations Managertől az Azure Monitorig

Az Microsoft Monitoring Agent története szorosan összefonódik a System Center Operations Manager (SCOM) történetével. Eredetileg az SCOM részeként fejlesztették ki, célja az volt, hogy a SCOM felügyeleti csoportjának kiterjesztett karja legyen a felügyelt szervereken. Az ügynök gyűjtötte a teljesítménymutatókat, eseménynaplókat, alkalmazásállapotokat, és riasztásokat generált a SCOM konzol számára. Az SCOM menedzsment csomagjai (Management Packs) diktálták, hogy az ügynök milyen adatokat gyűjtsön, milyen küszöbértékeket figyeljen, és milyen műveleteket hajtson végre.

Azonban a felhő térnyerésével és az Azure szolgáltatások robbanásszerű fejlődésével a Microsoft felismerte, hogy szükség van egy olyan monitorozási megoldásra, amely képes kezelni a hibrid és tisztán felhőalapú környezeteket is, anélkül, hogy egy teljes SCOM infrastruktúrára lenne szükség. Itt jött a képbe az Azure Log Analytics, majd később az Azure Monitor. Az MMA képességeit kibővítették, hogy ne csak SCOM-mal, hanem közvetlenül az Azure Log Analytics munkaterületekkel is képes legyen kommunikálni. Ez a képesség forradalmasította a monitorozást, lehetővé téve a helyszíni szerverekről származó naplóadatok és teljesítménymutatók gyűjtését és elemzését az Azure skálázható és rugalmas platformján.

Az MMA így egy univerzális adatgyűjtő ügynökké vált a Microsoft ökoszisztémájában, amely képes volt kiszolgálni mind a hagyományos helyszíni SCOM bevezetésű, mind a modern, felhőalapú Log Analytics/Azure Monitor alapú monitorozási igényeket. Ez a rugalmasság különösen értékes volt azon vállalatok számára, amelyek fokozatosan tértek át a hibrid felhőre, vagy olyan rendszerekkel rendelkeztek, amelyeket nem lehetett teljes egészében a felhőbe migrálni.

Az MMA tehát hosszú ideig a Microsoft egységes monitorozási stratégiájának sarokköve volt, amely hidat képezett a hagyományos IT és a felhő között. Azonban, ahogy a technológia fejlődik, az ügynökök is fejlődnek. A következő generációs Azure Monitor Agent (AMA) megjelenése jelzi az MMA korszakának lassú végét, de az MMA öröksége és a belőle származó tanulságok továbbra is relevánsak maradnak a modern monitorozási gyakorlatban.

Az MMA kulcsfontosságú komponensei és szolgáltatásai

Az MMA működése több alapvető komponensre és szolgáltatásra épül, amelyek együttesen biztosítják az adatgyűjtés és továbbítás zökkenőmentességét. Ezek megértése elengedhetetlen a hibaelhárításhoz és az ügynök optimális konfigurálásához.

  • Health Service (Egészségügyi szolgáltatás): Ez az MMA szíve és lelke. A HealthService.exe folyamat felelős az összes ügynökfunkcióért, beleértve az adatgyűjtést, a szabályok és monitorok futtatását (SCOM esetén), a gyorsítótárazást és az adatok továbbítását. Ez a szolgáltatás fut a háttérben, és biztosítja az ügynök folyamatos működését.
  • Helyi gyorsítótár: Az MMA egy helyi adatbázist használ (általában az ügynök telepítési könyvtárában található), amelyben ideiglenesen tárolja a gyűjtött adatokat, mielőtt elküldené azokat a monitorozó platformra. Ez a gyorsítótár biztosítja az adatvesztés elleni védelmet hálózati kimaradások esetén. A gyorsítótár mérete és viselkedése konfigurálható.
  • Konfigurációs fájlok: Az ügynök viselkedését, a gyűjtendő adatforrásokat és a cél Log Analytics munkaterületet vagy SCOM felügyeleti csoportot konfigurációs fájlok határozzák meg. Ezeket a fájlokat a SCOM Management Server vagy az Azure Log Analytics szolgáltatás küldi le az ügynöknek.
  • Management Packs (Menedzsment csomagok – SCOM esetén): Bár az MMA önmagában is képes adatokat gyűjteni Log Analytics számára, SCOM környezetben a Management Pack-ek határozzák meg pontosan, hogy az ügynök mit monitorozzon. Ezek XML-fájlok, amelyek szabályokat, monitorokat, feladatokat és jelentéseket tartalmaznak specifikus alkalmazásokhoz vagy szolgáltatásokhoz.
  • Kommunikációs modul: Ez a komponens felelős a biztonságos kommunikációért a monitorozó platformmal. Az MMA általában TCP 5723-as portot használ az SCOM Management Serverrel való kommunikációhoz, és TCP 443-as portot (HTTPS) az Azure Log Analytics-szel való kommunikációhoz. A tanúsítványalapú hitelesítés biztosítja a kommunikáció biztonságát.

Az MMA konfigurációja a Vezérlőpultról is elérhető, ahol beállítható a Log Analytics munkaterület azonosítója és kulcsa, valamint az SCOM Management Server címe. Ez a felhasználói felület lehetővé teszi a gyors manuális konfigurációt kisebb környezetekben.

Adatgyűjtési módszerek és típusok az MMA-val

Az MMA különböző adatgyűjtési módszerekkel valós idejű elemzést biztosít.
Az MMA valós idejű adatgyűjtést végez, különféle forrásokból, például eseménynaplókból és teljesítménymutatókból.

Az MMA sokoldalú képességeinek köszönhetően képes a legkülönfélébb típusú adatok gyűjtésére, amelyek elengedhetetlenek a rendszerek állapotának és teljesítményének átfogó megértéséhez. Az adatgyűjtés alapvetően a konfigurált munkaterületen (Log Analytics) vagy a menedzsment csomagokon (SCOM) keresztül történik.

Teljesítményszámlálók (Performance Counters)

Az egyik leggyakrabban gyűjtött adattípus a teljesítményszámláló. Ezek numerikus értékek, amelyek a rendszer különböző komponenseinek aktuális állapotát vagy terhelését mutatják. Például:

  • CPU kihasználtság: % Processor Time
  • Memóriahasználat: Available MBytes
  • Lemez I/O: % Disk Time, Disk Reads/sec, Disk Writes/sec
  • Hálózati forgalom: Bytes Total/sec

Az MMA rendszeres időközönként (általában 10-60 másodpercenként) mintavételezi ezeket a számlálókat, és elküldi az adatokat a Log Analyticsnek, ahol idősoros adatokként tárolódnak. Ezek az adatok alapvetőek a teljesítményproblémák azonosításához, a kapacitástervezéshez és a trendelemzéshez.

Eseménynaplók (Event Logs)

A Windows rendszerek számos eseménynaplót generálnak, amelyek fontos információkat tartalmaznak a rendszer működéséről, biztonságáról és az alkalmazások viselkedéséről. Az MMA képes gyűjteni eseményeket a következő naplókból:

  • Alkalmazás (Application)
  • Rendszer (System)
  • Biztonság (Security)
  • Telepítés (Setup)
  • Továbbított események (Forwarded Events)
  • Egyéni naplók (Custom Logs), például az IIS vagy más alkalmazások által generált specifikus naplók.

Az ügynök konfigurálható, hogy csak bizonyos súlyosságú (pl. hiba, figyelmeztetés, kritikus) vagy bizonyos eseményazonosítójú eseményeket gyűjtsön, ezzel csökkentve az adatmennyiséget és a releváns információkra fókuszálva.

Egyéni naplók (Custom Logs)

Sok alkalmazás saját naplófájlokat generál, amelyek nem illeszkednek a standard Windows eseménynapló struktúrájába. Az MMA képes ezeket az egyéni szöveges naplókat is monitorozni. A Log Analyticsben definiálhatók egyéni naplóforrások, ahol megadhatók a fájlok elérési útjai és mintái, amelyeket az ügynöknek figyelnie kell. Az ügynök ezután beolvassa ezeket a fájlokat, és a tartalmukat elküldi a Log Analyticsnek, ahol azok strukturált adatokká alakíthatók a könnyebb lekérdezés érdekében. Ez a funkció rendkívül hasznos a speciális alkalmazások, például webkiszolgálók (IIS logok) vagy egyedi fejlesztésű szoftverek naplózásához.

IIS naplók

Az Internet Information Services (IIS) webkiszolgáló részletes naplókat generál a webes forgalomról. Az MMA közvetlenül képes gyűjteni ezeket a naplókat, beleértve a hozzáférési naplókat, hibalogokat és más releváns információkat. Ezek az adatok kulcsfontosságúak a webalkalmazások teljesítményének, biztonságának és felhasználói viselkedésének elemzéséhez.

Syslog (Linux rendszereken)

Linux alapú rendszereken az MMA képes gyűjteni a Syslog üzeneteket, amelyek a Windows eseménynaplókhoz hasonlóan a rendszer és az alkalmazások állapotáról adnak információt. Konfigurálható, hogy melyik Syslog démonról és milyen súlyossági szintű üzeneteket gyűjtsön az ügynök, például authpriv, cron, daemon, kern, mail, syslog, user, local0-local7. Ez lehetővé teszi a vegyes operációs rendszerű környezetek egységes monitorozását az Azure Monitor platformon belül.

Az MMA által gyűjtött adatok mind a SCOM, mind a Log Analytics számára elérhetőek, de a modern monitorozási megközelítésekben elsősorban az Azure Log Analyticsben történő aggregálásuk és elemzésük a cél. A Log Analytics Workspace biztosítja a központi adattárolást, a Kusto Query Language (KQL) segítségével pedig hatékonyan lekérdezhetők és vizualizálhatók ezek az adatok.

Telepítés és konfiguráció: lépések és bevált gyakorlatok

Az Microsoft Monitoring Agent telepítése és konfigurálása alapvető lépés a monitorozási infrastruktúra kiépítésében. A folyamat viszonylag egyszerű, de fontos a bevált gyakorlatok követése a hatékony és biztonságos működés érdekében.

Telepítési módszerek

Az MMA telepítésére többféle módszer létezik, a környezet méretétől és automatizáltságától függően:

  1. Manuális telepítés: Kis környezetekben vagy teszteléshez a leggyorsabb módszer. Az MMA telepítőcsomagja (MMASetup-.exe) letölthető a Microsoft webhelyéről vagy az Azure Portalról. A telepítő varázsló végigvezeti a felhasználót a folyamaton, ahol megadható a cél Log Analytics munkaterület azonosítója és elsődleges kulcsa, vagy az SCOM Management Group neve és Management Server címe.
  2. Scriptelt telepítés (parancssor): Nagyobb környezetekben az automatizálás elengedhetetlen. Az MMA telepítő támogatja a csendes (silent) telepítést parancssorból, paraméterekkel ellátva. Ez lehetővé teszi a telepítés szkriptelését PowerShell, Batch vagy más szkriptnyelvek segítségével.

    Példa parancssori telepítésre Log Analytics-hez:
    MMASetup-AMD64.exe /C:"setup.exe /qn ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID= OPINSIGHTS_WORKSPACE_KEY= AcceptEndUserLicenseAgreement=1"

    Ez a módszer ideális a Group Policy Objects (GPO), a Microsoft Endpoint Configuration Manager (SCCM) vagy az Azure Automation DSC használatával történő tömeges üzembe helyezéshez.

  3. SCOM konzolról történő telepítés: Ha már rendelkezésre áll egy SCOM infrastruktúra, az ügynökök közvetlenül a SCOM Operations konzolról is telepíthetők. Ez a módszer automatikusan konfigurálja az ügynököt a SCOM felügyeleti csoportjához.
  4. Azure Portalról történő telepítés (virtuális gépekhez): Az Azure-ban futó virtuális gépek esetén az MMA kiterjesztésként (VM Extension) telepíthető a portálon keresztül, vagy Azure Resource Manager (ARM) sablonok segítségével. Ez a leginkább ajánlott módszer az Azure VM-ek monitorozására, mivel automatizált és integrált.

Konfiguráció Log Analytics munkaterülettel

Az MMA központi konfigurációja a Log Analytics munkaterületen belül történik. Itt adhatók meg a gyűjtendő adatforrások:

  • Adatok (Data) -> Windows eseménynaplók: Kiválaszthatók a gyűjtendő eseménynaplók (Application, System, Security stb.) és az események súlyossági szintjei.
  • Adatok (Data) -> Teljesítményszámlálók: Hozzáadhatók a gyűjtendő teljesítményszámlálók, és beállítható a mintavételi időköz.
  • Adatok (Data) -> IIS naplók: Engedélyezhető az IIS naplók gyűjtése.
  • Adatok (Data) -> Egyéni naplók: Definiálhatók az egyéni szöveges naplófájlok forrásai és a szükséges minták.
  • Adatok (Data) -> Syslog: Linux gépek esetén konfigurálható a Syslog gyűjtés.

Amint ezek a beállítások megtörténtek a Log Analytics munkaterületen, az MMA automatikusan letölti az új konfigurációt, és elkezdi gyűjteni a megadott adatokat.

Biztonsági megfontolások

Az MMA telepítésekor és konfigurálásakor fontos figyelembe venni a biztonsági aspektusokat:

  • Minimális jogosultság elve: Az MMA szolgáltatás alapértelmezésben helyi rendszerfiókként fut, ami szükséges a legtöbb adatgyűjtéshez. Azonban, ha speciális jogosultságokra van szükség egyedi naplókhoz vagy alkalmazásokhoz, érdemes lehet egy dedikált szolgáltatásfiókot használni, minimális szükséges jogosultságokkal.
  • Hálózati biztonság: Győződjön meg róla, hogy a tűzfalak engedélyezik a kimenő forgalmat a 443-as (HTTPS) porton az Azure Log Analytics felé, vagy az 5723-as (TCP) porton az SCOM Management Server felé.
  • Adatvédelem: Az MMA által gyűjtött adatok érzékeny információkat is tartalmazhatnak. Fontos biztosítani, hogy az adatok titkosított csatornán keresztül kerüljenek továbbításra (ami alapértelmezett), és hogy a Log Analytics munkaterülethez való hozzáférés szigorúan szabályozott legyen.

A megfelelő telepítés és konfiguráció elengedhetetlen az MMA hatékony működéséhez és a monitorozási célok eléréséhez.

Integrációk: SCOM, Azure Monitor, Log Analytics és más szolgáltatások

Az Microsoft Monitoring Agent egyik legnagyobb erőssége a sokoldalú integrációs képessége, amely lehetővé teszi, hogy különböző Microsoft monitorozási és automatizálási szolgáltatásokkal együttműködve egy átfogó felügyeleti ökoszisztémát hozzon létre. Ez a rugalmasság különösen előnyös a hibrid felhőalapú környezetekben.

System Center Operations Manager (SCOM)

Ahogy korábban említettük, az MMA eredetileg a System Center Operations Manager (SCOM) elsődleges ügynöke volt. Az SCOM egy helyszíni felügyeleti platform, amely mélyreható betekintést nyújt a vállalati infrastruktúrába. Az MMA SCOM-mal való integrációja a következőket jelenti:

  • Adatgyűjtés: Az ügynök gyűjti a teljesítménymutatókat, eseménynaplókat és egyéb adatokat a felügyelt szerverekről, és elküldi azokat a SCOM Management Servernek.
  • Menedzsment csomagok (Management Packs): Az SCOM Management Pack-ek határozzák meg az ügynök viselkedését, beleértve a monitorok, szabályok, riasztások és feladatok konfigurálását. Az ügynök letölti és végrehajtja ezeket a definíciókat.
  • Állapotfigyelés: Az SCOM konzolon keresztül valós időben látható a felügyelt rendszerek állapota, riasztásai és teljesítményadatai, mindez az MMA által szolgáltatott információk alapján.
  • Hibrid kapcsolat: Az MMA képes egyszerre csatlakozni egy SCOM felügyeleti csoporthoz és egy Azure Log Analytics munkaterülethez, így a helyszíni és felhőalapú monitorozás egyidejűleg valósítható meg. Ez a „multi-homing” képesség kulcsfontosságú a hibrid átállás során.

Azure Log Analytics és Azure Monitor

Az Azure Monitor a Microsoft Azure átfogó monitorozási megoldása, amely magában foglalja a metrikák és naplók gyűjtését, elemzését, vizualizálását és riasztását. Az Azure Log Analytics ennek a szolgáltatásnak egy kulcsfontosságú része, amely központi naplógyűjtő és elemző platformként funkcionál. Az MMA a Log Analytics elsődleges adatforrása a helyszíni és nem-Azure virtuális gépek esetében.

  • Központi naplógyűjtés: Az MMA elküldi a gyűjtött eseménynaplókat, teljesítményszámlálókat, egyéni naplókat és Syslog adatokat az Azure Log Analytics munkaterületre.
  • Adatvizualizáció és elemzés: A Log Analyticsben a Kusto Query Language (KQL) segítségével lekérdezhetők, aggregálhatók és vizualizálhatók az adatok. Ezen adatokra alapozva hozhatók létre Azure Monitor munkafüzetek (Workbooks), irányítópultok (Dashboards) és riasztások.
  • Riasztások: Az Azure Monitor riasztási szabályai konfigurálhatók az MMA által gyűjtött adatok alapján, értesítve az IT csapatot a potenciális problémákról.
  • Insightok és megoldások: Az Azure Monitor számos előre konfigurált „insightot” és „megoldást” kínál (pl. VM Insights, Container Insights), amelyek az MMA által gyűjtött adatokra épülnek, és mélyreható elemzéseket biztosítanak.

Azure Security Center / Microsoft Defender for Cloud

Az MMA kulcsszerepet játszik az Azure Security Center (jelenleg Microsoft Defender for Cloud) biztonsági monitorozási képességeiben. Az ügynök gyűjti a biztonsági eseménynaplókat és egyéb biztonsággal kapcsolatos adatokat a szerverekről, és továbbítja azokat a Defender for Cloud számára elemzésre. Ez lehetővé teszi a biztonsági fenyegetések, anomáliák és szabálysértések észlelését és kezelését.

Azure Automation

Az MMA telepítése szükséges az Azure Automation bizonyos funkcióinak kihasználásához a helyszíni és nem-Azure gépeken:

  • Hybrid Runbook Worker: Lehetővé teszi az Azure Automation runbookok futtatását a helyszíni szervereken, így automatizálhatók a helyi feladatok, mint például a szoftvertelepítés vagy a konfigurációkezelés.
  • Update Management: Az MMA segítségével az Azure Update Management szolgáltatás képes felmérni a helyi szerverek frissítési állapotát, és automatizálni a frissítések telepítését.
  • Change Tracking and Inventory: Az ügynök adatokat gyűjt a szerverek szoftveres és hardveres konfigurációjáról, valamint a fájl- és regisztrációs adatbázis változásairól, lehetővé téve a változáskövetést és az auditálást.

Ez a széleskörű integrációs képesség teszi az MMA-t egy rendkívül sokoldalú és alapvető eszközzé a modern IT infrastruktúrák felügyeletében és automatizálásában.

Az MMA és az Azure Monitor Agent (AMA) közötti különbségek és a migráció szükségessége

Bár a Microsoft Monitoring Agent (MMA) hosszú ideig a Microsoft monitorozási stratégiájának sarokköve volt, a felhőalapú architektúrák fejlődése és az új igények szükségessé tették egy fejlettebb, rugalmasabb és hatékonyabb ügynök kifejlesztését. Ez az új ügynök az Azure Monitor Agent (AMA).

Főbb különbségek az MMA és az AMA között

A két ügynök közötti különbségek megértése kulcsfontosságú a modern monitorozási stratégiák megtervezéséhez.

Jellemző Microsoft Monitoring Agent (MMA) Azure Monitor Agent (AMA)
Cél SCOM és Azure Log Analytics adatgyűjtés. Azure Monitor (Log Analytics, Metrics, Sentinel, Defender for Cloud stb.) egységes adatgyűjtés.
Konfiguráció Log Analytics munkaterületen keresztül (Data Collectors menü). Kevesebb granularitás. Adatgyűjtési szabályok (Data Collection Rules – DCR). Központosított, granularis, rugalmasabb.
Multi-homing Támogatott (egy SCOM csoport és több Log Analytics munkaterület). Támogatott (több Log Analytics munkaterület, több Azure Monitor funkció).
Adatforrások Teljesítményszámlálók, eseménynaplók, IIS naplók, egyéni naplók, Syslog. Teljesítményszámlálók, eseménynaplók, IIS naplók, egyéni naplók, Syslog, és még sok más (pl. Syslog rögzítési lehetőség több démonhoz, text logok egyedi struktúrával).
Hálózati követelmények Közvetlen kimenő forgalom a Log Analytics felé (TCP 443). Közvetlen kimenő forgalom az Azure Monitor felé (TCP 443). Magánvégpontok (Private Endpoints) támogatása.
Teljesítmény Jó, de az adatgyűjtési logikát az ügynökön kell kezelni. Optimalizált, kisebb erőforrás-igény. Az adatgyűjtési logika a DCR-ekben van, nem az ügynökön.
Biztonság Jó. Jobb biztonsági modell, Managed Identity támogatás.
Támogatás Fokozatosan megszűnő támogatás (Legacy). A Microsoft jövőbeli monitorozási ügynöke. Folyamatos fejlesztés.
Linux Syslog Korlátozottabb, csak egy Syslog démon. Több Syslog démon, több szűrő.

A legfontosabb változás az adatgyűjtési szabályok (Data Collection Rules – DCR) bevezetése az AMA-val. Míg az MMA konfigurációját a Log Analytics munkaterület beállításai diktálták, addig az AMA esetében a DCR-ek egy központosított, rugalmasabb módot biztosítanak az adatgyűjtés finomhangolására. Egy DCR meghatározza, hogy milyen adatok gyűjtendők (pl. eseménynaplókból, teljesítményszámlálókból), hol tárolódjanak (Log Analytics munkaterület), és milyen szűrőket alkalmazzanak. Ez lehetővé teszi, hogy egyetlen ügynök különböző adatkészleteket küldjön különböző munkaterületekre, vagy akár különböző Azure Monitor szolgáltatásokba (pl. metrikákba).

A migráció szükségessége és előnyei

A Microsoft határozottan az Azure Monitor Agent felé tereli a felhasználókat, és a Microsoft Monitoring Agent támogatása fokozatosan megszűnik. Bár az MMA még egy ideig működőképes marad, a hosszú távú stratégia az AMA-ra való átállás. Ennek több oka is van:

  • Egységesítés: Az AMA célja, hogy egyetlen ügynökkel támogassa az összes Azure Monitor képességet (Log Analytics, Metrics, Azure Sentinel, Defender for Cloud, VM Insights stb.), egyszerűsítve az ügynökkezelést.
  • Rugalmasság és granularitás: A DCR-ek sokkal finomabb kontrollt biztosítanak az adatgyűjtés felett, csökkentve a felesleges adatforgalmat és tárolási költségeket.
  • Fokozott biztonság: Az AMA támogatja a Managed Identity-t, ami biztonságosabb hitelesítést tesz lehetővé, és a privát végpontok használatát is lehetővé teszi a hálózati forgalom biztonságosabbá tételéhez.
  • Kisebb erőforrás-felhasználás: Az AMA optimalizáltabb, és jellemzően kevesebb CPU-t és memóriát fogyaszt, mint az MMA.
  • Jövőbiztos: Az AMA a Microsoft jövőbeli monitorozási stratégiájának alapja, így az erre való áttérés biztosítja a legújabb funkciókhoz és biztonsági frissítésekhez való hozzáférést.

A migráció során az MMA eltávolításra kerül, és az AMA telepítésre kerül a helyére. Az adatgyűjtési szabályokat gondosan meg kell tervezni, hogy az MMA által korábban gyűjtött adatok továbbra is rendelkezésre álljanak az AMA-val. A Microsoft biztosít eszközöket és útmutatókat a migrációs folyamat megkönnyítésére.

Az AMA nem csupán az MMA utódja, hanem egy paradigma váltás a monitorozásban, amely a granularitásra, a biztonságra és a teljesítményre helyezi a hangsúlyt.

Az MMA alkalmazási területei és felhasználási esetei

Az MMA segíti a felhő- és helyszíni rendszerek integrált monitorozását.
Az MMA segítségével valós időben követhetők a szerverek teljesítményadatai és biztonsági eseményei.

A Microsoft Monitoring Agent (MMA) rendkívül sokoldalú eszköz, amely számos forgatókönyvben és környezetben hasznosnak bizonyult. Bár az újabb Azure Monitor Agent (AMA) a jövő, az MMA évtizedekig alapvető szerepet játszott az IT infrastruktúrák megbízható felügyeletében. Nézzük meg a legfontosabb alkalmazási területeit és felhasználási eseteit.

Szerver és infrastruktúra monitorozás

Ez az MMA legkézenfekvőbb és leggyakoribb felhasználási területe. Az ügynök telepítésével a következőket lehet monitorozni:

  • Operációs rendszer állapota: CPU kihasználtság, memóriahasználat, lemezterület, hálózati forgalom. Ezek az adatok elengedhetetlenek a szerverek általános egészségi állapotának felméréséhez és a teljesítményproblémák azonosításához.
  • Eseménynaplók: A Windows eseménynaplók (Rendszer, Alkalmazás, Biztonság) gyűjtése segít a hibák, figyelmeztetések és biztonsági incidensek nyomon követésében.
  • Szolgáltatások és folyamatok: Az MMA képes monitorozni a kritikus Windows szolgáltatások és folyamatok állapotát, és riasztást küldeni, ha azok leállnak vagy abnormálisan viselkednek.
  • Hardver monitorozás: Bizonyos esetekben, megfelelő menedzsment csomagokkal (SCOM esetén), az MMA képes adatokat gyűjteni a hardverkomponensek (pl. RAID vezérlő, ventilátorok) állapotáról is.

Ez a fajta alapvető infrastruktúra monitorozás lehetővé teszi a proaktív karbantartást és a problémák észlelését, mielőtt azok súlyosabb üzleti hatással járnának.

Alkalmazás teljesítményfigyelés (APM)

Bár az MMA nem egy teljes értékű APM megoldás önmagában, képes adatokat gyűjteni, amelyek hozzájárulnak az alkalmazások teljesítményének megértéséhez:

  • IIS webkiszolgáló monitorozás: Az IIS naplók gyűjtése és elemzése betekintést nyújt a webalkalmazások forgalmába, hibáiba és teljesítményébe.
  • SQL Server monitorozás: Az MMA képes gyűjteni a SQL Server teljesítményszámlálóit és eseménynaplóit, amelyek segítenek az adatbázis-teljesítményproblémák diagnosztizálásában.
  • Egyéni alkalmazások: Az egyéni naplófájlok gyűjtésével és az alkalmazásspecifikus teljesítményszámlálók monitorozásával az MMA támogatja a saját fejlesztésű vagy harmadik féltől származó alkalmazások felügyeletét.

Az MMA által gyűjtött adatok kiegészíthetők más APM eszközökkel (pl. Application Insights) a még mélyebb alkalmazás szintű betekintés érdekében.

Biztonsági auditálás és compliance

A biztonsági eseménynaplók gyűjtése az MMA egyik legfontosabb biztonsági funkciója:

  • Bejelentkezési kísérletek: Az MMA továbbítja a sikeres és sikertelen bejelentkezési kísérleteket, ami kulcsfontosságú a jogosulatlan hozzáférési kísérletek azonosításához.
  • Fájlhozzáférés: A biztonsági naplókban rögzített fájlhozzáférési események segítenek nyomon követni az érzékeny adatokhoz való hozzáférést.
  • Rendszerkonfiguráció változások: Az MMA képes gyűjteni azokat az eseményeket, amelyek a rendszerkonfiguráció (pl. felhasználók, csoportok, tűzfalbeállítások) változásait jelzik.
  • Compliance jelentések: Az MMA által gyűjtött naplóadatok felhasználhatók a különböző compliance előírások (pl. GDPR, HIPAA, PCI DSS) teljesítésének igazolására, mivel részletes audit trail-t biztosítanak. Az Azure Sentinel vagy a Microsoft Defender for Cloud ezekre az adatokra épülve nyújt fejlett biztonsági elemzéseket.

Kapacitástervezés és trendelemzés

A hosszú távon gyűjtött teljesítménymutatók felbecsülhetetlen értékűek a kapacitástervezéshez:

  • Erőforrás-felhasználási trendek: Az MMA által gyűjtött CPU, memória és lemez I/O adatok alapján azonosíthatók a növekedési trendek, így előre jelezhetők a jövőbeli erőforrásigények.
  • Teljesítmény-baseline: Létrehozhatók alapértelmezett teljesítmény-baseline-ok, amelyekhez viszonyítva az aktuális teljesítmény mérhető, és az anomáliák könnyebben észlelhetők.
  • Optimalizációs lehetőségek: Az adatok elemzése segíthet azonosítani a túlzottan kihasznált vagy alulhasznált erőforrásokat, optimalizálási lehetőségeket kínálva.

Hibrid felhő monitorozás

Az MMA talán az egyik legfontosabb szerepe a hibrid felhőalapú környezetek monitorozásában volt. Képessége, hogy egyszerre csatlakozzon SCOM-hoz és Log Analyticshez, lehetővé tette a szervezetek számára, hogy egységesen felügyeljék a helyszíni és felhőalapú eszközeiket egyetlen platformon belül. Ez egyszerűsítette a műveleteket és csökkentette a komplexitást a felhőbe való átállás során.

Összességében az MMA egy rendkívül sokoldalú ügynök volt, amely alapvető fontosságú volt a Microsoft monitorozási stratégiájában, és számos kritikus IT funkciót támogatott a rendszerek egészségének, teljesítményének és biztonságának biztosításában.

Gyakori problémák és hibaelhárítás az MMA-val

Bár a Microsoft Monitoring Agent (MMA) robusztus és megbízható, előfordulhatnak olyan problémák, amelyek befolyásolhatják az adatgyűjtést vagy a kommunikációt. A hibaelhárítás megértése kulcsfontosságú az üzemeltetés folytonosságának biztosításához.

Az ügynök nem küld adatokat

Ez az egyik leggyakoribb probléma. Ennek okai a következők lehetnek:

  • Hálózati kapcsolat: Ellenőrizze, hogy a szerverről van-e kimenő kapcsolat a Log Analytics végpontok felé (*.ods.opinsights.azure.com és *.oms.opinsights.azure.com) a 443-as TCP porton. Tűzfalak, proxyk vagy hálózati ACL-ek blokkolhatják a forgalmat. SCOM esetén a Management Server felé az 5723-as TCP portot kell ellenőrizni.
  • MMA Health Service állapota: Győződjön meg róla, hogy az „Microsoft Monitoring Agent” szolgáltatás fut a szerveren. Ha nem, próbálja meg elindítani.
  • Helytelen munkaterület ID/kulcs: Ellenőrizze az MMA beállításait a Vezérlőpulton, hogy a Log Analytics munkaterület azonosítója és kulcsa helyesen van-e megadva. Kis- és nagybetű érzékeny!
  • Gyorsítótár megtelt: Ha az ügynök hosszan offline volt, a helyi gyorsítótár megtelhet. Bár az ügynöknek kezelnie kellene ezt, extrém esetekben érdemes lehet ellenőrizni a gyorsítótár méretét és a szabad lemezterületet.
  • Időeltérés (Time Skew): Jelentős időeltérés a szerver és az Azure Monitor között hitelesítési problémákat okozhat. Győződjön meg róla, hogy a szerver ideje szinkronban van egy megbízható időforrással.
  • Proxy beállítások: Ha proxy szervert használ, az MMA-t megfelelően kell konfigurálni a proxy eléréséhez. Ezt a Vezérlőpulton, az MMA beállításaiban, vagy parancssorból lehet megtenni.

Magas erőforrás-felhasználás az ügynökön

Bár az MMA könnyűsúlyú, bizonyos körülmények között magas CPU vagy memória felhasználást tapasztalhatunk:

  • Túl sok adatgyűjtés: Ha túl sok teljesítményszámláló, eseménynapló vagy egyéni napló van konfigurálva, az megnövelheti az ügynök terhelését. Érdemes finomhangolni az adatgyűjtési beállításokat, és csak a legszükségesebb adatokat gyűjteni.
  • Sérült ügynök adatbázis: Ritkán előfordulhat, hogy az ügynök helyi adatbázisa (Health Service State mappa) megsérül. Ebben az esetben az ügynök szolgáltatás leállítása, a mappa tartalmának törlése (az OpsMgrCertificates kivételével) és a szolgáltatás újraindítása segíthet. Az ügynök újraépíti az adatbázist.
  • Szoftverhibák: Győződjön meg róla, hogy az MMA a legfrissebb verzió. A Microsoft rendszeresen ad ki frissítéseket, amelyek hibajavításokat és teljesítményoptimalizációkat tartalmaznak.

Az ügynök telepítése sikertelen

A telepítés során is felmerülhetnek problémák:

  • Előfeltételek hiánya: Győződjön meg róla, hogy a .NET Framework megfelelő verziója telepítve van.
  • Jogosultságok: A telepítést rendszergazdai jogosultságokkal kell végezni.
  • Sérült telepítő: Próbálja meg újra letölteni az MMA telepítőfájlját.
  • Naplók ellenőrzése: A telepítés naplóit (általában a felhasználó TEMP könyvtárában találhatók) érdemes átnézni a hiba pontos okának megállapításához.

Naplózás és diagnosztika

Az MMA számos naplófájlt generál, amelyek segítenek a hibaelhárításban:

  • Eseménynaplók: A Windows Alkalmazás és Rendszer naplói gyakran tartalmaznak bejegyzéseket az MMA-val kapcsolatos hibákról vagy figyelmeztetésekről. Keresse a „HealthService” vagy „OperationsManager” forrású bejegyzéseket.
  • MMA Trace Log: Az MMA részletesebb naplókat is generálhat. Ezeket a C:\Program Files\Microsoft Monitoring Agent\Agent\Logs mappában találja. A részletesebb naplózás engedélyezéséhez módosítani kell a regisztrációs adatbázist.
  • Log Analytics lekérdezések: Ha az adatok eljutnak a Log Analyticsbe, de nem a várt módon jelennek meg, a Log Analytics lekérdezéseivel (KQL) diagnosztizálhatja a problémát. Például, ha az ügynök offline állapotba kerül, az Heartbeat tábla nem kap frissítéseket.

A proaktív monitorozás mellett a rendszeres ellenőrzés és a naplók áttekintése segíthet a problémák korai észlelésében és a monitorozási rendszer megbízhatóságának fenntartásában. A Microsoft dokumentációja és a közösségi fórumok szintén kiváló források a specifikus hibaelhárítási forgatókönyvekhez.

Az MMA jövője és az Azure Monitor Agent (AMA) térnyerése

A Microsoft Monitoring Agent (MMA) kétségtelenül hosszú és sikeres utat járt be, alapvető fontosságú szerepet töltve be a Microsoft monitorozási ökoszisztémájában. Azonban az IT világ folyamatosan változik, és a felhőalapú megoldások egyre nagyobb teret nyernek. Ezzel párhuzamosan a Microsoft monitorozási stratégiája is fejlődött, ami az Azure Monitor Agent (AMA) megjelenéséhez vezetett.

Miért van szükség az AMA-ra?

Az MMA-t eredetileg a System Center Operations Managerhez tervezték, és bár képességeit kiterjesztették az Azure Log Analytics támogatására, az alapvető architektúrája nem volt teljesen optimalizálva a modern felhőalapú igényekre. Az AMA fejlesztésének fő mozgatórugói a következők voltak:

  • Egységesítés: Az AMA célja, hogy egyetlen ügynökkel szolgálja ki az összes Azure Monitor szolgáltatást, beleértve a Log Analyticset, az Azure Metrikákat, az Azure Sentinel-t, a Microsoft Defender for Cloud-ot, a VM Insights-ot és az Azure Automation-t. Ez csökkenti az ügynökök számát egy gépen, egyszerűsíti a telepítést és a karbantartást.
  • Rugalmasság és skálázhatóság: Az Adatgyűjtési Szabályok (DCR) bevezetése forradalmasítja az adatgyűjtés konfigurálását. A DCR-ekkel sokkal finomabban szabályozható, hogy mely adatokat gyűjtse az ügynök, milyen gyakorisággal, és hová küldje azokat. Ez optimalizálja az erőforrás-felhasználást és a hálózati forgalmat, ami különösen fontos nagy skálán.
  • Fokozott biztonság: Az AMA biztonságosabb hitelesítési mechanizmusokat használ (pl. Managed Identity), és támogatja az Azure Private Linket, ami lehetővé teszi az adatok biztonságos továbbítását a Microsoft gerinchálózatán keresztül, anélkül, hogy nyilvános internetes végpontokon kellene áthaladniuk.
  • Teljesítményoptimalizálás: Az AMA-t a felhőalapú teljesítményre és hatékonyságra optimalizálták, ami kisebb CPU és memória lábnyomot eredményez.
  • Linux támogatás: Az AMA fejlettebb Linux támogatást nyújt, beleértve a Syslog gyűjtés granularitását és a különböző disztribúciók szélesebb körű támogatását.

Az MMA támogatásának vége

A Microsoft világossá tette, hogy az MMA támogatása fokozatosan megszűnik. Bár a pontos dátumok változhatnak, és a Microsoft gondoskodik a megfelelő átmeneti időszakról, a hosszú távú stratégia az AMA-ra való áttérés. Ez azt jelenti, hogy a szervezeteknek el kell kezdeniük tervezni az MMA-ról az AMA-ra való migrációt, hogy továbbra is hozzáférjenek a legújabb funkciókhoz, biztonsági javításokhoz és a Microsoft teljes körű támogatásához.

A migrációs út

A Microsoft eszközöket és útmutatókat biztosít az MMA-ról az AMA-ra történő zökkenőmentes migrációhoz. A folyamat általában a következő lépéseket foglalja magában:

  1. AMA telepítése: Az AMA telepítése a meglévő MMA mellé. Az ügynökök képesek egymás mellett futni egy átmeneti időszakban.
  2. DCR-ek létrehozása: Az Adatgyűjtési Szabályok (DCR) konfigurálása az AMA számára, hogy gyűjtse azokat az adatokat, amelyeket korábban az MMA gyűjtött.
  3. Ellenőrzés: Meggyőződni arról, hogy az AMA megfelelően gyűjti és küldi az adatokat, és a monitorozási riasztások és irányítópultok a várt módon működnek.
  4. MMA eltávolítása: Miután az AMA teljes mértékben működőképes és megbízhatóan gyűjti az adatokat, az MMA eltávolítható a rendszerekről.

Ez a migráció lehetőséget teremt a monitorozási stratégiák felülvizsgálatára és optimalizálására, kihasználva az AMA által kínált új képességeket.

A jövő az AMA-val és az Azure Arc-kal

Az AMA nem csak egy új ügynök, hanem a Microsoft egységes monitorozási platformjának alapköve. Az Azure Arc technológiával együttműködve, amely lehetővé teszi a helyszíni és más felhőben futó szerverek és Kubernetes klaszterek Azure-ba való kiterjesztését, az AMA biztosítja az adatok gyűjtését ezekről a hibrid környezetekről. Ez azt jelenti, hogy a teljes IT infrastruktúra – legyen az Azure-ban, a helyszínen vagy egy másik felhőben – egységesen felügyelhető az Azure Monitoron keresztül, egyetlen ügynökkel, egyetlen konfigurációs modellel.

Az MMA tehát egy korszak végét jelzi, de az általa lefektetett alapokra épül a jövő. Az Azure Monitor Agent nem csupán egy utód, hanem egy jelentős előrelépés a monitorozási technológiában, amely nagyobb rugalmasságot, biztonságot és hatékonyságot kínál a modern, komplex IT környezetek felügyeletéhez.

A Microsoft Monitoring Agent (MMA) egy hosszú és gazdag történelemmel rendelkező ügynök, amely kulcsszerepet játszott a Microsoft rendszerek felügyeletében a System Center Operations Manager (SCOM) és az Azure Log Analytics révén. Képessége, hogy a helyszíni és felhőalapú környezetekből is gyűjtsön adatokat, felbecsülhetetlen értékűvé tette a hibrid infrastruktúrák monitorozásában, lehetővé téve a teljesítménymutatók, eseménynaplók és egyéb telemetriai adatok központi elemzését.

Bár az MMA a Microsoft monitorozási stratégiájának alapköve volt, a technológia fejlődésével és a felhőalapú megoldások térnyerésével egy új generációs ügynök, az Azure Monitor Agent (AMA) vette át a stafétabotot. Az AMA a rugalmasságra, a granularitásra, a biztonságra és a teljesítményre fókuszálva épült fel, és az Adatgyűjtési Szabályok (DCR) bevezetésével sokkal finomabb kontrollt biztosít az adatgyűjtés felett. Az AMA nem csupán az MMA utódja, hanem egy paradigmaváltás a monitorozásban, amely az egységesítést, a hatékonyságot és a jövőbiztos megoldásokat helyezi előtérbe.

Az MMA támogatásának fokozatos megszűnése azt jelenti, hogy a szervezeteknek el kell kezdeniük tervezni az átállást az AMA-ra, hogy továbbra is hozzáférjenek a legújabb funkciókhoz és biztonsági fejlesztésekhez. Ez a migráció lehetőséget teremt a monitorozási stratégiák felülvizsgálatára és optimalizálására, kihasználva az AMA és az Azure Monitor által kínált teljes potenciált. A jövő egy olyan egységes monitorozási platform felé mutat, ahol az Azure Arc segítségével a teljes infrastruktúra – legyen az Azure-ban, a helyszínen vagy más felhőben – egyetlen ablakból felügyelhető, az AMA által gyűjtött adatokra alapozva. Az MMA öröksége tehát nem vész el, hanem beépül a modern, intelligens monitorozási megoldásokba, biztosítva a folyamatos, megbízható működést a digitális korban.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük