适用于 Microsoft Sentinel 的 AMA 迁移

本文介绍在已有旧式 Log Analytics 代理 (MMA/OMS) 并且正在使用 Microsoft Sentinel 时，迁移到 Azure Monitor 代理 (AMA) 的过程。

Log Analytics 代理已于 2024 年 8 月 31 日停用。 如果在 Microsoft Sentinel 部署中使用 Log Analytics 代理，则建议你迁移到 AMA。

先决条件

• 请先参阅 Azure Monitor 文档，其中提供了有关此迁移过程的代理比较和一般信息。 本文提供针对 Microsoft Sentinel 的具体详细信息和相关差异。

建议的迁移计划

每个组织会有不同的成功指标和内部迁移流程。 本部分提供了从 Log Analytics MMA/OMS 代理迁移到 AMA 时要考虑的建议指导，特别是针对 Microsoft Sentinel。

在迁移过程中包括以下步骤：

1. 确保你已查看必要的先决条件和其他注意事项，如 Azure Monitor 文档中所述。 有关详细信息，请参阅开始之前。

2. 运行概念证明以（理想情况下在开发或沙盒环境中）测试 AMA 将数据发送到 Microsoft Sentinel 的情况。

   1. 在 Microsoft Sentinel 中，安装 Windows 安全事件 Microsoft Sentinel 解决方案。 有关更多信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

   2. 要将 Windows 计算机连接到 Windows 安全事件连接器，请从 Microsoft Sentinel 中的“经由 AMA 的 Windows 安全事件”数据连接器页开始。 有关详细信息，请参阅基于 Windows 代理的连接。

   3. 继续“经由旧版代理的安全事件”数据连接器页面。 在“指令”选项卡上，在配置>步骤 2>下，选择要流式处理的事件，选择“无”。 此过程将配置系统，使其不通过 MMA/OMS 接收任何安全事件，但依赖于此代理的其他数据源将继续正常运行。 此步骤会影响向当前 Log Analytics 工作区报告的所有计算机。

   重要

   使用两种不同类型的代理从同一源中引入数据会导致在 Microsoft Sentinel 工作区中产生双重的输入费用和重复事件。

   如果需要同时运行这两个数据连接器，建议仅在有限时间内使用，并仅用于基准测试或测试比较活动，最好是在单独的测试工作区中执行。

3. 度量概念证明的成功。

   为了帮助执行此步骤，请使用 AMA 迁移跟踪器工作簿，该工作簿显示向工作区报告的服务器，以及其安装了旧版 MMA、AMA 还是同时安装了这两个代理。 还可使用此工作簿查看从计算机收集事件的 DCR，以及其收集的事件。

   确保在工作簿顶部选择订阅和资源组，以显示环境数据。 例如：

   

   有关详细信息，请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据。

   成功标准应包括对 MMA/OMS 和 AMA 代理在同一主机上所引入的定量数据的统计分析和比较：

   • 衡量环境中某个正常工作负荷在预定义的时间段内的成功情况。

   • 测试时，请确保测试 AMA 提供的每个新功能，例如 Linux 多宿主、Windows 事件筛选等。

   • 根据组织的风险状况和更改流程，规划生产环境中 AMA 代理的推出。

4. 在生产环境中推出新代理，并运行 AMA 功能的最终测试。

5. 断开依赖于旧版连接器的任何数据连接器的连接，例如使用 MMA 的安全事件。 只让新连接器（例如 Windows 使用 MMA 的安全事件）保持运行状态。

   尽管可以并行运行旧版 MMA/OMS 和 AMA 代理，但请确保每个数据源仅使用一个代理将数据发送到 Microsoft Sentinel，以此防止重复的成本和数据。

6. 检查 Microsoft Sentinel 工作区，确保已使用新的基于 AMA 的连接器替换所有数据流。

7. 卸载旧代理。 有关详细信息，请参阅管理 Azure Log Analytics 代理。

对于生产推出，建议为每个数据源配置 AMA。 若要解决任何重复相关问题，请参阅 Azure Monitor 文档中的相关常见问题解答。

相关内容

有关详细信息，请参阅：

• Azure Monitor 代理概述
• 从 Log Analytics 代理进行迁移
• Windows 基于代理的连接