Configurazione di rete dell'agente di Monitoraggio di Azure

Articolo
2025-04-22

L'agente di Monitoraggio di Azure supporta le connessioni usando proxy diretti, un gateway di Log Analytics e collegamenti privati. Questo articolo descrive come definire le impostazioni di rete e abilitare l'isolamento di rete per l'agente di Monitoraggio di Azure.

Tag del servizio di rete virtuale

I tag del servizio Rete virtuale di Azure devono essere abilitati nella rete virtuale per la macchina virtuale. Sono necessari sia i tag AzureMonitor che AzureResourceManager.

È possibile usare i tag di servizio di Azure Rete virtuale per definire i controlli di accesso di rete nei gruppi di sicurezza di rete, Firewall di Azure e nelle route definite dall'utente. Quando si creano regole di sicurezza e percorsi, usare i tag del servizio anziché gli indirizzi IP specifici. Per gli scenari in cui non è possibile usare i tag di servizio di Azure Rete virtuale, i requisiti del firewall vengono descritti più avanti in questo articolo.

Nota

Gli indirizzi IP pubblici dell'endpoint di raccolta dati (DCE) non sono inclusi nei tag del servizio di rete che è possibile usare per definire i controlli di accesso alla rete per Monitoraggio di Azure. Se si dispone di log o regole di raccolta dei dati (DCR) di log Internet Information Services (IIS) personalizzati, è consigliabile consentire gli indirizzi IP pubblici del DCE per questi scenari fino a quando tali scenari non saranno supportati dai tag del servizio di rete.

Endpoint del firewall

La tabella seguente fornisce gli endpoint a cui i firewall devono fornire l'accesso per cloud diversi. Ogni endpoint è una connessione in uscita alla porta 443.

Importante

L'analisi HTTPS deve essere disabilitata per tutti gli endpoint.

Punto finale	Scopo	Esempio
`global.handler.control.monitor.azure.com`	Accedere al servizio di controllo	Non applicabile
`<virtual-machine-region-name>.handler.control.monitor.azure.com`	Ottenere DCR per un computer specifico	`westus2.handler.control.monitor.azure.com`
`<log-analytics-workspace-id>.ods.opinsights.azure.com`	Inserire dati di log	`1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com`
`management.azure.com`	Necessario solo se si inviano dati di serie temporali (metriche) a un database di metriche personalizzate di Monitoraggio di Azure	Non applicabile
`<virtual-machine-region-name>.monitoring.azure.com`	Necessario solo se si inviano dati di serie temporali (metriche) a un database di metriche personalizzate di Monitoraggio di Azure	`westus2.monitoring.azure.com`
`<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com`	Inserire dati di log	`275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com`

Sostituire il suffisso negli endpoint con quello contenuto nella tabella seguente per i rispettivi cloud:

Cloud	Suffisso
Azure Commerciale	`.com`
Azure per enti pubblici	`.us`
Microsoft Azure gestito da 21Vianet	`.cn`

Nota

Se si usano collegamenti privati nell'agente, è necessario aggiungere soloDCE private. L'agente non utilizza gli endpoint non privati elencati nella tabella precedente quando si utilizzano collegamenti privati o estensioni del data center private.
L'anteprima delle metriche di Monitoraggio di Azure (metriche personalizzate) non è disponibile in Azure per enti pubblici e Azure gestito da cloud 21Vianet.
Quando si utilizza l'agente di Monitoraggio di Azure con Ambito del collegamento privato di Monitoraggio di Azure, tutte le DCR devono usare i DCE. È necessario aggiungere le DCE alla configurazione dell'Ambito del collegamento privato di Monitoraggio di Azure tramite un collegamento privato.

Configurazione proxy

Le estensioni dell'agente di Azure Monitor per Windows e Linux possono comunicare tramite un server proxy o tramite un gateway di Log Analytics verso Azure Monitor usando il protocollo HTTPS. Usarlo per macchine virtuali di Azure, set di scalabilità e Azure Arc per server. Usare le impostazioni delle estensioni per la configurazione come descritto nei passaggi seguenti. Sono supportati sia l'autenticazione anonima che l'autenticazione di base usando un nome utente e una password.

Importante

Il gateway OMS non è supportato con i server abilitati per Azure Arc per le opzioni connettività proxy, connettività di collegamento privato e connettività degli endpoint pubblici.

Importante

La configurazione del proxy non è supportata per le metriche di Monitoraggio di Azure (anteprima) come destinazione. Se si inviano metriche a questa destinazione, viene usata la rete Internet pubblica senza alcun proxy.

Nota

L'impostazione del proxy di sistema Linux tramite variabili di ambiente come http_proxy e https_proxy è supportata solo quando si usa l'agente di Monitoraggio di Azure per Linux versione 1.24.2 o successiva. Per il modello di Azure Resource Manager ,se si configura un proxy, usare il modello di Resource Manager illustrato di seguito come esempio di come dichiarare le impostazioni proxy all'interno del modello di Resource Manager. Inoltre, un utente può impostare variabili di ambiente globali che vengono prelevate da tutti i servizi di sistema tramite la variabile DefaultEnvironment in /etc/systemd/system.conf.

Usare i comandi di Azure PowerShell negli esempi seguenti in base all'ambiente e alla configurazione.

Nessun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy senza autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy con autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Ripristinare le impostazioni predefinite della configurazione del proxy

Per ripristinare le impostazioni predefinite della configurazione del proxy, è possibile definire $settingsString = ''{}; come nell'esempio seguente:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Nessun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy senza autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy con autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Nessun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy senza autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy con autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Ripristinare le impostazioni predefinite della configurazione del proxy

Per ripristinare le impostazioni predefinite della configurazione del proxy, è possibile definire $settingsString = ''{}; come nell'esempio seguente:

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Nessun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy senza autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy con autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configurazione del gateway di Log Analytics

Seguire le indicazioni precedenti per configurare le impostazioni proxy nell'agente e specificare l'indirizzo IP e il numero di porta corrispondenti al server gateway. Se sono stati distribuiti più server gateway dietro un servizio di bilanciamento del carico, per la configurazione proxy dell'agente usare invece l'indirizzo IP virtuale del servizio di bilanciamento del carico.
Aggiungere l'URL dell'endpoint di configurazione per recuperare le DCR all'elenco elementi consentiti per il gateway:
1. Eseguire Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
2. Eseguire Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.
Se si usano collegamenti privati nell'agente, è necessario aggiungere anche DCEs.
Aggiungere l'URL dell'endpoint di inserimento dati all'elenco elementi consentiti per il gateway:
- Eseguire Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
Per applicare le modifiche, riavviare il servizio gateway di Log Analytics (OMS Gateway):
1. Eseguire Stop-Service -Name <gateway-name>.
2. Eseguire Start-Service -Name <gateway-name>.

Informazioni su come aggiungere un endpoint a un ambito di collegamento privato di Azure Monitor.

Condividi tramite

Configurazione di rete dell'agente di Monitoraggio di Azure

Tag del servizio di rete virtuale

Endpoint del firewall

Configurazione proxy

Configurazione del gateway di Log Analytics

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive