OMS 警示正式發布

與 public review 有何不同? WebHook 支援:提供 WebHook URL 來接收警示。這使得與其他工具(如:Slack 或是 各種事件管理工具)結合變得很容易。   開啟/關閉和編輯警示:在 設定>Alerts 中,您可以開啟、關閉或是編輯單一的警示。您可以在此關閉惱人的警示或是在維修時關閉警示。   隱藏警示:在警示發佈後,停止警示一段時間。這能幫助減少警示的干擾。   新增警示畫面:在未來您還會看到這個使用者介面有些許的修改。 效能進步:最大搜尋時間間隔可達24小時。 在 OMS 工作區右上方的通知:現在當您進到 OMS 工作區,將會在通知告訴您當您離開的時間內有多少警示發佈。在通知中您也可以有連結查看所有發佈的警示。   警示嚴重性:總共有三種程度可以選擇:嚴重、警告、資訊。 OMS 警示還會繼續更新嗎? 當然會!警示是任何良好監視工具的基礎,因此微軟將會持續更新、改進 OMS 警示的功能。在未來您將會看到微軟積極採取行動來減少警界時間,並對警示管理進行修改來提供更有凝聚力的警示監控與管理。 開始使用 雖然您需要利用搜尋指令來產生警示,但其實您不需要知道任何搜尋語法就可以使用警示。最簡單的方式就是透過一個方案來做搜尋。 進到一個解決方案的儀表板後,點選任何您想建立警示的項目。接著 OMS 將會自動跳到記錄搜尋並之行該指令。 執行完後,您可以按下左上方的 [警示] 圖示。接著就會跳到先前提到的新增警示畫面,輸入各項資料後按下儲存即完成警示的新增。 有什麼好的警示可以作為開端嗎? 以下列出了一些有用的搜尋指令警示來幫助您開始,也列出了指令相對應所需的方案或是數據來源: Name Query Alert configuration Required solution/data source Computers missing required Critical or Security…

0

MS OMS 和 SCOM 之間的 Control management pack 更新

概要:學習如何從 OMS 到 SCOM 停用 automatic management pack 的更新並將更新限制在特定的時間間隔內。 當您將 SCOM 中的 management group 連結到 OMS 中的 Log Analytics,多個 management pack 將會自動安裝到您的  management group 中。除了有一套核心的 management packs 來支援連結和基本的數據收集,其他將會針對您添加到 OMS 工作區的方案進行安裝。您可以透過在 Administration workspace 中的 Management Packs 下搜尋 Advisor 來查看整個列表。   在初始安裝後,SCOM 會定期檢查 OMS 來獲得這些 management packs 的更新,並在可用時自動下載和導入。這在很多環境中都運作的很好,因為您在 OMS 和 SCOM 的結合會自動保持更新而您無須花費任何心力。儘管在低頻寬或是嚴格變更控制過程中,這可能會是一個問題。在這些情況下,您可能會想要關掉此自動更新,如此才能讓頻寬不會在高峰時斷消耗,並讓變更不會在您批准的時間間隔之外產生。 此更新過程被以下兩種規則所控制: Microsoft.SystemCenter.Advisor.MPUpdate 更新基本的 OMS management packs。預設每12小時執行。 Microsoft.SystemCenter.Advisor.Core.GetIntelligencePacksRule 更新您工作區中方案的 management packs。預設每5分鐘執行。 您可以輕易地利用 建立覆寫 來停用自動更新並停用上兩個規則。您可以撤銷覆寫來重新啟用並允許執行更新。您應該定期將其啟用來保持您的管理群組是最新的。 覆寫更新規則…

0

利用 OMS 幫遺失的安全性更新和其他更新建立警示

概要:學習如何利用 OMS 警示功能來產生基於遺失安全性或其他更新的警示。 找一個好的搜尋指令 要找一個能夠回報遺失的安全性更新和其他從您系統中遺失的更新的指令,最簡單的方式就是利用 系統更新評定方案。 Note:若系統更新評定方案沒有在您的 OMS 概觀中,您可以到方案庫增加此方案。 進到系統更新評定方案的儀表板後,您可以很直接地看到遺失重大或安全性更新的數量和遺失重大或安全性更新超過30天的電腦。此外,還可以看到遺失更新的總數量。下圖是在概觀中 系統更新評定方案 的概述方塊: 選擇要配置的安全性和更新警示 您需要做的就是決定您需要的是哪種警示。這將會決定您執行的指令的種類。此範例中想要對所有遺失重大更新或遺失安全性更新的來源做警示 – 不考慮遺失的時間和遺失的數量。因此選擇了 Critical or Security Updates 方塊進行搜尋。如下圖: 在此搜尋背後的指令: Type:Update (Classification:"Security Updates" OR Classification:"Critical Updates") AND UpdateState=Needed AND Optional=false AND Approved!=false | measure count() by Computer 在記錄搜尋頁面選擇左上較的 警示,便會跳出以下新增警示的畫面: 您可以看到搜尋指令已經自動打好了,因此可以避免您複製貼上時所造成的錯誤。 現在需要輸入警示名稱、設定時間間隔、設定閾值、並指定傳送警示的 email。此範例中時間間隔設定為15分鐘,並將閾值設定為0,接著將隱藏警示時間設為120分鐘。如下圖: 都設定完成後,按下 [Save]。如此一來就新增了遺失重大或安全性更新的警示。

0

透過您需注意的問題來延伸 OMS 安全性

概要:學習如何建立您自己需注意的問題來配合您的商業需求。 OMS 安全性與稽核方案會強調需注意的安全性問題。管理員需要注意並測試這些問題。有些問題是很常見的,像是正常商業節奏的一部份可能發生標準配置的改變。其他稀少的事件可能代表惡意的活動,像是偵測一個安全性記錄被刪除。 OMS 安全性與稽核方案有很多內建的需注意的問題。雖然這些是一個很好的開始,但很多組織仍會想延伸和加入一些具有特殊邏輯或是特定優先順序的需注意的問題。 您可以將任何 OMS 搜尋指令轉換為一個安全性與稽核的需注意的問題,只需將其儲存到以下三種搜尋類別的的其中一類中: Security Critical Notable Issues Security Warning Notable Issues Security Info Notable Issues 在您將搜尋指令儲存到一個類別後,它便會顯示在安全性與稽核方案中的需注意的問題區塊。 以下是步驟: 1. 開啟 OMS 記錄搜尋頁面,按下左上方的 我的最愛。在此頁面,您也可以測試預先配置好的一些指令。   2. 在您定義好搜尋後,將其儲存到需注意的問題的一個種類中。   3. 從現在起,新的指令便會出現在 OMS 安全性與稽核方案儀表板的需注意的問題中。   4. 若您想要將此指令刪除,只需到記錄搜尋的我的最愛,找到要刪除的指令,再按下其右方的 [X] 即可。 Note:您無法刪除預先配置的指令。

0

容器管理解決方案正式發布

我們在8/23公布了 Log Analytics 中容器監控解決方案的正式發布版,這次新增了一些新的功能,讓您可以更深入了解您的 Kubernetes 叢集。您可以從 OMS 方案庫裡,或 Azure 首頁上的 Azure Marketplace 獲得此容器監控解決方案。欲知詳情,請閱讀 Azure blog 中的公告。

0

OMS 記錄分析 Forwarder

概要:在沒有網路連線的情況下在 OMS 中查看從您的設備收集的數據。 此篇文章將討論新的 OMS Log Analytics Forwarder 和您可以如何運用它來運許您被 OMS 管理的設備(Windows 或 Linux)能夠傳送數據到一個有連接網路的中央伺服器。 許多企業現在面臨的問題是無法在沒有網路的情況下從伺服器和客戶端收集資料。但是有了 OMS Forwarder,您可以從設備上安裝的 agent 傳送數據到 OMS。如此一來,所有 agent 的數據都透過單一一台安裝了 OMS Fowarder 並且有連接到網路的伺服器來傳送。在這個情況下,Forwarder 有效的將數據從 agent 傳送到 OMS,並無經過任何分析。 什麼是 OMS Log Analytics Forwarder? 現在已經了解問題是可以被解決的,您可能還會想了解它到底是什麼?又是怎麼運作的?簡單來說,OMS Log Analytics Forwarder 是一個 HTTP forward proxy,它透過 HTTP CONNECT 指令來支援 HTTP 通道。當它執行在一台4核心、8G的 Windows 伺服器上並連接 1Gbps 的網路時,它能夠掌握高達1000個同時連接的 OMS 設備。下圖是它如何連接的概要圖示:   為了讓 OMS Log…

0

公開預覽中的解決方案

大家好!我們早於今年2017 年 5月發布解決方案定位到公共預覽 public review 了。此功能使您能夠透過搜索創建計算機模組,然後將基於代理基礎的解決方案,建到該計算機中。 怎麼使用該功能: 通過 OMS 首頁中的搜索創建一個計算機組。 在 Azure 首頁中創建一個範圍配置(將包括一個或多個計算機組)。 將範圍配置應用於解決方案。 有關如何使用它的完整詳細信息,請參見“使用 Operations Management Suite (OMS) 中的「設定解決方案目標」將管理解決方案的範圍設定為特定的代理程式 (預覽)"

0

配置 MS OMS 來監視 Exchange Server

檢查紀錄收集和 perf 數據 若要監視 Exchange Server,首先需要確保 MS OMS 正在收集正確的記錄和近乎即時的性能數據。要查看這些,首先到 OMS 概要中的設定。如下圖:   在 OMS 概要>設定 中,有多個不同的標籤,包含 Solution、Connected Source、Data 等等。按下 Data 來配置:   接著選擇 Windows 事件記錄。在畫面右側往下拉可以看到 Exchange 收集了哪些數據的列表。而理所當然的 Exchange 收集了非常多的記錄 — 有些只有在故障排除時被啟用,因此這個列表會非常長。當您加入一個記錄時,您可以查看他的 Error、Warning、Information events 等等,而當您不需要特定的記錄時也可以點選 Remove。 若要新增 Exchange 記錄到數據收集,無需完整打出記錄名稱,只需輸入足夠讓 OMS 辨識的字數即可。如以下範例,在 Collect Events from the following event logs 輸入 Exchange 等一下之後,便會跳出建議的選項:   選擇您要的搜尋記錄之後,按下右方的藍色 [+],便會將其加入數據來源的列表中。加入後可以看到,新增的記錄會標示出紫色,如下圖: Note:配置完成後要記得按下左上角的 [Save] 才儲存成功。 Exchange Server 搜尋…

0

學習如何開始使用 OMS 警示管理

新增一個搜尋指令 要使用 OMS 警示管理不需要進行任何安裝,只需要一個搜尋指令。因此首先進入到記錄搜尋,如下圖:   您可以輸入一個新的指令或是使用儲存好的指令。最簡單的方式就是利用一個您正在使用中的解決方案,點選該方案並深入查看,其產生的搜尋指令即可用來產生警示。在輸入完指令後按下左上方的 警示。如下圖:   配置警示 現在,您已經有了一個搜尋指令,接著就是要為此指令配置警示。 在記錄搜尋頁面點選警示後進入新增警示規則。需要新增以下三項: 警示名稱 警示閾值 警示寄送的信箱和主旨 如下圖:   為警示規則增加額外的配置 時間間隔:每次搜尋警示的持續時間。預設為15分鐘。 產生警示依據:設定警示被觸發的臨界值。 警示頻率:檢查警示依據的頻率。 隱藏警示:在初始警示觸發之後,在特定時間內會停止偵測警示。這是一個很好避免警示產生垃圾郵件的方式。 Webhook:此功能會指定一個 WebHook URL 來發送警示。這使警示能夠與其他工具做結合。 Runbook:觸發基於警示的 Runbook。這是一個很好的方法指定一個 OMS Runbook 根據警示做補救。

0

簡介 Webhook 對 OMS 警示的支援

概要:學習利用 OMS 警示中的 WebHook 支援來結合 Slack 和其他工具。 什麼是 WebHook? WebHook 就是一個 HTTP 回調 URL。當產生警示時,您可以選擇將警示傳送到你所選擇的 URL。很多服務會建立獨特的 URL 來與產品的特定部分溝通 — 像是 Slack 通道或是一個事件管理表。與RESR API 成為讓應用程式與您對話的標準方式相同,WebHook 成為了一種在事件發生時讓應用程式與您對話的標準方式。 為何要使用 WebHook 搭配 OMS? 有了 WebHook 您可以做到像是傳送訊息到 Slack、在 ITSM 工具中發起一個事件、或是與您自訂的工具結合。簡單來說,有了 WebHook 搭配 OMS 將會讓結合到您現存的工作流程變得非常容易 — 不需要任何指令碼!接下來會介紹如何使用 WebHook 的幾個基本和傳送警示中的詳細資料到 Slack 通道的範例。 要使用 WebHook,您必須輸入一個必填項目,WebHook URL,和一個選擇性填寫項目,Custom JSON payload。 WebHook URL:這是當產生警示時您希望被呼叫的目標URL (例如:Slack 通道)。很多服務以不同的方式支持 WebHook。很多情況下,即使服務部直接支援 WebHook,您仍然可以使用其公用 API。只需在 Custom…

0