Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Service Map identifierar automatiskt programkomponenter i Windows- och Linux-system och mappar kommunikationen mellan tjänster. Med Tjänstkarta kan du visa dina servrar som sammankopplade system som levererar kritiska tjänster. Tjänstkartan visar anslutningar mellan servrar, processer, svarstid för inkommande och utgående anslutningar och portar i alla TCP-anslutna arkitekturer. Ingen konfiguration krävs förutom installationen av en agent.
Viktigt!
Tjänstkartan dras tillbaka den 30 september 2025. Om du vill övervaka anslutningar mellan servrar, processer, svarstider för inkommande och utgående anslutningar och portar i alla TCP-anslutna arkitekturer måste du migrera till Azure Monitor VM-insikter före det här datumet.
I den här artikeln beskrivs hur du distribuerar och använder tjänstkarta. Förutsättningarna för lösningen är:
- En Log Analytics-arbetsyta i en region som stöds.
- Log Analytics-agenten som är installerad på Windows-datorn eller Linux-servern som är ansluten till samma arbetsyta som du har aktiverat lösningen med.
- Beroendeagenten som är installerad på Windows-datorn eller Linux-servern.
Anmärkning
Om du redan har distribuerat tjänstkartan kan du nu även visa dina kartor i VM-insikter, som innehåller fler funktioner för att övervaka den virtuella datorns hälsa och prestanda. Mer information finns i Översikt över VM-insikter. Mer information om skillnaderna mellan lösningen Tjänstkarta och map-funktionen för VM-insikter finns i dessa vanliga frågor och svar.
Logga in på Azure
Logga in på Azure-portalen.
Aktivera tjänstkarta
Aktivera lösningen Tjänstkarta från Azure Marketplace. Eller använd den process som beskrivs i Lägg till övervakningslösningar från lösningsgalleriet.
Installera beroendeagenten i Windows eller installera beroendeagenten på Linux på varje dator där du vill hämta data. Beroendeagenten kan övervaka anslutningar till närmaste grannar, så du kanske inte behöver någon agent på alla datorer.
Få åtkomst till tjänstkartan i Azure-portalen från din Log Analytics-arbetsyta. Välj alternativet Äldre lösningar i det vänstra fönstret.
.I listan över lösningar väljer du ServiceMap(workspaceName). På översiktssidan för tjänstkartan väljer du sammanfattningspanelen Tjänstkarta .
.
Användningsfall: Gör dina IT-processer beroende medvetna
Upptäckt
Service Map skapar automatiskt en gemensam referenskarta över beroenden mellan dina servrar, processer och tjänster från tredje part. Den identifierar och mappar alla TCP-beroenden. Den identifierar överraskande anslutningar, fjärranslutna system från tredje part som du är beroende av och beroenden till traditionella mörka områden i nätverket, till exempel Active Directory. Tjänstkartan identifierar misslyckade nätverksanslutningar som dina hanterade system försöker göra. Den här informationen hjälper dig att identifiera potentiella felkonfigurationer, avbrott i tjänsten och nätverksproblem.
Incidenthantering
Tjänstkarta hjälper till att eliminera gissningar av problemisolering genom att visa hur system är anslutna och påverkar varandra. Tillsammans med att identifiera misslyckade anslutningar hjälper det till att identifiera felkonfigurerade lastbalanserare, överraskande eller överdriven belastning på kritiska tjänster och oseriösa klienter, till exempel utvecklardatorer som pratar med produktionssystem. Genom att använda integrerade arbetsflöden med ändringsspårning kan du också se om en ändringshändelse på en serverdelsdator eller tjänst förklarar rotorsaken till en incident.
Migreringskontroll
Med hjälp av Tjänstkarta kan du effektivt planera, påskynda och validera Azure-migreringar för att säkerställa att inget lämnas kvar och att överraskande avbrott inte inträffar. Du kan:
- Upptäck alla beroende system som behöver migreras tillsammans.
- Utvärdera systemkonfiguration och kapacitet.
- Identifiera om ett system som körs fortfarande betjänar användare eller är en kandidat för avaktivering i stället för migrering.
När flytten är klar kan du kontrollera klientbelastningen och identiteten för att kontrollera att testsystem och kunder ansluter. Om planeringen av undernätet och brandväggsdefinitionerna har problem pekar misslyckade anslutningar i kartor i Tjänstkarta dig till de system som behöver anslutning.
Verksamhetskontinuitet
Om du använder Azure Site Recovery och behöver hjälp med att definiera återställningssekvensen för din programmiljö kan Tjänstkarta automatiskt visa hur system förlitar sig på varandra. Den här informationen hjälper dig att säkerställa att återställningsplanen är tillförlitlig.
Genom att välja en kritisk server eller grupp och visa dess klienter kan du identifiera vilka klientdelssystem som ska återställas när servern har återställts och är tillgänglig. Genom att titta på kritiska servrars serverdelsberoenden kan du identifiera vilka system som ska återställas innan fokussystemen återställs.
Korrigeringshantering
Tjänstkartan förbättrar din användning av systemuppdateringsutvärderingen genom att visa vilka andra team och servrar som är beroende av din tjänst. På så sätt kan du meddela dem i förväg innan du tar bort dina system för korrigering. Tjänstkartan förbättrar även korrigeringshanteringen genom att visa om dina tjänster är tillgängliga och korrekt anslutna när de har korrigerats och startats om.
Översikt över mappning
Service Map-agenter samlar in information om alla TCP-anslutna processer på servern där de är installerade. De samlar också in information om inkommande och utgående anslutningar för varje process.
I listan i den vänstra rutan kan du välja datorer eller grupper som har Tjänstkarta-agenter för att visualisera sina beroenden över ett angivet tidsintervall. Maskinberoendekartor fokuserar på en specifik dator. De visar alla datorer som är direkta TCP-klienter eller servrar på den datorn. Maskingruppskartor visar uppsättningar av servrar och deras beroenden.
Datorer kan expanderas på kartan för att visa processgrupper och processer som körs med aktiva nätverksanslutningar under det valda tidsintervallet. När en fjärrdator med en Tjänstkarta-agent expanderas för att visa processinformation visas endast de processer som kommunicerar med fokusdatorn.
Antalet agentlösa front-end-maskiner som ansluter till fokusdatorn anges till vänster om de processer de ansluter till. Om fokusdatorn upprättar en anslutning till en serverdelsdator som inte har någon agent, ingår serverdelsservern i en serverportgrupp. Den här gruppen innehåller även andra anslutningar till samma portnummer.
Som standard visar kartor i Tjänstkarta de senaste 30 minuterna av beroendeinformation. Du kan använda tidskontrollerna längst upp till vänster för att fråga efter kartor för historiska tidsintervall på upp till en timme för att se hur beroenden såg ut tidigare. Du kanske till exempel vill se hur de såg ut under en incident eller innan en ändring inträffade. Service Map-data lagras i 30 dagar på betalda arbetsytor och i 7 dagar på kostnadsfria arbetsytor.
Statusmärken och kantfärg
Längst ned på varje server på kartan kan en lista med statusmärken som förmedlar statusinformation om servern visas. Märkena anger att det finns relevant information för servern från någon av lösningsintegreringarna.
Om du väljer ett märke visas information om statusen direkt i den högra rutan. De statusmärken som är tillgängliga för närvarande är aviseringar, serviceavdelningen, ändringar, säkerhet och uppdateringar.
Beroende på statusmärkenas allvarlighetsgrad kan datorns nodkantlinjer färgas röd (kritisk), gul (varning) eller blå (information). Färgen representerar den allvarligaste statusen för någon av statusmärkena. En grå kantlinje anger en nod som inte har några statusindikatorer.
Processgrupper
Processgrupper kombinerar processer som är associerade med en gemensam produkt eller tjänst till en processgrupp. När en datornod expanderas visas fristående processer tillsammans med processgrupper. Om en inkommande eller utgående anslutning till en process i en processgrupp har misslyckats visas anslutningen som misslyckad för hela processgruppen.
Datorgrupper
Med datorgrupper kan du se kartor centrerade kring en uppsättning servrar, inte bara en. På så sätt kan du se alla medlemmar i ett program eller serverkluster på flera nivåer på en karta.
Användare väljer vilka servrar som hör hemma i en grupp tillsammans och väljer ett namn för gruppen. Du kan sedan välja att visa gruppen med alla dess processer och anslutningar. Du kan också visa den med bara de processer och anslutningar som är direkt relaterade till de andra medlemmarna i gruppen.
Skapa en datorgrupp
Så här skapar du en grupp:
Välj den dator eller de datorer som du vill använda i listan Datorer och välj Lägg till i grupp.
Välj Skapa ny och ge gruppen ett namn.
Anmärkning
Datorgrupper är begränsade till 10 servrar.
Visa en grupp
När du har skapat några grupper kan du visa dem.
Välj fliken Grupper .
Välj gruppnamnet för att visa kartan för den datorgruppen.
Datorerna som tillhör gruppen beskrivs i vitt på kartan.
Expandera gruppen för att visa en lista över datorerna som utgör datorgruppen.
Filtrera efter processer
Du kan växla kartvyn för att visa alla processer och anslutningar i gruppen eller bara de som är direkt relaterade till datorgruppen. Standardvyn visar alla processer.
Välj filterikonen ovanför kartan för att ändra vyn.
Välj Alla processer för att se kartan med alla processer och anslutningar på var och en av datorerna i gruppen.
Om du vill skapa en förenklad vy ändrar du vyn så att endast gruppanslutna processer visas. Kartan begränsas sedan så att endast dessa processer och anslutningar som är direkt anslutna till andra datorer i gruppen visas.
Lägga till datorer i en grupp
Om du vill lägga till datorer i en befintlig grupp markerar du kryssrutorna bredvid de datorer som du vill använda och väljer Lägg till i grupp. Välj sedan den grupp som du vill lägga till datorerna i.
Ta bort datorer från en grupp
I listan Grupper expanderar du gruppnamnet för att visa en lista över datorerna i datorgruppen. Välj ellipsmenyn bredvid den dator som du vill ta bort och välj Ta bort.
Ta bort eller byt namn på en grupp
Välj ellipsmenyn bredvid gruppnamnet i listan Grupper .
Rollikoner
Vissa processer hanterar vissa roller på datorer, till exempel webbservrar, programservrar och databaser. Tjänstkarta kommenterar process- och datorrutor med rollikoner för att snabbt identifiera vilken roll en process eller server spelar.
| Rollikon | Beskrivning |
|---|---|
|
Webbserver |
|
Applikationsserver |
|
Databas-server |
|
LDAP-server |
|
SMB-server |
Misslyckade anslutningar
I Tjänstkarta visas misslyckade anslutningar i kartor för processer och datorer. En streckad röd linje anger att ett klientsystem inte kan nå en process eller port.
Misslyckade anslutningar rapporteras från alla system med en distribuerad Service Map-agent om det är systemet som försöker etablera den misslyckade anslutningen. Tjänstkarta mäter den här processen genom att observera TCP-socketar som inte kan upprätta en anslutning. Det här felet kan bero på en brandvägg, en felkonfiguration på klienten eller servern eller att en fjärrtjänst inte är tillgänglig.
Att förstå misslyckade anslutningar kan hjälpa dig med felsökning, migreringsvalidering, säkerhetsanalys och övergripande arkitekturtolkning. Misslyckade anslutningar är ibland ofarliga, men de pekar ofta direkt på ett problem. En redundansmiljö kan plötsligt bli oåtkomlig eller så kanske två programnivåer inte kan kommunicera efter en molnmigrering.
Klientgrupper
Klientgrupper är rutor på kartan som representerar klientdatorer som inte har beroendeagenter. En enskild klientgrupp representerar klienterna för en enskild process eller dator.
Om du vill se IP-adresserna för servrarna i en klientgrupp väljer du gruppen. Innehållet i gruppen visas i fönstret Egenskaper för klientgrupp .
Serverportgrupper
Serverportgrupper är rutor som representerar serverportar på servrar som inte har beroendeagenter. Rutan innehåller serverporten och antalet servrar som har anslutningar till den porten. Expandera rutan för att se de enskilda servrarna och anslutningarna. Om det bara finns en server i rutan visas namnet eller IP-adressen.
Kontekstmeny
Välj ellipsen (...) längst upp till höger på valfri server för att visa snabbmenyn för servern.
Ladda serverkarta
Välj Läs in serverkarta för att gå till en ny karta med den valda servern som ny fokusdator.
Visa självlänkar
Välj Visa självlänkar för att rita om servernoden, inklusive eventuella självlänkar, som är TCP-anslutningar som startar och slutar på processer på servern. Om självlänkar visas ändras menykommandot till Dölj självlänkar så att du kan inaktivera dem.
Datorsammanfattning
Fönstret Maskinsammanfattning innehåller en översikt över en servers operativsystem, beroendeantal och data från andra lösningar. Sådana data omfattar prestandamått, supportärenden, ändringsspårning, säkerhet och uppdateringar.
Dator- och processegenskaper
När du navigerar på en karta i Tjänstkarta kan du välja datorer och processer för att få mer kontext om deras egenskaper. Datorerna tillhandahåller information om DNS-namn, IPv4-adresser, PROCESSOR- och minneskapacitet, VM-typ, operativsystem och version, senaste omstartstid och ID:n för deras OMS- och tjänstkartaagenter.
Du kan samla in processinformation från operativsystemmetadata om processer som körs. Information omfattar processnamn, processbeskrivning, användarnamn och domän (i Windows), företagsnamn, produktnamn, produktversion, arbetskatalog, kommandorad och processstarttid.
Fönstret Processsammanfattning innehåller mer information om processens anslutning, inklusive dess bundna portar, inkommande och utgående anslutningar och misslyckade anslutningar.
Integrering av aviseringar
Tjänstkartan integreras med Azure-aviseringar för att visa utlösta aviseringar för den valda servern inom det valda tidsintervallet. Servern visar en ikon om det finns aktuella aviseringar och fönstret Datoraviseringar visar en lista över aviseringarna.
Om du vill aktivera Tjänstkarta för att visa relevanta aviseringar skapar du en aviseringsregel som utlöses för en viss dator. Så här skapar du lämpliga aviseringar:
- Inkludera en sats för att gruppera efter dator. Ett exempel är av datorintervall 1 minut.
- Välj att avisera baserat på måttmätning.
Integrering av logghändelser
Tjänstkartan integreras med Loggsökning för att visa antalet tillgängliga logghändelser för den valda servern under det valda tidsintervallet. Du kan välja valfri rad i listan över antal händelser för att gå till Loggsökning och se de enskilda logghändelserna.
Service Desk-integrering
Service Map-integrering med IT Service Management Connector sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan. Integreringen i tjänstkartan är märkt "Service Desk". Mer information finns i Hantera ITSM-arbetsobjekt centralt med hjälp av IT Service Management Connector.
I fönstret Machine Service Desk visas alla IT Service Management-händelser för den valda servern i det valda tidsintervallet. Servern visar en ikon om det finns aktuella objekt och fönstret Machine Service Desk visar dem.
Om du vill öppna objektet i din anslutna ITSM-lösning väljer du Visa arbetsobjekt.
Om du vill visa information om objektet i Loggsökning väljer du Visa i Loggsökning. Anslutningsmått skrivs till två nya tabeller i Log Analytics.
Ändringsspårningsintegrering
Integrering av tjänstkarta med ändringsspårning sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Din Log Analytics-arbetsyta.
I fönstret Spårning av maskinändring visas alla ändringar, med den senaste först, tillsammans med en länk för att öka detaljnivån till Loggsökning för mer information.
Följande bild är en detaljerad vy över en ConfigurationChange-händelse som du kan se när du har valt Visa i Log Analytics.
Prestationsintegration
Fönstret Datorprestanda visar standardprestandamått för den valda servern. Måtten omfattar CPU-användning, minnesanvändning, nätverksbyte som skickas och tas emot samt en lista över de viktigaste processerna efter nätverksbyte som skickas och tas emot.
Om du vill se prestandadata kan du behöva aktivera lämpliga Log Analytics-prestandaräknare. De räknare som du vill aktivera:
Windows:
- Processor(*)\% Processortid
- Minne\% Tilldelade byte i användning
- Nätverkskort(*)\Byte skickade/sek
- Nätverkskort(*)\Mottagna byte/sek
Linux:
- Processor(*)\% Processortid
- Minne(*)\Använt minne i procent
- Nätverksadapter(*)\Skickat byte per sekund
- Nätverkskort(*)\Mottagna byte/sek
Säkerhetsintegrering
Integrering av tjänstkarta med säkerhet och granskning sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Log Analytics-arbetsytan.
Fönstret Maskinsäkerhet visar data från säkerhets- och granskningslösningen för den valda servern. I fönstret visas en sammanfattning av eventuella utestående säkerhetsproblem för servern under det valda tidsintervallet. Om du väljer något av säkerhetsproblemen ökar detaljnivån i en loggsökning efter information om dem.
Integration av uppdateringar
Service Map-integrering med Uppdateringshantering sker automatiskt när båda lösningarna är aktiverade och konfigurerade på Din Log Analytics-arbetsyta.
Fönstret Datoruppdateringar visar data från uppdateringshanteringslösningen för den valda servern. I fönstret visas en sammanfattning av eventuella uppdateringar som saknas för servern under det valda tidsintervallet.
Log Analytics-loggar
Data från Service Map över datorer och processer är tillgänglig för sökning i Log Analytics. Du kan använda dessa data i scenarier som omfattar migreringsplanering, kapacitetsanalys, identifiering och prestandafelsökning på begäran.
En post genereras per timme för varje unik dator och process, utöver de poster som genereras när en process eller dator startas eller registreras på tjänstkartan. Dessa poster har egenskaperna i följande tabeller.
Fälten och värdena i ServiceMapComputer_CL händelser mappas till fälten för datorresursen i ServiceMap Azure Resource Manager-API:et. Fälten och värdena i ServiceMapProcess_CL händelser mappas till fälten för processresursen i ServiceMap Azure Resource Manager-API:et. Fältet ResourceName_s matchar namnfältet i motsvarande Resource Manager-resurs.
Anmärkning
I takt med att funktionerna för tjänstkarta växer kan fälten ändras.
Du kan använda internt genererade egenskaper för att identifiera unika processer och datorer:
- Dator: Använd ResourceId eller ResourceName_s för att unikt identifiera en dator på en Log Analytics-arbetsyta.
- Process: Använd ResourceId för att unikt identifiera en process på en Log Analytics-arbetsyta. ResourceName_s är unikt i kontexten för den dator där processen körs MachineResourceName_s.
Eftersom flera poster kan finnas för en angiven process och dator inom ett angivet tidsintervall kan frågor returnera mer än en post för samma dator eller process. Om du bara vill inkludera den senaste posten lägger du till "| dedup ResourceId" i frågan.
Anslutningar
Anslutningsmått skrivs till en ny tabell i Log Analytics med namnet VMConnection. Den här tabellen innehåller information om inkommande och utgående anslutningar för en dator. Anslutningsmått exponeras också med API:er som ger möjlighet att hämta ett visst mått under en tidsperiod.
TCP-anslutningar som uppstår när en lyssnande socket accepterar anslutningar är inkommande. De anslutningar som skapas genom att ansluta till en viss IP-adress och port är utgående. Riktningen för en anslutning representeras av Direction egenskapen, som kan anges till antingen inbound eller outbound.
Poster i dessa tabeller genereras från data som rapporteras av beroendeagenten. Varje post representerar en observation över ett tidsintervall på en minut. Egenskapen TimeGenerated anger början på tidsintervallet. Varje post innehåller information för att identifiera respektive entitet, dvs. anslutningen eller porten, och måtten som är associerade med den entiteten. För närvarande rapporteras endast nätverksaktivitet som inträffar med hjälp av TCP över IPv4.
För att hantera kostnader och komplexitet representerar anslutningsposter inte enskilda fysiska nätverksanslutningar. Flera fysiska nätverksanslutningar grupperas i en logisk anslutning, som sedan återspeglas i respektive tabell. Så poster i tabellen VMConnection representerar en logisk gruppering och inte de enskilda fysiska anslutningar som observeras.
Fysiska nätverksanslutningar som delar samma värde för följande attribut under ett visst intervall på en minut aggregeras till en enda logisk post i VMConnection.
| Fastighet | Beskrivning |
|---|---|
Direction |
Anslutningens riktning. Värdet är inkommande eller utgående. |
Machine |
Datorns Fullt Kvalificerat Domännamn (FQDN) |
Process |
Identitet för processer eller grupper av processer som initierar eller accepterar anslutningen. |
SourceIp |
Källans IP-adress. |
DestinationIp |
Målets IP-adress. |
DestinationPort |
Målets portnummer. |
Protocol |
Protokoll som används för anslutningen. Värdet är tcp. |
För att ta hänsyn till effekten av gruppering tillhandahålls information om antalet grupperade fysiska anslutningar i följande egenskaper för dataposten.
| Fastighet | Beskrivning |
|---|---|
LinksEstablished |
Antalet fysiska nätverksanslutningar som har upprättats under rapporteringstidsfönstret. |
LinksTerminated |
Antalet fysiska nätverksanslutningar som har avslutats under rapporttidsfönstret. |
LinksFailed |
Antalet fysiska nätverksanslutningar som har misslyckats under rapporttidsfönstret. Den här informationen är för närvarande endast tillgänglig för utgående anslutningar. |
LinksLive |
Antalet fysiska nätverksanslutningar som var öppna i slutet av rapporttidsfönstret. |
Mätvärden
Förutom mått för antal anslutningar ingår även information om mängden data som skickas och tas emot på en specifik logisk anslutning eller nätverksport i följande egenskaper för posten.
| Fastighet | Beskrivning |
|---|---|
BytesSent |
Totalt antal byte som har skickats under rapporttidsfönstret. |
BytesReceived |
Totalt antal byte som har tagits emot under rapporttidsfönstret. |
Responses |
Antalet svar som observerats under rapporttidsfönstret. |
ResponseTimeMax |
Den största svarstiden i millisekunder som observerades under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom. |
ResponseTimeMin |
Den minsta svarstiden i millisekunder som observerades under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom. |
ResponseTimeSum |
Summan av alla svarstider i millisekunder som observerades under rapporttidsfönstret. Om det inte finns något värde är egenskapen tom |
Den tredje typen av data som rapporteras är svarstiden. Hur länge spenderar en anropare på att vänta på att en begäran som skickas via en anslutning ska bearbetas och besvaras av fjärrslutpunkten?
Svarstiden som rapporteras är en uppskattning av den verkliga svarstiden för det underliggande programprotokollet. Den beräknas med hjälp av heuristik baserat på observation av dataflödet mellan källan och målslutet för en fysisk nätverksanslutning.
Konceptuellt är svarstiden skillnaden mellan den tid då den sista byte för en begäran lämnar avsändaren och den tid då den sista byte av svaret kommer tillbaka till den. Dessa två tidsstämplar används för att definiera begärande- och svarshändelser på en specifik fysisk anslutning. Skillnaden mellan dem representerar svarstiden för en enskild begäran.
I den här första versionen av den här funktionen är vår algoritm en uppskattning som kan fungera med varierande grad av framgång beroende på det faktiska programprotokollet som används för en specifik nätverksanslutning. Den aktuella metoden fungerar till exempel bra för protokoll baserade på begäran-svar, till exempel HTTP/HTTPS. Men den här metoden fungerar inte med enkelriktade eller meddelandeköbaserade protokoll.
Här är några viktiga saker att tänka på:
- Om en process accepterar anslutningar på samma IP-adress men över flera nätverksgränssnitt rapporteras en separat post för varje gränssnitt.
- Poster med IP-adresser med jokertecken kommer inte att innehålla någon aktivitet. De ingår för att representera det faktum att en port på datorn är öppen för inkommande trafik.
- För att minska ordrikhet och datavolym utelämnas IP-adresser med jokertecken om det finns en matchande post (för samma process, port och protokoll) med en specifik IP-adress. När en IP-post med jokertecken utelämnas, kommer postegenskapen
IsWildcardBindmed den specifika IP-adressen att sättas tillTrue.. Den här inställningen indikerar att porten är exponerad genom varje gränssnitt på rapportdatorn. - Portar som endast är bundna i ett specifikt gränssnitt har
IsWildcardBindangetts tillFalse.
Namngivning och klassificering
För bekvämlighets skull ingår IP-adressen för den fjärranslutna änden av en anslutning i egenskapen RemoteIp. För inkommande anslutningar RemoteIp är samma som SourceIp, medan för utgående anslutningar är det samma som DestinationIp. Egenskapen RemoteDnsCanonicalNames representerar dns-kanoniska namn som rapporterats av datorn för RemoteIp. Egenskaperna RemoteDnsQuestions och RemoteClassification är reserverade för framtida användning.
Geolokalisering
VMConnection innehåller även geoplatsinformation för den fjärranslutna änden av varje anslutningspost i följande egenskaper för posten.
| Fastighet | Beskrivning |
|---|---|
RemoteCountry |
Namnet på det land/den region som är värd för RemoteIp. Ett exempel är USA. |
RemoteLatitude |
Geolokaliseringens latitud. Ett exempel är 47,68. |
RemoteLongitude |
Geolokaliseringslongituden. Ett exempel är -122.12. |
Skadlig IP-adress
Varje RemoteIp egenskap i tabellen VMConnection kontrolleras mot en uppsättning IP-adresser med känd skadlig aktivitet.
RemoteIp Om identifieras som skadlig fylls följande egenskaper i (de är tomma när IP-adressen inte anses vara skadlig) i följande egenskaper för posten.
| Fastighet | Beskrivning |
|---|---|
MaliciousIp |
Adressen RemoteIp. |
IndicatorThreadType |
Hotindikatorn som identifieras är ett av följande värden: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA eller Watchlist. |
Description |
Beskrivning av det observerade hotet. |
TLPLevel |
TLP-nivå (Traffic Light Protocol) är ett av de definierade värdena: Vit, Grön, Gul, Röd. |
Confidence |
Värdena är 0–100. |
Severity |
Värdena är 0–5, där 5 är allvarligast och 0 inte är allvarligt. Standardvärdet är 3. |
FirstReportedDateTime |
Första gången providern rapporterade indikatorn. |
LastReportedDateTime |
Den senaste gången indikatorn sågs av Interflow. |
IsActive |
Anger att indikatorer inaktiveras med värdet Sant eller Falskt . |
ReportReferenceLink |
Länkar till rapporter som är relaterade till en viss observerbar. |
AdditionalInformation |
Innehåller mer information, om tillämpligt, om det observerade hotet. |
ServiceMapComputer_CL poster
Poster av typen ServiceMapComputer_CL har inventeringsdata för servrar med Service Map-agenter. Dessa poster har egenskaperna i följande tabell.
| Fastighet | Beskrivning |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
Den unika identifieraren för en dator på arbetsytan |
ResourceName_s |
Den unika identifieraren för en dator på arbetsytan |
ComputerName_s |
datorns FQDN |
Ipv4Addresses_s |
En lista över serverns IPv4-adresser |
Ipv6Addresses_s |
En lista över serverns IPv6-adresser |
DnsNames_s |
En matris med DNS-namn |
OperatingSystemFamily_s |
Windows eller Linux |
OperatingSystemFullName_s |
Det fullständiga namnet på operativsystemet |
Bitness_s |
Datorns bitighet (32-bitars eller 64-bitars) |
PhysicalMemory_d |
Det fysiska minnet i MB |
Cpus_d |
Antalet processorer |
CpuSpeed_d |
Processorhastigheten i MHz |
VirtualizationState_s |
okänd, fysisk, virtuell, hypervisor |
VirtualMachineType_s |
hyperv, vmware och så vidare |
VirtualMachineNativeMachineId_g |
VM-ID:t som tilldelats av dess hypervisor |
VirtualMachineName_s |
Namnet på den virtuella datorn |
BootTime_t |
Tid för uppstart |
ServiceMapProcess_CL typregister
Poster med en typ av ServiceMapProcess_CL har inventeringsdata för TCP-anslutna processer på servrar med Service Map-agenter. Dessa poster har egenskaperna i följande tabell.
| Fastighet | Beskrivning |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
Den unika identifieraren för en process på arbetsytan |
ResourceName_s |
Den unika identifieraren för en process i datorn där den körs |
MachineResourceName_s |
Resursnamnet på datorn |
ExecutableName_s |
Namnet på den körbara processen |
StartTime_t |
Starttid för processpoolen |
FirstPid_d |
Den första PID:en i processpoolen |
Description_s |
Processbeskrivningen |
CompanyName_s |
Namnet på företaget |
InternalName_s |
Det interna namnet |
ProductName_s |
Namnet på produkten |
ProductVersion_s |
Produktversion |
FileVersion_s |
Filversionen |
CommandLine_s |
Kommandoraden |
ExecutablePath _s |
Sökvägen till den körbara filen |
WorkingDirectory_s |
Arbetskatalogen |
UserName |
Det konto under vilket processen körs |
UserDomain |
Domänen under vilken processen körs |
Exempelloggsökningar
I det här avsnittet visas exempel på loggsökning.
Visa en lista över alla kända datorer
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
Visa en lista över den fysiska minneskapaciteten för alla hanterade datorer
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
Lista datornamn, DNS, IP och OPERATIVSYSTEM
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
Hitta alla processer med "sql" på kommandoraden
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
Hitta en maskin (senaste posten) efter resursnamn
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
Hitta en dator (den senaste posten) efter IP-adress
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
Visa en lista över alla kända processer på en angiven dator
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
Visa en lista över alla datorer som kör SQL
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
Visa en lista över alla unika produktversioner av curl i mitt datacenter
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
Skapa en datorgrupp med alla datorer som kör CentOS
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
Sammanfatta utgående anslutningar från en grupp med datorer
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
REST-API
Alla server-, process- och beroendedata i Tjänstkarta är tillgängliga via REST-API:et för tjänstkarta.
Diagnostik- och användningsdata
Microsoft samlar automatiskt in användnings- och prestandadata via din användning av Tjänstkarta. Microsoft använder dessa data för att tillhandahålla och förbättra tjänstkartans kvalitet, säkerhet och integritet.
För att tillhandahålla korrekta och effektiva felsökningsfunktioner innehåller data information om konfigurationen av din programvara. Den här informationen kan vara operativsystem och version, IP-adress, DNS-namn och arbetsstationsnamn. Microsoft samlar inte in namn, adresser eller annan kontaktinformation.
Mer information om datainsamling och användning finns i Sekretesspolicy för Microsoft Online Services.
Nästa steg
Läs mer om loggsökningar i Log Analytics för att hämta data som samlas in av Tjänstkarta.
Felsökning
Om du har problem med att installera eller köra Tjänstkarta kan det här avsnittet hjälpa dig. Kontakta Microsoft Support om du fortfarande inte kan lösa problemet.
Problem med installation av beroendeagentprogramvara
Det här avsnittet tar upp problem med installation av beroendeagent.
Installationsprogrammet begär en omstart
Beroendeagenten kräver vanligtvis ingen omstart vid installation eller borttagning. I vissa sällsynta fall kräver Windows Server en omstart för att fortsätta med en installation. Det här problemet uppstår när ett beroende, vanligtvis Microsoft Visual C++ Redistributable-biblioteket, kräver en omstart på grund av en låst fil.
Meddelandet ”Det går inte att installera Dependency Agent: Det gick inte att installera Visual Studio Runtime-bibliotek (code = [code_number])” visas
Microsoft Dependency Agent bygger på Microsoft Visual Studio-körningsbiblioteken. Du får ett meddelande om det uppstår problem under installationen av biblioteken.
Installationsprogrammen för körningsbiblioteken skapar loggar i mappen %LOCALAPPDATA%\temp. Filen är dd_vcredist_arch_yyyymmddhhmmss.log, där arch är x86 eller amd64 och ååååmmddhhmmss är datum och tid (baserat på en 24-timmarsklocka) när loggen skapades. Loggen innehåller information om problemet som blockerar installationen.
Det kan vara bra att installera de senaste körtidsbiblioteken först.
I följande tabell visas kodnummer och föreslagna lösningar.
| Kod | Beskrivning | Beslut |
|---|---|---|
| 0x17 | Biblioteksinstallationsprogrammet kräver en Windows-uppdatering som inte har installerats. | Titta i den senaste biblioteksinstallationsloggen. Om en referens till Windows8.1-KB2999226-x64.msu följs av en rad Error 0x80240017: Failed to execute MSU package, har du inte förutsättningar för att installera KB2999226. Följ anvisningarna i avsnittet Förutsättningar i artikeln Universell C-körning i Windows. Du kan behöva köra Windows Update och starta om flera gånger för att installera förutsättningarna.Kör installationsprogrammet för Microsoft Dependency Agent igen. |
Problem efter installationen
Det här avsnittet beskriver problem efter installationen.
Servern visas inte i tjänstkartan
Om installationen av beroendeagenten lyckades, men du kan inte se datorn i Tjänstkartalösningen:
Har Dependency Agent installerats på rätt sätt? Kontrollera om tjänsten är installerad och körs.
- Windows: Leta efter tjänsten med namnet Microsoft Dependency Agent.
- Linux: Leta efter den process som körs microsoft-dependency-agent.
Är du på den kostnadsfria Log Analytics-nivån? Den kostnadsfria planen tillåter upp till fem unika datorer med Servicekarta. Efterföljande datorer visas inte i Tjänstkarta, även om de fem föregående inte längre skickar data.
Skickar servern logg- och prestandadata till Azure Monitor-loggar? Gå till Azure Monitor\Logs och kör följande fråga för datorn:
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
Fick du en mängd olika händelser i resultatet? Är data aktuella? I så fall fungerar Log Analytics-agenten som den ska och kommunicerar med arbetsytan. Om inte, kontrollera agenten på din dator. Se Log Analytics-agenten för Windows-felsökning eller Log Analytics-agent för Linux-felsökning.
Servern visas i Tjänstkarta men har inga processer
Du ser datorn i Tjänstkarta, men den har inga process- eller anslutningsdata. Detta beteende tyder på att Dependency-agenten är installerad och körs, men att kerneldrivrutinen inte har laddats.
Kontrollera C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file för Windows eller /var/opt/microsoft/dependency-agent/log/service.log file för Linux. De sista raderna i filen anger varför kerneln inte har lästs in. Till exempel kanske din kernel inte stöds i Linux om du har uppdaterat den.
Förslag
Har du någon feedback för oss om Tjänstkarta eller den här dokumentationen? Se vår user voice-sida där du kan föreslå funktioner eller rösta på befintliga förslag.