使用客户端安装程序在 Windows 客户端设备上安装 Azure Monitor 代理

使用 此链接 下载代理的 Windows MSI 安装程序。 还可以从 Azure 门户上的“ 监视 ”>“ 数据收集规则 ”>“ 创建 ”体验下载它（例如以下屏幕截图所示）：

若要使用自定义文件路径进行安装，[网络代理设置](./azure-monitor-agent-network-configuration.md)，或在非公有云上使用以下命令，其中包含下表中的值：

msiexec /i AzureMonitorAgentClientSetup.msi /qn DATASTOREDIR="C:\example\folder"
打开“控制面板”->“程序和功能”或“设置”->“应用”->“应用和功能”，确保已列出“Azure Monitor 代理”

打开“服务”，确认“Azure Monitor 代理”已列出并显示为“正在运行”。
继续创建要将数据收集规则关联到的受监视对象，以使代理可以实际开始操作。
目前，使用客户端安装程序安装的代理不支持在安装后更新本地代理设置。 要更新上面的设置，请卸载并重新安装 AMA。
创建并关联监视对象
需要创建一个监视对象 (MO)，该对象表示 Azure 资源管理器 (ARM) 中的 Microsoft Entra 租户。 此 ARM 实体是数据收集规则随后将要关联到的实体。 Azure 将监视对象关联到同一 Microsoft Entra 租户中的所有 Windows 客户端计算机。

目前，此关联仅限于 Microsoft Entra 租户范围，这意味着应用于 Microsoft Entra 租户的配置将应用于属于该租户并运行代理（它通过客户端安装程序进行安装）的所有设备。 作为虚拟机扩展安装的代理不受此影响。
下图演示了其工作原理：
然后，按照以下说明操作，使用 REST API 或 PowerShell 命令创建并将其关联到监视对象。
所需的权限
由于 MO 是租户级资源，因此权限的范围将高于订阅范围。 因此，可能需要成为 Azure 租户管理员才能执行此步骤。 按照以下步骤将 Microsoft Entra 租户管理员提升为 Azure 租户管理员。它将在根范围内向 Microsoft Entra 管理员授予“所有者”权限。 对于下一部分所述的所有方法，都需要这样做。
使用 REST API
1. 将“监视对象参与者”角色分配给操作员
此步骤授予用户或组创建和链接受监视对象的能力。
请求 URI
PUT https://management.azure.com/providers/microsoft.insights/providers/microsoft.authorization/roleassignments/{roleAssignmentGUID}?api-version=2021-04-01-preview
URI 参数
    "properties":
        "roleDefinitionId":"/providers/Microsoft.Authorization/roleDefinitions/56be40e24db14ccf93c37e44c597135b",
        "principalId":"aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa"
roleDefinitionId
已修复值：监视对象参与者角色的角色定义 ID：/providers/Microsoft.Authorization/roleDefinitions/56be40e24db14ccf93c37e44c597135b
principalId
提供角色需要分配到的用户标识的 Object Id。 这可能是在步骤 1 开始时提升的用户，也可能是将要执行后续步骤的另一个用户或组。
完成此步骤后，对会话重新进行身份验证并重新获取 ARM 持有者令牌。
2.创建监视对象
此步骤为 Microsoft Entra 租户范围创建监视对象。 它将用于表示使用该 Microsoft Entra 租户标识签名的客户端设备。
需要的权限：在相应范围内拥有“受监视对象参与者”的任何人都可以执行此操作，如步骤 1 中分配的那样。
请求 URI
PUT https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/{AADTenantId}?api-version=2021-09-01-preview
URI 参数
3.将 DCR 关联到监视对象
现在，我们通过创建数据收集规则关联将数据收集规则 (DCR) 关联到监视对象。
需要的权限：在相应范围内拥有“受监视对象参与者”的任何人都可以执行此操作，如步骤 1 中分配的那样。
请求 URI
PUT https://management.azure.com/{MOResourceId}/providers/microsoft.insights/datacollectionruleassociations/{associationName}?api-version=2021-09-01-preview
示例请求 URI
PUT https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/{AADTenantId}/providers/microsoft.insights/datacollectionruleassociations/{associationName}?api-version=2021-09-01-preview
URI 参数
    "properties":
        "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{DCRName}"
需要的权限：在相应范围内拥有“读者”的任何人都可以执行此操作，类似于步骤 1 中分配的操作。
请求 URI
GET https://management.azure.com/{MOResourceId}/providers/microsoft.insights/datacollectionruleassociations/?api-version=2021-09-01-preview
示例请求 URI
GET https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/{AADTenantId}/providers/microsoft.insights/datacollectionruleassociations/?api-version=2021-09-01-preview
  "value": [
      "id": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVm/providers/Microsoft.Insights/dataCollectionRuleAssociations/myRuleAssociation",
      "name": "myRuleAssociation",
      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
      "properties": {
        "dataCollectionRuleId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule",
        "provisioningState": "Succeeded"
      "systemData": {
        "createdBy": "user1",
        "createdByType": "User",
        "createdAt": "2021-04-01T12:34:56.1234567Z",
        "lastModifiedBy": "user2",
        "lastModifiedByType": "User",
        "lastModifiedAt": "2021-04-02T12:34:56.1234567Z"
      "etag": "070057da-0000-0000-0000-5ba70d6c0000"
  "nextLink": null
5.取消 DCR 与监视对象的关联
如果需要删除数据收集规则 (DCR) 与监视对象的关联。
需要的权限：在相应范围内拥有“受监视对象参与者”的任何人都可以执行此操作，如步骤 1 中分配的那样。
请求 URI
DELETE https://management.azure.com/{MOResourceId}/providers/microsoft.insights/datacollectionruleassociations/{associationName}?api-version=2021-09-01-preview
示例请求 URI
DELETE https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/{AADTenantId}/providers/microsoft.insights/datacollectionruleassociations/{associationName}?api-version=2021-09-01-preview
URI 参数
string
步骤 2 中创建的 MO 的完整资源 ID。 示例：“providers/Microsoft.Insights/monitoredObjects/{AADTenantId}”
associationName
string
关联的名称。 此名称不区分大小写。 示例：“assoc01”
Authorization：ARM 持有者令牌
Content-Type：Application/json
使用 PowerShell 进行加入
$TenantID = "xxxxxxxxx-xxxx-xxx"  #Your Tenant ID
$SubscriptionID = "xxxxxx-xxxx-xxxxx" #Your Subscription ID
$ResourceGroup = "rg-yourResourceGroup" #Your resourcegroup
#If cmdlet below produces an error stating 'Interactive authentication is not supported in this session, please run cmdlet 'Connect-AzAccount -UseDeviceAuthentication
#uncomment next to -UseDeviceAuthentication below
Connect-AzAccount -Tenant $TenantID #-UseDeviceAuthentication
#Select the subscription
Select-AzSubscription -SubscriptionId $SubscriptionID
#Grant Access to User at root scope "/"
$user = Get-AzADUser -SignedIn
New-AzRoleAssignment -Scope '/' -RoleDefinitionName 'Owner' -ObjectId $user.Id
#Create Auth Token
$auth = Get-AzAccessToken
$AuthenticationHeader = @{
    "Content-Type" = "application/json"
    "Authorization" = "Bearer " + $auth.Token
#1. Assign the Monitored Object Contributor role to the operator
$newguid = (New-Guid).Guid
$UserObjectID = $user.Id
$body = @"
            "properties": {
                "roleDefinitionId":"/providers/Microsoft.Authorization/roleDefinitions/56be40e24db14ccf93c37e44c597135b",
                "principalId": `"$UserObjectID`"
$requestURL = "https://management.azure.com/providers/microsoft.insights/providers/microsoft.authorization/roleassignments/$newguid`?api-version=2021-04-01-preview"
Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method PUT -Body $body
##########################
#2. Create a monitored object
# "location" property value under the "body" section should be the Azure region where the MO object would be stored. It should be the "same region" where you created the Data Collection Rule. This is the location of the region from where agent communications would happen.
$Location = "eastus" #Use your own location
$requestURL = "https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/$TenantID`?api-version=2021-09-01-preview"
$body = @"
    "properties":{
        "location":`"$Location`"
$Respond = Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method PUT -Body $body -Verbose
$RespondID = $Respond.id
##########################
#3. Associate DCR to monitored object
#See reference documentation https://learn.microsoft.com/en-us/rest/api/monitor/data-collection-rule-associations/create?tabs=HTTP
$associationName = "assoc01" #You can define your custom associationname, must change the association name to a unique name, if you want to associate multiple DCR to monitored object
$DCRName = "dcr-WindowsClientOS" #Your Data collection rule name
$requestURL = "https://management.azure.com$RespondId/providers/microsoft.insights/datacollectionruleassociations/$associationName`?api-version=2021-09-01-preview"
$body = @"
            "properties": {
                "dataCollectionRuleId": "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Insights/dataCollectionRules/$DCRName"
Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method PUT -Body $body
#(Optional example). Associate another DCR to monitored object. Remove comments around text below to use.
#See reference documentation https://learn.microsoft.com/en-us/rest/api/monitor/data-collection-rule-associations/create?tabs=HTTP
$associationName = "assoc02" #You must change the association name to a unique name, if you want to associate multiple DCR to monitored object
$DCRName = "dcr-PAW-WindowsClientOS" #Your Data collection rule name
$requestURL = "https://management.azure.com$RespondId/providers/microsoft.insights/datacollectionruleassociations/$associationName`?api-version=2021-09-01-preview"
$body = @"
            "properties": {
                "dataCollectionRuleId": "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Insights/dataCollectionRules/$DCRName"
Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method PUT -Body $body
#4. (Optional) Get all the associatation.
$requestURL = "https://management.azure.com$RespondId/providers/microsoft.insights/datacollectionruleassociations?api-version=2021-09-01-preview"
(Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method get).value
验证安装是否成功
检查已在数据收集规则中指定为目标的 Log Analytics 工作区中的“检测信号”表（以及已在规则中配置的其他表）。
SourceComputerId、Computer、ComputerIP 列均应分别反映客户端设备信息，Category 列应显示“Azure Monitor Agent”。 请参阅以下示例：
使用 PowerShell 进行登出
#This will remove the monitor object
$TenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"  #Your Tenant ID
Connect-AzAccount -Tenant $TenantID
#Create Auth Token
$auth = Get-AzAccessToken
$AuthenticationHeader = @{
    "Content-Type" = "application/json"
    "Authorization" = "Bearer " + $auth.Token
#Get monitored object
$requestURL = "https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/$TenantID`?api-version=2021-09-01-preview"
$MonitoredObject =  Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method Get
#Get data collection rule associations to monitored object 
$requestURL = "https://management.azure.com$($MonitoredObject.id)/providers/microsoft.insights/datacollectionruleassociations?api-version=2021-09-01-preview"
$MonitoredObjectAssociations = Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method Get
#Disassociate from all Data Collection Rule
foreach ($Association in $MonitoredObjectAssociations.value){
    $requestURL = "https://management.azure.com$($Association.id)?api-version=2022-06-01"
    Invoke-RestMethod -Uri $requestURL -Headers $AuthenticationHeader -Method Delete
#Delete monitored object
$requestURL = "https://management.azure.com/providers/Microsoft.Insights/monitoredObjects/$TenantID`?api-version=2021-09-01-preview"
Invoke-AzRestMethod -Uri $requestURL -Method Delete
检查代理版本
可以使用以下任一选项来检查已安装的代理版本：
打开“控制面板”>“程序和功能”>“Azure Monitor 代理”，并查看列出的“版本”
打开“设置”>“应用”>“应用和功能”>“Azure Monitor 代理”，并查看列出的“版本”
可以使用以下任一选项来检查已安装的代理版本：
打开“控制面板”>“程序和功能”>“Azure Monitor 代理”，并单击“卸载”
打开“设置”>“应用”>“应用和功能”>“Azure Monitor 代理”，并单击“卸载”
如果在“卸载”期间遇到问题，请参阅故障排除指南。
若要更新版本，请安装要更新到的新版本。
查看代理诊断日志
在启用日志记录的情况下重新运行安装，并指定日志文件名称：Msiexec /I AzureMonitorAgentClientSetup.msi /L*V <log file name>
运行时日志会自动收集到默认位置 C:\Resources\Azure Monitor Agent\ 或在安装过程中提到的文件路径。
如果你找不到该路径，可以在注册表上找到确切的位置（作为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMonitorAgent 上的 AMADataRootDirPath）。
“ServiceLogs”文件夹包含 AMA Windows 服务的日志，该服务启动和管理 AMA 进程
“AzureMonitorAgent.MonitoringDataStore”包含 AMA 进程的数据/日志。
常见安装问题
缺少 DLL
错误消息：“此 Windows Installer 包存在问题。 无法运行完成此安装程序所需的 DLL。 …"
在安装 AMA 之前，请确保已安装 C++ 可再发行程序包 (>2015)：
未建立 Microsoft Entra 联接
错误消息：“租户和设备 ID 检索失败”
运行命令 dsregcmd /status。 这应该在“设备状态”部分生成输出“AzureAdJoined : YES”。 否则请将设备联接到 Microsoft Entra 租户并再次尝试进行安装。
命令提示符下的无提示安装失败
请确保在管理员命令提示符下启动安装程序。 只能从管理员命令提示符下启动无提示安装。
卸载失败，因为卸载程序无法停止该服务
如果可以选择重试，请重试
如果从卸载程序中进行重试不起作用，请取消卸载并从“服务”（桌面应用程序）停止 Azure Monitor 代理服务
卸载程序不起作用时手动强制卸载
停止 Azure Monitor 代理服务。 然后再次尝试卸载。 如果失败，请继续执行以下步骤
从管理员命令提示符下使用“sc delete AzureMonitorAgent”删除 AMA 服务
下载此工具并卸载 AMA
删除 AMA 二进制文件。 默认情况下，它们存储在 Program Files\Azure Monitor Agent 中
删除 AMA 数据/日志。 默认情况下，它们存储在 C:\Resources\Azure Monitor Agent 中
打开注册表。 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure Monitor Agent。 如果它存在，则删除该键。
安装后/操作问题
成功安装代理后（即看到代理服务正在运行但没有看到预期的数据），就可以按照此处列出的分别针对 Windows VM 和已启用 Windows Arc 的服务器的标准故障排除步骤进行操作。
本部分提供常见问题的解答。
已加入 Microsoft Entra 的计算机是否需要 Azure Arc？
不是。 运行 Windows 10 或 11（客户端 OS）的已加入 Microsoft Entra（或已加入混合 Microsoft Entra）的计算机不需要安装 Azure Arc。 相反，可以使用适用于 Azure Monitor Agent 的 Windows MSI 安装程序。

问题和反馈
完成此快速调查或共享有关客户端安装程序的反馈/问题。