الترحيل من Splunk إلى سجلات Azure Monitor

Azure Monitor Logs هي خدمة مراقبة ومراقبة مدارة مستندة إلى السحابة توفر العديد من المزايا من حيث إدارة التكلفة وقابلية التوسع والمرونة والتكامل وانخفاض النفقات العامة للصيانة. تم تصميم الخدمة للتعامل مع كميات كبيرة من البيانات وتوسيع نطاقها بسهولة لتلبية احتياجات المؤسسات من جميع الأحجام.

تجمع سجلات Azure Monitor البيانات من مجموعة متنوعة من المصادر، بما في ذلك سجلات أحداث Windows وSyslog والسجلات المخصصة، لتوفير عرض موحد لجميع موارد Azure وغير Azure. باستخدام لغة استعلام متطورة وتصور منسق، يمكنك تحليل ملايين السجلات بسرعة لتحديد الأنماط الهامة في بيانات المراقبة وفهمها والاستجابة لها.

توضح هذه المقالة كيفية ترحيل نشر Splunk Observability إلى سجلات Azure Monitor لتسجيل وتحليل بيانات السجل.

للحصول على معلومات حول ترحيل نشر معلومات الأمان وإدارة الأحداث (SIEM) من Splunk Enterprise Security إلى Azure Sentinel، راجع تخطيط الترحيل إلى Microsoft Sentinel.

لماذا الترحيل إلى Azure Monitor؟

تتضمن فوائد الترحيل إلى Azure Monitor ما يلي:

• منصة Software as a Service (SaaS) مدارة بالكامل مع:
  • الترقيات التلقائية والتحجيم.
  • أسعار بسيطة للدفع أولا بأول لكل جيجابايت.
  • ميزات تحسين التكلفة والمراقبة وخطط الجدول الأساسية والإضافية منخفضة التكلفة.
• المراقبة والمراقبة السحابية الأصلية، بما في ذلك:
  • المراقبة الشاملة على نطاق واسع.
  • المراقبة الأصلية لموارد Azure.
  • الخصوصية والتوافق.
• التكامل الأصلي مع مجموعة من خدمات Azure التكميلية، مثل Microsoft Sentinel لمعلومات الأمان وإدارة الأحداث، وAzure Logic Apps للأتمتة، وAzure Managed Grafana للوحة المعلومات، وAzure التعلم الآلي لقدرات التحليل والاستجابة المتقدمة.

مقارنة العروض

عرض Splunk	المنتج	عرض Azure
النظام الأساسي Splunk	Splunk Cloud Platform Splunk Enterprise	Azure Monitor Logs هو برنامج مركزي كمنصة خدمة (SaaS) لجمع وتحليل والعمل على بيانات تتبع الاستخدام التي تم إنشاؤها بواسطة موارد وتطبيقات Azure وغير Azure.
إمكانية مراقبة الثبات	مراقبة البنية الأساسية ل Splunk مراقبة أداء تطبيق Splunk Splunk IT Service Intelligence	Azure Monitor هو حل شامل لجمع وتحليل والعمل على بيانات تتبع الاستخدام من البيئات السحابية ومتعددة السحابة والبيئات المحلية، والتي تم إنشاؤها عبر مسار استيعاب بيانات قوي تتم مشاركته مع Microsoft Sentinel. يوفر Azure Monitor للمؤسسات حلا شاملا لمراقبة البيئات السحابية والمختلطة والأماكن المحلية، مع عزل الشبكة وميزات المرونة والحماية من فشل مركز البيانات وإعداد التقارير والتنبيهات وقدرات الاستجابة. تتضمن الميزات المضمنة في Azure Monitor ما يلي: Azure Monitor Insights - تجارب مراقبة منسقة وجاهزة للاستخدام مع مدخلات البيانات التي تم تكوينها مسبقا وعمليات البحث والتنبيهات والمرئيات. Application Insights - يوفر إدارة أداء التطبيق (APM) لتطبيقات الويب المباشرة. Azure Monitor AIOps وقدرات التعلم الآلي المضمنة - توفر رؤى وتساعدك على استكشاف المشكلات وإصلاحها وأتمتة المهام المستندة إلى البيانات، مثل التنبؤ باستخدام السعة والتحجيم التلقائي، وتحديد مشكلات أداء التطبيق وتحليلها، والكشف عن السلوكيات الشاذة في الأجهزة الظاهرية والحاويات والموارد الأخرى. هذه الميزات مجانية من رسوم التثبيت.
أمان Splunk	Splunk Enterprise Security مراقبة مهمة Splunk Splunk SOAR	Microsoft Sentinel هو حل سحابي أصلي يعمل عبر النظام الأساسي Azure Monitor لتوفير تحليلات أمان ذكية وتحليل ذكي للمخاطر عبر المؤسسة.

مقدمة إلى المفاهيم الرئيسية

سجلات Azure Monitor	مفهوم Splunk مماثل	‏‏الوصف
مساحة عمل Log Analytics	مساحة الاسم	مساحة عمل Log Analytics هي بيئة يمكنك فيها جمع بيانات السجل من جميع موارد Azure وغير الخاضعة للمراقبة من Azure. تتوفر البيانات الموجودة في مساحة العمل للاستعلام والتحليل وميزات Azure Monitor وخدمات Azure الأخرى. على غرار مساحة اسم Splunk، يمكنك إدارة الوصول إلى البيانات والبيانات الاصطناعية، مثل التنبيهات والمصنفات، في مساحة عمل Log Analytics. تصميم بنية مساحة عمل Log Analytics استنادا إلى احتياجاتك - على سبيل المثال، الفوترة المنقسمة ومتطلبات تخزين البيانات الإقليمية واعتبارات المرونة.
إدارة الجداول	الفهرسة	تدمج سجلات Azure Monitor بيانات السجل في جداول في قاعدة بيانات Azure Data Explorer مدارة. أثناء الاستيعاب، تقوم الخدمة تلقائيا بفهرسة البيانات والطوابع الزمنية، ما يعني أنه يمكنك تخزين أنواع مختلفة من البيانات والوصول إلى البيانات بسرعة باستخدام استعلامات Kusto Query Language (KQL). استخدم خصائص الجدول لإدارة مخطط الجدول واستبقاء البيانات وما إذا كنت تريد تخزين البيانات للتدقيق واستكشاف الأخطاء وإصلاحها في بعض الأحيان أو للتحليل المستمر والاستخدام من قبل الميزات والخدمات. للمقارنة بين مفاهيم معالجة بيانات Splunk وAzure Data Explorer والاستعلام، راجع Splunk to Kusto Query Language map.
خطط الجداول التحليلية والأساسية والإضافية		تقدم Azure Monitor Logs ثلاث خطط جدول تتيح لك تقليل تكاليف استيعاب السجل واستبقاءه والاستفادة من ميزات Azure Monitor المتقدمة وقدرات التحليلات بناء على احتياجاتك. تتيح خطة التحليلات بيانات السجل للاستعلامات التفاعلية وتستخدمها الميزات والخدمات. تتيح لك الخطة الأساسية استيعاب السجلات والاحتفاظ بها بتكلفة مخفضة لاستكشاف الأخطاء وإصلاحها والاستجابة للحوادث. الخطة الإضافية هي طريقة منخفضة التكلفة لاستيعاب واستبقاء البيانات ذات اللمس المنخفض للسجلات، مثل السجلات المطولة والبيانات المطلوبة للتدقيق والتوافق.
الاستبقاء على المدى الطويل	حالات مستودع البيانات (ساخنة، دافئة، باردة، مذابة)، أرشفة، أرشيف ديناميكي للبيانات النشطة (DDAA)	يحتفظ خيار الاستبقاء طويل الأجل الفعال من حيث التكلفة بسجلاتك في مساحة عمل Log Analytics ويتيح لك الوصول إلى هذه البيانات على الفور، عندما تحتاج إليها. تغييرات تكوين الاستبقاء فعالة على الفور لأنه لا يتم نقل البيانات فعليا إلى التخزين الخارجي. يمكنك استعادة البيانات في استبقاء طويل الأجل أو تشغيل مهمة بحث لتوفير نطاق زمني محدد من البيانات للتحليل في الوقت الفعلي.
التحكم في الوصول	وصول المستخدم المستند إلى الدور، الأذونات	تحديد الأشخاص والموارد الذين يمكنهم قراءة العمليات وكتابتها وتنفيذها على موارد معينة باستخدام التحكم في الوصول استنادا إلى الدور (RBAC) في Azure. المستخدم الذي لديه حق الوصول إلى مورد لديه حق الوصول إلى سجلات المورد. يسهل Azure أمان البيانات وإدارة الوصول باستخدام ميزات مثل الأدوار المضمنة والأدوار المخصصة وتوريث إذن الدور ومحفوظات التدقيق. يمكنك أيضا تكوين الوصول على مستوى مساحة العمل والوصول على مستوى الجدول للتحكم في الوصول متعدد المستويات إلى أنواع بيانات معينة.
تحويلات البيانات	التحويلات واستخراج الحقول	تتيح لك التحويلات تصفية البيانات الواردة أو تعديلها قبل إرسالها إلى مساحة عمل Log Analytics. استخدم التحويلات لإزالة البيانات الحساسة، وإثراء البيانات في مساحة عمل Log Analytics، وإجراء العمليات الحسابية، وتصفية البيانات التي لا تحتاجها لتقليل تكاليف البيانات.
قواعد جمع البيانات	مدخلات البيانات، البنية الأساسية لبرنامج ربط العمليات التجارية للبيانات	حدد البيانات التي يجب جمعها، وكيفية تحويل تلك البيانات، ومكان إرسال البيانات.
Kusto Query Language (KQL)	لغة معالجة بحث Splunk (SPL)	تستخدم سجلات Azure Monitor مجموعة فرعية كبيرة من KQL مناسبة للاستعلامات البسيطة للسجل ولكنها تتضمن أيضا وظائف متقدمة مثل التجميعات والصلات والتحليلات الذكية. استخدم مخطط Splunk إلى Kusto Query Language لترجمة معرفة Splunk SPL إلى KQL. يمكنك أيضا تعلم KQL مع البرامج التعليمية ووحدات تدريب KQL.
تحليلات السجل	Splunk Web، تطبيق البحث، أداة Pivot	أداة في مدخل Microsoft Azure لتحرير استعلامات السجل وتشغيلها في سجلات Azure Monitor. يوفر Log Analytics أيضا مجموعة غنية من الأدوات لاستكشاف البيانات وتصورها دون استخدام KQL.
تحسين التكلفة		يوفر Azure Monitor أدوات وأفضل الممارسات لمساعدتك على فهم التكاليف ومراقبتها وتحسينها استنادا إلى احتياجاتك.

1. فهم استخدامك الحالي

سيساعدك استخدامك الحالي في Splunk على تحديد مستوى التسعير الذي يجب تحديده في Azure Monitor وتقدير التكاليف المستقبلية:

• اتبع إرشادات Splunk لعرض تقرير الاستخدام الخاص بك.
• تقديرات تكلفة Azure Monitor باستخدام حاسبة التسعير.

2. إعداد مساحة عمل Log Analytics

مساحة عمل Log Analytics هي المكان الذي تجمع فيه بيانات السجل من جميع الموارد المراقبة. يمكنك الاحتفاظ بالبيانات في مساحة عمل Log Analytics لمدة تصل إلى سبع سنوات. تتيح لك أرشفة البيانات منخفضة التكلفة داخل مساحة العمل الوصول إلى البيانات في الاحتفاظ طويل الأجل بسرعة وسهولة عند الحاجة إليها، دون النفقات العامة لإدارة مخزن بيانات خارجي.

نوصي بجمع جميع بيانات السجل في مساحة عمل Log Analytics واحدة لتسهيل الإدارة. إذا كنت تفكر في استخدام مساحات عمل متعددة، فشاهد تصميم بنية مساحة عمل Log Analytics.

لإعداد مساحة عمل Log Analytics لجمع البيانات:

1. إنشاء مساحة عمل Log Analytics.

   تنشئ سجلات Azure Monitor جداول Azure في مساحة العمل تلقائيا استنادا إلى خدمات Azure التي تستخدمها وإعدادات جمع البيانات التي تحددها لموارد Azure.

2. تكوين مساحة عمل Log Analytics، بما في ذلك:

   1. مستوى الأسعار.
   2. ربط مساحة عمل Log Analytics بمجموعة مخصصة للاستفادة من الإمكانات المتقدمة، إذا كنت مؤهلا، استنادا إلى مستوى التسعير.
   3. الحد الأقصى اليومي.
   4. استبقاء البيانات.
   5. عزل الشبكة.
   6. التحكم بالوصول.

3. استخدم إعدادات التكوين على مستوى الجدول من أجل:

   1. تعريف خطة بيانات سجل كل جدول.

      خطة بيانات السجل الافتراضية هي التحليلات، والتي تتيح لك الاستفادة من قدرات المراقبة والتحليلات الغنية في Azure Monitor.

   2. قم بتعيين نهج استبقاء البيانات وأرشفتها لجداول معينة، إذا كنت بحاجة إليها لتكون مختلفة عن نهج استبقاء البيانات وأرشفتها على مستوى مساحة العمل.

   3. تعديل مخطط الجدول استنادا إلى نموذج البيانات.

3. ترحيل البيانات الاصطناعية Splunk إلى Azure Monitor

لترحيل معظم القطع الأثرية Splunk، تحتاج إلى ترجمة لغة معالجة Splunk (SPL) إلى Kusto Query Language (KQL). لمزيد من المعلومات، راجع مخطط Splunk to Kusto Query Language وبدء استخدام استعلامات السجل في Azure Monitor.

يسرد هذا الجدول عناصر Splunk وارتباطات إلى إرشادات لإعداد البيانات الاصطناعية المكافئة في Azure Monitor:

أداة Splunk	البيانات الاصطناعية ل Azure Monitor
التنبيهات	قواعد التنبيه
إجراءات التنبيه	مجموعات الإجراءات
مراقبة البنية الأساسية	Azure Monitor Insights هي مجموعة من تجارب المراقبة المنسقة الجاهزة للاستخدام مع مدخلات البيانات التي تم تكوينها مسبقا وعمليات البحث والتنبيهات والمرئيات لمساعدتك على البدء في تحليل البيانات بسرعة وفعالية.
لوحات المعلومات	المصنفات
عمليات بحث.	يوفر Azure Monitor طرقا مختلفة لإثراء البيانات، بما في ذلك: - قواعد جمع البيانات، التي تتيح لك إرسال البيانات من مصادر متعددة إلى مساحة عمل Log Analytics، وإجراء العمليات الحسابية والتحويلات قبل استيعاب البيانات. - عوامل تشغيل KQL، مثل عامل تشغيل الربط، الذي يجمع بين البيانات من جداول مختلفة، وعامل تشغيل البيانات الخارجية، الذي يقوم بإرجاع البيانات من التخزين الخارجي. - التكامل مع الخدمات، مثل Azure التعلم الآلي أو Azure Event Hubs، لتطبيق التعلم الآلي المتقدم والدفق في المزيد من البيانات.
مساحة الاسم	يمكنك منح الإذن أو تقييده للبيانات الاصطناعية في Azure Monitor استنادا إلى التحكم في الوصول الذي تحدده في مساحة عمل Log Analytics أو مجموعات موارد Azure.
الأذونات	إدارة الوصول
التقارير	يقدم Azure Monitor مجموعة من الخيارات لتحليل البيانات وتصورها ومشاركتها، بما في ذلك: - التكامل مع Grafana - الرؤى - المصنفات - لوحات المعلومات - التكامل مع Power BI - التكامل مع Excel
البحث	الاستعلامات
أنواع المصادر	حدد نموذج البيانات في مساحة عمل Log Analytics. استخدم تحويلات وقت الاستيعاب لتصفية البيانات الواردة أو تنسيقها أو تعديلها.
أساليب مجموعات البيانات	راجع تجميع البيانات لأدوات Azure Monitor المصممة لموارد معينة.

للحصول على معلومات حول ترحيل بيانات Splunk SIEM الاصطناعية، بما في ذلك قواعد الكشف وأتمتة SOAR، راجع تخطيط الترحيل إلى Microsoft Sentinel.

4. جمع البيانات

يوفر Azure Monitor أدوات لجمع البيانات من مصادر بيانات السجل على موارد Azure وغير Azure في بيئتك.

لتجميع البيانات من مورد:

1. إعداد أداة جمع البيانات ذات الصلة استنادا إلى الجدول أدناه.
2. حدد البيانات التي تحتاج إلى جمعها من المورد.
3. استخدم التحويلات لإزالة البيانات الحساسة، وإثراء البيانات أو إجراء العمليات الحسابية، وتصفية البيانات التي لا تحتاج إليها، لتقليل التكاليف.

يسرد هذا الجدول الأدوات التي يوفرها Azure Monitor لجمع البيانات من أنواع موارد مختلفة.

نوع المورد	أداة جمع البيانات	أداة Splunk مشابهة	البيانات المُجمعة
Azure	إعدادات التشخيص		مستأجر Azure - توفر سجلات تدقيق Microsoft Entra سجل نشاط تسجيل الدخول وسجل تدقيق التغييرات التي تم إجراؤها داخل المستأجر. موارد Azure - السجلات وعدادات الأداء. اشتراك Azure - سجلات حماية الخدمة جنبا إلى جنب مع سجلات أي تغييرات في التكوين تم إجراؤها على الموارد في اشتراك Azure الخاص بك.
التطبيق	Application Insights	مراقبة أداء تطبيق Splunk	بيانات مراقبة أداء التطبيق.
الحاوية	نتائج تحليلات الحاوية	مراقبة الحاوية	بيانات أداء الحاوية.
نظام التشغيل	عامل Azure Monitor	معاد توجيه عام، معاد توجيه ثقيل	مراقبة البيانات من نظام التشغيل الضيف للأجهزة الظاهرية Azure والأجهزة الظاهرية غير Azure.
مصدر غير Azure	واجهة برمجة تطبيقات استيعاب السجلات	HTTP Event Collector (HEC)	السجلات المستندة إلى الملفات وأي بيانات ترسلها إلى نقطة نهاية تجميع البيانات على مورد مراقب.

5. الانتقال إلى سجلات Azure Monitor

يتمثل النهج الشائع في الانتقال إلى سجلات Azure Monitor تدريجيا، مع الحفاظ على البيانات التاريخية في Splunk. خلال هذه الفترة، يمكنك:

• استخدم واجهة برمجة تطبيقات استيعاب السجل لاستيعاب البيانات من Splunk.
• استخدم تصدير بيانات مساحة عمل Log Analytics لتصدير البيانات من Azure Monitor.

لتصدير بياناتك التاريخية من Splunk:

1. استخدم إحدى طرق تصدير Splunk لتصدير البيانات بتنسيق CSV.
2. لتجميع البيانات المصدرة:

   1. استخدم عامل Azure Monitor لجمع البيانات التي تقوم بتصديرها من Splunk، كما هو موضح في تجميع السجلات النصية باستخدام Azure Monitor Agent.

      أو

   2. جمع البيانات المصدرة مباشرة باستخدام واجهة برمجة تطبيقات استيعاب السجلات، كما هو موضح في إرسال البيانات إلى سجلات Azure Monitor باستخدام واجهة برمجة تطبيقات REST.

الخطوات التالية

• تعرف على المزيد حول استخدام Log Analytics وواجهة برمجة تطبيقات استعلام تحليلات السجل.
• تمكين Microsoft Sentinel على مساحة عمل Log Analytics.
• خذ وحدة تدريب تحليل السجلات في Azure Monitor باستخدام KQL.