Migración de Splunk a registros de Azure Monitor
Azure Monitor Logs es un servicio administrado de monitorización y observabilidad basado en la nube que proporciona muchas ventajas en términos de administración de costes, escalabilidad, flexibilidad, integración y baja sobrecarga de mantenimiento. El servicio está diseñado para controlar grandes cantidades de datos y escalar fácilmente para satisfacer las necesidades de las organizaciones de todos los tamaños.
Azure Monitor Logs recopila datos de una amplia variedad de orígenes, incluidos los registros de eventos de Windows, Syslog y registros personalizados, para proporcionar una visión unificada de todos los recursos de Azure y ajenos a Azure. Con un lenguaje de consulta sofisticado y una visualización mantenida, puede analizar rápidamente millones de registros para identificar, comprender y responder a patrones críticos en los datos de supervisión.
Este artículo explica cómo migrar su implementación de Splunk Observability a Azure Monitor Logs para el registro y análisis de datos de registro.
Para obtener información sobre la migración de su implementación de Gestión de eventos e información de seguridad (SIEM) de Splunk Enterprise Security a Azure Sentinel, ver Planeamiento de la migración a Microsoft Sentinel.
¿Por qué migrar a Azure Monitor?
Los beneficios de migrar a Azure Monitor incluyen:
- Plataforma de software como servicio (SaaS) totalmente administrada con:
- Actualizaciones y escalado automáticos.
- Precios simples por GB de pago por uso.
- Características de optimización de costes y supervisión y Planes de tablas básicas y auxiliares de bajo coste.
- Monitorización y observabilidad nativas de la nube, incluyendo:
- Integración nativa con una serie de servicios complementarios de Azure, como Microsoft Sentinel para la administración de eventos e información de seguridad, Azure Logic Apps para la automatización, Azure Managed Grafana para la creación de paneles y Azure Machine Learning para capacidades avanzadas de análisis y respuesta.
Comparación de ofertas
| Oferta de Splunk | Producto | Oferta de Azure |
|---|---|---|
| Plataforma Splunk |
|
Registros de Azure Monitor es una plataforma centralizada de software como servicio (SaaS) para recopilar, analizar y actuar sobre los datos de telemetría generados mediante recursos y aplicaciones de Azure y que no son de Azure. |
| Observabilidad de Splunk |
|
Azure Monitor es una solución integral para recopilar, analizar y actuar sobre la telemetría de sus entornos en la nube, multinube y locales, construida sobre una potente canalización de ingesta de datos compartida con Microsoft Sentinel. Azure Monitor ofrece a las empresas una solución integral para supervisar entornos en la nube, híbridos y locales, con capacidades de aislamiento de red, características de resiliencia y protección frente a errores del centro de datos, elaboración de informes y alerta y respuesta. Entre las características integradas de Azure Monitor se incluyen las siguientes:
|
| Seguridad de Splunk |
|
Microsoft Sentinel es una solución nativa en la nube que se ejecuta sobre la plataforma de Azure Monitor para proporcionar análisis de seguridad inteligentes e inteligencia sobre amenazas en toda la empresa. |
Introducción a los conceptos clave
| Registros de Azure Monitor | Concepto de Splunk similar | Descripción |
|---|---|---|
| Área de trabajo de Log Analytics | Espacio de nombres | Un área de trabajo de Log Analytics es un entorno en el que puede recopilar datos de registro de todos los recursos supervisados de Azure y que no son de Azure. Los datos del área de trabajo están disponibles para realizar consultas y análisis, características de Azure Monitor y otros servicios de Azure. De forma similar a un espacio de nombres de Splunk, puede administrar el acceso a los datos y artefactos, como alertas y libros, en el área de trabajo de Log Analytics. Diseña la arquitectura del área de trabajo de Log Analytics en función de tus necesidades, por ejemplo, dividir la facturación, los requisitos de almacenamiento de datos regionales y las consideraciones de resistencia. |
| Administración de tablas | Indización | Los registros de Azure Monitor ingieren datos de registro en tablas de una base de datos administrada de Azure Data Explorer. Durante la ingesta, el servicio indexa los datos y añade la marca de tiempo automáticamente, lo que significa que puede almacenar varios tipos de datos y acceder a los datos rápidamente mediante consultas de Lenguaje de consulta Kusto (KQL). Use las propiedades de tabla para administrar el esquema de tabla, la retención de datos, y si se almacenan los datos para la auditoría ocasional y la solución de problemas, o para el análisis continuo y el uso de características y servicios. Para ver una comparación de los conceptos de manejo y consulta de datos de Splunk y Azure Data Explorer, consulte Asignación del lenguaje de consulta de Splunk a Kusto. |
| Planes de tablas básicas, auxiliares y de análisis | Azure Monitor Logs ofrece tres planes de tabla que permiten reducir los costos de ingesta y retención de registros, así como aprovechar las características avanzadas y las funcionalidades de análisis de Azure Monitor en función de sus necesidades. El plan Analytics hace que los datos de registro estén disponibles para las consultas interactivas y el uso de características y servicios. El plan Básico le permite ingerir y conservar registros a un costo reducido para la solución de problemas y la respuesta a incidentes. El plan Auxiliar es una forma de bajo costo de ingerir y conservar los registros de datos de baja entrada táctil, como los registros detallados y los datos necesarios para la auditoría y el cumplimiento. |
|
| Retención a largo plazo | Estados de los cubos de datos (caliente, templado, frío, descongelado), archivado, archivo activo de datos dinámicos (DDAA) | La opción de retención a largo plazo rentable mantiene los registros en el área de trabajo de Log Analytics y le permite acceder a estos datos inmediatamente, cuando lo necesite. Los cambios de configuración de retención son efectivos inmediatamente porque los datos no se transfieren físicamente al almacenamiento externo. Puede restaurar datos en retención a largo plazo o ejecutar un trabajo de búsqueda para que un intervalo de tiempo específico de datos esté disponible para el análisis en tiempo real. |
| Control de acceso | Acceso de usuarios basado en roles, permisos | Define qué usuarios y recursos pueden leer, escribir y realizar operaciones en recursos específicos mediante el control de acceso basado en rol (RBAC) de Azure. Un usuario con acceso a un recurso tiene acceso a los registros del recurso. Azure facilita la administración de acceso y seguridad de datos con características como roles integrados, roles personalizados, herencia de permisos de rol e historial de auditoría. También puedes configurar acceso de nivel de área de trabajo y acceso de nivel de tabla para el control de acceso pormenorizado a tipos de datos específicos. |
| Transformaciones de datos | Transformaciones, extracciones de campos | Las transformaciones le permiten filtrar o modificar los datos entrantes antes de que se envíen a un área de trabajo de Log Analytics. Use transformaciones para quitar datos confidenciales, enriquecer los datos en el área de trabajo de Log Analytics, realizar cálculos y filtrar los datos que no necesita para reducir los costos de datos. |
| Reglas de recopilación de datos | Entradas de datos, canalización de datos | Defina qué datos se van a recopilar, cómo transformar esos datos y dónde enviarlos. |
| Lenguaje de consulta de Kusto (KQL) | Lenguaje de procesamiento de búsqueda de Splunk (SPL) | Azure Monitor Logs usa un amplio subconjunto de KQL adecuado para consultas de registro sencillas, pero que también incluye funcionalidad avanzada como agregaciones, uniones y análisis inteligentes. Use la Asignación de Splunk a Lenguaje de consulta Kusto para traducir sus conocimientos de Splunk SPL a KQL. También puede aprender KQL con tutoriales y módulos de entrenamiento de KQL. |
| Log Analytics | Splunk Web, aplicación de búsqueda, herramienta Pivot | Una herramienta de Azure Portal para editar y ejecutar consultas de registro en Azure Monitor Logs. Log Analytics también proporciona un amplio conjunto de herramientas para explorar y visualizar datos sin usar KQL. |
| Optimización de costos | Azure Monitor proporciona herramientas y procedimientos recomendados para ayudarle a comprender, supervisar y optimizar los costos en función de sus necesidades. |
1. Descripción del uso actual
Su uso actual en Splunk le ayudará a decidir qué plan de tarifa seleccionar en Azure Monitor y a estimar sus costes futuros:
- Siga las instrucciones de Splunk para ver el informe de uso.
- Predicción de las estimaciones de costos de Azure Monitor con la calculadora de precios.
2. Configuración de un área de trabajo de Log Analytics
El área de trabajo de Log Analytics es donde recopila datos de registro de todos los recursos supervisados. Puede conservar los datos en un área de trabajo de Log Analytics durante un máximo de siete años. El archivado de datos de bajo costo dentro del área de trabajo le permite acceder a los datos en retención a largo plazo de forma rápida y sencilla cuando lo necesite, sin la sobrecarga de administrar un almacén de datos externo.
Se recomienda recopilar todos los datos de registro en un único área de trabajo de Log Analytics para facilitar la administración. Si está pensando en usar varias áreas de trabajo, consulte Diseño de una arquitectura de área de trabajo de Log Analytics.
Para configurar un área de trabajo de Log Analytics para la recopilación de datos:
Crear un área de trabajo de Log Analytics.
Azure Monitor Logs crea tablas Azure en su área de trabajo de forma automática en función de los servicios de Azure que use y de la configuración de recopilación de datos que defina para los recursos de Azure.
Configure su área de trabajo de Log Analytics, incluyendo:
- Plan de tarifa.
- Vincule el área de trabajo de Log Analytics a un clúster dedicado para aprovechar las funcionalidades avanzadas, si es apto, en función del plan de tarifa.
- Límite diario.
- Retención de datos.
- Aislamiento de red.
- Control de acceso.
Use los ajustes de configuración a nivel de tabla para:
Defina el plan de datos de registro de cada tabla.
El plan de datos de registro predeterminado es Análisis, que le permite aprovechar las funcionalidades completas de supervisión y análisis de Azure Monitor.
Establezca una directiva de retención y archivado de datos para tablas específicas, si necesita que sean diferentes de la directiva de retención y archivado de datos a nivel del área de trabajo.
Modifique el esquema de tabla en función del modelo de datos.
3. Migración de artefactos de Splunk a Azure Monitor
Para migrar la mayoría de los artefactos de Splunk, debe traducir el Lenguaje de procesamiento de Splunk (SPL) a Lenguaje de consulta Kusto (KQL). Para más información, consulte Asignación del lenguaje de consulta de Splunk a Kusto e Introducción a las consultas de registro en Azure Monitor.
En esta tabla se enumeran los artefactos de Splunk y los vínculos a instrucciones para configurar los artefactos equivalentes en Azure Monitor:
| Artefacto de Splunk | Artefacto de Azure Monitor |
|---|---|
| Alertas | Reglas de alertas |
| Acciones de alerta | Grupos de acciones |
| Infraestructura y supervisión | Azure Monitor Insights es un conjunto de experiencias de supervisión preparadas y seleccionadas con entradas de datos preconfiguradas, búsquedas, alertas y visualizaciones para empezar a analizar los datos de forma rápida y eficaz. |
| Paneles | Libros |
| Búsquedas | Azure Monitor proporciona varias maneras de enriquecer los datos, entre las que se incluyen: - Reglas de recopilación de datos, que le permiten enviar datos de varios orígenes a un área de trabajo de Log Analytics y realizar cálculos y transformaciones antes de ingerir los datos. - Operadores KQL, como el operador de combinación, que combina datos de tablas diferentes y el operador externaldata, que devuelve datos del almacenamiento externo. - Integración con servicios, como Azure Machine Learning o Azure Event Hubs, para aplicar el aprendizaje automático avanzado y el flujo en datos adicionales. |
| Espacios de nombres | Puede conceder o limitar el permiso a los artefactos de Azure Monitor en función del control de acceso que defina en el área de trabajo de Log Analytics o en los grupos de recursos de Azure. |
| Permisos | Administración de acceso |
| Informes | Azure Monitor ofrece una variedad de opciones para analizar, visualizar y compartir datos, entre las que se incluyen: - Integración con Grafana - Información - Libros - Paneles - Integración con Power BI - Integración con Excel |
| Búsquedas | Consultas |
| Tipos de origen | Defina el modelo de datos en el área de trabajo de Log Analytics. Use transformaciones en tiempo de ingesta para filtrar los datos entrantes, darles formato o modificarlos. |
| Métodos de recopilación de datos | Consulte Recopilación de datos para herramientas de Azure Monitor diseñadas para recursos específicos. |
Para obtener información sobre la migración de artefactos SIEM de Splunk, incluidas las reglas de detección y la automatización de SOAR, consulte Planeamiento de la migración a Microsoft Sentinel.
4. Recopilación de datos
Azure Monitor proporciona herramientas para recopilar datos de orígenes de datos de registro en Azure y recursos que no son de Azure en su entorno.
Para recopilar datos de un recurso:
- Configure la herramienta de recopilación de datos pertinente en función de la tabla siguiente.
- Decida qué datos necesita recopilar del recurso.
- Use transformaciones para eliminar datos confidenciales, enriquecer datos o realizar cálculos, y filtrar los datos que no necesite, para reducir costes.
Esta tabla enumera las herramientas que Azure Monitor proporciona para recopilar datos de varios tipos de recursos.
| Tipo de recurso | Herramienta de recopilación de datos | Herramienta similar de Splunk | Datos recopilados |
|---|---|---|---|
| Azure | Configuración de diagnóstico | Inquilino de Azure: los registros de auditoría de Microsoft Entra proporcionan el historial de actividad de inicio de sesión y la pista de auditoría de los cambios realizados en un inquilino. Recursos de Azure: registros y contadores de rendimiento. Suscripción Azure: registros de Service Health, además de registros sobre los cambios de configuración aplicados a los recursos en su suscripción de Azure. |
|
| Aplicación | Application Insights | Supervisión del rendimiento de aplicaciones de Splunk | Datos de supervisión del rendimiento de la aplicación. |
| Contenedor | Container Insights | Supervisión de contenedores | Datos de rendimiento del contenedor. |
| Sistema operativo | Agente de Azure Monitor | Reenviador universal, reenviador pesado | Supervisión de datos del sistema operativo invitado de máquinas virtuales de Azure y que no son de Azure. |
| Origen que no es de Azure | API de ingesta de registros | Recopilador de eventos HTTP (HEC) | Registros basados en archivos y cualquier dato que envíe a un punto de conexión de recopilación de datos en un recurso supervisado. |
5. Transición a Azure Monitor Logs
Un enfoque común es la transición a Azure Monitor Logs gradualmente, mientras se mantienen los datos históricos en Splunk. Durante este período, puede:
- Use la API de ingesta de registros para ingerir datos de Splunk.
- Use la exportación de datos del área de trabajo de Log Analytics para exportar datos fuera de Azure Monitor.
Para exportar los datos históricos de Splunk:
- Use uno de los métodos de exportación de Splunk para exportar datos en formato CSV.
- Para recopilar los datos exportados:
Use el agente de Azure Monitor para recopilar los datos que exporta desde Splunk, como se describe en Recopilación de registros de texto con el agente de Azure Monitor.
o
Recopile los datos exportados directamente con la API de ingesta de registros, como se describe en Envío de datos a registros de Azure Monitor mediante una API de REST.
Pasos siguientes
- Obtenga más información sobre el uso de Log Analytics y la API de consulta de Log Analytics.
- Habilite Microsoft Sentinel en su área de trabajo de Log Analytics.
- Realice el módulo de entrenamiento Analizar registros en Azure Monitor con KQL.