Best Practices für Azure Monitor-Benachrichtigungen
Dieser Artikel enthält bewährte Methoden für die Architektur für Azure Monitor-Warnungen, Warnungsverarbeitungsregeln und Aktionsgruppen. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz, die unter Azure Well-Architected Framework beschrieben werden.
Weitere Informationen zu Warnungen und Benachrichtigungen finden Sie unter Übersicht: Azure Monitor-Warnungen.
Zuverlässigkeit
In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um Fehler der Komponenten Ihrer Azure Monitor-Warnungsregeln zu minimieren.
Azure Monitor-Benachrichtigungen bieten ein hohes Maß an Zuverlässigkeit ohne Entwurfsentscheidungen. Bedingungen, bei denen ein vorübergehender Verlust von Warnungsdaten auftreten kann, werden häufig durch Features anderer Azure Monitor-Komponenten gemindert.
Prüfliste für den Entwurf
- Konfigurieren von Warnungsregeln für Dienstintegrität.
- Konfigurieren von Warnungsregeln für die Ressourcenintegrität.
- Vermeiden Sie Dienstgrenzwerte für Warnungsregeln, die umfangreiche Benachrichtigungen erzeugen.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren von Warnungsregeln für Dienstintegrität. | Dienststatuswarnungen senden Ihnen Benachrichtigungen über Ausfälle, Dienstunterbrechungen, geplante Wartungen und Sicherheitsempfehlungen. Siehe Erstellen oder Bearbeiten einer Warnungsregel. |
| Konfigurieren von Warnungsregeln für die Ressourcenintegrität. | Resource Health-Warnungen können Sie nahezu in Echtzeit informieren, wenn sich der Integritätsstatus dieser Ressourcen ändert. Siehe Erstellen oder Bearbeiten einer Warnungsregel. |
| Vermeiden Sie Dienstgrenzwerte für Warnungsregeln, die umfangreiche Benachrichtigungen erzeugen. | Wenn Sie Über Warnungsregeln verfügen, die eine große Anzahl von Benachrichtigungen senden würden, erreichen Sie möglicherweise Ihre Dienstgrenzwerte für den Dienst, den Sie zum Senden von E-Mails oder SMS-Benachrichtigungen verwenden. Konfigurieren Sie programmgesteuerte Aktionen, oder wählen Sie eine alternative Benachrichtigungsmethode oder einen alternativen Anbieter für die Verarbeitung umfangreicher Benachrichtigungen aus. Siehe Dienstgrenzwerte für Benachrichtigungen. |
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Azure Monitor bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgreifende Abwehr eingesetzt werden können. Verwenden Sie die folgenden Informationen, um die Sicherheit von Azure Monitor-Warnungen zu maximieren.
Prüfliste für den Entwurf
- Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen
- Verwenden von verwalteten Identitäten zum Erhöhen der Sicherheit durch Steuern von Berechtigungen
- Zuweisen der Rolle "Überwachungsleser" für alle Benutzer, die keine Konfigurationsberechtigungen benötigen
- Verwenden von sicheren Webhookaktionen
- Wenn Sie Aktionsgruppen verwenden, die private Verbindungen verwenden, verwenden Sie Event Hub-Aktionen.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen | Mit Azure Monitor wird sichergestellt, dass alle Daten und gespeicherten Abfragen im Ruhezustand mit von Microsoft verwalteten Schlüsseln (MMK) verschlüsselt werden. Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind. |
| Verwenden Sie verwaltete Identitäten für Ihre Warnungsregeln für die Protokollsuche, um die Berechtigungen für diese zu steuern. | Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Wenn Sie eine verwaltete Identität für Ihre Warnungsregeln für die Protokollsuche festlegen, erhalten Sie die Kontrolle und Einsicht in die genauen Berechtigungen Ihrer Warnungsregel. Sie können jederzeit die Abfrageberechtigungen Ihrer Regel anzeigen und Berechtigungen direkt aus der verwalteten Identität hinzufügen oder entfernen. Darüber hinaus ist die Verwendung einer verwalteten Identität erforderlich, wenn die Abfrage Ihrer Regel auf Azure Daten-Explorer (ADX) oder Azure Resource Graph (ARG) zugreift. Siehe Verwaltete Identitäten. |
| Weisen Sie allen Benutzern, die keine Konfigurationsberechtigungen benötigen, die Rolle „Überwachungsleser“ zu. | Erhöhen Sie die Sicherheit, indem Sie Benutzern die geringste Menge an Berechtigungen zuweisen, die für ihre Rolle erforderlich sind. Siehe Rollen, Berechtigungen und Sicherheit in Azure Monitor. |
| Verwenden Sie nach Möglichkeit sichere Webhook-Aktionen. | Wenn Ihre Warnungsregel eine Aktionsgruppe enthält, die Webhook-Aktionen verwendet, sollten Sie sichere Webhook-Aktionen für die zusätzliche Authentifizierung verwenden. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für den sicheren Webhook |
Kostenoptimierung
Kostenoptimierung bezieht sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Sie können Ihre Kosten für Azure Monitor erheblich reduzieren, indem Sie Ihre verschiedenen Konfigurationsoptionen und Möglichkeiten kennen, um so die Menge der gesammelten Daten zu reduzieren. Lesen Sie Azure Monitor-Kosten und -Verbrauch, um die verschiedenen Arten der Abrechnung von Azure Monitor zu verstehen und um zu erfahren, wie Sie Ihre monatliche Rechnung anzeigen können.
Hinweis
Empfehlungen zur Kostenoptimierung für alle Features von Azure Monitor finden Sie unter Optimieren von Kosten in Azure Monitor .
Prüfliste für den Entwurf
- Aktivitätsprotokollwarnungen, Dienstintegritätswarnungen und Ressourcenintegritätswarnungen sind kostenlos.
- Minimieren Sie bei Verwendung von Protokollsuchwarnungen die Häufigkeit von Protokollsuchwarnungen.
- Wenn Sie Metrikwarnungen verwenden, minimieren Sie die Anzahl der überwachten Ressourcen.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Aktivitätsprotokollwarnungen, Dienstintegritätswarnungen und Ressourcenintegritätswarnungen sind kostenlos. | Azure Monitor-Aktivitätswarnungen, Dienstintegritätswarnungen und Ressourcenintegritätswarnungen sind kostenlos. Wenn das, was Sie überwachen möchten, mit diesen Warnungstypen erreicht werden kann, verwenden Sie diese. |
| Minimieren Sie bei Verwendung von Protokollsuchwarnungen die Häufigkeit von Protokollsuchwarnungen. | Beachten Sie beim Konfigurieren von Protokollsuchwarnungen, dass die Kosten umso höher sind, je häufiger die Regelauswertung erfolgt. Konfigurieren Sie Ihre Regeln entsprechend. |
| Wenn Sie Metrikwarnungen verwenden, minimieren Sie die Anzahl der überwachten Ressourcen. | Einige Ressourcentypen unterstützen Metrikwarnungsregeln, die mehrere Ressourcen desselben Typs überwachen können. Beachten Sie bei diesen Ressourcentypen, dass die Regel teuer werden kann, wenn die Regel viele Ressourcen überwacht. Um Kosten zu senken, können Sie entweder den Umfang der Metrikwarnungsregel verringern oder Warnungsregeln für die Protokollsuche verwenden, die für die Überwachung einer großen Anzahl von Ressourcen kostengünstiger sind. |
Optimaler Betrieb
Betriebliche Exzellenz bezieht sich auf Betriebsprozesse, die erforderlich sind, um einen Dienst zuverlässig in der Produktion zu betreiben. Verwenden Sie die folgenden Informationen, um die betrieblichen Anforderungen für die Unterstützung von Azure Monitor-Benachrichtigungen zu minimieren.
Prüfliste für den Entwurf
- Verwenden Sie ggf. dynamische Schwellenwerte in Metrikwarnungsregeln.
- Verwenden Sie nach Möglichkeit eine Warnungsregel, um mehrere Ressourcen zu überwachen.
- Verwenden Sie Warnungsverarbeitungsregeln, um das Verhalten im großen Stil zu steuern.
- Nutzen von benutzerdefinierten Eigenschaften zur Verbesserung der Diagnose
- Nutzen von Logic Apps zum Anpassen, Anreichern und Integrieren mit einer Vielzahl von Systemen
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie ggf. dynamische Schwellenwerte in Metrikwarnungsregeln. | Dynamische Schwellenwerte verwenden maschinelles Lernen, um den richtigen Schwellenwert zu bestimmen, damit Sie nicht den richtigen Schwellenwert für die Konfiguration kennen müssen. Dynamische Schwellenwerte sind auch für Regeln nützlich, die mehrere Ressourcen überwachen, und ein einzelner Schwellenwert kann nicht für alle Ressourcen konfiguriert werden. Siehe Dynamische Schwellenwerte in Metrikwarnungen. |
| Verwenden Sie nach Möglichkeit eine Warnungsregel, um mehrere Ressourcen zu überwachen. | Die Verwendung von Warnungsregeln, die mehrere Ressourcen überwachen, reduziert den Verwaltungsaufwand, indem Sie eine Regel verwalten können, um eine große Anzahl von Ressourcen zu überwachen. |
| Verwenden Sie Warnungsverarbeitungsregeln, um das Verhalten im großen Stil zu steuern. | Warnungsverarbeitungsregeln können verwendet werden, um die Anzahl der Warnungsregeln zu reduzieren, die Sie erstellen und verwalten müssen. |
| Nutzen von benutzerdefinierten Eigenschaften zur Verbesserung der Diagnose. | Wenn die Warnungsregel Aktionsgruppen verwendet, können Sie eigene Eigenschaften hinzufügen, die in die Nutzlast der Warnungsbenachrichtigung aufgenommen werden sollen. Sie können diese Eigenschaften in den Aktionen verwenden, die von der Aktionsgruppe aufgerufen werden, z. B. Webhook, Azure-Funktion oder Logik-App-Aktionen. |
| Verwenden Sie Logic Apps, um den Benachrichtigungsworkflow anzupassen und in verschiedene Systeme zu integrieren. | Sie können Azure Logic Apps, um Workflows für die Integration zu erstellen und anzupassen. Verwenden Sie Logic Apps, um Ihre Warnungsbenachrichtigungen anzupassen. Sie können Folgendes ausführen: – Passen Sie Warnungs-E-Mails, indem Sie einen eigenen Betreff und ein eigenes Format für die E-Mail verwenden. – Passen Sie die Metadaten zur Warnung an, indem Sie Tags für betroffene Ressourcen suchen oder das Suchergebnis einer Protokollabfrage abrufen. – Integrieren Sie externe Dienste mithilfe vorhandener Connectors wie Outlook, Microsoft Teams, Slack und PagerDuty. Sie können die Logik-App auch für Ihre eigenen Dienste konfigurieren. |
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Warnungen bieten ein hohes Maß an Leistungseffizienz ohne Entwurfsentscheidungen.