Bonnes pratiques des alertes Azure Monitor
Cet article indique les bonnes pratiques architecturales pour les alertes, les règles de traitement des alertes et les groupes d’actions dans Azure Monitor. Les conseils sont basés sur les cinq piliers d’excellence de l’architecture décrits dans Azure Well-Architected Framework.
Pour obtenir plus d’informations sur les alertes et les notifications, consultez Vue d’ensemble des alertes Azure Monitor.
Fiabilité
Dans le cloud, nous reconnaissons que des échecs se produisent. Au lieu d’essayer d’empêcher toutes les défaillances, l’objectif est de réduire les répercussions d’une défaillance potentielle au niveau de chaque composant. Utilisez les informations suivantes pour réduire les échecs de vos composants de règle d’alerte Azure Monitor.
Les alertes Azure Monitor offrent un haut degré de fiabilité sans aucune décision de conception. Les conditions dans lesquelles une perte temporaire de données d’alerte peut se produire sont souvent atténuées par les fonctionnalités des autres composants Azure Monitor.
Check-list pour la conception
- Configurer des règles d’alerte pour l’intégrité de service.
- Configurer des règles d’alerte pour l’intégrité des ressources.
- Éviter les limites de service pour les règles d’alerte qui produisent des notifications à grande échelle.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Configurer des règles d’alerte pour l’intégrité de service. | Les alertes d’intégrité du service vous envoient des notifications pour les pannes, les interruptions de service, la maintenance planifiée et les avis de sécurité. Consultez Créer ou modifier une règle d’alerte. |
| Configurer des règles d’alerte pour l’intégrité des ressources. | Les alertes d’intégrité des ressources peuvent vous signaler en quasi-temps réel tout changement de l’état d’intégrité de ces ressources. Consultez Créer ou modifier une règle d’alerte. |
| Éviter les limites de service pour les règles d’alerte qui produisent des notifications à grande échelle. | Si vous avez des règles d’alerte qui envoient un grand nombre de notifications, vous pouvez atteindre les limites du service que vous utilisez pour envoyer des notifications par e-mail ou SMS. Configurez des actions programmatiques, ou choisissez une autre méthode de notification ou un autre fournisseur pour gérer les notifications à grande échelle. Consultez Limites de service pour les notifications. |
Sécurité
La sécurité est l’un des aspects les plus importants de toute architecture. Azure Monitor fournit des fonctionnalités pour utiliser à la fois les principes du moindre privilège et de la défense en profondeur. Utilisez les informations suivantes pour optimiser la sécurité des alertes Azure Monitor.
Check-list pour la conception
- Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail
- Utiliser des identités managées pour renforcer la sécurité en contrôlant les autorisations
- Attribuer le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration
- Utiliser des actions de webhook sécurisé
- Quand vous utilisez des groupes d’actions qui ont des liaisons privées, utiliser des actions Event Hub
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. | Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez des clés gérées par le client pour plus de flexibilité et de contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel. |
| Pour contrôler les autorisations des règles de recherche dans les journaux, utilisez des identités managées pour vos règles d’alerte de recherche dans les journaux. | La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer ces informations d’identification. La définition d’une identité managée pour vos règles d’alerte de recherche dans les journaux vous donne un contrôle et une visibilité sur les autorisations exactes de votre règle d’alerte. À tout moment, vous pouvez voir les autorisations de requête de votre règle, et ajouter ou supprimer des autorisations directement à partir de son identité managée. Par ailleurs, l’utilisation d’une identité managée est nécessaire si la requête de votre règle accède à Azure Data Explorer (ADX) ou Azure Resource Graph (ARG). Consultez Identités managées. |
| Attribuez le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration. | Renforcez la sécurité en accordant aux utilisateurs le moins de privilèges nécessaires pour leur rôle. Consultez Rôles, autorisations et sécurité dans Azure Monitor. |
| Si possible, utilisez des actions de webhook sécurisé. | Si votre règle d’alerte contient un groupe d’actions qui utilise des actions de webhook, utilisez plutôt des actions de webhook sécurisé pour une authentification supplémentaire. Consultez Configurer l’authentification pour un webhook sécurisé |
Optimisation des coûts
L’optimisation des coûts fait référence aux moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Vous pouvez réduire considérablement votre coût pour Azure Monitor en comprenant vos différentes options de configuration et les possibilités de réduire la quantité de données collectées. Consultez Utilisation et coût d’Azure Monitor pour comprendre les différents coûts Azure Monitor et comment voir votre facture mensuelle.
Notes
Consultez Optimiser les coûts dans Azure Monitor pour obtenir des recommandations d’optimisation des coûts pour toutes les fonctionnalités d’Azure Monitor.
Check-list pour la conception
- Les alertes de journal d’activité, les alertes d’intégrité de service et les alertes d’intégrité des ressources sont gratuites.
- Réduisez la fréquence des alertes lorsque vous utilisez des alertes de recherche dans les journaux.
- Quand vous utilisez des alertes de métrique, réduisez le nombre de ressources à monitorer.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| N’oubliez pas que les alertes de journal d’activité, les alertes d’intégrité de service et les alertes d’intégrité des ressources sont gratuites. | Les alertes d’activité, les alertes d’intégrité de service et les alertes d’intégrité des ressources Azure Monitor sont gratuites. Si ce que vous voulez monitorer nécessite ce type d’alertes, utilisez-les. |
| Réduisez la fréquence des alertes lorsque vous utilisez des alertes de recherche dans les journaux. | Lorsque vous configurez les alertes de recherche dans les journaux, gardez à l’esprit que plus l’évaluation des règles sera fréquente, plus le coût sera élevé. Configurez vos règles en conséquence. |
| Quand vous utilisez des alertes de métrique, réduisez le nombre de ressources à monitorer. | Certains types de ressources prennent en charge les règles d’alerte de métrique qui peuvent monitorer plusieurs ressources du même type. Pour ces types de ressources, n’oubliez pas que la règle peut devenir onéreuse si elle monitore un grand nombre de ressources. Pour réduire les coûts, vous pouvez soit réduire l’étendue de la règle d’alerte de métrique, soit utiliser des règles d’alerte de recherche dans les journaux, qui sont moins coûteuses pour surveiller un grand nombre de ressources. |
Excellence opérationnelle
L’excellence opérationnelle fait référence aux processus opérationnels nécessaires pour qu’un service en production s’exécute toujours de manière fiable. Utilisez les informations suivantes pour réduire les exigences opérationnelles de prise en charge des alertes Azure Monitor.
Check-list pour la conception
- Utiliser des seuils dynamiques dans les règles d’alerte de métrique, selon les besoins.
- Si possible, utiliser une seule règle d’alerte pour monitorer plusieurs ressources.
- Pour contrôler le comportement à grande échelle, utiliser des règles de traitement des alertes.
- Tirer parti des propriétés personnalisées pour améliorer les diagnostics
- Tirer parti de Logic Apps pour personnaliser, enrichir et intégrer une variété de systèmes
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez des seuils dynamiques dans les règles d’alerte de métrique, selon les besoins. | Les seuils dynamiques utilisent le Machine Learning pour déterminer le seuil approprié. Vous n’avez donc pas besoin de connaître le seuil à configurer. Les seuils dynamiques sont également utiles pour les règles qui monitorent plusieurs ressources, et vous ne pouvez pas configurer un seul seuil pour toutes les ressources. Consultez Seuils dynamiques dans les alertes de métrique. |
| Si possible, utilisez une seule règle d’alerte pour monitorer plusieurs ressources. | L’utilisation de règles d’alerte pour monitorer plusieurs ressources réduit la surcharge de gestion, en vous permettant de gérer une règle pour monitorer un grand nombre de ressources. |
| Pour contrôler le comportement à grande échelle, utilisez des règles de traitement des alertes. | Les règles de traitement des alertes peuvent être utilisées pour réduire le nombre de règles d’alerte que vous devez créer et gérer. |
| Utilisez des propriétés personnalisées pour améliorer les diagnostics. | Si la règle d’alerte utilise des groupes d’actions, vous pouvez ajouter vos propres propriétés dans la charge utile de notification d’alerte. Vous pouvez utiliser ces propriétés dans les actions appelées par le groupe d’actions, telles qu’un webhook, une fonction Azure ou des actions d’application logique. |
| Utilisez Logic Apps pour personnaliser le workflow de notification et intégrer différents systèmes. | Vous pouvez utiliser Azure Logic Apps pour générer et personnaliser des workflows pour une intégration. Utilisez Logic Apps pour personnaliser vos notifications d’alerte. Vous pouvez : - Personnalisez l’e-mail d’alerte en utilisant votre propre format d’objet et de corps d’e-mail. - Personnalisez les métadonnées d’alerte en recherchant des étiquettes pour les ressources concernées ou en récupérant le résultat de recherche d’une requête de journal. - Intégrez des services externes en utilisant des connecteurs existants comme Outlook, Microsoft Teams, Slack et PagerDuty. Vous pouvez également configurer l’application logique pour vos propres services. |
Efficacité des performances
L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Les alertes offrent un haut degré d’efficacité des performances sans aucune décision de conception.