Migrálás splunkról Azure Monitor-naplókba
Az Azure Monitor-naplók egy felhőalapú felügyelt monitorozási és megfigyelhetőségi szolgáltatás, amely számos előnnyel jár a költségkezelés, a méretezhetőség, a rugalmasság, az integráció és az alacsony karbantartási többletterhelés szempontjából. A szolgáltatás úgy lett kialakítva, hogy nagy mennyiségű adatot kezeljen, és egyszerűen méretezhető legyen, hogy megfeleljen a szervezetek igényeinek.
Az Azure Monitor-naplók számos különböző forrásból gyűjtenek adatokat, beleértve a Windows-eseménynaplókat, a Syslogot és az egyéni naplókat, hogy egységes képet nyújtsanak az összes Azure- és nem Azure-erőforrásról. A kifinomult lekérdezési nyelv és a válogatott vizualizáció segítségével gyorsan elemezhet több millió rekordot a monitorozási adatok kritikus mintáinak azonosításához, megértéséhez és megválaszolásához.
Ez a cikk bemutatja, hogyan migrálhatja a Splunk megfigyelhetőségi üzemelő példányt az Azure Monitor-naplókba naplózás és naplóadatok elemzése céljából.
A Biztonsági információk és eseménykezelés (SIEM) üzembe helyezésének A Splunk Enterprise Securityből az Azure Sentinelbe való migrálásáról további információt a Microsoft Sentinelbe történő migrálás megtervezése című témakörben talál.
Miért érdemes az Azure Monitorba migrálni?
Az Azure Monitorba való migrálás előnyei a következők:
- Teljes körűen felügyelt, Szolgáltatott szoftver (SaaS) platform a következőkkel:
- Automatikus frissítések és skálázás.
- Egyszerű használatalapú fizetéses díjszabás.
- Költségoptimalizálási és monitorozási funkciók és alacsony költségű alapszintű naplók.
- Natív felhőbeli monitorozás és megfigyelhetőség, beleértve a következőket:
- Végpontok közötti, nagy léptékű monitorozás.
- Az Azure-erőforrások natív monitorozása.
- Adatvédelem és megfelelőség.
- Natív integráció számos kiegészítő Azure-szolgáltatással, például a Microsoft Sentinel biztonsági információkhoz és eseménykezeléshez, Az Azure Logic Apps az automatizáláshoz, az Azure Managed Grafana az irányítópultokhoz és az Azure Machine Tanulás a speciális elemzési és válaszképességekhez.
Ajánlatok összehasonlítása
| Splunk ajánlat | Termék | Azure-ajánlat |
|---|---|---|
| Splunk Platform |
|
Az Azure Monitor Logs egy szolgáltatásként (SaaS) működő központosított szoftverplatform, amely az Azure és nem Azure-erőforrások és alkalmazások által létrehozott telemetriai adatok gyűjtésére, elemzésére és kezelésére szolgál. |
| Splunk Megfigyelhetőség |
|
Az Azure Monitor egy, a Microsoft Sentinellel megosztott, hatékony adatbetöltési folyamaton alapuló, a felhőből, többfelhős és helyszíni környezetekből származó telemetriai adatok gyűjtésére, elemzésére és kezelésére szolgáló végpontok közötti megoldás. Az Azure Monitor átfogó megoldást kínál a vállalatok számára a felhőalapú, hibrid és helyszíni környezetek monitorozására, hálózati elkülönítéssel, rugalmassági funkciókkal és az adatközpont hibáival, jelentéskészítéssel és riasztásokkal és válaszképességekkel szembeni védelemmel. Az Azure Monitor beépített funkciói a következők:
|
| Splunk Security |
|
A Microsoft Sentinel egy natív felhőalapú megoldás, amely az Azure Monitor platformon fut, hogy intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosítson a vállalaton belül. |
Bevezetés a főbb fogalmakba
| Azure Monitor Logs | Hasonló Splunk-koncepció | Leírás |
|---|---|---|
| Log Analytics-munkaterület | Névtér | A Log Analytics-munkaterületek olyan környezetek, amelyekben naplóadatokat gyűjthet az Összes Azure-beli és nem Azure-beli figyelt erőforrásból. A munkaterületen található adatok lekérdezéshez és elemzéshez, Azure Monitor-funkciókhoz és egyéb Azure-szolgáltatásokhoz érhetők el. A Splunk-névtérhez hasonlóan a Log Analytics-munkaterületen kezelheti az adatokhoz és összetevőkhöz, például riasztásokhoz és munkafüzetekhez való hozzáférést. Tervezheti meg a Log Analytics-munkaterület architektúráját az igényei alapján – például a számlázás felosztása, a regionális adattárolási követelmények és a rugalmassági szempontok alapján. |
| Táblakezelés | Indexelés | Az Azure Monitor Naplók egy felügyelt Azure Data Explorer-adatbázisban lévő táblákba betölti a naplóadatokat. A betöltés során a szolgáltatás automatikusan indexeli és időbélyegezi az adatokat, ami azt jelenti, hogy különböző típusú adatokat tárolhat, és gyorsan hozzáférhet az adatokhoz Kusto lekérdezésnyelv (KQL) lekérdezésekkel. Táblatulajdonságok használatával kezelheti a táblázatsémát, az adatmegőrzést és az archiválást, valamint azt, hogy az adatokat esetenkénti naplózáshoz és hibaelhárításhoz, illetve a funkciók és szolgáltatások folyamatos elemzéséhez és használatához tárolja. A Splunk és az Azure Data Explorer adatkezelési és lekérdezési fogalmainak összehasonlításához tekintse meg a Splunkot Kusto lekérdezésnyelv térképet. |
| Alapszintű és elemzési naplóadat-csomagok | Az Azure Monitor-naplók két olyan naplóadat-csomagot kínálnak, amelyekkel csökkentheti a naplóbetöltési és adatmegőrzési költségeket, és kihasználhatja az Azure Monitor speciális funkcióit és elemzési képességeit az igényeinek megfelelően. Az Analytics-terv elérhetővé teszi a naplóadatokat az interaktív lekérdezésekhez, valamint a funkciók és szolgáltatások által történő használathoz. Az alapszintű naplóadat-csomag alacsony költséggel biztosítja a naplók betöltését és megőrzését hibaelhárítás, hibakeresés, naplózás és megfelelőség céljából. |
|
| Archiválás és az archivált adatok gyors elérése | Adatgyűjtő állapotok (gyakori, meleg, hideg, felolvasztott), archiválás, dinamikus adat aktív archiválás (DDAA) | A költséghatékony archiválási lehetőség megtartja a naplókat a Log Analytics-munkaterületen, és lehetővé teszi, hogy szükség esetén azonnal hozzáférjen az archivált naplóadatokhoz. Az archív konfiguráció módosításai azonnal érvénybe lépnek, mert az adatok fizikailag nem kerülnek át külső tárolóba. Visszaállíthatja az archivált adatokat, vagy futtathat egy keresési feladatot, hogy az archivált adatok meghatározott időtartományát elérhetővé tegye valós idejű elemzés céljából. |
| Hozzáférés-vezérlés | Szerepköralapú felhasználói hozzáférés, engedélyek | Határozza meg, hogy mely személyek és erőforrások olvashatnak, írhatnak és hajthatnak végre műveleteket adott erőforrásokon az Azure szerepköralapú hozzáférés-vezérlés (RBAC) használatával. Az erőforráshoz hozzáféréssel rendelkező felhasználók hozzáférhetnek az erőforrás naplóihoz. Az Azure olyan funkciókkal segíti elő az adatbiztonságot és a hozzáférés-kezelést, mint a beépített szerepkörök, az egyéni szerepkörök, a szerepkör-engedélyek öröklése és a naplózási előzmények. A munkaterületszintű hozzáférést és a táblaszintű hozzáférést is konfigurálhatja a részletes hozzáférés-vezérléshez adott adattípusokhoz. |
| Adatátalakítások | Átalakítások, mezők kinyerése | Az átalakításokkal szűrheti vagy módosíthatja a bejövő adatokat, mielőtt elküldené őket egy Log Analytics-munkaterületre. Átalakításokkal eltávolíthatja a bizalmas adatokat, bővítheti az adatokat a Log Analytics-munkaterületen, számításokat végezhet, és kiszűrheti azokat az adatokat, amelyekre nincs szüksége az adatköltségek csökkentéséhez. |
| Adatgyűjtési szabályok | Adatbemenetek, adatfolyam | Határozza meg, hogy mely adatokat gyűjtse össze, hogyan alakítsa át ezeket az adatokat, és hol küldje el az adatokat. |
| Kusto lekérdezésnyelv (KQL) | Splunk search processing language (SPL) | Az Azure Monitor-naplók a KQL nagy részét használják, amely alkalmas egyszerű naplólekérdezésekre, de olyan speciális funkciókat is tartalmaz, mint az aggregációk, illesztések és intelligens elemzések. A Splunk használatával Kusto lekérdezésnyelv térképet a Splunk SPL-tudás KQL-be való fordításához. A KQL-t oktatóanyagokkal és KQL-betanítási modulokkal is elsajátíthatja. |
| Naplóelemzés | Splunk Web, Search app, Pivot tool | Eszköz az Azure Portalon napló lekérdezések szerkesztéséhez és futtatásához az Azure Monitor-naplókban. A Log Analytics emellett számos eszközt kínál az adatok KQL használata nélküli feltárására és vizualizációjára. |
| Költségoptimalizálás | Az Azure Monitor eszközökkel és ajánlott eljárásokkal segíti a költségek megértését, monitorozását és optimalizálását az igényeinek megfelelően. |
1. Az aktuális használat ismertetése
A Splunk jelenlegi használata segít eldönteni, hogy melyik tarifacsomagot válassza ki az Azure Monitorban, és megbecsülje a jövőbeli költségeket:
- Kövesse a Splunk útmutatását a használati jelentés megtekintéséhez.
- Az Azure Monitor költségbecslései a tarifakalkulátor használatával.
2. Log Analytics-munkaterület beállítása
A Log Analytics-munkaterületen naplóadatokat gyűjthet az összes figyelt erőforrásból. Egy Log Analytics-munkaterületen akár hét évig is megőrizheti az adatokat. A munkaterületen belüli alacsony költségű adatarchiválás lehetővé teszi az archivált adatok gyors és egyszerű elérését, amikor szüksége van rá, anélkül, hogy külső adattárat kellene kezelnie.
A könnyebb kezelés érdekében javasoljuk, hogy az összes naplóadatot egyetlen Log Analytics-munkaterületen gyűjtse össze. Ha több munkaterület használatát fontolgatja, tekintse meg a Log Analytics-munkaterület architektúrájának tervezését.
Log Analytics-munkaterület beállítása adatgyűjtéshez:
Hozzon létre egy Log Analytics-munkaterületet.
Az Azure Monitor-naplók automatikusan létrehoznak Azure-táblákat a munkaterületen az Azure-erőforrásokhoz használt Azure-szolgáltatások és adatgyűjtési beállítások alapján.
A Log Analytics-munkaterület konfigurálása, beleértve a következőket:
- Tarifacsomag.
- Kapcsolja össze a Log Analytics-munkaterületet egy dedikált fürttel , hogy kihasználhassa a speciális képességeket, ha jogosult, a tarifacsomag alapján.
- Napi sapka.
- Adatmegőrzés.
- Hálózatelkülönítés.
- Hozzáférés-vezérlés.
Táblaszintű konfigurációs beállítások használata:
Határozza meg az egyes táblák naplóadat-tervét.
Az alapértelmezett naplóadat-csomag az Analytics, amely lehetővé teszi az Azure Monitor gazdag monitorozási és elemzési képességeinek kihasználását.
Állítson be adatmegőrzési és archiválási szabályzatot adott táblákhoz, ha azt szeretné, hogy eltérjenek a munkaterületszintű adatmegőrzési és archiválási szabályzattól.
Módosítsa a táblázatsémát az adatmodell alapján.
3. Splunk-összetevők migrálása az Azure Monitorba
A legtöbb Splunk-összetevő áttelepítéséhez le kell fordítania a Splunk Processing Language (SPL) nyelvet Kusto lekérdezésnyelv (KQL) nyelvre. További információkért tekintse meg a térképhez Kusto lekérdezésnyelv splunkot, és ismerkedjen meg a napló lekérdezéseivel az Azure Monitorban.
Ez a táblázat a Splunk-összetevőket és a megfelelő összetevők Azure Monitorban való beállítására vonatkozó útmutatásra mutató hivatkozásokat sorolja fel:
| Splunk összetevő | Azure Monitor-összetevő |
|---|---|
| Riasztások | Riasztási szabályok |
| Riasztási műveletek | Műveletcsoportok |
| Infrastruktúra monitorozása | Az Azure Monitor Elemzések előre konfigurált adatbemenetekkel, keresésekkel, riasztásokkal és vizualizációkkal rendelkező, használatra kész, válogatott figyelési élmények készlete, amelyek segítségével gyorsan és hatékonyan kezdheti el az adatok elemzését. |
| Irányítópultok | Munkafüzetek |
| Keresések | Az Azure Monitor különböző módokon bővíti az adatokat, többek között a következőket: - Adatgyűjtési szabályok, amelyek lehetővé teszik, hogy több forrásból származó adatokat küldjön egy Log Analytics-munkaterületre, és számításokat és átalakításokat hajthat végre az adatok betöltése előtt. - KQL-operátorok, például az illesztési operátor, amely különböző táblákból származó adatokat egyesít, és az externaldata operátor, amely külső tárolóból származó adatokat ad vissza. – Integráció olyan szolgáltatásokkal, mint az Azure Machine Tanulás vagy az Azure Event Hubs, a speciális gépi tanulás és a további adatok streamelése érdekében. |
| Névterek | A Log Analytics-munkaterületen vagy az Azure-erőforráscsoportokban definiált hozzáférés-vezérlés alapján engedélyt adhat vagy korlátozhatja az Összetevőkre az Azure Monitorban. |
| Engedélyek | Hozzáférés-kezelés |
| Jelentések | Az Azure Monitor számos lehetőséget kínál az adatok elemzésére, vizualizációjára és megosztására, beleértve a következőket: - Integráció a Grafanával - Insights - Munkafüzetek - Irányítópultok - Integráció a Power BI-val - Integráció az Excellel |
| Keresések | Lekérdezések |
| Forrástípusok | Adja meg az adatmodellt a Log Analytics-munkaterületen. A betöltési idő átalakításával szűrheti, formázhatja vagy módosíthatja a bejövő adatokat. |
| Adatgyűjtési módszerek | Lásd: Adatok gyűjtése adott erőforrásokhoz tervezett Azure Monitor-eszközökhöz. |
A Splunk SIEM-összetevők migrálásával kapcsolatos információkért, beleértve az észlelési szabályokat és a SOAR automatizálást, olvassa el a Microsoft Sentinelbe való migrálás megtervezése című témakört.
4. Adatgyűjtés
Az Azure Monitor olyan eszközöket biztosít, amelyek segítségével adatokat gyűjthet naplóadatforrásokból az Azure-beli és nem Azure-beli erőforrásokból a környezetében.
Adatok gyűjtése egy erőforrásból:
- Állítsa be a megfelelő adatgyűjtési eszközt az alábbi táblázat alapján.
- Döntse el, hogy mely adatokat kell összegyűjtenie az erőforrásból.
- Az átalakításokkal eltávolíthatja a bizalmas adatokat, bővítheti az adatokat vagy számításokat végezhet, és kiszűrheti a szükségtelen adatokat a költségek csökkentése érdekében.
Ez a táblázat felsorolja azokat az eszközöket, amelyekkel az Azure Monitor különböző erőforrástípusokból gyűjt adatokat.
| Erőforrás típusa | Adatgyűjtési eszköz | Hasonló Splunk eszköz | Összegyűjtött adatok |
|---|---|---|---|
| Azure | Diagnosztikai beállítások | Azure-bérlő – A Microsoft Entra naplózási naplói a bejelentkezési tevékenység előzményeit és a bérlőn belül végrehajtott módosítások naplózási nyomait biztosítják. Azure-erőforrások – Naplók és teljesítményszámlálók. Azure-előfizetés – Szolgáltatásállapot rekordokat, valamint az Azure-előfizetésben lévő erőforrásokon végrehajtott konfigurációs módosítások rekordjait. |
|
| Alkalmazás | Application Insights | Splunk Application Performance Monitoring | Alkalmazásteljesítmény-monitorozási adatok. |
| Tároló | Tárolóelemzések | Tárolófigyelés | Tároló teljesítményadatai. |
| Operációs rendszer | Azure Monitor-ügynök | Universal Forwarder, Heavy Forwarder | Adatok monitorozása az Azure-beli és nem Azure-beli virtuális gépek vendég operációs rendszeréből. |
| Nem Azure-forrás | Logs Ingestion API | HTTP-eseménygyűjtő (HEC) | Fájlalapú naplók és minden olyan adat, amelyet egy figyelt erőforrás adatgyűjtési végpontjára küld. |
5. Váltás az Azure Monitor-naplókra
Gyakori módszer az Azure Monitor-naplókra való áttérés fokozatosan, a Splunk előzményadatainak fenntartása mellett. Ebben az időszakban a következőt teheti:
- A Naplóbetöltési API használatával betölthet adatokat a Splunkból.
- A Log Analytics-munkaterület adatexportálásával exportálhat adatokat az Azure Monitorból.
Az előzményadatok exportálása a Splunkból:
- Az adatok CSV formátumban való exportálásához használja az egyik Splunk-exportálási módszert .
- Az exportált adatok összegyűjtése:
Az Azure Monitor Agent használatával gyűjtheti össze a Splunkból exportált adatokat az Azure Monitor-ügynökkel végzett szöveges naplók gyűjtésében leírtak szerint.
vagy
Gyűjtse össze az exportált adatokat közvetlenül a Logs Ingestion API-val, az Adatok küldése az Azure Monitor-naplókba REST API használatával című cikkben leírtak szerint.
Következő lépések
- További információ a Log Analytics és a Log Analytics Query API használatáról.
- Engedélyezze a Microsoft Sentinelt a Log Analytics-munkaterületen.
- Az Elemzési naplók az Azure Monitorban KQL-betanítási modullal.