Migliori pratiche per gli avvisi di Monitoraggio di Azure
Questo articolo fornisce le procedure consigliate di architettura per gli avvisi di Monitoraggio di Azure, le regole di elaborazione degli avvisi e i gruppi di azioni. Le linee guida si basano sui cinque pilastri dell'eccellenza dell'architettura descritti in Azure Well-Architected Framework.
Per altre informazioni su avvisi e notifiche, vedere Panoramica degli avvisi di Monitoraggio di Azure. Per altre informazioni sull'invio di avvisi su larga scala, vedere Avvisi su larga scala.
Affidabilità
Nel cloud si riconosce che gli errori possono verificarsi. Invece di provare a evitare completamente gli errori, l'obiettivo deve essere quello di ridurre al minimo gli effetti di un singolo componente in errore. Usare le informazioni seguenti per ridurre al minimo l'errore dei componenti delle regole di avviso di Monitoraggio di Azure.
Gli avvisi di Monitoraggio di Azure offrono un elevato livello di affidabilità senza alcuna decisione di progettazione. Le condizioni in cui può verificarsi una perdita temporanea di dati di avviso sono spesso attenuate dalle funzionalità di altri componenti di Monitoraggio di Azure.
Elenco di controllo della progettazione
- Configurare le regole di avviso per l'integrità dei servizi.
- Configurare le regole di avviso per l'integrità risorse.
- Evitare limiti di servizio per le regole di avviso che generano notifiche su larga scala.
Raccomandazioni per la configurazione
| Elemento consigliato | Vantaggio |
|---|---|
| Configurare le regole di avviso per l'integrità dei servizi. | Gli avvisi di integrità dei servizi inviano notifiche per interruzioni del servizio, interruzioni del servizio, manutenzione pianificata e avvisi di sicurezza. Vedere Creare o modificare una regola di avviso. |
| Configurare le regole di avviso per l'integrità risorse. | Integrità risorse invia una notifica quasi in tempo reale quando tali risorse subiscono una modifica al loro stato di integrità. Vedere Creare o modificare una regola di avviso. |
| Evitare limiti di servizio per le regole di avviso che generano notifiche su larga scala. | Se si dispone di regole di avviso che inviano un numero elevato di notifiche, è possibile che si raggiungano i limiti del servizio usato per inviare notifiche e-mail o SMS. Configurare azioni a livello di codice o scegliere un metodo di notifica o un provider alternativo per gestire le notifiche su larga scala. Vedere Limiti del servizio per le notifiche. |
Sicurezza
La sicurezza è uno degli aspetti essenziali di qualsiasi architettura. Monitoraggio di Azure offre funzionalità che usano sia il principio dei privilegi minimi che la difesa avanzata. Usare le informazioni seguenti per ottimizzare la sicurezza degli avvisi di Monitoraggio di Azure.
Elenco di controllo della progettazione
- Usare le chiavi gestite dal cliente se è necessaria la propria chiave di crittografia per proteggere i dati e le query salvate nelle aree di lavoro
- Usare le identità gestite per aumentare la sicurezza controllando le autorizzazioni
- Assegnare il ruolo lettore di monitoraggio per tutti gli utenti che non necessitano dei privilegi di configurazione
- Usare azioni webhook sicure
- Quando si usano gruppi di azioni con collegamenti privati, usare le azioni dell'hub eventi
Raccomandazioni per la configurazione
| Elemento consigliato | Vantaggio |
|---|---|
| Usare le chiavi gestite dal cliente se è necessaria la propria chiave di crittografia per proteggere i dati e le query salvate nelle aree di lavoro. | Monitoraggio di Azure assicura che tutte le query salvate e tutti i dati siano crittografati quando inattivi con chiavi gestite da Microsoft. Se è necessaria la propria chiave di crittografia e si raccolgono dati sufficienti per un cluster dedicato, usare chiavi gestite dal cliente per una maggiore flessibilità e controllo del ciclo di vita delle chiavi. Se si usa Microsoft Sentinel, assicurarsi di avere familiarità con le considerazioni riportate in Configurare la chiave gestita dal cliente di Microsoft Sentinel. |
| Per controllare le autorizzazioni per le regole di avviso di ricerca log, usare identità gestite. | Uno dei problemi comuni a cui devono far fronte gli sviluppatori riguarda la gestione di segreti, credenziali, certificati e chiavi per proteggere la comunicazione tra i servizi. Grazie alle identità gestite, gli sviluppatori non devono più gestire queste credenziali. L'impostazione di un'identità gestita per le regole di avviso di ricerca log consente di controllare e visualizzare le autorizzazioni esatte della regola di avviso. In qualsiasi momento, è possibile visualizzare le autorizzazioni di query della regola e aggiungere o rimuovere autorizzazioni direttamente dall'identità gestita. Inoltre, l'uso di un'identità gestita è necessario se la query della regola accede a Esplora dati di Azure (ADX) o Azure Resource Graph (ARG). Vedere Identità gestite. |
| Assegnare il ruolo lettore di monitoraggio per tutti gli utenti che non necessitano dei privilegi di configurazione. | Migliorare la sicurezza concedendo agli utenti il minor numero di privilegi necessari per il proprio ruolo. Vedere Ruoli, autorizzazioni e sicurezza in monitoraggio di Azure. |
| Se possibile, usare azioni webhook sicure. | Se la regola di avviso contiene un gruppo di azioni che usa azioni webhook, preferire l'uso di azioni webhook protette per l'autenticazione aggiuntiva. Vedere Configurare l'autenticazione per Webhook protetto |
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. È possibile abbattere i costi per Monitoraggio di Azure in modo significativo analizzando le diverse opzioni di configurazione e le opportunità che consentono di ridurre la quantità di dati raccolti. Vedere Costi e utilizzo di Monitoraggio di Azure per comprendere i diversi modi in cui Monitoraggio di Azure effettua gli addebiti e come visualizzare la fattura mensile.
Nota
Vedere Ottimizzare i costi in Monitoraggio di Azure per consigli sull'ottimizzazione dei costi in tutte le funzionalità di Monitoraggio di Azure.
Elenco di controllo della progettazione
- Gli avvisi del log attività, gli avvisi di integrità dei servizi e gli avvisi di integrità delle risorse sono gratuiti.
- Quando si usano gli avvisi di ricerca log, ridurre al minimo la frequenza dei relativi avvisi.
- Quando si usano gli avvisi delle metriche, ridurre al minimo il numero di risorse monitorate.
Raccomandazioni per la configurazione
| Elemento consigliato | Vantaggio |
|---|---|
| Tenere presente che gli avvisi del log attività, gli avvisi di integrità dei servizi e gli avvisi di integrità delle risorse sono gratuiti. | Gli avvisi di attività di Monitoraggio di Azure, gli avvisi sull'integrità dei servizi e gli avvisi di integrità delle risorse sono gratuiti. Se è possibile eseguire il monitoraggio con questi tipi di avviso, usarli. |
| Quando si usano gli avvisi di ricerca log, ridurre al minimo la frequenza dei relativi avvisi. | Quando si configurano gli avvisi di ricerca log, tenere presente che più frequente è la valutazione delle regole, maggiore sarà il costo. Configurare le regole di conseguenza. |
| Quando si usano gli avvisi delle metriche, ridurre al minimo il numero di risorse monitorate. | Alcuni tipi di risorse supportano regole di avviso delle metriche che possono monitorare più risorse dello stesso tipo. Per questi tipi di risorse, tenere presente che la regola può diventare costosa se la regola monitora molte risorse. Per ridurre i costi, è possibile ridurre l'ambito della regola di avviso della metrica o usare le regole di avviso di ricerca log, che sono meno costose, per monitorare un numero elevato di risorse. |
Eccellenza operativa
L'eccellenza operativa si riferisce ai processi operativi necessari per mantenere un servizio in esecuzione in modo affidabile nell'ambiente di produzione. Usare le informazioni seguenti per ridurre al minimo i requisiti operativi per il supporto degli avvisi di Monitoraggio di Azure.
Elenco di controllo della progettazione
- Usare soglie dinamiche nelle regole di avviso delle metriche, se appropriato.
- Quando possibile, usare una regola di avviso per monitorare più risorse.
- Per controllare il comportamento su larga scala, usare le regole di elaborazione degli avvisi.
- Sfruttare le proprietà personalizzate per migliorare la diagnostica
- Sfruttare le app per la logica per personalizzare, arricchire e integrare con un'ampia gamma di sistemi
Raccomandazioni per la configurazione
| Elemento consigliato | Vantaggio |
|---|---|
| Usare soglie dinamiche nelle regole di avviso delle metriche, se appropriato. | Le soglie dinamiche usano l'apprendimento automatico per determinare la soglia corretta, quindi non è necessario conoscere quella corretta da configurare. Le soglie dinamiche sono utili anche per le regole che monitorano più risorse e quando non è possibile configurare una singola soglia per tutte le risorse. Vedere Soglie dinamiche negli avvisi delle metriche. |
| Quando possibile, usare una regola di avviso per monitorare più risorse. | L'uso di regole di avviso che monitorano più risorse riduce il sovraccarico di gestione, consentendo di gestire una regola per monitorare un numero elevato di risorse. |
| Per controllare il comportamento su larga scala, usare le regole di elaborazione degli avvisi. | Le regole di elaborazione degli avvisi possono essere usate per ridurre il numero di regole di avviso da creare e gestire. |
| Usare proprietà personalizzate per migliorare la diagnostica. | Se la regola di avviso usa gruppi di azioni, è possibile aggiungere proprietà personalizzate da includere nel payload della notifica di avviso. È possibile usare queste proprietà nelle azioni chiamate dal gruppo di azioni, ad esempio da un webhook, una funzione di Azure o azioni dell'app per la logica. |
| Usare App per la logica per personalizzare il flusso di lavoro di notifica e integrarsi con vari sistemi. | È possibile usare App per la logica di Azure per creare e personalizzare i flussi di lavoro per l'integrazione. Usare App per la logica per personalizzare le notifiche degli avvisi. È possibile: - Personalizzare l'e-mail degli avvisi usando il proprio oggetto e il formato del corpo dell'e-mail. - Personalizzare i metadati dell'avviso cercando i tag per le risorse interessate o recuperando un risultato della ricerca di query di log. - Eseguire l'integrazione con i servizi esterni usando connettori esistenti come Outlook, Microsoft Teams, Slack e PagerDuty. È anche possibile configurare l'app per la logica per i propri servizi. |
Efficienza prestazionale
L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Gli avvisi offrono un elevato grado di efficienza delle prestazioni senza alcuna decisione di progettazione.