Metrische gegevens van Microsoft Purview in Azure Monitor

In dit artikel wordt beschreven hoe u metrische gegevens, waarschuwingen en diagnostische instellingen configureert voor Microsoft Purview met behulp van Azure Monitor.

Microsoft Purview bewaken

Microsoft Purview-beheerders kunnen Azure Monitor gebruiken om de operationele status van het Microsoft Purview-account bij te houden. Metrische gegevens worden verzameld om u gegevenspunten te bieden voor het bijhouden van mogelijke problemen, het oplossen van problemen en het verbeteren van de betrouwbaarheid van het Microsoft Purview-account. De metrische gegevens worden verzonden naar Azure Monitor voor gebeurtenissen die plaatsvinden in Microsoft Purview.

Geaggregeerde metrische gegevens

De metrische gegevens zijn toegankelijk via de Azure Portal van een Microsoft Purview-account. De toegang tot de metrische gegevens wordt bepaald door de roltoewijzing van het Microsoft Purview-account. Gebruikers moeten deel uitmaken van de rol Lezer voor bewaking in Microsoft Purview om de metrische gegevens te kunnen zien. Bekijk Machtigingen voor lezerrol bewaken voor meer informatie over de toegangsniveaus voor rollen.

De persoon die het Microsoft Purview-account heeft gemaakt, krijgt automatisch machtigingen om metrische gegevens weer te geven. Als iemand anders metrische gegevens wil zien, voegt u deze toe aan de rol Lezer voor bewaking door de volgende stappen uit te voeren:

Een gebruiker toevoegen aan de rol Lezer voor bewaking

Als u een gebruiker wilt toevoegen aan de rol Lezer voor bewaking , kan de eigenaar van het Microsoft Purview-account of de eigenaar van het abonnement de volgende stappen volgen:

  1. Ga naar de Azure Portal en zoek naar de naam van het Microsoft Purview-account.

  2. Klik op Toegangsbeheer (IAM) .

  3. Klik op Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

  4. Wijs de volgende rollen toe: Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.

    Instelling Waarde
    Rol Lezer voor bewaking
    Toegang toewijzen aan Gebruiker, groep of service-principal
    Leden <Azure AD accountgebruiker>

    Schermopname van de pagina Roltoewijzing toevoegen in Azure Portal.

Visualisatie van metrische gegevens

Gebruikers met de rol Lezer voor bewaking kunnen de geaggregeerde metrische gegevens en diagnostische logboeken zien die naar Azure Monitor worden verzonden. De metrische gegevens worden vermeld in de Azure Portal voor het bijbehorende Microsoft Purview-account. Selecteer in de Azure Portal de sectie Metrische gegevens om de lijst met alle beschikbare metrische gegevens weer te geven.

Schermopname van de sectie beschikbare metrische gegevens van Microsoft Purview.

Microsoft Purview-gebruikers hebben ook rechtstreeks vanuit het beheercentrum van het Microsoft Purview-account toegang tot de pagina met metrische gegevens. Selecteer Azure Monitor op de hoofdpagina van het Microsoft Purview-beheercentrum om Azure Portal te starten.

Schermopname van het starten van metrische gegevens van Microsoft Purview vanuit het beheercentrum.

Beschikbare metrische gegevens

Als u vertrouwd wilt raken met het gebruik van de sectie met metrische gegevens in de Azure Portal leest u de volgende twee documenten. Aan de slag met Metric Explorer en geavanceerde functies van Metric Explorer.

De volgende tabel bevat de lijst met metrische gegevens die beschikbaar zijn om te verkennen in de Azure Portal:

Naam meetwaarde Metrische naamruimte Type aggregatie Description
Capaciteitseenheden voor gegevenstoewijzing Elastische gegevenstoewijzing Sum
Count
De capaciteitseenheden voor elastische gegevenstoewijzing over een periode aggregeren
Opslaggrootte van gegevenstoewijzing Elastic data map Sum
Gemiddeld
De opslaggrootte van elastische gegevenstoewijzing over een periode aggregeren
Scan geannuleerd Geautomatiseerde scan Sum
Count
De geannuleerde gegevensbronscans over een periode aggregeren
Scan voltooid Automated scan Sum
Count
De voltooide gegevensbronscans over een periode aggregeren
Scannen is mislukt Automated scan Sum
Count
De mislukte gegevensbronscans over een periode aggregeren
Scantijd Automated scan Min.
Max
Sum
Gemiddeld
De totale tijd die scans in de loop van de periode hebben geduurd samenvoegen

Monitoring Alerts (Waarschuwingen controleren)

Waarschuwingen zijn toegankelijk via de Azure Portal van een Microsoft Purview-account. De toegang tot de waarschuwingen wordt beheerd door de roltoewijzing van het Microsoft Purview-account, net als metrische gegevens. Een gebruiker kan waarschuwingsregels instellen in zijn of haar purview-account om een melding te ontvangen wanneer er belangrijke bewakingsgebeurtenissen plaatsvinden.

Schermopname van het maken van een waarschuwing.

De gebruiker kan ook specifieke waarschuwingsregels en -voorwaarden maken voor signalen binnen purview.

Schermopname van het toevoegen van waarschuwingsregels en -voorwaarden aan een signaal.

Diagnostische logboeken verzenden

Onbewerkte telemetrie-gebeurtenissen worden verzonden naar Azure Monitor. Gebeurtenissen kunnen worden verzonden naar een Log Analytics-werkruimte, worden gearchiveerd in een klantopslagaccount naar keuze, worden gestreamd naar een Event Hub of naar een partneroplossing worden verzonden voor verdere analyse. Het exporteren van logboeken vindt plaats via de diagnostische instellingen voor het Microsoft Purview-account op de Azure Portal.

Volg deze stappen om een diagnostische instelling voor uw Microsoft Purview-account te maken en te verzenden naar de bestemming van uw voorkeur:

  1. Zoek uw Microsoft Purview-account in de Azure Portal.
  2. Selecteer diagnostische instellingen in het menu onder Bewaking.
  3. Selecteer Diagnostische instelling toevoegen om een nieuwe diagnostische instelling te maken voor het verzamelen van platformlogboeken en metrische gegevens. Zie de Documentatie voor Azure Monitor voor meer informatie over deze instellingen en logboeken.

Schermopname van het maken van een diagnostisch logboek.

  1. U kunt uw logboeken verzenden naar:

Doel - Log Analytics-werkruimte

  1. Selecteer in de werkruimte Doeldetailsde optie Verzenden naar Log Analytics.
  2. Maak een naam voor de diagnostische instelling, selecteer de toepasselijke logboekcategoriegroep, selecteer het juiste abonnement en de juiste werkruimte en selecteer vervolgens Opslaan. De werkruimte hoeft zich niet in dezelfde regio te bevinden als de resource die wordt bewaakt. Als u een nieuwe werkruimte wilt maken, kunt u dit artikel volgen: Een nieuwe Log Analytics-werkruimte maken.

Schermopname van het toewijzen van de Log Analytics-werkruimte waarnaar de gebeurtenis moet worden verzonden.

Schermopname van de opgeslagen gebeurtenis in het diagnostische logboek in de Log Analytics-werkruimte.

  1. Controleer de wijzigingen in uw Log Analytics-werkruimte door enkele bewerkingen uit te voeren om gegevens in te vullen. Bijvoorbeeld het maken/bijwerken/verwijderen van een beleid. Daarna kunt u de Log Analytics-werkruimte openen, naar Logboeken navigeren, queryfilter invoeren als 'purviewsecuritylogs' en vervolgens 'Uitvoeren' selecteren om de query uit te voeren.

Schermopname van logboekresultaten in de Log Analytics-werkruimte nadat een query is uitgevoerd.

Doel - Opslagaccount

  1. Selecteer bij Doeldetails de optie Archiveren naar een opslagaccount.
  2. Maak een naam voor een diagnostische instelling, selecteer de logboekcategorie, selecteer de bestemming als archief voor een opslagaccount, selecteer het juiste abonnement en opslagaccount en selecteer vervolgens Opslaan. Een toegewezen opslagaccount wordt aanbevolen voor het archiveren van de diagnostische logboeken. Als u een opslagaccount nodig hebt, kunt u dit artikel volgen: Een opslagaccount maken.

Schermopname van het toewijzen van een opslagaccount voor het diagnostische logboek.

Schermopname van opgeslagen logboeken naar opslagaccount.

  1. Als u logboeken in het opslagaccount wilt zien, voert u een voorbeeldactie uit (bijvoorbeeld: een beleid maken/bijwerken/verwijderen), opent u vervolgens het opslagaccount, navigeert u naar Containers en selecteert u de naam van de container.

Schermopname van de container in het opslagaccount waarnaar de diagnostische logboeken zijn verzonden.

  1. Navigeer naar het bestand en download het om de logboeken te bekijken.

    Schermopname van mappen met details van logboeken.

    Schermopname met details van logboeken.

Bestemming - Event Hub

  1. Selecteer in Doeldetails de optie Streamen naar een Event Hub.
  2. Maak een naam voor een diagnostische instelling, selecteer de logboekcategorie, selecteer de bestemming als stream naar Event Hub, selecteer het juiste abonnement, event hubs-naamruimte, Event Hub-naamnaam en Event Hub-beleidsnaam en selecteer vervolgens Opslaan. Er is een Event Hub-naamruimte vereist voordat u naar een Event Hub kunt streamen. Als u een Event Hub-naamruimte wilt maken, kunt u dit artikel volgen: Een Event Hub-naamruimteopslagaccount & maken

Schermopname van streaming naar een Event Hub voor diagnostisch logboek.

Schermopname van opgeslagen logboeken naar Event Hub.

  1. Als u logboeken in de Event Hubs-naamruimte wilt bekijken, gaat u naar de Azure Portal en zoekt u naar de naam van de Event Hubs-naamruimte die u eerder hebt gemaakt, gaat u naar de Event Hubs-naamruimte en klikt u op Overzicht. Voor meer informatie over het vastleggen en lezen van vastgelegde controlegebeurtenissen in de event hubs-naamruimte, kunt u dit artikel volgen: Diagnostische gegevens auditlogboeken &

Schermopname van activiteiten in de Event Hub.

Voorbeeldlogboek

Hier volgt een voorbeeldlogboek dat u ontvangt van een diagnostische instelling.

De gebeurtenis houdt de levenscyclus van de scan bij. Een scanbewerking volgt de voortgang via een reeks statussen, van In wachtrij geplaatst, Actief en ten slotte de terminalstatus Geslaagd | Mislukte | Geannuleerd. Er wordt een gebeurtenis geregistreerd voor elke statusovergang en het schema van de gebeurtenis heeft de volgende eigenschappen.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

Het voorbeeldlogboek voor een gebeurtenisexemplaren wordt weergegeven in de onderstaande sectie.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Volgende stappen

Toewijzing van elastische gegevens in Microsoft Purview