Compartilhar via

Métricas do Microsoft Purview no Azure Monitor

  • Artigo

Este artigo descreve como configurar métricas, alertas e configurações de diagnóstico para o Microsoft Purview usando o Azure Monitor.

Monitorar o Microsoft Purview

Os administradores do Microsoft Purview podem usar o Azure Monitor para controlar o estado operacional da conta do Microsoft Purview. As métricas são coletadas para fornecer pontos de dados para você acompanhar possíveis problemas, solucionar problemas e melhorar a confiabilidade da conta do Microsoft Purview. As métricas são enviadas ao Azure Monitor para eventos que ocorrem no Microsoft Purview.

Métricas agregadas

As métricas podem ser acessadas do portal do Azure de uma conta do Microsoft Purview. O acesso às métricas é controlado pela atribuição de função da conta do Microsoft Purview. Os usuários precisam fazer parte da função "Leitor de Monitoramento" no Microsoft Purview para ver as métricas. Confira Monitoramento de permissões de função de leitor para saber mais sobre os níveis de acesso das funções.

A pessoa que criou a conta do Microsoft Purview obtém automaticamente permissões para exibir métricas. Se alguém quiser ver as métricas, adicione-as à função Leitor de Monitoramento seguindo estas etapas:

Adicionar um usuário à função Leitor de Monitoramento

Para adicionar um usuário à função Leitor de Monitoramento , o proprietário da conta do Microsoft Purview ou do proprietário da assinatura pode seguir estas etapas:

  1. Acesse o portal do Azure e pesquise o nome da conta do Microsoft Purview.

  2. Selecione Controle de acesso (IAM).

  3. Selecione Adicionar>Atribuição de função Adicionar para abrir a página Adicionar atribuição de função .

  4. Atribua a função a seguir. Para obter etapas detalhadas, consulte Atribuir funções do Azure usando o portal do Azure.

    Configuração Valor
    Função Leitor de Monitoramento
    Atribuir acesso a Usuário, grupo ou entidade de serviço
    Members <Azure AD usuário da conta>

    Captura de tela mostrando a página Adicionar atribuição de função no portal do Azure.

Visualização de métricas

Os usuários na função Leitor de Monitoramento podem ver as métricas agregadas e os logs de diagnóstico enviados ao Azure Monitor. As métricas estão listadas no portal do Azure da conta do Microsoft Purview correspondente. No portal do Azure, selecione a seção Métricas para ver a lista de todas as métricas disponíveis.

Captura de tela mostrando a seção de métricas disponíveis do Microsoft Purview.

Os usuários do Microsoft Purview também podem acessar a página de métricas diretamente do centro de gerenciamento da conta do Microsoft Purview. Selecione Azure Monitor na página main do centro de gerenciamento do Microsoft Purview para iniciar portal do Azure.

Captura de tela para iniciar as métricas do Microsoft Purview do centro de gerenciamento.

Métricas disponíveis

Para se familiarizar com como usar a seção de métrica no portal do Azure pré-ler os dois documentos a seguir. Introdução aos recursos de Explorer de métrica e avançados de Explorer de métricas.

A tabela a seguir contém a lista de métricas disponíveis para explorar no portal do Azure:

Nome da métrica Namespace de Métrica Tipo de agregação Descrição
Unidades de Capacidade do Mapa de Dados Mapa de dados elástico Soma
Contar		 Agregar as unidades de capacidade do mapa de dados elásticos ao longo do período de tempo
Tamanho do armazenamento do mapa de dados Mapa de dados elástico Soma
Méd		 Agregar o tamanho do armazenamento do mapa de dados elásticos ao longo do período de tempo
Verificação cancelada Verificação automatizada Soma
Contar		 Agregar as verificações de fonte de dados canceladas durante o período de tempo
Verificação concluída Verificação automatizada Soma
Contar		 Agregar as verificações de fonte de dados concluídas ao longo do período de tempo
Falha na verificação Verificação automatizada Soma
Contar		 Agregar as verificações de fonte de dados com falha durante o período de tempo
Tempo de verificação necessário Verificação automatizada Min
Máx.
Soma
Méd		 Agregar o tempo total feito por exames ao longo do período de tempo

Alertas de monitoramento

Os alertas podem ser acessados do portal do Azure de uma conta do Microsoft Purview. O acesso aos alertas é controlado pela atribuição de função da conta do Microsoft Purview, assim como as métricas. Um usuário pode configurar regras de alerta em sua conta de purview para ser notificado quando eventos importantes de monitoramento acontecem.

Captura de tela mostrando a criação de um alerta.

O usuário também pode criar regras e condições de alerta específicas para sinais no purview.

Captura de tela mostrando regras e condições de alertas de adição a um sinal.

Enviar logs de diagnóstico

Eventos de telemetria brutos são enviados para o Azure Monitor. Os eventos podem ser enviados para um Workspace do Log Analytics, arquivados em uma conta de armazenamento do cliente de escolha, transmitidos para um hub de eventos ou enviados para uma solução de parceiro para análise posterior. A exportação de logs é feita por meio das configurações de diagnóstico para a conta do Microsoft Purview no portal do Azure.

Siga estas etapas para criar uma configuração de diagnóstico para sua conta do Microsoft Purview e enviar para o destino preferido:

  1. Localize sua conta do Microsoft Purview no portal do Azure.
  2. No menu em Monitoramento , selecione Configurações de diagnóstico.
  3. Selecione Adicionar configuração de diagnóstico para criar uma nova configuração de diagnóstico para coletar logs e métricas da plataforma. Para obter mais informações sobre essas configurações e logs, consulte a documentação do Azure Monitor..

Captura de tela mostrando a criação de log de diagnóstico.

  1. Você pode enviar seus logs para:

Destino – Workspace do Log Analytics

  1. Nos detalhes de destino, selecione Enviar para o workspace do Log Analytics.
  2. Crie um nome para a configuração de diagnóstico, selecione o grupo de categorias de log aplicável e selecione a assinatura e o workspace certos e, em seguida, selecione salvar. O workspace não precisa estar na mesma região que o recurso que está sendo monitorado. Para criar um novo workspace, você pode seguir este artigo: Criar um workspace do Log Analytics.

Captura de tela mostrando a atribuição do workspace de análise de log para o qual enviar o evento.

Captura de tela mostrando o evento de log de diagnóstico salvo para o workspace de análise de log.

  1. Verifique as alterações no Workspace do Log Analytics executando algumas operações para preencher dados. Por exemplo, criando/atualizando/excluindo uma política. Depois disso, você pode abrir o Workspace do Log Analytics, navegar até Logs, inserir o filtro de consulta como "purviewsecuritylogs" e, em seguida, selecionar "Executar" para executar a consulta.

Captura de tela mostrando os resultados do log no Workspace do Log Analytics depois que uma consulta foi executada.

Destino – Conta de armazenamento

  1. Nos detalhes de destino, selecione Arquivo em uma conta de armazenamento.
  2. Crie um nome de configuração de diagnóstico, selecione a categoria log, selecione o destino como arquivo em uma conta de armazenamento, selecione a assinatura e a conta de armazenamento corretas e, em seguida, selecione salvar. Uma conta de armazenamento dedicada é recomendada para arquivar os logs de diagnóstico. Se você precisar de uma conta de armazenamento, poderá seguir este artigo: Criar uma conta de armazenamento.

Captura de tela mostrando a atribuição da conta de armazenamento para log de diagnóstico.

Captura de tela mostrando eventos de log salvos na conta de armazenamento.

  1. Para ver logs na Conta de Armazenamento, execute uma ação de exemplo (por exemplo: criar/atualizar/excluir uma política), abra a Conta de Armazenamento, navegue até Contêineres e selecione o nome do contêiner.

Captura de tela mostrando o contêiner na conta de armazenamento para a qual os logs de diagnóstico foram enviados.

  1. Navegue até o arquivo e baixe-o para ver os logs.

    Captura de tela mostrando pastas com detalhes de logs.

    Captura de tela mostrando detalhes dos logs.

Destino – Hub de eventos

  1. Nos detalhes de destino, selecione Transmitir para um hub de eventos.
  2. Crie um nome de configuração de diagnóstico, selecione a categoria log, selecione o destino como fluxo para o hub de eventos, selecione a assinatura certa, o namespace dos hubs de eventos, o nome do hub de eventos e o nome da política do hub de eventos e, em seguida, selecione salvar. Um espaço de nome do hub de eventos é necessário para que você possa transmitir para um hub de eventos. Se você precisar criar um namespace do hub de eventos, poderá seguir este artigo: Criar uma conta de armazenamento de namespace dos hubs de eventos do hub & de eventos

Captura de tela mostrando o streaming em um hub de eventos para log de diagnóstico.

Captura de tela mostrando eventos de log salvos no hub de eventos.

  1. Para ver logs no Namespace dos Hubs de Eventos, acesse o portal do Azure e pesquise o nome do namespace dos hubs de eventos que você criou anteriormente, acesse o Namespace dos Hubs de Eventos e clique em visão geral. Para encontrar mais sobre como capturar e ler eventos de auditoria capturados no namespace dos hubs de eventos, você pode seguir este artigo: Audit Logs & diagnóstico

Captura de tela mostrando atividades no hub de eventos.

Log de Exemplo

Aqui está um log de exemplo que você receberia de uma configuração de diagnóstico.

O evento acompanha o ciclo de vida da verificação. Uma operação de verificação segue o progresso por meio de uma sequência de estados, de Enfileirados, Em execução e, por fim, um estado terminal de êxito | Falha | Cancelado. Um evento é registrado para cada transição de estado e o esquema do evento terá as seguintes propriedades.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

O log de exemplo de uma instância de evento é mostrado na seção abaixo.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Próximas etapas

Mapa de dados elásticos no Microsoft Purview