Поделиться через

Метрики Microsoft Purview в Azure Monitor

  • Статья

В этой статье описывается настройка метрик, оповещений и параметров диагностики для Microsoft Purview с помощью Azure Monitor.

Мониторинг Microsoft Purview

Администраторы Microsoft Purview могут использовать Azure Monitor для отслеживания рабочего состояния учетной записи Microsoft Purview. Метрики собираются для предоставления точек данных для отслеживания потенциальных проблем, устранения неполадок и повышения надежности учетной записи Microsoft Purview. Метрики отправляются в Azure Monitor для событий, происходящих в Microsoft Purview.

Агрегированные метрики

Доступ к метрикам можно получить из портал Azure учетной записи Microsoft Purview. Доступ к метрикам контролируется назначением ролей учетной записи Microsoft Purview. Чтобы просмотреть метрики, пользователи должны быть частью роли "Читатель мониторинга" в Microsoft Purview. Дополнительные сведения об уровнях доступа к ролям см. в статье Мониторинг разрешений на роль читателя .

Пользователь, создавший учетную запись Microsoft Purview, автоматически получает разрешения на просмотр метрик. Если кто-то еще хочет просматривать метрики, добавьте их в роль читателя мониторинга , выполнив следующие действия:

Добавление пользователя в роль читателя мониторинга

Чтобы добавить пользователя в роль читателя мониторинга , владелец учетной записи Microsoft Purview или владелец подписки может выполнить следующие действия:

  1. Перейдите к портал Azure и найдите имя учетной записи Microsoft Purview.

  2. Выберите Управление доступом (IAM).

  3. Выберите Добавить>Добавить назначение роли , чтобы открыть страницу Добавление назначения ролей .

  4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портал Azure.

    Параметр Значение
    Роль Средство чтения мониторинга
    Назначение доступа Пользователь, группа или субъект-служба
    Members <пользователь учетной записи Azure AD>

    Снимок экрана: страница добавления назначения ролей в портал Azure.

Визуализация метрик

Пользователи в роли читателя мониторинга могут просматривать агрегированные метрики и журналы диагностики, отправленные в Azure Monitor. Метрики перечислены в портал Azure для соответствующей учетной записи Microsoft Purview. В портал Azure выберите раздел Метрики, чтобы просмотреть список всех доступных метрик.

Снимок экрана: раздел доступных метрик Microsoft Purview.

Пользователи Microsoft Purview также могут получить доступ к странице метрик непосредственно из центра управления учетной записи Microsoft Purview. Выберите Azure Monitor на странице main Центра управления Microsoft Purview, чтобы запустить портал Azure.

Снимок экрана: запуск метрик Microsoft Purview из центра управления.

Доступные метрики

Чтобы ознакомиться с разделом метрики в портал Azure ознакомьтесь со следующими двумя документами. Начало работы с метрикой Обозреватель и дополнительными функциями Обозреватель метрик.

Следующая таблица содержит список метрик, доступных для изучения в портал Azure:

Имя метрики Пространство имен метрик Тип агрегирования Описание
Единицы емкости карты данных Карта эластичных данных Sum
Count		 Агрегировать единицы емкости карты эластичных данных за период времени
Размер хранилища карты данных Карта эластичных данных Sum
Avg		 Агрегировать размер хранилища карты эластичных данных за период времени
Сканирование отменено Автоматическое сканирование Sum
Count		 Агрегировать отмененные проверки источников данных за период времени
Сканирование завершено Автоматическое сканирование Sum
Count		 Агрегировать завершенные проверки источников данных за период времени
Сбой сканирования Автоматическое сканирование Sum
Count		 Агрегировать неудачные проверки источников данных за период времени
Время сканирования Автоматическое сканирование Min
Max
Sum
Avg		 Агрегировать общее время, затраченное сканированием за период времени

Оповещения мониторинга

Доступ к оповещениям можно получить из портал Azure учетной записи Microsoft Purview. Доступ к оповещениям контролируется назначением ролей учетной записи Microsoft Purview так же, как и метриками. Пользователь может настроить правила генерации оповещений в своей учетной записи purview, чтобы получать уведомления о важных событиях мониторинга.

Снимок экрана: создание оповещения.

Пользователь также может создавать определенные правила генерации оповещений и условия для сигналов в purview.

Снимок экрана: добавление правил и условий оповещений в сигнал.

Отправка журналов диагностики

Необработанные события телеметрии отправляются в Azure Monitor. События могут отправляться в рабочую область Log Analytics, архивироваться в выбранной учетной записи хранения клиента, передаваться в концентратор событий или отправляться в решение партнера для дальнейшего анализа. Экспорт журналов выполняется с помощью параметров диагностики для учетной записи Microsoft Purview на портал Azure.

Выполните следующие действия, чтобы создать параметр диагностики для учетной записи Microsoft Purview и отправить его в предпочитаемое место назначения:

  1. Найдите учетную запись Microsoft Purview в портал Azure.
  2. В меню в разделе Мониторинг выберите Параметры диагностики.
  3. Выберите Добавить параметр диагностики , чтобы создать новый параметр диагностики для сбора журналов и метрик платформы. Дополнительные сведения об этих параметрах и журналах см. в документации по Azure Monitor.

Снимок экрана: создание журнала диагностики.

  1. Журналы можно отправлять по следующим адресам:

Назначение — рабочая область Log Analytics

  1. В разделе Сведения о назначении выберите Отправить в рабочую область Log Analytics.
  2. Создайте имя для параметра диагностики, выберите соответствующую группу категорий журналов, выберите нужную подписку и рабочую область, а затем нажмите кнопку Сохранить. Рабочая область не должна находиться в том же регионе, что и отслеживаемый ресурс. Чтобы создать новую рабочую область, вы можете следовать этой статье: Создание новой рабочей области Log Analytics.

Снимок экрана: назначение рабочей области Log Analytics для отправки события.

Снимок экрана: сохраненное событие журнала диагностики в рабочей области Log Analytics.

  1. Проверьте изменения в рабочей области Log Analytics, выполнив некоторые операции для заполнения данных. Например, создание, обновление и удаление политики. После этого можно открыть рабочую область Log Analytics, перейти к разделу Журналы, ввести фильтр запроса как "purviewsecuritylogs", а затем выбрать "Выполнить" , чтобы выполнить запрос.

Снимок экрана: результаты журнала в рабочей области Log Analytics после выполнения запроса.

Назначение — учетная запись хранения

  1. В разделе Сведения о назначении выберите Архивировать в учетную запись хранения.
  2. Создайте имя параметра диагностики, выберите категорию журнала, выберите назначение в качестве архива учетной записи хранения, выберите нужную подписку и учетную запись хранения, а затем нажмите кнопку Сохранить. Для архивации журналов диагностики рекомендуется использовать выделенную учетную запись хранения. Если вам нужна учетная запись хранения, вы можете следовать этой статье: Создание учетной записи хранения.

Снимок экрана: назначение учетной записи хранения для журнала диагностики.

Снимок экрана: сохраненные события журнала в учетной записи хранения.

  1. Чтобы просмотреть журналы в учетной записи хранения, выполните пример действия (например, создание, обновление или удаление политики), затем откройте учетную запись хранения, перейдите в раздел Контейнеры и выберите имя контейнера.

Снимок экрана: контейнер в учетной записи хранения, куда были отправлены журналы диагностики.

  1. Перейдите к файлу и скачайте его, чтобы просмотреть журналы.

    Снимок экрана: папки с подробными сведениями о журналах.

    Снимок экрана: подробные сведения о журналах.

Назначение — концентратор событий

  1. В разделе Сведения о назначении выберите Потоковая передача в концентратор событий.
  2. Создайте имя параметра диагностики, выберите категорию журнала, выберите назначение в качестве потока в концентратор событий, выберите нужную подписку, пространство имен центров событий, имя концентратора событий и имя политики концентратора событий, а затем нажмите кнопку Сохранить. Для потоковой передачи в концентратор событий требуется пространство имен концентратора событий. Если вам нужно создать пространство имен концентратора событий, вы можете следовать этой статье: Создание учетной записи хранения пространства имен концентраторов & событий.

Снимок экрана: потоковая передача в концентратор событий для журнала диагностики.

Снимок экрана: сохраненные события журнала в концентраторе событий.

  1. Чтобы просмотреть журналы в пространстве имен Центров событий, перейдите к портал Azure и найдите имя пространства имен центров событий, созданного ранее, перейдите в пространство имен Центров событий и щелкните Обзор. Дополнительные сведения о записи и чтении событий аудита в пространстве имен центров событий см. в статье Журналы & аудита диагностика

Снимок экрана: действия в концентраторе событий.

Пример журнала

Ниже приведен пример журнала, который вы получите из параметра диагностики.

Событие отслеживает жизненный цикл сканирования. Операция сканирования следует за ходом выполнения через последовательность состояний: в очереди, выполнение и, наконец, состояние терминала Успешно | Сбой | Отменен. Событие регистрируется для каждого перехода состояния, и схема события будет иметь следующие свойства.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

Пример журнала для экземпляра события показан в следующем разделе.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Дальнейшие действия

Карта эластичных данных в Microsoft Purview