Redigera

Dela via

Företagsövervakning med Azure Monitor

Azure Arc
Azure Automation
Azure Logic Apps
Azure Monitor
Microsoft Sentinel

Stora företag måste ta hänsyn till många faktorer när de moderniserar sin befintliga övervakningslösning. Företag kan uppnå centraliserad övervakningshantering med hjälp av Azure Monitor-funktioner. Det här exempelscenariot illustrerar övervakning på företagsnivå som använder Azure Monitor.

Arkitektur

Arkitekturdiagram som visar företagsarbetsytor och övervakningsfunktioner.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

  • Den här arkitekturen följer en resurskontextloggmodell. Varje loggpost som en Azure-resurs genererar associeras automatiskt med resursen. Den här modellen hjälper till att separera arbetsytor som samlar in och matar in från olika appägare.

  • Olika arbetsbelastningar i företaget har separata arbetsytor. Att konfigurera olika arbetsytor ger teamen oberoende över sina egna data och ger en separat kostnadsöversikt per arbetsyta.

    • PaaS-tjänster (Plattform som en tjänst) som Azure Web Apps och Azure Functions Apps lägger till konfiguration för Application Insights på sina arbetsytor.

    • För identiteter har lokalni Active Directory och molnidentitetsprovidrar var och en sina egna arbetsytor.

    • Azure Virtual Desktop, Azure Pipelines, SQL-arbetsbelastningar, appar i Azure Kubernetes Service (AKS) och Azure Web Apps och andra PaaS-tjänster har alla sina egna arbetsytor.

  • Varje arbetsyta har en egen uppsättning konfigurerade aviseringar. Azure Logic Apps och Azure Automation tillhandahåller förhandsaviseringar och åtgärder. Logic Apps tillhandahåller integrering med ITSM-verktyg (IT Service Management).

  • En uppsättning lokala virtuella datorer ansluter via Azure Arc, vilket ger ett Azure-hanteringsplan från slutpunkt till slutpunkt. Du kan också använda Azure Arc för att ansluta IaaS-resurser (infrastruktur som en tjänst) som körs i ett moln från tredje part.

  • Anpassad loggning samlar in information om virtualiserade miljöer från tredje part och samlar in anpassade operativsystem, programvara och programloggar.

  • Log Analytics Workspace Insights tillhandahåller omfattande övervakning av arbetsytor. Användning av en enda arbetsyta för att lagra insamlade data från alla resurser överensstämmer med IT-organisationens driftsmodell. Den här arbetsytan ger det centrala teamet en översikt över användning, kostnad och prestanda för alla arbetsytor. Den centrala arbetsytan respekterar omfång och rollbaserad åtkomstkontroll (RBAC) baserat på resurserna. Log Analytics Workspace Insights har en egen separat uppsättning aviseringar.

  • Log Analytics ger ytterligare integrering genom att exportera arbetsytedata för arkivering eller analys. Att arkivera data till lågfrekvent lagring sparar kostnader. Du kan använda arkiverade data för ytterligare analys genom att skapa datauppsättningar som matas in i maskininlärningsmodeller.

  • Övervaka ansluter till siem-verktyg (säkerhetsinformation och händelsehantering) som Microsoft Sentinel för att skapa större datalager för företagssäkerhet.

  • Power BI- och Azure-arbetsböcker (för Azure Monitor) tillhandahåller funktioner för datavisualisering och instrumentpaneler.

Komponenter

Den här arkitekturen innehåller följande komponenter:

Övervaka komponenter

Azure Monitor samlar in, analyserar och agerar på telemetridata från molnmiljöer och lokala miljöer. Den här lösningen använder följande monitorkomponenter och funktioner:

  • Övervaka mått samlar in numeriska data från övervakade resurser till en tidsseriedatabas. Mått i Monitor är enkla och stöder scenarier i nära realtid, så de är användbara för aviseringar och snabb identifiering av problem.
  • Övervaka loggar samlar in och organiserar logg- och prestandadata från övervakade resurser. Du kan konsolidera data från flera källor, inklusive Azure-plattformsloggar, till en enda arbetsyta. Du kan analysera data med hjälp av ett avancerat frågespråk i Log Analytics.
  • Azure Monitor-agenten kan skicka data till både Övervakningsloggar och Övervaka mått. Azure Monitor-agenten använder konfigurerbara regler för datainsamling (DCR) och kräver inte arbetsytenycklar för att ansluta.
  • Application Insights övervakar liveprogram på en mängd olika plattformar i molnmiljöer, hybridmiljöer och lokala miljöer. Application Insights identifierar automatiskt prestandaavvikelser. Application Insights innehåller kraftfulla analysverktyg som hjälper dig att förstå användning och diagnostisera problem.
  • Azure Virtual Desktop-insikter använder Monitor för Azure Virtual Desktop för att hjälpa IT-proffs att förstå sina Azure Virtual Desktop-miljöer.
  • Containerinsikter övervakar prestanda och hälsa för Kubernetes-kluster och andra containerbaserade arbetsbelastningar.
  • Nätverksinsikter ger en omfattande vy över hälsa och mått för alla distribuerade nätverksresurser.
  • SQL-insikter (förhandsversion) övervakar hälsotillståndet och hjälper dig att diagnostisera problem och finjustera prestanda för alla produkter i Azure SQL-serien.
  • VM-insikter övervakar prestanda och hälsa för virtuella datorer och vm-skalningsuppsättningar. VM-insikter omfattar processer som körs och beroenden för andra resurser.
  • ITSMC (IT Service Management Connector) tillhandahåller en dubbelriktad anslutning mellan Azure och ITSM-verktyg som stöds för att hjälpa dig att lösa arbetsobjekt snabbare.
  • Azure-arbetsböcker för Azure Monitor ger en flexibel arbetsyta för att analysera flera Azure-datakällor och kombinera dem i interaktiva visuella rapporter.
  • Log Analytics skapar och kör frågor på Övervaka loggar på Log Analytics-arbetsytor. Den här lösningen använder följande Log Analytics-funktioner:
    • Log Analytics-agenten samlar in övervakningsdata från molnbaserade och lokala operativsystem och VM-arbetsbelastningar och skickar dem till en Log Analytics-arbetsyta.
    • Microsoft Entra-övervakning dirigerar Microsoft Entra-aktivitetsloggar till en Log Analytics-arbetsyta.
    • Log Analytics-gatewayen skickar data till Azure Automation- och Log Analytics-arbetsytor för datorer som inte kan ansluta direkt till Internet.
    • Service Map använder Log Analytics-agenten för att automatiskt identifiera programkomponenter i Windows- och Linux-system och mappa kommunikationen mellan tjänster.
    • Med aviseringshantering kan du analysera alla aviseringar på dina Log Analytics-arbetsytor.
    • Log Analytics-dataexport (förhandsversion) exporterar kontinuerligt data från valda tabeller på en Log Analytics-arbetsyta. Data kan exporteras till ett Azure Storage-konto eller Azure Event Hubs.
    • Log Analytics Workspace Insights ger omfattande övervakning av alla Log Analytics-arbetsytor. Workspace Insights ger en enhetlig vy över användning av arbetsytor, prestanda, hälsa, agent, frågor och ändringsloggar.

Andra komponenter

I den här lösningen stöder eller integrerar Monitor med följande Azure och Microsoft usluge:

  • Azure Arc förenklar styrning och hantering genom att leverera en konsekvent hanteringsplattform för flera moln och lokalt.
  • Azure Automation levererar molnbaserad automatisering, uppdateringar av operativsystem och konfiguration för konsekvent hantering i olika miljöer. Ändringsspårning spårar ändringar i molnbaserade och lokala virtuella datorer som hjälper dig att identifiera programvaruproblem. Ändringsspårning vidarebefordrar data till Övervaka loggar och lagrar data på en Log Analytics-arbetsyta.
  • Azure ExpressRoute utökar lokala nätverk till Microsoft-molnet. ExpressRoute använder privata anslutningar med hjälp av anslutningsleverantörer.
  • Azure Data Lake Storage tillhandahåller säker, skalbar och kostnadseffektiv molnlagring för stordataanalys.
  • Azure Functions är en serverlös lösning som implementerar lättillgängliga kodblock som kallas funktioner. Funktioner körs på begäran och skalas upp automatiskt.
  • Azure Kubernetes Services (AKS) är en fullständigt hanterad Kubernetes-tjänst för att enkelt distribuera och hantera containerbaserade program.
  • Azure Load Balancer distribuerar inkommande nätverkstrafik jämnt över serverdelsresurser eller servrar.
  • Azure Logic Apps är en molnbaserad plattform för att skapa och köra automatiserade arbetsflöden. Logikappar kan integrera appar, data, tjänster och system.
  • Azure Resource Manager tillhandahåller ett hanteringslager och mallar för att skapa, uppdatera och ta bort resurser i ditt Azure-konto.
  • Microsoft Defender för molnet är en del av Microsoft Defender for Cloud, ett enhetligt säkerhetshanteringssystem för infrastruktur.
  • Microsoft Sentinel är en molnbaserad, skalbar siem-lösning (säkerhetsinformation och händelsehantering) och soar-lösning (security orchestration automated response).
  • Azure SQL-serien med SQL-databastjänster ger en konsekvent, enhetlig Azure SQL-upplevelse. Azure SQL har ett komplett utbud av distributionsalternativ, från gränsen till molnet.
  • Power BI är en samling programvarutjänster, appar och anslutningsappar som omvandlar dina datakällor till sammanhängande, visuellt uppslukande och interaktiva insikter.

Alternativ

Du kan använda vissa övervakningsalternativ tillsammans med eller i stället för Övervaka.

System Center Operations Manager

System Center Operations Manager erbjuder flexibel och kostnadseffektiv infrastrukturövervakning. Operations Manager tillhandahåller omfattande övervakning för privata och offentliga datacenter och moln. Operations Manager hjälper till att säkerställa förutsägbar prestanda och tillgänglighet för viktiga program.

Om du vill behålla din befintliga Operations Manager-investering kan du integrera Operations Manager med dina Log Analytics-arbetsytor. Du kan använda Övervakningsloggar och utökade funktioner medan du fortfarande använder Operations Manager för följande funktioner:

  • Övervaka hälsotillståndet för dina IT-tjänster
  • Upprätthålla integrering med dina ITSM-lösningar för incident- och problemhantering
  • Hantera livscykeln för agenter som distribueras till lokala och offentliga IaaS-datorer i molnet.

Mer information finns i Ansluta Operations Manager till Azure Monitor.

Grafana

Grafana är en öppen och sammansättningsbar plattform för observerbarhet och datavisualisering. Grafana hjälper dig att fråga, visualisera, varna på och förstå dina data var de än lagras. Du kan skapa flexibla instrumentpaneler för att utforska och dela data.

Information om scenario

Företagsteam har olika arbetsbelastningar, till exempel Windows, Linux, SQL, identitetsbaserade arbetsbelastningar, VDI (Virtual Desktop Infrastructure), containrar och webbappar. Dessa arbetsbelastningar kan köras i alla molnleverantörer, lokalt eller i en kombination. Med en så stor mängd arbetsbelastningar i olika miljöer är molnbaserad övervakning komplex.

Övervakning på företagsnivå måste även omfatta styrning, bästa praxis för drift, effektiv kostnadseffektiv hantering och säkerhet på arbetsytan. Övervakningen måste ge tillräckligt med flexibilitet för att konfigurera och hantera teammiljöer och låta teamen hantera sig själva med viss kontroll.

Andra kritiska designfaktorer för övervakning är:

  • Så här sprider du Log Analytics-arbetsytor mellan olika geografiska regioner eller team.
  • Övervaka själva arbetsytorna och deras arbetsbelastningar.
  • Så här debiterar du tillbaka olika team för att optimera de totala kostnaderna.
  • Visualisera och eventuellt arkivera insamlade data.
  • Skapa separata instrumentpaneler för åtgärder, appar och olika team.
  • Att ge ledningen tillräcklig insyn i rätt uppsättning information.

Potentiella användningsfall

Den här lösningen kan hjälpa dig med följande användningsfall:

  • Konsoliderad övervakning för olika molnbaserade och lokala arbetsbelastningar.
  • Övervakning för container-, Azure SQL- och Azure Virtual Desktop-arbetsbelastningar.
  • Utökat övervakningsomfång, till exempel att ansluta Monitor till Microsoft Sentinel.
  • Hybrid- och heterogen molnövervakning över nätverk, identitetsprovidrar, operativsystem och andra domäner.

Att tänka på

Följande överväganden gäller för den här lösningen.

Tillgänglighet

Azure-tillgänglighetszoner skyddar program och data från datacenterfel genom att förlita sig på tillgängligheten för andra zoner i regionen. Tillgänglighetszoner hjälper till att ge motståndskraft för övervakningsfunktioner som Application Insights som förlitar sig på en Log Analytics-arbetsyta. Arbetsytor som är länkade till tillgänglighetszoner förblir aktiva och fungerar även om ett specifikt datacenter inte är tillgängligt.

Se Regioner och tillgänglighetszoner i Azure för de Azure-regioner som stöder tillgänglighetszoner. Monitor stöder för närvarande tillgänglighetszoner i regionerna USA, östra 2 och USA, västra 2.

Övervakningsstöd för tillgänglighetszoner kräver en Log Analytics-arbetsyta som är länkad till ett dedikerat kluster för övervakningsloggar. Dedikerade kluster är ett distributionsalternativ som möjliggör avancerade funktioner för övervakningsloggar, inklusive tillgänglighetszoner. Dedikerade kluster som skapats efter oktober 2020 kan som standard använda tillgänglighetszoner där Monitor stöder dem.

Arbetsflöden för haveriberedskap för Logic Apps -verksamhetskontinuitet (BCDR)

Logic Apps-arbetsflöden hjälper dig att integrera och samordna data mellan appar, molntjänster och lokala system. När du planerar för haveriberedskap för affärskontinuitet (BCDR) bör du inte bara överväga dina logikappar, utan även de Azure-resurser som de arbetar med. Vägledning och strategier för BCDR för automatiserade arbetsflöden för logikappar finns i Affärskontinuitet och haveriberedskap för Azure Logic Apps.

Operations

  • Se till att ha en strategi för hantering av personuppgifter. Mer information finns i Vägledning för personuppgifter som lagras i Log Analytics och Application Insights.

  • Säkerställa regelefterlevnad med följande riktlinjer:

  • Azure Automation-runbooks som körs i Azure kanske inte har åtkomst till resurser i andra moln eller lokalt. Du kan använda Azure Automation Hybrid Runbook Worker för att köra runbooks direkt på den dator som är värd för rollen. Du kan köra runbooken mot resurser i miljön för att hantera de lokala resurserna. Mer information finns i Översikt över Automation Hybrid Runbook Worker.

  • Överväg följande metodtips för att hålla kostnaderna i schack:

    • Aktivera endast aviseringar när datainsamlingen är hög.
    • Läs Övervaka övervakningslösningar innan du implementerar dem. Att till exempel göra det möjligt för Defender för molnet att samla in och granska säkerhetshändelsedata kan öka kostnaderna för datainsamling exponentiellt.
    • Rationalisera skapandet av aviseringar över hela linjen. Överväg att skapa en enda avisering i stället för att varje arbetsyta eller team har samma avisering.
    • Gruppera resurser som aviseringar, Logic Apps och arbetsytor i separata resursgrupper och använd taggning för identifiering.
    • Använd Log Analytics Workspace Insights för en övergripande vy över kostnader för olika arbetsytor.
    • Använd Azure Monitor-agenten för detaljerad datainsamling till nivån för insamling av enskilda händelse-ID:er från systemhändelseloggar. Finjustering av datainsamling kan ge kostnadseffektivitet.
    • Använd Övervaka dataexport för dataarkivering till lågkostnadslagring.
    • Följ metodtipsen för telemetridata på Application Insights-arbetsytor. Mer information finns i Hantera användning och kostnader för Application Insights.

Prestandaeffektivitet

Följande prestandaöverväganden gäller för den här lösningen:

Svarstid

Svarstiden är hur lång tid det tar mellan att skapa data i ett övervakat system och dess tillgänglighet för analys i Monitor. Den typiska svarstiden för att mata in loggdata är mellan 20 sekunder och tre minuter. Den specifika svarstiden för alla data beror på olika faktorer.

Den totala inmatningstiden för en viss uppsättning data har följande delar:

  • Agenttid: Tiden för att identifiera en händelse, samla in den och skicka den till inmatningsplatsen För övervakningsloggar som en loggpost. I de flesta fall hanterar en agent den här processen. Nätverket kan medföra extra svarstid.
  • Pipelinetid: Tiden för inmatningspipelinen att bearbeta loggposten. Den här gången omfattar parsning av händelseegenskaper och eventuellt tillägg av beräknad information.
  • Indexeringstid: Den tid det går att mata in en loggpost i stordatalagret Monitor.

För att säkerställa minimal svarstid placerar du Övervaka arbetsytor, Logic Apps och relaterad infrastruktur i samma Azure-region med de arbetsbelastningar som de övervakar eller kontrollerar. Det kan dock fortfarande finnas problem med svarstiden. Mer information finns i Loggdatainmatningstid i Azure Monitor.

Logga kontra måttaviseringar

Måttaviseringar kontrollerar regelbundet om villkoren i en eller flera tidsserier för mått är sanna och meddelar dig när villkoren uppfyller utvärderingarna. Måttaviseringar är tillståndskänsliga som standard och skickar endast meddelanden när tillståndet ändras, till exempel till utlöst eller löst.

Loggaviseringar använder en Log Analytics-fråga för att utvärdera resursloggar med en angivna frekvens och utlösa en avisering baserat på resultaten. Måttbaserade aviseringar kan vara snabbare att skicka meddelanden än loggaviseringar.

Skalbarhet

Säkerhet

Den här lösningen använder följande säkerhetsmekanismer:

Åtkomstkontroll

Azure RBAC låser resursgrupper som är värdar för aviseringar och Logic Apps per team eller appägare. Med Azure RBAC kan du endast ge användare och grupper den åtkomst de behöver för att arbeta med övervakningsdata på en arbetsyta. Du kan till exempel bevilja åtkomst till teamet som ansvarar för Azure VM-värdbaserade infrastrukturtjänster, endast till loggarna som dessa virtuella datorer genererar.

De data som en användare kan komma åt bestäms av en kombination av faktorer.

Faktor beskrivning
Åtkomstläge Metod som användaren använder för att komma åt arbetsytan. Definierar omfånget för tillgängliga data och det åtkomstkontrollläge som tillämpas.
Åtkomstkontrollläge Inställning på arbetsytan som definierar om behörigheter ska tillämpas på arbetsytan eller resursnivån.
Behörigheter Behörigheter som tillämpas på enskilda användare eller grupper för arbetsytan eller resursen. Definierar vilka data som användaren kan komma åt.
Azure RBAC på tabellnivå Valfria detaljerade behörigheter som gäller för alla användare, oavsett åtkomstläge eller åtkomstkontrollläge. Definierar vilka datatyper en användare kan komma åt.

Mer information finns i Översikt över åtkomstkontroll.

Privat slutpunktsanslutning via ExpressRoute

Monitor är en konstellation av olika sammankopplade tjänster som fungerar tillsammans för att övervaka dina arbetsbelastningar. Du kan använda Azure Private Link för att på ett säkert sätt länka Azure PaaS-resurser till ditt virtuella nätverk med privata slutpunkter. Azure Monitor Private Link-omfånget ger privat anslutning mellan program som distribueras i virtuella nätverk och Övervaka resurser, vilket definierar gränserna för ditt övervakningsnätverk. Mer information finns i Använda Azure Private Link för att ansluta nätverk till Azure Monitor.

Logic Apps Integration Service Environment (ISE)

En ISE-miljö (Integration Service Environment) håller dedikerad lagring och andra resurser åtskilda från den globala Logic Apps-tjänsten för flera klientorganisationer. Mer information finns i Ansluta till virtuella Azure-nätverk från Azure Logic Apps med hjälp av en integrationstjänstmiljö (ISE).

Log Analytics-gatewayen

En Log Analytics-gateway skickar data till Azure Automation och en Log Analytics-arbetsyta för övervakning för datorer som inte kan ansluta direkt till Internet. Mer information finns i Ansluta datorer utan internetåtkomst med hjälp av Log Analytics-gatewayen i Azure Monitor.

Kostnadsoptimering

  • Azure Monitor innehåller funktioner för att samla in och analysera loggdata. Övervaka fakturor efter datainmatning, kvarhållning och export. Andra faktorer som kan påverka prissättningen är aviseringar, meddelanden och SMS- eller röstsamtal. Mer information finns i Prissättning för Azure Monitor.

  • Standardprissättningen för Application Insights och Log Analytics är en Betala per användning-modell baserat på inmatad datavolym och eventuellt längre datakvarhållning. Log Analytics har också åtagandenivåer, vilket kan spara dig så mycket som 30 procent jämfört med priset betala per användning.

  • Granska prissättningen för Logic Apps och Prissättning för Azure Automation.

  • Använd Priskalkylatorn för Azure för en djupare genomgång av prissättningen.

Checklista för överväganden

  • Aktivera Monitor-lösningar gradvis för att minimera påverkan på miljön och kostnaderna.
  • Se Azure-tjänstbegränsningar för alla arkitekturkomponenter.
  • Ange aviseringar om kostnadsgränser. Att lägga till nya lösningar kan öka de data som samlas in flera gånger, vilket ökar kostnaderna.
  • Använd taggning för alla resursgrupper och resurser för att öka detaljnivån i kostnader om det behövs.
  • Automatisera distributionen av arbetsytor via infrastruktur som kod (IaC) för konsekvens.
  • Skapa arbetsytor i samma region som arbetsbelastningar som körs för att ge kortare svarstid för inmatning.
  • För lokala datorer utan internetanslutning använder du Azure Arc via Log Analytics Gateway.
  • För lokala datorer med Internetanslutning som har konfigurerats för Azure Arc grupperar du virtuella datorer i separata resurser per projekt och använder dcrs.
  • Sprid aviseringar mellan resursgrupper för att undvika att överskrida prenumerationsgränserna på 800 distributioner per resursgrupp.
  • Rationalisera aviseringar för att använda en enda avisering mellan olika team.
  • Granska säkerhetskrav för nätverk, användare och övergripande molntjänster.
  • Skapa en separat resursgrupp för varje arbetsyta för att effektivt tillämpa RBAC-regler.
  • Tillämpa RBAC på användarkonton och andra objekt för åtkomst till Log Analytics-arbetsytor.
  • Använd Microsoft Sentinel för att mata in identitets- och säkerhetsrelaterade loggar.
  • Övervaka liveprogram med Application Insights för att automatiskt identifiera prestandaavvikelser.
  • Använd Application Insights-analysverktyg för att diagnostisera problem och förstå appanvändningen.
  • Använd Log Analytics Workspace Insights över hela linjen för att övervaka och ange aviseringar för följande mått:
    • Svarstid för inmatning
    • Datainmatningsvolym
    • Inmatningsavvikelser
    • Agenthälsa
  • Använd Azure Monitor-agenten för att finjustera datainsamlingen.
  • Överväg dataarkivering till en lågfrekvent lagringsnivå. Du kan integrera lågfrekvent datalagring med Data Lake-tjänster.

Nästa steg