Dela via

Arkitektur för företagsövervakning med Azure Monitor

Övervakning är processen för att samla in, analysera och agera på mått, loggar och transaktioner som anger hälsotillståndet för din plattform, dina resurser och program. En effektiv övervakningsmiljö omfattar hela din molnegendom som kan innehålla resurser i flera moln och lokalt.

Den här arkitekturen beskriver en flexibel strategi för att övervaka din företagsmiljö med hjälp av Azure Monitor. Använd den här arkitekturen som utgångspunkt för att implementera en övervakningslösning som uppfyller organisationens olika unika krav.

Arkitektur

Diagram över företagsövervakning med Azure Monitor.

Arbetsflöden

Följande arbetsflöden motsvarar diagrammet ovan:

  • Datainsamling. Data för Azure Monitor lagras på Log Analytics-arbetsytan (loggar och mått), Azure Monitor-arbetsytan (Prometheus-mått) och Azure Monitor Metrics (plattformsmått). Datakällor i olika prenumerationer skickar data till Log Analytics-arbetsytor och Azure Monitor-arbetsytor i hanteringsprenumerationen. Plattformsmått lagras i samma prenumeration som Azure-resursen och skickas till Log Analytics-arbetsytan så att de kan korreleras med andra datakällor.

  • Alarm. Loggfrågor och Prometheus-aviseringsregler skapas i hanteringsprenumerationen och får åtkomst till en Log Analytics-arbetsyta och en Azure Monitor-arbetsyta. Varje uppsättning arbetsytor har en egen uppsättning aviseringsregler som skapats i samma resursgrupp som arbetsytorna. Mätvärdesvarningsregler skapas i hanteringsprenumerationen och får tillgång till plattformsstatistik i resursprenumerationerna.

  • Integrationer. Microsoft Sentinel använder samma Log Analytics-arbetsyta och Azure Monitor-agent (AMA) som Azure Monitor, så du kan använda samma arkitektur för SIEM-funktioner. ITSM-integrering utförs som svar på Azure Monitor-aviseringar med hjälp av ITSM-anslutningsappen i Azure Monitor. När en avisering genereras skapas en biljett i ITSM-systemet.

Komponenter

  • Azure Monitor är den primära övervakningslösningen för Azure som tillhandahåller en omfattande lösning för att samla in, analysera och agera på telemetri från molnet och lokala miljöer. Förutom att tillhandahålla en fullständig stackövervakningslösning för dina program och infrastruktur innehåller Azure Monitor en dataplattform och andra kärnfunktioner som används av andra tjänster i Azures ekosystem för observerbarhet.
    • Azure Monitor-loggar är en centraliserad plattform för att samla in, analysera och agera på telemetri som samlas in av Azure Monitor.
    • Azure Monitor-hanterad tjänst för Prometheus är en skalbar och högtillgänglig Prometheus-tjänst som bygger på Azure Monitor. Den tillhandahåller en fullständigt hanterad, skalbar och säker tjänst som matar in Prometheus-mått och lagrar dem på en Azure Monitor-arbetsyta.
    • Azure Monitor-agenten samlar in övervakningsdata från gästoperativsystemet och arbetsbelastningar på virtuella datorer och skickar dem till Azure Monitor. Den används också av Kubernetes-kluster för att samla in containerloggar och Prometheus-mått.
    • Application Insights är en utökningsbar tjänst för programprestandahantering (APM) för webbprogram på flera plattformar. Den identifierar automatiskt prestandaavvikelser och innehåller kraftfulla analysverktyg som hjälper dig att diagnostisera problem och förstå vad användarna faktiskt gör med din app.
    • Med inmatnings-API för loggar kan du skicka data till en Log Analytics-arbetsyta med antingen ett REST API-anrop eller klientbibliotek. Detta är användbart för att skicka data från anpassade program eller andra lösningar.
    • Arbetsböcker i Azure Monitor ger en flexibel arbetsyta för dataanalys och skapande av omfattande visuella rapporter i Azure-portalen. De får åtkomst till data från Azure Monitor-dataplattformen.
  • Azure Arc utökar Azure-plattformen för att hantera och styra infrastruktur och program i lokala miljöer, miljöer med flera moln och kanter. Det gör att du kan hantera dina hybridresurser tillsammans med dina molnresurser från ett enda kontrollplan. Använd Azure Arc för att göra virtuella hybriddatorer och kluster tillgängliga för Azure Monitor.
  • Microsoft Sentinel är en molnbaserad säkerhetsinformation och händelsehantering (SIEM) som matar in telemetri från Azure-tjänster och andra resurser, inklusive Microsoft Defender. Den levererar en intelligent och omfattande lösning för SIEM och säkerhetsorkestrering, automatisering och svar (SOAR). Den använder samma Log Analytics-arbetsyta och Azure Monitor-agent som Azure Monitor.
  • Microsoft Defender XDR består av ett antal försvarare som syftar till att skydda olika delar av den digitala egendomen. De korrelerar telemetri och använder AI/ML för att avgöra om undersökningar är nödvändiga eller för att vidta åtgärder när kända dåliga beteenden äger rum. Den använder samma Log Analytics-arbetsyta och Azure Monitor-agent som Azure Monitor.
  • Azure Managed Grafana är en fullständigt hanterad Azure-tjänst som tillhandahåller en datavisualiseringsplattform som bygger på Grafana-programvaran från Grafana Labs.
  • Key Vault är en molntjänst för säker lagring och åtkomst till hemligheter. Använd Key Vault för att lagra hemligheter som anslutningssträngar, lösenord och certifikat som används av dina program och tjänster.

Alternativ

Den här arkitekturen följer de vägledande principerna från Cloud Adoption Framework för Azure. Mer information om var och en finns i Designprinciper för Azure-landningszoner .

  • Prenumerationer. Efter designprincipen för prenumerationsdemokratisering skapas en separat prenumeration för hanteringskomponenter. Detta omfattar Log Analytics-arbetsytor, Azure Monitor-arbetsytor, lagringskonton som stöder diagnostik och granskning samt aviseringsregler.

  • Arbetsytor. Log Analytics-arbetsytor och Azure Monitor-arbetsytor tillhandahåller dataplattformen för Azure Monitor. Log Analytics-arbetsytor lagrar logg- och spårningsdata, medan Azure Monitor-arbetsytor lagrar Prometheus-mått. Plattformsmått lagras i Azure Monitor på prenumerationsnivå, så det finns minimala designkrav för dessa data. Antalet och regionerna för var och en av arbetsytorna beror på dina specifika krav. Se Designa en Log Analytics-arbetsytearkitektur och Azure Monitor-arbetsyta för specifika designkriterier. Om du genererar tillräckligt med data mellan Log Analytics-arbetsytor i en viss region länkar du dem till ett dedikerat kluster för att dra nytta av kostnadsincitament och ytterligare funktioner enligt beskrivningen i Skapa och hantera ett dedikerat kluster i Azure Monitor-loggar.

  • Visualisering. Visualisering av data som samlas in av Azure Monitor kan utföras med hjälp av arbetsböcker i Azure Monitor eller med hjälp av Azure Managed Grafana. Båda ingår i den här arkitekturen även om du kan välja att använda den ena eller den andra. Eftersom det inte finns några ytterligare komponenter att installera och ingen extra kostnad är arbetsböcker alltid tillgängliga som ett visualiseringsalternativ. Azure Managed Grafana har ytterligare kostnader, så använd den om du har en befintlig investering i Grafana.

Scenarioinformation

Företagsmiljöer har olika arbetsbelastningar, till exempel webbprogram, virtuella datorer, datatjänster, identitetsbaserade arbetsbelastningar och containrar. Dessa arbetsbelastningar kan köras i Azure, andra molnleverantörer eller lokalt, vilket gör molnbaserad övervakning komplex. Övervakning krävs för att du ska förstå hälsotillståndet och prestandan för dina arbetsuppgifter och för att bli informerad om problem när de uppkommer. En lösning baserad på Azure Monitor innehåller dessa krav utöver stöd för säkerhetsövervakning, granskning och kostnadshantering.

Potentiella användningsfall

Den här lösningen kan hjälpa dig med följande användningsfall:

  • Konsoliderad övervakning av hälsa och prestanda för olika molnbaserade och lokala arbetsbelastningar med Azure Monitor.
  • Plattform för säkerhetsövervakning och hotidentifiering med hjälp av Microsoft Sentinel och Microsoft Defender XDR.
  • Integrering av din övervakningsmiljö med ITSM-system.
  • Centraliserad visualisering med data filtrerade efter resursbaserad åtkomstkontroll.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

  • Använd Azure Policy för att inaktivera skapande av arbetsytor för de flesta användare för att upprätthålla arbetsytestrategin. Detta förhindrar att data oavsiktligt fragmenteras och kan medföra ökade övervakningskostnader.
  • Använd Azure Policy för att konfigurera diagnostikinställningar för infrastrukturresurser (t.ex. nätverks-, PIP-, Express-routningskretsar) för att alltid skicka resursloggar till den centraliserade Log Analytics-arbetsytan.
  • Begränsa Log Analytics-arbetsytans behörigheter till administratören för övervakningslösningen. Alla andra roller bör använda resursbaserad åtkomstkontroll.
  • Regelbunden översyn av styrningsprincipen kring central företagsövervakningsarkitektur är avgörande för att anpassa sig till det föränderliga tekniklandskapet.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information om dessa grundsatser finns i Microsoft Azure Well-Architected Framework.

Specifika överväganden för att implementera Azure Monitor finns i följande artiklar om metodtips:

  • Tillförlitlighet – Säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder.
  • Säkerhet – Ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system.
  • Kostnadsoptimering – Tittar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten.
  • Driftskvalitet – Omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion.
  • Prestandaeffektivitet – Arbetsbelastningens förmåga att skala för att uppfylla användarnas krav på det på ett effektivt sätt.

Nästa steg