Splunk'tan Azure İzleyici Günlüklerine Geçiş

Azure İzleyici Günlükleri , maliyet yönetimi, ölçeklenebilirlik, esneklik, tümleştirme ve düşük bakım yükü açısından birçok avantaj sağlayan bulut tabanlı yönetilen izleme ve gözlemlenebilirlik hizmetidir. Hizmet, büyük miktarlardaki verileri işleyecek ve her büyüklükteki kuruluşun ihtiyaçlarını karşılayacak şekilde kolayca ölçeklendirilecek şekilde tasarlanmıştır.

Azure İzleyici Günlükleri, Tüm Azure ve Azure dışı kaynakların birleşik bir görünümünü sağlamak için Windows Olay günlükleri, Syslog ve özel günlükler gibi çok çeşitli kaynaklardan veri toplar. Gelişmiş bir sorgu dili ve seçilmiş görselleştirme kullanarak, izleme verilerinizdeki kritik desenleri tanımlamak, anlamak ve yanıtlamak için milyonlarca kaydı hızla analiz edebilirsiniz.

Bu makalede, splunk Gözlemlenebilirlik dağıtımınızı günlüğe kaydetme ve günlük verileri analizi için Azure İzleyici Günlüklerine geçirme işlemi açıklanmaktadır.

Güvenlik Bilgileri ve Olay Yönetimi (SIEM) dağıtımınızı Splunk Enterprise Security'den Azure Sentinel'e geçirme hakkında bilgi için bkz . Microsoft Sentinel'e geçişinizi planlama.

Neden Azure İzleyici'ye geçiş yapılır?

Azure İzleyici'ye geçişin avantajları şunlardır:

• Tam olarak yönetilen, Hizmet Olarak Yazılım (SaaS) platformu:
  • Otomatik yükseltmeler ve ölçeklendirme.
  • Gb başına basit kullandıkça öde fiyatlandırması.
  • Maliyet iyileştirme ve izleme özellikleri ve düşük maliyetli Temel günlükler.
• Bulutta yerel izleme ve gözlemlenebilirlik, örneğin:
  • Uçtan uca, uygun ölçekte izleme.
  • Azure kaynaklarının yerel izlemesi.
  • Gizlilik ve uyumluluk.
• Güvenlik bilgileri ve olay yönetimi için Microsoft Sentinel, otomasyon için Azure Logic Apps, pano oluşturma için Azure Yönetilen Grafana ve gelişmiş analiz ve yanıt özellikleri için Azure Machine Learning gibi bir dizi tamamlayıcı Azure hizmetiyle yerel tümleştirme.

Teklifleri karşılaştırma

Splunk teklifi	Ürün	Azure teklifi
Splunk Platformu	Splunk Bulut Platformu Splunk Enterprise	Azure İzleyici Günlükleri , Azure ve Azure dışı kaynaklar ve uygulamalar tarafından oluşturulan telemetri verilerini toplamaya, analiz etmeye ve bunlar üzerinde işlem oluşturmaya yönelik merkezi bir hizmet olarak yazılım (SaaS) platformudur.
Splunk Gözlemlenebilirliği	Splunk Altyapı İzleme Splunk Uygulaması Performans İzleyicisi Splunk BT Hizmet Zekası	Azure İzleyici , Microsoft Sentinel ile paylaşılan güçlü bir veri alımı işlem hattı üzerinde oluşturulan bulut, çoklu bulut ve şirket içi ortamlarınızdan telemetri verilerini toplamaya, analiz etmeye ve üzerinde işlem yapmaya yönelik uçtan uca bir çözümdür. Azure İzleyici, bulut, hibrit ve şirket içi ortamları izlemek için ağ yalıtımı, dayanıklılık özellikleri ve veri merkezi hatalarına karşı koruma, raporlama ve uyarılar ile yanıt özelliklerine yönelik kapsamlı bir çözüm sunar. Azure İzleyici'nin yerleşik özellikleri şunlardır: Azure İzleyici Analizler: Önceden yapılandırılmış veri girişleri, aramalar, uyarılar ve görselleştirmelerle kullanıma hazır, seçilmiş izleme deneyimleri. Uygulama Analizler - Canlı web uygulamaları için Uygulama Performansı Yönetimi (APM) sağlar. Azure İzleyici AIOps ve yerleşik makine öğrenmesi özellikleri: İçgörüler sağlar ve kapasite kullanımını ve otomatik ölçeklendirmeyi tahmin etme, uygulama performansı sorunlarını tanımlama ve analiz etme ve sanal makinelerde, kapsayıcılarda ve diğer kaynaklarda anormal davranışları algılama gibi veri odaklı görevleri otomatikleştirmenize yardımcı olur. Bu özellikler için yükleme ücreti alınmaz.
Splunk Güvenliği	Splunk Enterprise Security Splunk Mission Control Splunk SOAR	Microsoft Sentinel , kuruluş genelinde akıllı güvenlik analizi ve tehdit zekası sağlamak için Azure İzleyici platformu üzerinden çalışan buluta özel bir çözümdür.

Önemli kavramlara giriş

Azure İzleyici Günlükleri	Benzer Splunk kavramı	Açıklama
Log Analytics çalışma alanı	Ad Alanı	Log Analytics çalışma alanı, tüm Azure ve Azure dışı izlenen kaynaklardan günlük verilerini toplayabileceğiniz bir ortamdır. Çalışma alanı verileri sorgulama ve analiz, Azure İzleyici özellikleri ve diğer Azure hizmetleri için kullanılabilir. Splunk ad alanına benzer şekilde, Log Analytics çalışma alanınızdaki uyarılar ve çalışma kitapları gibi verilere ve yapıtlara erişimi yönetebilirsiniz. Log Analytics çalışma alanı mimarinizi gereksinimlerinize göre tasarlayın; örneğin, bölünmüş faturalama, bölgesel veri depolama gereksinimleri ve dayanıklılık konuları.
Tablo yönetimi	Dizinleme	Azure İzleyici Günlükleri, günlük verilerini yönetilen bir Azure Veri Gezgini veritabanındaki tablolara alır. Alma sırasında hizmet verileri otomatik olarak dizinler ve zaman damgaları oluşturur; bu da çeşitli veri türlerini depolayabileceğiniz ve Kusto Sorgu Dili (KQL) sorgularını kullanarak verilere hızlı bir şekilde erişebileceğiniz anlamına gelir. Tablo şemasını, veri saklamayı ve arşivleyi yönetmek ve verilerin zaman zaman denetim ve sorun giderme amacıyla mı yoksa özellikler ve hizmetler tarafından sürekli analiz ve kullanım için mi depolanıp depolanmayacağını yönetmek için tablo özelliklerini kullanın. Splunk ve Azure Veri Gezgini veri işleme ve sorgulama kavramlarının karşılaştırması için bkz. Splunk to Kusto Sorgu Dili map.
Temel ve Analytics günlük verileri planları		Azure İzleyici Günlükleri, günlük alımı ve saklama maliyetlerini azaltmanıza ve Azure İzleyici'nin gereksinimlerinize göre gelişmiş özelliklerden ve analiz özelliklerinden yararlanmanıza olanak sağlayan iki günlük verileri planı sunar. Analiz planı, günlük verilerini etkileşimli sorgular için kullanılabilir hale getirir ve özellikler ve hizmetler tarafından kullanılır. Temel günlük verileri planı, sorun giderme, hata ayıklama, denetim ve uyumluluk için günlükleri almak ve tutmak için düşük maliyetli bir yol sağlar.
Arşivlenen verilere arşivleme ve hızlı erişim	Veri demeti durumları (sıcak, sıcak, soğuk, çözülmüş), arşivleme, Dinamik Veri Etkin Arşivi (DDAA)	Uygun maliyetli arşiv seçeneği günlüklerinizi Log Analytics çalışma alanınızda tutar ve arşivlenmiş günlük verilerine ihtiyaç duyduğunuzda hemen erişmenizi sağlar. Veriler fiziksel olarak dış depolama alanına aktarılamadığı için arşiv yapılandırma değişiklikleri hemen etkindir. Arşivlenmiş verilerin belirli bir zaman aralığını gerçek zamanlı analiz için kullanılabilir hale getirmek için arşivlenmiş verileri geri yükleyebilir veya bir arama işi çalıştırabilirsiniz.
Erişim denetimi	Rol tabanlı kullanıcı erişimi, izinler	Azure rol tabanlı erişim denetimi (RBAC) kullanarak belirli kaynaklarda hangi kişilerin ve kaynakların okuyabileceğini, yazabileceğini ve işlem gerçekleştirebileceğini tanımlayın. Kaynağa erişimi olan bir kullanıcının kaynağın günlüklerine erişimi vardır. Azure yerleşik roller, özel roller, rol izni devralma ve denetim geçmişi gibi özelliklerle veri güvenliğini ve erişim yönetimini kolaylaştırır. Ayrıca, belirli veri türlerine ayrıntılı erişim denetimi için çalışma alanı düzeyinde erişim ve tablo düzeyinde erişim de yapılandırabilirsiniz.
Veri dönüştürmeleri	Dönüşümler, alan ayıklamaları	Dönüştürmeler, gelen verileri Log Analytics çalışma alanına gönderilmeden önce filtrelemenize veya değiştirmenize olanak sağlar. Hassas verileri kaldırmak, Log Analytics çalışma alanınızdaki verileri zenginleştirmek, hesaplamalar yapmak ve veri maliyetlerini azaltmak için ihtiyacınız olmayan verileri filtrelemek için dönüştürmeleri kullanın.
Veri toplama kuralları	Veri girişleri, veri işlem hattı	Hangi verilerin toplanacağı, bu verilerin nasıl dönüştürüleceği ve verilerin nereye gönderileceği tanımlama.
Kusto Sorgu Dili (KQL)	Splunk Arama İşleme Dili (SPL)	Azure İzleyici Günlükleri, KQL'in basit günlük sorguları için uygun olan büyük bir alt kümesini kullanır, ancak toplamalar, birleştirmeler ve akıllı analiz gibi gelişmiş işlevleri de içerir. Splunk SPL bilginizi KQL'ye çevirmek için Splunk'ı kullanarak Kusto Sorgu Dili haritayı kullanın. Öğreticiler ve KQL eğitim modülleriyle KQL'i de öğrenebilirsiniz.
Log Analytics	Splunk Web, Arama uygulaması, Özet aracı	Azure portalda, Azure İzleyici Günlüklerinde günlük sorgularını düzenlemeye ve çalıştırmaya yönelik bir araç. Log Analytics ayrıca KQL kullanmadan verileri keşfetmek ve görselleştirmek için zengin bir araç kümesi sağlar.
Maliyet iyileştirme		Azure İzleyici, maliyetlerinizi gereksinimlerinize göre anlamanıza, izlemenize ve iyileştirmenize yardımcı olacak araçlar ve en iyi yöntemler sağlar.

1. Geçerli kullanımınızı anlama

Splunk'taki geçerli kullanımınız, Azure İzleyici'de hangi fiyatlandırma katmanını seçeceğinize karar vermenize ve gelecekteki maliyetlerinizi tahmin etmeye yardımcı olur:

• Kullanım raporunuzu görüntülemek için Splunk yönergelerini izleyin.
• Fiyatlandırma Hesaplayıcısı'nı kullanarak Azure İzleyici maliyet tahminleri.

2. Log Analytics çalışma alanı ayarlama

Log Analytics çalışma alanınız, izlenen tüm kaynaklarınızdan günlük verilerini topladığınız yerdir. Log Analytics çalışma alanında yedi yıla kadar veri tutabilirsiniz. Çalışma alanı içinde düşük maliyetli veri arşivleme, dış veri depolarını yönetme yükü olmadan arşivlenmiş verilere ihtiyaç duyduğunuzda hızlı ve kolay bir şekilde erişmenizi sağlar.

Yönetim kolaylığı için tüm günlük verilerinizi tek bir Log Analytics çalışma alanında toplamanızı öneririz. Birden çok çalışma alanı kullanmayı düşünüyorsanız bkz . Log Analytics çalışma alanı mimarisi tasarlama.

Veri toplama için Log Analytics çalışma alanı ayarlamak için:

1. Log Analytics çalışma alanı oluşturun.

   Azure İzleyici Günlükleri, kullandığınız Azure hizmetlerine ve Azure kaynakları için tanımladığınız veri toplama ayarlarına göre çalışma alanınızda otomatik olarak Azure tabloları oluşturur.

2. Log Analytics çalışma alanınızı yapılandırın, örneğin:

   1. Fiyatlandırma katmanı.
   2. Uygunsanız fiyatlandırma katmanına göre gelişmiş özelliklerden yararlanmak için Log Analytics çalışma alanınızı ayrılmış bir kümeye bağlayın.
   3. Günlük üst sınır.
   4. Veri saklama.
   5. Ağ yalıtımı.
   6. Erişim denetimi.

3. Aşağıdakiler için tablo düzeyinde yapılandırma ayarlarını kullanın:

   1. Her tablonun günlük veri planını tanımlayın.

      Varsayılan günlük veri planı, Azure İzleyici'nin zengin izleme ve analiz özelliklerinden yararlanmanızı sağlayan Analiz'dir.

   2. Çalışma alanı düzeyinde veri saklama ve arşivleme ilkesinden farklı olması gerekiyorsa, belirli tablolar için bir veri saklama ve arşivleme ilkesi ayarlayın.

   3. Veri modelinize göre tablo şemasını değiştirin.

3. Splunk yapıtlarını Azure İzleyici'ye geçirme

Splunk yapıtlarının çoğunu geçirmek için Splunk İşleme Dili'ne (SPL) Kusto Sorgu Dili (KQL) çevirmeniz gerekir. Daha fazla bilgi için bkz. Kusto Sorgu Dili haritası için Splunk ve Azure İzleyici'de günlük sorgularını kullanmaya başlama.

Bu tabloda Splunk yapıtları ve Azure İzleyici'de eşdeğer yapıtları ayarlama yönergelerine bağlantılar listelenmektedir:

Splunk yapıtı	Azure İzleyici yapıtı
Uyarılar	Uyarı kuralları
Uyarı eylemleri	Eylem grupları
Altyapı İzleme	Azure İzleyici Analizler, verileri hızlı ve etkili bir şekilde analiz etmeye başlamanızı sağlamak için önceden yapılandırılmış veri girişleri, aramalar, uyarılar ve görselleştirmelerle kullanıma hazır, seçilmiş izleme deneyimleri kümesidir.
Panolar	Çalışma kitapları
Aramalar	Azure İzleyici, verileri zenginleştirmek için aşağıdakiler dahil olmak üzere çeşitli yollar sağlar: - Birden çok kaynaktan Log Analytics çalışma alanına veri göndermenize ve verileri almadan önce hesaplamalar ve dönüşümler gerçekleştirmenize olanak tanıyan veri toplama kuralları. - Farklı tablolardaki verileri birleştiren birleştirme işleci ve dış depolamadan veri döndüren externaldata işleci gibi KQL işleçleri. - Gelişmiş makine öğrenmesi uygulamak ve ek veri akışı yapmak için Azure Machine Learning veya Azure Event Hubs gibi hizmetlerle tümleştirme.
Ad alanları	Log Analytics çalışma alanınızda veya Azure kaynak gruplarında tanımladığınız erişim denetimine göre Azure İzleyici'deki yapıtlara izin verebilir veya bu yapıtları sınırlandırabilirsiniz.
İzinler	Erişim yönetimi
Raporlar	Azure İzleyici, verileri analiz etmek, görselleştirmek ve paylaşmak için aşağıdakiler dahil olmak üzere çeşitli seçenekler sunar: - Grafana ile tümleştirme - İçgörüler - Çalışma kitapları - Panolar - Power BI ile tümleştirme - Excel ile tümleştirme
Arama	Sorgular
Kaynak türleri	Log Analytics çalışma alanınızda veri modelinizi tanımlayın. Gelen verileri filtrelemek, biçimlendirmek veya değiştirmek için alma zamanı dönüşümlerini kullanın.
Veri koleksiyonları yöntemleri	Bkz. Belirli kaynaklar için tasarlanmış Azure İzleyici araçları için veri toplama.

Algılama kuralları ve SOAR otomasyonu da dahil olmak üzere Splunk SIEM yapıtlarını geçirme hakkında bilgi için bkz . Microsoft Sentinel'e geçişinizi planlama.

4. Veri toplama

Azure İzleyici, Azure'daki günlük veri kaynaklarından ve ortamınızdaki Azure dışı kaynaklardan veri toplamaya yönelik araçlar sağlar.

Bir kaynaktan veri toplamak için:

1. Aşağıdaki tabloya göre ilgili veri toplama aracını ayarlayın.
2. Kaynaktan hangi verileri toplamanız gerektiğine karar verin.
3. Maliyetleri azaltmak için hassas verileri kaldırmak, verileri zenginleştirmek veya hesaplamalar yapmak ve ihtiyacınız olmayan verileri filtrelemek için dönüştürmeleri kullanın.

Bu tabloda Azure İzleyici'nin çeşitli kaynak türlerinden veri toplamak için sağladığı araçlar listelenir.

Kaynak türü	Veri toplama aracı	Benzer Splunk aracı	Toplanan veriler
Azure	Tanılama ayarları		Azure kiracısı - Microsoft Entra denetim günlükleri, bir kiracıda yapılan değişikliklerin oturum açma etkinlik geçmişini ve denetim kaydını sağlar. Azure kaynakları - Günlükler ve performans sayaçları. Azure aboneliği - Azure aboneliğinizdeki kaynaklarda yapılan yapılandırma değişiklikleriyle ilgili kayıtların yanı sıra kayıtları Hizmet durumu.
Uygulama	Application Insights	Splunk Uygulaması Performans İzleyicisi	Uygulama performansı izleme verileri.
Kapsayıcı	Kapsayıcı içgörüleri	Kapsayıcı İzleme	Kapsayıcı performans verileri.
İşletim sistemi	Azure İzleyici Aracısı	Evrensel İletici, Ağır İletici	Azure'ın konuk işletim sisteminden ve Azure dışı sanal makinelerden verileri izleme.
Azure dışı kaynak	Günlük Alımı API'si	HTTP Olay Toplayıcısı (HEC)	dosya tabanlı günlükler ve izlenen bir kaynakta veri toplama uç noktasına gönderdiğiniz tüm veriler.

5. Azure İzleyici Günlüklerine Geçiş

Yaygın bir yaklaşım, Splunk'ta geçmiş verileri korurken Azure İzleyici Günlüklerine aşamalı olarak geçiş yapmaktır. Bu süre boyunca şunları yapabilirsiniz:

• Splunk'tan veri almak için Günlük alımı API'sini kullanın.
• Verileri Azure İzleyici'nin dışına aktarmak için Log Analytics çalışma alanı verilerini dışarı aktarmayı kullanın.

Splunk'tan geçmiş verilerinizi dışarı aktarmak için:

1. Verileri CSV biçiminde dışarı aktarmak için Splunk dışarı aktarma yöntemlerinden birini kullanın.
2. Dışarı aktarılan verileri toplamak için:

   1. Azure İzleyici Aracısı ile metin günlüklerini toplama bölümünde açıklandığı gibi Splunk'tan dışarı aktardığınız verileri toplamak için Azure İzleyici Aracısı'nı kullanın.

      veya

   2. Dışarı aktarılan verileri, REST API kullanarak Azure İzleyici Günlüklerine veri gönderme bölümünde açıklandığı gibi Günlük alımı API'siyle doğrudan toplayın.

Sonraki adımlar

• Log Analytics ve Log Analytics Sorgu API'sini kullanma hakkında daha fazla bilgi edinin.
• Log Analytics çalışma alanınızda Microsoft Sentinel'i etkinleştirin.
• KQL ile Azure İzleyici'de günlükleri analiz etme eğitim modülünü inceleyin.