你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Monitor 最佳做法 - 规划监视策略和配置

本文是有关配置 Azure Monitor 的建议方案的一部分。 其中介绍了在开始实施之前应考虑的规划工作。 此计划会确保你选择的配置选项符合特定的业务需求。

如果你还不熟悉监视的概念，请从适用于 Azure 的 Microsoft 云采用框架教程系列中的云监视指南着手。 该指南概括性地定义了监视的概念，并提供了有关为监视环境和支持流程规定要求的指导。 本文参考该指南中与特定规划步骤相关的部分。

了解 Azure Monitor 成本

监视策略的核心目标是最大限度地降低成本。 Azure Monitor 中的某些数据收集操作与功能是免费的，而有些则会根据其特定配置、收集的数据量或运行频率而产生费用。 此方案中的文章给出了一些会产生费用的建议，但在设计实施方案时，你应该熟悉 Azure Monitor 定价以便优化成本。 有关 Azure Monitor 定价的详细信息和指导，请参阅以下文章：

• Azure Monitor 定价
• Azure Monitor 成本和使用情况
• Azure Monitor 中的成本优化

定义策略

在设计和实施任何监视解决方案之前，应建立一个监视策略，以便了解计划的目标和要求。 该策略定义了特定的要求、最能满足这些要求的配置，以及利用监视环境来最大限度地提高应用程序性能和可靠性的流程。 为 Azure Monitor 选择的配置选项应与策略一致。

请参阅云监视指南：构建监视策略，以了解在制定监视策略时应考虑的许多因素。 此外，应参考云部署模型的监视策略，它可以帮助你将完全基于云的监视模型与混合模型进行比较。

收集所需信息

在确定实施细节之前，应收集定义这些细节所需的信息。 以下部分介绍了完整实施 Azure Monitor 通常所需的信息。

需要监视什么？

不必为所有云资源配置完整监视，而应该专注于关键应用程序及其依赖的组件。 这不仅可以降低监视成本，而且还能降低监视环境的复杂性。 有关定义所需数据的指导，请参阅云监视指南：收集正确的数据。

谁需要拥有访问权限并收到通知

在配置监视环境时，需要确定哪些用户应有权访问监视数据，以及在检测到问题时需要通知哪些用户。 他们可以是应用程序和资源所有者，或者你也可以设立一个集中的监视团队。 此信息会决定如何配置数据访问权限和警报通知。 还可能需要使用自定义工作簿来向不同的用户呈现特定的信息集。

服务级别协议

你的组织可能制定了 SLA，其中详细阐明了你对自己的应用程序在性能和运行时间方面做出的承诺。 这些 SLA 可能决定了你需要如何配置 Azure Monitor 的时间敏感功能，例如警报。 此外，还需要了解 Azure Monitor 中的数据延迟，因为这会影响监视方案的响应能力以及你满足 SLA 的能力。

确定监视服务和产品

Azure Monitor 旨在满足运行状况和状态监视方面的需求。 完整的监视解决方案通常涉及到多个 Azure 服务，并且还可能涉及到其他产品。 云监视指南的主要监视目标中描述了其他可能需要更多解决方案的监视目标。

以下部分介绍了可与 Azure Monitor 结合使用的其他服务和产品。 此方案目前不包含有关实施这些解决方案的指导，因此你应该参考这些解决方案的文档。

安全监视

尽管存储在 Azure Monitor 的操作数据对调查安全事件可能有用，但 Azure 中的其他服务也可用于监视安全性。 Azure 中的安全监视由 Microsoft Defender for Cloud 和 Microsoft Sentinel 执行。

• Microsoft Defender for Cloud 收集有关 Azure 资源和混合服务器的信息。 虽然 Defender for Cloud 可以收集安全事件，但它主要侧重于收集清单数据、评估扫描结果和策略审核，以突出显示漏洞并推荐纠正措施。 值得注意的功能包括交互式网络映射、实时 VM 访问、自适应网络强化和自适应应用程序控制（用于阻止可疑可执行文件）。

• Azure Defender for Servers 是 Defender for Cloud 提供的服务器评估解决方案。 Defender for Servers 可以将 Windows 安全事件发送到 Log Analytics。 Defender for Cloud 不依赖于 Windows 安全事件来执行警报或分析。 此功能可用于事件的集中存档，以便执行调查或实现其他目的。

• Microsoft Sentinel 是安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Sentinel 从各种 Microsoft 和第三方源收集安全数据，以提供警报、可视化和自动化。 此解决方案侧重于合并尽可能多的安全日志，包括 Windows 安全事件。 Microsoft Sentinel 还可以收集 Windows 安全事日件志，且通常会与 Defender for Cloud 共享 Log Analytics 工作区。 仅当安全事件共享同一工作区时，才能从 Microsoft Sentinel 或 Defender for Cloud 收集这些事件。 与 Defender for Cloud 不同，安全事件是 Microsoft Sentinel 中警报和分析的关键组件。

• Defender for Endpoint 是一个企业终结点安全平台，专门用于帮助企业网络防御、检测、调查和响应高级威胁。 它的设计主要侧重于保护 Windows 用户设备。 Defender for Endpoint 使用各种操作系统监视工作站、服务器、平板电脑和手机，以发现安全问题和漏洞。 Defender for Endpoint 与 Microsoft Intune 保持严格统一，以便收集数据并提供安全评估。 数据收集主要基于 ETW 跟踪日志，并存储在独立的工作区中。

System Center Operations Manager

你可能已投资购买了 System Center Operations Manager，用于监视虚拟机上运行的本地资源和工作负载。 你可以选择将此监视解决方案迁移到 Azure Monitor，也可以继续在混合配置中使用这两种产品。 请参阅云监视指南：监视平台概述获取这两种产品的比较。 请参阅云部署模型的监视策略，获取有关在混合配置中如何使用这两种产品以及确定最适合你的环境。

常见问题

本部分提供常见问题的解答。

Azure Monitor 使用哪些 IP 地址？

有关代理和其他外部资源访问 Azure Monitor 所需的 IP 地址和端口，请参阅 Application Insights 和 Log Analytics 使用的 IP 地址。

后续步骤

• 请参阅配置数据收集，获取有关在 Azure Monitor 中配置数据收集的步骤和建议。