通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

清单和可见性注意事项

  • 项目

组织在设计和实现云环境时,需要重点考虑实现平台管理和平台服务监视的基础。 若要确保成功采用云,必须构造这些服务以满足组织随环境缩放而变化的需求。

在早期规划阶段所做的云操作模型决策会直接影响如何在登陆区域中提供管理操作。 平台管理的集中化程度就是一个关键示例。

使用本文中的指导,考虑应如何处理云环境中的清单和可见性。

基本清单注意事项

  • 考虑将 Azure Monitor Log Analytics 工作区等工具用作管理边界。
  • 确定哪些团队应使用平台上系统生成的日志以及谁需要访问这些日志。

考虑以下与日志记录数据相关的项,指示你可能想要整理和使用的数据类型。

范围 上下文
以应用程序为中心的平台监视
分别包括指标和日志的热和冷遥测数据路径。
操作系统指标,如性能计数器和自定义指标。
操作系统日志,例如:
  • Internet Information Services
  • Windows 事件跟踪和 Syslog
  • 资源运行状况事件
安全审核日志记录 旨在对组织整个 Azure 资产实现横向安全可重用功能区。
  • 可与 ArcSight 或 Onapsis 安全平台等本地安全信息和事件管理 (SIEM) 系统集成
  • 可与 ServiceNow 等服务型软件 (SaaS) 产品/服务集成
  • Azure 活动日志
  • Microsoft Entra 审核报告
  • Azure 诊断服务、日志和指标、Azure Key Vault 审核事件;网络安全组 (NSG) 流日志以及事件日志
  • Azure Monitor、Azure 网络观察程序、Microsoft Defender for Cloud 和 Microsoft Sentinel
Azure 数据保留阈值和存档要求
  • Azure Monitor 日志的默认保留期为 30 天,最大分析保留期为 2 年,存档时间为 7 年。
  • Microsoft Entra 报表(高级版)的默认保留期为 30 天。
  • Azure 活动日志和 Application Insights 日志的默认保留期为 90 天。
操作要求
  • 具有本机工具(如 Azure Monitor 日志或第三方工具)的操作仪表板
  • 使用集中式角色控制特权活动
  • 用于访问 Azure 服务的 Azure 资源托管标识 (/Azure/active-directory/managed-identities-Azure-resources/overview)
  • 防止编辑和删除资源的资源锁

可见性注意事项

  • 哪些团队需要接收警报通知?
  • 是否具有需要通知多个团队的服务组?
  • 是否有需要向其发送警报的现有服务管理工具?
  • 哪些服务被认为是业务关键型服务且需要优先通知问题?

清单和可见性建议

  • 使用单个监视器日志工作区来集中管理平台,除非 Azure 基于角色的访问控制 (Azure RBAC)、数据主权要求和数据保留策略要求使用单独的工作区。 集中式日志记录对于操作管理团队所需的可见性至关重要,它推动生成有关变更管理、服务运行状况、配置以及多数其他 IT 操作方面的报告。 专注于集中式工作区模型,可减少管理工作以及出现可观测性差距的可能性。

  • 如果日志保留要求超过 7 年,请将日志导出到 Azure 存储。 使用具有“一次写入、多次读取”策略的不可变存储,使数据在用户指定的时间间隔内不可擦除且不可修改。

  • 将 Azure Policy 用于访问控制和合规性报告。 通过 Azure Policy,可强制实施组织范围的设置,以确保一致的策略遵守和快速的违规检测。 有关详细信息,请参阅了解 Azure Policy 效果

  • 使用网络观察程序通过网络观察程序 NSG 流日志 v2 主动监视流量流。 流量分析可分析 NSG 流日志,以收集有关虚拟网络中 IP 流量的深度见解。 它还提供有效管理和监视所需的关键信息,例如:

    • 通信最多的主机和应用程序协议
    • 对话最活跃的主机对
    • 允许或阻止的流量
    • 入站和出站流量
    • 开放的 Internet 端口
    • 阻止最多流量的规则
    • 每个 Azure 数据中心的流量分布
    • 虚拟网络
    • 子网
    • 未授权网络

  • 使用资源锁来防止意外删除关键共享服务。

  • 使用拒绝策略来补充 Azure 角色分配。 拒绝策略通过阻止将请求发送到资源提供程序,帮助阻止不符合所定义标准的资源部署和配置。 组合使用拒绝策略和 Azure 角色分配可确保提供适当的防范措施,来控制谁可以部署和配置资源以及他们可以部署和配置哪些资源

  • 服务资源运行状况事件作为整个平台监视解决方案的一部分纳入其中。 从平台的角度来看,跟踪服务和资源运行状况是 Azure 中资源管理的重要组成部分。

  • 请勿将原始日志条目发送回本地监视系统。 改为采用“在 Azure 中生成的数据保留在 Azure 中”原则。 如果需要本地 SIEM 集成,则发送关键警报而不是日志。

Azure 登陆区域加速器和管理

Azure 登陆区域加速器包括强制性配置,可部署关键 Azure 管理功能,帮助组织迅速缩放并成熟。

Azure 登陆区域加速器部署中包含关键管理和监视工具,例如:

  • Log Analytics 工作区和自动化帐户
  • Microsoft Defender for Cloud 监视
  • 发送到 Log Analytics 的活动日志、虚拟机和平台即服务 (PaaS) 资源的诊断设置

Azure 登陆区域加速器中的集中式日志记录

在 Azure 登陆区域加速器的上下文中,集中式日志记录主要关注平台操作。

这种关注并不排斥基于 VM 的应用程序日志记录使用相同的工作区。 对于在以资源为中心的访问控制模式中配置的工作区,强制在其中实施粒度 Azure RBAC 可确保应用程序团队只能访问他们资源中的日志。

在此模型中,应用程序团队受益于现有平台基础结构的使用,因为这减少了其管理开销。

对于非计算资源(如 Web 应用或 Azure Cosmos DB 数据库),应用程序团队可以使用自己的 Log Analytics 工作区。 然后,他们可以将诊断和指标数据路由到这些工作区。

下一步

监视 Azure 平台登陆区域组件