使用 Azure 監視器進行企業監視

將現有的監視解決方案現代化時，大型企業需要考慮許多因素。 企業可以使用 Azure 監視器功能來達成集中式監視管理。 此範例案例說明使用 Azure 監視器的企業層級監視。

架構

下載此架構的 Visio 檔案 。

工作流程

• 此架構遵循資源內容記錄模型。 Azure 資源發出的每個記錄檔記錄都會自動與資源產生關聯。 此模型有助於分隔收集及內嵌來自不同應用程式擁有者的工作區。

• 企業中的不同工作負載有個別的工作區。 設定不同的工作區可讓小組自主處理自己的資料，並為每個工作區提供個別的成本概觀。

  • 平臺即服務 （PaaS） 服務，例如 Azure Web Apps 和 Azure Functions Apps 在其工作區中新增 Application Insights 的設定。

  • 針對身分識別，內部部署的 Active Directory和雲端身分識別提供者各有自己的工作區。

  • Azure 虛擬桌面、Azure Pipelines、SQL 工作負載、Azure Kubernetes Service （AKS） 和 Azure Web Apps 中的應用程式，以及其他 PaaS 服務都有自己的工作區。

• 每個工作區都有自己的已設定警示集。 Azure Logic Apps 和 Azure 自動化提供預先警示和補救。 Logic Apps 提供與 IT 服務管理 （ITSM） 工具的整合。

• 一組內部部署虛擬機器 （VM） 會透過 Azure Arc 連線，提供端對端 Azure 管理平面。 您也可以使用 Azure Arc 來連線在協力廠商雲端中執行的基礎結構即服務 （IaaS） 資源。

• 自訂記錄會擷取協力廠商虛擬化環境的相關資訊，並收集自訂作業系統、軟體和應用程式記錄。

• Log Analytics 工作區深入解析提供完整的工作區監視。 使用單一工作區來儲存所有資源收集的資料，與 IT 組織的作業模型一致。 此工作區提供中央小組所有工作區的使用方式、成本和效能概觀。 中央工作區會根據資源來尊重範圍和角色型存取控制 （RBAC）。 Log Analytics 工作區深入解析有自己的個別警示集。

• Log Analytics 藉由匯出工作區資料以進行封存或分析，以提供進一步的整合。 將資料封存至非經常性存取層儲存體可節省成本。 您可以藉由建立可饋送至機器學習模型的資料集，使用封存的資料進行進一步分析。

• 監視會連線到安全性資訊和事件管理 （SIEM） 工具，例如 Microsoft Sentinel，以建立較大的企業安全性資料存放區。

• Power BI 和 Azure 活頁簿 （適用于 Azure 監視器）提供資料視覺效果和儀表板功能。

元件

此架構包含下列元件：

監視元件

Azure 監視器 會收集、分析及處理來自雲端和內部部署環境的遙測資料。 此解決方案使用下列監視器元件和功能：

• 監視計量會將 受監視資源的數值資料收集到時間序列資料庫。 監視器中的計量是輕量型且支援近乎即時的案例，因此有助於警示和快速偵測問題。
• 監視記錄 會從受監視的資源收集及組織記錄和效能資料。 您可以將多個來源的資料合併到單一工作區，包括 Azure 平臺記錄 。 您可以在 Log Analytics 中使用 複雜的查詢語言 來分析資料。
• Azure 監視器代理程式 可以將資料傳送至監視記錄和監視計量。 Azure 監視器代理程式會使用可設定 的資料收集規則 （DCR），而且不需要工作區金鑰才能連線。
• Application Insights 跨雲端、混合式和內部部署環境，監視各種平臺上的即時應用程式。 Application Insights 會自動偵測效能異常。 Application Insights 包含功能強大的分析工具，可協助您瞭解使用量和診斷問題。
• Azure 虛擬桌面深入解析 會使用適用于 Azure 虛擬桌面的監視器，協助 IT 專業人員瞭解其 Azure 虛擬桌面環境。
• 容器深入解析 會監視 Kubernetes 叢集和其他容器型工作負載的效能和健康情況。
• 網路深入解析 提供所有已部署網路資源健康情況和計量的完整檢視。
• SQL 深入解析 （預覽） 會監視健康情況，並協助您診斷問題，並微調 Azure SQL 系列中任何產品的效能。
• VM 深入解析 會監視 VM 和虛擬機器擴展集的效能和健康情況。 VM 深入解析包括執行進程和其他資源的相依性。
• IT 服務管理連線or （ITSMC） 提供 Azure 與支援的 ITSM 工具之間的雙向連線，以協助您更快速地解決工作專案。
• 適用于 Azure 監視器 的 Azure 活頁簿提供彈性畫布來分析多個 Azure 資料來源，並將其結合成互動式視覺效果報表。
• Log Analytics 會在 Log Analytics 工作區 中的 監視記錄資料上建立和執行查詢。 此解決方案使用下列 Log Analytics 功能：
  • Log Analytics 代理程式 會從雲端和內部部署作業系統和 VM 工作負載收集監視資料，並將其傳送至 Log Analytics 工作區。
  • Microsoft Entra 監視 會將 Microsoft Entra 活動記錄路由傳送至 Log Analytics 工作區。
  • Log Analytics 閘道 會將資料傳送至無法直接連線到網際網路的電腦Azure 自動化和 Log Analytics 工作區。
  • 服務對應 會使用 Log Analytics 代理程式自動探索 Windows 和 Linux 系統上的應用程式元件，並對應服務之間的通訊。
  • 警示管理 可協助您分析 Log Analytics 工作區中的所有警示。
  • Log Analytics 資料匯出 （預覽） 會持續從 Log Analytics 工作區中選取的資料表匯出資料。 資料可以匯出至 Azure 儲存體帳戶或Azure 事件中樞。
  • Log Analytics 工作區深入解析提供所有 Log Analytics 工作區的完整監視。 Workspace Insights 提供工作區使用量、效能、健康情況、代理程式、查詢和變更記錄的統一檢視。

其他元件

在此解決方案中，監視器支援或與下列 Azure 和Microsoft 服務整合：

• Azure Arc 會傳遞一致的多重雲端和內部部署管理平台，來簡化治理和管理。
• Azure 自動化提供雲端式自動化、作業系統更新和設定，以支援跨環境進行一致的管理。 變更追蹤追蹤雲端和內部部署 VM 中的變更，以協助您識別軟體問題。 變更追蹤將資料轉送至監視記錄，並將資料儲存在 Log Analytics 工作區中。
• Azure ExpressRoute 會將內部部署網路延伸至 Microsoft 雲端。 ExpressRoute 會透過連線提供者的協助使用私人連線。
• Azure Data Lake 儲存體 為巨量資料分析提供安全、可調整、符合成本效益的雲端儲存體。
• Azure Functions 是無伺服器解決方案，可實作稱為 函 式的現成程式碼區塊。 函式會視需要執行，並自動相應增加。
• Azure Kubernetes Services （AKS） 是完全受控的 Kubernetes 服務，可輕鬆地部署和管理容器化應用程式。
• Azure Load Balancer 會平均分散後端資源或伺服器之間的連入網路流量。
• Azure Logic Apps 是一個雲端式平臺，可用於建立和執行自動化工作流程。 邏輯應用程式可以整合應用程式、資料、服務和系統。
• Azure Resource Manager 提供一個管理層和範本，可讓您在 Azure 帳戶中建立、更新和刪除資源。
• 適用於雲端的 Microsoft Defender是統一基礎結構安全性管理系統適用於雲端的 Microsoft Defender的一部分。
• Microsoft Sentinel 是雲端原生、可調整的安全性資訊和事件管理 （SIEM） 和安全性協調流程自動化回應 （SOAR） 解決方案。
• Azure SQL 系列 SQL 資料庫服務提供一致且統一的 Azure SQL 體驗。 Azure SQL 有從邊緣到雲端的完整部署選項。
• Power BI 是軟體服務、應用程式和連接器的集合，可讓您的資料來源變成一致的、視覺化的沉浸式和互動式深入解析。

替代項目

您可以使用一些監視替代方案，以及 或 ，而不是監視。

System Center Operations Manager

System Center Operations Manager 提供彈性且符合成本效益的基礎結構監視。 Operations Manager 提供私人和公用資料中心和雲端的完整監視。 Operations Manager 可協助確保重要應用程式的可預測效能和可用性。

若要維護現有的 Operations Manager 投資，您可以將 Operations Manager 與您的 Log Analytics 工作區整合。 您可以使用監視記錄和擴充功能，同時仍針對下列函式使用 Operations Manager：

• 監視 IT 服務的健康情況
• 維護與 ITSM 解決方案的整合，以進行事件和問題管理
• 管理部署至內部部署和公用雲端 IaaS VM 的代理程式生命週期。

如需詳細資訊，請參閱 連線 Operations Manager 至 Azure 監視器 。

Grafana

Grafana 是一個開放且可組合的可觀察性和資料視覺效果平臺。 Grafana 可協助您查詢、視覺化、警示，並瞭解資料儲存在何處。 您可以建置彈性儀表板來探索及共用資料。

案例詳細資料

企業小組有不同的工作負載，例如 Windows、Linux、SQL、身分識別型工作負載、虛擬桌面基礎結構 （VDI）、容器和 Web 應用程式。 這些工作負載可以在任何雲端提供者、內部部署或組合中執行。 在不同的環境中，有如此大量的工作負載，雲端式監視很複雜。

企業級監視也必須涵蓋治理、作業最佳做法、有效的成本管理和工作區安全性。 監視必須有足夠的彈性來設定和管理小組環境，並讓小組以某種程度的控制方式自行管理。

其他重要的監視設計因素包括：

• 如何將 Log Analytics 工作區分散到不同的地理區域或小組。
• 監視工作區本身及其工作負載。
• 如何向不同的小組收取費用，以將整體成本優化。
• 如何視覺化並可能封存收集的資料。
• 為作業、應用程式和不同的小組建立個別的儀表板。
• 讓領導能夠充分瞭解正確的資訊集。

潛在的使用案例

此解決方案可協助處理下列使用案例：

• 針對不同的雲端和內部部署工作負載進行合併監視。
• 監視容器、Azure SQL 和 Azure 虛擬桌面工作負載。
• 展開的監視範圍，例如將監視器連線至 Microsoft Sentinel。
• 跨網路、身分識別提供者、作業系統和其他網域的混合式和異質雲端監視。

考量

下列考慮適用于此解決方案。

可用性

Azure 可用性區域 會依賴區域中其他區域的可用性，保護應用程式和資料免于資料中心失敗。 可用性區域有助於為依賴 Log Analytics 工作區的 Application Insights 等監視功能提供復原能力。 即使無法使用特定資料中心，連結至可用性區域的工作區仍會保持作用中且可運作。

如需支援可用性區域的 Azure 區域，請參閱 Azure 中的區域和可用性區域。 監視目前支援美國東部 2 和美國西部 2 區域中的可用性區域。

監視可用性區域的支援需要連結至監視記錄專用叢集 的 Log Analytics 工作區。 專用叢集是一種部署選項，可啟用監視記錄的進階功能，包括可用性區域。 在 2020 年 10 月之後建立的專用叢集預設可以使用監視支援它們的可用性區域。

Logic Apps 商務持續性災害復原 （BCDR） 工作流程

Logic Apps 工作流程可協助您整合和協調應用程式、雲端服務和內部部署系統之間的資料。 當您規劃商務持續性災害復原 （BCDR）時，請務必考慮不只是邏輯應用程式，還要考慮他們搭配運作的 Azure 資源。 如需自動化邏輯應用程式工作流程的 BCDR 指引和策略，請參閱 Azure Logic Apps 的商務持續性和災害復原。

Operations

• 請務必有處理個人資料的策略。 如需詳細資訊，請參閱 Log Analytics 和 Application Insights 中所儲存個人資料的 指引。

• 使用下列指導方針確保法規合規性：

  • 適用于 Azure 監視器的 Azure 安全性基準
  • 適用于 Azure 監視器的Azure 原則法規合規性控制

• Azure 自動化在 Azure 中執行的 Runbook 可能無法存取其他雲端或內部部署中的資源。 您可以使用Azure 自動化混合式 Runbook 背景工作角色，直接在裝載角色的電腦上執行 Runbook。 您可以針對環境中的資源執行 Runbook 來管理本機資源。 如需詳細資訊，請參閱 自動化混合式 Runbook 背景工作角色概觀 。

• 請考慮下列作業最佳做法，以協助檢查成本：

  • 只有在資料收集很高時，才啟用警示。
  • 在實作監視解決方案之前，請先檢閱監視 解決方案 。 例如，讓適用於雲端的 Defender收集和稽核安全性事件資料可能會以指數方式增加資料收集成本。
  • 全面合理化警示建立。 請考慮建立單一警示，而不是每個工作區或小組具有相同警示。
  • 將警示、Logic Apps 和工作區等資源分組在不同的資源群組中，並使用標記進行識別。
  • 針對不同工作區的成本整體檢視，使用 Log Analytics 工作區深入解析。
  • 使用 Azure 監視器代理程式進行細微資料收集，以從系統事件記錄收集單一事件識別碼的層級。 微調資料收集可以提供成本效益。
  • 使用監視資料匯出將資料封存至低成本儲存體。
  • 遵循 Application Insights 工作區中遙測資料的最佳做法。 如需詳細資訊，請參閱 管理 Application Insights 的使用方式和成本。

效能效益

下列效能考慮適用于此解決方案：

Latency

延遲是在受監視系統上建立資料與其可用性在監視中進行分析之間的時間量。 擷取記錄資料的典型延遲介於 20 秒到 3 分鐘之間。 任何資料的特定延遲取決於各種因素。

特定資料集的總擷取時間有下列部分：

• 代理程式時間：探索事件的時間、收集事件，並將其傳送至監視器記錄擷取點做為記錄檔記錄。 在大部分情況下，代理程式會處理此程式。 網路可能會帶來額外的延遲。
• 管線時間：擷取管線處理記錄的時間。 這次包含剖析事件屬性，以及可能新增匯出資訊。
• 編制索引時間：將記錄檔記錄擷取到監視巨量資料存放區所花費的時間。

為了確保延遲降到最低，請將監視工作區、Logic Apps 和相關基礎結構放在相同的 Azure 區域中，並具有其監視或控制的工作負載。 不過，仍有延遲問題。 如需詳細資訊，請參閱 Azure 監視器 中的記錄資料擷取時間。

記錄與計量警示

計量警示會定期檢查一或多個計量時間序列中的條件是否為 true，並在條件符合評估時通知您。 計量警示預設為具狀態，只有在狀態變更時才會傳送通知，例如引發 或 解決 。

記錄警示會使用 Log Analytics 查詢，以設定頻率評估資源記錄，並根據結果引發警示。 計量型警示比記錄警示更快傳送通知。

延展性

• 監視針對警示、動作群組、工作區和 Application Insights 的每個訂用帳戶都有服務限制。 如需詳細資訊，請參閱 Azure 監視器服務限制 。

• 檢閱並瞭解 Azure 訂用帳戶服務限制 ，特別是 Logic Apps 和 Azure 自動化 的限制 。

安全性

此解決方案使用下列安全性機制：

存取控制

Azure RBAC 會鎖定每個小組或應用程式擁有者裝載警示和 Logic Apps 的資源群組。 使用 Azure RBAC，您可以只授與使用者和群組使用工作區中監視資料所需的存取權量。 例如，您可以授與負責 Azure VM 裝載基礎結構服務的小組存取權，只授與那些 VM 產生的記錄。

使用者可以存取的資料是由因素的組合所決定。

如需詳細資訊，請參閱 存取控制概觀 。

透過 ExpressRoute 的私人端點連線

監視器是不同互連服務的星座，可一起運作以監視您的工作負載。 您可以使用 Azure Private Link 安全地將 Azure PaaS 資源連結到具有私人端點的虛擬網路。 Azure 監視器 Private Link 範圍 可在部署在虛擬網路中的應用程式與監視資源之間提供私人連線能力，並定義監視網路的界限。 如需詳細資訊，請參閱使用 Azure Private Link 將網路連線到 Azure 監視器。

Logic Apps 整合服務環境 （ISE）

整合服務環境 （ISE） 環境會將專用儲存體和其他資源與全域多租使用者 Logic Apps 服務分開。 如需詳細資訊，請參閱 使用整合服務環境 （ISE） 從 Azure Logic Apps 連線至 Azure 虛擬網路。

Log Analytics 閘道

Log Analytics 閘道會將資料傳送至Azure 自動化，以及無法直接連線到網際網路的電腦監視 Log Analytics 工作區。 如需詳細資訊，請參閱 使用 Azure 監視器 中的 Log Analytics 閘道，連線沒有網際網路存取的電腦。

成本最佳化

• Azure 監視器包含收集和分析記錄資料的功能。 依資料擷取、保留和匯出來監視帳單。 可能影響定價的其他因素包括警示、通知和簡訊或語音通話。 如需詳細資訊，請參閱 Azure 監視器定價 。

• Application Insights 和 Log Analytics 的預設定價 是以內嵌的資料量為基礎，以及選擇性地保留較長的資料，是隨用隨付模型。 Log Analytics 也有承諾層，相較于隨用隨付價格，可節省高達 30% 的費用。

• 檢閱 Logic Apps 定價 和 Azure 自動化定價 。

• 使用 Azure 定價計算機 深入瞭解定價。

考慮檢查清單

下一步

• Azure 監視器會監視什麼？
• Azure 監視器資料平台
• Microsoft Azure 中的警示概觀
• Azure 監視器最佳做法 - 分析和視覺化資料
• Azure 監視器學習路徑

相關資源

• Microsoft 架構完善的架構卓越營運
• 監視 DevOps
• 警示
• 混合式可用性和效能監視
• Azure 上的 Web 應用程式監視