الإدارة والمراقبة

  • 20 دقائق

ما لا يمكنك رؤيته، لا يمكنك قياسه. ما لا يمكنك قياسه، لا يمكنك تحسينه.

ضمن تصميم على نطاق المؤسسة، تركز الإدارة والمراقبة على ضمان إمكانية المراقبة كأساس لتصميم النظام الأساسي. يتم تشغيل أسلوب مركزي للتسجيل بشكل افتراضي عبر عقار Azure. يمنع التسجيل المركزي الثغرات في قابلية المراقبة التي يمكن أن تعرض المؤسسة للخطر.

لتحقيق الإدارة والمراقبة على نطاق المؤسسة، يجب عليك:

  • تصميم ونشر ودمج على مستوى النظام الأساسي، ومراقبة الموارد الشاملة (الأفقية) والتنبيه عنها.
  • تعريف المهام التشغيلية وتنظيمها، مثل التحديث الجزئي والنسخ الاحتياطي.
  • دمج عمليات الأمان والمراقبة والتسجيل مع الموارد على Azure وأي أنظمة موجودة في الموقع.
  • تكوين كافة سجلات نشاط الاشتراك التي تسجل العمليات على مستوى التحكم في أنحاء الموارد لكي تدفق البيانات إلى Azure Monitor Log Analytics. يجعل هذا الأسلوب السجلات المتوفرة للاستعلام والتحليل، وتخضع لأذونات التحكم في الوصول المستندة إلى الدور (RBAC).

يعرض هذا الرسم التخطيطي اشتراك إدارة مكرس لدعم قدرات الإدارة العمومية مثل مساحات عمل Log Analytics وAzure Automation runbooks:

A diagram of enterprise-scale management and monitoring.

تصميم مساحة عمل Log Analytics

يعد التسجيل المركزي أمرًا حاسمًا للوضوح الذي تتطلبه فرق إدارة العمليات. تقوم هذه المركزية بتقديم تقارير حول إدارة التغيير، وصحة الخدمة، والتكوين، ومعظم الجوانب الأخرى لعمليات تكنولوجيا المعلومات. إن التقارب في نموذج مساحة عمل مركزية في Log Analytics يقلل من كل من الجهد الإداري وفرص وجود ثغرات في قابلية المراقبة. لتصميم مساحة العمل على نطاق المؤسسة، نوصي بمساحة عمل Log Analytics واحدة لإدارة النظام الأساسي مركزيًا. وسيكون الاستثناء هو عندما يتم تفويض RBAC ومتطلبات السيادة على البيانات بمساحات عمل منفصلة.

في سياق الهيكل المؤسسي، فإن التسجيل المركزي يهتم بشكل أساسي بعمليات النظام الأساسي. لا يمنع تركيز النظام الأساسي هذا استخدام نفس مساحة العمل لتسجيل التطبيقات المستندة إلى الجهاز الظاهري (VM). مع مساحة عمل تم تكوينها في وضع التحكم بالوصول المرتكز على الموارد، يتم فرض RBAC الحبيبية للتأكد من أن فِرَق التطبيق لديها حق الوصول فقط إلى السجلات من مواردها. في هذا النموذج، تستفيد فِرَق التطبيق عبر استخدام البنية الأساسية الحالية للنظام الأساسي لتقليل النفقات العامة الخاصة بالإدارة. بالنسبة إلى أي موارد أخرى، يمكن لفِرَق التطبيقات استخدام مساحات عمل Log Analytics الخاصة بهم أو Application Insights لسجلات التشخيص والمقاييس.

التدقيق واستبقاء السجل

في Azure، سجل النشاط هو سجل النظام الأساسي الذي يوفر نظرة ثاقبة إلى الأحداث على مستوى الاشتراك. يحتوي سجل النشاط على كافة عمليات الكتابة (PUT، وPOST، وDELETE) لموارد الاشتراك. تتضمن هذه العمليات معلومات مثلاً عند تعديل مورد أو عند بدء تشغيل جهاز ظاهري. يمكنك عرض سجل الأنشطة في مدخل Microsoft Azure أو استرداد الإدخالات باستخدام PowerShell وAzure CLI. يمكنك تكوين إعدادات التشخيص للاشتراك عبر النهج لإرسال بيانات السجل إلى مساحة عمل Log Analytics المركزية. يوفر هذا التكوين طريقة عرض مركزية عبر الاشتراكات ويتيح لك الاحتفاظ ببيانات السجل بعد 90 يوما الافتراضية.

عندما يتطلب العميل استبقاء بيانات السجل لمدة أطول من عامين، يمكنه تكوين إعدادات تشخيص الاشتراك أيضا للتصدير إلى Azure Storage. استخدم التخزين غير القابل للتغيير مع الكتابة مرة واحدة، واقرأ العديد من نهج (WORM) لجعل البيانات غير قابلة للإلغاء وغير قابلة للتعديل لفترة زمنية محددة من قبل المستخدم.

لوحات المعلومات والتصور

عند تشغيل إحدى العقارات في Azure، من المهم تزويد الفرق المختلفة في المؤسسة ببيانات منسقة وفي الوقت المناسب وسهلة الاستهلاك ذات صلة بهم. يبسط النهج المركزي للتصور تجربة الإلحاق لفرق التطبيق. كما أنه يضمن درجة من الاتساق في جميع أنحاء المؤسسة.

تعتبر مصنفات Azure Monitor هي القدرة على تصور الأنظمة الأساسية حيث تتركز جهود التطوير الحالية. توفر المصنفات لوحة مرنة لتحليل البيانات وإنشاء تقارير مرئية غنية داخل مدخل Microsoft Azure. يمكنهم الاستفادة من مصادر بيانات متعددة من جميع أنحاء Azure ودمجها في تجارب تفاعلية موحدة.

يمكن للمصنفات الاستعلام عن البيانات من مصادر متعددة داخل Azure. يمكن لمؤلفي المصنفات تحويل هذه البيانات لتوفير معلومات حول توفر المكونات الأساسية، والأداء، والاستخدام، والصحة العامة. على سبيل المثال، يمكنك تحليل سجلات الأداء من أجهزة VM لتعريف مثيلات CPU عالية أو منخفضة الذاكرة وعرض النتائج كشبكة في تقرير تفاعلي.

ومع ذلك، فإن القوة الحقيقية للمصنفات هي القدرة على دمج البيانات من مصادر متباينة داخل تقرير واحد. يمكنك إنشاء طرق عرض مورد مركب أو صلات عبر الموارد لإنتاج بيانات ورؤى أكثر ثراءً مما قد يكون ممكنًا.

المصنفات متوافقة حاليًا مع مصادر البيانات التالية:

  • السجلات
  • المقاييس
  • Azure Resource Graph
  • تنبيهات Azure Monitor
  • Workload health
  • صحة موارد Azure
  • Azure Data Explorer ‏(Kusto)

نوصيك بإنشاء مجموعة منسقة من لوحات المعلومات لأشخاص معينين ضمن نموذج تشغيل المؤسسة.

السجلات والمقاييس

جميع البيانات التي تم جمعها بواسطة Azure Monitor تتناسب مع أحد النوعين الأساسيين: السجلات أو المقاييس. تعد السجلات في Azure Monitor مفيدة بشكل خاص للتحليل المعقد عبر البيانات من مصادر مختلفة. المقاييس في Azure Monitor خفيفة الوزن ويمكن أن تدعم سيناريوهات قريبة من الوقت الحقيقي، ما يجعلها مفيدة للتنبيه والكشف السريع عن المشكلات.

السجلاتهي أحداث حصلت داخل النظام. يمكن أن تحتوي على أنواع مختلفة من البيانات، وقد تكون نصا منظما أو حرا مع طابع زمني. قد يتم إنشاؤها بشكل متقطع كأحداث في البيئة وتولد إدخالات السجل، ونظام تحت تحميل كثيف يولد عادةً المزيد من وحدات تخزين السجل. يمكن إرسال سجلات الموارد Azure إلى مساحة عمل Log Analytics عبر إعدادات تشخيص المورد. يمكنك استخدام نهج Azure للتأكد من تكوين إعدادات التشخيص بشكل مناسب لجميع الموارد.

يُقصد بالمقاييس القيم العددية التي تصف بعض جوانب النظام في وقت معين. يتم جمعها في فواصل منتظمة وتعريفها بطابع زمني، واسم، وقيمة، وملصق تعريف واحد أو أكثر. يمكن أن تكون المقاييس:

  • مجمعة باستخدام خوارزميات مختلفة
  • تتم مقارنتها مع المقاييس الأخرى
  • يتم تحليلها لإيجاد الاتجاهات الرائجة على مر الزمن

السجلات والمقاييس هي مكونات هامة لمراقبة النظام الأساسي الذي يركز على التطبيق. إن فرض جمع هذه البيانات من خلال النهج على مستوى النظام الأساسي يضمن أن تكون البيانات متاحة بسهولة للاستهلاك من قبل فرق التطبيق. كما أنه يمنع الثغرات غير المقصودة في قابلية المراقبة عبر النظام الأساسي.

إدارة الجهاز الظاهري

قم بتطبيق تكوينات إدارة الجهاز الظاهري عبر النهج لضمان تكوين متناسق عبر النظام الأساسي. ومن العناصر المهمة لهذا النهج الالتزام بمبدأ التصميم على نطاق المؤسسة المتمثل في استخدام خدمات النظام الأساسي الأصلية لـ Azure وقدراتها كلما أمكن ذلك.

تبدأ استراتيجية إدارة VM مع النسخ الاحتياطي للحماية من فقدان البيانات. إن Azure Backup هو إحدى خدمات Azure الأصلية للنسخ الاحتياطي لـ VM. توفر الخدمة نسخًا احتياطية مستقلة ومعزولة للحماية من التدمير غير المقصود للبيانات على VM. يتم تخزين النسخ الاحتياطية في مخزن خدمات الاسترداد مع إدارة مدمجة لنقاط الاسترداد.

يزيل Azure Backup الحاجة إلى إدارة برامج النسخ الاحتياطي والبنية الأساسية من الأطراف الثالثة. كما هو الحال مع ميزات Azure الأصلية الأخرى، يمكن تعيين تكوينات النسخ الاحتياطي، والتدقيق فيها، وفرضها باستخدام Azure Policy. ويكفل هذا النهج أن تظل الخدمات ممتثلة لمتطلبات الحوكمة في المنظمة. قم بفرض استخدام Azure Backup على كافة أجهزة VM عبر النهج.

يمكن أن توفر حسابات Azure Automation المركزية مناطق منتقلاً إليها للتطبيقات مع خدمات إدارة VM سهلة الاستخدام. كما يمكن أن تزوّد فرق تكنولوجيا المعلومات المركزية بالوضوح والتحكم المطلوبين لضمان امتثال VM لمعايير المؤسسة. استفد من إدارة التحديث VM وميزات تكوين الضيف من Azure Automation.

فرض تكوينات إدارة التحديثات من خلال النهج:

  • يضمن تضمين كافة الأجهزة الظاهرية في نظام إدارة التصحيح
  • يمنح فرق التطبيق القدرة على إدارة عملية توزيع التصحيح للأجهزة الظاهرية الخاصة بهم
  • يوفر قدرات الوضوح والفرض لفريق تكنولوجيا المعلومات المركزي عبر كافة الأجهزة الظاهرية

يساعد تمكين قدرات تدقيق تكوين الضيف عبر النهج فرق التطبيقات على مراقبة أحمال العمل الخاصة بهم من أجل الانحراف عن التكوين مع القليل من الجهد.

المراقبة والتنبيهات

على مستوى النظام الأساسي، تركز المراقبة على بيانات VM وصحة الموارد في Azure Monitor. يمكنك تعيين إعدادات التشخيص لموارد Azure عبر النهج للتصدير إلى مساحة عمل Log Analytics المركزية. قم بتمكين مراقبة Azure لـ VMs عبر النهج لتوفير رؤى الأداء، والصحة، والتبعية لـ VMs ومجموعات مقياس الجهاز الظاهري وأجهزة Arc Azure على نطاق واسع. فريق التطبيق هو المسؤول عن نشر وتكوين مراقبة صحة التطبيق عن طريق أدوات مثل Application Insights.

نوصي أيضًا بتضمين الخدمات والأحداث الصحية للموارد كجزء من الحل العام لمراقبة النظام الأساسي. يعد تتبع صحة الخدمات والموارد من منظور النظام الأساسي مكونًا هامًا لإدارة الموارد في Azure.

تولد التنبيهات إشعارات حول الأحداث الهامة. توفر Azure Monitor تجربة تنبيه موحدة عبر النظام الأساسي والموارد، مع سجل النشاط والمقاييس وأنواع إشارات سجل الموارد.

  • التنبيهات القياسية في Azure Monitor تعمل فوق المقاييس متعددة الأبعاد. يمكن أن تكون هذه المقاييس مقاييس النظام الأساسي، والمقاييس المخصصة، والسجلات الشائعة من Azure Monitor المحولة إلى مقاييس، أو مقاييس Application Insights. يتم تقييم التنبيهات القياسية على فترات منتظمة. إنهم يتحققون مما إذا كانت الشروط على سلسلة زمنية قياسية واحدة أو أكثر صحيحة، ويرسلون إعلامات عند استيفاء التقييمات. التنبيهات القياسية تتبع الحالة، لذلك فإنها ترسل الإخطارات فقط عندما تتغير الحالة.
  • قواعد البحث في السجل تنشئ تنبيهات Azure قواعد بحث السجل لتشغيل استعلامات السجل المحددة تلقائيا على فترات منتظمة. إذا كانت نتائج استعلام السجل تفي بمعايير معينة، يتم إنشاء سجل تنبيه.
  • يتم تفعيل تنبيهات سجل النشاط حين يتطابق حدث جديد من أحداث سجل النشاط مع الظروف المحددة في التنبيه.

مراقبه الأمان

يؤدي Microsoft Defender for Cloud أيضا دورًا هامًا في استراتيجية المراقبة على نطاق المؤسسة. يمكن أن يساعد في مراقبة أمن VMs والشبكات والتخزين وخدمات البيانات والتطبيقات. يوفر Defender for Cloud إمكانية الكشف المتقدم عن المخاطر باستخدام التعلم الآلي وتحليلات السلوكيات للمساعدة على تحديد المخاطر النشطة التي تستهدف موارد Azure. كما يوفر الحماية من التهديدات التي تمنع البرامج الضارة أو غيرها من التعليمات البرمجية غير المرغوب فيها ويقلل من المساحة المعرضة لهجمات القوة الغاشمة وغيرها من الشبكات. نوصي بتمكين SKU القياسي لـ Defender for Cloud على جميع الاشتراكات عبر النهج.

‏‫اختبر معلوماتك

1.

افترض أن إحدى المؤسسات تستخدم خدمات Azure في شرق اليابان وجنوب المملكة المتحدة وشرق الولايات المتحدة 2 وغرب الولايات المتحدة 2. وليست لديها متطلبات سيادة لبياناتها المتعلقة بالإدارة والمراقبة. كم عدد مساحات عمل Log Analytics التي يجب أن تستخدمها لإدارة ومراقبة بيانات سجل النظام الأساسي؟

2.

أين يمكنك العثور على سجل لكافة عمليات الكتابة (PUT، وPOST، وDELETE) لموارد الاشتراك؟