Verwaltung und ÜberwachungManagement and monitoring

Planen von Plattformverwaltung und -überwachungPlan platform management and monitoring

In diesem Abschnitt erfahren Sie, wie eine Azure Enterprise-Umgebung mit zentralisierter Verwaltung und Überwachung auf Plattformebene im laufenden Betrieb gepflegt wird.This section explores how to operationally maintain an Azure enterprise estate with centralized management and monitoring at a platform level. Konkret erhalten Sie wichtige Empfehlungen für zentrale Teams, wie die operative Sichtbarkeit innerhalb einer umfassenden Azure-Plattform gewährleistet werden kann.More specifically, it presents key recommendations for central teams to maintain operational visibility within a large-scale Azure platform.

Diagramm zur Verwaltung und Überwachung

Abbildung 1: Plattformverwaltung und -überwachung.Figure 1: Platform management and monitoring.

Überlegungen zum Entwurf:Design considerations:

  • Verwenden Sie einen Azure Monitor Log Analytics-Arbeitsbereich als administrative Grenze.Use an Azure Monitor Log Analytics workspace as an administrative boundary.

  • Anwendungszentrierte Plattformüberwachung, die den langsamsten und den kalten Telemetriepfad für Metriken und Protokolle umfasst:Application-centric platform monitoring, encompassing both hot and cold telemetry paths for metrics and logs, respectively:

    • Betriebssystemmetriken (z. B. Leistungsindikatoren und benutzerdefinierte Metriken)Operating system metrics; for example, performance counters and custom metrics
    • Betriebssystemprotokolle (z. B. Internetinformationsdienste (IIS), Ereignisablaufverfolgung für Windows und Syslog-Protokolle)Operating system logs; for example, Internet Information Services, Event Tracing for Windows, and syslogs
    • Ereignisse zur RessourcenintegritätResource health events
  • Protokollieren der Sicherheitsüberwachung und Erreichen eines horizontalen Sicherheitsfokus in der gesamten Azure-Umgebung Ihrer Organisation:Security audit logging and achieving a horizontal security lens across your organization's entire Azure estate:

    • Mögliche Integration mit lokalen SIEM-Systemen (Security Information & Event Management) wie ServiceNow, ArcSight oder der Onapsis-SicherheitsplattformPotential integration with on-premises security information and event management (SIEM) systems such as ServiceNow, ArcSight, or the Onapsis security platform
    • Azure-AktivitätsprotokolleAzure activity logs
    • Azure Active Directory-Prüfberichte (Azure AD)Azure Active Directory (Azure AD) audit reports
    • Azure-Diagnosedienste, -protokolle und -metriken; Azure Key Vault-Überwachungsereignisse; NSG-Datenflussprotokolle (Netzwerksicherheitsgruppen) und EreignisprotokolleAzure diagnostic services, logs, and metrics; Azure Key Vault audit events; network security group (NSG) flow logs; and event logs
    • Azure Monitor, Azure Network Watcher, Azure Security Center und Azure SentinelAzure Monitor, Azure Network Watcher, Azure Security Center, and Azure Sentinel
  • Azure-Schwellenwerte für die Datenaufbewahrung und Archivierungsanforderungen:Azure data retention thresholds and archiving requirements:

    • Der Standardaufbewahrungszeitraum für Azure Monitor Logs beträgt 30 Tage. Die maximale Dauer sind zwei Jahre.The default retention period for Azure Monitor Logs is 30 days, with a maximum of two years.
    • Der Standardaufbewahrungszeitraum für Azure AD-Berichte (Premium) beträgt 30 Tage.The default retention period for Azure AD reports (premium) is 30 days.
    • Der Standardaufbewahrungszeitraum für den Azure-Diagnosedienst beträgt 90 Tage.The default retention period for the Azure diagnostic service is 90 days.
  • Betriebsanforderungen:Operational requirements:

    • Operative Dashboards mit nativen Tools wie Azure Monitor Logs oder DrittanbietertoolsOperational dashboards with native tools such as Azure Monitor Logs or third-party tooling
    • Steuern privilegierter Aktivitäten mit zentralisierten RollenControlling privileged activities with centralized roles
    • Verwaltete Identitäten für Azure-Ressourcen für den Zugriff auf Azure-DiensteManaged identities for Azure resources for access to Azure services
    • Ressourcensperren zum Verhindern des Bearbeitens und Löschens von RessourcenResource locks to protect editing and deleting resources

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie einen einzigen Überwachungsprotokoll-Arbeitsbereich zum zentralen Verwalten von Plattformen, es sei denn, die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), Anforderungen hinsichtlich der Datenhoheit und Datenaufbewahrungsrichtlinien schreiben separate Arbeitsbereiche vor.Use a single monitor logs workspace to manage platforms centrally except where Azure role-based access control (Azure RBAC), data sovereignty requirements and data retention policies mandate separate workspaces. Die zentralisierte Protokollierung ist entscheidend für die Transparenz, die Betriebsführungsteams benötigen.Centralized logging is critical to the visibility required by operations management teams. Die Zentralisierung der Protokollierung ermöglicht Berichte zu den Themen Change Management, Dienstintegrität, Konfiguration und den meisten anderen Aspekten des IT-Betriebs.Logging centralization drives reports about change management, service health, configuration, and most other aspects of IT operations. Das Konvergieren in ein zentralisiertes Arbeitsbereichsmodell verringert den Verwaltungsaufwand und mindert mögliche Lücken für Einblicke.Converging on a centralized workspace model reduces administrative effort and the chances for gaps in observability.

    Im Zusammenhang mit der Architektur auf Unternehmensebene geht es bei der zentralisierten Protokollierung hauptsächlich um Plattformvorgänge.In the context of the enterprise-scale architecture, centralized logging is primarily concerned with platform operations. Diese Betonung schließt nicht die Verwendung desselben Arbeitsbereichs für die VM-basierte Anwendungsprotokollierung aus.This emphasis doesn't prevent the use of the same workspace for VM-based application logging. Ist ein Arbeitsbereich im ressourcenbezogenen Zugriffssteuerungsmodus konfiguriert, wird präzises Azure RBAC erzwungen, um sicherzustellen, dass Anwendungsteams nur Zugriff auf die Protokolle für ihre Ressourcen haben.With a workspace configured in resource-centric access control mode, granular Azure RBAC is enforced to ensure application teams will only have access to the logs from their resources. In diesem Modell profitieren Anwendungsteams von der Verwendung einer vorhandenen Plattforminfrastruktur, indem der Verwaltungsaufwand reduziert wird.In this model, application teams benefit from the use of existing platform infrastructure by reducing their management overhead. Für alle Nicht-Computeressourcen, wie Web-Apps oder Azure Cosmos DB-Datenbanken, können Anwendungsteams ihre eigenen Log Analytics-Arbeitsbereiche verwenden und Diagnosen und Metriken konfigurieren, die hierher weitergeleitet werden sollen.For any non-compute resources such as web apps or Azure Cosmos DB databases, application teams can use their own Log Analytics workspaces and configure diagnostics and metrics to be routed here.

  • Exportieren Sie Protokolle in Azure Storage, wenn Protokolle länger als zwei Jahre aufbewahrt werden müssen.Export logs to Azure Storage if log retention requirements exceed two years. Verwenden Sie unveränderlichen Speicher mit WORM-Richtlinie (Write Once, Read Many), um Daten für einen vom Benutzer angegebenen Zeitraum festzulegen, dass sie weder gelöscht noch geändert werden können.Use immutable storage with a write-once, read-many policy to make data non-erasable and non-modifiable for a user-specified interval.
  • Verwenden Sie Azure Policy für Zugriffssteuerung und Erstellung von Compliance-Berichten.Use Azure Policy for access control and compliance reporting. Mit Azure Policy können organisationsweite Einstellungen erzwungen werden, um die konsistente Richtlinieneinhaltung und die schnelle Erkennung von Verstößen sicherzustellen.Azure Policy provides the ability to enforce organization-wide settings to ensure consistent policy adherence and fast violation detection. Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.For more information, see Understand Azure Policy effects.
  • Überwachen Sie VM-Konfigurationsdrifts auf Gastsystemen mit Azure Policy.Monitor in-guest virtual machine (VM) configuration drift using Azure Policy. Wenn Sie Überwachungsfunktionen für die Gastkonfiguration über Richtlinien aktivieren, können Anwendungsteamworkloads Features direkt mit geringem Aufwand nutzen.Enabling guest configuration audit capabilities through policy helps application team workloads to immediately consume feature capabilities with little effort.
  • Verwenden Sie die Updateverwaltung in Azure Automation als langfristigen Patchmechanismus für Windows- und Linux-VMs.Use Update Management in Azure Automation as a long-term patching mechanism for both Windows and Linux VMs. Durch die Erzwingung von Konfigurationen für die Updateverwaltung über Azure Policy wird sichergestellt, dass alle VMs von der Patchverwaltung erfasst werden und die Anwendungsteams die Patchbereitstellung für ihre VMs verwalten können.Enforcing Update Management configurations via Azure Policy ensures that all VMs are included in the patch management regimen and provides application teams with the ability to manage patch deployment for their VMs. Zudem sind für das zentrale IT-Team Sichtbarkeit und Erzwingung für alle VMs sichergestellt.It also provides visibility and enforcement capabilities to the central IT team across all VMs.
  • Verwenden Sie Network Watcher, um den Datenverkehrsfluss über Network Watcher-NSG-Datenflussprotokolle v2 proaktiv zu überwachen.Use Network Watcher to proactively monitor traffic flows via Network Watcher NSG flow logs v2. Traffic Analytics analysiert NSG-Datenflussprotokolle, um umfassende Einblicke in den IP-Datenverkehr in einem virtuellen Netzwerk zu erhalten und wichtige Informationen für die effektive Verwaltung und Überwachung bereitzustellen.Traffic Analytics analyzes NSG flow logs to gather deep insights about IP traffic within a virtual network and provides critical information for effective management and monitoring. Traffic Analytics stellt z. B. die folgenden Informationen bereit: Hosts und Anwendungsprotokolle mit der meisten Kommunikation, Hostpaare mit der meisten gemeinsamen Kommunikation, zugelassener oder blockierter Datenverkehr, ein- und ausgehender Datenverkehr, offene Internetports, die Regeln, die am meisten blockieren, die Datenverkehrsverteilung für ein Azure-Rechenzentrum, virtuelles Netzwerk, Subnetze oder nicht autorisierte Netzwerke.Traffic Analytics provide information such as most communicating hosts and application protocols, most conversing host pairs, allowed or blocked traffic, inbound and outbound traffic, open internet ports, most blocking rules, traffic distribution per an Azure datacenter, virtual network, subnets, or rogue networks.
  • Verhindern Sie mit Ressourcensperren ein versehentliches Löschen kritischer freigegebener Ressourcen.Use resource locks to prevent accidental deletion of critical shared services.
  • Verwenden Sie Verweigerungsrichtlinien, um Azure-Rollenzuweisungen zu ergänzen.Use deny policies to supplement Azure role assignments. Mit Verweigerungsrichtlinien wird verhindert, dass Ressourcen bereitgestellt und konfiguriert werden, die nicht den definierten Standards entsprechen. Dazu wird verhindert, dass die Anforderung an den Ressourcenanbieter gesendet wird.Deny policies are used to prevent deploying and configuring resources that don't match defined standards by preventing the request from being sent to the resource provider. Durch die Kombination von Verweigerungsrichtlinien und Azure-Rollenzuweisungen wird sichergestellt, dass die geeigneten Überwachungsmechanismen implementiert werden, um zu erzwingen, wer Ressourcen bereitstellen und konfigurieren kann und welche Ressourcen bereitgestellt und konfiguriert werden können.The combination of deny policies and Azure role assignments ensures the appropriate guardrails are in place to enforce who can deploy and configure resources and what resources they can deploy and configure.
  • Schließen Sie Ereignisse für die Dienst- und die Ressourcenintegrität in die Überwachungslösung für die gesamte Plattform ein.Include service and resource health events as part of the overall platform monitoring solution. Die Verfolgung der Dienst- und Ressourcenintegrität aus der Plattformperspektive ist ein wichtiger Bestandteil der Ressourcenverwaltung in Azure.Tracking service and resource health from the platform perspective is an important component of resource management in Azure.
  • Senden Sie keine unformatierten Protokolleinträge zurück an lokale Überwachungssysteme.Don't send raw log entries back to on-premises monitoring systems. Befolgen Sie stattdessen das Prinzip, dass aus Azure stammende Daten in Azure verbleiben.Instead, adopt a principle that data born in Azure stays in Azure. Wenn die lokale SIEM-Integration erforderlich ist, senden Sie kritische Warnungen anstelle von Protokollen.If on-premises SIEM integration is required, then send critical alerts instead of logs.

Planen der Anwendungsverwaltung und -überwachungPlan for application management and monitoring

Zur Erweiterung des vorherigen Abschnitts wird in diesem Abschnitt ein Verbundmodell betrachtet, und es wird erläutert, wie Anwendungsteams diese Workloads operativ verwalten können.To expand on the previous section, this section will consider a federated model and explain how application teams can operationally maintain these workloads.

Überlegungen zum Entwurf:Design considerations:

  • Bei der Anwendungsüberwachung können dedizierte Log Analytics Arbeitsbereiche verwendet werden.Application monitoring can use dedicated Log Analytics workspaces.
  • Für Anwendungen, die auf virtuellen Computern bereitgestellt werden, sollten Protokolle aus Plattformsicht zentral im dedizierten Log Analytics-Arbeitsbereich gespeichert werden.For applications that are deployed to virtual machines, logs should be stored centrally to the dedicated Log Analytics workspace from a platform perspective. Anwendungsteams können auf die Protokolle zugreifen, die der Azure RBAC unterliegen, die auf ihren Anwendungen oder virtuellen Computern vorhanden sind.Application teams can access the logs subject to the Azure RBAC they have on their applications or virtual machines.
  • Leistungs- und Integritätsüberwachung für Anwendungen sowohl für IaaS-Ressourcen (Infrastructure-as-a-Service) als auch für PaaS-Ressourcen (Platform as a Service)Application performance and health monitoring for both infrastructure as a service (IaaS) and platform as a service (PaaS) resources.
  • Anwendungskomponentenübergreifende DatenaggregationData aggregation across all application components.
  • Integritätsmodellierung und -operationalisierung:Health modeling and operationalization:
    • Messen der Integrität der Workload und ihrer SubsystemeHow to measure the health of the workload and its subsystems
    • Ein Ampelmodell zur Darstellung der IntegritätA traffic-light model to represent health
    • Vorgehen für Reagieren auf Fehler in AnwendungskomponentenHow to respond to failures across application components

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie einen zentralisierten Azure Monitor Log Analytics-Arbeitsbereich, um Protokolle und Metriken aus IaaS- und PaaS-Anwendungsressourcen zu erfassen und den Protokollzugriff mit Azure RBAC zu steuern.Use a centralized Azure Monitor Log Analytics workspace to collect logs and metrics from IaaS and PaaS application resources and control log access with Azure RBAC.
  • Verwenden Sie Azure Monitor-Metriken für zeitkritische Analysen.Use Azure Monitor metrics for time-sensitive analysis. Metriken in Azure Monitor werden in einer Zeitreihendatenbank gespeichert, die für das Analysieren von Daten mit Zeitstempel optimiert ist.Metrics in Azure Monitor are stored in a time-series database optimized to analyze time-stamped data. Diese Metriken sind besonders für Warnungen und zur schnellen Problemerkennung geeignet.These metrics are well suited for alerts and detecting issues quickly. Metriken liefern Informationen zur Leistung Ihres Systems.They can also tell you how your system is performing. Sie müssen jedoch in der Regel mit Protokollen kombiniert werden, damit die Ursachen von Problemen identifiziert werden können.They typically need to be combined with logs to identify the root cause of issues.
  • Verwenden Sie Azure Monitor Logs für Erkenntnisse und Berichterstellung.Use Azure Monitor Logs for insights and reporting. Protokolle enthalten verschiedene Typen von Daten, die in Datensätzen mit unterschiedlichen Eigenschaften organisiert sind.Logs contain different types of data that's organized into records with different sets of properties. Sie sind nützlich, um komplexe Daten aus verschiedenen Quellen zu analysieren, z. B. Leistungsdaten, Ereignisse und Ablaufverfolgungen.They're useful for analyzing complex data from a range of sources, such as performance data, events, and traces.
  • Verwenden Sie ggf. freigegebene Speicherkonten innerhalb der Zielzone als die Speicherung von Protokollen der Azure-Diagnoseerweiterung.When necessary, use shared storage accounts within the landing zone for Azure diagnostic extension log storage.
  • Verwenden Sie Azure Monitor-Warnungen, um operative Warnungen zu generieren.Use Azure Monitor alerts for the generation of operational alerts. Mit Azure Monitor-Warnungen werden Warnungen für Metriken und Protokolle vereinheitlicht, und für erweiterte Verwaltungs- und Wartungszwecke werden Funktionen wie Aktionsgruppen und intelligente Gruppen verwendet.Azure Monitor alerts unify alerts for metrics and logs and use features such as action and smart groups for advanced management and remediation purposes.