Métricas de Microsoft Purview en Azure Monitor

  • Artículo

En este artículo se describe cómo configurar métricas, alertas y opciones de diagnóstico para Microsoft Purview mediante Azure Monitor.

Supervisión de Microsoft Purview

Los administradores de Microsoft Purview pueden usar Azure Monitor para realizar un seguimiento del estado operativo de la cuenta de Microsoft Purview. Las métricas se recopilan para proporcionar puntos de datos para que pueda realizar un seguimiento de posibles problemas, solucionar problemas y mejorar la confiabilidad de la cuenta de Microsoft Purview. Las métricas se envían a Azure Monitor para los eventos que se producen en Microsoft Purview.

Métricas agregadas

Se puede acceder a las métricas desde el Azure Portal de una cuenta de Microsoft Purview. El acceso a las métricas se controla mediante la asignación de roles de la cuenta de Microsoft Purview. Los usuarios deben formar parte del rol "Lector de supervisión" en Microsoft Purview para ver las métricas. Consulte Supervisión de los permisos de rol de lector para obtener más información sobre los niveles de acceso de roles.

La persona que creó la cuenta de Microsoft Purview obtiene automáticamente permisos para ver las métricas. Si alguien más quiere ver las métricas, agréguelas al rol Lector de supervisión siguiendo estos pasos:

Adición de un usuario al rol Lector de supervisión

Para agregar un usuario al rol Lector de supervisión , el propietario de la cuenta de Microsoft Purview o el propietario de la suscripción puede seguir estos pasos:

  1. Vaya al Azure Portal y busque el nombre de la cuenta de Microsoft Purview.

  2. Seleccione Control de acceso (IAM).

  3. Seleccione Agregar agregar>asignación de roles para abrir la página Agregar asignación de roles .

  4. Asigne el siguiente rol. Para obtener pasos detallados, consulte Asignación de roles de Azure mediante el Azure Portal.

    Configuración Valor
    Role Lector de supervisión
    Asignar acceso a Usuario, grupo o entidad de servicio
    Members <Usuario de la cuenta de Azure AD>

    Captura de pantalla que muestra la página Agregar asignación de roles en Azure Portal.

Visualización de métricas

Los usuarios del rol Lector de supervisión pueden ver las métricas agregadas y los registros de diagnóstico enviados a Azure Monitor. Las métricas se muestran en la Azure Portal de la cuenta de Microsoft Purview correspondiente. En el Azure Portal, seleccione la sección Métricas para ver la lista de todas las métricas disponibles.

Captura de pantalla que muestra la sección de métricas disponibles de Microsoft Purview.

Los usuarios de Microsoft Purview también pueden acceder a la página de métricas directamente desde el centro de administración de la cuenta de Microsoft Purview. Seleccione Azure Monitor en la página principal del Centro de administración de Microsoft Purview para iniciar Azure Portal.

Captura de pantalla para iniciar las métricas de Microsoft Purview desde el Centro de administración.

Métricas disponibles

Para familiarizarse con cómo usar la sección de métricas de la Azure Portal lea previamente los dos documentos siguientes. Introducción al Explorador de métricas y a las características avanzadas del Explorador de métricas.

La tabla siguiente contiene la lista de métricas disponibles para explorar en la Azure Portal:

Nombre de métrica Espacio de nombres de métricas Tipo de agregación Descripción
Unidades de capacidad de mapa de datos Mapa de datos elásticos Sum
Count		 Agregar las unidades de capacidad del mapa de datos elásticos durante el período de tiempo
Tamaño de almacenamiento del mapa de datos Mapa de datos elásticos Sum
Avg		 Agregar el tamaño de almacenamiento del mapa de datos elásticos durante el período de tiempo
Examen cancelado Examen automatizado Sum
Count		 Agregar los exámenes del origen de datos cancelados a lo largo del período de tiempo
Examen completado Examen automatizado Sum
Count		 Agregar los exámenes del origen de datos completados a lo largo del período de tiempo
Error de examen Examen automatizado Sum
Count		 Agregar los exámenes de origen de datos con errores durante el período de tiempo
Tiempo necesario para el examen Examen automatizado Min
Max
Sum
Avg		 Agregar el tiempo total que tardan los exámenes en el período de tiempo

Supervisión de alertas

Se puede acceder a las alertas desde el Azure Portal de una cuenta de Microsoft Purview. El acceso a las alertas se controla mediante la asignación de roles de la cuenta de Microsoft Purview al igual que las métricas. Un usuario puede configurar reglas de alerta en su cuenta de Purview para recibir notificaciones cuando se produzcan eventos de supervisión importantes.

Captura de pantalla que muestra la creación de una alerta.

El usuario también puede crear reglas y condiciones de alerta específicas para las señales dentro de purview.

Captura de pantalla que muestra la adición de reglas y condiciones de alertas a una señal.

Envío de registros de diagnóstico

Los eventos de telemetría sin procesar se envían a Azure Monitor. Los eventos se pueden enviar a un área de trabajo de Log Analytics, archivarse en una cuenta de almacenamiento del cliente que prefiera, transmitirse a un centro de eventos o enviarse a una solución de asociado para su análisis posterior. La exportación de registros se realiza a través de la configuración de diagnóstico de la cuenta de Microsoft Purview en el Azure Portal.

Siga estos pasos para crear una configuración de diagnóstico para su cuenta de Microsoft Purview y enviar a su destino preferido:

  1. Busque la cuenta de Microsoft Purview en el Azure Portal.
  2. En el menú de Supervisión , seleccione Configuración de diagnóstico.
  3. Seleccione Agregar configuración de diagnóstico para crear una nueva configuración de diagnóstico para recopilar registros y métricas de la plataforma. Para obtener más información sobre esta configuración y los registros, consulte la documentación de Azure Monitor.

Captura de pantalla que muestra la creación de un registro de diagnóstico.

  1. Puede enviar los registros a:

Destino: área de trabajo de Log Analytics

  1. En Detalles de destino, seleccione Enviar al área de trabajo de Log Analytics.
  2. Cree un nombre para la configuración de diagnóstico, seleccione el grupo de categorías de registro aplicable, seleccione la suscripción y el área de trabajo adecuados y, a continuación, seleccione Guardar. El área de trabajo no tiene que estar en la misma región que el recurso que se está supervisando. Para crear un área de trabajo, puede seguir este artículo: Creación de un área de trabajo de Log Analytics.

Captura de pantalla que muestra la asignación del área de trabajo de Log Analytics a la que enviar eventos.

Captura de pantalla que muestra el evento de registro de diagnóstico guardado en el área de trabajo de Log Analytics.

  1. Compruebe los cambios en el área de trabajo de Log Analytics realizando algunas operaciones para rellenar los datos. Por ejemplo, crear, actualizar o eliminar una directiva. Después, puede abrir el área de trabajo de Log Analytics, ir a Registros, escribir el filtro de consulta como "purviewsecuritylogs" y, a continuación, seleccionar "Ejecutar" para ejecutar la consulta.

Captura de pantalla que muestra los resultados del registro en el área de trabajo de Log Analytics después de ejecutar una consulta.

Destino: cuenta de almacenamiento

  1. En Detalles de destino, seleccione Archivar en una cuenta de almacenamiento.
  2. Cree un nombre de configuración de diagnóstico, seleccione la categoría de registro, seleccione el destino como archivo en una cuenta de almacenamiento, seleccione la suscripción y la cuenta de almacenamiento adecuadas y, a continuación, seleccione Guardar. Se recomienda una cuenta de almacenamiento dedicada para archivar los registros de diagnóstico. Si necesita una cuenta de almacenamiento, puede seguir este artículo: Creación de una cuenta de almacenamiento.

Captura de pantalla que muestra la asignación de una cuenta de almacenamiento para el registro de diagnóstico.

Captura de pantalla que muestra los eventos de registro guardados en la cuenta de almacenamiento.

  1. Para ver los registros en la cuenta de almacenamiento, realice una acción de ejemplo (por ejemplo: crear, actualizar o eliminar una directiva), abra la cuenta de almacenamiento, vaya a Contenedores y seleccione el nombre del contenedor.

Captura de pantalla que muestra el contenedor en la cuenta de almacenamiento a la que se han enviado los registros de diagnóstico.

  1. Vaya al archivo y descárguelo para ver los registros.

    Captura de pantalla que muestra carpetas con detalles de los registros.

    Captura de pantalla que muestra los detalles de los registros.

Destino: centro de eventos

  1. En Detalles del destino, seleccione Transmitir a un centro de eventos.
  2. Cree un nombre de configuración de diagnóstico, seleccione la categoría de registro, seleccione el destino como flujo al centro de eventos, seleccione la suscripción adecuada, el espacio de nombres de Event Hubs, el nombre del centro de eventos y el nombre de la directiva del centro de eventos y, a continuación, seleccione Guardar. Se requiere un espacio de nombres del centro de eventos para poder transmitirlo a un centro de eventos. Si necesita crear un espacio de nombres del centro de eventos, puede seguir este artículo: Creación de una cuenta de almacenamiento de espacios de nombres de event hubs & de eventos

Captura de pantalla que muestra la transmisión a un centro de eventos para el registro de diagnóstico.

Captura de pantalla que muestra los eventos de registro guardados en el centro de eventos.

  1. Para ver los registros en el espacio de nombres de Event Hubs, vaya al Azure Portal y busque el nombre del espacio de nombres de Event Hubs que creó anteriormente, vaya al espacio de nombres de Event Hubs y haga clic en Información general. Para obtener más información sobre cómo capturar y leer eventos de auditoría capturados en el espacio de nombres de Event Hubs, puede seguir este artículo: Diagnóstico de registros & de auditoría

Captura de pantalla que muestra las actividades en el centro de eventos.

Registro de ejemplo

Este es un registro de ejemplo que recibiría de una configuración de diagnóstico.

El evento realiza un seguimiento del ciclo de vida del examen. Una operación de examen sigue el progreso a través de una secuencia de estados, desde En cola, En ejecución y, por último, un estado terminal de Correcto | Error | Cancelado. Se registra un evento para cada transición de estado y el esquema del evento tendrá las siguientes propiedades.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

El registro de ejemplo de una instancia de evento se muestra en la sección siguiente.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Siguientes pasos

Mapa de datos elásticos en Microsoft Purview