Surveillance d’entreprise avec Azure Monitor

Les grandes entreprises doivent tenir compte de nombreux facteurs lors de la modernisation de leur solution de surveillance existante. Les entreprises peuvent obtenir une gestion centralisée de la surveillance à l’aide des fonctionnalités de Azure Monitor. Cet exemple de scénario illustre la surveillance au niveau de l’entreprise qui utilise Azure Monitor.

Architecture

Téléchargez un fichier Visio de cette architecture.

Workflow

• Cette architecture suit un modèle de journal de contexte de ressource. Chaque enregistrement de journal qu’une ressource Azure émet s’associe automatiquement à la ressource. Ce modèle permet de séparer les espaces de travail qui collectent et ingèrent des propriétaires d’applications différents.

• Les différentes charges de travail dans l’entreprise ont des espaces de travail distincts. La configuration de différents espaces de travail offre aux équipes une autonomie sur leurs propres données et fournit une vue d’ensemble des coûts distincte par espace de travail.

  • Les services PaaS (Platform-as-a-service) comme les applications Azure Web et Azure Functions ajoutent la configuration d’Application Insights dans leurs espaces de travail.

  • Pour l’identité, les Active Directory locaux et les fournisseurs d’identité cloud ont chacun leurs propres espaces de travail.

  • Azure Virtual Desktop, Azure Pipelines, les charges de travail SQL, les applications dans Azure Kubernetes Service (AKS) et les applications Azure Web, ainsi que d’autres services PaaS disposent tous de leurs propres espaces de travail.

• Chaque espace de travail possède son propre ensemble d’alertes configurées. Azure Logic Apps et Azure Automation fournissent des alertes et des mises à jour avancées. Logic Apps fournit une intégration avec les outils de gestion des services informatiques (ITSM).

• Un ensemble de machines virtuelles locales se connecte via Azure Arc, fournissant un plan de gestion Azure de bout en bout. Vous pouvez également utiliser Azure Arc pour connecter des ressources IaaS (infrastructure-as-a-service) qui s’exécutent dans un cloud tiers.

• La journalisation personnalisée capture des informations sur les environnements virtualisés tiers et collecte les journaux de système d’exploitation, de logiciels et d’applications personnalisés.

• Les insights de l’espace de travail Log Analytics fournit une surveillance complète de l’espace de travail. L’utilisation d’un espace de travail unique pour stocker les données collectées à partir de toutes les ressources s’aligne sur le modèle d’exploitation de l’organisation informatique. Cet espace de travail donne à l’équipe centrale une vue d’ensemble de l’utilisation, du coût et des performances de tous les espaces de travail. L’espace de travail central respecte l’étendue et le contrôle d’accès en fonction du rôle (RBAC) selon les ressources. Les insights de l’espace de travail Log Analytics possèdent leur propre ensemble d’alertes distinct.

• Log Analytics fournit une intégration supplémentaire en exportant les données de l’espace de travail à des fins d’archivage ou d’analyse. L’archivage des données dans le stockage de niveau froid permet d’économiser les coûts. Vous pouvez utiliser des données archivées pour des analyses supplémentaires en créant des jeux de données qui alimentent les modèles Machine Learning.

• Monitor se connecte aux outils SIEM (Security information and Event Management) tels que Microsoft Sentinel pour créer des banques de données de sécurité d’entreprise plus volumineuses.

• Power BI et les classeurs Azure (pour Azure Monitor) fournissent des fonctionnalités de visualisation et de tableau de bord de données.

Components

Cette architecture inclut les composants suivants :

Composants de Monitor

Azure Monitor collecte et analyse la télémétrie provenant des environnements cloud et locaux, puis agit en conséquence. Cette solution utilise les composants et fonctionnalités Monitor suivants :

• Les métriques Monitor collectent des données numériques à partir de ressources supervisées dans une base de données de séries chronologiques. Dans Monitor, les métriques sont légères et prennent en charge des scénarios en quasi-temps réel. Elles sont donc utiles pour la génération d’alertes et la détection rapide des problèmes.
• Les journaux de Monitor permettent de colleter et d’organiser les données de performances et de journal issues de ressources supervisées. Vous pouvez consolider les données de plusieurs sources, y compris les journaux de la plateforme Azure, dans un seul espace de travail. Vous pouvez analyser les données à l’aide d’un langage de requête sophistiqué dans Log Analytics.
• L’agent Azure Monitor peut envoyer des données aux journaux et métriques de Monitor. L’agent Azure Monitor utilise des règles de collecte de données configurables (DCR) et ne nécessite pas de clé d’espace de travail pour se connecter.
• Application Insights surveille les applications actives sur un large éventail de plateformes dans des environnements cloud, hybrides et locaux. Application Insights détecte automatiquement les anomalies de performances. Application Insights comprend des outils d’analyse puissants pour vous aider à comprendre l’utilisation et à diagnostiquer les problèmes.
• Azure Virtual Desktop Insights utilise Monitor pour Azure Virtual Desktop pour aider les professionnels de l’informatique à comprendre leurs environnements Azure Virtual Desktop.
• Container insights analyse les performances et l’intégrité des clusters Kubernetes et d’autres charges de travail basées sur les conteneurs.
• Network insights offre une vue complète de l’intégrité et des métriques pour toutes les ressources réseau déployées.
• SQL insights (préversion) surveille l’intégrité et vous aide à diagnostiquer les problèmes et à ajuster les performances de tous les produits de la famille Azure SQL.
• VM insights analyse les performances et l’intégrité des machines virtuelles et des groupes de machines virtuelles identiques. Les informations sur les machines virtuelles incluent les processus en cours d’exécution et mes dépendances sur d’autres ressources.
• Le connecteur de gestion des services informatiques (ITSMC) fournit une connexion bidirectionnelle entre Azure et les outils ITSM pris en charge pour vous aider à résoudre les éléments de travail plus rapidement.
• Workbooks Azure pour Azure Monitor fournit un canevas flexible pour analyser plusieurs sources de données Azure et les combiner dans des rapports visuels interactifs.
• Log Analytics crée et exécute des requêtes sur les données des journaux de Monitor dans les espaces de travail Log Analytics. Cette solution utilise les fonctionnalités de Log Analytics suivantes :
  • L’agent Log Analytics collecte des données de surveillance à partir des systèmes d’exploitation et des charges de travail des machines virtuelles cloud et locaux, et les envoie à un espace de travail Log Analytics.
  • La surveillance Microsoft Entra route les journaux d’activité Microsoft Entra vers un espace de travail Log Analytics.
  • La passerelle Log Analytics envoie des données à des espaces de travail Azure Automation et Log Analytics pour les ordinateurs qui ne peuvent pas se connecter directement à Internet.
  • Service Map utilise l’agent Log Analytics pour découvrir automatiquement les composants d’application sur les systèmes Windows et Linux, et mapper la communication entre les services.
  • La gestion des alertes vous aide à analyser toutes les alertes dans vos espaces de travail Log Analytics.
  • L’exportation de données Log Analytics (préversion) exporte en continu des données à partir des tables sélectionnées dans un espace de travail Log Analytics. Les données peuvent être exportées vers un compte de stockage Azure ou Azure Event Hubs.
  • Les insights de l’espace de travail Log Analytics fournit une surveillance complète de tous les espaces de travail Log Analytics. Les insights de l’espace de travail offrent une vue unifiée de l’utilisation de l’espace de travail, des performances, de l’intégrité, des agents, des requêtes et des journaux des modifications.

Autres composants

Dans cette solution, Monitor prend en charge ou s’intègre avec les services Microsoft et Azure suivants :

• Azure Arc simplifie la gouvernance et la gestion en proposant une plateforme de gestion multicloud et locale cohérente.
• Azure Automation offre une automatisation basée sur le cloud, des mises à jour de système d’exploitation et une configuration pour prendre en charge une gestion cohérente entre les environnements. Change Tracking effectue le suivi des modifications apportées aux machines virtuelles locales et dans le cloud pour vous aider à identifier les problèmes logiciels. Change Tracking transfère les données aux journaux Monitor et les stocke dans un espace de travail Log Analytics.
• Azure ExpressRoute étend les réseaux locaux dans le cloud Microsoft. ExpressRoute utilise des connexions privées avec l’aide des fournisseurs de connectivité.
• Azure Data Lake Storage offre un stockage cloud sécurisé, évolutif et économique pour l’analytique Big Data.
• Azure Functions est une solution sans serveur qui implémente des blocs de code facilement disponibles appelés Functions. Les fonctions s’exécutent à la demande et sont mises à l’échelle automatiquement.
• Azure Kubernetes Service (AKS) est un service complètement managé qui permet de déployer de gérer des applications conteneurisées.
• Azure Load Balancer distribue efficacement le trafic réseau entrant entre les ressources ou serveurs back-end.
• Azure Logic Apps est une plateforme basée sur le cloud pour la création et l’exécution de flux de travail automatisés. Logic Apps peut intégrer des applications, des données, des services et des systèmes.
• Azure Resource Manager fournit une couche de gestion et des modèles pour la création, la mise à jour et la suppression des ressources dans votre compte Azure.
• Microsoft Defender pour le Cloud fait partie de Microsoft Defender pour le Cloud, un système unifié de gestion de la sécurité de l’infrastructure.
• Microsoft Sentinel est une solution native cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response).
• La famille Azure SQL des services de base de données SQL fournit une expérience cohérente et unifiée d’Azure SQL. Azure SQL offre une gamme complète d’options de déploiement, du bord au cloud.
• Power BI est un ensemble de services logiciels, d’applications et de connecteurs qui transforment vos sources de données en insights cohérents, visuellement immersifs et interactifs.

Autres solutions

Vous pouvez utiliser certaines alternatives de surveillance avec ou à la place de Monitor.

System Center Operations Manager

System Center Operations Manager offre une surveillance de l’infrastructure flexible et rentable. Operations Manager fournit une analyse complète des centres de donnes et des clouds privés et publics. Operations Manager permet de garantir la disponibilité et les performances prévisibles des applications importantes.

Pour conserver votre investissement Operations Manager existant, vous pouvez intégrer Operations Manager à vos espaces de travail Log Analytics. Vous pouvez utiliser les journaux Monitor et les fonctionnalités étendues tout en continuant à utiliser Operations Manager pour ces fonctions :

• Surveillance de l’intégrité de vos services informatiques
• Conserver l’intégration avec vos solutions ITSM pour la gestion des incidents et des problèmes
• Gestion du cycle de vie des agents déployés sur des machines virtuelles IaaS de cloud public et local.

Pour plus d’informations, consultez Connecter Operations Manager à Azure Monitor.

Grafana

Grafana est une plateforme d’observation et de visualisation des données ouverte et composable. Grafana vous permet d’interroger, de visualiser, d’alerter et de comprendre vos données où qu’elles soient stockées. Vous pouvez créer des tableaux de bord flexibles pour explorer et partager des données.

Détails du scénario

Les équipes de l’entreprise ont des charges de travail différentes, telles que Windows, Linux, SQL, les charges de travail basées sur l’identité, l’infrastructure VDI, les conteneurs et les applications web. Ces charges de travail peuvent s’exécuter dans n’importe quel fournisseur de Cloud, sur site ou dans une combinaison. Avec un vaste éventail de charges de travail dans différents environnements, la surveillance basée sur le cloud est complexe.

La surveillance au niveau de l’entreprise doit également couvrir la gouvernance, les meilleures pratiques opérationnelles, la gestion efficace des coûts et la sécurité de l’espace de travail. La surveillance doit fournir suffisamment de souplesse pour configurer et gérer les environnements d’équipe, et permettre aux équipes de se gérer elles-mêmes avec un certain degré de contrôle.

Les autres facteurs critiques de conception de la surveillance sont les suivants :

• Comment répartir les espaces de travail Log Analytics dans différentes équipes ou régions géographiques.
• Surveillance des espaces de travail eux-mêmes, ainsi que de leurs charges de travail.
• Comment charger différentes équipes pour optimiser les coûts globaux.
• Comment visualiser et éventuellement archiver des données collectées.
• Création de tableaux de bord distincts pour les opérations, les applications et les différentes équipes.
• La visibilité est suffisamment importante dans le bon ensemble d’informations.

Cas d’usage potentiels

Cette solution peut être utile dans les cas d’utilisation suivants :

• Surveillance consolidée pour différentes charges de travail cloud et locales.
• surveillance des charges de travail de conteneur, Azure SQL et Azure Virtual Desktop.
• Portée de l’analyse étendue, telle que la connexion de Monitor à Microsoft Sentinel.
• Surveillance cloud hybride et hétérogène sur les réseaux, les fournisseurs d’identité, les systèmes d’exploitation et les autres domaines.

Considérations

Les remarques suivantes s’appliquent à cette solution.

Disponibilité

Les zones de disponibilité Azure protègent les applications et les données contre les défaillances du centre de données en se basant sur la disponibilité des autres zones de la région. Les zones de disponibilité permettent de garantir la résilience des fonctionnalités de Monitor comme Application Insights qui reposent sur un espace de travail Log Analytics. Les espaces de travail liés aux zones de disponibilité restent actifs et opérationnels même si un centre de donnée spécifique n’est pas disponible.

Consultez Régions et zones de disponibilité dans Azure pour les régions Azure qui ont des zones de disponibilité. Monitor prend actuellement en charge les zones de disponibilité dans les régions USA Est 2 et USA Ouest 2.

La prise en charge de Monitor pour les zones de disponibilité nécessite un espace de travail Log Analytics lié à un cluster dédié aux journaux Monitor. Les clusters dédiés sont une option de déploiement qui permet de bénéficier de fonctionnalités avancées pour les journaux Monitor, y compris des zones de disponibilité. Les clusters dédiés créés après octobre 2020 peuvent utiliser des zones de disponibilité par défaut où Monitor les prend en charge.

Flux de travail de récupération d’urgence pour la continuité d’activité (BCDR) Logic Apps

Les flux de travail Logic Apps vous aident à intégrer et à orchestrer des données entre les applications, les services Cloud et les systèmes locaux. Lorsque vous planifiez la récupération d’urgence pour la continuité d’activité (BCDR), veillez à ne pas vous contenter d’utiliser vos applications logiques, mais également les ressources Azure avec lesquelles elles travaillent. Pour obtenir des conseils et des stratégies BCDR pour les flux de travail Logic Apps automatisés, consultez Continuité des activités et récupération d’urgence pour Azure Logic Apps.

Operations

• Veillez à disposer d’une stratégie de gestion des données personnelles. Pour en savoir plus, consultez Aide pour les données personnelles stockées dans Log Analytics et Application Insights.

• Assurez la conformité réglementaire avec les instructions suivantes :

  • Base de référence de sécurité Azure pour Azure Monitor
  • Contrôles de conformité réglementaire d’Azure Policy pour Azure Monitor

• Les runbooks Azure Automation qui s’exécutent dans Azure peuvent ne pas avoir accès aux ressources dans d’autres clouds ou en local. Vous pouvez utiliser le runbook Worker hybride Azure Automation pour exécuter les runbooks directement sur la machine qui héberge le rôle. Vous pouvez exécuter le runbook sur les ressources de l’environnement pour gérer les ressources locales. Pour plus d’informations, consultez Vue d’ensemble des Runbooks Worker hybrides Automation.

• Tenez compte des meilleures pratiques opérationnelles suivantes pour réduire les coûts de contrôle :

  • Activez les alertes uniquement lorsque la collecte de données est élevée.
  • Passez en revue les solutions de surveillance Monitor avant de les implémenter. Par exemple, l’activation de Defender pour le Cloud pour collecter et auditer les données d’événement de sécurité peut augmenter de façon exponentielle les coûts de collecte des données.
  • Rationalisation de la création d’alertes dans le tableau. Envisagez de créer une seule alerte au lieu de chaque espace de travail ou équipe ayant la même alerte.
  • Regroupez les ressources comme les alertes, les applications logiques et les espaces de travail dans des groupes de ressources distincts et utilisez le balisage pour l’identification.
  • Utilisez les insights d’espace de travail Log Analytics pour obtenir une vue d’ensemble des coûts dans différents espaces de travail.
  • Utilisez l’agent Azure Monitor pour la collecte granulaire des données, jusqu’au niveau de collecte des ID d’événements uniques à partir des journaux des événements système. Le réglage de la collecte de données permet d’améliorer les coûts.
  • Utilisez l’exportation des données Monitor pour l’archivage des données dans un stockage à faible coût.
  • Suivez les meilleures pratiques en matière de données de télémétrie dans les espaces de travail Application Insights. Pour plus d’informations, consultez Gérer l’utilisation et les coûts d’Application Insights.

Efficacité des performances

Les remarques de performances suivantes s’appliquent à cette solution :

Latence

La latence correspond à la durée entre la création de données sur un système surveillé et sa disponibilité pour l’analyse dans Monitor. Le temps de latence habituel pour ingérer des données de journal est compris entre 20 secondes et trois minutes. La latence spécifique des données dépend de différents facteurs.

Le temps d’ingestion total d’un jeu de données particulier comprend les éléments suivants :

• Délai de l’agent : délai nécessaire pour détecter un événement, le collecter et l’envoyer au point d’ingestion des journaux Monitor sous forme d’enregistrement de journal. Dans la plupart des cas, un agent gère ce processus. Le réseau peut introduire une latence supplémentaire.
• Délai du pipeline : délai nécessaire pour que le pipeline d’ingestion traite l’enregistrement de journal. Cette durée comprend l’analyse des propriétés de l’événement et éventuellement l’ajout d’informations calculées.
• Délai d’indexation : temps nécessaire à l’ingestion d’un enregistrement de journal dans le magasin Big Data Monitor.

Pour garantir une latence minimale, placez les espaces de travail du moniteur, les applications logiques et l’infrastructure associée dans la même région Azure avec les charges de travail qu’elles surveillent ou contrôlent. Toutefois, il peut toujours y avoir des problèmes de latence. Pour plus d’informations, consultez Durée d’ingestion de données de journal dans Azure Monitor.

Alertes de métrique et de journal

Les alertes de métrique vérifient à intervalles réguliers que les conditions d’une ou de plusieurs séries chronologiques de métriques sont remplies et vous avertissent quand c’est le cas. Les alertes de métrique sont par défaut avec état ; l’envoi des notifications uniquement lorsque l’état change, par exemple, de déclenché ou résolu.

Les alertes de journal utilisent une requête Log Analytics pour évaluer les journaux de ressources à chaque fréquence définie, et de déclencher une alerte en fonction des résultats. Les alertes basées sur des métriques peuvent être plus rapides à envoyer des notifications que les alertes de journal.

Extensibilité

• Monitor possède des limites de service par abonnement pour les alertes, les groupes d’actions, les espaces de travail et Application Insights. Pour plus d’informations, consultez Limites du service Azure Monitor.

• Examinez et tenez compte des limites du service d’abonnement Azure, en particulier les limites de Logic Apps et Azure Automation.

Sécurité

Cette solution utilise les mécanismes de sécurité suivants :

Contrôle d’accès

Azure RBAC verrouille les groupes de ressources qui hébergent les alertes et les applications logiques par équipe ou propriétaire de l’application. Avec Azure RBAC, vous pouvez accorder aux utilisateurs et aux groupes uniquement le type d’accès dont ils ont besoin pour travailler avec les données de surveillance dans un espace de travail. Par exemple, vous pouvez accorder l’accès à l’équipe responsable des services d’infrastructure hébergée sur une machine virtuelle Azure, uniquement aux journaux générés par ces machines virtuelles.

Les données auxquelles un utilisateur peut accéder sont déterminées par une combinaison de facteurs.

Pour plus d’informations, consultez la page Vue d’ensemble du contrôle d’accès.

Connectivité du point de terminaison privé sur ExpressRoute

Monitor est une constellation de différents services interconnectés qui fonctionnent ensemble pour surveiller vos charges de travail. Vous pouvez utiliser Azure Private Link pour lier en toute sécurité les ressources PaaS Azure à votre réseau virtuel à l’aide de points de terminaison privés. L’étendue de liaison privée Azure Monitor fournit une connectivité privée entre des applications déployées dans des réseaux virtuels et des ressources de surveillance, définissant les limites de votre réseau de surveillance. Pour plus d’informations, consultez Utiliser Azure Private Link pour connecter des réseaux à Azure Monitor.

Environnement de service d’intégration Logic Apps (ISE)

Un environnement ISE (Integration Service Environment) garde le stockage dédié et d’autres ressources séparés du service global Logic Apps mutualisé. Pour plus d’informations, consultez Se connecter aux réseaux virtuels Azure à partir d’Azure Logic Apps en utilisant un environnement de service d’intégration (ISE).

Passerelle Log Analytics

Une passerelle Log Analytics envoie des données à Azure Automation et un espace de travail Log Analytics Monitor pour les ordinateurs qui ne peuvent pas se connecter directement à Internet. Pour plus d’informations, consultez Connecter des ordinateurs sans accès Internet en utilisant la passerelle Log Analytics dans Azure Monitor.

Optimisation des coûts

• Azure Monitor comprend des fonctionnalités permettant de collecter et d’analyser les données de journal. Surveillez les factures par l’ingestion, la rétention et l’exportation des données. D’autres facteurs pouvant affecter la tarification incluent les alertes, les notifications et les appels SMS ou vocaux. Pour plus d’informations, consultez Tarification Azure Monitor.

• Les tarifs par défaut pour Application Insights et Log Analytics est un modèle de paiement à l’utilisation, basé sur le volume de données ingérées, et peuvent varier si la période de conservation des données est plus longue. Log Analytics possède également des niveaux d’engagement peut vous permettre d’économiser jusqu’à 30 % par rapport au tarif de Paiement à l’utilisation.

• Passez en revue la tarification Logic Apps et la tarification Azure Automation.

• Utilisez la calculatrice de prix Azure pour approfondir vos connaissances en matière de tarification.

Liste de vérification des considérations

Étapes suivantes

• Quels sont les éléments supervisés par Azure Monitor ?
• Plateforme de données Azure Monitor
• Vue d’ensemble des alertes dans Microsoft Azure
• Meilleures pratiques d’Azure Monitor : Analyser et visualiser les données
• Parcours d’apprentissage Azure Monitor

Ressources associées

• Excellence opérationnelle Microsoft Well-Architected Framework
• Surveillance du DevOps
• Alertes
• Supervision hybride de la disponibilité et des performances
• Supervision des applications web sur Azure