Beheer en controleManagement and monitoring

Platform beheer en-bewaking plannenPlan platform management and monitoring

In deze sectie wordt uitgelegd hoe u een Azure Enter prise-erfgoed kunt onderhouden met gecentraliseerd beheer en bewaking op platform niveau.This section explores how to operationally maintain an Azure enterprise estate with centralized management and monitoring at a platform level. Meer in het bijzonder worden de belangrijkste aanbevelingen voor centrale teams gegeven om de operationele zicht baarheid in een grootschalig Azure-platform te hand haven.More specifically, it presents key recommendations for central teams to maintain operational visibility within a large-scale Azure platform.

Diagram waarin beheer en bewaking worden weer gegeven.

Afbeelding 1: platform beheer en-bewaking.Figure 1: Platform management and monitoring.

Ontwerp overwegingen:Design considerations:

  • Gebruik een Azure Monitor Log Analytics werk ruimte als een administratieve grens.Use an Azure Monitor Log Analytics workspace as an administrative boundary.

  • Toepassings gerichte platform bewaking, met zowel warme als koude telemetrie-paden voor metrische gegevens en Logboeken, respectievelijk:Application-centric platform monitoring, encompassing both hot and cold telemetry paths for metrics and logs, respectively:

    • Metrische gegevens van besturings systeem; bijvoorbeeld prestatie meter items en aangepaste metrische gegevensOperating system metrics; for example, performance counters and custom metrics
    • Logboeken van het besturings systeem; bijvoorbeeld Internet Information Services, Event Tracing for Windows en syslogsOperating system logs; for example, Internet Information Services, Event Tracing for Windows, and syslogs
    • Resource status gebeurtenissenResource health events
  • Beveiligings controle vastleggen en het bereiken van een horizontale veiligheids lens in het hele Azure-erfgoed van uw organisatie:Security audit logging and achieving a horizontal security lens across your organization's entire Azure estate:

    • Mogelijke integratie met on-premises SIEM-systemen (Security Information and Event Management) zoals ServiceNow, ArcSight of het Onapsis-beveiligings platformPotential integration with on-premises security information and event management (SIEM) systems such as ServiceNow, ArcSight, or the Onapsis security platform
    • Activiteitenlogboeken van AzureAzure activity logs
    • Controle rapporten van Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) audit reports
    • Diagnostische Azure-Services,-logboeken en-metrische gegevens; Controle gebeurtenissen Azure Key Vault; stroom logboeken voor netwerk beveiligings groepen (NSG); en gebeurtenis logboekenAzure diagnostic services, logs, and metrics; Azure Key Vault audit events; network security group (NSG) flow logs; and event logs
    • Azure Monitor, Azure Network Watcher, Azure Security Center en Azure SentinelAzure Monitor, Azure Network Watcher, Azure Security Center, and Azure Sentinel
  • Drempel waarden voor het bewaren van Azure-gegevens en vereisten voor archivering:Azure data retention thresholds and archiving requirements:

    • De standaard Bewaar periode voor Azure Monitor Logboeken is 30 dagen, met een maximum van twee jaar.The default retention period for Azure Monitor Logs is 30 days, with a maximum of two years.
    • De standaard Bewaar periode voor Azure AD-rapporten (Premium) is 30 dagen.The default retention period for Azure AD reports (premium) is 30 days.
    • De standaard Bewaar periode voor de Azure Diagnostic-service is 90 dagen.The default retention period for the Azure diagnostic service is 90 days.
  • Operationele vereisten:Operational requirements:

    • Operationele Dash boards met systeem eigen hulpprogram ma's, zoals Azure Monitor Logboeken of hulp programma van derdenOperational dashboards with native tools such as Azure Monitor Logs or third-party tooling
    • Geprivilegieerde activiteiten beheren met gecentraliseerde rollenControlling privileged activities with centralized roles
    • Beheerde identiteiten voor Azure-resources voor toegang tot Azure-ServicesManaged identities for Azure resources for access to Azure services
    • Resource vergrendelingen voor het beveiligen van het bewerken en verwijderen van resourcesResource locks to protect editing and deleting resources

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik één monitor logboeken werk ruimte voor het centraal beheren van platforms, behalve voor op rollen gebaseerd toegangs beheer (RBAC), vereisten voor gegevens soevereiniteit en het Bewaar beleid voor gegevens de afzonderlijke werk ruimten.Use a single monitor logs workspace to manage platforms centrally except where role-based access control (RBAC), data sovereignty requirements and data retention policies mandate separate workspaces. Centrale logboek registratie is essentieel voor de zicht baarheid van operations management-teams.Centralized logging is critical to the visibility required by operations management teams. Bij het registreren van de centrale schijf worden rapporten over wijzigings beheer, service status, configuratie en de meeste andere aspecten van IT-activiteiten vastgelegd.Logging centralization drives reports about change management, service health, configuration, and most other aspects of IT operations. Het convergeren van een gecentraliseerd werkruimte model vermindert de administratieve inspanning en de kans op beschik bare hiaten.Converging on a centralized workspace model reduces administrative effort and the chances for gaps in observability.

    In de context van de bedrijfsarchitectuur is gecentraliseerde logboekregistratie voornamelijk gericht op platformactiviteiten.In the context of the enterprise-scale architecture, centralized logging is primarily concerned with platform operations. Met deze nadruk wordt het gebruik van dezelfde werk ruimte voor toepassings registratie op basis van VM'S niet voor komen.This emphasis doesn't prevent the use of the same workspace for VM-based application logging. Met een werkruimte die is geconfigureerd in de modus voor toegangsbeheer op basis van resources, wordt gedetailleerd op rollen gebaseerd toegangsbeheer afgedwongen om ervoor te zorgen dat app-teams alleen toegang hebben tot de logboeken van hun resources.With a workspace configured in resource-centric access control mode, granular RBAC is enforced to ensure application teams will only have access to the logs from their resources. In dit model profiteren app-teams van het gebruik van een bestaande platforminfrastructuur omdat de overhead van het beheer wordt verminderd.In this model, application teams benefit from the use of existing platform infrastructure by reducing their management overhead. Voor alle niet-reken resources, zoals web apps of Azure Cosmos DB-data bases, kunnen toepassings teams hun eigen Log Analytics werk ruimten gebruiken en de diagnostische en metrische gegevens configureren die hier worden gerouteerd.For any non-compute resources such as web apps or Azure Cosmos DB databases, application teams can use their own Log Analytics workspaces and configure diagnostics and metrics to be routed here.

  • Exporteer logboeken naar Azure Storage als vereisten voor het bewaren van Logboeken meer dan twee jaar zijn.Export logs to Azure Storage if log retention requirements exceed two years. Gebruik onveranderbare opslag met een Write-Once, lees-veel-beleid om gegevens te maken die niet kunnen worden gewist en niet-kunnen worden gewijzigd voor een door de gebruiker opgegeven interval.Use immutable storage with a write-once, read-many policy to make data non-erasable and non-modifiable for a user-specified interval.
  • Gebruik Azure Policy voor de rapportage van toegangs beheer en naleving.Use Azure Policy for access control and compliance reporting. Azure Policy biedt de mogelijkheid om instellingen voor de hele organisatie af te dwingen om consistente beleids gerichte en snelle schendings detectie te garanderen.Azure Policy provides the ability to enforce organization-wide settings to ensure consistent policy adherence and fast violation detection. Zie Azure Policy-effecten begrijpenvoor meer informatie.For more information, see Understand Azure Policy effects.
  • Bewaak de configuratie van de virtuele machine (VM) in de gast met behulp van Azure Policy.Monitor in-guest virtual machine (VM) configuration drift using Azure Policy. Het inschakelen van de mogelijkheden voor het controleren van gast configuratie via beleid helpt de werk belasting van het toepassings team om onmiddellijk functie mogelijkheden te gebruiken.Enabling guest configuration audit capabilities through policy helps application team workloads to immediately consume feature capabilities with little effort.
  • Gebruik updatebeheer in azure Automation als een langdurig patch mechanisme voor zowel Windows-als Linux-vm's.Use Update Management in Azure Automation as a long-term patching mechanism for both Windows and Linux VMs. Het afdwingen van Updatebeheer configuraties via Azure Policy zorgt ervoor dat alle virtuele machines zijn opgenomen in het patch beheer en biedt toepassings teams de mogelijkheid om patch implementaties voor hun Vm's te beheren.Enforcing Update Management configurations via Azure Policy ensures that all VMs are included in the patch management regimen and provides application teams with the ability to manage patch deployment for their VMs. Het biedt ook inzicht in de zicht baarheid en afdwinging van het centrale IT-team op alle Vm's.It also provides visibility and enforcement capabilities to the central IT team across all VMs.
  • Gebruik Network Watcher om verkeers stromen proactief te bewaken via Network WATCHER NSG flow-logboeken v2.Use Network Watcher to proactively monitor traffic flows via Network Watcher NSG flow logs v2. Traffic Analytics analyseert NSG-stroom logboeken voor het verzamelen van diepere inzichten over IP-verkeer binnen een virtueel netwerk en biedt essentiële informatie voor effectief beheer en controle.Traffic Analytics analyzes NSG flow logs to gather deep insights about IP traffic within a virtual network and provides critical information for effective management and monitoring. Traffic Analytics informatie geven zoals de meeste communicerende hosts en toepassings protocollen, de meeste ondergeschikte hostgroepen, toegestaan of geblokkeerd verkeer, binnenkomend en uitgaand verkeer, open Internet poorten, de meeste blokkerings regels, verkeers distributie per Azure-Data Center, virtueel netwerk, subnetten of Rogue netwerken.Traffic Analytics provide information such as most communicating hosts and application protocols, most conversing host pairs, allowed or blocked traffic, inbound and outbound traffic, open internet ports, most blocking rules, traffic distribution per an Azure datacenter, virtual network, subnets, or rogue networks.
  • Gebruik resource vergrendelingen om onbedoelde verwijdering van essentiële gedeelde services te voor komen.Use resource locks to prevent accidental deletion of critical shared services.
  • Gebruik beleid weigeren voor het aanvullen van Azure AD RBAC-toewijzingen.Use deny policies to supplement Azure AD RBAC assignments. Beleid voor weigeren wordt gebruikt om te voor komen dat bronnen worden geïmplementeerd en geconfigureerd die niet overeenkomen met gedefinieerde standaarden door te voor komen dat de aanvraag wordt verzonden naar de resource provider.Deny policies are used to prevent deploying and configuring resources that don't match defined standards by preventing the request from being sent to the resource provider. De combi natie van beleids regels voor weigeren en RBAC zorgt ervoor dat de juiste Guardrails aanwezig zijn om af te dwingen wie bronnen kan implementeren en configureren en welke bronnen ze kunnen implementeren en configureren.The combination of deny policies and RBAC assignments ensures the appropriate guardrails are in place to enforce who can deploy and configure resources and what resources they can deploy and configure.
  • Neem service -en resource status gebeurtenissen op als onderdeel van de algemene platform bewakings oplossing.Include service and resource health events as part of the overall platform monitoring solution. Het bijhouden van de service-en resource status vanuit het platform perspectief is een belang rijk onderdeel van resource beheer in Azure.Tracking service and resource health from the platform perspective is an important component of resource management in Azure.
  • Verzend geen onbewerkte logboek vermeldingen terug naar on-premises bewakings systemen.Don't send raw log entries back to on-premises monitoring systems. In plaats daarvan moet u een principe aannemen dat de gegevens die in Azure worden overgedragen, in azure blijven.Instead, adopt a principle that data born in Azure stays in Azure. Als de integratie van on-premises SIEM vereist is, verzendt u kritieke waarschuwingen in plaats van Logboeken.If on-premises SIEM integration is required, then send critical alerts instead of logs.

Toepassings beheer en-bewaking plannenPlan for application management and monitoring

Om uit te breiden op de vorige sectie, wordt in deze sectie een federatief model beschouwd en wordt uitgelegd hoe toepassings teams deze werk belastingen kunnen onderhouden.To expand on the previous section, this section will consider a federated model and explain how application teams can operationally maintain these workloads.

Ontwerp overwegingen:Design considerations:

  • Toepassings bewaking kan toegewezen Log Analytics-werk ruimten gebruiken.Application monitoring can use dedicated Log Analytics workspaces.
  • Voor toepassingen die worden geïmplementeerd op virtuele machines, moeten logboeken centraal worden opgeslagen in de toegewezen Log Analytics-werk ruimte van een platform perspectief.For applications that are deployed to virtual machines, logs should be stored centrally to the dedicated Log Analytics workspace from a platform perspective. Toepassings teams hebben toegang tot de logboeken die zijn onderhevig aan de RBAC die ze op hun toepassingen of virtuele machines hebben.Application teams can access the logs subject to the RBAC they have on their applications or virtual machines.
  • Prestaties van toepassingen en status controle voor zowel Infrastructure as a Service (IaaS) als platform as a Service (PaaS)-resources.Application performance and health monitoring for both infrastructure as a service (IaaS) and platform as a service (PaaS) resources.
  • Gegevens aggregatie in alle toepassings onderdelen.Data aggregation across all application components.
  • Status modellen en uitoefening:Health modeling and operationalization:
    • De status van de werk belasting en de subsystemen metenHow to measure the health of the workload and its subsystems
    • Een verkeers licht model om de status weer te gevenA traffic-light model to represent health
    • Reageren op fouten in toepassings onderdelenHow to respond to failures across application components

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik een gecentraliseerde Azure Monitor Log Analytics-werk ruimte voor het verzamelen van Logboeken en metrische gegevens van IaaS-en PaaS-toepassings resources en om de toegang tot logboeken te beheren met RBAC.Use a centralized Azure Monitor Log Analytics workspace to collect logs and metrics from IaaS and PaaS application resources and control log access with RBAC.
  • Gebruik Azure monitor metrische gegevens voor tijd gevoelige analyse.Use Azure Monitor metrics for time-sensitive analysis. Metrische gegevens in Azure Monitor worden opgeslagen in een Data Base met een tijd reeks die is geoptimaliseerd voor het analyseren van tijdgebonden data.Metrics in Azure Monitor are stored in a time-series database optimized to analyze time-stamped data. Deze metrische gegevens zijn goed geschikt voor waarschuwingen en kunnen snel problemen detecteren.These metrics are well suited for alerts and detecting issues quickly. Ze kunnen u ook vertellen hoe uw systeem presteert.They can also tell you how your system is performing. Normaal gesp roken moeten ze worden gecombineerd met Logboeken om de hoofd oorzaak van problemen te identificeren.They typically need to be combined with logs to identify the root cause of issues.
  • Gebruik Azure monitor logboeken voor inzichten en rapportage.Use Azure Monitor Logs for insights and reporting. Logboeken bevatten verschillende typen gegevens die zijn georganiseerd in records met verschillende sets eigenschappen.Logs contain different types of data that's organized into records with different sets of properties. Ze zijn handig voor het analyseren van complexe gegevens uit verschillende bronnen, zoals prestatie gegevens, gebeurtenissen en traceringen.They're useful for analyzing complex data from a range of sources, such as performance data, events, and traces.
  • Gebruik, indien nodig, gedeelde opslag accounts in de zone overloop voor logboek opslag van Azure Diagnostic extension.When necessary, use shared storage accounts within the landing zone for Azure diagnostic extension log storage.
  • Gebruik Azure monitor waarschuwingen voor het genereren van operationele waarschuwingen.Use Azure Monitor alerts for the generation of operational alerts. Azure Monitor waarschuwingen worden waarschuwingen voor metrische gegevens en logboeken en met functies zoals actie-en slimme groepen voor geavanceerde beheer-en herstel doeleindenAzure Monitor alerts unify alerts for metrics and logs and use features such as action and smart groups for advanced management and remediation purposes.