Рекомендации по Azure Monitor — планирование стратегии и конфигурации мониторинга

Эта статья является частью сценария Рекомендации по настройке Azure Monitor. Здесь рассматривается планирование перед началом реализации. Это планирование гарантирует, что выбранные параметры конфигурации соответствуют определенным бизнес-требованиям.

Если вы еще не знакомы с концепциями мониторинга, начните с руководства по мониторингу облака, который является частью Microsoft Cloud Adoption Framework для Azure. В этом руководстве определены общие концепции мониторинга и содержатся рекомендации по определению требований к среде мониторинга и вспомогательным процессам. В этой статье рассматриваются разделы этого руководства, относящиеся к конкретным шагам планирования.

Общие сведения о размере платы за использование Azure Monitor

Основная цель стратегии мониторинга — свести затраты к минимуму. Некоторые средства сбора данных и функции Azure Monitor не влекут за собой никаких затрат, а за работу с другими начисляется плата в зависимости от конкретной конфигурации, объема собираемых данных или частоты запуска. Статьи в этом сценарии определяют все рекомендации, которые включают затраты, но вы должны ознакомиться с ценами Azure Monitor при разработке реализации для оптимизации затрат. Дополнительные сведения и рекомендации по ценам Azure Monitor см. в следующих статьях:

• Цены на Azure Monitor
• Стоимость и использование Azure Monitor
• Оптимизация затрат в Azure Monitor

Определение стратегии

Перед проектированием и реализацией любого решения для мониторинга необходимо составить стратегию мониторинга, чтобы определить цели и требования плана. Стратегия определяет конкретные требования, конфигурацию, которая лучше всего соответствует этим требованиям, и процессы для использования среды мониторинга для повышения производительности и надежности приложений. Параметры конфигурации, выбираемые для Azure Monitor, должны отвечать вашей стратегии.

Факторы, которые следует учитывать при разработке стратегии мониторинга, см. в руководстве по облачному мониторингу в разделе "Разработка стратегии мониторинга". Также следует обратиться к стратегии мониторинга для моделей облачного развертывания, которые помогают сравнивать полностью облачный мониторинг с гибридной моделью.

Сбор необходимых сведений

Прежде чем определять параметры реализации, нужно собрать все необходимые сведения. В следующих разделах описана информация, которая обычно требуется для полноценной реализации Azure Monitor.

Что нужно отслеживать?

Не всегда требуется настраивать полный мониторинг всех облачных ресурсов: иногда нужно сосредоточиться ключевых важных приложениях и компонентах, от которых они зависят. Это не только снижает затраты на мониторинг, но и снижает сложность среды мониторинга. Рекомендации по определению нужных данных см. в руководстве по облачному мониторингу в разделе "Сбор требуемых данных".

Кому необходим доступ и кого требуется уведомлять

При настройке среды мониторинга необходимо определить, у каких пользователей должен быть доступ к данным мониторинга и кто должен получать уведомления при обнаружении проблем. Это могут быть владельцы приложений и ресурсов либо централизованная группа мониторинга. Эта информация определяет, как настроить разрешения для доступа к данным и уведомлений для оповещений. Также могут потребоваться пользовательские книги, а также отдельные наборы данных для разных пользователей.

Соглашения об уровнях обслуживания

В вашей организации могут быть приняты соглашения об уровне обслуживания, определяющие обязательства в плане производительности и работоспособности приложений. Эти соглашения об уровне обслуживания могут определять, как нужно настроить связанные с временем функции Azure Monitor, например оповещения. Кроме того, необходимо понять задержку данных в Azure Monitor , так как это влияет на скорость реагирования сценариев мониторинга и возможность удовлетворения соглашений об уровне обслуживания.

Поиск служб и продуктов для мониторинга

Служба Azure Monitor предназначена для мониторинга работоспособности и состояния. Полное решение для мониторинга обычно включает несколько служб Azure и потенциально других продуктов. Прочие цели мониторинга, которые могут потребовать реализации дополнительных решений, описаны в руководстве по облачному мониторингу в разделе основных целей мониторинга.

В следующих разделах описаны другие службы и продукты, которые можно использовать с Azure Monitor. В настоящее время этот сценарий не содержит инструкций по реализации этих решений, поэтому вам следует обратиться к соответствующей документации.

Мониторинг безопасности

Операционные данные, хранящиеся в Azure Monitor, могут быть полезны для исследования инцидентов безопасности, в то время как для мониторинга безопасности разработаны другие службы Azure. Мониторинг безопасности в Azure выполняется службами Microsoft Defender для облака и Microsoft Sentinel.

• Microsoft Defender для облака собирает сведения о ресурсах Azure и гибридных серверах. Хотя Defender для облака может собирать события безопасности, основной задачей этого решения является сбор данных инвентаризации, результатов проверки оценки и аудит политик, чтобы выявлять уязвимости и рекомендовать действия по устранению. К заслуживающим внимания функциям относятся интерактивная сетевая карта, JIT-доступ к виртуальным машинам, адаптивное усиление защиты сети и адаптивные элементы управления приложениями для блокирования подозрительных исполняемых файлов.

• Microsoft Defender для серверов — это решение для оценки серверов в составе Defender для облака Defender для серверов может отправлять события безопасности Windows в Log Analytics. Defender для облака не использует события безопасности Windows для создания оповещений или анализа. Использование этой функции позволяет централизованно архивировать события для расследования и других целей.

• Microsoft Sentinel — это решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического ответа с помощью оркестрации операций защиты (SOAR). Sentinel собирает данные безопасности из широкого спектра источников Майкрософт и сторонних источников для создания оповещений, визуализации и автоматизации. В этом решении основное внимание уделяется консолидации максимально возможного количества журналов безопасности, включая события безопасности Windows. Кроме того, Microsoft Sentinel также может собирать журналы событий безопасности Windows и стандартно предоставляет общий доступ к рабочей области Log Analytics посредством Defender для облака. События безопасности можно собирать только из Microsoft Sentinel или Defender для облака, если эти службы используют одну рабочую область совместно. В отличие от Defender для облака, события безопасности являются ключевым компонентом создания оповещений и анализа в Microsoft Sentinel.

• Defender для конечной точки — это корпоративная платформа защиты конечных точек, позволяющая организациям предотвращать, обнаруживать, исследовать современные угрозы в сети и реагировать на них. Эта служба разработана в основном для защиты пользовательских устройств Windows. Defender для конечных точек отслеживает рабочие станции, серверы, планшеты и сотовые телефоны в различных операционных системах для устранения проблем безопасности и уязвимостей. Defender для конечной точки тесно согласуется с Microsoft Intune для сбора данных и предоставления оценки безопасности. Сбор данных осуществляется в основном из журналов трассировки ETW. Данные хранятся в изолированной рабочей области.

System Center Operations Manager

Возможно, вы уже вложили средства в решение System Center Operations Manager для мониторинга локальных ресурсов и рабочих нагрузок, работающих на виртуальных машинах. Вы можете перенести эти процессы мониторинга в Azure Monitor или продолжить использовать оба продукта вместе в гибридной конфигурации. Сравнение этих двух продуктов см. в руководстве по облачному мониторингу в разделе "Обзор платформ мониторинга". См . стратегию мониторинга для моделей облачного развертывания для использования двух в гибридной конфигурации и определения наиболее подходящей модели для вашей среды.

Часто задаваемые вопросы

В этом разделы приводятся ответы на часто задаваемые вопросы.

Какие IP-адреса использует Azure Monitor?

Ознакомьтесь с IP-адресами, используемыми приложением Аналитика и Log Analytics, для IP-адресов и портов, необходимых для агентов и других внешних ресурсов для доступа к Azure Monitor.

Следующие шаги

• Инструкции и рекомендации по настройке сбора данных в Azure Monitor см. в разделе Настройка сбора данных.