Платформа данных Azure Monitor

Для включения возможностей наблюдаемости в современные сложные вычислительные среды, в которых используются распределенные приложения на основе облачных и локальных служб, требуется сбор операционных данных на каждом уровне и от каждого компонента распределенной системы. Требуется реализовать возможность глубокого анализа этих данных и объединения их в единой плоскости, обеспечивающей разные подходы к предоставлению необходимой информации множеству заинтересованных лиц в организации.

Azure Monitor собирает и объединяет данные из различных источников в рамках общей платформы данных, где их можно использовать для анализа, визуализации и отправки оповещений. Она обеспечивает согласованное взаимодействие с данными из нескольких источников, что позволяет получать подробную информацию по всем отслеживаемым ресурсам и даже по данным из других служб, которые хранят данные в Azure Monitor.

Общие сведения о службе Azure Monitor

Данные наблюдаемости в Azure Monitor

Метрики, журналы и распределенные трассировки обычно являются тремя основополагающими элементами наблюдаемости. Это различные типы данных, которые средства мониторинга должны собирать и анализировать, чтобы обеспечить достаточную наблюдаемость отслеживаемой системы. Наблюдаемость можно обеспечить путем сопоставления данных из нескольких основополагающих элементов и статистической обработки данных по всему набору отслеживаемых ресурсов. Поскольку Azure Monitor хранит данные из нескольких источников, их можно сопоставлять и анализировать с помощью общего набора инструментов. Платформа также сопоставляет данные по нескольким подпискам и клиентам Azure в дополнение к размещению данных для других служб.

Ресурсы Azure создают значительный объем данных мониторинга. Azure Monitor объединяет эти данные вместе с данными мониторинга из других источников в рамках платформы метрик или журналов. Каждый из них оптимизирован для конкретных сценариев мониторинга, и каждый поддерживает различные функции Azure Monitor. Такие функции, как анализ данных, визуализации или оповещения, требуют понимания различий между ними, чтобы можно было реализовать необходимый сценарий наиболее эффективным и экономичным способом. Аналитические сведения в Azure Monitor, такие как Application Insights или VM Insights , имеют средства анализа, позволяющие сосредоточиться на конкретном сценарии мониторинга, не обращаясь к различиям между двумя типами данных.

Метрики

Метрики — это числовые значения, описывающие конкретный аспект системы в определенный момент времени. Они собираются через регулярные интервалы времени и определяются с помощью метки времени, имени, значения и одного или нескольких определяющих меток. Метрики можно объединять с помощью различных алгоритмов, сравнивать с другими метриками, а также анализировать тенденции с течением времени.

Метрики в Azure Monitor хранятся в базе данных временных рядов, которая оптимизирована для анализа данных с отметками времени. Благодаря этому метрики оптимально подходят для предупреждений и быстрого обнаружения проблем. С их помощью можно определить состояние работоспособности системы, однако обычно их необходимо рассматривать в контексте сведений из журналов, чтобы определить основную причину проблем.

Метрики доступны для интерактивного анализа на портале Azure в обозревателе метрик Azure. Их можно добавить на панель мониторинга Azure для визуализации в сочетании с другими данными и использовать для оповещения почти в реальном времени.

Подробнее о метриках Azure Monitor, включая их источники данных, см. в статье Метрики в Azure Monitor.

Журналы

Журналы — это зарегистрированные события, произошедшие в системе. Они могут содержать различные виды данных, а также могут быть представлены в структурированной или свободной форме с меткой времени. Их можно создавать случайным образом, поскольку события в среде создают записи журнала, а если система сильно загружена, обычно создается больший объем записей журнала.

Журналы в Azure Monitor хранятся в рабочей области Log Analytics Azure Data Explorer, которая предоставляет эффективный модуль анализа и полнофункциональный язык запросов. В журналах, как правило, содержится достаточно сведений для предоставления полного контекста обнаруженной проблемы и выявления основной причины проблем.

Примечание

Важно различать журналы Azure Monitor и источники данных журналов в Azure. Например, события уровня подписки в Azure записываются в журнал действий, который можно просмотреть в меню Azure Monitor. Большинство ресурсов записывают информацию о своей работе в журнал ресурсов, который можно пересылать в разные расположения. Журналы Azure Monitor — это платформа данных журналов, которая собирает журналы действий и журналы ресурсов вместе с другими данными мониторинга для обеспечения детального анализа по всему набору ресурсов.

Работать с запросами журналов можно в интерактивном режиме с помощью Log Analytics на портале Azure, а также добавлять результаты на панель мониторинга Azure для визуализации в сочетании с другими данными. Можно также создавать оповещения журнала, которые будут активировать оповещение на основе результатов запроса.

Подробнее о журналах Azure Monitor, включая их источники данных, см. в статье Журналы в Azure Monitor.

Распределенные трассировки

Трассировки — это последовательности связанных событий, которые следуют за запросом пользователя через распределенную систему. Они могут использоваться для определения поведения кода приложения и производительности различных транзакций. Несмотря на то, что журналы часто создаются отдельными компонентами распределенной системы, трассировка измеряет работу и производительность приложения по всему набору компонентов.

Распределенная трассировка в Azure Monitor активируется с помощью пакета SDK для Application Insights, а данные трассировки хранятся вместе с другими данными журнала приложения, собираемыми Application Insights. Это делает ее доступной для тех же средств анализа, что и для других данных журнала, включая запросы журналов, панели мониторинга и оповещения.

Дополнительные сведения о распределенной трассировке см. в статье Что такое распределенная трассировка?.

Сравнение метрик и журналов Azure Monitor

В следующей таблице сравниваются метрики и журналы в Azure Monitor.

attribute Метрики Журналы
Преимущества Они занимают небольшой объем, и их можно использовать в сценариях, предусматривающих работу в режиме почти реального времени, таких как отправка оповещений. Идеально подходит для быстрого обнаружения проблем. Анализ с помощью полнофункционального языка запросов. Идеально подходит для углубленного анализа и выявления основной причины.
Данные Только числовые значения Текст или числовые данные
Структура Стандартный набор свойств, включая время выборки, число отслеживаемых ресурсов, числовое значение. Некоторые метрики включают несколько измерений для дальнейшего определения. Уникальный набор свойств в зависимости от типа журнала.
Коллекция Сбор через регулярные интервалы времени. Сбор может осуществляться нерегулярно, по мере того, как события инициируют создание соответствующей записи.
Просмотр на портале Azure Обозреватель метрик Log Analytics
Источники данных включают Метрики платформы, собранные из ресурсов Azure.
Приложения, отслеживаемые Application Insights.
Определяется приложением или API.
Журналы приложений и ресурсов.
Решения для мониторинга.
Агенты и расширения виртуальных машин.
Запросы приложений и исключения.
Центр безопасности Azure.
API сборщика данных.

Сбор данных мониторинга

Различные источники данных для Azure Monitor будут записываться либо в рабочую область Log Analytics (журналы), либо в базу данных метрик Azure Monitor (метрики), либо и в рабочую область, и в базу данных. Некоторые источники записывают данные непосредственно в эти хранилища данных, тогда как другие могут записывать данные в другое расположение (например, в службу хранилища Azure) и требовать настройки параметров заполнения журналов или метрик.

Список различных источников данных, заполняющих каждый тип, см. в статьях Метрики в Azure Monitor и Журналы Azure Monitor.

Потоковая передача данных во внешние системы

Помимо анализа данных мониторинга с помощью средств Azure вам может потребоваться перенаправлять их во внешнее средство, например продукт для управления информационной безопасностью и событиями безопасности (SIEM). Такое перенаправление обычно выполняют непосредственно из отслеживаемых ресурсов через Центры событий Azure. Некоторые источники можно настроить для отправки данных непосредственно в концентратор событий, а для получения необходимых данных можно использовать другой процесс, такой как приложение логики. Подробнее см. в разделе Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом.

Дальнейшие действия