Metodtips för Azure Monitor – Planera din övervakningsstrategi och konfiguration

Den här artikeln är en del av scenariot Rekommendationer för att konfigurera Azure Monitor. Den beskriver planering som du bör överväga innan du påbörjar implementeringen. Den här planeringen säkerställer att de konfigurationsalternativ du väljer uppfyller dina specifika affärskrav.

Om du inte redan är bekant med övervakningskoncept börjar du med molnövervakningsguiden, som är en del av Microsoft Cloud Adoption Framework för Azure. Den här guiden definierar övergripande begrepp för övervakning och ger vägledning för att definiera krav för din övervakningsmiljö och stödjande processer. Den här artikeln refererar till avsnitt i den guiden som är relevanta för vissa planeringssteg.

Förstå Kostnader för Azure Monitor

Ett centralt mål för din övervakningsstrategi är att minimera kostnaderna. Vissa datainsamlingar och funktioner i Azure Monitor kostar ingenting medan andra har kostnader baserat på deras specifika konfiguration, mängden data som samlas in eller hur ofta de körs. Artiklarna i det här scenariot identifierar eventuella rekommendationer som inkluderar en kostnad, men du bör känna till Prissättningen för Azure Monitor när du utformar din implementering för kostnadsoptimering. Se följande information och vägledning om priser för Azure Monitor:

• Azure Monitor-priser
• Kostnader och användning för Azure Monitor
• Kostnadsoptimering i Azure Monitor

Definiera strategin

Innan du utformar och implementerar en övervakningslösning bör du upprätta en övervakningsstrategi så att du förstår målen och kraven i din plan. Strategin definierar dina specifika krav, den konfiguration som bäst uppfyller dessa krav och processer för att använda övervakningsmiljön för att maximera dina programs prestanda och tillförlitlighet. De konfigurationsalternativ som du väljer för Azure Monitor bör vara konsekventa med din strategi.

Se Guiden för molnövervakning: Formulera en övervakningsstrategi för ett antal faktorer som du bör tänka på när du utvecklar en övervakningsstrategi. Du bör också läsa Övervakningsstrategi för molndistributionsmodeller, som hjälper dig att jämföra helt molnbaserad övervakning med en hybridmodell.

Samla in nödvändig information

Innan du fastställer information om implementeringen bör du samla in information som krävs för att definiera informationen. I följande avsnitt beskrivs information som vanligtvis krävs för en fullständig implementering av Azure Monitor.

Vad behöver övervakas?

Du konfigurerar inte nödvändigtvis fullständig övervakning för alla dina molnresurser utan fokuserar i stället på dina kritiska program och de komponenter som de är beroende av. Detta minskar inte bara dina övervakningskostnader utan minskar även komplexiteten i din övervakningsmiljö. Se Guiden för molnövervakning: Samla in rätt data för vägledning om hur du definierar de data som du behöver.

Vem måste ha åtkomst och meddelas

När du konfigurerar din övervakningsmiljö måste du bestämma vilka användare som ska ha åtkomst till övervakningsdata och vilka användare som måste meddelas när ett problem identifieras. Dessa kan vara program- och resursägare, eller så har du ett centraliserat övervakningsteam. Den här informationen avgör hur du konfigurerar behörigheter för dataåtkomst och aviseringar för aviseringar. Du kan också kräva anpassade arbetsböcker för att presentera vissa uppsättningar med information för olika användare.

Serviceavtal

Din organisation kan ha serviceavtal som definierar dina åtaganden för prestanda och drifttid för dina program. Dessa serviceavtal kan avgöra hur du behöver konfigurera tidskänsliga funktioner i Azure Monitor, till exempel aviseringar. Du måste också förstå datafördröjningen i Azure Monitor eftersom detta påverkar svarstiden för övervakningsscenarier och din förmåga att uppfylla serviceavtal.

Identifiera övervakningstjänster och produkter

Azure Monitor är utformat för att hantera hälso- och statusövervakning. En fullständig övervakningslösning omfattar vanligtvis flera Azure-tjänster och potentiellt andra produkter. Andra övervakningsmål, som kan kräva ytterligare lösningar, beskrivs i molnövervakningsguiden i primära övervakningsmål.

I följande avsnitt beskrivs andra tjänster och produkter som du kan använda med Azure Monitor. Det här scenariot innehåller för närvarande inte vägledning om hur du implementerar dessa lösningar, så du bör läsa deras dokumentation.

Säkerhetsövervakning

Även om driftdata som lagras i Azure Monitor kan vara användbara för att undersöka säkerhetsincidenter, har andra tjänster i Azure utformats för att övervaka säkerheten. Säkerhetsövervakning i Azure utförs av Microsoft Defender för molnet och Microsoft Sentinel.

• Microsoft Defender för molnet samlar in information om Azure-resurser och hybridservrar. Även om det kan samla in säkerhetshändelser fokuserar Defender för molnet på att samla in inventeringsdata, utvärderingsgenomsökningsresultat och principgranskningar för att belysa sårbarheter och rekommendera korrigerande åtgärder. Anmärkningsvärda funktioner är en interaktiv nätverkskarta, just-in-time-åtkomst till virtuella datorer, anpassningsbar nätverkshärdning och anpassningsbara programkontroller för att blockera misstänkta körbara filer.

• Microsoft Defender för servrar är den serverutvärderingslösning som tillhandahålls av Defender för molnet. Defender för servrar kan skicka Windows-säkerhet händelser till Log Analytics. Defender för molnet förlitar sig inte på Windows-säkerhet händelser för aviseringar eller analys. Med den här funktionen kan centraliserad arkivering av händelser för undersökning eller andra ändamål.

• Microsoft Sentinel är en lösning för hantering av säkerhetsinformationshändelser (SIEM) och soar(security orchestration automated response). Sentinel samlar in säkerhetsdata från en mängd olika Microsoft- och tredjepartskällor för att tillhandahålla aviseringar, visualisering och automatisering. Den här lösningen fokuserar på att konsolidera så många säkerhetsloggar som möjligt, inklusive Windows-säkerhet Händelser. Microsoft Sentinel kan också samla in Windows-säkerhet händelseloggar och ofta dela en Log Analytics-arbetsyta med Defender för molnet. Säkerhetshändelser kan bara samlas in från Microsoft Sentinel eller Defender för molnet när de delar samma arbetsyta. Till skillnad från Defender för molnet är säkerhetshändelser en viktig komponent i aviseringar och analyser i Microsoft Sentinel.

• Defender för Endpoint är en säkerhetsplattform för företagsslutpunkter som är utformad för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och svara på avancerade hot. Den har utformats med primärt fokus på att skydda Windows-användarenheter. Defender för Endpoint övervakar arbetsstationer, servrar, surfplattor och mobiltelefoner med olika operativsystem för säkerhetsproblem och säkerhetsrisker. Defender för Endpoint är nära anpassat till Microsoft Intune för att samla in data och tillhandahålla säkerhetsutvärderingar. Datainsamling baseras främst på ETW-spårningsloggar och lagras på en isolerad arbetsyta.

System Center Operations Manager

Du kan ha en befintlig investering i System Center Operations Manager för övervakning av lokala resurser och arbetsbelastningar som körs på dina virtuella datorer. Du kan välja att migrera den här övervakningen till Azure Monitor eller fortsätta att använda båda produkterna tillsammans i en hybridkonfiguration. Se Molnövervakningsguide: Översikt över övervakningsplattformar för en jämförelse av de två produkterna. Se Övervakningsstrategi för molndistributionsmodeller för hur du använder de två i en hybridkonfiguration och fastställer den lämpligaste modellen för din miljö.

Vanliga frågor och svar

Det här avsnittet innehåller svar på vanliga frågor.

Vilka IP-adresser använder Azure Monitor?

Se IP-adresser som används av Application Insights och Log Analytics för de IP-adresser och portar som krävs för att agenter och andra externa resurser ska få åtkomst till Azure Monitor.

Nästa steg

• Se Konfigurera datainsamling för steg och rekommendationer för att konfigurera datainsamling i Azure Monitor.