Utforma en distribution med Azure Monitor-loggar

Azure Monitor lagrar loggdata på en Log Analytics-arbetsyta, som är en Azure-resurs och en container där data samlas in, aggregeras och fungerar som en administrativ gräns. Även om du kan distribuera en eller flera arbetsytor i din Azure-prenumeration finns det flera saker som du bör känna till för att säkerställa att din första distribution följer våra riktlinjer för att ge dig en kostnadseffektiv, hanterbar och skalbar distribution som uppfyller organisationens behov.

Data i en arbetsyta är ordnade i tabeller, där var och en lagrar olika typer av data och har en egen unik uppsättning egenskaper baserat på resursen som genererar data. De flesta datakällor skriver till sina egna tabeller på en Log Analytics-arbetsyta.

Exempel på arbetsytedatamodell

En Log Analytics-arbetsyta innehåller:

  • En geografisk plats för datalagring.
  • Dataisolering genom att ge olika användare åtkomstbehörigheter enligt en av våra rekommenderade designstrategier.
  • Omfång för konfiguration av inställningar som prisnivå, kvarhållningoch databegränsning.

Arbetsytor finns i fysiska kluster. Som standard skapar och hanterar systemet dessa kluster. Kunder som matar in mer än 4 TB/dag förväntas skapa sina egna dedikerade kluster för sina arbetsytor – det ger dem bättre kontroll och högre inmatningshastighet.

Den här artikeln innehåller en detaljerad översikt över design- och migreringsöverväganden, översikt över åtkomstkontroll och en förståelse för de designimplementeringar som vi rekommenderar för DIN IT-organisation.

Viktiga överväganden för en strategi för åtkomstkontroll

Att identifiera antalet arbetsytor som du behöver påverkas av ett eller flera av följande krav:

  • Du är ett globalt företag och du behöver loggdata som lagras i specifika regioner av datasuveränitets- eller efterlevnadsskäl.
  • Du använder Azure och du vill undvika kostnader för överföring av utgående data genom att ha en arbetsyta i samma region som de Azure-resurser som den hanterar.
  • Du hanterar flera avdelningar eller affärsgrupper och vill att var och en ska se sina egna data, men inte data från andra. Det finns heller inga affärskrav för en konsoliderad vy mellan avdelningar eller affärsgrupper.

IT-organisationer modelleras i dag antingen efter en centraliserad, decentraliserad eller mellan hybrid av båda strukturerna. Därför har följande distributionsmodeller för arbetsytor ofta använts för att mappa till någon av dessa organisationsstrukturer:

  • Centraliserad: Alla loggar lagras på en central arbetsyta och administreras av ett enda team, Azure Monitor ger differentierad åtkomst per team. I det här scenariot är det enkelt att hantera, söka bland resurser och korskorrelera loggar. Arbetsytan kan växa avsevärt beroende på mängden data som samlas in från flera resurser i din prenumeration, med ytterligare administrativa kostnader för att upprätthålla åtkomstkontroll för olika användare. Den här modellen kallas "nav och ekrar".
  • Decentraliserad: Varje team har en egen arbetsyta som skapats i en resursgrupp som de äger och hanterar, och loggdata är åtskilda per resurs. I det här scenariot kan arbetsytan hållas säker och åtkomstkontrollen är konsekvent med resursåtkomsten, men det är svårt att korskorrelera loggar. Användare som behöver en bred vy över många resurser kan inte analysera data på ett meningsfullt sätt.
  • Hybrid: Kraven på säkerhetsgranskning av efterlevnad gör det här scenariot mer komplicerat eftersom många organisationer implementerar båda distributionsmodellerna parallellt. Detta resulterar vanligtvis i en komplex, dyr och svår att underhålla konfiguration med luckor i loggtäckningen.

När du använder Log Analytics-agenterna för att samla in data måste du förstå följande för att kunna planera agentdistributionen:

  • Om du vill samla in data Windows agenter kan du konfigurera varje agentatt rapportera till en eller flera arbetsytor , även om den rapporterar till en System Center Operations Manager hanteringsgrupp. Den Windows agenten kan rapportera upp till fyra arbetsytor.
  • Linux-agenten stöder inte flera värdar och kan bara rapportera till en enda arbetsyta.

Om du använder System Center Operations Manager 2012 R2 eller senare:

  • Varje Operations Manager kan bara anslutas till en arbetsyta.
  • Linux-datorer som rapporterar till en hanteringsgrupp måste konfigureras för att rapportera direkt till en Log Analytics-arbetsyta. Om Dina Linux-datorer redan rapporterar direkt till en arbetsyta och du vill övervaka dem med Operations Manager följer du dessa steg för att rapportera till en Operations Manager-hanteringsgrupp.
  • Du kan installera Log Analytics Windows-agenten på Windows-datorn och få den att rapportera till både Operations Manager integrerad med en arbetsyta och en annan arbetsyta.

Översikt över åtkomstkontroll

Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du bevilja användare och grupper endast den mängd åtkomst som de behöver för att arbeta med övervakningsdata på en arbetsyta. På så sätt kan du anpassa dig till IT-organisationens driftsmodell med hjälp av en enda arbetsyta där insamlade data kan lagras på alla dina resurser. Du beviljar till exempel åtkomst till ditt team som ansvarar för infrastrukturtjänster som finns på virtuella Azure-datorer och därför har de endast åtkomst till de loggar som genereras av de virtuella datorerna. Detta följer vår nya loggmodell för resurskontext. Grunden för den här modellen är för varje loggpost som genereras av en Azure-resurs. Den associeras automatiskt med den här resursen. Loggar vidarebefordras till en central arbetsyta som respekterar omfång och Azure RBAC baserat på resurserna.

De data som en användare har åtkomst till bestäms av en kombination av faktorer som anges i följande tabell. Var och en beskrivs i avsnitten nedan.

Faktor Description
Åtkomstläge Metod som användaren använder för att få åtkomst till arbetsytan. Definierar omfånget för tillgängliga data och åtkomstkontrollläget som tillämpas.
Åtkomstkontrolläge Inställning på arbetsytan som definierar om behörigheter tillämpas på arbetsyte- eller resursnivå.
Behörigheter Behörigheter som tillämpas på enskilda användare eller grupper av användare för arbetsytan eller resursen. Definierar vilka data användaren ska ha åtkomst till.
Azure RBAC på tabellnivå Valfria detaljerade behörigheter som gäller för alla användare oavsett deras åtkomstläge eller åtkomstkontrollläge. Definierar vilka datatyper en användare kan komma åt.

Åtkomstläge

Åtkomstläget refererar till hur en användare kommer åt en Log Analytics-arbetsyta och definierar omfånget för data som de kan komma åt.

Användare har två alternativ för att komma åt data:

  • Arbetsytekontext: Du kan visa alla loggar på arbetsytan som du har behörighet till. Frågor i det här läget är begränsade till alla data i alla tabeller på arbetsytan. Det här är det åtkomstläge som används när loggar används med arbetsytan som omfång, till exempel när du väljer Loggar från Azure Monitor-menyn i Azure Portal.

    Log Analytics-kontext från arbetsyta

  • Resurskontext: När du kommer åt arbetsytan för en viss resurs, resursgrupp eller prenumeration, till exempel när du väljer Loggar från en resursmeny i Azure Portal, kan du endast visa loggar för resurser i alla tabeller som du har åtkomst till. Frågor i det här läget är begränsade till endast data som är associerade med den resursen. Det här läget aktiverar också detaljerad Azure RBAC.

    Log Analytics-kontext från resurs

    Anteckning

    Loggar är bara tillgängliga för resurskontextfrågor om de har associerats korrekt med den relevanta resursen. För närvarande har följande resurser begränsningar:

    Du kan testa om loggarna är korrekt associerade med deras resurs genom att köra en fråga och granska de poster som du är intresserad av. Om rätt resurs-ID finns i _ResourceId är data tillgängliga för resurscentrerade frågor.

Azure Monitor automatiskt rätt läge beroende på vilken kontext du utför loggsökningen från. Omfånget visas alltid i det övre vänstra avsnittet i Log Analytics.

Jämföra åtkomstlägen

I följande tabell sammanfattas åtkomstlägen:

Problem Arbetsytans kontext Resurskontext
Vem är varje modell avsedd för? Central administration. Administratörer som behöver konfigurera datainsamling och användare som behöver åtkomst till en mängd olika resurser. Krävs för närvarande även för användare som behöver åtkomst till loggar för resurser utanför Azure. Programteam. Administratörer av Azure-resurser som övervakas.
Vad kräver en användare för att kunna visa loggar? Behörigheter till arbetsytan. Se Arbetsytebehörigheter i Hantera åtkomst med arbetsytebehörigheter. Läsåtkomst till resursen. Se Resursbehörigheter i Hantera åtkomst med azure-behörigheter. Behörigheter kan ärvas (till exempel från den innehållande resursgruppen) eller tilldelas direkt till resursen. Behörighet till loggarna för resursen tilldelas automatiskt.
Vad är behörighetsomfånget? Arbetsytan. Användare med åtkomst till arbetsytan kan köra frågor mot alla loggar i arbetsytan från tabeller som de har behörighet till. Se Åtkomstkontroll för tabell Azure-resurs. Användare kan köra frågor mot loggar för specifika resurser, resursgrupper eller prenumerationer som de har åtkomst till från valfri arbetsyta, men kan inte köra frågor mot loggar för andra resurser.
Hur kan användare komma åt loggar?
  • Starta loggar från Azure Monitor menyn.
  • Starta loggar från Log Analytics-arbetsytor.
  • Starta loggar från menyn för Azure-resursen
  • Starta loggar från Azure Monitor menyn.
  • Starta loggar från Log Analytics-arbetsytor.

Åtkomstkontrolläge

Åtkomstkontrollläget är en inställning på varje arbetsyta som definierar hur behörigheter bestäms för arbetsytan.

  • Kräv arbetsytebehörigheter: Det här kontrollläget tillåter inte detaljerad Azure RBAC. För att en användare ska kunna komma åt arbetsytan måste han eller hon beviljas behörighet till arbetsytan eller till specifika tabeller.

    Om en användare kommer åt arbetsytan efter läget för arbetsytekontext, har de åtkomst till alla data i alla tabeller som de har beviljats åtkomst till. Om en användare kommer åt arbetsytan efter resurskontextläget har de endast åtkomst till data för den resursen i valfri tabell som de har beviljats åtkomst till.

    Det här är standardinställningen för alla arbetsytor som skapats före mars 2019.

  • Använd resurs- eller arbetsytebehörigheter: Det här kontrollläget tillåter detaljerad Azure RBAC. Användare kan endast beviljas åtkomst till data som är associerade med resurser som de kan visa genom att tilldela read Azure-behörighet.

    När en användare kommer åt arbetsytan i kontextläge för arbetsyta gäller arbetsytebehörigheter. När en användare kommer åt arbetsytan i resurskontextläge verifieras endast resursbehörigheter och arbetsytans behörigheter ignoreras. Aktivera Azure RBAC för en användare genom att ta bort dem från arbetsytans behörigheter och låta deras resursbehörigheter identifieras.

    Det här är standardinställningen för alla arbetsytor som skapats efter mars 2019.

    Anteckning

    Om en användare bara har resursbehörighet till arbetsytan kan de bara komma åt arbetsytan med hjälp av resurskontextläge förutsatt att arbetsytans åtkomstläge är inställt på Använd resurs- eller arbetsytebehörigheter.

Information om hur du ändrar åtkomstkontrollläget i portalen, med PowerShell eller använder en Resource Manager mall finns i Konfigurera åtkomstkontrollläge.

Hastighetsgräns för skalnings- och inmatningsvolym

Azure Monitor är en storskalig datatjänst som betjänar tusentals kunder och skickar petabyte med data varje månad i allt högre takt. Arbetsytor är inte begränsade i lagringsutrymmet och kan växa till petabyte med data. Du behöver inte dela upp arbetsytor på grund av skalning.

För att skydda och isolera Azure Monitor-kunder och dess backend-infrastruktur finns det en standardgräns för inmatningshastighet som är utformad för att skydda mot toppar och översvämningar. Standardvärdet för hastighetsbegränsningen är cirka 6 GB/minut och är utformat för att möjliggöra normal inmatning. Mer information om mätning av inmatningsvolymgräns finns i Azure Monitor tjänstbegränsningar.

Kunder som matar in mindre än 4 TB/dag uppfyller vanligtvis inte dessa gränser. Kunder som matar in högre volymer eller som har toppar som en del av normal drift bör överväga att flytta till dedikerade kluster där gränsen för inmatningshastighet kan höjas.

När gränsen för inmatningsfrekvens har aktiverats eller kommer till 80 % av tröskelvärdet läggs en händelse till i åtgärdstabellen på din arbetsyta. Vi rekommenderar att du övervakar den och skapar en avisering. Mer information finns i volymhastigheten för datainmatning.

Rekommendationer

Designexempel för resurskontext

Det här scenariot omfattar en enskild arbetsytedesign i IT-organisationens prenumeration som inte är begränsad av datasuveränitet eller regelefterlevnad, eller som behöver mappas till de regioner som dina resurser distribueras i. Det gör att din organisations säkerhets- och IT-administratörsteam kan dra nytta av den förbättrade integreringen med Azure-åtkomsthantering och säkrare åtkomstkontroll.

Alla resurser, övervakningslösningar och Insights som Application Insights och VM-insikter, stöd för infrastruktur och program som underhålls av de olika teamen konfigureras för att vidarebefordra insamlade loggdata till IT-organisationens centraliserade delade arbetsyta. Användare i varje team beviljas åtkomst till loggar för resurser som de har fått åtkomst till.

När du har distribuerat din arbetsytearkitektur kan du tillämpa detta på Azure-resurser med Azure Policy. Det är ett sätt att definiera principer och säkerställa efterlevnad med dina Azure-resurser så att de skickar alla sina resursloggar till en viss arbetsyta. Med virtuella Azure-datorer eller VM-skalningsuppsättningar kan du till exempel använda befintliga principer som utvärderar arbetsytans efterlevnad och rapporterar resultat eller anpassar för att åtgärda om de inte är kompatibla.

Migreringsstrategi för konsolidering av arbetsytor

För kunder som redan har distribuerat flera arbetsytor och är intresserade av att konsolidera till resurskontextåtkomstmodellen rekommenderar vi att du använder en inkrementell metod för att migrera till den rekommenderade åtkomstmodellen och inte försöker uppnå detta snabbt eller aggressivt. Genom att följa en fasindelade metod för att planera, migrera, validera och dra tillbaka enligt en rimlig tidslinje kan du undvika oplanerade incidenter eller oväntad påverkan på molndriften. Om du inte har en princip för datalagring av efterlevnads- eller affärsskäl måste du utvärdera hur lång tid det tar att behålla data på arbetsytan som du migrerar från under processen. När du konfigurerar om resurser för att rapportera till den delade arbetsytan kan du fortfarande analysera data i den ursprungliga arbetsytan efter behov. Om du vill behålla data på den ursprungliga arbetsytan innan kvarhållningsperioden är slut ska du inte ta bort den när migreringen är klar.

Tänk på följande när du planerar migreringen till den här modellen:

  • Förstå vilka branschregler och interna principer för datalagring som du måste följa.
  • Se till att dina programteam kan arbeta med befintliga funktioner för resurskontext.
  • Identifiera den åtkomst som beviljas till resurser för dina programteam och testa i en utvecklingsmiljö innan du implementerar i produktion.
  • Konfigurera arbetsytan för att aktivera Använd resurs- eller arbetsytebehörigheter.
  • Ta bort programteamsbehörighet för att läsa och köra frågor mot arbetsytan.
  • Aktivera och konfigurera övervakningslösningar, Insights som Container Insights och/eller Azure Monitor for VMs, dina Automation-konton och hanteringslösningar som Uppdateringshantering, Starta/stoppa virtuella datorer osv. som distribuerades i den ursprungliga arbetsytan.

Nästa steg

Om du vill implementera de säkerhetsbehörigheter och kontroller som rekommenderas i den här guiden kan du läsa Hantera åtkomst till loggar.