Migrera från Splunk till Azure Monitor-loggar

Azure Monitor-loggar är en molnbaserad tjänst för hanterad övervakning och observerbarhet som ger många fördelar när det gäller kostnadshantering, skalbarhet, flexibilitet, integrering och låg underhållskostnader. Tjänsten är utformad för att hantera stora mängder data och skala enkelt för att uppfylla behoven hos organisationer av alla storlekar.

Azure Monitor-loggar samlar in data från en mängd olika källor, inklusive Windows-händelseloggar, Syslog och anpassade loggar, för att ge en enhetlig vy över alla Azure- och icke-Azure-resurser. Med hjälp av ett avancerat frågespråk och en kuraterad visualisering kan du snabbt analysera miljontals poster för att identifiera, förstå och svara på kritiska mönster i dina övervakningsdata.

Den här artikeln beskriver hur du migrerar din Splunk Observability-distribution till Azure Monitor-loggar för loggning och loggdataanalys.

Information om hur du migrerar din SIEM-distribution (Security Information and Event Management) från Splunk Enterprise Security till Azure Sentinel finns i Planera migreringen till Microsoft Sentinel.

Varför migrera till Azure Monitor?

Fördelarna med att migrera till Azure Monitor är:

• Fullständigt hanterad, SaaS-plattform (Software as a Service) med:
  • Automatiska uppgraderingar och skalning.
  • Enkel prissättning per GB betala per användning.
  • Kostnadsoptimerings- och övervakningsfunktioner och grundläggande loggar till låg kostnad.
• Molnbaserad övervakning och observerbarhet, inklusive:
  • Övervakning från slutpunkt till slutpunkt, i stor skala.
  • Intern övervakning av Azure-resurser.
  • Sekretess och efterlevnad.
• Intern integrering med en rad kompletterande Azure-tjänster, till exempel Microsoft Sentinel för säkerhetsinformation och händelsehantering, Azure Logic Apps för automatisering, Azure Managed Grafana för instrumentpaneler och Azure Machine Learning för avancerade analys- och svarsfunktioner.

Jämföra erbjudanden

Splunk-erbjudande	Produkt	Azure-erbjudande
Splunk Platform	Splunk Cloud Platform Splunk Enterprise	Azure Monitor-loggar är en centraliserad SaaS-plattform (programvara som en tjänst) för insamling, analys och hantering av telemetridata som genereras av Azure och andra resurser och program än Azure.
Splunk Observability	Övervakning av Splunk-infrastruktur Prestandaövervakning av Splunk-program Splunk IT Service Intelligence	Azure Monitor är en lösning från slutpunkt till slutpunkt för att samla in, analysera och agera på telemetri från molnmiljöer, multimolnmiljöer och lokala miljöer, som bygger på en kraftfull pipeline för datainmatning som delas med Microsoft Sentinel. Azure Monitor erbjuder företag en omfattande lösning för övervakning av molnmiljöer, hybridmiljöer och lokala miljöer, med nätverksisolering, motståndskraftsfunktioner och skydd mot datacenterfel, rapportering och aviseringar och svarsfunktioner . Azure Monitors inbyggda funktioner är: Azure Monitor Insights – redo att använda, granskade övervakningsupplevelser med förkonfigurerade dataindata, sökningar, aviseringar och visualiseringar. Application Insights – tillhandahåller Application Performance Management (APM) för webbappar i realtid. Azure Monitor AIOps och inbyggda maskininlärningsfunktioner – ger insikter och hjälper dig att felsöka problem och automatisera datadrivna uppgifter, till exempel förutsäga kapacitetsanvändning och autoskalning, identifiera och analysera problem med programprestanda och identifiera avvikande beteenden i virtuella datorer, containrar och andra resurser. Dessa funktioner är kostnadsfria för installationsavgifter.
Splunk Security	Splunk Enterprise Security Splunk Mission Control Splunk SOAR	Microsoft Sentinel är en molnbaserad lösning som körs över Azure Monitor-plattformen för att tillhandahålla intelligent säkerhetsanalys och hotinformation i hela företaget.

Introduktion till viktiga begrepp

Azure Monitor-loggar	Liknande Splunk-koncept	beskrivning
Log Analytics-arbetsyta	Namnområde	En Log Analytics-arbetsyta är en miljö där du kan samla in loggdata från alla Azure- och icke-Azure-övervakade resurser. Data på arbetsytan är tillgängliga för frågor och analyser, Azure Monitor-funktioner och andra Azure-tjänster. På samma sätt som i ett Splunk-namnområde kan du hantera åtkomsten till data och artefakter, till exempel aviseringar och arbetsböcker, på Log Analytics-arbetsytan. Utforma din Log Analytics-arbetsytearkitektur baserat på dina behov – till exempel delad fakturering, regionala datalagringskrav och återhämtningsöverväganden.
Tabellhantering	Indexering	Azure Monitor-loggar matar in loggdata i tabeller i en hanterad Azure Data Explorer-databas . Under inmatningen indexerar och tidsstämplar tjänsten automatiskt data, vilket innebär att du kan lagra olika typer av data och komma åt data snabbt med hjälp av KQL-frågor (Kusto-frågespråk). Använd tabellegenskaper för att hantera tabellschemat, datakvarhållningen och arkivet samt om du vill lagra data för tillfällig granskning och felsökning eller för pågående analys och användning av funktioner och tjänster. En jämförelse av datahanterings- och frågebegrepp för Splunk och Azure Data Explorer finns i Splunk to Kusto-frågespråk map (Splunk to Kusto-frågespråk map).
Grundläggande loggdataplaner och analysloggdataplaner		Azure Monitor-loggar erbjuder två loggdataplaner som gör att du kan minska kostnaderna för logginmatning och kvarhållning och dra nytta av Azure Monitors avancerade funktioner och analysfunktioner baserat på dina behov. Analysplanen gör loggdata tillgängliga för interaktiva frågor och används av funktioner och tjänster. Den grundläggande loggdataplanen är ett billigt sätt att mata in och behålla loggar för felsökning, felsökning, granskning och efterlevnad.
Arkivering och snabb åtkomst till arkiverade data	Tillstånd för data bucket (frekvent, varm, kall, tinad), arkivering, Dynamiskt data active archive (DDAA)	Det kostnadseffektiva arkivalternativet behåller loggarna på Log Analytics-arbetsytan och gör att du kan komma åt arkiverade loggdata direkt när du behöver dem. Ändringar i arkivkonfigurationen börjar gälla omedelbart eftersom data inte överförs fysiskt till extern lagring. Du kan återställa arkiverade data eller köra ett sökjobb för att göra ett visst tidsintervall med arkiverade data tillgängliga för realtidsanalys.
Åtkomstkontroll	Rollbaserad användaråtkomst, behörigheter	Definiera vilka personer och resurser som kan läsa, skriva och utföra åtgärder på specifika resurser med hjälp av rollbaserad åtkomstkontroll (RBAC) i Azure. En användare med åtkomst till en resurs har åtkomst till resursens loggar. Azure underlättar datasäkerhet och åtkomsthantering med funktioner som inbyggda roller, anpassade roller, arv av rollbehörighet och granskningshistorik. Du kan också konfigurera åtkomst på arbetsytenivå och åtkomst på tabellnivå för detaljerad åtkomstkontroll till specifika datatyper.
Datatransformationer	Transformeringar, fältextraheringar	Med transformeringar kan du filtrera eller ändra inkommande data innan de skickas till en Log Analytics-arbetsyta. Använd transformeringar för att ta bort känsliga data, berika data på Log Analytics-arbetsytan, utföra beräkningar och filtrera bort data som du inte behöver för att minska datakostnaderna.
Regler för datainsamling	Dataindata, datapipeline	Definiera vilka data som ska samlas in, hur du transformerar dessa data och var data ska skickas.
Kusto-frågespråk (KQL)	Splunk Search Processing Language (SPL)	Azure Monitor-loggar använder en stor delmängd av KQL som är lämplig för enkla loggfrågor men som även innehåller avancerade funktioner som sammansättningar, kopplingar och smart analys. Använd Splunk för att Kusto-frågespråk karta för att översätta dina Splunk SPL-kunskaper till KQL. Du kan också lära dig KQL med självstudier och KQL-utbildningsmoduler.
Log Analytics	Splunk Web, Search app, Pivot tool	Ett verktyg i Azure-portalen för att redigera och köra loggfrågor i Azure Monitor-loggar. Log Analytics innehåller också en omfattande uppsättning verktyg för att utforska och visualisera data utan att använda KQL.
Kostnadsoptimering		Azure Monitor innehåller verktyg och metodtips som hjälper dig att förstå, övervaka och optimera dina kostnader baserat på dina behov.

1. Förstå din aktuella användning

Din aktuella användning i Splunk hjälper dig att avgöra vilken prisnivå du ska välja i Azure Monitor och beräkna dina framtida kostnader:

• Följ Splunk-vägledningen för att visa din användningsrapport.
• Kostnadsuppskattningar i Azure Monitor med hjälp av priskalkylatorn.

2. Konfigurera en Log Analytics-arbetsyta

Log Analytics-arbetsytan är den plats där du samlar in loggdata från alla dina övervakade resurser. Du kan behålla data på en Log Analytics-arbetsyta i upp till sju år. Med dataarkivering till låg kostnad på arbetsytan kan du snabbt och enkelt komma åt arkiverade data när du behöver dem, utan att behöva hantera ett externt datalager.

Vi rekommenderar att du samlar in alla dina loggdata på en enda Log Analytics-arbetsyta för enkel hantering. Om du överväger att använda flera arbetsytor kan du läsa Designa en Log Analytics-arbetsytearkitektur.

Så här konfigurerar du en Log Analytics-arbetsyta för datainsamling:

1. Skapa en Log Analytics-arbetsyta.

   Azure Monitor-loggar skapar Azure-tabeller på din arbetsyta automatiskt baserat på Azure-tjänster som du använder och inställningar för datainsamling som du definierar för Azure-resurser.

2. Konfigurera din Log Analytics-arbetsyta, inklusive:

   1. Prisnivå.
   2. Länka din Log Analytics-arbetsyta till ett dedikerat kluster för att dra nytta av avancerade funktioner, om du är berättigad, baserat på prisnivån.
   3. Dagligt tak.
   4. Datakvarhållning.
   5. Nätverksisolering.
   6. Åtkomstkontroll.

3. Använd konfigurationsinställningar på tabellnivå för att:

   1. Definiera varje tabells loggdataplan.

      Standardplanen för loggdata är Analytics, som gör att du kan dra nytta av Azure Monitors omfattande funktioner för övervakning och analys.

   2. Ange en datakvarhållnings- och arkiveringsprincip för specifika tabeller, om du vill att de ska skilja sig från datakvarhållnings- och arkiveringsprincipen på arbetsytans nivå.

   3. Ändra tabellschemat baserat på din datamodell.

3. Migrera Splunk-artefakter till Azure Monitor

Om du vill migrera de flesta Splunk-artefakter måste du översätta Splunk Processing Language (SPL) till Kusto-frågespråk (KQL). Mer information finns i Splunk to Kusto-frågespråk map (Splunk to Kusto-frågespråk map) och Get started with log queries in Azure Monitor (Kom igång med loggfrågor i Azure Monitor).

Den här tabellen innehåller Splunk-artefakter och länkar till vägledning för att konfigurera motsvarande artefakter i Azure Monitor:

Splunkartefakt	Azure Monitor-artefakt
Aviseringar	Aviseringsregler
Aviseringsåtgärder	Åtgärdsgrupper
Infrastrukturövervakning	Azure Monitor Insights är en uppsättning färdiga, granskade övervakningsupplevelser med förkonfigurerade dataindata, sökningar, aviseringar och visualiseringar för att komma igång med att analysera data snabbt och effektivt.
Instrumentpaneler	Arbetsböcker
Uppslag	Azure Monitor erbjuder olika sätt att utöka data, bland annat: - Datainsamlingsregler som gör att du kan skicka data från flera källor till en Log Analytics-arbetsyta och utföra beräkningar och transformeringar innan du matar in data. – KQL-operatorer, till exempel kopplingsoperatorn, som kombinerar data från olika tabeller och operatorn externaldata, som returnerar data från extern lagring. – Integrering med tjänster, till exempel Azure Machine Learning eller Azure Event Hubs, för att tillämpa avancerad maskininlärning och strömma ytterligare data.
Namnrymder	Du kan bevilja eller begränsa behörighet till artefakter i Azure Monitor baserat på åtkomstkontroll som du definierar på din Log Analytics-arbetsyta eller Azure-resursgrupper.
Behörigheter	Åtkomsthantering
Rapporter	Azure Monitor erbjuder en mängd olika alternativ för att analysera, visualisera och dela data, inklusive: - Integrering med Grafana - Insikter - Arbetsböcker - Instrumentpaneler - Integrering med Power BI - Integrering med Excel
Sökningar	Frågor
Källtyper	Definiera din datamodell på Log Analytics-arbetsytan. Använd inmatningstidstransformeringar för att filtrera, formatera eller ändra inkommande data.
Metoder för datasamlingar	Se Samla in data för Azure Monitor-verktyg som är utformade för specifika resurser.

Information om hur du migrerar Splunk SIEM-artefakter, inklusive identifieringsregler och SOAR-automatisering, finns i Planera migreringen till Microsoft Sentinel.

4. Samla in data

Azure Monitor innehåller verktyg för att samla in data från loggdatakällor på Azure- och icke-Azure-resurser i din miljö.

Så här samlar du in data från en resurs:

1. Konfigurera det relevanta datainsamlingsverktyget baserat på tabellen nedan.
2. Bestäm vilka data du behöver samla in från resursen.
3. Använd transformeringar för att ta bort känsliga data, berika data eller utföra beräkningar och filtrera bort data som du inte behöver för att minska kostnaderna.

Den här tabellen visar de verktyg som Azure Monitor tillhandahåller för att samla in data från olika resurstyper.

Resurstyp	Datainsamlingsverktyg	Liknande Splunk-verktyg	Insamlade data
Azure	Diagnostikinställningar		Azure-klientorganisation – Microsoft Entra-granskningsloggar ger inloggningsaktivitetshistorik och spårningsspår för ändringar som gjorts i en klientorganisation. Azure-resurser – loggar och prestandaräknare. Azure-prenumeration – Tjänststatus poster tillsammans med poster om eventuella konfigurationsändringar som gjorts i resurserna i din Azure-prenumeration.
Program	Application Insights	Prestandaövervakning av Splunk-program	Övervakningsdata för programprestanda.
Container	Containerinsikter	Övervakning av containrar	Prestandadata för containrar.
Operativsystem	Azure Monitor-agent	Universell vidarebefordrare, tung vidarebefordrare	Övervaka data från gästoperativsystemet för virtuella Datorer i Azure och andra datorer än Azure.
Icke-Azure-källa	Loggar inmatnings-API	HTTP-händelseinsamlare (HEC)	Filbaserade loggar och alla data som du skickar till en datainsamlingsslutpunkt på en övervakad resurs.

5. Övergång till Azure Monitor-loggar

En vanlig metod är att gradvis övergå till Azure Monitor-loggar och samtidigt underhålla historiska data i Splunk. Under den här perioden kan du:

• Använd API:et för logginmatning för att mata in data från Splunk.
• Använd Log Analytics-dataexport för arbetsytor för att exportera data från Azure Monitor.

Så här exporterar du historiska data från Splunk:

1. Använd någon av Splunk-exportmetoderna för att exportera data i CSV-format.
2. Så här samlar du in exporterade data:

   1. Använd Azure Monitor Agent för att samla in data som du exporterar från Splunk, enligt beskrivningen i Samla in textloggar med Azure Monitor Agent.

      eller

   2. Samla in exporterade data direkt med API:et för logginmatning enligt beskrivningen i Skicka data till Azure Monitor-loggar med hjälp av ett REST-API.

Nästa steg

• Läs mer om hur du använder Log Analytics och Log Analytics Query API.
• Aktivera Microsoft Sentinel på din Log Analytics-arbetsyta.
• Ta utbildningsmodulen Analysera loggar i Azure Monitor med KQL.