Azure Monitor 中的 Microsoft Purview 指标

本文介绍如何使用 Azure Monitor 为 Microsoft Purview 配置指标、警报和诊断设置。

监视 Microsoft Purview

Microsoft Purview 管理员可以使用 Azure Monitor 跟踪 Microsoft Purview 帐户的操作状态。 收集指标以提供数据点，以便跟踪潜在问题、进行故障排除并提高 Microsoft Purview 帐户的可靠性。 指标将发送到 Azure Monitor，了解 Microsoft Purview 中发生的事件。

聚合指标

可以从 Microsoft Purview 帐户的Azure 门户访问指标。 对指标的访问由 Microsoft Purview 帐户的角色分配控制。 用户需要成为 Microsoft Purview 中“监视读取者”角色的一部分才能查看指标。 请参阅 监视读取者角色权限 ，详细了解角色访问级别。

创建 Microsoft Purview 帐户的人员会自动获得查看指标的权限。 如果其他人想要查看指标，请按照以下步骤将其添加到 “监视读取者 ”角色：

将用户添加到“监视读取者”角色

若要将用户添加到 “监视读取者 ”角色，Microsoft Purview 帐户的所有者或订阅所有者可以执行以下步骤：

1. 转到Azure 门户并搜索 Microsoft Purview 帐户名称。

2. 选择“ 访问控制 (IAM) 。

3. 选择“ 添加>添加角色分配 ”，打开 “添加角色分配 ”页。

4. 分配以下角色。 有关详细步骤，请参阅使用Azure 门户分配 Azure 角色。

   设置	值
   Role	监视读取器
   将访问权限分配给	用户、组或服务主体
   Members	<Azure AD 帐户用户>

   

指标可视化

“ 监视读取者 ”角色的用户可以看到发送到 Azure Monitor 的聚合指标和诊断日志。 指标在相应的 Microsoft Purview 帐户的Azure 门户中列出。 在Azure 门户中，选择“指标”部分，查看所有可用指标的列表。

Microsoft Purview 用户还可以直接从 Microsoft Purview 帐户的管理中心访问指标页。 在 Microsoft Purview 管理中心的“main”页中选择“Azure Monitor”以启动Azure 门户。

可用指标

若要熟悉如何使用Azure 门户中的指标部分，请阅读以下两个文档。 指标资源管理器和指标资源管理器的高级功能入门。

下表包含可在Azure 门户中浏览的指标列表：

指标名称	指标命名空间	聚合类型	说明
数据映射容量单位	弹性数据映射	Sum 记数	聚合一段时间内的弹性数据映射容量单位
数据映射存储大小	弹性数据映射	Sum Avg	聚合一段时间内的弹性数据映射存储大小
扫描已取消	自动扫描	Sum 记数	聚合一段时间内取消的数据源扫描数
扫描已完成	自动扫描	Sum 记数	聚合一段时间内已完成的数据源扫描
扫描失败	自动扫描	Sum 记数	聚合一段时间内失败的数据源扫描数
扫描花费的时间	自动扫描	Min Max Sum Avg	聚合一段时间内扫描所花费的总时间

监视警报

可以从 Microsoft Purview 帐户的Azure 门户访问警报。 对警报的访问由 Microsoft Purview 帐户的角色分配控制，就像指标一样。 用户可以在其 purview 帐户中设置警报规则，以在发生重要监视事件时收到通知。

用户还可以为范围中的信号创建特定的警报规则和条件。

发送诊断日志

原始遥测事件将发送到 Azure Monitor。 可以将事件发送到 Log Analytics 工作区、存档到所选的客户存储帐户、流式传输到事件中心，或发送到合作伙伴解决方案进行进一步分析。 日志的导出是通过Azure 门户上的 Microsoft Purview 帐户的诊断设置完成的。

按照以下步骤为 Microsoft Purview 帐户创建诊断设置，并发送到首选目标：

1. 在Azure 门户中找到你的 Microsoft Purview 帐户。
2. 在“ 监视 ”下的菜单中，选择“ 诊断设置”。
3. 选择“ 添加诊断设置 ”以创建新的诊断设置来收集平台日志和指标。 有关这些设置和日志的详细信息，请参阅 Azure Monitor 文档。

4. 可以将日志发送到：

• Log Analytics 工作区
• 存储帐户
• 事件中心

目标 - Log Analytics 工作区

1. 在 “目标详细信息”中，选择“ 发送到 Log Analytics 工作区”。
2. 为诊断设置创建名称，选择适用的日志类别组，然后选择正确的订阅和工作区，然后选择“保存”。 工作区不必与要监视的资源位于同一区域。 若要创建新工作区，可以遵循以下文章： 创建新的 Log Analytics 工作区。

3. 通过执行一些操作来填充数据，验证 Log Analytics 工作区中的更改。 例如，创建/更新/删除策略。 之后，可以打开 Log Analytics 工作区，导航到 “日志”，输入查询筛选器作为 “purviewsecuritylogs”，然后选择 “运行” 来执行查询。

目标 - 存储帐户

1. 在 “目标详细信息”中，选择“ 存档到存储帐户”。
2. 创建诊断设置名称，选择日志类别，选择目标作为存储帐户的存档，选择正确的订阅和存储帐户，然后选择“保存”。 建议使用专用存储帐户来存档诊断日志。 如果需要存储帐户，可以遵循以下文章： 创建存储帐户。

3. 若要查看 存储帐户中的日志，请执行示例操作 (例如：创建/更新/删除策略) ，然后打开 存储帐户，导航到 “容器”并选择容器名称。

4. 导航到文件并下载它以查看日志。

   

   

目标 - 事件中心

1. 在 “目标详细信息”中，选择“ 流式传输到事件中心”。
2. 创建诊断设置名称，选择日志类别，选择目标作为流式传输到事件中心，选择正确的订阅、事件中心命名空间、事件中心名称和事件中心策略名称，然后选择“保存”。 在流式传输到事件中心之前，需要事件中心名称空间。 如果需要创建事件中心命名空间，可以遵循以下文章： 创建事件中心 & 事件中心命名空间存储帐户

3. 若要查看事件中心命名空间中的日志，请转到Azure 门户，并搜索前面创建的事件中心命名空间的名称，转到事件中心命名空间并单击“概述”。 若要详细了解如何在事件中心命名空间中捕获和读取捕获的审核事件，可以遵循以下文章：审核日志&诊断

示例日志

下面是从诊断设置收到的示例日志。

事件跟踪扫描生命周期。 扫描操作跟踪一系列状态的进度，从“排队”、“正在运行”到最后的终端状态为“成功 | ”失败 |取消。 每个状态转换都会记录一个事件，该事件的架构将具有以下属性。

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

以下部分显示了事件实例的示例日志。

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

后续步骤

Microsoft Purview 中的弹性数据映射