规划 Azure Monitor 实现
本文介绍在开始实现之前须考虑的事项。 正确规划有助于选择符合业务需求的配置选项。
开始了解定义环境监视要求的宏观监视概念和指南时,请参阅云监视指南,该指南是适用于 Azure 的 microsoft 云采用框架的一部分。
定义策略
首先,制定一个监测策略,明确计划的目标和要求。 该策略定义了特定的要求、最能满足这些要求的配置,以及利用监视环境来最大限度地提高应用程序性能和可靠性的流程。
请参阅云部署模型的监视策略,了解如何将完全基于云的监视模型与混合模型进行比较。
收集所需信息
在确定实现的细节之前,收集以下信息:
需要监视什么?
专注于关键应用程序及其依赖的组件,以减少环境监视和监视的环境的复杂性。 有关定义所需数据的指导,请参阅云监视指南:收集正确的数据。
谁需要有访问权限,谁需要接收通知?
确定哪些用户需要访问监视数据,以及检测到问题时需要通知哪些用户。 他们可以是应用程序和资源所有者,或者你也可以设立一个集中的监视团队。 此信息会决定如何配置数据访问权限和警报通知。 还可能会配置自定义工作簿来向不同的用户呈现特定的信息集。
考虑服务级别协议 (SLA) 要求
你的组织可能制定了 SLA,其中详细阐明了你对自己的应用程序在性能和运行时间方面做出的承诺。 配置 Azure Monitor 的对时间敏感的功能(例如警报)时,考虑以下 SLA。 了解 Azure Monitor 中的数据延迟,这会影响监视方案的响应能力和满足 SLA 的能力。
确定支持性监视服务和产品
Azure Monitor 旨在满足运行状况和状态监视方面的需求。 完整的监视解决方案通常涉及多个 Azure 服务,并可能包括其他产品用于实现其他监视目标。
请考虑将这些其他产品和服务与 Azure Monitor 一起使用:
安全监视解决方案
尽管存储在 Azure Monitor 的操作数据对调查安全事件可能有用,但 Azure 中的其他服务也可用于监视安全性。 Azure 中的安全监视由 Microsoft Defender for Cloud 和 Microsoft Sentinel 执行。
| 安全监视解决方案 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 收集有关 Azure 资源和混合服务器的信息。 虽然 Defender for Cloud 可以收集安全事件,但它主要侧重于收集清单数据、评估扫描结果和策略审核,以突出显示漏洞并推荐纠正措施。 值得注意的功能包括交互式网络映射、实时 VM 访问、自适应网络强化和自适应应用程序控制(用于阻止可疑可执行文件)。 |
| 适用于服务器的 Microsoft Defender | Defender for Cloud 提供的服务器评估解决方案。 Defender for Servers 可以将 Windows 安全事件发送到 Log Analytics。 Defender for Cloud 不依赖于 Windows 安全事件来执行警报或分析。 此功能可用于事件的集中存档,以便执行调查或实现其他目的。 |
| Microsoft Sentinel | 安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Sentinel 从各种 Microsoft 和第三方源收集安全数据,以提供警报、可视化和自动化。 此解决方案侧重于合并尽可能多的安全日志,包括 Windows 安全事件。 Microsoft Sentinel 还可以收集 Windows 安全事日件志,且通常会与 Defender for Cloud 共享 Log Analytics 工作区。 仅当安全事件共享同一工作区时,才能从 Microsoft Sentinel 或 Defender for Cloud 收集这些事件。 与 Defender for Cloud 不同,安全事件是 Microsoft Sentinel 中警报和分析的关键组件。 |
| Defender for Endpoint | 企业终结点安全平台,专门用于帮助企业网络防御、检测、调查和响应高级威胁。 它的设计主要侧重于保护 Windows 用户设备。 Defender for Endpoint 使用各种操作系统监视工作站、服务器、平板电脑和手机,以发现安全问题和漏洞。 Defender for Endpoint 与 Microsoft Intune 保持严格统一,以便收集数据并提供安全评估。 数据收集主要基于 ETW 跟踪日志,并存储在独立的工作区中。 |
后续步骤
- 请参阅配置数据收集,获取有关在 Azure Monitor 中配置数据收集的步骤和建议。