本文介绍在开始实现之前应考虑的事项。 适当的规划有助于选择符合业务需求的配置选项。
若要开始了解有关定义监视环境的要求的高级监视概念和指南,请参阅 云监视指南,该指南是 适用于 Azure 的 Microsoft 云采用框架的一部分。
定义策略
首先, 制定一个监测策略 ,明确计划的目标和要求。 该策略定义了你的特定要求、最符合这些要求的配置,以及使用监视环境以最大程度地提高应用程序性能和可靠性的过程。
请参阅 云部署模型的监视策略,该策略有助于将完全基于云的监视与混合模型进行比较。
收集所需信息
在确定实现的详细信息之前,请收集以下信息:
需要监视哪些内容?
专注于关键应用程序和它们依赖的组件,以减少监视环境和监视环境的复杂性。 请参阅 云监视指南:收集正确的数据 ,以获取有关定义所需数据的指南。
谁需要具有访问权限,需要通知谁?
确定哪些用户需要访问监视数据,以及检测到问题时需要通知哪些用户。 这些可能是应用程序和资源所有者,或者你可能拥有集中式监视团队。 此信息确定如何为数据访问和警报通知配置权限。 还可以决定将自定义工作簿配置为向不同用户显示特定信息集。
考虑服务级别协议(SLA)要求
你的组织可能有服务等级协议(SLA),用于定义关于你的应用程序的性能和可用性的承诺。 配置 Azure Monitor 的时间敏感功能(例如警报)时,请考虑这些 SLA。 了解 Azure Monitor 中的数据延迟 ,这会影响监视方案的响应能力和满足 SLA 的能力。
确定支持监视服务和产品
Azure Monitor 旨在解决运行状况和状态监视问题。 完整的监视解决方案通常涉及多个 Azure 服务,并可能包括其他产品来实现其他 监视目标。
请考虑将这些其他产品和服务与 Azure Monitor 一起使用:
安全监视解决方案
虽然 Azure Monitor 中存储的作数据可能有助于调查安全事件,但 Azure 中的其他服务旨在监视安全性。 Azure 中的安全监视由 Microsoft Defender for Cloud 和 Microsoft Sentinel 执行。
| 安全监视解决方案 | DESCRIPTION |
|---|---|
| Microsoft Defender for Cloud | 收集有关 Azure 资源和混合服务器的信息。 尽管它可以收集安全事件,但 Defender for Cloud 侧重于收集清单数据、评估扫描结果和策略审核,以突出显示漏洞并建议采取纠正措施。 值得注意的功能包括交互式网络映射、实时 VM 访问、自适应网络强化和自适应应用程序控制来阻止可疑的可执行文件。 |
| Microsoft Defender 服务器版 | Defender for Cloud 提供的服务器评估解决方案。 Defender for servers 可以将 Windows 安全事件发送到 Log Analytics。 Defender for Cloud 不依赖于 Windows 安全事件来发出警报或分析。 使用此功能可以集中存档事件以进行调查或其他目的。 |
| Microsoft Sentinel | 安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。 Sentinel 从各种Microsoft和第三方源收集安全数据,以提供警报、可视化和自动化。 此解决方案侧重于合并尽可能多的安全日志,包括 Windows 安全事件。 Microsoft Sentinel 还可以收集 Windows 安全事件日志,并且通常与 Defender for Cloud 共享 Log Analytics 工作区。 只有在 Microsoft Sentinel 或 Defender for Cloud 共享同一工作区时,才能收集安全事件。 与 Defender for Cloud 不同,安全事件是Microsoft Sentinel 中警报和分析的关键组成部分。 |
| Defender for Endpoint | 一个企业终结点安全平台,旨在帮助企业网络防止、检测、调查和响应高级威胁。 它的设计主要侧重于保护 Windows 用户设备。 Defender for Endpoint 使用各种操作系统监视工作站、服务器、平板电脑和手机,以监控安全问题和漏洞。 Defender for Endpoint 与 Microsoft Intune 紧密保持一致,以收集数据并提供安全评估。 数据收集主要基于 ETW 跟踪日志,存储在隔离工作区中。 |
后续步骤
- 有关在 Azure Monitor 中配置数据收集的步骤和建议,请参阅 “配置数据收集 ”。