Azure Monitor 中的 Microsoft Purview 指标
本文介绍了如何使用 Azure Monitor 来配置 Microsoft Purview 指标、警报和诊断设置。
监视 Microsoft Purview
Microsoft Purview 管理员可以使用 Azure Monitor 来跟踪 Microsoft Purview 帐户的运行状态。 收集指标是为了提供数据点,以便你跟踪潜在问题、进行故障排除并提高 Microsoft Purview 帐户的可靠性。 指标被发送到 Azure Monitor,以监视 Microsoft Purview 中发生的事件。
聚合指标
可以从 Azure 门户访问 Microsoft Purview 帐户的指标。 对指标的访问权限由 Microsoft Purview 帐户的角色分配控制。 用户需要成为 Microsoft Purview 中的“监视读取者”角色的一部分,才能看到这些指标。 若要详细了解角色访问级别,请查看“监视读取者”角色权限。
Microsoft Purview 帐户的创建者会自动获取查看指标的权限。 如果其他人想要查看指标,请按照以下步骤操作将其添加到“监视读取者”角色中:
向“监视读取者”角色添加用户
若要将用户添加到“监视读取者”角色中,Microsoft Purview 帐户所有者或订阅所有者可以按下面的步骤操作:
转到 Azure 门户,然后搜索 Microsoft Purview 帐户名。
选择“访问控制 (IAM)”。
选择“添加”>“添加角色分配”,打开“添加角色分配”页面 。
分配以下角色。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色。
设置 值 角色 监视查阅者 将访问权限分配到 用户、组或服务主体 成员 <Microsoft Entra 帐户用户>
指标可视化
“监视读取者”角色中的用户可以查看发送到 Azure Monitor 的聚合指标和诊断日志。 在 Azure 门户中列出了相应 Microsoft Purview 帐户的指标。 在 Azure 门户中,选择“指标”部分即可看到所有可用指标的列表。
Microsoft Purview 用户也可以直接从 Microsoft Purview 帐户的管理中心访问“指标”页。 在 Microsoft Purview 管理中心的主页中,选择“Azure Monitor”可以启动 Azure 门户。
可用度量值
若要熟悉如何使用 Azure 门户的“指标”部分,请先阅读以下两篇文档。 指标资源管理器入门和指标资源管理器的高级功能。
下表列出了可以在 Azure 门户中浏览的指标:
标准名称 | 指标命名空间 | 聚合类型 | 说明 |
---|---|---|---|
数据映射容量单位 | 弹性数据映射 | Sum 计数 |
聚合一段时间内的弹性数据映射容量单位 |
数据映射存储大小 | 弹性数据映射 | Sum 平均值 |
聚合一段时间内的弹性数据映射存储大小 |
已取消扫描数 | 自动扫描 | Sum 计数 |
聚合一段时间内取消的数据源扫描数 |
已完成扫描数 | 自动扫描 | Sum 计数 |
聚合一段时间内完成的数据源扫描数 |
已失败扫描数 | 自动扫描 | Sum 计数 |
聚合一段时间内失败的数据源扫描数 |
扫描所用时间 | 自动扫描 | Min Max Sum 平均值 |
聚合一段时间内扫描的总耗时 |
监视警报
可以从 Azure 门户访问 Microsoft Purview 帐户的警报。 与指标一样,对警报的访问权限由 Microsoft Purview 帐户的角色分配控制。 用户可以在其 Purview 帐户中设置警报规则,以便在发生重要监视事件时收到通知。
用户还可以针对 Purview 中的信号创建特定的警报规则和条件。
发送诊断日志
原始遥测事件将发送到 Azure Monitor。 事件可以发送到 Log Analytics 工作区、存档到所选的客户存储帐户、流式传输到事件中心或发送到合作伙伴解决方案以做进一步分析。 Microsoft Purview 帐户的日志导出是在 Azure 门户上通过”诊断设置”完成的。
按照以下步骤为 Microsoft Purview 帐户创建诊断设置,并将其发送到首选目标:
- 在 Azure 门户中找到你的 Microsoft Purview 帐户。
- 在菜单中的“监视”下,选择“诊断设置”。
- 选择“添加诊断设置”以创建新的诊断设置来收集平台日志和指标。 有关这些设置和日志的详细信息,请参阅 Azure Monitor 文档。
- 可以将日志发送到:
目标 - Log Analytics 工作区
- 在“目标详细信息”中,选择“发送到 Log Analytics 工作区”。
- 为诊断设置创建一个名称,选择适用的日志类别组并选择正确的订阅和工作区,然后选择“保存”。 此工作区无需与要监视的资源位于同一区域。 若要创建新的工作区,可以按照创建新的 Log Analytics 工作区一文进行操作。
- 通过执行一些操作来填充数据,以此验证 Log Analytics 工作区中的更改。 例如,创建/更新/删除策略。 然后,可以打开“Log Analytics 工作区”,导航到“日志”,输入“purviewsecuritylogs”作为查询筛选器,然后选择“运行”以执行查询。
目标 - 存储帐户
- 在“目标详细信息”中,选择“存档到存储帐户”。
- 创建一个诊断设置名称,选择日志类别,选择“存档到存储帐户”作为目标,选择正确的订阅和存储帐户,然后选择“保存”。 建议使用专用存储帐户来存档诊断日志。 如果需要一个存储帐户,可以按照创建存储帐户一文进行操作。
- 若要查看“存储帐户”中的日志,请执行示例操作(例如:创建/更新/删除策略),然后打开“存储帐户”,导航到“容器”并选择容器名称。
目标 - 事件中心
- 在“目标详细信息”中,选择“流式传输到事件中心”。
- 创建一个诊断设置名称,选择日志类别,选择“流式传输到事件中心”作为目标,选择正确的订阅、事件中心命名空间、事件中心名称和事件中心策略名称,然后选择“保存”。 需有一个事件中心命名空间才能流式传输到事件中心。 如果需要创建事件中心命名空间,可以按照创建事件中心和事件中心命名空间存储帐户一文进行操作
- 若要查看“事件中心命名空间”中的日志,请转到 Azure 门户,搜索之前创建的事件中心命名空间的名称,转到“事件中心命名空间”,然后单击“概述”。 若要详细了解如何在事件中心命名空间中捕获审核事件以及读取其中捕获的审核事件,请参阅审核日志和诊断一文
示例日志
下面是从诊断设置接收的示例日志。
此事件跟踪扫描生命周期。 扫描操作遵循一系列状态进行,包括“已排队”、“正在运行”,以及最后的最终状态“成功”|“失败”|“已取消”。 每个状态转换都会记录一个事件,事件架构将具有以下属性。
{
"time": "<The UTC time when the event occurred>",
"properties": {
"dataSourceName": "<Registered data source friendly name>",
"dataSourceType": "<Registered data source type>",
"scanName": "<Scan instance friendly name>",
"assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
"assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
"scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
"scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
"runType": "<How the scan is triggered>",
"errorDetails": "<Scan failure error>",
"scanResultId": "<Unique GUID for the scan instance>"
},
"resourceId": "<The azure resource identifier>",
"category": "<The diagnostic log category>",
"operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are:
|AdhocScanRun
|TriggeredScanRun
|StatusChangeNotification>",
"resultType": "Queued - indicates a scan is queued.
Running - indicates a scan entered a running state.
Succeeded - indicates a scan completed successfully.
Failed - indicates a scan failure event.
Cancelled - indicates a scan was cancelled. ",
"resultSignature": "<Not used for ScanStatusLogEvent category. >",
"resultDescription": "<This will have an error message if the resultType is Failed. >",
"durationMs": "<Not used for ScanStatusLogEvent category. >",
"level": "<The log severity level. Possible values are:
|Informational
|Error >",
"location": "<The location of the Microsoft Purview account>",
}
下面的部分展示了事件实例的示例日志。
{
"time": "2020-11-24T20:25:13.022860553Z",
"properties": {
"dataSourceName": "AzureDataExplorer-swD",
"dataSourceType": "AzureDataExplorer",
"scanName": "Scan-Kzw-shoebox-test",
"assetsDiscovered": "0",
"assetsClassified": "0",
"scanQueueTimeInSeconds": "0",
"scanTotalRunTimeInSeconds": "0",
"runType": "Manual",
"errorDetails": "empty_value",
"scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
},
"resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
"category": "ScanStatusLogEvent",
"operationName": "TriggeredScanRun",
"resultType": "Delayed",
"resultSignature": "empty_value",
"resultDescription": "empty_value",
"durationMs": 0,
"level": "Informational",
"location": "chinanorth3",
}