Partager via

Métriques Microsoft Purview dans Azure Monitor

  • Article

Cet article explique comment configurer les métriques, les alertes et les paramètres de diagnostic pour Microsoft Purview à l’aide d’Azure Monitor.

Surveiller Microsoft Purview

Les administrateurs Microsoft Purview peuvent utiliser Azure Monitor pour suivre l’état opérationnel du compte Microsoft Purview. Les métriques sont collectées pour vous fournir des points de données qui vous permettent de suivre les problèmes potentiels, de résoudre les problèmes et d’améliorer la fiabilité du compte Microsoft Purview. Les métriques sont envoyées à Azure Monitor pour les événements qui se produisent dans Microsoft Purview.

Métriques agrégées

Les métriques sont accessibles à partir de la Portail Azure d’un compte Microsoft Purview. L’accès aux métriques est contrôlé par l’attribution de rôle du compte Microsoft Purview. Les utilisateurs doivent faire partie du rôle « Lecteur d’analyse » dans Microsoft Purview pour voir les métriques. Consultez Surveillance des autorisations de rôle lecteur pour en savoir plus sur les niveaux d’accès des rôles.

La personne qui a créé le compte Microsoft Purview obtient automatiquement des autorisations pour afficher les métriques. Si quelqu’un d’autre souhaite voir les métriques, ajoutez-les au rôle Lecteur de surveillance en procédant comme suit :

Ajouter un utilisateur au rôle Lecteur d’analyse

Pour ajouter un utilisateur au rôle Lecteur de surveillance, le propriétaire du compte Microsoft Purview ou le propriétaire de l’abonnement peut effectuer les étapes suivantes :

  1. Accédez au Portail Azure et recherchez le nom du compte Microsoft Purview.

  2. Sélectionnez Contrôle d’accès (IAM).

  3. Sélectionnez Ajouter>Ajouter Une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle .

  4. Attribuez le rôle suivant. Pour obtenir des instructions détaillées, consultez Attribuer des rôles Azure à l’aide de la Portail Azure.

    Paramètre Valeur
    Role Lecteur d’analyse
    Attribuer l’accès à Utilisateur, groupe ou principal de service
    Members <utilisateur du compte Microsoft Entra>

    Capture d’écran montrant la page Ajouter une attribution de rôle dans Portail Azure.

Visualisation des métriques

Les utilisateurs disposant du rôle Lecteur de surveillance peuvent voir les métriques agrégées et les journaux de diagnostic envoyés à Azure Monitor. Les métriques sont répertoriées dans la Portail Azure pour le compte Microsoft Purview correspondant. Dans la Portail Azure, sélectionnez la section Métriques pour afficher la liste de toutes les métriques disponibles.

Capture d’écran montrant la section Métriques Microsoft Purview disponibles.

Les utilisateurs de Microsoft Purview peuvent également accéder à la page des métriques directement à partir du centre de gestion du compte Microsoft Purview. Sélectionnez Azure Monitor dans la page main du Centre de gestion Microsoft Purview pour lancer Portail Azure.

Capture d’écran du lancement des métriques Microsoft Purview à partir du centre de gestion.

Métriques disponibles

Pour vous familiariser avec l’utilisation de la section métrique dans la Portail Azure pré-lisez les deux documents suivants. Bien démarrer avec metric Explorer et les fonctionnalités avancées de Metric Explorer.

Le tableau suivant contient la liste des métriques disponibles à explorer dans le Portail Azure :

Nom de la métrique Espace de noms de métrique Type d’agrégation Description
Unités de capacité de mappage de données Mappage de données élastique Sum
Compte		 Agréger les unités de capacité de carte de données élastiques sur une période de temps
Taille de stockage de la carte de données Mappage de données élastique Sum
Avg		 Agréger la taille de stockage de la carte de données élastique sur une période donnée
Analyse annulée Analyse automatisée Sum
Compte		 Agréger les analyses de source de données annulées au fil du temps
Analyse terminée Analyse automatisée Sum
Compte		 Agréger les analyses de source de données terminées au fil du temps
Échec de l’analyse Analyse automatisée Sum
Compte		 Agréger les analyses de source de données ayant échoué au fil du temps
Temps d’analyse pris Analyse automatisée Min
Max
Sum
Avg		 Agréger le temps total pris par les analyses au cours de la période

Surveillance des alertes

Les alertes sont accessibles à partir du Portail Azure d’un compte Microsoft Purview. L’accès aux alertes est contrôlé par l’attribution de rôle du compte Microsoft Purview, tout comme les métriques. Un utilisateur peut configurer des règles d’alerte dans son compte Purview pour recevoir une notification en cas d’événements de surveillance importants.

Capture d’écran montrant la création d’une alerte.

L’utilisateur peut également créer des règles d’alerte et des conditions spécifiques pour les signaux dans Purview.

Capture d’écran montrant l’ajout de règles et de conditions d’alertes à un signal.

Envoi des journaux de diagnostic

Les événements de télémétrie bruts sont envoyés à Azure Monitor. Les événements peuvent être envoyés à un espace de travail Log Analytics, archivés dans le compte de stockage client de votre choix, diffusés en continu vers un hub d’événements ou envoyés à une solution partenaire pour une analyse plus approfondie. L’exportation des journaux s’effectue via les paramètres de diagnostic du compte Microsoft Purview sur le Portail Azure.

Procédez comme suit pour créer un paramètre de diagnostic pour votre compte Microsoft Purview et envoyer à votre destination préférée :

  1. Recherchez votre compte Microsoft Purview dans le Portail Azure.
  2. Dans le menu sous Surveillance , sélectionnez Paramètres de diagnostic.
  3. Sélectionnez Ajouter un paramètre de diagnostic pour créer un paramètre de diagnostic afin de collecter les journaux et les métriques de la plateforme. Pour plus d’informations sur ces paramètres et journaux, consultez la documentation Azure Monitor.

Capture d’écran montrant la création du journal de diagnostic.

  1. Vous pouvez envoyer vos journaux à :

Destination - Espace de travail Log Analytics

  1. Dans détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics.
  2. Créez un nom pour le paramètre de diagnostic, sélectionnez le groupe de catégories de journaux applicable, sélectionnez l’abonnement et l’espace de travail appropriés, puis sélectionnez Enregistrer. L’espace de travail n’a pas besoin d’être dans la même région que la ressource surveillée. Pour créer un espace de travail, vous pouvez suivre cet article : Créer un espace de travail Log Analytics.

Capture d’écran montrant l’affectation de l’espace de travail Log Analytics à laquelle envoyer l’événement.

Capture d’écran montrant l’événement de journal de diagnostic enregistré dans l’espace de travail Log Analytics.

  1. Vérifiez les modifications apportées à votre espace de travail Log Analytics en effectuant des opérations pour remplir les données. Par exemple, création/mise à jour/suppression d’une stratégie. Après quoi vous pouvez ouvrir l’espace de travail Log Analytics, accéder à Journaux, entrer le filtre de requête en tant que « purviewsecuritylogs », puis sélectionner « Exécuter » pour exécuter la requête.

Capture d’écran montrant les résultats du journal dans l’espace de travail Log Analytics après l’exécution d’une requête.

Destination - Compte de stockage

  1. Dans détails de la destination, sélectionnez Archiver dans un compte de stockage.
  2. Créez un nom de paramètre de diagnostic, sélectionnez la catégorie de journal, sélectionnez la destination en tant qu’archive dans un compte de stockage, sélectionnez l’abonnement et le compte de stockage appropriés, puis sélectionnez Enregistrer. Un compte de stockage dédié est recommandé pour l’archivage des journaux de diagnostic. Si vous avez besoin d’un compte de stockage, vous pouvez suivre cet article : Créer un compte de stockage.

Capture d’écran montrant l’attribution d’un compte de stockage pour le journal de diagnostic.

Capture d’écran montrant les événements de journal enregistrés dans le compte de stockage.

  1. Pour afficher les journaux dans le compte de stockage, effectuez un exemple d’action (par exemple : créer/mettre à jour/supprimer une stratégie), puis ouvrez le compte de stockage, accédez à Conteneurs, puis sélectionnez le nom du conteneur.

Capture d’écran montrant le conteneur dans le compte de stockage où les journaux de diagnostic ont été envoyés.

  1. Accédez au fichier et téléchargez-le pour afficher les journaux.

    Capture d’écran montrant les dossiers avec les détails des journaux.

    Capture d’écran montrant les détails des journaux.

Destination - Hub d’événements

  1. Dans Détails de la destination, sélectionnez Stream à un hub d’événements.
  2. Créez un nom de paramètre de diagnostic, sélectionnez la catégorie de journal, sélectionnez la destination en tant que flux vers Event Hub, sélectionnez l’abonnement approprié, l’espace de noms Event Hubs, le nom du hub d’événements et le nom de la stratégie du hub d’événements, puis sélectionnez Enregistrer. Un espace de nom de hub d’événements est nécessaire avant de pouvoir diffuser en continu vers un hub d’événements. Si vous avez besoin de créer un espace de noms Event Hub, vous pouvez suivre cet article : Créer un hub d’événements & compte de stockage d’espace de noms Event Hubs

Capture d’écran montrant la diffusion en continu vers un event hub pour le journal de diagnostic.

Capture d’écran montrant les événements de journal enregistrés dans Event Hub.

  1. Pour afficher les journaux dans l’espace de noms Event Hubs, accédez au Portail Azure et recherchez le nom de l’espace de noms Event Hubs que vous avez créé précédemment, accédez à l’espace de noms Event Hubs et cliquez sur Vue d’ensemble. Pour en savoir plus sur la capture et la lecture des événements d’audit capturés dans l’espace de noms Event Hubs, vous pouvez suivre cet article : Journaux d’audit & diagnostics

Capture d’écran montrant les activités dans le hub d’événements.

Exemple de journal

Voici un exemple de journal que vous recevez à partir d’un paramètre de diagnostic.

L’événement suit le cycle de vie de l’analyse. Une opération d’analyse suit la progression d’une séquence d’états, de File d’attente, En cours d’exécution et enfin d’un état terminal réussi | Échec | Annulé. Un événement est journalisé pour chaque transition d’état et le schéma de l’événement aura les propriétés suivantes.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

L’exemple de journal d’un instance d’événement est présenté dans la section ci-dessous.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Étapes suivantes

Mappage de données élastique dans Microsoft Purview