Condividi tramite

Metriche di Microsoft Purview in Monitoraggio di Azure

  • Articolo

Questo articolo descrive come configurare metriche, avvisi e impostazioni di diagnostica per Microsoft Purview usando Monitoraggio di Azure.

Monitorare Microsoft Purview

Gli amministratori di Microsoft Purview possono usare Monitoraggio di Azure per tenere traccia dello stato operativo dell'account Microsoft Purview. Le metriche vengono raccolte per fornire punti dati per tenere traccia dei potenziali problemi, risolvere i problemi e migliorare l'affidabilità dell'account Microsoft Purview. Le metriche vengono inviate a Monitoraggio di Azure per gli eventi che si verificano in Microsoft Purview.

Metriche aggregate

È possibile accedere alle metriche dal portale di Azure di un account Microsoft Purview. L'accesso alle metriche è controllato dall'assegnazione di ruolo dell'account Microsoft Purview. Per visualizzare le metriche, gli utenti devono far parte del ruolo "Lettore di monitoraggio" in Microsoft Purview. Altre informazioni sul monitoraggio delle autorizzazioni dei ruoli.

La persona che ha creato l'account Microsoft Purview ottiene automaticamente le autorizzazioni per visualizzare le metriche. Se altri utenti vogliono visualizzare le metriche, aggiungerle al ruolo Lettore di monitoraggio seguendo questa procedura:

Aggiungere un utente al ruolo Lettore di monitoraggio

Per aggiungere un utente al ruolo Lettore di monitoraggio , il proprietario dell'account Microsoft Purview o il proprietario della sottoscrizione può seguire questa procedura:

  1. Passare alla portale di Azure e cercare il nome dell'account Microsoft Purview.

  2. Selezionare Controllo di accesso (IAM).

  3. Selezionare Aggiungi>aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo .

  4. Assegnare il ruolo elencato di seguito. Ottenere informazioni dettagliate sull'assegnazione dei ruoli di Azure.

    Impostazione Valore
    Ruolo Lettore di monitoraggio
    Assegnare l'accesso a Utente, gruppo o entità servizio
    Membri <Microsoft Entra utente dell'account>

    Screenshot che mostra la pagina Aggiungi assegnazione di ruolo in portale di Azure.

Visualizzazione delle metriche

Gli utenti nel ruolo Lettore di monitoraggio possono visualizzare le metriche aggregate e i log di diagnostica inviati a Monitoraggio di Azure. Le metriche sono elencate nel portale di Azure per l'account Microsoft Purview corrispondente. Nel portale di Azure selezionare la sezione Metriche per visualizzare l'elenco di tutte le metriche disponibili.

Screenshot che mostra la sezione delle metriche di Microsoft Purview disponibile.

Gli utenti di Microsoft Purview possono anche accedere alla pagina delle metriche direttamente dal centro di gestione dell'account Microsoft Purview. Selezionare Monitoraggio di Azure nella pagina principale del centro di gestione Microsoft Purview per avviare portale di Azure.

Screenshot per avviare le metriche di Microsoft Purview dal Centro gestione.

Metriche disponibili

Per acquisire familiarità con l'uso della sezione metrica nel portale di Azure leggere in anteprima i due documenti seguenti. Introduzione a Esplora metriche e alle funzionalità avanzate di Esplora metriche.

La tabella seguente contiene l'elenco delle metriche disponibili per l'esplorazione nel portale di Azure:

Nome metrica Spazio dei nomi delle metriche Tipo di aggregazione Descrizione
Unità di capacità mappa dati Data map elastico Somma
Conteggio		 Aggregare le unità di capacità della mappa dati elastica nel periodo di tempo
Dimensioni di archiviazione mappa dati Data map elastico Somma
Medio		 Aggregare le dimensioni di archiviazione della mappa dati elastica nel periodo di tempo
Analisi annullata Analisi automatizzata Somma
Conteggio		 Aggregare le analisi dell'origine dati annullate nel periodo di tempo
Analisi completata Analisi automatizzata Somma
Conteggio		 Aggregare le analisi dell'origine dati completate nel periodo di tempo
Analisi non riuscita Analisi automatizzata Somma
Conteggio		 Aggregare le analisi dell'origine dati non riuscite nel periodo di tempo
Tempo impiegato per l'analisi Analisi automatizzata Min
Max
Somma
Medio		 Aggregare il tempo totale impiegato dalle analisi nel periodo di tempo

Monitoraggio degli avvisi

È possibile accedere agli avvisi dalla portale di Azure di un account Microsoft Purview. L'accesso agli avvisi è controllato dall'assegnazione di ruolo dell'account Microsoft Purview esattamente come le metriche. Un utente può configurare le regole di avviso nell'account purview per ricevere una notifica quando si verificano eventi di monitoraggio importanti.

Screenshot che mostra la creazione di un avviso.

L'utente può anche creare regole e condizioni di avviso specifiche per i segnali all'interno di purview.

Screenshot che mostra le regole e le condizioni degli avvisi di aggiunta a un segnale.

Invio di log di diagnostica

Gli eventi di telemetria non elaborati vengono inviati a Monitoraggio di Azure. Gli eventi possono essere inviati a un'area di lavoro Log Analytics, archiviati in un account di archiviazione dei clienti di scelta, trasmessi in streaming a un hub eventi o inviati a una soluzione partner per ulteriori analisi. L'esportazione dei log viene eseguita tramite le impostazioni di diagnostica per l'account Microsoft Purview nel portale di Azure.

Seguire questa procedura per creare un'impostazione di diagnostica per l'account Microsoft Purview e inviare alla destinazione preferita:

  1. Individuare l'account Microsoft Purview nella portale di Azure.
  2. Nel menu in Monitoraggio selezionare Impostazioni di diagnostica.
  3. Selezionare Aggiungi impostazione di diagnostica per creare una nuova impostazione di diagnostica per raccogliere i log e le metriche della piattaforma. Per altre informazioni su queste impostazioni e log, vedere la documentazione di Monitoraggio di Azure.

Screenshot che mostra la creazione del log di diagnostica.

  1. È possibile inviare i log a:

Destinazione - Area di lavoro Log Analytics

  1. Nell'area di lavoro Dettagli destinazione selezionare Invia a Log Analytics.
  2. Creare un nome per l'impostazione di diagnostica, selezionare il gruppo di categorie di log applicabile e selezionare la sottoscrizione e l'area di lavoro corrette, quindi selezionare Salva. L'area di lavoro non deve trovarsi nella stessa area della risorsa monitorata. Per creare una nuova area di lavoro, è possibile seguire questo articolo: Creare una nuova area di lavoro Log Analytics.

Screenshot che mostra l'assegnazione dell'area di lavoro log analytics a cui inviare l'evento.

Screenshot che mostra l'evento del log di diagnostica salvato nell'area di lavoro log analytics.

  1. Verificare le modifiche nell'area di lavoro Log Analytics eseguendo alcune operazioni per popolare i dati. Ad esempio, creazione/aggiornamento/eliminazione di un criterio. Dopodiché è possibile aprire l'area di lavoro Log Analytics, passare a Log, immettere il filtro di query come "purviewsecuritylogs" e quindi selezionare "Esegui" per eseguire la query.

Screenshot che mostra i risultati del log nell'area di lavoro Log Analytics dopo l'esecuzione di una query.

Destinazione - Account di archiviazione

  1. In Dettagli destinazione selezionare Archivia in un account di archiviazione.
  2. Creare un nome di impostazione di diagnostica, selezionare la categoria di log, selezionare la destinazione come archivio in un account di archiviazione, selezionare la sottoscrizione e l'account di archiviazione corretti e quindi selezionare Salva. È consigliabile usare un account di archiviazione dedicato per l'archiviazione dei log di diagnostica. Se è necessario un account di archiviazione, è possibile seguire questo articolo: Creare un account di archiviazione.

Screenshot che mostra l'assegnazione dell'account di archiviazione per il log di diagnostica.

Screenshot che mostra gli eventi di log salvati nell'account di archiviazione.

  1. Per visualizzare i log nell'account di archiviazione, eseguire un'azione di esempio,ad esempio creare/aggiornare/eliminare un criterio, quindi aprire l'account di archiviazione, passare a Contenitori e selezionare il nome del contenitore.

Screenshot che mostra il contenitore nell'account di archiviazione a cui sono stati inviati i log di diagnostica.

  1. Passare al file e scaricarlo per visualizzare i log.

    Screenshot che mostra le cartelle con i dettagli dei log.

    Screenshot che mostra i dettagli dei log.

Destinazione - Hub eventi

  1. In Dettagli destinazione selezionare Stream a un hub eventi.
  2. Creare un nome di impostazione di diagnostica, selezionare la categoria di log, selezionare la destinazione come flusso nell'hub eventi, selezionare la sottoscrizione corretta, lo spazio dei nomi degli hub eventi, il nome dell'hub eventi e il nome dei criteri dell'hub eventi, quindi selezionare Salva. Prima di poter eseguire lo streaming a un hub eventi, è necessario uno spazio dei nomi dell'hub eventi. Se è necessario creare uno spazio dei nomi dell'hub eventi, è possibile seguire questo articolo: Creare un hub eventi & account di archiviazione dello spazio dei nomi degli hub eventi

Screenshot che mostra lo streaming in un hub eventi per il log di diagnostica.

Screenshot che mostra gli eventi di log salvati nell'hub eventi.

  1. Per visualizzare i log nello spazio dei nomi di Hub eventi, passare alla portale di Azure e cercare il nome dello spazio dei nomi degli hub eventi creato in precedenza, passare allo spazio dei nomi di Hub eventi e fare clic su Panoramica. Per altre informazioni sull'acquisizione e la lettura degli eventi di controllo acquisiti nello spazio dei nomi degli hub eventi, è possibile seguire questo articolo: Log di controllo & diagnostica

Screenshot che mostra le attività nell'hub eventi.

Log di esempio

Ecco un log di esempio che si riceve da un'impostazione di diagnostica.

L'evento tiene traccia del ciclo di vita dell'analisi. Un'operazione di analisi segue lo stato di avanzamento attraverso una sequenza di stati, da In coda, In esecuzione e infine a uno stato del terminale completato | Non riuscito | Annullato. Viene registrato un evento per ogni transizione di stato e lo schema dell'evento avrà le proprietà seguenti.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

Il log di esempio per un'istanza di evento è illustrato nella sezione seguente.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Passaggi successivi

Mappa dei dati elastici in Microsoft Purview