Grandes empresas precisam considerar muitos fatores ao modernizar sua solução de monitoramento existente. As empresas podem obter gerenciamento de monitoramento centralizado usando os recursos do Azure Monitor. Este cenário de exemplo ilustra o monitoramento de nível empresarial que usa o Azure Monitor.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
Essa arquitetura segue um modelo de log de contexto de recurso. Cada registro de log que um recurso do Azure emite se associa automaticamente ao recurso. Esse modelo ajuda a separar espaços de trabalho que coletam e ingerem de diferentes proprietários de aplicativos.
Cargas de trabalho diferentes em toda a empresa têm espaços de trabalho separados. A configuração de diferentes espaços de trabalho dá às equipes autonomia sobre seus próprios dados e fornece uma visão geral de custos separada por espaço de trabalho.
Os serviços de plataforma como serviço (PaaS), como os Aplicativos Web do Azure e os Aplicativos do Azure Functions, adicionam configuração para o Application Insights em seus espaços de trabalho.
Para identidade, o Ative Directory local e os provedores de identidade na nuvem têm seus próprios espaços de trabalho.
A Área de Trabalho Virtual do Azure, os Pipelines do Azure, as cargas de trabalho SQL, os aplicativos no Serviço Kubernetes do Azure (AKS) e os Aplicativos Web do Azure e outros serviços PaaS têm seus próprios espaços de trabalho.
Cada espaço de trabalho tem seu próprio conjunto de alertas configurados. Os Aplicativos Lógicos do Azure e a Automação do Azure fornecem alertas e correções avançados. O Logic Apps fornece integração com ferramentas de Gerenciamento de Serviços de TI (ITSM).
Um conjunto de máquinas virtuais (VMs) locais se conecta por meio do Azure Arc, fornecendo um plano de gerenciamento do Azure de ponta a ponta. Você também pode usar o Azure Arc para conectar recursos de infraestrutura como serviço (IaaS) executados em uma nuvem de terceiros.
O log personalizado captura informações sobre ambientes virtualizados de terceiros e coleta logs personalizados de sistema operacional, software e aplicativos.
O Log Analytics Workspace Insights fornece monitoramento abrangente do espaço de trabalho. O uso de um único espaço de trabalho para armazenar dados coletados de todos os recursos está alinhado com o modelo operacional da organização de TI. Este espaço de trabalho fornece à equipe central uma visão geral do uso, custo e desempenho de todos os espaços de trabalho. O espaço de trabalho central respeita o escopo e o controle de acesso baseado em função (RBAC) com base nos recursos. O Log Analytics Workspace Insights tem seu próprio conjunto separado de alertas.
O Log Analytics fornece maior integração exportando dados do espaço de trabalho para arquivamento ou análise. Arquivar dados em um armazenamento de nível frio economiza custos. Você pode usar dados arquivados para análises adicionais criando conjuntos de dados que alimentam modelos de aprendizado de máquina.
O Monitor se conecta a ferramentas de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel, para criar grandes armazenamentos de dados de segurança corporativa.
O Power BI e as Pastas de Trabalho do Azure (para o Azure Monitor) fornecem recursos de visualização de dados e painel.
Componentes
Esta arquitetura inclui os seguintes componentes:
Monitorar componentes
O Azure Monitor coleta, analisa e atua em dados de telemetria de ambientes locais e na nuvem. Esta solução utiliza os seguintes componentes e funcionalidades do Monitor:
- O Monitor Metrics coleta dados numéricos de recursos monitorados em um banco de dados de séries temporais. As métricas no Monitor são leves e suportam cenários quase em tempo real, por isso são úteis para alertas e deteção rápida de problemas.
- O Monitor Logs coleta e organiza dados de log e desempenho de recursos monitorados. Você pode consolidar dados de várias fontes, incluindo logs da plataforma Azure, em um único espaço de trabalho. Você pode analisar os dados usando uma linguagem de consulta sofisticada no Log Analytics.
- O agente do Azure Monitor pode enviar dados para os Logs do Monitor e para as Métricas do Monitor. O agente do Azure Monitor usa DCRs (Regras de Coleta de Dados) configuráveis e não requer chaves de espaço de trabalho para se conectar.
- O Application Insights monitora aplicativos ao vivo em uma ampla variedade de plataformas em ambientes de nuvem, híbridos e locais. O Application Insights deteta automaticamente anomalias de desempenho. O Application Insights inclui poderosas ferramentas de análise para ajudá-lo a entender o uso e diagnosticar problemas.
- O Azure Virtual Desktop insights usa o Monitor for Azure Virtual Desktop para ajudar os profissionais de TI a entender seus ambientes de Área de Trabalho Virtual do Azure.
- O Container insights monitora o desempenho e a integridade de clusters Kubernetes e outras cargas de trabalho baseadas em contêiner.
- O Network Insights fornece uma visão abrangente da integridade e métricas para todos os recursos de rede implantados.
- O SQL insights (visualização) monitora a integridade e ajuda você a diagnosticar problemas e ajustar o desempenho de qualquer produto da família SQL do Azure.
- O VM insights monitora o desempenho e a integridade de VMs e conjuntos de dimensionamento de máquinas virtuais. As informações de VM incluem processos em execução e dependências de outros recursos.
- O IT Service Management Connector (ITSMC) fornece uma conexão bidirecional entre o Azure e as ferramentas de ITSM suportadas para ajudá-lo a resolver itens de trabalho mais rapidamente.
- As Pastas de Trabalho do Azure para Azure Monitor fornecem uma tela flexível para analisar várias fontes de dados do Azure e combiná-las em relatórios visuais interativos.
- O Log Analytics cria e executa consultas nos dados do Monitor Logs nos espaços de trabalho do Log Analytics. Esta solução utiliza as seguintes funcionalidades do Log Analytics:
- O agente do Log Analytics coleta dados de monitoramento de sistemas operacionais locais e na nuvem e cargas de trabalho de VM e os envia para um espaço de trabalho do Log Analytics.
- O monitoramento do Microsoft Entra roteia os logs de atividades do Microsoft Entra para um espaço de trabalho do Log Analytics.
- O gateway do Log Analytics envia dados para os espaços de trabalho do Azure Automation e do Log Analytics para computadores que não podem se conectar diretamente à Internet.
- O Service Map usa o agente do Log Analytics para descobrir automaticamente componentes de aplicativos em sistemas Windows e Linux e mapear a comunicação entre serviços.
- O Gerenciamento de Alertas ajuda você a analisar todos os alertas em seus espaços de trabalho do Log Analytics.
- A exportação de dados do Log Analytics (visualização) exporta continuamente dados de tabelas selecionadas em um espaço de trabalho do Log Analytics. Os dados podem ser exportados para uma conta de armazenamento do Azure ou Hubs de Eventos do Azure.
- O Log Analytics Workspace Insights fornece monitoramento abrangente de todos os espaços de trabalho do Log Analytics. O Workspace Insights oferece uma visão unificada do uso, desempenho, integridade, agente, consultas e logs de alterações do espaço de trabalho.
Outros componentes
Nesta solução, o Monitor suporta ou integra-se com os seguintes serviços do Azure e da Microsoft:
- O Azure Arc simplifica a governança e o gerenciamento fornecendo uma plataforma de gerenciamento multicloud e local consistente.
- A Automação do Azure oferece automação baseada em nuvem, atualizações do sistema operacional e configuração para dar suporte ao gerenciamento consistente entre ambientes. O Controle de Alterações rastreia alterações em VMs locais e na nuvem para ajudá-lo a identificar problemas de software. O Controle de Alterações encaminha os dados para o Monitor de Logs e armazena os dados em um espaço de trabalho do Log Analytics.
- O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft. O ExpressRoute usa conexões privadas com a ajuda de provedores de conectividade.
- O Armazenamento Azure Data Lake fornece armazenamento em nuvem seguro, escalável e econômico para análise de big data.
- O Azure Functions é uma solução sem servidor que implementa blocos de código prontamente disponíveis chamados funções. As funções são executadas sob demanda e são dimensionadas automaticamente.
- O Azure Kubernetes Services (AKS) é um serviço Kubernetes totalmente gerenciado para implantar e gerenciar facilmente aplicativos em contêineres.
- O Azure Load Balancer distribui uniformemente o tráfego de rede de entrada entre recursos de back-end ou servidores.
- As Aplicações Lógicas do Azure são uma plataforma baseada na nuvem para criar e executar fluxos de trabalho automatizados. Os aplicativos lógicos podem integrar aplicativos, dados, serviços e sistemas.
- O Azure Resource Manager fornece uma camada de gerenciamento e modelos para criar, atualizar e excluir recursos em sua conta do Azure.
- O Microsoft Defender for Cloud faz parte do Microsoft Defender for Cloud, um sistema unificado de gerenciamento de segurança de infraestrutura.
- O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) e de orquestração de segurança (SOAR) nativa da nuvem.
- A família SQL do Azure de serviços de banco de dados SQL fornece uma experiência SQL do Azure consistente e unificada. O Azure SQL tem uma gama completa de opções de implantação, da borda à nuvem.
- O Power BI é uma coleção de serviços de software, aplicativos e conectores que transformam suas fontes de dados em insights coerentes, visualmente imersivos e interativos.
Alternativas
Você pode usar algumas alternativas de monitoramento junto com ou em vez de Monitor.
System Center Operations Manager
O System Center Operations Manager oferece monitoramento de infraestrutura flexível e econômico. O Operations Manager fornece monitoramento abrangente para datacenters e nuvens privados e públicos. O Operations Manager ajuda a garantir o desempenho previsível e a disponibilidade de aplicativos importantes.
Para manter seu investimento existente no Operations Manager, você pode integrar o Operations Manager aos espaços de trabalho do Log Analytics. Você pode usar logs do Monitor e recursos estendidos enquanto ainda usa o Operations Manager para estas funções:
- Monitorando a integridade de seus serviços de TI
- Mantendo a integração com suas soluções de ITSM para gerenciamento de incidentes e problemas
- Gerenciando o ciclo de vida dos agentes implantados em VMs IaaS locais e de nuvem pública.
Para obter mais informações, consulte Conectar o Operations Manager ao Azure Monitor.
Grafana
Grafana é uma plataforma aberta e composable de observabilidade e visualização de dados. O Grafana ajuda-o a consultar, visualizar, alertar e compreender os seus dados onde quer que estejam armazenados. Você pode criar painéis flexíveis para explorar e compartilhar dados.
Detalhes do cenário
As equipes corporativas têm cargas de trabalho diferentes, como Windows, Linux, SQL, cargas de trabalho baseadas em identidade, VDI (infraestrutura de área de trabalho virtual), contêineres e aplicativos Web. Essas cargas de trabalho podem ser executadas em qualquer provedor de nuvem, no local ou em uma combinação. Com uma vasta gama de cargas de trabalho em diferentes ambientes, o monitoramento baseado em nuvem é complexo.
O monitoramento em nível empresarial também deve abranger governança, práticas operacionais recomendadas, gerenciamento eficaz de custos e segurança do espaço de trabalho. O monitoramento deve fornecer flexibilidade suficiente para configurar e gerenciar ambientes de equipe e permitir que as equipes gerenciem a si mesmas com algum grau de controle.
Outros fatores críticos de projeto de monitoramento incluem:
- Como distribuir espaços de trabalho do Log Analytics por diferentes regiões geográficas ou equipes.
- Monitorar os próprios espaços de trabalho, bem como suas cargas de trabalho.
- Como cobrar de volta diferentes equipes para otimizar os custos gerais.
- Como visualizar e, possivelmente, arquivar os dados recolhidos.
- Criação de painéis separados para operações, aplicativos e equipes diferentes.
- Dar à liderança visibilidade suficiente sobre o conjunto certo de informações.
Potenciais casos de utilização
Esta solução pode ajudar com os seguintes casos de uso:
- Monitoramento consolidado para diferentes cargas de trabalho locais e na nuvem.
- Monitoramento de cargas de trabalho de contêiner, Azure SQL e Área de Trabalho Virtual do Azure.
- Escopo de monitoramento expandido, como conectar o Monitor ao Microsoft Sentinel.
- Monitoramento de nuvem híbrida e heterogênea entre redes, provedores de identidade, sistemas operacionais e outros domínios.
Considerações
As considerações a seguir se aplicam a esta solução.
Disponibilidade
As zonas de disponibilidade do Azure protegem aplicativos e dados contra falhas de datacenter confiando na disponibilidade de outras zonas na região. As zonas de disponibilidade ajudam a fornecer resiliência para recursos do Monitor, como o Application Insights, que dependem de um espaço de trabalho do Log Analytics. Os espaços de trabalho vinculados a zonas de disponibilidade permanecem ativos e operacionais mesmo se um datacenter específico não estiver disponível.
Consulte Regiões e Zonas de Disponibilidade no Azure para obter as regiões do Azure que suportam zonas de disponibilidade. Atualmente, o Monitor suporta zonas de disponibilidade nas regiões Leste dos EUA 2 e Oeste dos EUA 2.
O suporte do Monitor para zonas de disponibilidade requer um espaço de trabalho do Log Analytics vinculado a um cluster dedicado do Monitor Logs. Os clusters dedicados são uma opção de implantação que habilita recursos avançados para Logs de Monitor, incluindo zonas de disponibilidade. Os clusters dedicados criados após outubro de 2020 podem usar zonas de disponibilidade por padrão onde o Monitor oferece suporte a elas.
Fluxos de trabalho de BCDR (recuperação de desastres de continuidade de negócios) de aplicativos lógicos
Os fluxos de trabalho das Aplicações Lógicas ajudam-no a integrar e orquestrar dados entre aplicações, serviços na nuvem e sistemas locais. Ao planejar a recuperação de desastres de continuidade de negócios (BCDR), certifique-se de considerar não apenas seus aplicativos lógicos, mas os recursos do Azure com os quais eles trabalham. Para obter orientações e estratégias BCDR para fluxos de trabalho automatizados de aplicativos lógicos, consulte Continuidade de negócios e recuperação de desastres para Aplicativos Lógicos do Azure.
Operações
Certifique-se de ter uma estratégia para lidar com dados pessoais. Para obter mais informações, consulte Orientação para dados pessoais armazenados no Log Analytics e no Application Insights.
Garantir a conformidade regulamentar com as seguintes diretrizes:
Os runbooks de Automação do Azure executados no Azure podem não ter acesso a recursos em outras nuvens ou localmente. Você pode usar o Azure Automation Hybrid Runbook Worker para executar runbooks diretamente na máquina que está hospedando a função. Você pode executar o runbook em relação aos recursos no ambiente para gerenciar os recursos locais. Para obter mais informações, consulte Visão geral do Automation Hybrid Runbook Worker.
Considere as seguintes práticas recomendadas operacionais para ajudar a manter os custos sob controle:
- Habilite alertas somente nos momentos em que a coleta de dados for alta.
- Revise as soluções de monitoramento do Monitor antes de implementá-las. Por exemplo, permitir que o Defender for Cloud colete e audite dados de eventos de segurança pode aumentar exponencialmente os custos de coleta de dados.
- Racionalize a criação de alertas em todos os setores. Considere a possibilidade de criar um único alerta em vez de cada espaço de trabalho ou equipe ter o mesmo alerta.
- Agrupe recursos como alertas, Aplicativos Lógicos e espaços de trabalho em grupos de recursos separados e use a marcação para identificação.
- Use o Log Analytics Workspace Insights para obter uma visão geral dos custos em diferentes espaços de trabalho.
- Use o agente do Azure Monitor para coleta de dados granulares, até o nível de coleta de IDs de Evento único dos logs de eventos do Sistema. O ajuste fino da coleta de dados pode proporcionar eficiência de custos.
- Use o Monitor Data Export para arquivamento de dados para armazenamento de baixo custo.
- Siga as práticas recomendadas para dados de telemetria em espaços de trabalho do Application Insights. Para obter mais informações, consulte Gerenciar o uso e os custos do Application Insights.
Eficiência de desempenho
As seguintes considerações de desempenho aplicam-se a esta solução:
Latência
Latência é a quantidade de tempo entre a criação de dados em um sistema monitorado e sua disponibilidade para análise no Monitor. A latência típica para ingerir dados de log é entre 20 segundos e três minutos. A latência específica para quaisquer dados depende de vários fatores.
O tempo total de ingestão de um determinado conjunto de dados tem as seguintes partes:
- Tempo do agente: o tempo para descobrir um evento, coletá-lo e enviá-lo para o ponto de ingestão do Monitor Logs como um registro de log. Na maioria dos casos, um agente lida com esse processo. A rede pode introduzir latência extra.
- Tempo de pipeline: o tempo para o pipeline de ingestão processar o registro de log. Esse tempo inclui a análise das propriedades do evento e, possivelmente, a adição de informações calculadas.
- Tempo de indexação: o tempo gasto para ingerir um registro de log no armazenamento de big data do Monitor.
Para garantir uma latência mínima, coloque os espaços de trabalho do Monitor, os Aplicativos Lógicos e a infraestrutura relacionada na mesma região do Azure com as cargas de trabalho que eles monitoram ou controlam. No entanto, ainda pode haver problemas de latência. Para obter mais informações, consulte Registrar o tempo de ingestão de dados no Azure Monitor.
Alertas de log vs. métricos
Os alertas métricos verificam em intervalos regulares se as condições em uma ou mais séries cronológicas métricas são verdadeiras e notificam quando as condições atendem às avaliações. Os alertas métricos são stateful por padrão, enviando notificações somente quando o estado muda, por exemplo, para disparado ou resolvido.
Os alertas de log usam uma consulta do Log Analytics para avaliar os logs de recursos com uma frequência definida e disparam um alerta com base nos resultados. Os alertas baseados em métricas podem ser mais rápidos para enviar notificações do que alertas de log.
Escalabilidade
O Monitor tem limites de serviço por assinatura para alertas, grupos de ação, espaços de trabalho e Application Insights. Para obter mais informações, consulte Limites de serviço do Azure Monitor.
Analise e esteja ciente dos limites do serviço de assinatura do Azure, especialmente os limites para Aplicativos Lógicos e Automação do Azure.
Segurança
Esta solução utiliza os seguintes mecanismos de segurança:
Controlo de acesso
O RBAC do Azure bloqueia grupos de recursos que hospedam alertas e Aplicativos Lógicos por equipe ou proprietário de aplicativo. Com o RBAC do Azure, você pode conceder aos usuários e grupos apenas a quantidade de acesso necessária para trabalhar com os dados de monitoramento em um espaço de trabalho. Por exemplo, você pode conceder acesso à equipe responsável pelos serviços de infraestrutura hospedados pela VM do Azure, somente aos logs gerados por essas VMs.
Os dados que um usuário pode acessar são determinados por uma combinação de fatores.
Fator | Description |
---|---|
Modo de acesso | Método que o usuário usa para acessar o espaço de trabalho. Define o escopo dos dados disponíveis e o modo de controle de acesso aplicado. |
Modo de controlo de acesso | Configuração no espaço de trabalho que define se as permissões se aplicam no espaço de trabalho ou no nível do recurso. |
Permissões | Permissões aplicadas a indivíduos ou grupos para o espaço de trabalho ou recurso. Define quais dados o usuário pode acessar. |
RBAC do Azure em nível de tabela | Permissões granulares opcionais que se aplicam a todos os usuários, independentemente do modo de acesso ou do modo de controle de acesso. Define quais tipos de dados um usuário pode acessar. |
Para obter mais informações, consulte Visão geral do controle de acesso.
Conectividade de ponto final privado através da Rota Expressa
O Monitor é uma constelação de diferentes serviços interconectados que trabalham juntos para monitorar suas cargas de trabalho. Você pode usar o Azure Private Link para vincular com segurança os recursos de PaaS do Azure à sua rede virtual com pontos de extremidade privados. O Escopo de Link Privado do Azure Monitor fornece conectividade privada entre aplicativos implantados em redes virtuais e recursos do Monitor, definindo os limites da sua rede de monitoramento. Para obter mais informações, veja Utilizar o Azure Private Link para ligar redes ao Azure Monitor.
Ambiente de serviço de integração de aplicativos lógicos (ISE)
Um ambiente de serviço de integração (ISE) mantém o armazenamento dedicado e outros recursos separados do serviço global de aplicativos lógicos multiclientes. Para obter mais informações, consulte Conectar-se a redes virtuais do Azure a partir de Aplicativos Lógicos do Azure usando um ambiente de serviço de integração (ISE).
Gateway do Log Analytics
Um gateway do Log Analytics envia dados para a Automação do Azure e um espaço de trabalho do Monitor Log Analytics para computadores que não podem se conectar diretamente à Internet. Para obter mais informações, consulte Conectar computadores sem acesso à Internet usando o gateway do Log Analytics no Azure Monitor.
Otimização de custos
O Azure Monitor inclui funcionalidade para coletar e analisar dados de log. Monitore as faturas por ingestão, retenção e exportação de dados. Outros fatores que podem afetar os preços incluem alertas, notificações e chamadas SMS ou de voz. Para obter mais informações, consulte Preços do Azure Monitor.
O preço padrão do Application Insights e do Log Analytics é um modelo Pay-As-You-Go baseado no volume de dados ingerido e, opcionalmente, na retenção de dados mais longa. O Log Analytics também tem níveis de compromisso, que podem economizar até 30% em comparação com o preço pré-pago.
Analise os preços dos Aplicativos Lógicos e os preços da Automação do Azure.
Use a calculadora de preços do Azure para um mergulho mais profundo nos preços.
Lista de verificação de considerações
- Habilite as soluções de monitoramento gradualmente, para minimizar o impacto no meio ambiente e nos custos.
- Consulte os limites de serviço do Azure em todos os componentes de arquitetura.
- Defina alertas sobre limites de custo. A adição de novas soluções pode multiplicar os dados recolhidos, aumentando assim os custos.
- Use a marcação em todos os grupos de recursos e recursos para ajudar a detalhar os custos, se necessário.
- Automatize a implantação do espaço de trabalho por meio da infraestrutura como código (IaC) para obter consistência.
- Crie espaços de trabalho na mesma região que as cargas de trabalho em execução, para fornecer menor latência de ingestão.
- Para máquinas locais sem conectividade com a Internet, use o Azure Arc sobre o Log Analytics Gateway.
- Para máquinas locais com conectividade com a Internet configuradas para o Azure Arc, agrupe VMs em recursos separados por projeto e use DCRs.
- Espalhe alertas entre grupos de recursos para evitar atingir limites de assinatura de 800 implantações por grupo de recursos.
- Racionalize alertas para usar um único alerta em diferentes equipes.
- Analise os requisitos de segurança para serviços de rede, usuário e nuvem em geral.
- Crie um grupo de recursos separado para cada espaço de trabalho para ajudar a aplicar as regras RBAC de forma eficaz.
- Aplique o RBAC a contas de usuário e outros objetos para acesso ao espaço de trabalho do Log Analytics.
- Use o Microsoft Sentinel para ingerir logs relacionados à identidade e à segurança.
- Monitore aplicativos ativos com o Application Insights para detetar automaticamente anomalias de desempenho.
- Use as ferramentas de análise do Application Insights para ajudar a diagnosticar problemas e entender o uso do aplicativo.
- Use o Log Analytics Workspace Insights em todos os aspetos para monitorar e definir alertas para as seguintes medidas:
- Latência de ingestão
- Volume de ingestão de dados
- Anomalias de ingestão
- Estado de funcionamento do agente
- Use o agente do Azure Monitor para ajustar a coleta de dados.
- Considere o arquivamento de dados para um nível de armazenamento interessante. Você pode integrar o armazenamento de dados legal com serviços de data lake.
Próximos passos
- O que é monitorado pelo Azure Monitor?
- Plataforma de dados do Azure Monitor
- Descrição geral dos alertas no Microsoft Azure
- Práticas recomendadas do Azure Monitor - Analise e visualize dados
- Caminho de aprendizagem do Azure Monitor