將現有的監視解決方案現代化時,大型企業需要考慮許多因素。 企業可以使用 Azure 監視器功能來達成集中式監視管理。 此範例案例說明使用 Azure 監視器的企業層級監視。
架構
下載此架構的 Visio 檔案。
工作流程
此架構遵循資源內容記錄模型。 Azure 資源發出的每個記錄檔記錄都會自動與資源產生關聯。 此模型有助於分隔收集及內嵌來自不同應用程式擁有者的工作區。
企業中的不同工作負載有個別的工作區。 設定不同的工作區可讓小組自主處理自己的數據,併為每個工作區提供個別的成本概觀。
平臺即服務 (PaaS) 服務,例如 Azure Web Apps 和 Azure Functions Apps 在其工作區中新增 Application Insights 的設定。
針對身分識別,內部部署的 Active Directory 和雲端身分識別提供者各有自己的工作區。
Azure 虛擬桌面、Azure Pipelines、SQL 工作負載、Azure Kubernetes Service (AKS) 和 Azure Web Apps 中的應用程式,以及其他 PaaS 服務都有自己的工作區。
每個工作區都有自己的已設定警示集。 Azure Logic Apps 和 Azure 自動化 提供進階警示和補救。 Logic Apps 提供與 IT 服務管理 (ITSM) 工具的整合。
一組內部部署虛擬機 (VM) 會透過 Azure Arc 連線,提供端對端 Azure 管理平面。 您也可以使用 Azure Arc 來連線在第三方雲端中執行的基礎結構即服務 (IaaS) 資源。
自定義記錄會擷取第三方虛擬化環境的相關信息,並收集自定義操作系統、軟體和應用程式記錄。
Log Analytics 工作區深入解析提供完整的工作區監視。 使用單一工作區來儲存所有資源收集的數據,與IT組織的作業模型一致。 此工作區提供中央小組所有工作區的使用方式、成本和效能概觀。 中央工作區會根據資源來尊重範圍和角色型訪問控制 (RBAC)。 Log Analytics 工作區深入解析有自己的個別警示集。
Log Analytics 藉由導出工作區數據以進行封存或分析,以提供進一步的整合。 將數據封存至非經常性存取層記憶體可節省成本。 您可以藉由建立可饋送至機器學習模型的數據集,使用封存的數據進行進一步分析。
監視會連線到安全性資訊和事件管理 (SIEM) 工具,例如 Microsoft Sentinel,以建立較大的企業安全性數據存放區。
Power BI 和 Azure 活頁簿 (適用於 Azure 監視器)提供數據視覺效果和儀錶板功能。
元件
此架構包含下列元件:
監視元件
Azure 監視器 會收集、分析及處理來自雲端和內部部署環境的遙測數據。 此解決方案使用下列監視器元件和功能:
- 監視計量會將 受監視資源的數值數據收集到時間序列資料庫。 監視器中的計量是輕量型且支援近乎即時的案例,因此有助於警示和快速偵測問題。
- 監視記錄 會從受監視的資源收集及組織記錄和效能數據。 您可以將多個來源的數據合併到單一工作區,包括 Azure 平台記錄。 您可以在 Log Analytics 中使用 複雜的查詢語言 來分析數據。
- Azure 監視器代理程式 可以將數據傳送至監視記錄和監視計量。 Azure 監視器代理程式會使用可設定 的數據收集規則 (DCR),而且不需要工作區密鑰才能連線。
- Application Insights 跨雲端、混合式和內部部署環境,監視各種平臺上的即時應用程式。 Application Insights 可自動偵測效能異常。 Application Insights 包含功能強大的分析工具,可協助您瞭解使用量和診斷問題。
- Azure 虛擬桌面深入解析 會使用適用於 Azure 虛擬桌面的監視器,協助 IT 專業人員瞭解其 Azure 虛擬桌面環境。
- 容器深入解析 會監視 Kubernetes 叢集和其他容器型工作負載的效能和健康情況。
- 網路深入解析 提供所有已部署網路資源健康情況和計量的完整檢視。
- SQL 深入解析 (預覽) 會監視健康情況,並協助您診斷問題,並微調 Azure SQL 系列中任何產品的效能。
- VM 深入解析 會監視 VM 和虛擬機擴展集的效能和健康情況。 VM 深入解析包括執行進程和其他資源的相依性。
- IT 服務管理連接器 (ITSMC) 提供 Azure 與支援的 ITSM 工具之間的雙向連線,以協助您更快速地解決工作專案。
- 適用於 Azure 監視器 的 Azure 活頁簿提供彈性畫布來分析多個 Azure 數據源,並將其結合成互動式視覺效果報表。
- Log Analytics 會在 Log Analytics 工作區中的監視記錄數據上建立和執行查詢。 此解決方案使用下列 Log Analytics 功能:
- Log Analytics 代理程式 會從雲端和內部部署操作系統和 VM 工作負載收集監視數據,並將其傳送至 Log Analytics 工作區。
- Microsoft Entra 監視 路由Microsoft Entra 活動記錄至 Log Analytics 工作區。
- Log Analytics 閘道會將數據傳送至無法直接連線到因特網的電腦 Azure 自動化 和 Log Analytics 工作區。
- 服務對應 會使用 Log Analytics 代理程式自動探索 Windows 和 Linux 系統上的應用程式元件,並對應服務之間的通訊。
- 警示管理 可協助您分析 Log Analytics 工作區中的所有警示。
- Log Analytics 資料匯出 (預覽) 會持續從 Log Analytics 工作區中選取的數據表導出數據。 數據可以匯出至 Azure 記憶體帳戶或 Azure 事件中樞。
- Log Analytics 工作區深入解析提供所有 Log Analytics 工作區的完整監視。 Workspace Insights 提供工作區使用量、效能、健康情況、代理程式、查詢和變更記錄的統一檢視。
其他元件
在此解決方案中,監視器支援或與下列 Azure 和 Microsoft 服務 整合:
- Azure Arc 會傳遞一致的多重雲端和內部部署管理平台,來簡化治理和管理。
- Azure 自動化 提供雲端式自動化、操作系統更新和設定,以支援跨環境進行一致的管理。 變更追蹤 追蹤雲端和內部部署 VM 中的變更,以協助您識別軟體問題。 變更追蹤 將數據轉送至監視記錄,並將數據儲存在Log Analytics工作區中。
- Azure ExpressRoute 會將內部部署網路延伸至Microsoft雲端。 ExpressRoute 會透過連線提供者的協助使用私人連線。
- Azure Data Lake Storage 為巨量數據分析提供安全、可調整、符合成本效益的雲端記憶體。
- Azure Functions 是無伺服器解決方案,可實作稱為 函式的現成程式代碼區塊。 函式會視需要執行,並自動相應增加。
- Azure Kubernetes Services (AKS) 是完全受控的 Kubernetes 服務,可輕鬆地部署和管理容器化應用程式。
- Azure Load Balancer 會平均分散後端資源或伺服器之間的連入網路流量。
- Azure Logic Apps 是一個雲端式平臺,可用於建立和執行自動化工作流程。 邏輯應用程式可以整合應用程式、資料、服務和系統。
- Azure Resource Manager 提供一個管理層和範本,可讓您在 Azure 帳戶中建立、更新和刪除資源。
- 適用於雲端的 Microsoft Defender 是統一基礎結構安全性管理系統 適用於雲端的 Microsoft Defender 的一部分。
- Microsoft Sentinel 是雲端原生、可調整、安全性資訊和事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。
- Azure SQL 系列 SQL 資料庫服務提供一致且統一的 Azure SQL 體驗。 Azure SQL 有從邊緣到雲端的完整部署選項。
- Power BI 是軟體服務、應用程式和連接器的集合,可讓您的數據源變成一致的、可視化的沉浸式和互動式深入解析。
替代項目
您可以使用一些監視替代方案,以及 或 ,而不是監視。
System Center Operations Manager
System Center Operations Manager 提供彈性且符合成本效益的基礎結構監視。 Operations Manager 提供私人和公用數據中心和雲端的完整監視。 Operations Manager 可協助確保重要應用程式的可預測效能和可用性。
若要維護現有的 Operations Manager 投資,您可以將 Operations Manager 與您的 Log Analytics 工作區整合。 您可以使用監視記錄和擴充功能,同時仍針對下列函式使用 Operations Manager:
- 監視IT服務的健康情況
- 維護與 ITSM 解決方案的整合,以進行事件和問題管理
- 管理部署至內部部署和公用雲端 IaaS VM 的代理程式生命週期。
如需詳細資訊,請參閱將 Operations Manager 連線至 Azure 監視器。
Grafana
Grafana 是一個開放且可組合的可觀察性和數據視覺效果平臺。 Grafana 可協助您查詢、可視化、警示,並了解數據儲存在何處。 您可以建置彈性儀錶板來探索及共享數據。
案例詳細資料
企業小組有不同的工作負載,例如 Windows、Linux、SQL、身分識別型工作負載、虛擬桌面基礎結構 (VDI)、容器和 Web 應用程式。 這些工作負載可以在任何雲端提供者、內部部署或組合中執行。 在不同的環境中,有如此大量的工作負載,雲端式監視很複雜。
企業級監視也必須涵蓋治理、作業最佳做法、有效的成本管理和工作區安全性。 監視必須有足夠的彈性來設定和管理小組環境,並讓小組以某種程度的控制方式自行管理。
其他重要的監視設計因素包括:
- 如何將Log Analytics工作區分散到不同的地理區域或小組。
- 監視工作區本身及其工作負載。
- 如何向不同的小組收取費用,以將整體成本優化。
- 如何可視化並可能封存收集的數據。
- 為作業、應用程式和不同的小組建立個別的儀錶板。
- 讓領導能夠充分瞭解正確的資訊集。
潛在使用案例
此解決方案可協助處理下列使用案例:
- 針對不同的雲端和內部部署工作負載進行合併監視。
- 監視容器、Azure SQL 和 Azure 虛擬桌面工作負載。
- 展開的監視範圍,例如將監視器連線到 sentinel Microsoft。
- 跨網路、身分識別提供者、操作系統和其他網域的混合式和異質雲端監視。
考量
下列考慮適用於此解決方案。
可用性
Azure 可用性區域 會依賴區域中其他區域的可用性,保護應用程式和數據免於資料中心失敗。 可用性區域有助於為依賴Log Analytics工作區的Application Insights等監視功能提供復原能力。 即使無法使用特定數據中心,連結至可用性區域的工作區仍會保持作用中且可運作。
如需支援可用性區域的 Azure 區域,請參閱 Azure 中的區域和 可用性區域。 監視目前支持美國東部 2 和美國西部 2 區域中的可用性區域。
監視可用性區域的支援需要連結至監視記錄專用叢集的Log Analytics工作區。 專用叢集是一種部署選項,可啟用監視記錄的進階功能,包括可用性區域。 在 2020 年 10 月之後建立的專用叢集預設可以使用監視支援它們的可用性區域。
Logic Apps 商務持續性災害復原 (BCDR) 工作流程
Logic Apps 工作流程可協助您整合和協調應用程式、雲端服務和內部部署系統之間的數據。 當您規劃商務持續性災害復原 (BCDR)時,請務必考慮不只是邏輯應用程式,還要考慮他們搭配運作的 Azure 資源。 如需自動化邏輯應用程式工作流程的 BCDR 指引和策略,請參閱 Azure Logic Apps 的商務持續性和災害復原。
Operations
請務必有處理個人資料的策略。 如需詳細資訊,請參閱 Log Analytics和Application Insights中所儲存個人資料的指引。
使用下列指導方針確保法規合規性:
Azure 自動化 在 Azure 中執行的 Runbook 可能無法存取其他雲端或內部部署中的資源。 您可以使用 Azure 自動化 混合式 Runbook 背景工作角色,直接在裝載角色的電腦上執行 Runbook。 您可以針對環境中的資源執行 Runbook 來管理本機資源。 如需詳細資訊,請參閱 自動化混合式 Runbook 背景工作角色概觀。
請考慮下列作業最佳做法,以協助檢查成本:
- 只有在數據收集很高時,才啟用警示。
- 在實作監視解決方案之前,請先檢閱監視 解決方案 。 例如,讓 適用於雲端的 Defender 收集和稽核安全性事件數據可能會以指數方式增加數據收集成本。
- 全面合理化警示建立。 請考慮建立單一警示,而不是每個工作區或小組具有相同警示。
- 將警示、Logic Apps 和工作區等資源分組在不同的資源群組中,並使用標記進行識別。
- 針對不同工作區的成本整體檢視,使用Log Analytics工作區深入解析。
- 使用 Azure 監視器代理程式進行細微數據收集,以從系統事件記錄收集單一事件識別碼的層級。 微調數據收集可以提供成本效益。
- 使用監視數據匯出將數據封存至低成本記憶體。
- 遵循 Application Insights 工作區中遙測數據的最佳做法。 如需詳細資訊,請參閱 管理 Application Insights 的使用方式和成本。
效能效益
下列效能考慮適用於此解決方案:
延遲
延遲是在受監視系統上建立數據與其可用性在監視中進行分析之間的時間量。 擷取記錄數據的典型延遲介於 20 秒到 3 分鐘之間。 任何數據的特定延遲取決於各種因素。
特定資料集的總擷取時間有下列部分:
- 代理程序時間:探索事件的時間、收集事件,並將其傳送至監視器記錄擷取點做為記錄檔記錄。 在大部分情況下,代理程式會處理此程式。 網路可能會帶來額外的延遲。
- 管線時間:擷取管線處理記錄檔記錄所需的時間。 這次包含剖析事件屬性,以及可能新增導出資訊。
- 編製索引時間:將記錄檔記錄擷取到監視巨量數據存放區所花費的時間。
為了確保延遲降到最低,請將監視工作區、Logic Apps 和相關基礎結構放在相同的 Azure 區域中,並具有其監視或控制的工作負載。 不過,仍有延遲問題。 如需詳細資訊,請參閱 Azure 監視器中的記錄資料擷取時間。
記錄與計量警示
計量警示會定期檢查一或多個計量時間序列中的條件是否為 true,並在條件符合評估時通知您。 計量警示預設為具狀態,只有在狀態變更時才會傳送通知,例如引發或解決。
記錄警示會使用Log Analytics查詢,以設定頻率評估資源記錄,並根據結果引發警示。 計量型警示比記錄警示更快傳送通知。
延展性
監視針對警示、動作群組、工作區和 Application Insights 的每個訂用帳戶都有服務限制。 如需詳細資訊,請參閱 Azure 監視器服務限制。
檢閱並注意 Azure 訂用帳戶服務限制,特別是 Logic Apps 和 Azure 自動化 的限制。
安全性
此解決方案使用下列安全性機制:
存取控制
Azure RBAC 會鎖定每個小組或應用程式擁有者裝載警示和 Logic Apps 的資源群組。 使用 Azure RBAC,您可以只授與使用者和群組使用工作區中監視數據所需的存取權量。 例如,您可以授與負責 Azure VM 裝載基礎結構服務的小組存取權,只授與那些 VM 產生的記錄。
用戶可以存取的數據是由因素的組合所決定。
係數 | 描述 |
---|---|
存取模式 | 用戶用來存取工作區的方法。 定義可用的數據範圍,以及套用的訪問控制模式。 |
存取控制模式 | 在工作區上設定,定義許可權適用於工作區或資源層級。 |
權限 | 套用至工作區或資源之個人或群組的許可權。 定義使用者可以存取的數據。 |
資料表層級的 Azure RBAC | 適用於所有用戶的選擇性細微許可權,無論其存取模式或訪問控制模式為何。 定義使用者可以存取的數據類型。 |
如需詳細資訊,請參閱 訪問控制概觀。
透過 ExpressRoute 的私人端點連線
監視器是不同互連服務的星座,可一起運作以監視您的工作負載。 您可以使用 Azure Private Link 安全地將 Azure PaaS 資源連結到具有私人端點的虛擬網路。 Azure 監視器 Private Link 範圍 可在部署在虛擬網路中的應用程式與監視資源之間提供私人連線能力,並定義監視網路的界限。 如需詳細資訊,請參閱使用 Azure Private Link 將網路連線到 Azure 監視器。
Logic Apps 整合服務環境 (ISE)
整合服務環境 (ISE) 環境會將專用記憶體和其他資源與全域、多客戶 Logic Apps 服務分開。 如需詳細資訊,請參閱 使用整合服務環境 (ISE) 從 Azure Logic Apps 連線到 Azure 虛擬網路。
Log Analytics 網路閘道
Log Analytics 閘道會將數據傳送至 Azure 自動化,以及無法直接連線到因特網的電腦監視 Log Analytics 工作區。 如需詳細資訊,請參閱 使用 Azure 監視器中的 Log Analytics 閘道連接沒有因特網存取的電腦。
成本最佳化
Azure 監視器包含收集和分析記錄數據的功能。 依數據擷取、保留和導出來監視帳單。 可能影響定價的其他因素包括警示、通知和簡訊或語音通話。 如需詳細資訊,請參閱 Azure 監視器計量價格。
Application Insights 和 Log Analytics 的預設定價是以內嵌的數據量為基礎,以及選擇性地保留較長的數據,是隨用隨付模型。 Log Analytics 也有承諾層,相較於隨用隨付價格,可節省高達 30% 的費用。
使用 Azure 定價計算機深入了解定價。
考慮檢查清單
- 逐步啟用監視解決方案,以將環境與成本的影響降到最低。
- 請參閱所有架構元件的 Azure 服務限制。
- 設定成本限制的警示。 新增解決方案可以增加收集的數據多倍,進而增加成本。
- 使用所有資源群組和資源標記,以在必要時協助向下切入成本。
- 透過基礎結構即程式代碼 (IaC) 將工作區部署自動化,以取得一致性。
- 在與執行工作負載相同的區域中建立工作區,以提供較低的擷取延遲。
- 對於沒有因特網連線的內部部署機器,請使用透過Log Analytics閘道的 Azure Arc。
- 針對已針對 Azure Arc 設定因特網連線的內部部署機器,請針對每個專案將 VM 分組為個別資源,並使用 DCR。
- 將警示分散到資源群組,以避免達到每個資源群組 800 個部署的訂用帳戶限制。
- 合理化警示,以跨不同小組使用單一警示。
- 檢閱網路、用戶和整體雲端服務的安全性需求。
- 為每個工作區建立個別的資源群組,以有效套用 RBAC 規則。
- 將 RBAC 套用至使用者帳戶和其他物件以進行 Log Analytics 工作區存取。
- 使用 Microsoft Sentinel 來內嵌身分識別和安全性相關記錄。
- 使用 Application Insights 監視即時應用程式,以自動偵測效能異常。
- 使用 Application Insights 分析工具來協助診斷問題並瞭解應用程式使用量。
- 跨面板使用 Log Analytics 工作區深入解析來監視和設定下列量值的警示:
- 擷取延遲
- 數據擷取磁碟區
- 擷取異常
- 代理程式健康情況
- 使用 Azure 監視器代理程式微調數據收集。
- 請考慮將數據封存至非經常性儲存層。 您可以將非經常性存取的數據記憶體與 Data Lake 服務整合。