Migrace z Splunku na protokoly služby Azure Monitor
Protokoly azure Monitoru jsou cloudová spravovaná služba monitorování a pozorovatelnosti, která poskytuje mnoho výhod z hlediska správy nákladů, škálovatelnosti, flexibility, integrace a nízké režie na údržbu. Služba je navržená tak, aby zvládla velké objemy dat a snadno se škáluje tak, aby vyhovovala potřebám organizací všech velikostí.
Protokoly služby Azure Monitor shromažďují data z nejrůznějších zdrojů, včetně protokolů událostí Windows, Syslogu a vlastních protokolů, a poskytuje jednotné zobrazení všech prostředků Azure a prostředků mimo Azure. Pomocí sofistikovaného dotazovacího jazyka a kurátorované vizualizace můžete rychle analyzovat miliony záznamů, abyste mohli identifikovat, pochopit a reagovat na kritické vzory v datech monitorování.
Tento článek vysvětluje, jak migrovat nasazení splunk Observability do protokolů služby Azure Monitor pro účely protokolování a analýzy dat protokolů.
Informace o migraci nasazení zabezpečení a správy událostí (SIEM) ze služby Splunk Enterprise Security do služby Azure Sentinel najdete v tématu Plánování migrace na Microsoft Sentinel.
Proč migrovat na Azure Monitor?
Mezi výhody migrace na Azure Monitor patří:
- Plně spravovaná platforma SaaS (Software jako služba) s:
- Automatické upgrady a škálování
- Jednoduché ceny průběžných plateb za GB.
- Optimalizace nákladů a monitorování funkcí a nízkonákladových plánů basic a pomocných tabulek.
- Monitorování a pozorovatelnost nativní pro cloud, včetně:
- Komplexní monitorování ve velkém měřítku
- Nativní monitorování prostředků Azure
- Ochrana osobních údajů a dodržování předpisů.
- Nativní integrace s řadou doplňkových služeb Azure, jako je Microsoft Sentinel pro správu informací o zabezpečení a událostí, Azure Logic Apps pro automatizaci, Azure Managed Grafana pro řídicí panely a Azure Machine Learning pro pokročilé možnosti analýzy a reakce.
Porovnání nabídek
| Nabídka Splunk | Produkt | Nabídka Azure |
|---|---|---|
| Splunk Platform |
|
Protokoly služby Azure Monitor jsou centralizovaná platforma saaS (software jako služba) pro shromažďování, analýzu a zpracování telemetrických dat generovaných prostředky a aplikacemi Mimo Azure. |
| Pozorovatelnost splunku |
|
Azure Monitor je ucelené řešení pro shromažďování, analýzu a zpracování telemetrie z cloudu, multicloudu a místních prostředí vytvořených prostřednictvím výkonného kanálu pro příjem dat, který je sdílený s Microsoft Sentinelem. Azure Monitor nabízí podnikům komplexní řešení pro monitorování cloudu, hybridního a místního prostředí s izolací sítě, funkcemi odolnosti a ochranou před selháními datových center, generováním sestav a výstrahami a možnostmi reakce . Mezi integrované funkce služby Azure Monitor patří:
|
| Splunk Security |
|
Microsoft Sentinel je cloudové nativní řešení, které běží přes platformu Azure Monitor, které poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku. |
Úvod do klíčových konceptů
| Azure Monitor Logs | Podobný koncept Splunku | Popis |
|---|---|---|
| Pracovní prostor služby Log Analytics | Obor názvů | Pracovní prostor služby Log Analytics je prostředí, ve kterém můžete shromažďovat data protokolů ze všech monitorovaných prostředků Azure a jiných prostředků než Azure. Data v pracovním prostoru jsou k dispozici pro dotazování a analýzu, funkce služby Azure Monitor a další služby Azure. Podobně jako obor názvů Splunk můžete spravovat přístup k datům a artefaktům, jako jsou výstrahy a sešity, v pracovním prostoru služby Log Analytics. Navrhněte architekturu pracovního prostoru služby Log Analytics na základě vašich potřeb – například rozdělení fakturace, požadavků na regionální úložiště dat a aspekty odolnosti. |
| Správa tabulek | Indexování | Azure Monitor protokoluje ingestování dat protokolu do tabulek ve spravované databázi Azure Data Exploreru . Během příjmu dat služba automaticky indexuje a časové razítko dat, což znamená, že můžete ukládat různé typy dat a přistupovat k nim rychle pomocí dotazů dotazovací jazyk Kusto (KQL). Vlastnosti tabulky slouží ke správě schématu tabulky, uchovávání dat a jestli se mají ukládat data pro občasné auditování a řešení potíží nebo pro průběžnou analýzu a používání funkcí a služeb. Porovnání konceptů zpracování dat Splunk a Azure Data Exploreru najdete v tématu Splunk a dotazovací jazyk Kusto mapu. |
| Analytické plány, Základní a Pomocné tabulky | Protokoly služby Azure Monitor nabízí tři plány tabulek, které umožňují snížit náklady na příjem a uchovávání protokolů a využívat pokročilé funkce a možnosti analýzy služby Azure Monitor na základě vašich potřeb. Plán Analytics zpřístupňuje data protokolů pro interaktivní dotazy a používá je funkcemi a službami. Plán Basic vám umožňuje ingestovat a uchovávat protokoly s nižšími náklady pro řešení potíží a reakce na incidenty. Pomocný plán představuje nízkonákladový způsob, jak ingestovat a uchovávat protokoly s nízkým dotykem, jako jsou podrobné protokoly a data požadovaná pro auditování a dodržování předpisů. |
|
| Dlouhodobé uchovávání | Stavy kbelíku dat (horké, teplé, studené, rozmrazené), archivace, dynamický datový aktivní archiv (DDAA) | Nákladově efektivní možnost dlouhodobého uchovávání uchovává vaše protokoly v pracovním prostoru služby Log Analytics a umožňuje vám okamžitě přistupovat k datům, když je potřebujete. Změny konfigurace uchovávání informací jsou efektivní okamžitě, protože data nejsou fyzicky přenášena do externího úložiště. Data můžete obnovit v dlouhodobém uchovávání nebo spustit úlohu vyhledávání a zpřístupnit tak konkrétní časový rozsah dat pro analýzu v reálném čase. |
| Řízení přístupu | Přístup uživatele na základě role, oprávnění | Definujte, kteří lidé a prostředky mohou číst, zapisovat a provádět operace s konkrétními prostředky pomocí řízení přístupu na základě role v Azure (RBAC). Uživatel s přístupem k prostředku má přístup k protokolům prostředku. Azure usnadňuje zabezpečení dat a správu přístupu pomocí funkcí, jako jsou předdefinované role, vlastní role, dědičnost oprávnění rolí a historie auditu. Můžete také nakonfigurovat přístup na úrovni pracovního prostoru a přístup na úrovni tabulky pro podrobné řízení přístupu pro konkrétní datové typy. |
| Transformace dat | Transformace, extrakce polí | Transformace umožňují filtrovat nebo upravovat příchozí data před jejich odesláním do pracovního prostoru služby Log Analytics. Pomocí transformací můžete odebrat citlivá data, rozšířit data v pracovním prostoru služby Log Analytics, provádět výpočty a filtrovat data, která nepotřebujete ke snížení nákladů na data. |
| Pravidla shromažďování dat | Vstupy dat, datový kanál | Definujte, která data se mají shromažďovat, jak tato data transformovat a kam se mají data odesílat. |
| dotazovací jazyk Kusto (KQL) | Splunk Search Processing Language (SPL) | Protokoly služby Azure Monitor používají velkou podmnožinu KQL, která je vhodná pro jednoduché dotazy na protokoly, ale zahrnuje také pokročilé funkce, jako jsou agregace, spojení a inteligentní analýzy. Pomocí splunku dotazovací jazyk Kusto mapu k překladu znalostí Splunk SPL do KQL. KQL se také můžete naučit kurzy a trénovací moduly KQL. |
| Log Analytics | Splunk Web, Search App, Pivot tool | Nástroj na webu Azure Portal pro úpravy a spouštění dotazů na protokoly v protokolech služby Azure Monitor Log Analytics poskytuje také bohatou sadu nástrojů pro zkoumání a vizualizaci dat bez použití KQL. |
| Optimalizace nákladů | Azure Monitor poskytuje nástroje a osvědčené postupy, které vám pomůžou pochopit, monitorovat a optimalizovat náklady na základě vašich potřeb. |
1. Vysvětlení aktuálního využití
Vaše aktuální využití v Splunku vám pomůže rozhodnout se, jakou cenovou úroveň vybrat ve službě Azure Monitor a odhadnout budoucí náklady:
- Pokud chcete zobrazit sestavu využití, postupujte podle pokynů splunku.
- Odhady nákladů služby Azure Monitor s využitím cenové kalkulačky
2. Nastavení pracovního prostoru služby Log Analytics
V pracovním prostoru služby Log Analytics shromažďujete data protokolů ze všech monitorovaných prostředků. Data můžete uchovávat v pracovním prostoru služby Log Analytics až sedm let. Archivace nízkonákladových dat v rámci pracovního prostoru umožňuje rychle a snadno přistupovat k datům v dlouhodobém uchovávání, pokud je potřebujete, aniž byste museli spravovat externí úložiště dat.
Pro usnadnění správy doporučujeme shromažďovat všechna data protokolů v jednom pracovním prostoru služby Log Analytics. Pokud uvažujete o použití více pracovních prostorů, přečtěte si téma Návrh architektury pracovního prostoru služby Log Analytics.
Nastavení pracovního prostoru služby Log Analytics pro shromažďování dat:
Vytvořte pracovní prostor služby Log Analytics.
Protokoly Azure Monitoru vytvoří tabulky Azure ve vašem pracovním prostoru automaticky na základě služeb Azure, které používáte, a nastavení shromažďování dat, která definujete pro prostředky Azure.
Nakonfigurujte pracovní prostor služby Log Analytics, včetně:
- Cenová úroveň:
- Propojte pracovní prostor služby Log Analytics s vyhrazeným clusterem , abyste mohli využívat pokročilé funkce, pokud máte nárok na cenovou úroveň.
- Denní limit.
- Uchovávání dat.
- Izolace sítě.
- Řízení přístupu
Pomocí nastavení konfigurace na úrovni tabulky můžete:
Definujte datový plán protokolu každé tabulky.
Výchozí datový plán protokolů je Analýza, která umožňuje využívat bohaté možnosti monitorování a analýz služby Azure Monitor.
Nastavte zásady uchovávání a archivace dat pro konkrétní tabulky, pokud je potřebujete, aby se liší od zásad uchovávání a archivace dat na úrovni pracovního prostoru.
Upravte schéma tabulky na základě datového modelu.
3. Migrace artefaktů Splunk do služby Azure Monitor
Pokud chcete migrovat většinu artefaktů Splunk, musíte přeložit jazyk SPL (Splunk Processing Language) na dotazovací jazyk Kusto (KQL). Další informace najdete v splunku, který dotazovací jazyk Kusto mapu a začínáme s dotazy na protokoly ve službě Azure Monitor.
Tato tabulka uvádí artefakty Splunk a odkazy na pokyny pro nastavení ekvivalentních artefaktů ve službě Azure Monitor:
| Artefakt Splunk | Artefakt Azure Monitoru |
|---|---|
| Výstrahy | Pravidla upozornění |
| Akce upozornění | Skupiny akcí |
| Monitorování infrastruktury | Přehledy služby Azure Monitor jsou sada předem připravených a kurátorovaných prostředí monitorování s předem nakonfigurovanými vstupy dat, vyhledáváním, upozorněními a vizualizacemi, které vám pomůžou rychle a efektivně analyzovat data. |
| Řídicí panely | Workbooks |
| Vyhledávání | Azure Monitor nabízí různé způsoby, jak rozšířit data, včetně následujících: - Pravidla shromažďování dat, která umožňují odesílat data z více zdrojů do pracovního prostoru služby Log Analytics a provádět výpočty a transformace před ingestováním dat. – operátory KQL, například operátor spojení, který kombinuje data z různých tabulek, a operátor externaldata, který vrací data z externího úložiště. – Integrace se službami, jako je Azure Machine Learning nebo Azure Event Hubs, pro použití pokročilého strojového učení a streamování v dalších datech |
| Obory názvů | Oprávnění k artefaktům ve službě Azure Monitor můžete udělit nebo omezit na základě řízení přístupu, které definujete v pracovním prostoru služby Log Analytics nebo skupinách prostředků Azure. |
| Oprávnění | Správa přístupu |
| Sestavy | Azure Monitor nabízí řadu možností pro analýzu, vizualizaci a sdílení dat, mezi které patří: - Integrace s Grafana - Přehledy - Workbooks - Řídicí panely - Integrace s Power BI - Integrace s Excelem |
| Hledá | Dotazy |
| Typy zdrojů | Definujte datový model v pracovním prostoru služby Log Analytics. Pomocí transformací doby příjmu dat můžete filtrovat, formátovat nebo upravovat příchozí data. |
| Metody shromažďování dat | Viz Shromažďování dat pro nástroje Služby Azure Monitor navržené pro konkrétní prostředky. |
Informace o migraci artefaktů SPlunk SIEM, včetně pravidel detekce a automatizace SOAR, najdete v tématu Plánování migrace do Microsoft Sentinelu.
4. Shromažďování dat
Azure Monitor poskytuje nástroje pro shromažďování dat ze zdrojů dat protokolů v Azure a prostředcích mimo Azure ve vašem prostředí.
Shromažďování dat z prostředku:
- Nastavte příslušný nástroj pro shromažďování dat podle následující tabulky.
- Rozhodněte se, která data z prostředku potřebujete shromáždit.
- Pomocí transformací můžete odebrat citlivá data, rozšířit data nebo provádět výpočty a filtrovat data, která nepotřebujete, abyste snížili náklady.
Tato tabulka uvádí nástroje, které Azure Monitor poskytuje ke shromažďování dat z různých typů prostředků.
| Typ prostředku | Nástroj pro shromažďování dat | Podobný nástroj Splunk | Shromážděná data |
|---|---|---|---|
| Azure | Nastavení diagnostiky | Tenant Azure – Protokoly auditu Microsoft Entra poskytují historii aktivit přihlašování a záznam auditu změn provedených v rámci tenanta. Prostředky Azure – Protokoly a čítače výkonu Předplatné Azure – Stav služby záznamy spolu se záznamy o všech změnách konfigurace provedených v prostředcích ve vašem předplatném Azure. |
|
| Aplikace | Application Insights | Sledování výkonu aplikace Splunk | Data monitorování výkonu aplikací |
| Kontejner | Přehledy kontejnerů | Monitorování kontejnerů | Data o výkonu kontejnerů |
| Operační systém | Azure Monitor Agent | Universal Forwarder, Heavy Forwarder | Monitorování dat z hostovaného operačního systému Azure a virtuálních počítačů mimo Azure |
| Zdroj mimo Azure | Rozhraní API pro příjem protokolů | Kolektor událostí HTTP (HEC) | Protokoly založené na souborech a všechna data, která odesíláte do koncového bodu shromažďování dat v monitorovaném prostředku. |
5. Přechod na protokoly služby Azure Monitor
Běžným přístupem je postupné přechody na protokoly služby Azure Monitor a zachování historických dat v splunku. Během tohoto období můžete:
- K ingestování dat ze splunku použijte rozhraní API pro příjem protokolů.
- Export dat pracovního prostoru služby Log Analytics použijte k exportu dat ze služby Azure Monitor.
Export historických dat ze splunku:
- K exportu dat ve formátu CSV použijte jednu z metod exportu Splunk.
- Shromažďování exportovaných dat:
Pomocí agenta Azure Monitor můžete shromažďovat data, která exportujete ze splunku, jak je popsáno v tématu Shromažďování textových protokolů pomocí agenta Azure Monitoru.
nebo
Shromážděte exportovaná data přímo pomocí rozhraní API pro příjem protokolů, jak je popsáno v tématu Odesílání dat do protokolů služby Azure Monitor pomocí rozhraní REST API.
Další kroky
- Přečtěte si další informace o používání Log Analytics a rozhraní API pro dotazy Log Analytics.
- Povolte Microsoft Sentinel v pracovním prostoru služby Log Analytics.
- Využijte modul k trénování KQL pomocí modulu Analýza protokolů ve službě Azure Monitor.