Microsoft Purview-Metriken in Azure Monitor

In diesem Artikel wird beschrieben, wie Sie Metriken, Warnungen und Diagnoseeinstellungen für Microsoft Purview mithilfe von Azure Monitor konfigurieren.

Überwachen von Microsoft Purview

Microsoft Purview-Administratoren können Azure Monitor verwenden, um den Betriebsstatus des Microsoft Purview-Kontos nachzuverfolgen. Metriken werden gesammelt, um Datenpunkte bereitzustellen, mit denen Sie potenzielle Probleme nachverfolgen, probleme beheben und die Zuverlässigkeit des Microsoft Purview-Kontos verbessern können. Die Metriken werden für Ereignisse, die in Microsoft Purview auftreten, an Azure Monitor gesendet.

Aggregierte Metriken

Auf die Metriken kann über die Azure-Portal eines Microsoft Purview-Kontos zugegriffen werden. Der Zugriff auf die Metriken wird durch die Rollenzuweisung des Microsoft Purview-Kontos gesteuert. Benutzer müssen teil der Rolle "Überwachungsleser" in Microsoft Purview sein, um die Metriken anzuzeigen. Weitere Informationen finden Sie unter Überwachen von Rollenberechtigungen.

Die Person, die das Microsoft Purview-Konto erstellt hat, erhält automatisch Berechtigungen zum Anzeigen von Metriken. Wenn andere Benutzer Metriken anzeigen möchten, fügen Sie sie der Rolle Überwachungsleser hinzu, indem Sie die folgenden Schritte ausführen:

Hinzufügen eines Benutzers zur Rolle "Überwachungsleser"

Um der Rolle Überwachungsleser einen Benutzer hinzuzufügen, kann der Besitzer des Microsoft Purview-Kontos oder der Abonnementbesitzer die folgenden Schritte ausführen:

1. Wechseln Sie zum Azure-Portal, und suchen Sie nach dem Namen des Microsoft Purview-Kontos.

2. Wählen Sie Zugriffssteuerung (IAM) aus.

3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.

4. Weisen Sie die unten aufgeführte Rolle zu. Rufen Sie Details zum Zuweisen von Azure-Rollen ab.

   Einstellung	Wert
   Rolle	Überwachungsleser
   Zuweisen des Zugriffs zu	Benutzer, Gruppe oder Dienstprinzipal
   Members	<Microsoft Entra Kontobenutzer>

   

Metrikvisualisierung

Benutzer mit der Rolle Überwachungsleser können die aggregierten Metriken und Diagnoseprotokolle sehen, die an Azure Monitor gesendet werden. Die Metriken sind im Azure-Portal für das entsprechende Microsoft Purview-Konto aufgeführt. Wählen Sie im Azure-Portal den Abschnitt Metriken aus, um die Liste aller verfügbaren Metriken anzuzeigen.

Microsoft Purview-Benutzer können auch direkt über das Verwaltungscenter des Microsoft Purview-Kontos auf die Metrikseite zugreifen. Wählen Sie im Microsoft Purview Management Center auf der Seite Standard die Option Azure Monitor aus, um Azure-Portal zu starten.

Verfügbare Metriken

Um sich mit der Verwendung des Metrikabschnitts im Azure-Portal vertraut zu machen, lesen Sie die folgenden beiden Dokumente. Erste Schritte mit Metric Explorer und Advanced features of Metric Explorer.

Die folgende Tabelle enthält die Liste der Metriken, die im Azure-Portal untersucht werden können:

Metrikname	Metriknamespace	Aggregationstyp	Beschreibung
Data Map-Kapazitätseinheiten	Elastische Datenzuordnung	Summe Anzahl	Aggregieren der Kapazitätseinheiten für elastische Data Map über einen Bestimmten Zeitraum
Data Map-Speichergröße	Elastische Datenzuordnung	Summe Durchschnittl.	Aggregieren der Größe des elastischen Data Map-Speichers über einen Bestimmten Zeitraum
Scan abgebrochen	Automatisierte Überprüfung	Summe Anzahl	Aggregieren der abgebrochenen Datenquellenüberprüfungen über einen bestimmten Zeitraum
Überprüfung abgeschlossen	Automatisierte Überprüfung	Summe Anzahl	Aggregieren der abgeschlossenen Datenquellenscans über einen bestimmten Zeitraum
Fehler bei der Überprüfung	Automatisierte Überprüfung	Summe Anzahl	Aggregieren der fehlerhaften Datenquellenüberprüfungen über einen Bestimmten Zeitraum
Benötigte Scanzeit	Automatisierte Überprüfung	Min Max Summe Durchschnittl.	Aggregieren der Gesamtzeit von Scans über einen Bestimmten Zeitraum

Überwachungswarnungen

Auf Warnungen kann über die Azure-Portal eines Microsoft Purview-Kontos zugegriffen werden. Der Zugriff auf die Warnungen wird wie Metriken durch die Rollenzuweisung des Microsoft Purview-Kontos gesteuert. Benutzer können Warnungsregeln in ihrem Purview-Konto einrichten, um benachrichtigt zu werden, wenn wichtige Überwachungsereignisse auftreten.

Der Benutzer kann auch bestimmte Warnungsregeln und -bedingungen für Signale in Purview erstellen.

Senden von Diagnoseprotokollen

Unformatierte Telemetrieereignisse werden an Azure Monitor gesendet. Ereignisse können an einen Log Analytics-Arbeitsbereich gesendet, in einem Kundenspeicherkonto ihrer Wahl archiviert, an einen Event Hub gestreamt oder zur weiteren Analyse an eine Partnerlösung gesendet werden. Das Exportieren von Protokollen erfolgt über die Diagnoseeinstellungen für das Microsoft Purview-Konto auf dem Azure-Portal.

Führen Sie die folgenden Schritte aus, um eine Diagnoseeinstellung für Ihr Microsoft Purview-Konto zu erstellen und an Ihr bevorzugtes Ziel zu senden:

1. Suchen Sie Ihr Microsoft Purview-Konto im Azure-Portal.
2. Wählen Sie im Menü unter Überwachung die Option Diagnoseeinstellungen aus.
3. Wählen Sie Diagnoseeinstellung hinzufügen aus, um eine neue Diagnoseeinstellung zum Sammeln von Plattformprotokollen und Metriken zu erstellen. Weitere Informationen zu diesen Einstellungen und Protokollen finden Sie in der Azure Monitor-Dokumentation.

4. Sie können Ihre Protokolle an folgende Stellen senden:

• Ein Log Analytics-Arbeitsbereich
• Ein Speicherkonto
• Ein Event Hub

Ziel – Log Analytics-Arbeitsbereich

1. Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden aus.
2. Erstellen Sie einen Namen für die Diagnoseeinstellung, wählen Sie die entsprechende Protokollkategoriegruppe aus, wählen Sie das richtige Abonnement und den richtigen Arbeitsbereich aus, und wählen Sie dann Speichern aus. Der Arbeitsbereich muss sich nicht in derselben Region wie die überwachte Ressource befinden. Wenn Sie einen neuen Arbeitsbereich erstellen möchten, können Sie diesen Artikel befolgen: Erstellen eines neuen Log Analytics-Arbeitsbereichs.

3. Überprüfen Sie die Änderungen in Ihrem Log Analytics-Arbeitsbereich, indem Sie einige Vorgänge zum Auffüllen von Daten ausführen. Beispiel: Erstellen/Aktualisieren/Löschen einer Richtlinie. Danach können Sie den Log Analytics-Arbeitsbereich öffnen, zu Protokolle navigieren, den Abfragefilter als "purviewsecuritylogs" eingeben und dann "Ausführen" auswählen, um die Abfrage auszuführen.

Ziel – Speicherkonto

1. Wählen Sie unter Zieldetailsdie Option In einem Speicherkonto archivieren aus.
2. Erstellen Sie einen Namen für die Diagnoseeinstellung, wählen Sie die Protokollkategorie aus, wählen Sie das Ziel als Archiv in einem Speicherkonto aus, wählen Sie das richtige Abonnement und das richtige Speicherkonto aus, und wählen Sie dann Speichern aus. Für die Archivierung der Diagnoseprotokolle wird ein dediziertes Speicherkonto empfohlen. Wenn Sie ein Speicherkonto benötigen, können Sie den folgenden Artikel befolgen: Erstellen eines Speicherkontos.

3. Um Protokolle im Speicherkonto anzuzeigen, führen Sie eine Beispielaktion aus (z. B. Erstellen/Aktualisieren/Löschen einer Richtlinie), öffnen Sie dann das Speicherkonto, navigieren Sie zu Containern, und wählen Sie den Containernamen aus.

4. Navigieren Sie zu der Datei, und laden Sie sie herunter, um die Protokolle anzuzeigen.

   

   

Ziel – Event Hub

1. Wählen Sie unter Zieldetailsdie Option Stream zu einem Event Hub aus.
2. Erstellen Sie einen Diagnoseeinstellungsnamen, wählen Sie die Protokollkategorie aus, wählen Sie das Ziel als Stream to Event Hub aus, wählen Sie das richtige Abonnement, den richtigen Event Hubs-Namespace, den Namen des Event Hubs und den Namen der Event Hub-Richtlinie aus, und wählen Sie dann Speichern aus. Ein Event Hub-Namensraum ist erforderlich, bevor Sie an einen Event Hub streamen können. Wenn Sie einen Event Hub-Namespace erstellen müssen, können Sie diesen Artikel befolgen: Erstellen eines Event Hubs & Event Hubs-Namespacespeicherkontos

3. Um Protokolle im Event Hubs-Namespace anzuzeigen, wechseln Sie zum Azure-Portal, und suchen Sie nach dem Namen des Event Hubs-Namespace, den Sie zuvor erstellt haben, wechseln Sie zum Event Hubs-Namespace, und klicken Sie auf Übersicht. Weitere Informationen zum Erfassen und Lesen erfasster Überwachungsereignisse im Event Hubs-Namespace finden Sie in diesem Artikel: Überwachungsprotokolle & Diagnose

Beispielprotokoll

Hier sehen Sie ein Beispielprotokoll, das Sie von einer Diagnoseeinstellung erhalten würden.

Das Ereignis verfolgt den Scanlebenszyklus nach. Ein Scanvorgang folgt dem Fortschritt durch eine Sequenz von Zuständen, von Warteschlangen, Wird ausgeführt und schließlich der Endstatus Erfolgreich | Fehler | Abgebrochen. Für jeden Zustandsübergang wird ein Ereignis protokolliert, und das Schema des Ereignisses weist die folgenden Eigenschaften auf.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

Das Beispielprotokoll für ein Ereignis instance wird im folgenden Abschnitt gezeigt.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

Nächste Schritte

Elastische Datenzuordnung in Microsoft Purview