Überwachungsprotokolle, Diagnose und Aktivitätsverlauf
In diesem Tutorial wird die schrittweise Konfiguration aufgeführt, die zum Aktivieren und Erfassen von Überwachungs- und Diagnose protokollen für die Microsoft Purview Data Map über Azure Event Hubs erforderlich ist.
Ein Microsoft Purview-Administrator oder Microsoft Purview-Datenquellenadministrator benötigt die Möglichkeit, Überwachungs- und Diagnose Protokolle zu überwachen, die aus dem Microsoft Purview Data Map erfasst wurden. Überwachungs- und Diagnose Informationen bestehen aus dem zeitstempelten Verlauf der ausgeführten Aktionen und den Änderungen, die von jedem Benutzer an einem Microsoft Purview-Konto vorgenommen wurden. Der erfasste Aktivitätsverlauf umfasst Aktionen, die über das Microsoft Purview-Portal oder mithilfe der REST-API durchgeführt werden.
Dieses Tutorial führt Sie durch die Schritte zum Aktivieren der Überwachungsprotokollierung. Außerdem erfahren Sie, wie Sie Streamingüberwachungsereignisse über das Microsoft Purview-Portal über Azure-Diagnose Event Hubs konfigurieren und erfassen.
Aktivieren von Überwachung und Diagnose
Die folgenden Abschnitte führen Sie durch den Prozess der Aktivierung von Überwachung und Diagnose.
Konfigurieren von Event Hubs
Erstellen Sie einen Azure Event Hubs Namespace mithilfe einer Arm-Vorlage (Azure Resource Manager) (GitHub). Diese automatisierte Azure ARM-Vorlage stellt Ihre Event Hubs-instance mit der erforderlichen Konfiguration bereit und beendet sie.
Ausführliche Erläuterungen und manuelle Einrichtung:
- Event Hubs: Verwenden einer ARM-Vorlage zum Aktivieren der Event Hubs-Erfassung
- Event Hubs: Aktivieren der erfassung von Ereignissen, die manuell gestreamt werden, mithilfe der Azure-Portal
Verbinden eines Microsoft Purview-Kontos mit Diagnose-Event Hubs
Nachdem Event Hubs bereitgestellt und erstellt wurde, verbinden Sie Ihr Microsoft Purview-Konto Diagnose Überwachungsprotokollierung mit Event Hubs.
Wechseln Sie zur Startseite Ihres Microsoft Purview-Kontos. Auf dieser Seite werden die Übersichtsinformationen im Azure-Portal angezeigt. Dies ist nicht die Startseite des Microsoft Purview-Governanceportals.
Wählen Sie im linken MenüÜberwachungsdiagnoseeinstellungen> aus.
Wählen Sie Diagnoseeinstellung hinzufügen oder Einstellung bearbeiten aus. Das Hinzufügen mehrerer Diagnoseeinstellungszeilen im Kontext von Microsoft Purview wird nicht empfohlen. Anders ausgedrückt: Wenn Sie bereits über eine Zeile mit Diagnoseeinstellungen verfügen, wählen Sie diagnose hinzufügen nicht aus. Wählen Sie stattdessen Bearbeiten aus.
Aktivieren Sie die Kontrollkästchen audit und allLogs , um die Sammlung von Überwachungsprotokollen zu aktivieren. Wählen Sie optional AllMetrics aus, wenn Sie auch Data Map-Kapazitätseinheiten und Data Map-Größenmetriken des Kontos erfassen möchten.
Die Diagnosekonfiguration für das Microsoft Purview-Konto ist abgeschlossen.
Nachdem Diagnose Überwachungsprotokollierungskonfiguration abgeschlossen ist, konfigurieren Sie die Einstellungen für Datenerfassung und Datenaufbewahrung für Event Hubs.
Wechseln Sie zur Azure-Portal Startseite, und suchen Sie nach dem Namen des Event Hubs-Namespaces, den Sie zuvor erstellt haben.
Wechseln Sie zum Event Hubs-Namespace. Wählen Sie Event Hubs>Daten erfassen aus.
Geben Sie den Namen des Event Hubs-Namespace und des Event Hubs an, in dem die Überwachungs- und Diagnose erfasst und gestreamt werden sollen. Ändern Sie die Werte für Zeitfenster und Größenfenster für den Aufbewahrungszeitraum der Streamingereignisse. Klicken Sie auf Speichern.
Wechseln Sie optional im linken Menü zu Eigenschaften , und ändern Sie die Nachrichtenaufbewahrung in einen beliebigen Wert zwischen einem und sieben Tagen. Der Wert für den Aufbewahrungszeitraum hängt von der Häufigkeit geplanter Aufträge oder den Skripts ab, die Sie erstellt haben, um die Streamingereignisse kontinuierlich zu überwachen und zu erfassen. Wenn Sie eine Erfassung einmal pro Woche planen, verschieben Sie den Schieberegler auf sieben Tage.
In dieser Phase ist die Event Hubs-Konfiguration abgeschlossen. Das Microsoft Purview-Governanceportal beginnt mit dem Streamen des gesamten Überwachungsverlaufs und Diagnose Daten an diesen Event Hub. Sie können nun mit dem Lesen, Extrahieren und Ausführen weiterer Analysen und Vorgänge für die erfassten Diagnose- und Überwachungsereignisse fortfahren.
Lesen erfasster Überwachungsereignisse
So analysieren Sie die erfassten Überwachungs- und Diagnose Protokolldaten:
Wechseln Sie auf der Event Hubs-Seite zu Daten verarbeiten, um eine Vorschau der erfassten Überwachungsprotokolle und Diagnose anzuzeigen.
Wechseln zwischen der Tabellen- und Rohansicht der JSON-Ausgabe.
Wählen Sie Beispieldaten herunterladen aus, und analysieren Sie die Ergebnisse sorgfältig.
Da Sie nun wissen, wie Sie diese Informationen erfassen, können Sie automatische, geplante Skripts verwenden, um die Event Hubs-Überwachungs- und Diagnose Daten zu extrahieren, zu lesen und weitere Analysen durchzuführen. Sie können sogar eigene Hilfsprogramme und benutzerdefinierten Code erstellen, um den Geschäftswert aus erfassten Überwachungsereignissen zu extrahieren.
Diese Überwachungsprotokolle können auch mithilfe von Power BI in Excel, beliebige Datenbanken, Dataverse- oder Synapse Analytics-Datenbanken transformiert werden.
Sie können zwar eine beliebige Programmier- oder Skriptsprache Ihrer Wahl verwenden, um die Event Hubs zu lesen, aber hier ist ein vorgefertigtes Python-basiertes Skript. In diesem Python-Tutorial erfahren Sie, wie Sie Event Hubs-Daten in Azure Storage erfassen und mit Python (azure-eventhub) lesen.
Überwachungsereigniskategorien
Einige der wichtigen Kategorien von Überwachungsereignissen im Microsoft Purview-Governanceportal, die derzeit für die Erfassung und Analyse verfügbar sind, sind in der Tabelle aufgeführt.
Weitere Typen und Kategorien von Aktivitätsüberwachungsereignissen werden hinzugefügt.
| Kategorie | Aktivität | Vorgang |
|---|---|---|
| Verwaltung | Auflistungen | Erstellen |
| Verwaltung | Auflistungen | Aktualisieren |
| Verwaltung | Auflistungen | Löschen |
| Verwaltung | Rollenzuweisungen | Erstellen |
| Verwaltung | Rollenzuweisungen | Aktualisieren |
| Verwaltung | Rollenzuweisungen | Löschen |
| Verwaltung | Regelsatz überprüfen | Erstellen |
| Verwaltung | Regelsatz überprüfen | Aktualisieren |
| Verwaltung | Regelsatz überprüfen | Löschen |
| Verwaltung | Klassifizierungsregel | Erstellen |
| Verwaltung | Klassifizierungsregel | Aktualisieren |
| Verwaltung | Klassifizierungsregel | Löschen |
| Verwaltung | Überprüfung | Erstellen |
| Verwaltung | Überprüfung | Aktualisieren |
| Verwaltung | Überprüfung | Löschen |
| Verwaltung | Überprüfung | Ausführen |
| Verwaltung | Überprüfung | Abbrechen |
| Verwaltung | Überprüfung | Erstellen |
| Verwaltung | Überprüfung | Zeitplan |
| Verwaltung | Datenquelle | Registrieren |
| Verwaltung | Datenquelle | Aktualisieren |
| Verwaltung | Datenquelle | Löschen |