Udostępnij za pośrednictwem


Migrowanie z rozwiązania Splunk do dzienników usługi Azure Monitor

Dzienniki usługi Azure Monitor to oparta na chmurze usługa monitorowania i możliwości obserwacji, która zapewnia wiele zalet związanych z zarządzaniem kosztami, skalowalnością, elastycznością, integracją i niskim obciążeniem konserwacyjnym. Usługa jest przeznaczona do obsługi dużych ilości danych i łatwego skalowania w celu zaspokojenia potrzeb organizacji o wszystkich rozmiarach.

Dzienniki usługi Azure Monitor zbierają dane z wielu różnych źródeł, w tym dzienników zdarzeń systemu Windows, dziennika systemu i dzienników niestandardowych w celu zapewnienia ujednoliconego widoku wszystkich zasobów platformy Azure i innych niż azure. Korzystając z zaawansowanego języka zapytań i wyselekcjonowanej wizualizacji, można szybko analizować miliony rekordów, aby identyfikować, interpretować i reagować na krytyczne wzorce w danych monitorowania.

W tym artykule wyjaśniono, jak przeprowadzić migrację wdrożenia funkcji Obserwacja splunk do dzienników usługi Azure Monitor na potrzeby rejestrowania i analizy danych dzienników.

Aby uzyskać informacje na temat migrowania wdrożenia zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) z rozwiązania Splunk Enterprise Security do usługi Azure Sentinel, zobacz Planowanie migracji do usługi Microsoft Sentinel.

Dlaczego warto przeprowadzić migrację do usługi Azure Monitor?

Zalety migracji do usługi Azure Monitor obejmują:

Porównanie ofert

Oferta splunk Rezultat Oferta platformy Azure
Platforma Splunk
  • Splunk Cloud Platform
  • Splunk Enterprise
Dzienniki usługi Azure Monitor to scentralizowana platforma oprogramowania jako usługi (SaaS) służąca do zbierania, analizowania i działania na danych telemetrycznych generowanych przez platformę Azure oraz zasoby i aplikacje spoza platformy Azure.
Wgląd w splunk
  • Monitorowanie infrastruktury splunk
  • Monitor wydajności aplikacji splunk
  • Splunk IT Service Intelligence
Usługa Azure Monitor to kompleksowe rozwiązanie do zbierania, analizowania i działania na podstawie danych telemetrycznych z chmury, wielochmurowych i lokalnych środowisk utworzonych za pomocą zaawansowanego potoku pozyskiwania danych współużytkowanego z usługą Microsoft Sentinel. Usługa Azure Monitor oferuje przedsiębiorstwom kompleksowe rozwiązanie do monitorowania chmury, środowisk hybrydowych i lokalnych, z izolacją sieci, funkcjami odporności i ochroną przed awariami centrum danych, raportowaniem oraz alertami i funkcjami reagowania .
Wbudowane funkcje usługi Azure Monitor obejmują:
  • Azure Monitor Insights — gotowe do użycia, wyselekcjonowane środowiska monitorowania ze wstępnie skonfigurowanymi danymi wejściowymi, wyszukiwaniami, alertami i wizualizacjami.
  • Application Insights — zapewnia zarządzanie wydajnością aplikacji (APM) dla aplikacji internetowych na żywo.
  • Usługa Azure Monitor AIOps i wbudowane funkcje uczenia maszynowego — zapewniają szczegółowe informacje i ułatwiają rozwiązywanie problemów oraz automatyzowanie zadań opartych na danych, takich jak przewidywanie użycia pojemności i skalowanie automatyczne, identyfikowanie i analizowanie problemów z wydajnością aplikacji oraz wykrywanie nietypowych zachowań na maszynach wirtualnych, kontenerach i innych zasobach.
Te funkcje są bezpłatne z opłat za instalację.
Zabezpieczenia splunk
  • Splunk Enterprise Security
  • Splunk Mission Control
    Splunk SOAR
Microsoft Sentinel to rozwiązanie natywne dla chmury, które działa na platformie Azure Monitor w celu zapewnienia inteligentnej analizy zabezpieczeń i analizy zagrożeń w całym przedsiębiorstwie.

Wprowadzenie do kluczowych pojęć

Dzienniki usługi Azure Monitor Podobna koncepcja splunk opis
Obszar roboczy usługi Log Analytics Przestrzeń nazw Obszar roboczy usługi Log Analytics to środowisko, w którym można zbierać dane dzienników ze wszystkich monitorowanych zasobów platformy Azure i spoza platformy Azure. Dane w obszarze roboczym są dostępne do wykonywania zapytań i analizy, funkcji usługi Azure Monitor i innych usług platformy Azure. Podobnie jak w przypadku przestrzeni nazw splunk, możesz zarządzać dostępem do danych i artefaktów, takich jak alerty i skoroszyty, w obszarze roboczym usługi Log Analytics.
Zaprojektuj architekturę obszaru roboczego usługi Log Analytics na podstawie Twoich potrzeb — na przykład podziel rozliczenia, wymagania dotyczące magazynu danych regionalnych i zagadnienia dotyczące odporności.
Zarządzanie tabelami Indeksowanie Dzienniki usługi Azure Monitor pozyskują dane dziennika do tabel w zarządzanej bazie danych usługi Azure Data Explorer . Podczas pozyskiwania usługa automatycznie indeksuje i sygnatury czasowe danych, co oznacza, że można przechowywać różne typy danych i szybko uzyskiwać dostęp do danych przy użyciu zapytań język zapytań Kusto (KQL).
Właściwości tabeli umożliwiają zarządzanie schematem tabeli, przechowywaniem danych oraz przechowywaniem danych w celu okazjonalnego przeprowadzania inspekcji i rozwiązywania problemów, a także do bieżącej analizy i używania ich przez funkcje i usługi.
Aby zapoznać się z porównaniem pojęć związanych z obsługą danych i wykonywaniem zapytań w narzędziu Splunk i Azure Data Explorer, zobacz Splunk to język zapytań Kusto map.
Plany tabel analitycznych, podstawowych i pomocniczych Dzienniki usługi Azure Monitor oferują trzy plany tabel, które pozwalają zmniejszyć koszty pozyskiwania i przechowywania dzienników oraz korzystać z zaawansowanych funkcji i możliwości analizy usługi Azure Monitor w zależności od potrzeb.
Plan analizy udostępnia dane dziennika na potrzeby interakcyjnych zapytań i używania ich przez funkcje i usługi.
Plan podstawowy umożliwia pozyskiwanie i przechowywanie dzienników przy obniżonym koszcie na potrzeby rozwiązywania problemów i reagowania na zdarzenia.
Plan pomocniczy to ekonomiczny sposób pozyskiwania i przechowywania dzienników o niskim dotknięciu, takich jak pełne dzienniki i dane wymagane do inspekcji i zgodności.
Długoterminowe przechowywanie Stany zasobnika danych (gorące, ciepłe, zimne, rozmrażane), archiwizowanie, dynamiczne archiwum Danych Active Archive (DDAA) Opcja ekonomicznego długoterminowego przechowywania przechowuje dzienniki w obszarze roboczym usługi Log Analytics i umożliwia natychmiastowe uzyskiwanie dostępu do tych danych w razie potrzeby. Zmiany konfiguracji przechowywania są skuteczne natychmiast, ponieważ dane nie są fizycznie przesyłane do magazynu zewnętrznego. Możesz przywrócić dane w długoterminowym przechowywaniu lub uruchomić zadanie wyszukiwania, aby udostępnić określony zakres czasu na potrzeby analizy w czasie rzeczywistym.
Kontrola dostępu Dostęp użytkowników oparty na rolach, uprawnienia Zdefiniuj, które osoby i zasoby mogą odczytywać, zapisywać i wykonywać operacje na określonych zasobach przy użyciu kontroli dostępu na podstawie ról (RBAC) platformy Azure. Użytkownik z dostępem do zasobu ma dostęp do dzienników zasobu.
Platforma Azure ułatwia zarządzanie zabezpieczeniami danych i dostępem za pomocą funkcji, takich jak wbudowane role, role niestandardowe, dziedziczenie uprawnień roli i historia inspekcji.
Możesz również skonfigurować dostęp na poziomie obszaru roboczego i dostęp na poziomie tabeli w celu uzyskania szczegółowej kontroli dostępu do określonych typów danych.
Przekształcenia danych Przekształcenia, wyodrębniania pól Przekształcenia umożliwiają filtrowanie lub modyfikowanie danych przychodzących przed ich wysłaniem do obszaru roboczego usługi Log Analytics. Przekształcanie służy do usuwania poufnych danych, wzbogacania danych w obszarze roboczym usługi Log Analytics, wykonywania obliczeń i filtrowania danych, których nie trzeba zmniejszać.
Reguły zbierania danych Dane wejściowe, potok danych Zdefiniuj dane, które mają być zbierane, jak przekształcać te dane i gdzie mają być wysyłane dane.
język zapytań Kusto (KQL) Splunk Search Processing Language (SPL) Dzienniki usługi Azure Monitor używają dużego podzestawu języka KQL, który jest odpowiedni dla prostych zapytań dzienników, ale obejmuje również zaawansowane funkcje, takie jak agregacje, sprzężenia i inteligentna analiza. Użyj splunku, aby język zapytań Kusto mapę, aby przetłumaczyć wiedzę splunk SPL na język KQL. Możesz również poznać język KQL z samouczkami i modułami szkoleniowymi języka KQL.
Log Analytics Splunk Web, aplikacja wyszukiwania, narzędzie przestawne Narzędzie w witrynie Azure Portal do edytowania i uruchamiania zapytań dzienników w dziennikach usługi Azure Monitor. Usługa Log Analytics udostępnia również bogaty zestaw narzędzi do eksplorowania i wizualizowania danych bez używania języka KQL.
Optymalizacja kosztów Usługa Azure Monitor udostępnia narzędzia i najlepsze rozwiązania ułatwiające zrozumienie, monitorowanie i optymalizowanie kosztów na podstawie Twoich potrzeb.

1. Omówienie bieżącego użycia

Bieżące użycie w rozwiązaniu Splunk pomoże Ci zdecydować, która warstwa cenowa ma być wybrana w usłudze Azure Monitor i oszacować przyszłe koszty:

2. Konfigurowanie obszaru roboczego usługi Log Analytics

Obszar roboczy usługi Log Analytics to miejsce, w którym zbierasz dane dziennika ze wszystkich monitorowanych zasobów. Dane w obszarze roboczym usługi Log Analytics można przechowywać przez maksymalnie siedem lat. Archiwizowanie danych o niskich kosztach w obszarze roboczym umożliwia szybki i łatwy dostęp do danych w długoterminowym przechowywaniu, gdy są potrzebne, bez konieczności zarządzania zewnętrznym magazynem danych.

Zalecamy zebranie wszystkich danych dziennika w jednym obszarze roboczym usługi Log Analytics w celu ułatwienia zarządzania. Jeśli rozważasz korzystanie z wielu obszarów roboczych, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.

Aby skonfigurować obszar roboczy usługi Log Analytics na potrzeby zbierania danych:

  1. Utwórz obszar roboczy usługi Log Analytics.

    Dzienniki usługi Azure Monitor automatycznie tworzą tabele platformy Azure w obszarze roboczym na podstawie używanych usług platformy Azure i ustawień zbierania danych zdefiniowanych dla zasobów platformy Azure.

  2. Skonfiguruj obszar roboczy usługi Log Analytics, w tym:

    1. Warstwa cenowa.
    2. Połącz obszar roboczy usługi Log Analytics z dedykowanym klastrem , aby skorzystać z zaawansowanych funkcji, jeśli kwalifikujesz się na podstawie warstwy cenowej.
    3. Dzienny limit.
    4. Przechowywanie danych.
    5. Izolacja sieciowa.
    6. Kontrola dostępu.
  3. Użyj ustawień konfiguracji na poziomie tabeli, aby:

    1. Zdefiniuj plan danych dziennika każdej tabeli.

      Domyślnym planem danych dziennika jest Analiza, która umożliwia korzystanie z zaawansowanych funkcji monitorowania i analizy usługi Azure Monitor.

    2. Ustaw zasady przechowywania i archiwizowania danych dla określonych tabel, jeśli będą one inne niż zasady przechowywania i archiwizowania danych na poziomie obszaru roboczego.

    3. Zmodyfikuj schemat tabeli na podstawie modelu danych.

3. Migrowanie artefaktów splunk do usługi Azure Monitor

Aby przeprowadzić migrację większości artefaktów splunk, należy przetłumaczyć język splunk processing Language (SPL) na język zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Splunk to język zapytań Kusto map i Get started with log queries in Azure Monitor (Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor).

W tej tabeli wymieniono artefakty splunk i linki do wskazówek dotyczących konfigurowania równoważnych artefaktów w usłudze Azure Monitor:

Artefakt splunk Artefakt usługi Azure Monitor
Alerty Reguły alertów
Akcje alertów Grupy akcji
Monitorowanie infrastruktury Usługa Azure Monitor Insights to zestaw gotowych do użycia, wyselekcjonowanych środowisk monitorowania ze wstępnie skonfigurowanymi danymi wejściowymi, wyszukiwaniami, alertami i wizualizacjami, aby szybko i skutecznie rozpocząć analizowanie danych.
Pulpity nawigacyjne Skoroszyty
Wyszukiwania Usługa Azure Monitor udostępnia różne sposoby wzbogacania danych, w tym:
- Reguły zbierania danych, które umożliwiają wysyłanie danych z wielu źródeł do obszaru roboczego usługi Log Analytics oraz wykonywanie obliczeń i przekształceń przed pozyskiwaniem danych.
- Operatory KQL, takie jak operator sprzężenia, który łączy dane z różnych tabel i operator externaldata, który zwraca dane z magazynu zewnętrznego.
— Integracja z usługami, takimi jak Azure Machine Learning lub Azure Event Hubs, w celu zastosowania zaawansowanego uczenia maszynowego i przesyłania strumieniowego w większej ilości danych.
Przestrzenie nazw Możesz udzielić lub ograniczyć uprawnienia do artefaktów w usłudze Azure Monitor na podstawie kontroli dostępu zdefiniowanej w obszarze roboczym usługi Log Analytics lub grupach zasobów platformy Azure.
Uprawnienia Zarządzanie dostępem
Raporty Usługa Azure Monitor oferuje szereg opcji analizowania, wizualizowania i udostępniania danych, w tym:
- Integracja z aplikacją Grafana
- Wyniki analiz
- Skoroszyty
- Pulpity nawigacyjne
- Integracja z Power BI
- Integracja z programem Excel
Wyszukiwanie Zapytania
Typy źródłowe Zdefiniuj model danych w obszarze roboczym usługi Log Analytics. Przekształcanie czasu pozyskiwania umożliwia filtrowanie , formatowanie lub modyfikowanie danych przychodzących.
Metody zbierania danych Zobacz Zbieranie danych dla narzędzi usługi Azure Monitor przeznaczonych dla określonych zasobów.

Aby uzyskać informacje na temat migrowania artefaktów SIEM splunk, w tym reguł wykrywania i automatyzacji SOAR, zobacz Planowanie migracji do usługi Microsoft Sentinel.

4. Zbieranie danych

Usługa Azure Monitor udostępnia narzędzia do zbierania danych ze źródeł danych dzienników na platformie Azure i zasobów spoza platformy Azure w środowisku.

Aby zebrać dane z zasobu:

  1. Skonfiguruj odpowiednie narzędzie do zbierania danych na podstawie poniższej tabeli.
  2. Zdecyduj, które dane mają być zbierane z zasobu.
  3. Przekształcanie służy do usuwania poufnych danych, wzbogacania danych lub wykonywania obliczeń oraz filtrowania danych, których nie potrzebujesz, aby zmniejszyć koszty.

Ta tabela zawiera listę narzędzi dostępnych w usłudze Azure Monitor do zbierania danych z różnych typów zasobów.

Typ zasobu Narzędzie do zbierania danych Podobne narzędzie Splunk Zebrane dane
Azure Ustawienia diagnostyczne Dzierżawa platformy Azure — dzienniki inspekcji firmy Microsoft Entra zapewniają historię aktywności logowania i dziennik inspekcji zmian wprowadzonych w dzierżawie.
Zasoby platformy Azure — dzienniki i liczniki wydajności.
Subskrypcja platformy Azure — Kondycja usługi rekordy wraz z rekordami dotyczącymi wszelkich zmian konfiguracji wprowadzonych w zasobach w ramach subskrypcji platformy Azure.
Aplikacja Szczegółowe dane dotyczące aplikacji Monitor wydajności aplikacji splunk Dane monitorowania wydajności aplikacji.
Kontener Szczegółowe informacje o kontenerze Monitorowanie kontenerów Dane wydajności kontenera.
System operacyjny Azure Monitor Agent Uniwersalny przesyłania dalej, ciężki przesyłania dalej Monitorowanie danych z systemu operacyjnego gościa maszyn wirtualnych platformy Azure i maszyn wirtualnych spoza platformy Azure.
Źródło spoza platformy Azure Interfejs API pozyskiwania dzienników Moduł zbierający zdarzenia HTTP (HEC) Dzienniki oparte na plikach i wszystkie dane wysyłane do punktu końcowego zbierania danych w monitorowanym zasobie.

Diagram przedstawiający różne źródła danych połączone z dziennikami usługi Azure Monitor.

5. Przejście do dzienników usługi Azure Monitor

Typowym podejściem jest stopniowe przechodzenie do dzienników usługi Azure Monitor przy zachowaniu danych historycznych w rozwiązaniu Splunk. W tym okresie można wykonywać następujące czynności:

Aby wyeksportować dane historyczne z rozwiązania Splunk:

  1. Użyj jednej z metod eksportowania splunk do eksportowania danych w formacie CSV.
  2. Aby zebrać wyeksportowane dane:
    1. Użyj agenta usługi Azure Monitor, aby zebrać dane wyeksportowane z rozwiązania Splunk zgodnie z opisem w temacie Zbieranie dzienników tekstowych za pomocą agenta usługi Azure Monitor.

      lub

    2. Zbierz wyeksportowane dane bezpośrednio za pomocą interfejsu API pozyskiwania dzienników, zgodnie z opisem w temacie Wysyłanie danych do dzienników usługi Azure Monitor przy użyciu interfejsu API REST.

Diagram przedstawiający przesyłanie strumieniowe danych z rozwiązania Splunk do obszaru roboczego usługi Log Analytics w dziennikach usługi Azure Monitor.

Następne kroki