Migrowanie z rozwiązania Splunk do dzienników usługi Azure Monitor
Dzienniki usługi Azure Monitor to oparta na chmurze usługa monitorowania i możliwości obserwacji, która zapewnia wiele zalet związanych z zarządzaniem kosztami, skalowalnością, elastycznością, integracją i niskim obciążeniem konserwacyjnym. Usługa jest przeznaczona do obsługi dużych ilości danych i łatwego skalowania w celu zaspokojenia potrzeb organizacji o wszystkich rozmiarach.
Dzienniki usługi Azure Monitor zbierają dane z wielu różnych źródeł, w tym dzienników zdarzeń systemu Windows, dziennika systemu i dzienników niestandardowych w celu zapewnienia ujednoliconego widoku wszystkich zasobów platformy Azure i innych niż azure. Korzystając z zaawansowanego języka zapytań i wyselekcjonowanej wizualizacji, można szybko analizować miliony rekordów, aby identyfikować, interpretować i reagować na krytyczne wzorce w danych monitorowania.
W tym artykule wyjaśniono, jak przeprowadzić migrację wdrożenia funkcji Obserwacja splunk do dzienników usługi Azure Monitor na potrzeby rejestrowania i analizy danych dzienników.
Aby uzyskać informacje na temat migrowania wdrożenia zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) z rozwiązania Splunk Enterprise Security do usługi Azure Sentinel, zobacz Planowanie migracji do usługi Microsoft Sentinel.
Dlaczego warto przeprowadzić migrację do usługi Azure Monitor?
Zalety migracji do usługi Azure Monitor obejmują:
- W pełni zarządzana platforma Oprogramowania jako usługi (SaaS) z:
- Automatyczne uaktualnienia i skalowanie.
- Proste ceny płatności zgodnie z rzeczywistym użyciem za GB.
- Funkcje optymalizacji kosztów i monitorowania oraz tanie plany tabeli podstawowa i pomocnicza.
- Monitorowanie i obserwowanie natywne dla chmury, w tym:
- Natywna integracja z szeregiem uzupełniających usług platformy Azure, takich jak Microsoft Sentinel na potrzeby zarządzania informacjami i zdarzeniami zabezpieczeń, azure Logic Apps for automation, Azure Managed Grafana na potrzeby pulpitów nawigacyjnych i usługi Azure Machine Learning na potrzeby zaawansowanych funkcji analizy i odpowiedzi.
Porównanie ofert
Oferta splunk | Rezultat | Oferta platformy Azure |
---|---|---|
Platforma Splunk |
|
Dzienniki usługi Azure Monitor to scentralizowana platforma oprogramowania jako usługi (SaaS) służąca do zbierania, analizowania i działania na danych telemetrycznych generowanych przez platformę Azure oraz zasoby i aplikacje spoza platformy Azure. |
Wgląd w splunk |
|
Usługa Azure Monitor to kompleksowe rozwiązanie do zbierania, analizowania i działania na podstawie danych telemetrycznych z chmury, wielochmurowych i lokalnych środowisk utworzonych za pomocą zaawansowanego potoku pozyskiwania danych współużytkowanego z usługą Microsoft Sentinel. Usługa Azure Monitor oferuje przedsiębiorstwom kompleksowe rozwiązanie do monitorowania chmury, środowisk hybrydowych i lokalnych, z izolacją sieci, funkcjami odporności i ochroną przed awariami centrum danych, raportowaniem oraz alertami i funkcjami reagowania . Wbudowane funkcje usługi Azure Monitor obejmują:
|
Zabezpieczenia splunk |
|
Microsoft Sentinel to rozwiązanie natywne dla chmury, które działa na platformie Azure Monitor w celu zapewnienia inteligentnej analizy zabezpieczeń i analizy zagrożeń w całym przedsiębiorstwie. |
Wprowadzenie do kluczowych pojęć
Dzienniki usługi Azure Monitor | Podobna koncepcja splunk | opis |
---|---|---|
Obszar roboczy usługi Log Analytics | Przestrzeń nazw | Obszar roboczy usługi Log Analytics to środowisko, w którym można zbierać dane dzienników ze wszystkich monitorowanych zasobów platformy Azure i spoza platformy Azure. Dane w obszarze roboczym są dostępne do wykonywania zapytań i analizy, funkcji usługi Azure Monitor i innych usług platformy Azure. Podobnie jak w przypadku przestrzeni nazw splunk, możesz zarządzać dostępem do danych i artefaktów, takich jak alerty i skoroszyty, w obszarze roboczym usługi Log Analytics. Zaprojektuj architekturę obszaru roboczego usługi Log Analytics na podstawie Twoich potrzeb — na przykład podziel rozliczenia, wymagania dotyczące magazynu danych regionalnych i zagadnienia dotyczące odporności. |
Zarządzanie tabelami | Indeksowanie | Dzienniki usługi Azure Monitor pozyskują dane dziennika do tabel w zarządzanej bazie danych usługi Azure Data Explorer . Podczas pozyskiwania usługa automatycznie indeksuje i sygnatury czasowe danych, co oznacza, że można przechowywać różne typy danych i szybko uzyskiwać dostęp do danych przy użyciu zapytań język zapytań Kusto (KQL). Właściwości tabeli umożliwiają zarządzanie schematem tabeli, przechowywaniem danych oraz przechowywaniem danych w celu okazjonalnego przeprowadzania inspekcji i rozwiązywania problemów, a także do bieżącej analizy i używania ich przez funkcje i usługi. Aby zapoznać się z porównaniem pojęć związanych z obsługą danych i wykonywaniem zapytań w narzędziu Splunk i Azure Data Explorer, zobacz Splunk to język zapytań Kusto map. |
Plany tabel analitycznych, podstawowych i pomocniczych | Dzienniki usługi Azure Monitor oferują trzy plany tabel, które pozwalają zmniejszyć koszty pozyskiwania i przechowywania dzienników oraz korzystać z zaawansowanych funkcji i możliwości analizy usługi Azure Monitor w zależności od potrzeb. Plan analizy udostępnia dane dziennika na potrzeby interakcyjnych zapytań i używania ich przez funkcje i usługi. Plan podstawowy umożliwia pozyskiwanie i przechowywanie dzienników przy obniżonym koszcie na potrzeby rozwiązywania problemów i reagowania na zdarzenia. Plan pomocniczy to ekonomiczny sposób pozyskiwania i przechowywania dzienników o niskim dotknięciu, takich jak pełne dzienniki i dane wymagane do inspekcji i zgodności. |
|
Długoterminowe przechowywanie | Stany zasobnika danych (gorące, ciepłe, zimne, rozmrażane), archiwizowanie, dynamiczne archiwum Danych Active Archive (DDAA) | Opcja ekonomicznego długoterminowego przechowywania przechowuje dzienniki w obszarze roboczym usługi Log Analytics i umożliwia natychmiastowe uzyskiwanie dostępu do tych danych w razie potrzeby. Zmiany konfiguracji przechowywania są skuteczne natychmiast, ponieważ dane nie są fizycznie przesyłane do magazynu zewnętrznego. Możesz przywrócić dane w długoterminowym przechowywaniu lub uruchomić zadanie wyszukiwania, aby udostępnić określony zakres czasu na potrzeby analizy w czasie rzeczywistym. |
Kontrola dostępu | Dostęp użytkowników oparty na rolach, uprawnienia | Zdefiniuj, które osoby i zasoby mogą odczytywać, zapisywać i wykonywać operacje na określonych zasobach przy użyciu kontroli dostępu na podstawie ról (RBAC) platformy Azure. Użytkownik z dostępem do zasobu ma dostęp do dzienników zasobu. Platforma Azure ułatwia zarządzanie zabezpieczeniami danych i dostępem za pomocą funkcji, takich jak wbudowane role, role niestandardowe, dziedziczenie uprawnień roli i historia inspekcji. Możesz również skonfigurować dostęp na poziomie obszaru roboczego i dostęp na poziomie tabeli w celu uzyskania szczegółowej kontroli dostępu do określonych typów danych. |
Przekształcenia danych | Przekształcenia, wyodrębniania pól | Przekształcenia umożliwiają filtrowanie lub modyfikowanie danych przychodzących przed ich wysłaniem do obszaru roboczego usługi Log Analytics. Przekształcanie służy do usuwania poufnych danych, wzbogacania danych w obszarze roboczym usługi Log Analytics, wykonywania obliczeń i filtrowania danych, których nie trzeba zmniejszać. |
Reguły zbierania danych | Dane wejściowe, potok danych | Zdefiniuj dane, które mają być zbierane, jak przekształcać te dane i gdzie mają być wysyłane dane. |
język zapytań Kusto (KQL) | Splunk Search Processing Language (SPL) | Dzienniki usługi Azure Monitor używają dużego podzestawu języka KQL, który jest odpowiedni dla prostych zapytań dzienników, ale obejmuje również zaawansowane funkcje, takie jak agregacje, sprzężenia i inteligentna analiza. Użyj splunku, aby język zapytań Kusto mapę, aby przetłumaczyć wiedzę splunk SPL na język KQL. Możesz również poznać język KQL z samouczkami i modułami szkoleniowymi języka KQL. |
Log Analytics | Splunk Web, aplikacja wyszukiwania, narzędzie przestawne | Narzędzie w witrynie Azure Portal do edytowania i uruchamiania zapytań dzienników w dziennikach usługi Azure Monitor. Usługa Log Analytics udostępnia również bogaty zestaw narzędzi do eksplorowania i wizualizowania danych bez używania języka KQL. |
Optymalizacja kosztów | Usługa Azure Monitor udostępnia narzędzia i najlepsze rozwiązania ułatwiające zrozumienie, monitorowanie i optymalizowanie kosztów na podstawie Twoich potrzeb. |
1. Omówienie bieżącego użycia
Bieżące użycie w rozwiązaniu Splunk pomoże Ci zdecydować, która warstwa cenowa ma być wybrana w usłudze Azure Monitor i oszacować przyszłe koszty:
- Postępuj zgodnie ze wskazówkami splunk, aby wyświetlić raport użycia.
- Szacowanie kosztów usługi Azure Monitor przy użyciu kalkulatora cen.
2. Konfigurowanie obszaru roboczego usługi Log Analytics
Obszar roboczy usługi Log Analytics to miejsce, w którym zbierasz dane dziennika ze wszystkich monitorowanych zasobów. Dane w obszarze roboczym usługi Log Analytics można przechowywać przez maksymalnie siedem lat. Archiwizowanie danych o niskich kosztach w obszarze roboczym umożliwia szybki i łatwy dostęp do danych w długoterminowym przechowywaniu, gdy są potrzebne, bez konieczności zarządzania zewnętrznym magazynem danych.
Zalecamy zebranie wszystkich danych dziennika w jednym obszarze roboczym usługi Log Analytics w celu ułatwienia zarządzania. Jeśli rozważasz korzystanie z wielu obszarów roboczych, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.
Aby skonfigurować obszar roboczy usługi Log Analytics na potrzeby zbierania danych:
Utwórz obszar roboczy usługi Log Analytics.
Dzienniki usługi Azure Monitor automatycznie tworzą tabele platformy Azure w obszarze roboczym na podstawie używanych usług platformy Azure i ustawień zbierania danych zdefiniowanych dla zasobów platformy Azure.
Skonfiguruj obszar roboczy usługi Log Analytics, w tym:
- Warstwa cenowa.
- Połącz obszar roboczy usługi Log Analytics z dedykowanym klastrem , aby skorzystać z zaawansowanych funkcji, jeśli kwalifikujesz się na podstawie warstwy cenowej.
- Dzienny limit.
- Przechowywanie danych.
- Izolacja sieciowa.
- Kontrola dostępu.
Użyj ustawień konfiguracji na poziomie tabeli, aby:
Zdefiniuj plan danych dziennika każdej tabeli.
Domyślnym planem danych dziennika jest Analiza, która umożliwia korzystanie z zaawansowanych funkcji monitorowania i analizy usługi Azure Monitor.
Ustaw zasady przechowywania i archiwizowania danych dla określonych tabel, jeśli będą one inne niż zasady przechowywania i archiwizowania danych na poziomie obszaru roboczego.
Zmodyfikuj schemat tabeli na podstawie modelu danych.
3. Migrowanie artefaktów splunk do usługi Azure Monitor
Aby przeprowadzić migrację większości artefaktów splunk, należy przetłumaczyć język splunk processing Language (SPL) na język zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Splunk to język zapytań Kusto map i Get started with log queries in Azure Monitor (Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor).
W tej tabeli wymieniono artefakty splunk i linki do wskazówek dotyczących konfigurowania równoważnych artefaktów w usłudze Azure Monitor:
Artefakt splunk | Artefakt usługi Azure Monitor |
---|---|
Alerty | Reguły alertów |
Akcje alertów | Grupy akcji |
Monitorowanie infrastruktury | Usługa Azure Monitor Insights to zestaw gotowych do użycia, wyselekcjonowanych środowisk monitorowania ze wstępnie skonfigurowanymi danymi wejściowymi, wyszukiwaniami, alertami i wizualizacjami, aby szybko i skutecznie rozpocząć analizowanie danych. |
Pulpity nawigacyjne | Skoroszyty |
Wyszukiwania | Usługa Azure Monitor udostępnia różne sposoby wzbogacania danych, w tym: - Reguły zbierania danych, które umożliwiają wysyłanie danych z wielu źródeł do obszaru roboczego usługi Log Analytics oraz wykonywanie obliczeń i przekształceń przed pozyskiwaniem danych. - Operatory KQL, takie jak operator sprzężenia, który łączy dane z różnych tabel i operator externaldata, który zwraca dane z magazynu zewnętrznego. — Integracja z usługami, takimi jak Azure Machine Learning lub Azure Event Hubs, w celu zastosowania zaawansowanego uczenia maszynowego i przesyłania strumieniowego w większej ilości danych. |
Przestrzenie nazw | Możesz udzielić lub ograniczyć uprawnienia do artefaktów w usłudze Azure Monitor na podstawie kontroli dostępu zdefiniowanej w obszarze roboczym usługi Log Analytics lub grupach zasobów platformy Azure. |
Uprawnienia | Zarządzanie dostępem |
Raporty | Usługa Azure Monitor oferuje szereg opcji analizowania, wizualizowania i udostępniania danych, w tym: - Integracja z aplikacją Grafana - Wyniki analiz - Skoroszyty - Pulpity nawigacyjne - Integracja z Power BI - Integracja z programem Excel |
Wyszukiwanie | Zapytania |
Typy źródłowe | Zdefiniuj model danych w obszarze roboczym usługi Log Analytics. Przekształcanie czasu pozyskiwania umożliwia filtrowanie , formatowanie lub modyfikowanie danych przychodzących. |
Metody zbierania danych | Zobacz Zbieranie danych dla narzędzi usługi Azure Monitor przeznaczonych dla określonych zasobów. |
Aby uzyskać informacje na temat migrowania artefaktów SIEM splunk, w tym reguł wykrywania i automatyzacji SOAR, zobacz Planowanie migracji do usługi Microsoft Sentinel.
4. Zbieranie danych
Usługa Azure Monitor udostępnia narzędzia do zbierania danych ze źródeł danych dzienników na platformie Azure i zasobów spoza platformy Azure w środowisku.
Aby zebrać dane z zasobu:
- Skonfiguruj odpowiednie narzędzie do zbierania danych na podstawie poniższej tabeli.
- Zdecyduj, które dane mają być zbierane z zasobu.
- Przekształcanie służy do usuwania poufnych danych, wzbogacania danych lub wykonywania obliczeń oraz filtrowania danych, których nie potrzebujesz, aby zmniejszyć koszty.
Ta tabela zawiera listę narzędzi dostępnych w usłudze Azure Monitor do zbierania danych z różnych typów zasobów.
Typ zasobu | Narzędzie do zbierania danych | Podobne narzędzie Splunk | Zebrane dane |
---|---|---|---|
Azure | Ustawienia diagnostyczne | Dzierżawa platformy Azure — dzienniki inspekcji firmy Microsoft Entra zapewniają historię aktywności logowania i dziennik inspekcji zmian wprowadzonych w dzierżawie. Zasoby platformy Azure — dzienniki i liczniki wydajności. Subskrypcja platformy Azure — Kondycja usługi rekordy wraz z rekordami dotyczącymi wszelkich zmian konfiguracji wprowadzonych w zasobach w ramach subskrypcji platformy Azure. |
|
Aplikacja | Szczegółowe dane dotyczące aplikacji | Monitor wydajności aplikacji splunk | Dane monitorowania wydajności aplikacji. |
Kontener | Szczegółowe informacje o kontenerze | Monitorowanie kontenerów | Dane wydajności kontenera. |
System operacyjny | Azure Monitor Agent | Uniwersalny przesyłania dalej, ciężki przesyłania dalej | Monitorowanie danych z systemu operacyjnego gościa maszyn wirtualnych platformy Azure i maszyn wirtualnych spoza platformy Azure. |
Źródło spoza platformy Azure | Interfejs API pozyskiwania dzienników | Moduł zbierający zdarzenia HTTP (HEC) | Dzienniki oparte na plikach i wszystkie dane wysyłane do punktu końcowego zbierania danych w monitorowanym zasobie. |
5. Przejście do dzienników usługi Azure Monitor
Typowym podejściem jest stopniowe przechodzenie do dzienników usługi Azure Monitor przy zachowaniu danych historycznych w rozwiązaniu Splunk. W tym okresie można wykonywać następujące czynności:
- Użyj interfejsu API pozyskiwania dzienników, aby pozyskiwać dane z rozwiązania Splunk.
- Eksportowanie danych obszaru roboczego usługi Log Analytics umożliwia eksportowanie danych z usługi Azure Monitor.
Aby wyeksportować dane historyczne z rozwiązania Splunk:
- Użyj jednej z metod eksportowania splunk do eksportowania danych w formacie CSV.
- Aby zebrać wyeksportowane dane:
Użyj agenta usługi Azure Monitor, aby zebrać dane wyeksportowane z rozwiązania Splunk zgodnie z opisem w temacie Zbieranie dzienników tekstowych za pomocą agenta usługi Azure Monitor.
lub
Zbierz wyeksportowane dane bezpośrednio za pomocą interfejsu API pozyskiwania dzienników, zgodnie z opisem w temacie Wysyłanie danych do dzienników usługi Azure Monitor przy użyciu interfejsu API REST.
Następne kroki
- Dowiedz się więcej o korzystaniu z usługi Log Analytics i interfejsu API zapytań usługi Log Analytics.
- Włącz usługę Microsoft Sentinel w obszarze roboczym usługi Log Analytics.
- Weź udział w module szkoleniowym Analizowanie dzienników w usłudze Azure Monitor przy użyciu języka KQL.