Editar

Compartilhar via

Monitoramento empresarial com o Azure Monitor

Azure Arc
Automação do Azure
Aplicativos Lógicos do Azure
Azure Monitor
Microsoft Sentinel

Grandes empresas precisam considerar muitos fatores ao modernizar sua solução de monitoramento existente. Elas podem obter um gerenciamento de monitoramento centralizado usando os recursos do Azure Monitor. Este cenário de exemplo ilustra o monitoramento de nível empresarial que usa o Azure Monitor.

Arquitetura

Diagrama de arquitetura que mostra espaços de trabalho corporativos e recursos de monitoramento.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

  • Essa arquitetura segue um modelo de log de contexto de recursos. Cada registro de log emitido por um recurso do Azure se associa automaticamente a esse recurso. Esse modelo ajuda a separar workspaces que coletam e ingerem dados de diferentes proprietários de aplicativos.

  • Diferentes cargas de trabalho em toda a empresa têm workspaces separados. A configuração de diferentes workspaces fornece às equipes autonomia sobre os próprios dados e uma visão geral de custos separada por workspace.

    • Serviços de PaaS (plataforma como serviço), como Aplicativos Web do Azure e Aplicativos do Azure Functions, adicionam aos workspaces uma configuração para o Application Insights.

    • Para a identidade, o Active Directory local e os provedores de identidade de nuvem têm os próprios workspaces.

    • A Área de Trabalho Virtual do Azure, o Azure Pipelines, as cargas de trabalho SQL, os aplicativos no AKS (Serviço de Kubernetes do Azure), os Aplicativos Web do Azure e outros serviços de PaaS têm os próprios workspaces.

  • Cada workspace tem o próprio conjunto de alertas configurados. Os Aplicativos Lógicos do Azure e a Automação do Azure fornecem recursos avançados de alerta e correção. Os Aplicativos Lógicos fornecem integração com ferramentas de ITSM (Gerenciamento de Serviços de TI).

  • Um conjunto de VMs (máquinas virtuais) locais se conecta por meio do Azure Arc, fornecendo um plano de gerenciamento completo do Azure. Também é possível usar o Azure Arc para conectar recursos de IaaS (infraestrutura como serviço) que são executados em uma nuvem terceirizada.

  • O registro em log personalizado captura informações sobre ambientes virtualizados de terceiros e coleta logs personalizados do sistema operacional, do software e dos aplicativos.

  • O Log Analytics Workspace Insights fornece monitoramento abrangente do workspace. O uso de um único workspace para armazenar dados coletados de todos os recursos se alinha ao modelo operacional da organização de TI. Esse workspace fornece à equipe central uma visão geral do uso, do custo e do desempenho de todos os workspaces. O workspace central respeita o escopo e o RBAC (controle de acesso baseado em função) com base nos recursos. O Log Analytics Workspace Insights tem o próprio conjunto separado de alertas.

  • O Log Analytics fornece integração adicional exportando dados do workspace para arquivamento ou análise. O arquivamento de dados em armazenamentos de acesso esporádico economiza custos. É possível usar dados arquivados para análises adicionais criando conjuntos de dados para alimentar modelos de aprendizado de máquina.

  • O Monitor se conecta a ferramentas de SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel, para criar armazenamentos de dados maiores de segurança empresarial.

  • O Power BI e as Pastas de Trabalho do Azure (para o Azure Monitor) fornecem recursos de visualização de dados e dashboards.

Componentes

Esta arquitetura inclui os seguintes componentes:

Componentes do Monitor

O Azure Monitor coleta, analisa e atua em dados de telemetria de ambientes de nuvem e locais. Esta solução usa os seguintes componentes e recursos do Monitor:

  • O Monitor Metrics coleta dados numéricos de recursos monitorados em um banco de dados de série temporal. As métricas no Monitor são leves e oferecem suporte a cenários quase em tempo real, portanto, são úteis para alertas e detecção rápida de problemas.
  • O Monitor Logs coleta e organiza dados de log e desempenho de recursos monitorados. É possível consolidar dados de diversas fontes, como logs de plataforma do Azure, em um único workspace. É possível analisar os dados usando uma linguagem de consulta sofisticada no Log Analytics.
  • O agente do Azure Monitor pode enviar dados para o Monitor Logs e o Monitor Metrics. O agente do Azure Monitor usa DCRs (regras de coleta de dados) configuráveis e não requer chaves de workspace para se conectar.
  • O Application Insights monitora aplicativos ao vivo em uma ampla variedade de plataformas em ambientes de nuvem, híbridos e locais. O Application Insights detecta automaticamente anomalias de desempenho. O Application Insights inclui ferramentas de análise poderosas para ajudar você a entender o uso e a diagnosticar problemas.
  • Os insights da Área de Trabalho Virtual do Azure usam o Monitor para a Área de Trabalho Virtual do Azure a fim de ajudar os profissionais de TI a entenderem seus ambientes da Área de Trabalho Virtual do Azure.
  • Os insights de contêiner monitoram o desempenho e a integridade dos clusters do Kubernetes e de outras cargas de trabalho baseadas em contêiner.
  • Os insights de rede fornecem uma visão abrangente da integridade e das métricas de todos os recursos de rede implantados.
  • Os insights do SQL (versão prévia) monitoram a integridade e ajudam você a diagnosticar problemas e ajustar o desempenho de qualquer produto da família SQL do Azure.
  • Os insights da VM monitoram o desempenho e a integridade das VMs e dos conjuntos de dimensionamento de máquinas virtuais. Os insights de VM incluem processos em execução e dependências de outros recursos.
  • O ITSMC (conector de gerenciamento de serviços de TI) fornece uma conexão bidirecional entre o Azure e as ferramentas de ITSM com suporte para ajudar você a resolver itens de trabalho com mais rapidez.
  • As Pastas de Trabalho do Azure para o Azure Monitor fornecem uma tela flexível para analisar várias fontes de dados do Azure e combiná-las em relatórios visuais interativos.
  • O Log Analytics cria e executa consultas nos dados do Monitor Logs em workspaces do Log Analytics. Esta solução usa os seguintes recursos do Log Analytics:
    • O agente do Log Analytics coleta dados de monitoramento de sistemas operacionais na nuvem e locais e de cargas de trabalho de VM e os envia para um workspace do Log Analytics.
    • O monitoramento do Microsoft Entra roteia os logs de atividades do Microsoft Entra para um workspace do Log Analytics.
    • O gateway do Log Analytics envia dados para workspaces do Log Analytics e para a Automação do Azure de computadores que não podem se conectar diretamente à Internet.
    • O Mapa do Serviço usa o agente do Log Analytics para descobrir automaticamente os componentes do aplicativo nos sistemas Windows e Linux e mapear a comunicação entre os serviços.
    • O gerenciamento de alertas ajuda a analisar todos os alertas nos workspaces do Log Analytics.
    • A exportação de dados do Log Analytics (versão prévia) exporta continuamente dados de tabelas selecionadas em um workspace do Log Analytics. Os dados podem ser exportados para uma conta de armazenamento do Azure ou para Hubs de Eventos do Azure.
    • O Log Analytics Workspace Insights fornece monitoramento abrangente de todos os workspaces do Log Analytics. O Workspace Insights oferece uma visão unificada do uso, do desempenho, da integridade, do agente, das consultas e dos logs de alterações do workspace.

Outros componentes

Nesta solução, o Monitor suporta ou integra-se aos seguintes serviços Azure e Microsoft:

  • O Azure Arc simplifica a governança e o gerenciamento fornecendo uma plataforma de gerenciamento local e multinuvem consistente.
  • A Automação do Azure oferece automação baseada em nuvem, atualizações do sistema operacional e configuração para dar suporte a um gerenciamento consistente em todos os ambientes. O Controle de Alterações rastreia as alterações nas VMs da nuvem e locais para ajudar você a identificar problemas de software. Ele encaminha os dados para o Monitor Logs e os armazena em um workspace do Log Analytics.
  • O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft. Ele usa conexões privadas com a ajuda de provedores de conectividade.
  • O Azure Data Lake Storage fornece armazenamento em nuvem seguro, escalável e econômico para análise de Big Data.
  • O Azure Functions é uma solução sem servidor que implementa blocos de código prontamente disponíveis chamados de funções. As funções são executadas sob demanda e são escaladas automaticamente.
  • O AKS (Serviço de Kubernetes do Azure) é o serviço Kubernetes totalmente gerenciado ideal para implantar e gerenciar aplicativos conteinerizados com facilidade.
  • O Azure Load Balancer distribui uniformemente o tráfego de rede de entrada entre recursos ou servidores de back-end.
  • Os Aplicativos Lógicos do Azure são uma plataforma baseada em nuvem para criar e executar fluxos de trabalho automatizados. Os aplicativos lógicos podem integrar aplicativos, dados, serviços e sistemas.
  • O Azure Resource Manager fornece uma camada de gerenciamento e modelos para criar, atualizar e excluir recursos em sua conta do Azure.
  • O Microsoft Defender para Nuvem faz parte do Microsoft Defender para Nuvem, um sistema de gerenciamento de segurança de infraestrutura unificada.
  • O Microsoft Sentinel é uma solução de SIEM (gerenciamento de eventos e informações de segurança) e de SOAR (resposta automatizada de orquestração de segurança) nativa de nuvem e escalável.
  • A família SQL do Azure de serviços de banco de dados SQL fornece uma experiência consistente e unificada no SQL do Azure. O SQL do Azure tem uma variedade completa de opções de implantação, da borda à nuvem.
  • O Power BI é uma coleção de serviços de software, aplicativos e conectores que transformam suas fontes de dados em insights coerentes, visualmente imersivos e interativos.

Alternativas

É possível usar algumas alternativas de monitoramento com o Monitor ou em vez dele.

System Center Operations Manager

O System Center Operations Manager oferece monitoramento de infraestrutura flexível e econômico. O Operations Manager fornece monitoramento abrangente para datacenters e nuvens privados e públicos. Ele ajuda a garantir um desempenho previsível e a disponibilidade de aplicativos importantes.

Para manter seu investimento existente no Operations Manager, é possível integrá-lo aos seus workspaces do Log Analytics. É possível usar os recursos estendidos e os logs do Monitor ao mesmo tempo que você usa o Operations Manager para estas funções:

  • Monitorar a integridade de serviços de TI
  • Manter a integração com suas soluções de ITSM para o gerenciamento de incidentes e problemas
  • Gerenciar o ciclo de vida de agentes implantados em VMs IaaS locais e de nuvem pública.

Para saber mais, confira Conectar o Operations Manager ao Azure Monitor.

Grafana

O Grafana é uma plataforma aberta e combinável de observabilidade e visualização de dados. Ele ajuda você a consultar, visualizar, criar alertas e entender seus dados, onde quer que eles estejam armazenados. É possível criar painéis flexíveis para explorar e compartilhar dados.

Detalhes do cenário

As equipes empresariais têm cargas de trabalho diferentes, como Windows, Linux, SQL, cargas de trabalho baseadas em identidade, VDI (infraestrutura de desktop virtual), contêineres e aplicativos Web. Essas cargas de trabalho podem ser executadas em qualquer provedor de nuvem ou local e também podem ser executadas em uma combinação dos dois. Com uma ampla variedade de cargas de trabalho em diferentes ambientes, o monitoramento baseado em nuvem é complexo.

O monitoramento de nível empresarial também deve abranger governança, práticas operacionais recomendadas, gerenciamento eficaz de custos e segurança de workspace. O monitoramento deve fornecer flexibilidade suficiente para configurar e gerenciar ambientes de equipe e permitir que as equipes gerenciem a si mesmas com algum nível de controle.

Outros fatores críticos de design de monitoramento incluem o seguinte:

  • Como distribuir workspaces do Log Analytics em diferentes regiões geográficas ou equipes.
  • Monitorar os próprios workspaces, bem como as cargas de trabalho deles.
  • Como cobrar equipes diferentes para otimizar os custos gerais.
  • Como visualizar e, possivelmente, arquivar os dados coletados.
  • Criação de painéis separados para operações, aplicativos e equipes diferentes.
  • Dar à liderança visibilidade suficiente do conjunto certo de informações.

Possíveis casos de uso

Esta solução pode ajudar nos seguintes casos de uso:

  • Monitoramento consolidado para diferentes cargas de trabalho na nuvem e no local.
  • Monitoramento de cargas de trabalho de contêiner, SQL do Azure e Área de Trabalho Virtual do Azure.
  • Escopo de monitoramento expandido, como conectar o Monitor ao Microsoft Sentinel.
  • Monitoramento de nuvem híbrida e heterogênea em redes, provedores de identidade, sistemas operacionais e outros domínios.

Considerações

As considerações a seguir se aplicam a esta solução.

Disponibilidade

As zonas de disponibilidade do Azure protegem aplicativos e dados contra falhas de datacenter por meio da disponibilidade de outras zonas na região. As zonas de disponibilidade ajudam a fornecer resiliência para recursos do Monitor, como o Application Insights, que dependem de um workspace do Log Analytics. Os workspaces vinculados às zonas de disponibilidade permanecem ativos e operacionais mesmo quando um datacenter específico não está disponível.

Confira Regiões e zonas de disponibilidade no Azure para ver as regiões do Azure que dão suporte a zonas de disponibilidade. Atualmente, o Monitor oferece suporte a zonas de disponibilidade nas regiões Leste dos EUA 2 e Oeste dos EUA 2.

O suporte do Monitor a zonas de disponibilidade requer um workspace do Log Analytics vinculado a um cluster dedicado do Monitor Logs. Os clusters dedicados são uma opção de implantação que habilita recursos avançados para o Monitorar Logs, como zonas de disponibilidade. Os clusters dedicados criados após outubro de 2020 podem usar zonas de disponibilidade por padrão quando há o suporte do Monitor.

Fluxos de trabalho de BCDR (recuperação de desastres e continuidade de negócios) de Aplicativos Lógicos

Os fluxos de trabalho de Aplicativos Lógicos ajudam você a integrar e orquestrar dados entre aplicativos, serviços em nuvem e sistemas locais. Ao planejar a BCDR (recuperação de desastres e a continuidade de negócios), considere não apenas seus Aplicativos Lógicos, mas os recursos do Azure com os quais eles trabalham. Para obter orientações e estratégias de BCDR para fluxos de trabalho de aplicativos lógicos automatizados, confira Continuidade de negócios e recuperação de desastres para Aplicativos Lógicos do Azure.

Operações

  • Certifique-se de ter uma estratégia para lidar com dados pessoais. Para saber mais, confira Diretrizes para dados pessoais armazenados no Log Analytics e no Application Insights.

  • Garanta a conformidade regulatória com as seguintes diretrizes:

  • Os runbooks de Automação do Azure executados no Azure podem não ter acesso a recursos em outras nuvens ou no local. É possível usar o Hybrid Runbook Worker de Automação do Azure para executar runbooks diretamente no computador que hospeda a função. É possível executar o runbook em recursos no ambiente para gerenciar os recursos locais. Para saber mais, confira Visão geral do Hybrid Runbook Worker de Automação.

  • Considere as seguintes práticas operacionais recomendadas para ajudar a manter os custos sob controle:

    • Habilite os alertas somente quando a coleta de dados for alta.
    • Revise as soluções de monitoramento do Monitor antes de implantá-las. Por exemplo, habilitar o Defender para Nuvem para coletar e auditar dados de eventos de segurança pode aumentar exponencialmente os custos de coleta de dados.
    • Racionalize a criação de alertas em todos os níveis. Considere criar um único alerta em vez de criar o mesmo diversas vezes para cada área de trabalho ou equipe.
    • Agrupe recursos como alertas, Aplicativos Lógicos e workspaces em grupos de recursos separados e use a marcação para identificá-los.
    • Com o Log Analytics Workspace Insights, você obtém uma visão geral dos custos em diferentes workspaces.
    • Use o agente do Azure Monitor para uma coleta de dados granular, até o nível de coleta de IDs de eventos únicos dos logs de eventos do sistema. A coleta de dados de ajuste fino pode fornecer economias de custo.
    • Use o Monitor Data Export para o arquivamento de dados em um armazenamento de baixo custo.
    • Siga as práticas recomendadas para dados de telemetria nos workspaces do Application Insights. Para obter mais informações, consulte Gerenciar o uso e os custos do Application Insights.

Eficiência de desempenho

As seguintes considerações de desempenho se aplicam a esta solução:

Latência

Latência é a quantidade de tempo entre a criação de dados em um sistema monitorado e sua disponibilidade para análise no Monitor. A latência comum para ingerir dados de log é entre 20 segundos e três minutos. A latência específica para qualquer dado depende de muitos fatores.

O tempo total de ingestão de um determinado conjunto de dados tem as seguintes partes:

  • Tempo do agente: o tempo para descobrir um evento, coletá-lo e enviá-lo ao ponto de ingestão do Monitor Logs como um registro de log. Na maioria dos casos, um agente lida com esse processo. A rede pode introduzir latência extra.
  • Tempo do pipeline: o tempo para o pipeline de ingestão processar o registro de log. Esse tempo inclui a análise das propriedades do evento e, possivelmente, a adição de informações calculadas.
  • Tempo de indexação: o tempo gasto para ingerir um registro de log no armazenamento de big data do Monitor.

Para garantir latência mínima, coloque os workspaces do Monitor, os Aplicativos Lógicos e a infraestrutura relacionada na mesma região do Azure, com as cargas de trabalho que eles monitoram ou controlam. No entanto, ainda é possível que haja problemas de latência. Para saber mais, confira Registrar o tempo de ingestão de dados no Azure Monitor.

Alertas de métrica vs. registro

Os alertas de métrica verificam em intervalos regulares se as condições em uma ou mais séries temporais de métrica são verdadeiras e notificam você quando as condições atendem às avaliações. Por padrão, eles são alertas com estado e enviam notificações somente quando ocorre uma alteração de estado, por exemplo, para disparado ou resolvido.

Os alertas de log usam uma consulta do Log Analytics para avaliar os logs de recursos em uma frequência definida e disparam um alerta com base nos resultados. Os alertas baseados em métrica podem ser mais rápidos para o envio de notificações do que os alertas de log.

Escalabilidade

Segurança

Esta solução utiliza os seguintes mecanismos de segurança:

Controle de acesso

O RBAC do Azure bloqueia grupos de recursos que hospedam alertas e Aplicativos Lógicos por equipe ou proprietário de aplicativo. Com o RBAC do Azure, é possível conceder aos usuários e grupos somente a quantidade de acesso necessária para trabalhar com os dados de monitoramento em um workspace. Por exemplo, é possível conceder à equipe responsável pelos serviços de infraestrutura hospedados por VM do Azure acesso somente aos logs gerados por essas VMs.

Os dados que um usuário pode acessar são determinados por uma combinação de fatores.

Fator Descrição
Modo de acesso Método usado pelo usuário para acessar o espaço de trabalho. Define o escopo dos dados disponíveis e o modo de controle de acesso aplicado.
Modo de controle de acesso Configuração do workspace que define se as permissões se aplicam no nível do workspace ou do recurso.
Permissões Permissões aplicadas a indivíduos ou grupos com relação ao workspace ou recurso. Define quais dados o usuário pode acessar.
RBAC do Azure de nível de tabela Permissões granulares opcionais que se aplicam a todos os usuários, independentemente do modo de acesso ou do modo de controle de acesso. Define quais tipos de dados o usuário pode acessar.

Para saber mais, confira Visão geral do controle de acesso.

Conectividade de ponto de extremidade privado via ExpressRoute

O Monitor é uma constelação de diferentes serviços interconectados que trabalham em conjunto para monitorar suas cargas de trabalho. É possível usar o Link Privado do Azure para vincular com segurança os recursos de PaaS do Azure à sua rede virtual com pontos de extremidade privados. O Escopo de Link Privado do Azure Monitor fornece conectividade privada entre aplicativos implantados em redes virtuais e recursos do Monitor, definindo os limites de sua rede de monitoramento. Para saber mais, consulte Usar o Link Privado do Azure para conectar redes ao Azure Monitor.

ISO (ambiente de serviço de integração) dos Aplicativos Lógicos

Um ambiente de ISE (ambiente de serviço de integração) mantém o armazenamento dedicado e outros recursos separados do serviço global de Aplicativos Lógicos de vários clientes. Para saber mais, confira Conectar-se às redes virtuais do Azure por meio dos Aplicativos Lógicos do Azure com um ISE (ambiente de serviço de integração).

Gateway do Log Analytics

Um gateway do Log Analytics envia dados para a Automação do Azure e para um workspace do Log Analytics no Monitor de computadores que não podem se conectar diretamente à Internet. Para saber mais, confira Conectar computadores sem acesso à Internet com o gateway do Log Analytics no Azure Monitor.

Otimização de custo

  • O Azure Monitor inclui funcionalidade para coletar e analisar dados de log. Ele realiza o faturamento por ingestão, retenção e exportação de dados. Outros fatores que podem afetar os preços incluem alertas, notificações e SMS ou chamada de voz. Para saber mais, confira Preço do Azure Monitor.

  • O preço padrão do Application Insights e do Log Analytics consiste em um modelo de pagamento pré-pago com base no volume de dados ingerido e, opcionalmente, na retenção de dados mais longa. O Log Analytics também tem níveis de compromisso, que podem economizar até 30% em comparação com o preço pré-pago.

  • Confira Preço dos Aplicativos Lógicos e Preço da Automação do Azure.

  • Use a Calculadora de preços do Azure para saber mais sobre os preços.

Lista de verificação de considerações

  • Habilite as soluções Monitor gradualmente para minimizar o impacto no ambiente e no custo.
  • Consulte os limites de serviço do Azure em todos os componentes de arquitetura.
  • Defina alertas sobre limites de custo. A adição de novas soluções pode aumentar muito a quantidade de dados coletados, o que aumenta os custos.
  • Use a marcação em todos os recursos e grupos de recursos para ajudar a detalhar os custos, se necessário.
  • Automatize a implantação de workspace por meio da IaC (infraestrutura como código) para manter a consistência.
  • Crie workspaces na mesma região em que as cargas de trabalho são executadas para fornecer menor latência de ingestão.
  • Para computadores locais sem conectividade com a Internet, use o Azure Arc via gateway do Log Analytics.
  • Para computadores locais com conectividade com a Internet configurados para Azure Arc, agrupe as VMs em recursos separados por projeto e use DCRs.
  • Espalhe alertas entre os grupos de recursos para evitar atingir o limite de assinatura de 800 implantações por grupo de recursos.
  • Racionalize alertas para usar um único em diferentes equipes.
  • Revise os requisitos de segurança para rede, usuário e serviços de nuvem em geral.
  • Crie um grupo de recursos separado para cada workspace a fim de ajudar na aplicação eficaz das regras de RBAC.
  • Aplique o RBAC a contas de usuário e outros objetos para o acesso ao workspace do Log Analytics.
  • Use o Microsoft Sentinel para ingerir logs relacionados à identidade e à segurança.
  • Monitore aplicativos ativos com o Application Insights para detectar anomalias de desempenho automaticamente.
  • Use as ferramentas de análise do Application Insights para ajudar a diagnosticar problemas e entender o uso do aplicativo.
  • Use o Log Analytics Workspace Insights de maneira abrangente para um monitoramento eficaz e defina alertas para as seguintes medidas:
    • Latência de ingestão
    • Volume de ingestão de dados
    • Anomalias de ingestão
    • Integridade do agente
  • Use o agente do Azure Monitor para ajustar a coleta de dados.
  • Considere o arquivamento de dados em uma camada de armazenamento de acesso esporádico. É possível integrar o armazenamento de dados de acesso esporádico com serviços de data lake.

Próximas etapas