從 Splunk 移轉到 Azure 監視器記錄
Azure 監視器記錄是雲端式受控監視和可檢視性服務,可在成本管理、可擴縮性、彈性、整合和低維護額外負荷方面提供許多優點。 此服務的設計目的是要處理大量資料,並輕鬆地進行縮放,以符合各種規模的組織需求。
Azure 監視器記錄會從各種不同的來源收集資料 (包括 Windows 事件記錄、Syslog 和自訂記錄),以提供所有 Azure 和非 Azure 資源的統一檢視。 使用複雜的查詢語言和策展的視覺效果,您可以快速分析數百萬筆記錄,以識別、了解和回應監視資料中的重要模式。
本文會說明如何將 Splunk Observability 部署移轉至 Azure 監視器記錄以進行記錄和記錄資料分析。
如需有關將安全性資訊與事件管理 (SIEM) 部署從 Splunk Enterprise Security 移轉至 Azure Sentinel 的資訊,請參閱規劃移轉到 Microsoft Sentinel。
為何要移轉至 Azure 監視器?
移轉至 Azure 監視器的好處包括:
- 完全受控的軟體即服務 (SaaS) 平台,具備:
- 自動升級和縮放。
- 簡單的每 GB 隨用隨付定價。
- 成本最佳化和監視功能,以及低成本基本和輔助資料表方案。
- 雲端原生監視和可檢視性,包括:
- 與一系列互補 Azure 服務的原生整合,例如適用於安全性資訊和事件管理的 Microsoft Sentinel、適用於自動化的 Azure Logic Apps、適用於儀表板的 Azure 受控 Grafana,以及適用於進階分析和回應功能的 Azure Machine Learning。
比較供應項目
| Splunk 供應項目 | Products | Azure 供應項目 |
|---|---|---|
| Splunk 平台 |
|
Azure 監視器記錄是集中式軟體即服務 (SaaS) 平台,可用來收集、分析和處理 Azure 和非 Azure 資源與應用程式所產生的遙測資料。 |
| Splunk Observability |
|
Azure 監視器是端對端的解決方案,可用於收集、分析及處理來自雲端、多重雲端和內部部署環境的遙測資料,建置於與 Microsoft Sentinel 共用的強大資料擷取管線之上。 Azure 監視器可以為企業提供用於監視雲端、混合式環境和內部部署環境的完整解決方案,具有網路隔離、復原功能和資料中心失敗防範、報告和警示和回應功能。 Azure 監視器的內建功能包括:
|
| Splunk Security |
|
Microsoft Sentinel 是在 Azure 監視器平台上執行的雲端原生解決方案,可在整個企業提供智慧型安全性分析和威脅情報。 |
重要概念簡介
| Azure 監視器記錄 | 類似的 Splunk 概念 | 描述 |
|---|---|---|
| Log Analytics 工作區 | Namespace | Log Analytics 工作區是可讓您從所有由 Azure 監視和不是由 Azure 監視的資源收集記錄資料的環境。 工作區中的資料可供用於查詢和分析、Azure 監視器功能,以及其他 Azure 服務。 與 Splunk 命名空間類似,您也可以在 Log Analytics 工作區中管理資料和成品的存取,例如警示和活頁簿。 根據您的需求設計 Log Analytics 工作區結構 - 例如分割計費、區域資料儲存體需求和復原能力考量。 |
| 資料表管理 | 編製索引 | Azure 監視器記錄會將記錄資料擷取至受控 Azure 資料總管資料庫中的資料表。 在擷取期間,服務會自動為資料編製索引和加上時間戳記,這表示您可以儲存各種類型的資料,並使用 Kusto 查詢語言 (KQL) 查詢來快速存取資料。 使用資料表屬性來管理資料表結構描述、資料保留,以及是否要儲存資料,以便偶爾進行稽核和疑難排解,或供功能和服務持續進行分析及使用。 針對 Splunk 和 Azure 資料總管的資料處理和查詢,如需兩者的概念比較,請參閱 Splunk 與 Kusto 查詢語言的對應。 |
| 分析、基本和輔助資料表方案 | Azure 監視器記錄提供三個資料表方案,可讓您根據需求減少記錄擷取和保留成本,並利用 Azure 監視器的進階功能和分析功能。 分析方案則讓功能與服務得以使用記錄資料並用於互動式查詢。 基本方案可讓您以減少的成本擷取和保留記錄,以進行疑難排解和事件回應。 輔助方案是擷取和保留記錄低接觸資料的低成本方式,例如詳細資訊記錄,以及稽核和合規性所需的資料。 |
|
| 長期保留 | 資料貯體狀態 (熱、暖、冷、解除凍結)、封存、動態資料有效封存 (DDAA) | 符合成本效益的長期保留選項會將記錄保留在 Log Analytics 工作區中,並可讓您在需要時立即存取此資料。 資料不會實際傳輸至外部記憶體,因此保留組態的變更會立即生效。 您可以還原長期保留中的資料或執行搜尋作業讓特定時間範圍的資料可供進行即時分析。 |
| 存取控制 | 角色型使用者存取權、權限 | 使用 Azure 角色型存取控制 (RBAC),定義哪些人員和資源可以在特定資源上讀取、寫入及執行作業。 具有資源存取權的使用者可以存取資源的記錄。 Azure 透過內建角色、自訂角色、角色權限繼承和稽核記錄等功能,促進資料安全性和存取管理。 您也可以設定工作區層級存取和資料表層級存取,對特定資料類型進行細微存取控制。 |
| 資料轉換 | 轉換、欄位擷取 | 轉換可讓您先篩選或修改傳入的資料,再將其傳送在 Log Analytics 工作區中。 請使用轉換來移除敏感性資料、擴充 Log Analytics 工作區中的資料、執行計算,以及篩選出不需要的資料以降低資料成本。 |
| 資料收集規則 | 資料輸入、資料管線 | 定義要收集的資料、如何轉換該資料,以及要將該資料傳送到什麼位置。 |
| Kusto 查詢語言 (KQL) | Splunk Search Processing Language (SPL) | Azure 監視器記錄會使用適用於簡單記錄查詢的大型 KQL 子集,但也會包含彙總、聯結和智慧分析等進階功能。 請使用 Splunk 與 Kusto 查詢語言的對應將 Splunk SPL 知識轉譯為 KQL。 您也可以使用教學課程和 KQL 訓練課程模組來學習 KQL。 |
| Log Analytics | Splunk Web、搜尋應用程式、樞紐工具 | Azure 入口網站中,用於在 Azure 監視器記錄中編輯和執行記錄查詢的工具。 Log Analytics 也提供一組豐富的工具,讓您不必使用 KQL 就能探索資料並將資料視覺化。 |
| 成本最佳化 | Azure 監視器提供工具和最佳做法來協助您根據需求了解、監視及最佳化成本。 |
1.了解您目前的使用量
您目前在 Splunk 中的使用量可協助您決定要在 Azure 監視器中選取哪個定價層,並預估未來的成本:
- 遵循 Splunk 指導以檢視您的使用量報告。
- 使用定價計算機來進行 Azure 監視器成本預估。
2.設定 Log Analytics 工作區
Log Analytics 工作區是您從所有受監視的資源收集記錄資料的地方。 您可以在 Log Analytics 工作區中保留資料,最長可達七年之久。 工作區內低成本的資料封存可讓您在需要時快速且輕鬆地存取長期保留中的資料,而不會有管理外部資料存放區的額外負荷。
建議您在單一 Log Analytics 工作區中收集所有記錄資料,以方便管理。 如果您考慮使用多個工作區,請參閱設計 Log Analytics 工作區架構。
若要針對資料收集來設定 Log Analytics 工作區:
-
Azure 監視器記錄會根據您使用的 Azure 服務和您為 Azure 資源定義的資料收集設定,自動在工作區中建立 Azure 資料表。
設定 Log Analytics 工作區,包括:
使用資料表層級組態設定來:
-
預設的記錄資料方案是 Analytics,其可讓您利用 Azure 監視器豐富的監視和分析功能。
為特定資料表設定資料保留和封存原則 (如果您需要讓其與工作區層級的資料保留和封存原則不同的話)。
修改資料表結構描述 (根據資料模型)。
-
3.將 Splunk 成品移轉至 Azure 監視器
若要移轉大部分的 Splunk 成品,您需要將 Splunk Processing Language (SPL) 轉譯為 Kusto 查詢語言 (KQL)。 如需詳細資訊,請參閱 Splunk 與 Kusto 查詢語言的對應和開始使用 Azure 監視器中的記錄查詢。
下表列出 Splunk 成品,以及在 Azure 監視器中設定對等成品的指導連結:
| Splunk 成品 | Azure 監視器成品 |
|---|---|
| 警示 | 警示規則 |
| 警示動作 | 動作群組 |
| 基礎結構監視 | Azure 監視器深入解析是一組現成可用的策展監視體驗,具有預先設定的資料輸入、搜尋、警示和視覺效果,可讓您快速且有效率地分析資料。 |
| 儀表板 | 活頁簿 |
| 查詢 | Azure 監視器提供各種擴充資料的方式,包括: - 資料收集規則,可讓您將資料從多個來源傳送至 Log Analytics 工作區,並先執行計算和轉換再擷取資料。 - KQL 運算子,例如聯結運算子,其會結合不同資料表的資料,以及 externaldata 運算子,其會從外部儲存體傳回資料。 - 與 Azure Machine Learning 或 Azure 事件中樞等服務的整合,以在其他資料中套用進階的機器學習和串流。 |
| 命名空間 | 您可以根據您在 Log Analytics 工作區或 Azure 資源群組上定義的存取控制,授與或限制 Azure 監視器中的成品權限。 |
| 權限 | 存取管理 |
| 報表 | Azure 監視器提供各種選項供您分析、視覺化及共用資料,包括: - 與 Grafana 整合 - 深入解析 - 活頁簿 - 儀表板 - 與 Power BI 的整合 - 與 Excel 整合 |
| 搜尋 | 查詢 |
| 來源類型 | 在 Log Analytics 工作區中定義資料模型。 使用擷取時間轉換來篩選、格式化或修改傳入的資料。 |
| 資料收集方法 | 請參閱專為特定資源而設計的 Azure 監視器工具的收集資料。 |
如需有關移轉 Splunk SIEM 成品的資訊,包括偵測規則和 SOAR 自動化,請參閱規劃移轉到 Microsoft Sentinel。
4.收集資料
Azure 監視器會提供工具,供您從環境中 Azure 資源和非 Azure 資源上的記錄資料來源收集資料。
若要從資源收集資料:
- 根據下表來設定相關的資料收集工具。
- 決定您需要從資源收集哪些資料。
- 使用轉換來移除敏感性資料、擴充資料或執行計算,以及篩選出不需要的資料,以降低成本。
下表列出 Azure 監視器所提供、用於從各種資源類型收集資料的工具。
| 資源類型 | 資料收集工具 | 類似的 Splunk 工具 | 收集的資料 |
|---|---|---|---|
| Azure | 診斷設定 | Azure 租用戶 - Microsoft Entra 稽核記錄會提供登入活動歷程記錄,以及租用戶內所做變更的稽核記錄。 Azure 資源 - 記錄和效能計數器。 Azure 訂用帳戶 - 服務健康狀態記錄,以及針對 Azure 訂用帳戶中的資源所做任何組態變更的記錄。 |
|
| 應用程式 | Application insights | Splunk Application Performance Monitoring | 應用程式效能監視資料。 |
| 容器 | 容器深入解析 | Container Monitoring | 容器效能資料。 |
| 作業系統 | Azure 監視器代理程式 | Universal Forwarder、Heavy Forwarder | 監視來自 Azure 和非 Azure 虛擬機器客體作業系統的資料。 |
| 非 Azure 來源 | 記錄擷取 API | HTTP Event Collector (HEC) | 檔案型記錄,以及您傳送至受監視資源上資料收集端點的任何資料。 |
5.轉換至 Azure 監視器記錄
常見的方法是逐漸轉換至 Azure 監視器記錄,同時在 Splunk 中保有歷史資料。 在此期間,您可以:
- 使用記錄擷取 API 從 Splunk 擷取資料。
- 使用 Log Analytics 工作區資料匯出,將資料從 Azure 監視器匯出。
若要從 Splunk 匯出歷史資料:
- 使用其中一個 Splunk 匯出方法來匯出 CSV 格式的資料。
- 若要收集所匯出的資料:
使用 Azure 監視器代理程式收集您從 Splunk 匯出的資料,如使用 Azure 監視器代理程式收集文字記錄中所述。
或
使用記錄擷取 API 直接收集匯出的資料,如使用 REST API 將資料傳送至 Azure 監視器記錄中所述。
