Microsoft Azure 監視器中的 Purview 計量
本文說明如何使用 Azure 監視器設定 Microsoft Purview 的計量、警示和診斷設定。
監視 Microsoft Purview
Microsoft Purview 管理員可以使用 Azure 監視器來追蹤 purview 帳戶Microsoft運作狀態。 收集計量以提供數據點,讓您追蹤潛在問題、進行疑難解答,以及改善 Microsoft Purview 帳戶的可靠性。 計量會傳送至 Azure 監視器,以取得在 Microsoft Purview 中發生的事件。
匯總計量
您可以從 Microsoft Purview 帳戶的 Azure 入口網站 存取計量。 計量的存取權是由 purview 帳戶Microsoft角色指派所控制。 用戶必須是 Purview Microsoft「監視讀者」角色的一部分,才能查看計量。 深入了解 監視角色許可權。
建立 Microsoft Purview 帳戶的人員會自動取得檢視計量的許可權。 如果其他人想要查看計量,請依照下列步驟將其新增至 監視讀取者 角色:
將使用者新增至監視讀取者角色
若要將使用者新增至 監視讀取者 角色,Microsoft Purview 帳戶或訂用帳戶擁有者的擁有者可以遵循下列步驟:
移至 Azure 入口網站 並搜尋 Microsoft Purview 帳戶名稱。
選 取 [存取控制 (IAM) ]。
選 取 [新增>角色指派 ] 以開啟 [ 新增角色指派 ] 頁面。
指派下列角色。 取得 指派 Azure 角色的詳細數據。
設定 值 角色 監視讀取器 將存取權指派給 使用者、群組或服務主體 成員 <Microsoft Entra 帳戶使用者> ![顯示 [新增角色指派] 頁面的螢幕快照 Azure 入口網站。](media/how-to-monitor-with-azure-monitor/add-role-assignment-page.png)
計量視覺效果
[ 監視讀取者 ] 角色的使用者可以看到傳送至 Azure 監視器的匯總計量和診斷記錄。 計量會列在對應 Microsoft Purview 帳戶的 Azure 入口網站 中。 在 [Azure 入口網站 中,選取 [計量] 區段以查看所有可用計量的清單。
![顯示 [Purview 計量] 區段Microsoft可用的螢幕快照。](media/how-to-monitor-with-azure-monitor/purview-metrics.png#lightbox)
Microsoft Purview 使用者也可以直接從 Microsoft Purview 帳戶的管理中心存取計量頁面。 在 Microsoft Purview 管理中心的主頁面中選取 [Azure 監視器] 以啟動 Azure 入口網站。
可用的計量
若要熟悉如何使用 Azure 入口網站 中的計量一節,請預先閱讀下列兩份檔。 開始使用計量總管 和 計量總管的進階功能。
下表包含可在 Azure 入口網站 中探索的計量清單:
| 計量名稱 | 計量命名空間 | 匯總類型 | 描述 |
|---|---|---|---|
| 數據對應容量單位 | 彈性資料對應 | Sum 計數 |
匯總一段時間的彈性數據對應容量單位 |
| 數據對應記憶體大小 | 彈性資料對應 | Sum 平均 |
匯總一段時間的彈性數據對應記憶體大小 |
| 掃描已取消 | 自動掃描 | Sum 計數 |
匯總一段時間的已取消數據源掃描 |
| 掃描已完成 | 自動掃描 | Sum 計數 |
匯總一段時間內完成的數據源掃描 |
| 掃描失敗 | 自動掃描 | Sum 計數 |
匯總一段時間的失敗數據源掃描 |
| 掃描所花費的時間 | 自動掃描 | 最小值 Max Sum 平均 |
匯總掃描在一段時間內所花費的總時間 |
監視警示
您可以從 Microsoft Purview 帳戶的 Azure 入口網站 存取警示。 警示的存取權是由 Microsoft Purview 帳戶的角色指派所控制,就像計量一樣。 用戶可以在其 purview 帳戶中設定警示規則,以在發生重要監視事件時收到通知。
使用者也可以針對 purview 內的訊號建立特定警示規則和條件。
傳送診斷記錄
原始遙測事件會傳送至 Azure 監視器。 事件可以傳送至 Log Analytics 工作區、封存至選擇的客戶記憶體帳戶、串流至事件中樞,或傳送至合作夥伴解決方案以進行進一步分析。 系統會透過 Azure 入口網站 上 Microsoft Purview 帳戶的診斷設定來導出記錄。
請遵循下列步驟來建立 Microsoft Purview 帳戶的診斷設定,並傳送至您慣用的目的地:
- 在 Azure 入口網站 中找出您的 Microsoft Purview 帳戶。
- 在 [ 監視] 底下的功能表中,選取 [診斷設定]。
- 選 取 [新增診斷設定 ] 以建立新的診斷設定,以收集平台記錄和計量。 如需這些設定和記錄的詳細資訊,請參閱 Azure 監視器檔。
- 您可以將記錄傳送至:
目的地 - Log Analytics 工作區
- 在 [ 目的地詳細數據] 中,選 取 [傳送至 Log Analytics 工作區]。
- 建立診斷設定的名稱,選取適用的記錄類別群組,然後選取正確的訂用帳戶和工作區,然後選取 [儲存]。 工作區不一定位於與受監視資源相同的區域中。 若要建立新的工作區,您可以遵循這篇文章: 建立新的Log Analytics工作區。
- 執行一些作業來填入數據,以確認 Log Analytics 工作區中的變更。 例如,建立/更新/刪除原則。 在此之後,您可以開啟 Log Analytics工作區、流覽至 [記錄]、輸入查詢篩選器作為 “purviewsecuritylogs”,然後選取 [執行] 以執行查詢。
目的地 - 記憶體帳戶
- 在 [ 目的地詳細數據] 中,選取 [ 封存至記憶體帳戶]。
- 建立診斷設定名稱,選取記錄類別,選取目的地作為記憶體帳戶的封存,選取正確的訂用帳戶和記憶體帳戶,然後選取 [儲存]。 建議使用專用記憶體帳戶來封存診斷記錄。 如果您需要記憶體帳戶,您可以遵循這篇文章: 建立記憶體帳戶。
- 若要查看 記憶體帳戶中的記錄,請執行範例動作 (例如:建立/更新/刪除原則) ,然後開啟 記憶體帳戶,流覽至 [容器],然後選取容器名稱。
流覽至檔案並下載以查看記錄。
目的地 - 事件中樞
- 在 [目的地詳細數據] 中,選取 Stream 至事件中樞。
- 建立診斷設定名稱、選取記錄類別、選取目的地作為串流至事件中樞、選取正確的訂用帳戶、事件中樞命名空間、事件中樞名稱和事件中樞原則名稱,然後選取 [儲存]。 您必須要有事件中樞名稱空間,才能串流至事件中樞。 如果您需要建立事件中樞命名空間,您可以遵循這篇文章: 建立事件中樞 & 事件中樞命名空間記憶體帳戶
- 若要查看事件中樞命名空間中的記錄,請移至 Azure 入口網站,並搜尋您稍早建立的事件中樞命名空間名稱,請移至事件中樞命名空間,然後按下 [概觀]。 若要深入瞭解如何在事件中樞命名空間中擷取和讀取擷取的稽核事件,您可以遵循這篇文章: 稽核記錄 & 診斷
範例記錄檔
以下是您會從診斷設定接收到的範例記錄。
事件會追蹤掃描生命週期。 掃描作業會依循一連串狀態的進度,從 [已排入佇列]、[正在執行],最後一個終端狀態為 [成功] |失敗 |取消。 每個狀態轉換都會記錄事件,而事件的架構將具有下列屬性。
{
"time": "<The UTC time when the event occurred>",
"properties": {
"dataSourceName": "<Registered data source friendly name>",
"dataSourceType": "<Registered data source type>",
"scanName": "<Scan instance friendly name>",
"assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
"assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
"scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
"scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
"runType": "<How the scan is triggered>",
"errorDetails": "<Scan failure error>",
"scanResultId": "<Unique GUID for the scan instance>"
},
"resourceId": "<The azure resource identifier>",
"category": "<The diagnostic log category>",
"operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are:
|AdhocScanRun
|TriggeredScanRun
|StatusChangeNotification>",
"resultType": "Queued – indicates a scan is queued.
Running – indicates a scan entered a running state.
Succeeded – indicates a scan completed successfully.
Failed – indicates a scan failure event.
Cancelled – indicates a scan was cancelled. ",
"resultSignature": "<Not used for ScanStatusLogEvent category. >",
"resultDescription": "<This will have an error message if the resultType is Failed. >",
"durationMs": "<Not used for ScanStatusLogEvent category. >",
"level": "<The log severity level. Possible values are:
|Informational
|Error >",
"location": "<The location of the Microsoft Purview account>",
}
下一節顯示事件實例的範例記錄檔。
{
"time": "2020-11-24T20:25:13.022860553Z",
"properties": {
"dataSourceName": "AzureDataExplorer-swD",
"dataSourceType": "AzureDataExplorer",
"scanName": "Scan-Kzw-shoebox-test",
"assetsDiscovered": "0",
"assetsClassified": "0",
"scanQueueTimeInSeconds": "0",
"scanTotalRunTimeInSeconds": "0",
"runType": "Manual",
"errorDetails": "empty_value",
"scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
},
"resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
"category": "ScanStatusLogEvent",
"operationName": "TriggeredScanRun",
"resultType": "Delayed",
"resultSignature": "empty_value",
"resultDescription": "empty_value",
"durationMs": 0,
"level": "Informational",
"location": "eastus",
}