Полное руководство по мониторингу служб Azure: различия между версиями

Следуйте этому руководству, чтобы начать удаленный прием данных из Azure Monitor.

В этом руководстве основное внимание уделяется мониторингу инфраструктуры служб Azure, в частности мониторингу облачных служб Azure с помощью Azure Monitor. Узнайте , что будет дальше для полного стека и мониторинга логов ваших служб Azure.

Примечание. Кроме того, вы можете настроить среду Ключ-АСТРОМ SaaS с помощью Azure Marketplace .

После того, как вы установили первоначальный мониторинг, вы можете добавлять, удалять или изменять сервисный мониторинг с помощью веб-интерфейса Ключ-АСТРОМ или, в зависимости от масштаба, с помощью Ключ-АСТРОМ API.

Детали собранных измерений

Чтобы узнать об измерениях, собранных для каждой из служб Azure, см.

• Облачные службы Azure, включенные по умолчанию, и метрики
• Облачные службы Azure

Затраты мониторинга

Факторы, влияющие на затраты мониторинга Azure с помощью Ключ-АСТРОМ через Azure Monitor:

• Каждая служба, отслеживаемая Ключ-АСТРОМ через Azure Monitor, а также обработка и анализ логов, приводит к потреблению единиц данных Дэвиса .
• Microsoft может взимать с вас дополнительную плату за запросы метрик Azure Monitor, если вы превышаете 1 миллион вызовов API в месяц. Подробную информацию об этих дополнительных расходах см. в онлайн-документации Microsoft .

Необходимые условия для мониторинга

Для настройки мониторинга Azure необходимо выполнить три предварительных условия:

1. Разрешения администратора Ключ-АСТРОМ

Для управления конфигурацией мониторинга Azure вам потребуется разрешение на изменение параметров мониторинга в Ключ-АСТРОМ. Подробную информацию о том, как управлять разрешениями и устанавливать их, см. в разделе Группы пользователей, разрешения и политики .

2. АктивныйШлюз с возможностью мониторинга Azure

Для мониторинга служб Azure Ключ-АСТРОМ необходимо подключаться к API Azure Monitor и запрашивать его каждые 5 минут. По крайней мере один АктивныйШлюз должен иметь возможность подключаться к Azure Monitor для выполнения задач мониторинга.

Проверить наличие подходящего АктивногоШлюза

1. В меню Ключ-АСТРОМ перейдите в Статус развертывания и выберите вкладку АктивныеШлюзы .
2. Установите фильтр для With modules: Azure.
   • Если полученный список пуст, необходимо добавить хотя бы один АктивныйШлюз с включенным модулем облачного мониторинга.
   • Если список не пуст, вы готовы активировать мониторинг Azure.

Чтобы добавить АктивныйШлюз, способный осуществлять облачный мониторинг, следуйте руководству по установке АктивногоШлюза и возобновите работу с этим руководством, когда закончите.

3. Роли и разрешения Azure

Примечание . Для выполнения этих действий вам необходимы права администратора Azure.

Мониторинг Azure выполняется удаленно с помощью API-интерфейсов Azure Monitor, которые создаются и предоставляются корпорацией Майкрософт. Ключ-АСТРОМ должен иметь доступ к этим API, поэтому вам нужно настроить Azure, чтобы разрешить такой доступ. Вам нужно следующее:

• Достаточные разрешения для регистрации приложения в арендаторе Azure AD и назначения приложению роли в вашей подписке Azure.
• Субъект-служба Azure для доступа к API Azure.

Чтобы Ключ-АСТРОМ мог отслеживать ваши услуги, вам нужны как минимум права чтения. Шаги ниже описывают добавление разрешений чтения субъекта-службы и относятся к распространенному подходу к доступу с одним арендатором. Примечание: Интеграция Ключ-АСТРОМ с Azure поддерживает Azure Lighthouse , что позволяет Ключ-АСТРОМ иметь многопользовательский доступ к Azure.

1. Перейдите к терминалу Azure CLI 2.0 .
2. Выполните следующую команду, чтобы получить список всех подписок, чтобы вы могли выбрать ту, для которой хотите добавить разрешения.

az account list --output table

3. Скопируйте следующую команду и отредактируйте ее, чтобы заменить заполнители фактическими значениями, как описано ниже.

az ad sp create-for-rbac --name <YourServicePrincipalName> --role reader --scopes /subscriptions/<YourSubscriptionID1> /subscriptions/<YourSubscriptionID2> --query "{ClientID:appId,TenantID:tenant,SecretKey:password}"

4. Обязательно замените заполнители ( <...>) вашими значениями:

• <YourServicePrincipalName>— имя субъекта-службы, которое будет создано для Ключ-АСТРОМ для доступа к Azure.
• <YourSubscriptionID1>, <YourSubscriptionID2>— имена подписок, перечисленных на предыдущем шаге, к которым вы хотите, чтобы Ключ-АСТРОМ имела доступ.

5. Запустите отредактированную команду.

6. Скопируйте учетные данные, выводимые командой, и сохраните их на потом.

Разрешить АктивномуШлюзу доступ к URL-адресам Azure

Интеграция обращается к следующим конечным точкам API Azure, поэтому они должны быть доступны из вашего АктивногоШлюза:

https://management.azure.com/

https://login.microsoftonline.com/

https://management.core.windows.net/

Другие варианты необходимых разрешений

Создание пользовательской роли с помощью Azure CLI 2.0

Еще один способ получить разрешение на чтение — создать для Ключ-АСТРОМ пользовательскую роль с предопределенным набором разрешений для детального контроля.

1. Создайте пользовательскую роль, следуя руководству Microsoft . Вы можете использовать следующий шаблон JSON в качестве основы для разрешений:

{
   "properties": {
      "roleName": "astromkey-monitoring-role",
      "description": "",
      "assignableScopes": [],
      "permissions": [
            {
               "actions": [
                  "Microsoft.Aadiam/*/read",
                  "Microsoft.AnalysisServices/*/read",
                  "Microsoft.ApiManagement/*/read",
                  "Microsoft.Automation/*/read",
                  "Microsoft.Batch/*/read",
                  "Microsoft.BotService/*/read",
                  "Microsoft.Cache/*/read",
                  "Microsoft.Cdn/*/read",
                  "Microsoft.ClassicCompute/*/read",
                  "Microsoft.ClassicStorage/*/read",
                  "Microsoft.CognitiveServices/*/read",
                  "Microsoft.Compute/*/read",
                  "Microsoft.ContainerInstance/*/read",
                  "Microsoft.ContainerRegistry/*/read",
                  "Microsoft.ContainerService/*/read",
                  "Microsoft.DataFactory/*/read",
                  "Microsoft.DataLakeAnalytics/*/read",
                  "Microsoft.DataLakeStore/*/read",
                  "Microsoft.DBforMySQL/*/read",
                  "Microsoft.DBforPostgreSQL/*/read",
                  "Microsoft.Devices/*/read",
                  "Microsoft.DocumentDB/*/read",
                  "Microsoft.EventGrid/*/read",
                  "Microsoft.EventHub/*/read",
                  "Microsoft.HDInsight/*/read",
                  "Microsoft.Insights/*/read",
                  "Microsoft.KeyVault/*/read",
                  "Microsoft.Kusto/*/read",
                  "Microsoft.Logic/*/read",
                  "Microsoft.MachineLearningServices/*/read",
                  "Microsoft.Maps/*/read",
                  "Microsoft.Media/*/read",
                  "Microsoft.NetApp/*/read",
                  "Microsoft.Network/*/read",
                  "Microsoft.NotificationHubs/*/read",
                  "Microsoft.OperationalInsights/*/read",
                  "Microsoft.PowerBIDedicated/*/read",
                  "Microsoft.RecoveryServices/*/read",
                  "Microsoft.Relay/*/read",
                  "Microsoft.Search/*/read",
                  "Microsoft.ServiceBus/*/read",
                  "Microsoft.SignalRService/*/read",
                  "Microsoft.Sql/*/read",
                  "Microsoft.StreamAnalytics/*/read",
                  "microsoft.storagesync/*/read",
                  "Microsoft.TimeSeriesInsights/*/read",
                  "microsoft.web/*/read",
                  "Microsoft.DBforMariaDB/*/read",
                  "Microsoft.DataBoxEdge/*/read",
                  "Microsoft.IoTCentral/*/read",
                  "Microsoft.Blockchain/*/read",
                  "Microsoft.MixedReality/*/read",
                  "Microsoft.EnterpriseKnowledgeGraph/*/read",
                  "Microsoft.AppConfiguration/*/read",
                  "Microsoft.DataShare/*/read",
                  "Microsoft.ServiceFabricMesh/*/read",
                  "Microsoft.VMwareCloudSimple/*/read",
                  "Microsoft.Peering/*/read",
                  "Microsoft.HealthcareApis/*/read",
                  "Microsoft.CustomProviders/*/read",
                  "Microsoft.StorageCache/*/read",
                  "Microsoft.AppPlatform/*/read",
                  "Microsoft.ProjectBabylon/*/read",
                  "Microsoft.Synapse/*/read",
                  "Microsoft.DigitalTwins/*/read",
                  "Microsoft.AVS/*/read",
                  "Microsoft.DataCollaboration/*/read",
                  "Microsoft.SecurityDetonation/*/read",
                  "Microsoft.Purview/*/read",
                  "Microsoft.Management/*/read/",
                  "Microsoft.ResourceGraph/*/read/"
               ],
               "notActions": [],
               "dataActions": [],
               "notDataActions": []
            }
      ]
   }
}

2. Перейдите к терминалу Azure CLI 2.0 .

3. Выполните следующую команду, чтобы получить список всех подписок, чтобы вы могли выбрать ту, для которой вы хотите добавить разрешения.

az account list --output table

4. Скопируйте следующую команду и отредактируйте ее, чтобы заменить заполнители фактическими значениями, как описано ниже.

az ad sp create-for-rbac --name <YourServicePrincipalName> --role <YourCustomRole> --scopes /subscriptions/<YourSubscriptionID1> /subscriptions/<YourSubscriptionID2> --query "{ClientID:appId,TenantID:tenant,SecretKey:password}"

Замените заполнители ( <...>) вашими значениями:

• <YourServicePrincipalName>— имя субъекта-службы, которое будет создано для Ключ-АСТРОМ для доступа к Azure.
• <YourCustomRole>- название роли, которую вы создали для Ключ-АСТРОМ
• <YourSubscriptionID1>, <YourSubscriptionID2>— названия подписок, перечисленных на предыдущем шаге (подписки, к которым вы хотите, чтобы Ключ-АСТРОМ имела доступ)

5. Запустите отредактированную команду.

6. Скопируйте учетные данные, выводимые командой, и сохраните их на потом.

Создание субъекта-службы через портал Azure

Чтобы создать субъект-службу на портале Azure, вы должны зарегистрировать свое приложение в Azure Active Directory и предоставить разрешения на доступ для вашего субъекта-службы.

Чтобы зарегистрировать ваше приложение

1. Перейдите на портал управления Azure и выберите Azure Active Directory .
2. Скопируйте значение идентификатора арендатора и сохраните его Tenant IDдля последующего извлечения. Это необходимо для настройки Ключ-АСТРОМ для подключения к вашей учетной записи Azure .
3. Выберите Регистрация приложений на панели навигации выбранного Active Directory.
4. Выберите Новая регистрация в верхней части колонки Регистрация приложений и введите имя своего приложения.
5. Оставьте для всех остальных параметров значения по умолчанию и выберите «Зарегистрировать» .
6. Скопируйте значение идентификатора приложения (клиента) и сохраните его Client IDдля последующего извлечения.
7. Выберите Сертификаты и секреты > Новый секрет клиента , чтобы создать новый ключ безопасности.
8. Введите описание ключа, выберите желаемую длительность ключа, а затем нажмите кнопку Добавить , чтобы сохранить новый ключ.
9. Скопируйте значение Value и сохраните его Secret Keyдля будущего поиска. Примечание . Вы не можете получить значение ключа после того, как покинете колонку ключей .

Предоставление разрешений на доступ для субъекта-службы

1. На портале Azure выберите Все службы > Общие > Подписки .
2. На странице Подписки выберите свою подписку, а затем выберите Управление доступом (IAM) .

Настройка, если вы назначаете права чтения

1. Выберите Добавить назначение роли и выберите Чтение .
2. Выберите Далее .
3. В Members введите следующие данные:
   • Для Назначить доступ выберите User, groupили service principal.
   • В разделе «Участники» выберите «Выбрать участников» , а затем выберите субъект-службу из списка слева.
4. Выберите «Далее» , а затем выберите «Проверить + назначить» .

Настройка, если вы создаете пользовательскую роль

Создание субъекта-службы через PowerShell

Чтобы создать новый субъект-службу и предоставить ему разрешения на доступ в PowerShell, см. раздел Создание субъекта-службы Azure с помощью Azure PowerShell .

Если вы решите создать пользовательскую роль , см. раздел Создание пользовательской роли с помощью Azure CLI 2.0 .

Создание конфигурации мониторинга

Вы можете создавать, активировать и управлять несколькими подключениями для мониторинга. Каждое соединение определяется учетными данными и/или токенами доступа, необходимыми Ключ-АСТРОМ для получения данных, а также фактической областью мониторинга.

Конфигурация выполняется для каждого соединения:

1. Добавление нового подключение к Azure
2. .Службы Azure, отслеживаемые по умолчанию
3. Другие службы Azure

Добавление нового подключения к Azure

Если вы выполнили все предыдущие шаги, вы готовы настроить мониторинг Azure.

Чтобы добавить новое подключение к Azure

1. В меню Ключ-АСТРОМ перейдите в « Настройки» и выберите «Облако и виртуализация» > «Azure» . На странице Azure перечислены уже настроенные подключения Azure. Примечание . Если вы не предоставили АктивныйШлюз, необходимый для мониторинга Azure (подробности см. в разделе Предварительные требования ), соответствующая информация будет предоставлена ​​на экране, и вы не сможете продолжить процесс настройки.

Изменение или удаление существующих подключений

Вы можете вернуться и изменить уже настроенные соединения позже.

• В меню Ключ-АСТРОМ перейдите в « Настройки» и выберите «Облако и виртуализация» > «Azure» . На странице перечислены существующие подключения.
• Отредактируйте соединения по мере необходимости.
  • Чтобы отредактировать существующее соединение или отслеживаемые службы внутри, выберите «Изменить»  в этой строке.
  • Чтобы удалить существующее соединение, выберите Удалить  в этой строке.

2. Выберите Подключить новый экземпляр и заполните поля конфигурации.

• Идентификатор соединения — введите описательное имя для соединения.
• Идентификатор клиента и идентификатор арендатора — введите значения, полученные при создании субъекта-службы Azure. Примечание . Если вы создали субъект-службу Azure в PowerShell, задайте для идентификатора клиентаApplicationId значение.
• Секретный ключ — получен при создании субъекта-службы Azure.

Ограничение сбора данных

Вы можете ограничить данные, получаемые из Azure Monitor, определив фильтр на основе тегов для определенных ресурсов. Дополнительные сведения о фильтрации на основе тегов см. в разделе Ограничение мониторинга Azure с помощью тегов .

Автоматический импорт тегов

При желании вы можете отключить автоматический импорт тегов. Если этот параметр включен, теги ресурсов будут импортированы, но теги групп ресурсов импортированы не будут.

3. Выберите Подключиться , чтобы добавить информацию о подключении в список подключений Azure.

Службы Azure, отслеживаемые по умолчанию

После того как Ключ-АСТРОМ подключится к вашей среде Azure, он сразу же начнет отслеживать встроенные службы Azure для указанного вами субъекта-службы. В метриках Azure по умолчанию перечислены метрики облачных служб Azure, отслеживаемые по умолчанию.

Мониторинг других служб Azure

В дополнение к облачным службам Azure, которые отслеживаются по умолчанию, также можно отслеживать все другие облачные службы Azure. Облачные службы Azure включены для мониторинга для каждого подключения Azure.

Чтобы добавить сервис в мониторинг

1. В меню Ключ-АСТРОМ перейдите в « Настройки» и выберите «Облако и виртуализация» > «Azure» .
2. На странице обзора Azure найдите подключение, которое вы хотите изменить, и выберите Изменить  в этой строке.
3. В разделе Службы выберите Управление службами .
4. Выберите Добавить службу.
5. Выберите имя службы из списка.
6. Выберите Добавить службу .
7. Выберите службу из списка, а затем выберите Добавить службу .
8. Выберите Сохранить изменения , чтобы сохранить конфигурацию.

Примечание . Вы можете добавить несколько облачных служб, повторив шаги, описанные выше.

Настройка собираемых метрик для каждой службы

После добавления службы Ключ-АСТРОМ автоматически начинает собирать набор показателей для этой конкретной службы.

Рекомендуемые показатели:

• Включено по умолчанию
• Не может быть отключено
• Может поставляться с рекомендуемыми размерами (включено по умолчанию, не может быть отключено)
• Может поставляться с дополнительными размерами (отключено по умолчанию, может быть включено)

Помимо рекомендуемых метрик, в большинстве сервисов есть возможность включения дополнительных метрик, которые можно добавлять и настраивать вручную.

Список облачных служб Azure и собранные метрики

Полный список облачных служб Azure и сведения о метриках, собираемых для каждой из них, см. в разделе Облачные службы Azure .

Кроме того, вы можете проверить список поддерживаемых служб Azure в Ключ-АСТРОМ Hub или внутри продукта Hub: в меню Ключ-АСТРОМ перейдите в Ключ-АСТРОМ Hub и найдите Azure.

Чтобы добавить и настроить показатели

1. В меню Ключ-АСТРОМ перейдите в « Настройки» и выберите «Облако и виртуализация» > «Azure» .
2. На странице обзора Azure найдите подключение, которое вы хотите изменить, и выберите Изменить  в этой строке.
3. В разделе Службы выберите Управление службами .
4. Выберите сервис, для которого вы хотите добавить метрики. На странице сведений о службе перечислены показатели, которые вы отслеживаете для этой службы.
5. Выберите Добавить показатель .
6. В списке Добавить новую метрику выберите метрику, а затем выберите Добавить метрику .
7. Выберите , чтобы развернуть сведения о метрике и настроить метрику.
8. Выберите Применить , чтобы сохранить конфигурацию.

После того, как вы выберете облачные службы и сохраните изменения, мониторинг новых добавленных служб запустится автоматически.

Что дальше?

Через несколько минут вы увидите данные на своих информационных панелях.

Чтобы увидеть основные измерения для каждого из ваших подключений к Azure

1. В меню Ключ-АСТРОМ выберите Инфраструктура > Azure .
2. Выберите подключение, для которого вы хотите просмотреть обзор инфраструктуры Azure.

Вы также можете создать собственную панель мониторинга на основе метрик, собранных для ваших экземпляров Azure. Подробнее о создании панелей мониторинга см. в разделе Панели мониторинга и отчеты .

Виртуальные машины, контейнеры и глубокий мониторинг кода с ЕдинымАгентом Ключ-АСТРОМ

ЕдиныйАгент Ключ-АСТРОМ предлагает непревзойденную глубину понимания хостов, контейнеров и кода. Дополнительные сведения см. в разделе Настройка Ключ-АСТРОМ в Microsoft Azure .

Дальнейшая настройка уведомлений и оповещений

После настройки мониторинга Azure вы сможете:

• Настроить уведомления мониторинга с помощью Azure Alerts . Это позволяет вам применять оповещения и автоматически преобразовывать их в события, которые используются механизмом причинно-следственной связи Davis® AI для более глубокого понимания.
• Настроить события метрик для оповещения . Это позволяет создавать, включать/отключать и настраивать рекомендуемые правила оповещения.

Мониторинг логов Azure

Вы также можете отслеживать логи Azure. Дополнительные сведения см. в статье Настройка пересылки логов Azure .