Анализ журналов Exchange с помощью Azure Log Analytics (часть 1)

Опубликовано: 6 Марта, 2023

Введение

Microsoft Operations Management Suite (OMS) — это новое облачное решение Microsoft для управления в Azure, которое обеспечивает автоматизацию, резервное копирование виртуальных машин и восстановление сайта, а также безопасность и соответствие требованиям в локальных и общедоступных облачных средах организации. Log Analytics — один из компонентов этого пакета OMS. Это решение «программное обеспечение как услуга» (SaaS), которое использует возможности Azure для сбора, хранения и анализа данных журналов, созданных ресурсами в облачных и локальных средах организации, таких как серверы Windows и/или Linux. Это дает администраторам информацию в режиме реального времени с помощью встроенного поиска и настраиваемых панелей мониторинга, чтобы легко анализировать миллионы записей по всем рабочим нагрузкам и серверам независимо от их физического местоположения.

С помощью Log Analytics мы можем получить более глубокое представление о нашей среде за счет:

  • Легко собирать, централизованно хранить и анализировать данные журналов;
  • Разрабатывайте действенные идеи, используя встроенный интеллект;
  • Расследовать и устранять инциденты быстрее;
  • Обеспечьте единообразную видимость локальных и облачных ресурсов.

Существует бесплатный уровень Log Analytics, который предоставляет организациям 500 МБ ежедневной загрузки и семь дней хранения данных. Если нужно больше, то цена указана ниже (в долларах США):

Свободно Стандарт Премиум
Цена Свободно 2,30 долл. США/ГБ 3,50 долл. США/ГБ
Дневной лимит 500 МБ * Никто Никто
Срок хранения 7 дней 1 месяц 12 месяцев

* Если клиент достигает дневного лимита в 500 МБ, анализ данных останавливается и возобновляется в начале следующего дня (по UTC).

Компоненты и архитектура Log Analytics

Поскольку основные компоненты Log Analytics размещены в Azure, требования к его развертыванию минимальны. Во-первых, у нас есть подключенные источники, то есть компьютеры и другие ресурсы, которые генерируют данные, собираемые Log Analytics. Например, это могут быть серверы Windows, Linux или Azure.

Источники данных — это различные типы данных, собираемых из каждого подключенного источника, включая данные о событиях и производительности с серверов Windows или Linux, журналы IIS и настраиваемые текстовые журналы. Как мы увидим позже в этой серии статей, мы настраиваем каждый источник данных, который мы хотим собрать, и конфигурация автоматически доставляется к каждому подключенному источнику.

Для сбора данных мы должны установить агенты на серверах Windows и Linux, но для компьютеров, которые уже являются членами подключенной группы управления SCOM, дополнительный агент не требуется. Агенты SCOM будут продолжать взаимодействовать с серверами управления, которые будут пересылать свои данные в Log Analytics. Некоторые решения требуют, чтобы агенты напрямую взаимодействовали с Log Analytics.

Мы также можем импортировать данные с помощью Solutions, которые добавляют функциональность Log Analytics. В основном они работают в облаке и обеспечивают анализ данных, собранных в репозитории OMS. Мы можем использовать решения, например, для предоставления сводки о текущих действиях пользователей в Office 365 (как мы увидим позже в этой серии статей), оценки риска и работоспособности Active Directory, просмотра состояния антивируса и защиты от вредоносных программ на серверах, определение отсутствующих обновлений системы и многое другое.

В центре Log Analytics находится репозиторий OMS, в котором сохраняются все собранные данные. Каждый источник данных может создавать разные типы записей со своим собственным набором свойств, но эти данные по-прежнему можно анализировать вместе с помощью запросов к репозиторию. Это позволяет нам использовать одни и те же инструменты и методы для работы с разными видами данных, собранными из разных источников.

На следующей диаграмме мы можем увидеть общую архитектуру Log Analytics:

Все агенты регистрируются с помощью ключа регистрации, и между агентом и службой Log Analytics устанавливается безопасное соединение с использованием проверки подлинности на основе сертификата и SSL через порт 443. Аналогичным образом в Operations Manager мы регистрируем учетную запись в Log Analytics и безопасное соединение HTTPS. устанавливается между сервером управления Operations Manager. Если Operations Manager по какой-либо причине не может связаться со службой, собранные данные сохраняются во временном кэше, а сервер управления пытается повторно отправлять данные каждые 8 минут в течение 2 часов.

Регистрация в Log Analytics

Прежде чем подписаться на Log Analytics, нам необходимо понять концепцию рабочей области OMS. Вы можете думать о рабочей области как об уникальной среде OMS с собственным хранилищем данных, источниками данных и решениями. Вы можете создать несколько рабочих областей в своей подписке для поддержки нескольких сред, таких как производственная и тестовая среды, или, например, даже разных команд в вашей организации.

Начать использовать Log Analytics очень просто! У нас есть два варианта выбора способа создания рабочего пространства OMS:

  • Используя веб-сайт Microsoft Operations Management Suite;
  • Использование подписки Microsoft Azure.

Как уже упоминалось, мы можем создать бесплатную рабочую область OMS с помощью веб-сайта OMS или использовать существующую подписку Azure (если она у нас есть). Обе рабочие области эквивалентны, за исключением того, что с бесплатной мы можем ежедневно отправлять в службу OMS только 500 МБ данных. Если мы используем подписку Azure, мы также можем использовать эту подписку для доступа к другим службам Azure.

Прежде чем перейти к тому, как создать нашу первую рабочую область OMS для Log Analytics, давайте кратко рассмотрим предварительные условия и рекомендации по развертыванию:

  • Нам нужна платная подписка Azure, чтобы в полной мере использовать Log Analytics. Если у нас нет подписки Azure, мы создаем бесплатную учетную запись, которая позволит нам получить доступ к любой службе Azure. Кроме того, мы можем создать бесплатную учетную запись OMS. Вскоре мы рассмотрим оба варианта;
  • Каждый компьютер Windows, с которого мы хотим собирать данные, должен работать под управлением Windows Server 2008 SP1 или более поздней версии либо Windows 7 SP1 или более поздней версии;
  • Агенты на каждом сервере должны иметь возможность подключаться к службе OMS. При использовании брандмауэра для ограничения доступа к Интернету убедитесь, что он разрешает агентам доступ к , и на порт 443;
  • Сервер OMS Log Analytics Forwarder (Gateway) можно использовать для перенаправления трафика с серверов без доступа к Интернету в OMS (это выходит за рамки этой серии статей);
  • При использовании Operations Manager Log Analytics поддерживает Operations Manager 2012 SP1 UR6 и выше, а также Operations Manager 2012 R2 UR2 и выше;

Если использование данных и производительность вызывают беспокойство, рекомендуется развертывать агенты по отдельности и проверять влияние на производительность и использование данных перед добавлением дополнительных агентов. Лучше начать с минимального сбора, пока не будет определено использование данных и влияние на производительность.

Подписка с помощью веб-сайта Operations Management Suite

Если у вас нет подписки Azure или вы просто хотите быстро протестировать Log Analyzer, например, не «касаясь» рабочей среды Azure, вы можете бесплатно попробовать Log Analyzer, выполнив следующие действия:

  1. Перейдите на веб-сайт Operations Management Suite и нажмите Создать бесплатную учетную запись:
  1. Затем нажмите «Начать» >:
  1. Войдите в свою учетную запись Microsoft, например Outlook.com, или с учетной записью организации;
  2. Укажите уникальное имя рабочей области, укажите адрес электронной почты и регион, в котором вы хотите хранить свои данные, и нажмите СОЗДАТЬ:
  1. Теперь вы готовы приступить к работе с порталом Operations Management Suite и Log Analytics! На панели инструментов мы можем быстро увидеть использование данных, количество настроенных источников, наш тарифный план и многое другое:

Мастер получения заявленных помогает нам настроить и настроить Log Analytics, но давайте сначала проверим, как зарегистрироваться с помощью существующей подписки Azure, прежде чем делать это.

Что дальше?

В этой первой части этой серии статей мы представили Log Analytics и рассмотрели, как зарегистрироваться с помощью веб-сайта Operations Management Suite. В следующей части мы зарегистрируемся с помощью портала Azure и посмотрим, как подключить наши серверы Exchange к Log Analytics.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023