Azure's Monitoring Toolbox
Instrumenten en Technieken
Een onderdeel van een Azure Landing Zone is het monitoren van de omgeving. Je wilt bijvoorbeeld zien dat er afwijkingen zijn in het normale gedrag van het verkeer op de firewall. Onze ervaringen zijn dat je hiermee veel sneller kunt reageren op veranderingen in je omgeving. In dit blog vertellen we over welke instrumenten en technieken je hiervoor kunt gebruiken.
Azure Monitor
Azure Monitor is een verzamelnaam van de verschillende monitoring tools binnen Azure. Azure Monitor kan uit verschillende bronnen data verzamelen en opslaan.
Deze bronnen kunnen in Azure, on-premises of andere Cloud omgevingen staan. Bronnen zijn bijvoorbeeld applicaties, infrastructuur of het Azure platform. De gegevens die hierbij verzameld worden zijn metrics, logs, traces en changes. Je kunt vervolgens deze gegevens bevragen en gebruiken in diverse analyse en visualisatie tools. Ook kun je meer inzicht krijgen of acties laten uitvoeren zoals we verderop zullen beschrijven.
Onderdelen die onder Azure Monitor vallen zijn bijvoorbeeld Log Analytics Workspaces, Application Insights en Alerts.
Kijk hier voor meer informatie over Azure Monitor.
Log Analytics Workspace
Een Azure Log Analytics Workspace is een unieke omgeving voor loggegevens van Azure Monitor en andere Azure-services, zoals Microsoft Sentinel en Microsoft Defender for Cloud. Elke workspace heeft zijn eigen data repository en configuratie, maar kan gegevens van meerdere services combineren.
In Log Analytics worden logs opgeslagen in diverse tabellen. Elke resource type heeft zijn eigen tabel structuur. De logs van diverse resources van hetzelfde type, worden opgeslagen in dezelfde tabel.
KQL – Log analytics workspace
Kusto Query Language (KQL) is een krachtige querytaal die wordt gebruikt voor het doorzoeken en analyseren van gegevens in Azure Log Analytics Workspaces.
Er zijn binnen de log analytics workspaces vele voorbeelden van query’s beschikbaar. Indien de log analytics workspace geopend wordt vanuit een specifieke resource, verschijnen de voorbeelden voor dat resource type die je kunnen helpen bij het zoeken naar de juiste gegevens. Deze queries kun je aanpassen en opslaan naar eigen inzicht. De queries kunnen gebruikt worden in bijvoorbeeld workbooks, dashboards en alerts.
Azure Monitor Alerts
Azure Monitor Alerts helpen je om proactief problemen te detecteren én op te lossen. Voordat gebruikers problemen opmerken, word je op de hoogte gesteld wanneer bepaalde indicatoren afwijken van de ingestelde waarden.
Er zijn verschillende soorten alerts, zoals metric-, log-, activity log-, service status- en resource status alerts. Een alert rule bewaakt uw gegevens en geeft een signaal af dat aangeeft dat er iets gebeurt op de gespecificeerde resource. De alert initieert de bijbehorende action group en werkt de status van de waarschuwing bij. Action groups kunnen meldingen versturen zoals e-mail, sms en pushmeldingen. Evenals runbooks, Azure functions, logic apps of webhooks acties initiëren.
Defender for Cloud
Microsoft Defender voor Cloud is een cloud-native applicatiebeschermingsplatform waarmee je jouw omgeving kunt monitoren op beveiligingsrisico’s en compliancy.
De beveiliging van je cloud- en on-premises bronnen hangt af van de juiste configuratie en implementatie. Aanbevelingen van Defender voor Cloud identificeren de stappen die je kunt nemen om je omgeving te beveiligen.
Defender heeft meerdere compliancy standaarden ingebouwd om te controleren of jouw omgeving voldoet aan deze standaarden. Denk aan ISO 27001, CIS en SOC2. Er zijn ook custom compliance rules voor bijvoorbeeld BIO (normen kader voor Nederlandse overheidsinstellingen).
Sentinel
Microsoft Sentinel is een cloud-native SIEM-oplossing (Security Information and Event Management) die je helpt om uw organisatie te beschermen tegen geavanceerde cyberaanvallen. Met Microsoft Sentinel kun je bedreigingen detecteren, analyseren en erop reageren met behulp van kunstmatige intelligentie en automatisering.
Microsoft Sentinel geeft je een compleet beeld van je beveiligingsstatus, zodat je snel en effectief kunt reageren op incidenten. Microsoft Sentinel vermindert de complexiteit en de kosten van beveiligingsbeheer, zodat je je kunt concentreren op je kerntaken.
Dashboards
Al deze zaken kun je weer in een dashboard zetten. Met een dashboard kun je met grafieken en tabellen een overzicht krijgen van (een gedeelte) van je omgeving.
Voor verschillende rollen of taken kun je dashboards creëren waarin alle benodigde informatie staat. Dashboards waar je aan kunt denken zijn:
- Kosten dashboard
Een van de zaken die je zeker eenvoudig wilt kunnen zien zijn de kosten van je Azure omgeving. Je kunt denken aan een overzicht van alle ingestelde budgetten en voorspellingen van de kosten.
- Security dashboard
Bij security gerelateerde zaken kun je denken aan de data van Azure Firewall, Application Gateway, Web Application Firewall en Defender for Cloud. Deze hebben allemaal hun eigen logs en het is aan te raden om deze weer te geven in één dashboard.
- Overview dashboard
Ook is het handig om de belangrijkste resources en logs weer te geven in een dashboard waar een eerste lijns medewerker of manager kan zien wat de status is. Bijvoorbeeld om een eerste inschatting te maken bij een verstoring.
Workbooks
Een Workbook is een interactief rapport. Workbooks kunnen worden ingezet in plaats van of naast dashboards. Er zijn al vele workbooks beschikbaar in Azure en deze kunnen ook weer worden geïntegreerd in dashboards.
Nu heb je een aantal tools in handen om grip en controle te krijgen en behouden op je Azure omgeving.
Heb je hulp nodig met het opzetten van deze de Azure Monitoring tools voor je omgeving? Neem dan contact met ons op om te bespreken hoe wij je kunnen helpen.
Gertjan Banga, Cloud Engineer
