数据平面日志配置 Azure
为数据平面资源配置 Azure 本机日志和监控。
Azure Azure Monitor、日志分析(Log Analytics)和微软哨兵(Microsoft Sentinel)提供了一个本机可观察性套件,用于收集、查询和警报整个数据平面的遥测和安全数据。
启用 Azure 资源的诊断设置
必须为每个 Azure 资源启用诊断设置,才能发布日志和指标。
通用资源记录目标:
- 虚拟机:性能计数器、系统日志、审计日志
- 网络接口:NSG 流量日志、指标
- Azure Storage :读取/写入/删除日志
- 密钥库:审计日志(如秘密访问)
配置示例 ( Azure CLI):
az monitor diagnostic-settings create \
--name "byoc-logs" \
--resource "/subscriptions/xxxx/resourceGroups/byoc-resources/providers/Microsoft.Compute/virtualMachines/my-vm" \
--workspace "/subscriptions/xxxx/resourceGroups/logs/providers/Microsoft.OperationalInsights/workspaces/byoc-logs" \
--logs '[{"category": "AuditLogs", "enabled": true}]'您还可以将日志路由至
- 日志分析工作区(用于查询)
- 存储账户(用于存档)
- 事件集线器(用于集成第三方 SIEM)
使用日志分析监控日志
日志分析工作区是日志存储和查询操作的后台。
KQL 查询示例
登录尝试失败(Windows/ Linux VM):
SecurityEvent
| where EventID == 4625
| summarize Count = count() by Account, Computer, bin(TimeGenerated, 1h)未经授权进入钥匙库:
AzureDiagnostics
| where ResourceType == "KEYVAULTS"
| where OperationName contains "Secret" and ResultType != "Success"启用 Microsoft Sentinel(可选但建议使用)
Microsoft Sentinel 是一个基于日志分析的 SIEM 解决方案,提供威胁检测、调查和自动响应功能。
启用哨兵:
az sentinel workspace create \
--resource-group byoc-rg \
--workspace-name byoc-logs \
--location eastus
示例:
- 不寻常的登录位置
- 来自外部 IP 的可疑流量
- 更改角色分配
使用 Playbooks 实现自动化:
- 通过 Microsoft Teams 发送通知
- 通过 NSG 屏蔽 IP
- 在 ITSM 系统中开票
日志记录和安全监控最佳实践
| 类别 | AWS 建议 | Azure 建议 |
|---|---|---|
| 集中日志记录 | 将所有日志路由到按工作负载或环境划分的 CloudWatch 日志组。 | 对所有数据平面资源使用单一日志分析工作区。 |
| 保留政策 | 应用 CloudWatch 保留设置,或根据生命周期策略存档到 S3。 | 为日志分析设置数据保留策略,并在需要时归档至 Azure Storage。 |
| 访问控制 | 使用 IAM 策略限制日志访问,并启用 CloudTrail 日志完整性。 | 对日志分析和哨兵使用 RBAC,并启用不可变存储。 |
| 加密 | 为 CloudWatch, CloudTrail, 和 S3 启用静态加密(使用 KMS)。 | 在日志分析和存储中对日志数据使用客户管理密钥 (CMK)。 |
| 告警 | 创建 CloudWatch 警报或使用 Amazon EventBridge 处理安全事件。 | 使用 Azure Monitor Alerts 和 Microsoft Sentinel 规则触发通知。 |
| 威胁检测 | 启用 GuardDuty ,并将调查结果与 CloudWatch 或外部 SIEM 集成。 | 启用 Microsoft Defender for Cloud 和 Sentinel 以进行内置威胁检测。 |
| 网络可视性 | 启用 VPC 流量日志、DNS 日志,并酌情使用 NACL/SG 日志。 | 使用 NSG 流量日志、防火墙日志和专用链路监控。 |
| 可审计性 | 使用 CloudTrail 跟踪跨服务和地区的 API 活动。 | 确保将活动日志和资源日志路由到分析工作区。 |
| 自动化与响应 | 使用 Lambda 或 Step 函数自动修复。 | 将逻辑应用程序与 Sentinel Playbooks 结合使用,自动应对威胁。 |
| 日志查询 | 使用 CloudWatch Logs Insights 或将日志导出到 S3 并通过 Athena 进行分析。 | 在日志分析中使用 KQL 进行高级过滤和安全调查。 |
查看日志
了解如何查看基于 Azure 的 Db2 部署的日志。
监控日志对于维护云基础设施的健康、安全和性能至关重要。 日志可提供系统行为、应用程序性能和用户活动的实时可见性。 通过分析日志,您可以
- 在问题影响用户之前进行检测和故障排除
- 识别安全威胁和未经授权的访问尝试
- 确保遵守业务和监管标准
- 了解使用模式和资源消耗,优化性能
主动日志监控可加快事件响应速度,支持根本原因分析,并有助于维护弹性和安全的环境。
查看容器日志 Azure
- 打开 Azure 门户网站
- 访问资源组
- 转到左侧导航窗格中的资源组。
- 搜索名称类似的资源组:
rg-ibmbyoc-<unique-id>-logging
- 打开日志分析工作区
- 在资源组中,找到并打开日志分析工作区。
- 工作区名称通常遵循以下模式:
logs-ibmbyoc-<unique-id>-common
- 导航至日志
在工作区中,从菜单中选择日志。
- 运行 KQL 查询
使用下列 Kusto 查询语言 (KQL) 查询之一检索日志数据。
查看控制台日志
ContainerLogV2 | where ContainerName has "console"查看 Db2 日志
ContainerLogV2 | where ContainerName has "mgmt" or ContainerName has "db"查看 db2diag 日志
ContainerLogV2 | where LogMessage has "db2diag"
查看数据平面日志 Azure
要访问和分析 Db2 Warehouse SaaS BYOC 部署的数据平面日志,请按照以下步骤操作:
- 打开 Azure 门户网站: https://portal.azure.com
- 搜索类似于
rg-ibmbyoc-<unique-id>-orchestration
- 搜索类似于
- 打开监控日志:
- 导航至监控 → 日志
- 运行以下 KQL 查询之一:
- 查看功能申请:
AppRequests - 查看功能跟踪:
AppTraces
- 查看功能申请: