Migrera från Splunk till Azure Monitor-loggar
Azure Monitor-loggar är en molnbaserad tjänst för hanterad övervakning och observerbarhet som ger många fördelar när det gäller kostnadshantering, skalbarhet, flexibilitet, integrering och låg underhållskostnader. Tjänsten är utformad för att hantera stora mängder data och skala enkelt för att uppfylla behoven hos organisationer av alla storlekar.
Azure Monitor-loggar samlar in data från en mängd olika källor, inklusive Windows-händelseloggar, Syslog och anpassade loggar, för att ge en enhetlig vy över alla Azure- och icke-Azure-resurser. Med hjälp av ett avancerat frågespråk och en kuraterad visualisering kan du snabbt analysera miljontals poster för att identifiera, förstå och svara på kritiska mönster i dina övervakningsdata.
Den här artikeln beskriver hur du migrerar din Splunk Observability-distribution till Azure Monitor-loggar för loggning och loggdataanalys.
Information om hur du migrerar din SIEM-distribution (Security Information and Event Management) från Splunk Enterprise Security till Azure Sentinel finns i Planera migreringen till Microsoft Sentinel.
Varför migrera till Azure Monitor?
Fördelarna med att migrera till Azure Monitor är:
- Fullständigt hanterad, SaaS-plattform (Software as a Service) med:
- Automatiska uppgraderingar och skalning.
- Enkel prissättning per GB betala per användning.
- Kostnadsoptimerings- och övervakningsfunktioner och lågkostnadstabellplaner för Basic och Auxiliary.
- Molnbaserad övervakning och observerbarhet, inklusive:
- Intern integrering med en rad kompletterande Azure-tjänster, till exempel Microsoft Sentinel för säkerhetsinformation och händelsehantering, Azure Logic Apps för automatisering, Azure Managed Grafana för instrumentpaneler och Azure Machine Learning för avancerade analys- och svarsfunktioner.
Jämföra erbjudanden
| Splunk-erbjudande | Produkt | Azure-erbjudande |
|---|---|---|
| Splunk Platform |
|
Azure Monitor-loggar är en centraliserad SaaS-plattform (programvara som en tjänst) för insamling, analys och hantering av telemetridata som genereras av Azure och andra resurser och program än Azure. |
| Splunk Observability |
|
Azure Monitor är en lösning från slutpunkt till slutpunkt för att samla in, analysera och agera på telemetri från molnmiljöer, multimolnmiljöer och lokala miljöer, som bygger på en kraftfull pipeline för datainmatning som delas med Microsoft Sentinel. Azure Monitor erbjuder företag en omfattande lösning för övervakning av molnmiljöer, hybridmiljöer och lokala miljöer, med nätverksisolering, motståndskraftsfunktioner och skydd mot datacenterfel, rapportering och aviseringar och svarsfunktioner . Azure Monitors inbyggda funktioner är:
|
| Splunk Security |
|
Microsoft Sentinel är en molnbaserad lösning som körs över Azure Monitor-plattformen för att tillhandahålla intelligent säkerhetsanalys och hotinformation i hela företaget. |
Introduktion till viktiga begrepp
| Azure Monitor-loggar | Liknande Splunk-koncept | beskrivning |
|---|---|---|
| Log Analytics-arbetsyta | Namnområde | En Log Analytics-arbetsyta är en miljö där du kan samla in loggdata från alla Azure- och icke-Azure-övervakade resurser. Data på arbetsytan är tillgängliga för frågor och analyser, Azure Monitor-funktioner och andra Azure-tjänster. På samma sätt som i ett Splunk-namnområde kan du hantera åtkomsten till data och artefakter, till exempel aviseringar och arbetsböcker, på Log Analytics-arbetsytan. Utforma din Log Analytics-arbetsytearkitektur baserat på dina behov – till exempel delad fakturering, regionala datalagringskrav och återhämtningsöverväganden. |
| Tabellhantering | Indexering | Azure Monitor-loggar matar in loggdata i tabeller i en hanterad Azure Data Explorer-databas . Under inmatningen indexerar och tidsstämplar tjänsten automatiskt data, vilket innebär att du kan lagra olika typer av data och komma åt data snabbt med hjälp av KQL-frågor (Kusto-frågespråk). Använd tabellegenskaper för att hantera tabellschemat, datakvarhållningen och om du vill lagra data för tillfällig granskning och felsökning eller för pågående analys och användning av funktioner och tjänster. En jämförelse av datahanterings- och frågebegrepp för Splunk och Azure Data Explorer finns i Splunk to Kusto-frågespråk map (Splunk to Kusto-frågespråk map). |
| Analys-, Basic- och Extratabellplaner | Azure Monitor-loggar erbjuder tre tabellplaner som gör att du kan minska kostnaderna för logginmatning och kvarhållning och dra nytta av Azure Monitors avancerade funktioner och analysfunktioner baserat på dina behov. Analysplanen gör loggdata tillgängliga för interaktiva frågor och används av funktioner och tjänster. Med Basic-planen kan du mata in och behålla loggar till en lägre kostnad för felsökning och incidenthantering. Hjälpplanen är ett billigt sätt att mata in och behålla loggar med låg touch-data, till exempel utförliga loggar och data som krävs för granskning och efterlevnad. |
|
| Långsiktig kvarhållning | Tillstånd för data bucket (frekvent, varm, kall, tinad), arkivering, Dynamiskt data active archive (DDAA) | Det kostnadseffektiva alternativet för långsiktig kvarhållning behåller dina loggar på Log Analytics-arbetsytan och gör att du kan komma åt dessa data omedelbart när du behöver dem. Ändringar i kvarhållningskonfigurationen börjar gälla omedelbart eftersom data inte överförs fysiskt till extern lagring. Du kan återställa data i långsiktig kvarhållning eller köra ett sökjobb för att göra ett visst tidsintervall med data tillgängliga för realtidsanalys. |
| Åtkomstkontroll | Rollbaserad användaråtkomst, behörigheter | Definiera vilka personer och resurser som kan läsa, skriva och utföra åtgärder på specifika resurser med hjälp av rollbaserad åtkomstkontroll (RBAC) i Azure. En användare med åtkomst till en resurs har åtkomst till resursens loggar. Azure underlättar datasäkerhet och åtkomsthantering med funktioner som inbyggda roller, anpassade roller, arv av rollbehörighet och granskningshistorik. Du kan också konfigurera åtkomst på arbetsytenivå och åtkomst på tabellnivå för detaljerad åtkomstkontroll till specifika datatyper. |
| Datatransformationer | Transformeringar, fältextraheringar | Med transformeringar kan du filtrera eller ändra inkommande data innan de skickas till en Log Analytics-arbetsyta. Använd transformeringar för att ta bort känsliga data, berika data på Log Analytics-arbetsytan, utföra beräkningar och filtrera bort data som du inte behöver för att minska datakostnaderna. |
| Regler för datainsamling | Dataindata, datapipeline | Definiera vilka data som ska samlas in, hur du transformerar dessa data och var data ska skickas. |
| Kusto-frågespråk (KQL) | Splunk Search Processing Language (SPL) | Azure Monitor-loggar använder en stor delmängd av KQL som är lämplig för enkla loggfrågor men som även innehåller avancerade funktioner som sammansättningar, kopplingar och smart analys. Använd Splunk för att Kusto-frågespråk karta för att översätta dina Splunk SPL-kunskaper till KQL. Du kan också lära dig KQL med självstudier och KQL-utbildningsmoduler. |
| Log Analytics | Splunk Web, Search app, Pivot tool | Ett verktyg i Azure Portal för att redigera och köra loggfrågor i Azure Monitor-loggar. Log Analytics innehåller också en omfattande uppsättning verktyg för att utforska och visualisera data utan att använda KQL. |
| Kostnadsoptimering | Azure Monitor innehåller verktyg och metodtips som hjälper dig att förstå, övervaka och optimera dina kostnader baserat på dina behov. |
1. Förstå din aktuella användning
Din aktuella användning i Splunk hjälper dig att avgöra vilken prisnivå du ska välja i Azure Monitor och beräkna dina framtida kostnader:
- Följ Splunk-vägledningen för att visa din användningsrapport.
- Kostnadsuppskattningar i Azure Monitor med hjälp av priskalkylatorn.
2. Konfigurera en Log Analytics-arbetsyta
Log Analytics-arbetsytan är den plats där du samlar in loggdata från alla dina övervakade resurser. Du kan behålla data på en Log Analytics-arbetsyta i upp till sju år. Med dataarkivering till låg kostnad på arbetsytan kan du snabbt och enkelt komma åt data i långsiktig kvarhållning när du behöver dem, utan att behöva hantera ett externt datalager.
Vi rekommenderar att du samlar in alla dina loggdata på en enda Log Analytics-arbetsyta för enkel hantering. Om du överväger att använda flera arbetsytor kan du läsa Designa en Log Analytics-arbetsytearkitektur.
Så här konfigurerar du en Log Analytics-arbetsyta för datainsamling:
Skapa en Log Analytics-arbetsyta.
Azure Monitor-loggar skapar Azure-tabeller på din arbetsyta automatiskt baserat på Azure-tjänster som du använder och inställningar för datainsamling som du definierar för Azure-resurser.
Konfigurera din Log Analytics-arbetsyta, inklusive:
- Prisnivå.
- Länka din Log Analytics-arbetsyta till ett dedikerat kluster för att dra nytta av avancerade funktioner, om du är berättigad, baserat på prisnivån.
- Dagligt tak.
- Datakvarhållning.
- Nätverksisolering.
- Åtkomstkontroll.
Använd konfigurationsinställningar på tabellnivå för att:
Definiera varje tabells loggdataplan.
Standardplanen för loggdata är Analytics, som gör att du kan dra nytta av Azure Monitors omfattande funktioner för övervakning och analys.
Ange en datakvarhållnings- och arkiveringsprincip för specifika tabeller, om du vill att de ska skilja sig från datakvarhållnings- och arkiveringsprincipen på arbetsytans nivå.
Ändra tabellschemat baserat på din datamodell.
3. Migrera Splunk-artefakter till Azure Monitor
Om du vill migrera de flesta Splunk-artefakter måste du översätta Splunk Processing Language (SPL) till Kusto-frågespråk (KQL). Mer information finns i Splunk to Kusto-frågespråk map and Kom igång with log queries in Azure Monitor (Splunk to Kusto-frågespråk map and Kom igång with log queries in Azure Monitor).
Den här tabellen innehåller Splunk-artefakter och länkar till vägledning för att konfigurera motsvarande artefakter i Azure Monitor:
| Splunkartefakt | Azure Monitor-artefakt |
|---|---|
| Aviseringar | Aviseringsregler |
| Aviseringsåtgärder | Åtgärdsgrupper |
| Infrastrukturövervakning | Azure Monitor Insights är en uppsättning färdiga, granskade övervakningsupplevelser med förkonfigurerade dataindata, sökningar, aviseringar och visualiseringar för att komma igång med att analysera data snabbt och effektivt. |
| Instrumentpaneler | Arbetsböcker |
| Uppslag | Azure Monitor erbjuder olika sätt att utöka data, bland annat: - Datainsamlingsregler som gör att du kan skicka data från flera källor till en Log Analytics-arbetsyta och utföra beräkningar och transformeringar innan du matar in data. – KQL-operatorer, till exempel kopplingsoperatorn, som kombinerar data från olika tabeller och operatorn externaldata, som returnerar data från extern lagring. – Integrering med tjänster, till exempel Azure Machine Learning eller Azure Event Hubs, för att tillämpa avancerad maskininlärning och strömma in mer data. |
| Namnrymder | Du kan bevilja eller begränsa behörighet till artefakter i Azure Monitor baserat på åtkomstkontroll som du definierar på din Log Analytics-arbetsyta eller Azure-resursgrupper. |
| Behörigheter | Åtkomsthantering |
| Rapporter | Azure Monitor erbjuder en mängd olika alternativ för att analysera, visualisera och dela data, inklusive: - Integrering med Grafana - Insikter - Arbetsböcker - Instrumentpaneler - Integrering med Power BI - Integrering med Excel |
| Sökningar | Frågor |
| Källtyper | Definiera din datamodell på Log Analytics-arbetsytan. Använd inmatningstidstransformeringar för att filtrera, formatera eller ändra inkommande data. |
| Metoder för datasamlingar | Se Samla in data för Azure Monitor-verktyg som är utformade för specifika resurser. |
Information om hur du migrerar Splunk SIEM-artefakter, inklusive identifieringsregler och SOAR-automatisering, finns i Planera migreringen till Microsoft Sentinel.
4. Samla in data
Azure Monitor innehåller verktyg för att samla in data från loggdatakällor på Azure- och icke-Azure-resurser i din miljö.
Så här samlar du in data från en resurs:
- Konfigurera det relevanta datainsamlingsverktyget baserat på tabellen nedan.
- Bestäm vilka data du behöver samla in från resursen.
- Använd transformeringar för att ta bort känsliga data, berika data eller utföra beräkningar och filtrera bort data som du inte behöver för att minska kostnaderna.
Den här tabellen visar de verktyg som Azure Monitor tillhandahåller för att samla in data från olika resurstyper.
| Resurstyp | Datainsamlingsverktyg | Liknande Splunk-verktyg | Insamlade data |
|---|---|---|---|
| Azure | Diagnostikinställningar | Azure-klientorganisation – Microsoft Entra-granskningsloggar ger inloggningsaktivitetshistorik och spårningsspår för ändringar som gjorts i en klientorganisation. Azure-resurser – loggar och prestandaräknare. Azure-prenumeration – Tjänststatus poster tillsammans med poster om eventuella konfigurationsändringar som gjorts i resurserna i din Azure-prenumeration. |
|
| Program | Application Insights | Prestandaövervakning av Splunk-program | Övervakningsdata för programprestanda. |
| Container | Containerinsikter | Övervakning av containrar | Prestandadata för containrar. |
| Operativsystem | Azure Monitor-agent | Universell vidarebefordrare, tung vidarebefordrare | Övervaka data från gästoperativsystemet för virtuella Datorer i Azure och andra datorer än Azure. |
| Icke-Azure-källa | Loggar inmatnings-API | HTTP-händelseinsamlare (HEC) | Filbaserade loggar och alla data som du skickar till en datainsamlingsslutpunkt på en övervakad resurs. |
5. Övergång till Azure Monitor-loggar
En vanlig metod är att gradvis övergå till Azure Monitor-loggar och samtidigt underhålla historiska data i Splunk. Under den här perioden kan du:
- Använd API:et för logginmatning för att mata in data från Splunk.
- Använd Log Analytics-dataexport för arbetsytor för att exportera data från Azure Monitor.
Så här exporterar du historiska data från Splunk:
- Använd någon av Splunk-exportmetoderna för att exportera data i CSV-format.
- Så här samlar du in exporterade data:
Använd Azure Monitor Agent för att samla in data som du exporterar från Splunk, enligt beskrivningen i Samla in textloggar med Azure Monitor Agent.
eller
Samla in exporterade data direkt med API:et för logginmatning enligt beskrivningen i Skicka data till Azure Monitor-loggar med hjälp av ett REST-API.
Nästa steg
- Läs mer om hur du använder Log Analytics och Log Analytics Query API.
- Aktivera Microsoft Sentinel på din Log Analytics-arbetsyta.
- Ta utbildningsmodulen Analysera loggar i Azure Monitor med KQL.