الصفحة الرئيسية

مفسرون

إدارة السجلات

تحليلات سجلات Azure: الأساسيات ودليل سريع

9 minutes to read

فهرس المحتويات

ما هي تحليلات سجلات Azure؟

خدمة Azure Log Analytics هي خدمة تراقب مواردك وتطبيقاتك في السحابة وفي الموقع. تتيح لك جمع وتحليل البيانات الناتجة عن الموارد في بيئاتك السحابية والمحلية.

يمكنك استخدام Azure Log Analytics للبحث وتحليل وتصور البيانات لتحديد الاتجاهات، وحل المشكلات، ومراقبة أنظمتك. يمكنك أيضًا إعداد تنبيهات لإخطارك عند حدوث أحداث أو مشكلات معينة، حتى تتمكن من اتخاذ الإجراءات اللازمة لحلها.

حول هذا Explainer:

هذا المحتوى هو جزء من سلسلة حول إدارة السجلات.

القراءة الموصى بها:أمان SOAR: 3 مكونات، فوائد، وأفضل حالات الاستخدام.

كيف تعمل خدمة Azure Log Analytics

للوصول إلى Azure Log Analytics، تحتاج إلى تسجيل الدخول إلى بوابة Azure باستخدام حساب Azure الخاص بك. بمجرد تسجيل الدخول، يمكنك الوصول إلى Log Analytics من خلال تحديده من قائمة الخدمات في البوابة.

لاستخدام Log Analytics، تحتاج إلى إنشاء مساحة عمل Log Analytics في اشتراك Azure الخاص بك. مساحة العمل هي حاوية منطقية للبيانات التي يتم جمعها وتحليلها بواسطة Log Analytics. يمكنك إنشاء مساحات عمل متعددة لتنظيم البيانات من مصادر مختلفة، أو لاستخدام سياسات احتفاظ بالبيانات والوصول مختلفة.

تحليلات سجلات Azure: الأساسيات ودليل سريع — مصدر الصورة: أزور

بعض الميزات الرئيسية لأداة Azure Log Analytics تشمل:

مجموعة واسعة من مصادر البيانات: بمجرد إعداد مساحة العمل الخاصة بك، يمكنك البدء في جمع البيانات من مواردك وتطبيقاتك. يدعم Log Analytics مجموعة واسعة من مصادر البيانات، بما في ذلك موارد Azure، والخوادم المحلية، والتطبيقات، وأنواع مختلفة من بيانات السجلات والأداء. يمكنك استخدام وكيل Log Analytics أو جامعي البيانات الآخرين أو واجهات برمجة التطبيقات لإرسال البيانات إلى مساحة العمل الخاصة بك، أو مستودع سجلات الأمان، أو SIEM.
لغة استعلام قوية: يوفر تحليل السجلات لغة استعلام قوية يمكنك استخدامها لتصفية وتجميع البيانات.
استعلامات وحلول محددة مسبقًا: استخدم استعلامات وحلول جاهزة للبدء بسرعة، أو أنشئ استعلامات وحلول مخصصة خاصة بك.
المراقبة والتنبيه: يمكنك استخدام Log Analytics لإعداد تنبيهات يتم تفعيلها عند حدوث أحداث أو مشاكل معينة، ويمكنك تحديد الإجراءات التي يجب اتخاذها عند تفعيل التنبيه.
لوحات المعلومات: إنشاء لوحات معلومات لعرض البيانات في الوقت الحقيقي والبيانات التاريخية من مواردك وتطبيقاتك.

درس سريع: استكشاف بيئة عرض Azure Log Analytics

يستخدم هذا الدليل بيئة تجريبية لتحليل السجلات، والتي تتضمن بيانات نموذجية يمكنك استخدامها لاستكشاف قدرات هذه الخدمة وتعلم كيفية استخدامها.

افتح تحليلات السجلات

لفتح تحليل السجلات باستخدام بيئة تحليل السجلات التجريبية، اتبع الخطوات التالية:

اذهب إلى موقع بيئة عرض تحليلات السجلات.
انقر على زر تسجيل الدخول في الزاوية العلوية اليمنى من الصفحة.
أدخل عنوان بريدك الإلكتروني وانقر على التالي.
أدخل كلمة المرور الخاصة بك وانقر على تسجيل الدخول.
بعد تسجيل الدخول، سيتم نقلك إلى لوحة معلومات تحليلات السجلات. من هنا، يمكنك الوصول إلى جميع ميزات تحليلات السجلات، بما في ذلك البحث والتحليل والتصور.

للبدء في استخدام Log Analytics، يمكنك تجربة تشغيل بعض الاستعلامات والحلول المحددة مسبقًا، أو يمكنك إنشاء استعلامات وحلول مخصصة باستخدام لغة استعلام Log Analytics. يمكنك أيضًا إعداد تنبيهات وإنشاء لوحات معلومات لمراقبة بياناتك في الوقت الحقيقي.

يرجى ملاحظة أن بيئة عرض تحليل السجلات هي بيئة محاكاة وليست متصلة بأي مصادر بيانات حقيقية. وهي مخصصة لأغراض العرض والتعلم فقط. لاستخدام تحليل السجلات مع بياناتك الخاصة، ستحتاج إلى إعداد مساحة عمل لتحليل السجلات في اشتراك Azure الخاص بك.

عرض معلومات الجدول

لعرض معلومات الجدول في Azure Log Analytics باستخدام بيئة العرض التجريبية، اتبع الخطوات التالية:

اذهب إلى لوحة تحليلات السجلات من خلال النقر على زر لوحة التحكم في القائمة العلوية.
على صفحة لوحة التحكم، انقر على علامة التبويب الجداول في القائمة اليسرى. سيؤدي ذلك إلى عرض قائمة بجميع الجداول في بيئة العرض التوضيحي.
لعرض محتويات جدول، انقر على اسم الجدول في القائمة. سيفتح هذا عارض الجدول، الذي يتيح لك عرض وتحليل البيانات في الجدول.

يتضمن عارض الجدول عددًا من الميزات للبحث والتصفية وتصور البيانات. يمكنك استخدام مربع البحث في أعلى عارض الجدول لإدخال استعلام لتصفية البيانات، أو يمكنك استخدام فلاتر الأعمدة لتضييق نطاق البيانات حسب قيم محددة.

يمكنك أيضًا استخدام عارض الجداول لإنشاء الرسوم البيانية والتصورات الأخرى للبيانات. للقيام بذلك، انقر على زر "تصور" في القائمة العلوية، ثم اختر نوع التصور الذي ترغب في إنشائه. يمكنك بعد ذلك استخدام الخيارات في محرر التصور لتخصيص التصور حسب الحاجة.

اكتب استعلام

للكتابة استعلام في Azure Log Analytics باستخدام بيئة عرض Log Analytics، اتبع الخطوات التالية:

اذهب إلى لوحة تحليلات السجلات من خلال النقر على زر لوحة التحكم في القائمة العلوية.
على صفحة لوحة التحكم، انقر على علامة التبويب Logs في القائمة اليسرى.
في مربع البحث في أعلى الصفحة، أدخل استعلامك باستخدام لغة استعلام تحليلات السجلات.
اضغط على زر Enter أو انقر على زر Run لتنفيذ الاستعلام.

لغة استعلام تحليلات السجلات هي وسيلة قوية ومرنة للبحث وتحليل البيانات في تحليلات السجلات. تشمل مجموعة متنوعة من العوامل والدوال التي يمكنك استخدامها لتصفية وتجميع وتجميع البيانات.

حلل النتائج

لتحليل نتائج الاستعلامات، يمكنك استخدام الخيارات في الجدول أو التصور لتصفية البيانات وتجميعها. على سبيل المثال، إذا قمت بتشغيل استعلام أعاد جدولاً من إدخالات السجل، فقد ترغب في تجميع النتائج حسب عمود معين أو تطبيق فلتر لعرض صفوف معينة فقط. للقيام بذلك، يمكنك استخدام فلاتر الأعمدة وصندوق البحث في أعلى الجدول لتضييق نطاق البيانات.

إذا قمت بتشغيل استعلام أعاد تصورًا، يمكنك استخدام الخيارات في محرر التصور لتخصيص التصور. على سبيل المثال، قد ترغب في تغيير البيانات المعروضة، أو تطبيق فلاتر على البيانات.

العمل مع الرسوم البيانية

للاستفادة من الرسوم البيانية في Azure Log Analytics، اتبع هذه الخطوات:

اذهب إلى لوحة تحليلات السجلات من خلال النقر على زر لوحة التحكم في القائمة العلوية.
على صفحة لوحة التحكم، انقر على علامة التبويب Logs في القائمة اليسرى.
لإنشاء مخطط، انقر على زر تصور في القائمة العلوية واختر نوع المخطط الذي تريد إنشاؤه.
في محرر التصور، اختر البيانات التي تريد استخدامها للرسم البياني عن طريق إدخال استعلام في مربع البحث.
استخدم الخيارات في محرر التصور لتخصيص الرسم البياني حسب الحاجة. على سبيل المثال، يمكنك تغيير تسميات المحاور، إضافة تسميات البيانات، أو تغيير ألوان سلسلة البيانات.
عندما تنتهي من تخصيص الرسم البياني، انقر على زر حفظ لحفظ الرسم البياني في لوحة التحكم.

لعرض مخطط محفوظ، انقر على علامة التبويب اللوحات في القائمة اليسرى واختر اللوحة التي تحتوي على المخطط. سيتم عرض المخطط على صفحة اللوحة، ويمكنك استخدام الخيارات الموجودة في المخطط للتفاعل معه.

أفضل الممارسات لتحليلات سجلات Azure

استخدم أقل عدد ممكن من مساحات عمل تحليلات السجلات.

يُنصح عمومًا باستخدام عدد قليل من مساحات عمل تحليلات السجلات لأسباب عدة:

التكلفة: تتحمل كل مساحة عمل Log Analytics رسومًا منفصلة بناءً على كمية البيانات التي يتم استيعابها وتخزينها في المساحة. من خلال استخدام عدد أقل من المساحات، يمكنك تقليل تكاليفك بشكل محتمل.
البساطة: يمكن أن يؤدي استخدام عدد أقل من مساحات العمل إلى تسهيل إدارة بياناتك واستعلاماتك. بدلاً من الاضطرار إلى التبديل بين مساحات العمل المتعددة، يمكنك الاحتفاظ بجميع بياناتك واستعلاماتك في مساحة عمل واحدة.
الاحتفاظ بالبيانات: كل مساحة عمل لديها سياسة احتفاظ بالبيانات خاصة بها، والتي تحدد مدة الاحتفاظ بالبيانات في مساحة العمل. من خلال استخدام عدد أقل من مساحات العمل، يمكنك تبسيط سياسات الاحتفاظ بالبيانات الخاصة بك.
الوصول إلى البيانات: كل مساحة عمل لديها مجموعة خاصة بها من المستخدمين وضوابط الوصول. من خلال استخدام عدد أقل من مساحات العمل، يمكنك تبسيط ضوابط الوصول الخاصة بك وجعل إدارة وصول المستخدمين إلى بياناتك أسهل.

ومع ذلك، قد تكون هناك حالات حيث يكون من المنطقي استخدام مساحات عمل متعددة. على سبيل المثال، إذا كان لديك فرق مختلفة تعمل على مشاريع منفصلة، أو إذا كانت لديك متطلبات مختلفة للاحتفاظ بالبيانات والوصول إليها لمجموعات بيانات مختلفة، فقد ترغب في استخدام مساحات عمل منفصلة للحفاظ على البيانات منفصلة.

استخدم ضوابط الوصول المعتمدة على الأدوار (RBAC)

يسمح نظام التحكم في الوصول القائم على الأدوار (RBAC) بالتحكم في الوصول إلى مساحة عمل تحليلات السجلات والموارد التي تستخدمها بناءً على الأدوار التي تعينها للمستخدمين والمجموعات. من خلال استخدام RBAC، يمكنك التأكد من أن المستخدمين لديهم الأذونات التي يحتاجونها لأداء وظائفهم، مع حماية بياناتك ومواردك من الوصول غير المصرح به.

هناك العديد من الأدوار المدمجة في Azure التي يمكنك استخدامها لمنح الوصول إلى Log Analytics، بما في ذلك دور قارئ Log Analytics ودور مساهم Log Analytics. يمكنك أيضًا إنشاء أدوار مخصصة بأذونات محددة لتلبية احتياجاتك الخاصة.

من الجيد التفكير بعناية في الأدوار التي يجب تعيينها للمستخدمين، ومراجعة وتحديث الأدوار حسب الحاجة لضمان أنها مناسبة لمسؤوليات المستخدم.

اعتبر الاحتفاظ على 'مستوى الطاولة'

بشكل افتراضي، تمتلك Log Analytics سياسة احتفاظ بالبيانات عالمية تنطبق على جميع البيانات في مساحة العمل. ومع ذلك، يمكنك أيضًا تعيين سياسات احتفاظ محددة لجدول فردي في مساحة العمل. يُعرف هذا باسم "احتفاظ على مستوى الجدول".

يمكن أن يكون الاحتفاظ بمستوى الجدول مفيدًا في بعض الحالات:

متطلبات الاحتفاظ بالبيانات المختلفة: قد تحتوي أنواع البيانات المختلفة على متطلبات احتفاظ مختلفة. من خلال إعداد سياسات احتفاظ محددة لجدول معين، يمكنك ضمان الاحتفاظ بالبيانات طالما كانت مطلوبة، مع تقليل الكمية الإجمالية للبيانات المخزنة في مساحة العمل.
امتثال البيانات: في بعض الحالات، قد يُطلب منك الاحتفاظ بالبيانات لفترة زمنية محددة لتلبية متطلبات الامتثال. من خلال إعداد سياسات الاحتفاظ على مستوى الجدول، يمكنك التأكد من أنك تلبي هذه المتطلبات دون الاحتفاظ ببيانات غير ضرورية في مساحة العمل.
توفير التكاليف: تخزين البيانات في Log Analytics يتطلب تكلفة بناءً على كمية البيانات التي يتم استيعابها وتخزينها. من خلال وضع سياسات احتفاظ محددة لجدول بيانات مختلفة، يمكنك تقليل تكاليفك من خلال الاحتفاظ فقط بالبيانات اللازمة.

استخدم قوالب ARM لنشر الآلات الافتراضية تلقائيًا.

قوالب إدارة موارد Azure (ARM) هي ملفات JSON تُعرّف البنية التحتية والموارد لحلول Azure الخاصة بك. تتيح لك أتمتة نشر وإدارة مواردك، بما في ذلك الآلات الافتراضية (VMs).

استخدام قوالب ARM لنشر الأجهزة الافتراضية لديك له عدة فوائد عند استخدام تحليلات السجلات.

التناسق: تسمح لك قوالب ARM بتحديد التكوين الدقيق لآلاتك الافتراضية، بما في ذلك نظام التشغيل، والأجهزة، والبرمجيات. يمكن أن يساعد ذلك في ضمان نشر آلاتك الافتراضية بشكل متسق عبر بيئتك.
التحكم في الإصدارات: يتم تخزين قوالب ARM في نظام التحكم في المصدر، مما يتيح لك تتبع التغييرات على قوالبك والعودة إلى الإصدارات السابقة إذا لزم الأمر. يمكن أن يكون هذا مفيدًا لإدارة تكوينات الآلات الافتراضية الخاصة بك مع مرور الوقت.
الأتمتة: يمكن استخدام قوالب ARM في عمليات التكامل المستمر والنشر المستمر (CI/CD) كجزء من دورة حياة تطوير البرمجيات الخاصة بك، مما يتيح لك أتمتة نشر وإدارة الأجهزة الافتراضية الخاصة بك.
إعادة الاستخدام: يمكن إعادة استخدام قوالب ARM لنشر آلات افتراضية مشابهة في بيئات أو اشتراكات أخرى، مما يمكن أن يوفر الوقت ويقلل من مخاطر الأخطاء.

إدارة سجلات الأمان باستخدام Exabeam

يمكن أن تكون إدارة أمان السحابة تحديًا، خاصة مع زيادة بياناتك ومواردك وخدماتك. سوء التكوين ونقص الرؤية غالبًا ما يتم استغلالهما في خروقات البيانات والأنظمة. من المرجح أن تحدث كلا المشكلتين بدون أدوات مركزية.

قد تكون لوحات المعلومات والخدمات في Azure Log Analytics كافية لتوفير رؤية أساسية لفرق التطوير أو فرق DevOps المحددة. ومع ذلك، تحتاج معظم المنظمات إلى تدابير أمان أكثر تقدمًا ولديها فرق ومجموعات محددة تراقب الأمان ككل بدلاً من أدوات معينة أو حتى IaaS/PaaS مثل Azure. إن تسجيل الدخول إلى واجهات متعددة ليس هو الطريق الأكثر فعالية أو كفاءة للحصول على رؤية شاملة للأحداث في بيئتك.

لذلك، يتم دمج حلول تحليلات السجلات مع أنظمة إدارة معلومات الأمان (SIEM) و تحليل سلوك المستخدم والكيان (UEBA). تقوم أدوات UEBA بإنشاء معايير للنشاط "الطبيعي" ويمكنها تحديد وتنبيه النشاط الذي ينحرف عن المعايير.

تستفيد إدارة السحابة إدارة سجلات الأمان عبر SIEM أو UEBA (أو كليهما في واحد، كما هو الحال في منصة دمج أمني) من خلال:

توفير مراقبة مركزية - يمكن أن تكون الأنظمة الموزعة تحديًا للمراقبة حيث قد يكون لديك لوحات معلومات وبوابات فردية لكل خدمة. يمكن لتحليلات السجلات أن تنبهك إلى سلوكيات مشبوهة أو خرق للسياسات التي قد تفوتها في لوحات المعلومات المستقلة.
إنشاء رؤية في أنظمة السحابة المتعددة والهجينة – قد لا تكون الخدمات السحابية قابلة للتوسيع إلى الموارد المحلية والعكس صحيح. يمكن أن تساعدك تحليلات السجلات في ضمان أن السياسات والتكوينات متسقة عبر البيئات. على سبيل المثال، من خلال مراقبة استخدام البيانات ونقلها في خدمات التخزين الهجينة.
مساعدتك في تقييم وإثبات معايير الامتثال - يمكن أن توفر تحليلات السجلات سجلات موحدة وقابلة للتتبع مع أدلة على الإجراءات المتخذة. يمكنك استخدام تسجيل تحليلات السجلات وتتبع الأحداث في تدقيقات الامتثال والشهادات.
توسيع لتلبية احتياجات نظامك - غالبًا ما تستخدم تحليلات السجلات خدمات خلفية أو وكلاء لمراقبة الأنظمة الموزعة. تتيح لك هذه الوكلاء توسيع تحليلات السجلات لتتناسب مع حجم بيئتك. يمكنك الاستفادة من قابلية التوسع لأي أدوات تستخدمها من خلال قبول ودمج تدفقات البيانات للأدوات عبر نظامك.
يمكن أن يساعد دمج الإشارات من Azure Log Analytics مع أدوات الأمان السحابي الأخرى والسجلات مثل وسطاء أمان الوصول السحابي (CASB) ومنع فقدان البيانات (DLP) وخدمات اتحاد الدليل النشط (AD FS) في منصة واحدة مثل Exabeam في بناء خط زمني كامل للأحداث، وجمع التنبيهات أو الإجراءات المرتبطة الأخرى التي قد تشير إلى الحركة الجانبية من السحابة إلى الأنظمة المحلية.

تعلم المزيد عن إكزابييم

تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.

ورقة بيضاء
A Strategic Framework for Selecting Your Cloud-Native SIEM

اقرأ الآن
دليل
Nine Questions Every CIO Must Ask About Their SIEM

اقرأ الآن
مدونة
Decoding the 2025 MITRE ATT&CK^® Evals: A Call for Clarity and a Guide for Analysts

اقرأ الآن
مدونة
Model Context Protocol Server: The Universal Remote for AI Agents

اقرأ الآن
عرض المزيد

محفظة منتجات Exabeam

إكزابيم سوليوشنز

الموارد

لماذا إكزابين؟