Archivi categoria: Log Analytics

Azure management services e System Center: novità di Maggio 2019

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services e System Center, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Azure Log Analytics

Nuova version dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti la stabilità e l’affidabilità. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Disponibilità in nuove region

La disponibilità di Azure Log Analytics è stata estesa in altre cinque nuove regions: Central US, East US 2, East Asia, West US e South Central US.

Azure Site Recovery

Miglioramenti nel monitor dei sistemi VMware e delle macchine fisici

Nello scenario di replica di sistemi VMware e di macchine fisiche, il ruolo Process Server agisce come replication gateway, quindi riceve i dati di replica, ne effettua un’ottimizzazione tramite meccanismi di cache e compressione, provvede all’encryption e li invia verso lo storage in ambiente Azure. Questo ruolo ha inoltre il compito di effettuare il discovery delle macchine virtuali sui sistemi VMware. Diversi sono i fattori che possono impattare sul corretto funzionamento di questo componente: elevato data change rate (churn), connettività di rete, disponibilità di banda, sottodimensionamento delle capacità elaborative necessarie. In ASR sono stati aggiunti diversi stati di health che facilitano le operazioni di troubleshooting per questo componente. Per ogni avviso viene anche proposta l’azione correttiva ritenuta necessaria, in modo da riuscire a gestire al meglio questo ruolo, fondamentale per il corretto funzionamento del processo di replica dei sistemi.

Azure Backup

Network Security Group service tag per Azure Backup

Microsoft ha annunciato la possibilità di utilizzare all’interno dei ​Network Security Groups (NSGs) il service tag per Azure Backup. Utilizzando il tag AzureBackup è possibile consentire nei NSG  l’accesso in uscita verso il servizio Azure Backup, in modo da poter proteggere i workload (SQL Server) a bordo delle macchine virtuali, anziché dover gestire una whithelist contenente gli indirizzi IP del servizio. Tale funzionalità è utile, oltre in presenza di workload SQL Server da proteggere, anche per effettuare il backup delle VM tramite agente MARS.

System Center Configuration Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1905 che tra le principali novità prevede la possibilità di creare gruppi di applicazioni da inviare a collection di utenti o di dispositivi in un singolo deployment. Le applicazioni incluse nel gruppo possono essere installate con un ordine specifico e il gruppo sarà visualizzato in Software Center come un’unica entità (suite di prodotti).

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure management services e System Center: novità di Aprile 2019

Microsoft annuncia in modo costante novità riguardanti gli Azure management services e System Center. La nostra community rilascia con cadenza mensile questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese corrente, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Azure Log Analytics

Agente

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux risolve importanti bug e ne migliora la stabilità. Per ottenere la versione aggiornata dell’agente Log Analytics è possibile accedere alla pagina ufficiale GitHub.

Figura 1 – Novità della nuova versione dell’agente di Log Analytics

Disponibilità in nuove region

La disponibilità di Azure Log Analytics è stata estesa in altre tre nuove regions: France Central, Korea Central, e North Europe. Inoltre risulta attivabile in preview nelle seguenti regions: Central US, East US 2, East Asia, West US e South Central US.

Azure Automation

Nuove funzionalità in Azure Update Management

In Azure Update Management è stata aggiunta la possibilità di avere come target dei patch deployment dei gruppi di macchine virtuali, generati da delle query che si basano sui concetti nativi di Azure (come ad esempio resource group, location, e tags). La macchine virtuale potranno essere aggiunte in modo dinamico ai patch deployment esistenti sulla base di criteri definiti.

System Center Configuration Manager

Fine del supporto per SCCM 2007 e FEP 2010

Si ricorda che il supporto per System Center Configuration Manager 2007 e Forefront Endpoint Protection (FEP) 2010 terminerà il 9 Luglio 2019. In seguito a questa data saranno interrotti da parte di Microsoft: aggiornamenti (security e non), supporto assistito e per FEP non saranno più rilasciate firme antivirus ed engine aggiornati. Per coloro che stanno utilizzando questi prodotti è giunto il momento di valutare il passaggio all’ultima versione di SCCM.

Nuovi rilasci per il Technical Preview Branch

Rilasciata la versione 1903 

Per Configuration Manager è stato rilasciato l’update 1903 e tra le varie novità spicca la possibilità di utilizzare un nuovo strumento per la stima dei costi per il deployment del cloud management gateway.

Figura 2 – SCCM Clooud Cost Estimator

Per tutti i dettagli riguardanti le novità incluse in queste release è possibile consultare questo documento.

Rilasciata la versione 1904

Per Configuration Manager è stato rilasciato anche l’update 1904 che include nuove dashboard per individuare i dispositivi pronti per essere aggiornati a Office 365 ProPlus.

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Operations Manager

Supporto di Windows Server 2012 per SCOM 2019

In seguito al rilascio di SCOM 2019, Microsoft ha deciso di modificare gli statement di supporto per consentire il monitor anche dei sistemi Windows Server 2012. Per verificare l’elenco completo dei requisiti di sistema per System Center Operations Manager 2019 è possibile consultare questo documento.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Sicurezza nel cloud con la soluzione Azure Sentinel

Microsoft ha recentemente annunciato una nuova soluzione cloud chiamata Azure Sentinel. Si tratta di un servizio che intende ampliare le capacità e le potenzialità dei prodotti SIEM (Security Information and Event Management) tradizionali, andando ad utilizzare le potenzialità del cloud e l’intelligenza artificiale per poter identificare rapidamente e gestire le minacce di security che interessano la propria infrastruttura. In questo articolo vengono riportate le caratteristiche principali della soluzione.

Azure Sentinel è una soluzione che permette in tempo reale di analizzare eventi e informazioni di security generati all’interno della propria infrastruttura ibrida, provenienti da server, applicazioni, dispositivi e utenti. Si tratta di un servizio totalmente cloud-based, ne consegue che si può facilmente scalare ed avere elevate velocità nell’elaborazione delle informazioni, senza la necessità di dover implementare e gestire un’infrastruttura dedicata, per intercettare potenziali minacce di sicurezza.

Il servizio Azure Sentinel può essere attivato direttamente dal portale Azure:

Figura 1 – Creazione del servizio Azure Sentinel

Principi di funzionamento di Azure Sentinel

Raccogliere i dati all’interno dell’infrastruttura

Azure Sentinel si appoggia ad Azure Monitor che, utilizzando l’ormai collaudato e scalabile repository di Log Analytics, è in grado di ospitare una elevata mole di dati, i quali è possibile elaborarli efficacemente grazie a un motore che garantisce elevate performance.

Figura 2 – Aggiunta di Azure Sentinel a un workspace Log Analytics esistente

Con Azure Sentinel è possibile aggregare differenti dati di sicurezza provenienti da numerose fonti, utilizzando degli appositi connettori incorporati nella soluzione. Azure Sentinel è in grado di connettersi, oltre a differenti soluzioni della platform, anche alle soluzioni di rete più diffuse e popolari di vendor di terze parti, tra cui Palo Alto Networks, F5, Symantec, Fortinet e Check Point. Azure Sentinel dispone anche di una integrazione nativa con i log che rispettano i formati standard, come common event e syslog.

Figura 3 – Data Connectors

Utilizzando questa soluzione si ha inoltre la possibilità di importare facilmente i dati provenienti da Microsoft Office 365 e combinarli con altri dati di sicurezza, al fine di ottenere un’analisi dettagliata del proprio ambiente e avere visibilità sull’intera sequenza di un attacco.

Figura 4 – Office 365 Connector

Azure Sentinel si integra inoltre con l’API di Microsoft Graph Security, che consente di importare i propri feed di threat intelligence e di personalizzare le regole di rilevamento di potenziali incidenti di sicurezza e di notifica.

Analizzare e individuare rapidamente le minacce utilizzando l’intelligenza artificiale

Azure Sentinel utilizza algoritmi scalabili di apprendimento automatico, in grado di correlare una elevata quantità di dati di sicurezza, per presentare all’analista solo potenziali incidenti di sicurezza, il tutto con un elevato livello di affidabilità. Grazie a questo meccanismo Azure Sentinel si differenzia dalle altre soluzioni SIEM, che adottano motori di correlazione tradizionali, riducendo drasticamente il rumore e di conseguenza l’effort per le valutazioni necessarie nella rilevazione delle minacce.

Figura 5 – Azure Sentinel Overview

In seguito all’abilitazione dei Data Collector necessari, si inizieranno a ricevere i dati nel workspace di Log Analytics e configurando delle Alert Rules, è possibile generare dei Cases per segnalare delle potenziali minacce di sicurezza. Per maggiori dettagli su come rilevare dei threats con Azure Sentinel si rimanda alla documentazione ufficiale Microsoft.

Indagare attività di security sospette

I dati elaborati dalla soluzione sono consultabili utilizzando delle dashboard, personalizzabili in base alle proprie esigenze. Le dashboard consentono di condurre le indagini riducendo i tempi necessari per comprendere la portata di un attacco e il suo impatto.

Figura 6 – Dashboard disponibili in Azure Sentinel

Figura 7 – Azure Network Watcher dashboard

Nel caso vengano rilevate delle minacce di sicurezza, a fronte delle Alert Rule impostate, viene generato un Case, per il quale è possibile impostare la severity, lo status e la relativa assegnazione.

Figura 8 – Cases

Tramite la console è possibile procedere con l’investigation del case:

Figura 9 – Case Investigation

Nelle stesse dashboard è anche possibile compiere azioni. Le attività di ricerca proattiva di operazioni sospette sono un aspetto fondamentale per gli analisti della sicurezza, che con Azure Sentinel possono essere effettuate tramite due funzionalità specifiche che consentono di automatizzare l’analisi: query di ricerca (hunting queries) e Azure Notebooks (basati sui notebook Jupyter), che vengono costantemente aggiornati.

Figura 10 – Hunting queries

Figura 11 – Esempio di un Azure Notebook

Automatizzare le attività comuni e la risposta alle minacce

Azure Sentinel fornisce la possibilità di automatizzare e orchestrare le risposta ai problemi più comuni, in modo da non dover compiere manualmente attività ripetitive. Tramite dei playbooks predefiniti e personalizzabili è possibile rispondere rapidamente alle minacce di sicurezza.

Figura 12 – Alert playbooks

Figura 13 – Logic Apps Designer

Microsoft ha inoltre annunciato che saranno aumentati gli strumenti di difesa e investigazione integrati nella soluzione.

Conclusioni

Azure Sentinel è una soluzione completa che fornisce un SIEM nativo nel cloud e introduce importanti benefici rispetto alle soluzioni SIEM tradizionali, le quali richiedono di sostenere costi elevati per la manutenzione dell’infrastruttura e per l’elaborazione dei dati. Azure Sentinel consente ai clienti di semplificare le attività necessarie per mantenere elevata la sicurezza dell’infrastruttura e di scalare gradualmente in base alle proprie esigenze, mettendo a disposizione un’ampia integrazione con soluzioni di terze parti.

Azure management services e System Center: novità di Marzo 2019

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services e System Center. In questo riepilogo, che riportiamo con cadenza mensile, vengono elencate tutte le principali novità, accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Azure Monitor

Disponibilità in Central Canada e UK South

Il nuovo servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMsè disponibile anche in Central Canada e UK South.

Azure Log Analytics

Disponibilità in nuove region

Azure Log Analytics è ora disponibile anche nelle region di Azure China, Australia East e Australia Central. Inoltre risulta disponibile in Public Preview nelle seguenti region: France Central, Korea Central e North Europe.

Azure Site Recovery

Supporto per gli storage account protetti con regole firewall

In Azure Site Recovery è stato introdotto il supporto per gli storage account configurati con regole firewall per le Virtual Network, in scenari di replica da VMware o di sistemi fisici verso Azure.

Supporto per managed disks in scenari di replica con VMWare e con sistemi fisici

Azure Site Recovery supporta ora il disaster recovery di macchine virtuali VMware e di sistemi fisici, replicandole direttamente verso dei managed disks. Questo consente di evitare la creazione e la gestione di diversi storage account target per la replica di questi sistemi. I dati presenti on-premises vengono spediti verso uno storage account cache nella region target e scritti all’interno di managed disk da Site Recovery.

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 35 che risolve diverse programmatiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica 4494485.

Azure Backup

In Azure Backup è  stato rilasciata ufficialmente la funzionalità che consente di eseguire il backup di SQL Server installati in macchine virtuali Azure IaaS.

Figura 1  – Caratteristiche di Azure Backup per SQL Server in VMs Azure

Tra i benefici di questa soluzione troviamo:

  • Recovery Point Objective (RPO) di 15 minuti
  • Point-in-time restores: per rendere facili e rapide le operazioni di ripristino dei DB.
  • Long-term retention: possibilità di mantenere i backup per anni.
  • Protezione di encrypted databases: possibilità di fare il back-up SQL di encrypted databases e di mettere in sicurezza i backup tramite una encryption at rest integrata nella soluzione. Tutte le operazioni di backup e restore sono gestite dal meccanismo di Role-Based Access Control.
  • Auto-protection: viene gestito in modo automatico il rilevamento e la protezione dei nuovi database.
  • Management e monitoring: consente di effettuare una gestione centralizzata e di monitorare lo stato di protezione dei sistemi.
  • Risparmio sui costi: non sono richiesti costi di infrastruttura e permette di scalare facilmente in base alle proprie esigenze.

System Center

Rilasciato System Center 2019

La principale novità riguardante System Center è il rilascio in general availability della major release di System Center 2019. Si tratta della release appartenente al long term servicing channel (LTSC) che sarà supportata per 10 anni e che introduce il pieno supporto per Windows Server 2019.

A partire da questa release Microsoft ha deciso di cambiare le politiche di rilascio dei prodotti System Center. Non ci saranno più rilasci nel Semi-Annual Channel (SAC) e le nuove funzionalità, prima della prossima release Long-Term Servicing Channel (LTSC), sarà possibile ottenerle tramite Update Rollup.

System Center 2019 supporta l’upgrade dai due ultimi rilasci del Semi-Annual Channel (SAC), System Center 1801 e System Center 1807 oltre che da System Center 2016.

I clienti che hanno una licenza valida di System Center 2019 possono effettuarne il download dal Volume Licensing Service Center (VLSC).

Tra le principali funzionalità di System Center 2019 troviamo:

Virtual Machine Manager

  • Integration in VMM with Azure Update Management simplifies patching of virtual machines
  • Dynamic Storage Optimization in VMM enables higher availability of workloads
  • VMM now provides health and operational status of storage disks in Hyper Converged as well as disaggregated deployment
  • New RBAC role in VMM ensures that IT admins can be provided access commensurate with their role and no more
  • Support for latest versions of VMware in VMM (to enable migration to Hyper-V)

Operations Manager

  • SCOM supports integration with Azure services – Dependency Map (Service Map) provides comprehensive visibility of dependencies across servers along with health.
  • Azure Management Pack integrates alerts and performance metrics for Azure resources in SCOM
  • Along with modernized and extensible SCOM web console, subscriptions and notifications are now modernized with support for HTML based email
  • Maintenance schedules in SCOM with SQL server AlwaysOn
  • Update and recommendations for Linux workloads enables discovery of up-to-date MPs for Linux environments
  • Linux monitoring is now resilient to SCOM management server failover
  • All Windows Server Management Packs now support Windows Server 2019

Data Protection Manager

  • Faster backups with DPM with a 75% increase in speed and a monitoring experience for key backup parameters via Log Analytics.
  • DPM further supports backup of VMWare VMs including to tape

Altre novità

  • Orchestrator supports PowerShellv4+
  • Service Manager has an enhanced AD connector
  • Support for service logon across the System Center suite aligning with security best practice

Maggiori informazioni a riguardo è possibile consultarle nell’articolo System Center 2019 is now in general availability.

System Center Configuration Manager

Rilasciata la versione 1902 per il Current Branch

Molte sono le novità introdotte in questa versione rivolte ad arricchire e migliorare diverse funzionalità della soluzione. Per ottenere la lista completa delle nuove funzionalità introdotte con questa build, è possibile consultare questo documento ufficiale. Il passaggio alla versione 1902 è possibile farlo seguendo la checklist di installazione, al termine della quale è opportuno proseguire con la checklist post-update.

System Center Operations Manager

Management Packs

In seguito, si riportano le novità riguardanti i seguenti Management Pack di SCOM:

  • System Center Management Pack per Message Queuing versione 7.1.10242.0
  • System Center Management Pack per Microsoft Azure Stack versione 1.0.3.11
  • System Center Management Pack per SharePoint Server 2019 versione 16.0.11426.3000

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure management services e System Center: novità di Febbraio 2019

Il mese di Febbraio è stato ricco di novità e diversi sono gli aggiornamenti che hanno interessato gli Azure management services e System Center. In questo articolo vengono riepilogati per avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Monitor

Multi-resource support per metric alerts

Grazie a questa nuova funzionalità è possibile configurare una singola metric alert rule per monitorare:

  • Una lista di macchine virtuali in una region Azure.
  • Tutte le macchine virtuali in uno o più resource groups in una region Azure.
  • Tutte le macchine virtuali di una subscription, presenti in una determinata region Azure.

Azure Automation

Il runbook Update Azure Modules è open source

Azure Automation consente di aggiornare i moduli Azure Powershell importati in un automation account con le ultime versioni disponibili presenti nella PowerShell Gallery. Tale possibilità viene fornita tramite l’action Update Azure Modules presente nella pagina Modules dell’Automation Account, ed è implementata tramite un runbook nascosto. Al fine di migliorare le attività di diagnostica e troubleshooting e di fornire la possibilità di personalizzazione del modulo, questo è stato reso open source.

Supporto per il modulo Azure PowerShell Az

In Azure Automation è stato introdotto il supporto per il modulo PowerShell Az, grazie al quale è possibile utilizzare i moduli Azure aggiornati all’interno dei runbook, per gestire i vari servizi Azure.

Azure Log Analytics

Nuova versione dell’agente per Linux

Questo mese la nuova versione dell’agente OMS per sistemi Linux risolve un bug specifico in fase di installazione. Per ottenere la versione aggiornata dell’agente OMS è possibile accedere alla pagina ufficiale GitHub.

Disponibilità in nuove region di Azure

Risulta possibile attivare un workspace di Log Analytics anche nelle region Azure di West US 2, Australia East e Australia Central. In questo modo i dati vengono mantenuti e processati in queste region.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 33 che introduce nuove versioni per i seguenti componenti:

  • Microsoft Azure Site Recovery Unified Setup (versione 9.22.5109.1): utilizzato per scenari di replica da VMware verso Azure.
  • Microsoft Azure Site Recovery Provider (versione 5.1.3900.0): utilizzato per scenari di replica da Hyper-V verso Azure oppure verso un secondary site.
  • Microsoft Azure Recovery Services Agent (versione 2.0.9155.0): utilizzato per scenari di replica da Hyper-V verso Azure.

L’installazione di questo update rollup è possibile su tutti i sistemi con installato Microsoft Azure Site Recovery Service Provider, includendo:

  • Microsoft Azure Site Recovery Provider per System Center Virtual Machine Manager (3.3.x.x).
  • Microsoft Azure Site Recovery Hyper-V Provider (4.6.x.x).
  • Microsoft Azure Site Recovery Provider (5.1.3500.0) e versioni successive.

L’Update Rollup 33 per Microsoft Azure Site Recovery Unified Setup si applica a tutti i sistemi che hanno installato la versione 9.17.4860.1 o successive.

Per ottenere maggiori informazioni sulle problematiche risolte, sugli improvements dati da questo Update Rollup e per ottenere la procedura da seguire per la relativa installazione è possibile consultare la KB specifica 4489582.

Protezione di cluster Storage Space Direct

In Azure Site Recovery (ASR) è stato introdotto, con l’Update Rollup 33, anche il supporto per la protezione di cluster Storage Space Direct, utilizzati per realizzare Guest Cluster in ambiente Azure.

Azure Backup

In Azure Backup è stata rilasciata la funzionalità di Instant Restore per le macchine virtuali presenti su Azure, che consente di effettuare il recovery di VMs utilizzando le snapshots archiviate. Inoltre viene data la possibilità all’amministratore di configurare i tempi di retention delle snapshot nelle policy di backup (da uno a cinque giorni, il default è due giorni). Questo consente di aumentare il controllo sulla protezione delle proprie risorse, adattandola su specifiche esigenze e in base alla criticità delle stesse.

Figura 1 – Periodo di retention delle snapshot

System Center Configuration Manager

Rilasciate le versioni 1902 e 1902.2 per il Technical Preview Branch

Tra le principali novità di queste release troviamo la possibilità di gestire in modo più efficace le notifiche di riavvio sui sistemi gestiti da Configuration Manager.

Per tutti i dettagli riguardanti le novità incluse in queste release è possibile consultare questo documento. Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Operations Manager

Management Packs

In seguito, si riportano le novità riguardanti i seguenti Management Pack di SCOM:

  • Microsoft System Center 2016 Management Pack per Microsoft Azure version 1.6.0.7
  • Microsoft System Center Management Pack per SQL Server 2017+ Reporting Services version 7.0.12.0
  • Log Analytics Management Pack per SCOM 1801 versione 7.3.13288.0 e SCOM 2016 versione 7.2.12074.0
  • System Center Management Pack per Windows Server DNS versione 10.0.9.3

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Windows Server 2019: introduzione a System Insights

In Windows Server 2019 è stata inclusa una nuova funzionalità chiamata System Insights che introduce nativamente nel sistema operativo delle capacità predittive. Grazie ad una accurata analisi che avviene localmente al sistema, basata su un modello di apprendimento automatico, è in grado di fornire, con un elevato livello di affidabilità, delle previsioni su condizioni problematiche che possono verificarsi nell’ambiente Windows Server. In questo articolo viene riportato come abilitare questa funzionalità e le principali caratteristiche della soluzione.

Installazione di System Insights

System Insights in Windows Server 2019, non richiede requisiti specifici per l’installazione, e può essere attivato su sistemi fisici oppure virtuali, in modo agnostico dall’Hypervisor o dalla piattaforma cloud sulla quale risiedono. L’installazione è semplice e può avvenire utilizzando una delle seguenti modalità:

  • Tramite Windows Admin Center.

Figura 1 – Attivazione di System Insights tramite Windows Admin Center

  • Con PowerShell, utilizzando con il comando “Add-WindowsFeature System-Insights -IncludeManagementTools”
  • Aggiungendo la feature System-Insights tramite Server Manager.

Utilizzo di System Insights

Al termine dell’installazione è possibile procedere configurando le impostazioni desiderate per le previsioni relative alla capacità della CPU, all’utilizzo del networking e al consumo di storage.

Figura 2 – Previsioni disponibili

System Insights è in grado di fornire l’esito delle analisi svolte e le relative previsioni dopo alcune ore dall’attivazione.

I possibili stati che possono essere assunti da ogni previsione sono i seguenti:

Figura 3 – Possibili stati

Per ogni previsione disponibile è possibile selezionare la schedulazione di quando farla eseguire:

Figura 4 – Schedulazione della predizione

Inoltre, si possono configurare degli script che vengono eseguiti quando viene restituito un determinato status code, utili per intraprendere in automatico determinate azioni correttive.

Figura 5 – Azioni da eseguire a fronte di determinati stati

Ogni tipologia di capacità può essere invocata manualmente anche in modo forzato tramite il pulsante Invoke.

Selezionando le differenti previsioni disponibili è possibile visualizzare le informazioni di dettaglio.

Figura 6 – Esempio di previsione sull’utilizzo della CPU

Figura 7 – Esempio di stato Critical per il consumo di spazio sul volume E:

Figura 8 – Dettagli che riportano la previsione sull’esaurimento di spazio nei prossimi 7 giorni

System Insights è in grado di fornire queste informazioni predittive basandosi su modelli di machine-learning, analizzando differenti elementi come performance counters ed eventi. Tutti i dati vengono collezionati e analizzati localmente alla macchina, senza iterazioni con elementi nel cloud e con un consumo di risorse non significativo. Utilizzando PowerShell si ha anche la possibilità di aggregare i risultati di System Insights provenienti da più macchine virtuali. A questo proposito si riporta uno script di esempio per aggregare i risultati di più sistemi.

Figura 9 – Esempio di script PowerShell per l’aggregazione dei dati di System Insights

Questo approccio può essere utile per un numero ridotto di sistemi, ma se si desidera avere una visione complessiva di queste informazioni per ambienti più complessi, si possono far confluire le informazioni di System Insights in un workspace di Azure Log Analytics. Per farlo è sufficiente configurare il workspace di Log Analytics per collezionare anche gli eventi generati da System Insight (Microsoft-Windows-System-Insights/Admin):

Figura 10 – Configurazione del workspace di Log Analytics

In questo modo si possono generare facilmente delle Rule per essere avvisati sulla base di specifiche query.

Figura 11 – System Insights event ID

Figura 12 – Esempio di una query utilizzata in una Rule

Conclusioni

Per gli amministratori di sistema, lo strumento System Insight risulta utile e di facile utilizzo, consentendo di prevedere diverse condizioni problematiche che possono verificarsi sul sistema Windows Server, il tutto in modo totalmente integrato nel sistema operativo. Tramite questa funzionalità è possibile ottenere una maggiore continuità del servizio e una riduzione dei tempi necessari per bonificare condizioni di errore.

OMS e System Center: novità di Dicembre 2018

Nel mese di dicembre sono state annunciate, da parte di Microsoft, un numero importante di novità riguardanti gli Azure management services e System Center. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Azure Monitor

Il servizio Azure Monitor per containers è ora disponibile per monitorare lo stato di salute e le performance di cluster Kubernetes ospitati su Azure Kubernetes Service (AKS). Azure Monitor per containers consente di avere una visibilità completa sulle prestazioni, raccogliendo delle metriche sulla memoria e sul processore dei controllers, dei nodi e dei containers. Vengono raccolti inoltre anche i log dei container. Dopo aver abilitato il monitor dei cluster di Kubernetes, le metriche e i log vengono raccolti automaticamente tramite una versione per container dell’agente di Log Analytics per Linux e vengono archiviati in un workspace di Log Analytics.

Nel corso degli ultimi mesi le soluzioni di monitoring, management e sicurezza, usufruibili dal portale di Operations Management Suite (OMS), sono state incorporate nel portale Azure. A partire dal 15 gennaio 2019 il portale OMS sarà definitivamente ritirato e sarà necessario utilizzare il portale Azure. Prima di questa data è opportuno portare a termine le seguenti operazioni:

Per maggiori dettagli è possibile fare riferimento a questo documento Microsoft.

Azure Log Analytics, ora parte di Azure Monitor, è ora disponibile anche nella region Azure di West US 2.

Nel mese di gennaio selezionando viste e solution Log Analytics, sarà utilizzata la nuova Azure Monitor Logs UX, che consente di ottenere un editor di query più funzionale e miglioramenti nelle viste.

Azure Site Recovery

Per Azure Site Recovery è stato rilasciato l’Update Rollup 31 che introduce nuove versioni per i seguenti componenti:

  • Microsoft Azure Site Recovery Unified Setup (version: 9.20.5051.1): utilizzato per scenari di replica da VMware verso Azure.
  • Microsoft Azure Site Recovery Provider (version 5.1.3700.0): utilizzato per scenari di replica da Hyper-V verso Azure oppure verso un secondary site.
  • Microsoft Azure Recovery Services Agent (version 2.0.9144.0): utilizzato per scenari di replica da Hyper-V verso Azure.

L’installazione di questo update rollup è possibile su tutti i sistemi con installato Microsoft Azure Site Recovery Service Provider, includendo:

  • Microsoft Azure Site Recovery Provider per System Center Virtual Machine Manager (3.3.x.x).
  • Microsoft Azure Site Recovery Hyper-V Provider (4.6.x.x).
  • Microsoft Azure Site Recovery Provider (5.1.3300.0) e versioni successive.

L’Update Rollup 31 per Microsoft Azure Site Recovery Unified Setup si applica a tutti i sistemi che hanno installato la versione 9.16.4860.1 o successive.

Per ottenere maggiori informazioni sulle problematiche risolte, sugli improvements dati da questo Update Rollup e per ottenere la procedura da seguire per la relativa installazione è possibile consultare la KB specifica 4478871.

In Azure Site Recovery è stata inoltre introdotta la possibilità di aggiornare in automatico il Mobility Agent installato a bordo delle macchine virtuali di Azure, nello scenario di replica di VMs in Azure. Considerando che Azure Site Recovery rilascia mensilmente un aggiornamento che introduce miglioramenti e nuove funzionalità, la possibilità di mantenere l’infrastruttura aggiornata in automatico risulta particolarmente comoda. Questi aggiornamenti non richiedono il riavvio delle macchine virtuali e non hanno impatti sulla replica dei sistemi. Abilitando l’update automatico, il processo avviene tramite un runbook, all’interno di un automation account, creato nella stessa subscription del vault. Di dafult il runbook viene eseguito alle 12:00 AM, ma la schedulazione può essere modificata a piacimento.

Figura 1 – Abilitazione dell’update automatico in fase di attivazione

Figura 2 – Abilitazione dell’update automatico a livello di Revovery Service vault

Un’altra importante funzionalità introdotta in Azure Site Recovery è la possibilità di replicare ed effettuare il failover verso altre region di macchine virtuali che appartengono ad Availability Zones. Tale funzionalità è stata resa disponibile per tutte le region Azure che supportano le Availability Zones.

Azure Backup

In Azure backup è stata semplifica la procedura per effettuare i restore di macchine virtuali, introducendo la funzionalità In-Place restore of disks, che consente di ripristinare i dischi di una macchina virtuale, senza la necessità di creare un nuovo sistema. Per farlo è sufficiente selezionare la seguente opzione in fase di ripristino:

Figura 3 – In-Place restore dal portale Azure

Al momento questa funzionalità è supportata solo per le VMs managed unencrypted. Non c’è al momento il supporto per le generalized VMs e per le VMs create utilizzando custom images, ma tale funzionalità è sicuramente destinata ad aumentare le funzionalità.

In Azure Backup c’è la possibilità di attivare la protezione di SQL Server installato a bordo di una macchina virtuale Azure. In questo ambito è stata aggiunta la funzionalità di auto-protection che, se attivata, consente di fare il discovery e la protezione di tutti i database che saranno aggiunti su quella istanza di SQL Server, standalone oppure in un Always On availability group.

Figura 4 – Auto-protect SQL databases con Azure Backup

System Center

System Center Virtual machine Manager

L’installazione dei seguenti aggiornamenti ‘KB4467684‘, ‘KB4478877‘, ‘KB4471321‘ oppure ‘KB4483229’ su un host Windows Server 2016 gestito da SCVMM, può comportare che SCVMM non sia più in grado di enumerare oppure gestire i Logical Switch configurati sull’host. Il problema è dato dal fatto che gli aggiornamenti sopra citati rimuovono la registrazione di classi WMI utilizzate dall’agente di SCVMM per enumerare e gestire i Logical Switch dell’host. La soluzione è di registrare le classi nel repository WMI, come riportato da questo articolo.

System Center Configuration Manager

Rilasciata la versione 1811 per il branch Technical Preview di System Center Configuration Manager.

Tra le principali novità di questa release troviamo la possibilità di inserire del codice PowerShell come step di una Task Sequence, eliminando così la necessità di dover creare e distribuire dei package per l’esecuzione di comandi PowerShell.

Figura 5 – Inserimento di codice PoerShell in una Task Sequence

In questo rilascio vengono contemplati ulteriori novità che possono essere consultati in questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Per il branch Technical Preview di System Center Configuration Manager è stata rilasciata la versione 1812. Tutte le novità introdotte in questa release possono essere consultate in questo documento Microsoft. Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM, in modo da poterle approfondire ed eventualmente fornire feedback al team di prodotto. Questi aggiornamenti è consigliato applicarli solo in ambienti di test.

System Center Operations Manager

In seguito, si riportano le novità riguardanti i seguenti Management Pack di SCOM:

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Monitor: introduzione al servizio di monitor delle macchine virtuali

In Azure Monitor è stato introdotto un nuovo servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMs. Questo servizio analizza i dati di performance e lo stato delle macchine virtuali, effettua il monitor dei processi installati e ne esamina le relative dipendenze. In questo articolo sono riportate le caratteristiche della soluzione ed descritta la procedura da seguire per effettuarne l’attivazione.

Caratteristiche della soluzione

Il servizio Azure Monitor for VMs è suddiviso secondo tre differenti prospettive:

  • Health: i componenti logici presenti a bordo delle macchine virtuali vengono valutati secondo specifici criteri pre-configurati, generando alert quando si verificano determinate condizioni. Tale funzionalità, al momento, è presente solo per sistemi che risiedono in Azure.
  • Performance: vengono riportati i dati principali di performance, provenienti dal sistema operativo guest.
  • Map: viene generata una mappa con le interconnessioni presenti tra vari componenti che risiedono su sistemi differenti.

Tale soluzione può essere utilizzata su macchine virtuali Windows e Linux, indipendentemente dall’ambiente in cui esse risiedono (Azure, on-premises oppure presso altri cloud provider).

Azure Monitor for VMs richiede la presenza di un workspace di Log Analytics. Trattandosi di una funzionalità al momento in preview, sono supportati i workspace presenti in queste regions: West Central US, East US, West Europe e Southeast Asia. L’abilitazione di un workspace di Log Analytics può avvenire secondo queste modalità:

Per individuare i sistemi operativi supportati da questa soluzione è possibile consultare la relativa documentazione ufficiale Microsoft.

 

Come abilitare Azure Monitor for VMs

Per abilitare la soluzione per una singola macchina virtuale, dal portale Azure, è possibile procedere accedendo alla sezione Insights della macchina virtuale:

Figura 1 – Abilitazione di Azure Monitor for VMs su una singola VM

Abilitando la soluzione su una singola macchina virtuale è possibile scegliere quale workspace Log Analytics utilizzare ed eventualmente crearne uno nuovo. Il consiglio è di precedere a priori con la creazione del workspace, in modo da potergli assegnare un nome significativo in fase di creazione. Il workspace di Log Analytics deve essere configurato come segue:

  • Deve aver installato le solution ServiceMap e InfrastructureInsights. L’installazione di queste solution può essere fatta tramite dei template JSON, secondo le modalità riportate in questo documento.

Figura 2 – Presenza delle solution ServiceMap e InfrastructureInsights

Figura 3 – Raccolta dei performance counters abilitata sul workspace di Log Analytics

Azure Monitor for VMs richiede la presenza dell’agent di Log Analytics sulle macchine virtuali, inoltre la funzionalità di Map richiede l’installazione del Microsoft Dependency agent. Si tratta di un agente aggiuntivo il quale si affida all’agente di Log Analytics per la connessione al workspace.

Nel caso si voglia abilitare la soluzione per sistemi presenti in Azure è possibile attivare il Dependency agent utilizzando l’apposita extension, che ne effettua l’installazione. Per le macchine virtuali che non risiedono su Azure è necessario effettuarne l’installazione manualmente oppure tramite una soluzione che consente di automatizzare il deployment (ad esempio System Center Configuration Manager).

Per abilitare questa funzionalità in modo automatico sulle nuove macchine virtuali create in ambiente Azure ed ottenere un livello elevato di compliance si possono anche utilizzare le Azure Policy. Tramite le Azure Policy è possibile:

  • Effettuare il deployment dell’agente di Log Analytics e del Dependency agent.
  • Avere un report sullo stato di compliance
  • Avviare delle azioni di remediation per le VMs non compliant.

Figura 4 – Aggiunta di un Assignment

Figura 5 – Initiative definition di esempio per abilitare Azure Monitor for VMs

Figura 6 – Consultazione dello stato di compliance della Policy

 

Consultazione dei dati raccolti dalla soluzione

Per analizzare e identificare eventi critici del sistema operativo, rilevare prestazioni non ottimali e problematiche di rete, è possibile consultare i dati forniti dalla solution direttamente dalla singola VM oppure utilizzando Azure Monitor, nel caso si voglia avere una vista aggregata delle varie macchine virtuali. Il tutto consente di rilevare e identificare se determinati problemi sono relativi a specifiche dipendenze con altri servizi.

Figura 7 – Stato di Health di una singola macchina virtuale

Figura 8 – Performance raccolte da più VMs, consultabili da Azure Monitor

Figura 9 – Mappa delle dipendenze dei vari servizi presenti sulle VMs, consultabili da Azure Monitor

Per maggiori informazioni sull’utilizzo della funzionalità di Health è possibile consultare questa documentazione Microsoft, mentre l’articolo View Azure Monitor for VMs Map mostra come individuare e analizzare le dipendenze rilevate dalla soluzione.

Costi della soluzione

Attivando la solution Azure Monitor for VMs, i dati collezionati dalle macchine virtuali vengono inviati e mantenuti in Azure Monitor e possono dipendere da diversi fattori, come ad esempio il numero dei logical disks e delle schede di rete. I costi sono quelli relativi ad Azure Monitor, il quale prevede delle spese sulla base dei seguenti elementi:

  • Dati inseriti e collezionati.
  • Numero di criteri di health monitorati.
  • Alert rule create.
  • Notifiche inviate.

 

Conclusioni

Il servizio Azure Monitor for VMs consente di avere uno strumento totalmente integrato in Azure per monitorare le macchine virtuali ed ottenere un controllo completo dei sistemi, indipendentemente da dove risiedono. Questa soluzione risulta anche particolarmente utile per condurre operazioni di troubleshooting in modo semplice ed immediato. Tale servizio, nonostante sia attualmente in preview, è comunque già sufficientemente completa ed è sicuramente destinata ad arricchirsi presto con nuove funzionalità.

OMS e System Center: novità di Novembre 2018

Microsoft annuncia in modo costante novità riguardanti Operations Management Suite (OMS) e System Center. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, per rimanere costantemente aggiornati su questi argomenti ed avere i riferimenti necessari per condurre maggiori approfondimenti.

Operations Management Suite (OMS)

Azure Monitor

SQL Data Warehouse permette ora di inviare le informazioni di diagnostica verso un workspace di Log Analytics. Questa impostazione consente agli sviluppatori di analizzare al meglio il comportamento dei propri workload applicativi al fine di ottimizzare le query, gestire al meglio l’utilizzo delle risorse ed intraprendere operazioni di troubleshooting.

Figura 1 – Impostazioni di diagnostica di SQL Data Warehouse

Log Analytics

A partire dal 1 febbraio 2019 sono previste delle modifiche riguardanti i service-level agreements (SLAs) per Log Analytics e Application Insights (facenti ora parte di Azure Monitor). I nuovi SLAs si riferiscono alla disponibilità delle query (Query Availability SLA) che per una determinata risorsa sarà del 99.9 percento. In precedenza, gli SLA si riferivano alla latenza dei dati (Data latency SLA).

Agente

Questo mese la nuova versione dell’agente OMS per sistemi Linux risolve importanti bug e ne migliora la stabilità. Per ottenere la versione aggiornata dell’agente OMS è possibile accedere alla pagina ufficiale GitHub OMS Agent for Linux Patch v1.8.1-256.

Figura 2 – Elenco Bug Fix e novità del nuovo agente OMS per Linux

Azure Backup

Per Microsoft Azure Backup Server è stata rilasciata la versione 3 (MABS V3), la quale include importanti risoluzioni di bug, introduce il supporto per Windows Server 2019 e SQL Server 2017, e introduce nuove funzionalità e miglioramenti tra i quali:

  • Supporto per la protezione di macchine virtuali VMware anche per ambienti di produzione.
  • Utilizzo di TLS 1.2 per le comunicazioni tra MABS e i server protetti, per le autenticazioni di tipologia certificate-based, e per i cloud backups.

Il codice di MABS V3 è basato su quello di System Center Data Protection Manager 1807. Per ottenere maggiori informazioni a riguardo è possibile consultare la Knowledge Base Microsoft Azure Backup Server v3.

Azure Site Recovery

In Azure Site recovery è stato introdotto il supporto per gli storage account firewall-enabled. Grazie all’introduzione di questo supporto è possibile replicare verso un’altra region, a fini di disaster recovery, macchine virtuali con dischi unmanaged, che risiedono su storage account firewall-enabled. Gli storage account firewall-enabled possono essere selezionati anche come storage target per i dischi unmanaged. Si ha inoltre la possibilità di restringere l’accesso allo storage account di cache, consentendo di scrivere solamente dalle virtual network su cui risiedono le macchine virtuali. In questi casi risulta necessario abilitare l’exception come riportato nella documentazione Microsoft Allow trusted Microsoft services.

 

System Center

System Center Configuration Manager

Per il Current Branch (CB) di System Center Configuration Manager è stato rilasciato l’update 1810, che introduce nuove funzionalità e importanti miglioramenti nel prodotto.

Tra le principali novità di questo aggiornamento emerge la possibilità per i Central administration sites ed i child primary sites di avere un ulteriore site server in modalità passiva, on-prem oppure su Azure.

Figura 3 – Site server High Availability Architecture

Per l’elenco completo delle nuove funzionalità introdotte in questa versione di Configuration Manager è possibile consultare la documentazione ufficiale.

System Center Operations Manager

In seguito, si riportano le novità riguardanti i seguenti Management Pack di SCOM:

  • Windows Server Cluster 2016 e 1709 Plus versione 10.6.6
  • Windows Print Server 2016 e 1709 plus  versione 10.6.1
  • Windows Server Network Load Balancing 2016 e 1709 plus versione 10.2.1
  • Internet Information Service 2016 e 1709 Plus versione 10.9.1
  • Windows Server DNS versione 10.9.2
  • Windows Server DHCP 2016 e 1709 Plus versione 10.11.0
  • Active Directory Federation Services versione 10.3.0
  • Active Directory Federation Services 2012 R2 versione 1.10172.1
  • Skype for Business Server 2019 versione 2046.19
  • Windows Server 2012 DHCP  versione 6.0.7307.0
  • UNIX and Linux Operating Systems versione 7.7.1136.0
  • Microsoft Windows Server File & iSCSI Services 2012 R2 versione 7.1.10100.2
  • Microsoft Windows Server File & iSCSI Services 2016 and 1709 Plus version 10.0.0.0

 

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Come monitorare Office 365 con Azure Log Analytics

In Azure Log Analytics è disponibile una solution specifica che consente di consolidare all’interno del workspace di Log Analytics differenti informazioni provenienti dall’ambiente Office 365, rendendo semplice e intuitiva la consultazione dei dati. In questo articolo saranno esaminate le caratteristiche di questa soluzione e verranno illustrati gli step da seguire per la relativa attivazione.

Caratteristiche dalla soluzione

La solution consente di utilizzare Log Analytics per effettuare le seguenti operazioni relative ad Office 365:

  • Monitorare le attività svolte dagli amministratori, al fine di tenere traccia delle modifiche apportate alle configurazioni e delle operazioni che richiedono privilegi elevati.
  • Analizzare le attività degli account Office 365 al fine di identificare le tendenze comportamentali e controllare l’utilizzo delle risorse. Si possono ad esempio esaminare quali file vengono condivisi all’esterno dell’organizzazione oppure controllare i siti di SharePoint più utilizzati.
  • Fornire supporto nelle attività di audit e compliance. Risulta possibile ad esempio controllare l’accesso a specifici file ritenuti confidenziali.
  • Identificare eventuali comportamenti non desiderati che vengono svolti degli utenti, sulla base di specifiche esigenze organizzative.
  • Svolgere con maggiore semplicità operazioni di troubleshooting che si rendono necessarie nel proprio ambiente Office 365.

Per poter attivare questa solution è necessario disporre di un account con il ruolo Global Administrator. Ad un singolo workspace Log Analytics è possibile connettere più sottoscrizioni Office 365. Nel caso si voglia far confluire nel workspace di Log Analytics anche gli eventi di Audit di Office 365 è necessario abilitare l’auditing sulla subscription Office 365, seguendo la procedura riportata in questa documentazione.

Figura 1 – Abilitazione Office 365 audit

Attivazione della soluzione

Per attivare l’Office 365 Management solution è necessario seguire questa procedura. La solution colleziona i dati direttamente da Office 365, senza l’iterazione di alcun agente di Log Analytics.

Figura 2 – Accesso al Workspace summary dal portale Azure e aggiunta solution

Figura 3 – Selezione della solution di Office 365

Figura 4 – Selezione del workspace da utilizzare

La solution richiede la presenza di una applicazione Azure Active Directory, configurata secondo quanto riportato in seguito, la quale viene utilizzata per accedere ai dati di Office 365.

Figura 5 – Aggiunta di una nuova App registration in Azure AD

Figura 6 – Creazione dell’App registration necessaria per la solution

Figura 7 – Attivazione dell’impostazione Multi-tenanted

Figura 8 – Aggiunta API Access per Office 365 Management APIs

Figura 9 – Selezione dei permessi necessari per Office 365 Management APIs

Figura 10 – Assegnazione dei permessi

Per poter configurare la solution è richiesta una chiave per l’applicazione Azure Active Directory creata.

Figura 11 – Generazione di una chiave per l’applicazione

Giunti a questo punto è necessario eseguire lo script PowerShell office365_consent.ps1 che abilita l’accesso amministrativo. Tale script è disponibile a questo indirizzo.

Figura 12 – Command line di esempio per l’esecuzione dello script office365_consent.ps1

Figura 13 – Richiesta del consenso amministrativo

L’ultimo step necessario per completare l’attivazione è l’esecuzione dello script PowerShell office365_subscription.ps1, anch’esso disponibile a questo indirizzo, il quale sottoscrive l’applicazione Azure AD creata al workspace Log Analytics.

Figura 14 – Command line di esempio per l’esecuzione dello script office365_subscription.ps1

In seguito alla configurazione inziale possono essere necessari diversi minuti prima di visualizzare i dati di provenienti da Office 365 in Log Analytics. Tutti i record creati da questa solution in Log Analytics hanno valorizzato il Type in OfficeActivity. Il valore contenuto nella proprietà OfficeWorkload determina a quale Servizio di Office 365 si riferisce: Exchange, Azure Active Directory, SharePoint, oppure OneDrive. Nella proprietà RecordType viene invece riportata la tipologia di operazione svolta.

La solution aggiunge nella dashboard il seguente tile:

Figura 15 – Tile di Office 365

Selezionandolo si viene rimandati nella dashboard specifica, la quale suddivide per servizi le varie attività collezionate di Office 365.

Figura 16 – Dashboard di Office 365

Ovviamente è possibile eseguire anche delle query specifiche in base alle proprie esigenze:

Figura 17 – Esempi di query di riportare specifici record collezionati dalla solution

 

Conclusioni

La raccolta in Log Analytics delle attività svolte in Office 365 consente di avere un controllo capillare dell’ambiente, al fine di poter ottemperare al meglio e con un unico strumento alle normative riguardanti l’auditing e la compliance.