Azure Monitor

Azure Monitor est la plateforme unifiée d'observabilité de Microsoft Azure, couvrant métriques, logs, traces, alertes et insights pour toutes les ressources Azure, on-prem et multi-cloud (via Azure Arc). Évolution majeure depuis 2018 consolidant OMS, Application Insights, Log Analytics dans une UX unifiée.

Composants principaux : (1) Azure Monitor Metrics — time-series store, métriques platform auto-collectées pour toutes ressources Azure (CPU VM, IOPS Disk, requests App Service), retention 93 jours par défaut, résolution 1 minute ; (2) Azure Monitor Logs (powered by Log Analytics) — store de logs analysable via KQL (Kusto Query Language, langage SQL-like puissant), retention configurable 31j-12 ans+, sources multiples (Activity Logs, Diagnostic Logs des ressources, Application Insights, agent VM/Container Insights, custom apps) ; (3) Application Insights — APM (Application Performance Monitoring) pour apps web, mobile, serverless avec auto-instrumentation .NET/Java/Node/Python, dependency tracking, user behavior, exceptions, custom events ; (4) VM Insights / Container Insights — monitoring détaillé VMs et AKS/ARO/conteneurs avec performance counters, processes, network ; (5) Azure Monitor Alerts — règles sur metrics/logs/Activity Log avec actions multiples (email, SMS, webhook, Logic App, Function, ITSM ServiceNow) ; (6) Azure Workbooks — dashboards interactifs paramétrables ; (7) Azure Managed Grafana + Managed Prometheus (depuis 2022/2023) — services managés pour ceux préférant l'écosystème open source ; (8) Change Analysis ; (9) Azure Service Health.

Destinations Diagnostic Settings (par ressource Azure) : Log Analytics workspace (default analytics), Storage Account (archive long term cheap), Event Hubs (streaming SIEM externes : Splunk, Datadog, Sentinel, partner solutions), Partner solutions (Datadog).

KQL — langage central : SQL-like, optimisé pour log analytics et time-series, exemples : `AzureActivity | where TimeGenerated > ago(1h) | summarize count() by Caller`, `Heartbeat | summarize LastHeartbeat=max(TimeGenerated) by Computer | where LastHeartbeat < ago(30m)`. Utilisé partout : Azure Monitor, Microsoft Sentinel, Defender XDR, Azure Data Explorer.

Microsoft Sentinel : SIEM cloud-native built on top of Log Analytics workspace + Logic Apps, KQL detection rules, MITRE ATT&CK mapping, UEBA, SOAR built-in.

Pricing : Logs ingestion ~2.30\$/GB Pay-as-you-go, commitment tiers réduisent (~1.41\$/GB à 1TB/jour) ; metrics generally free ; alerts par signal type ; App Insights basic free up to 1GB/mois. Optimization : Basic Logs tier (less expensive but limited search), Archive tier (very cheap 0.02\$/GB-mois), sampling Application Insights. Compétences AZ-104, AZ-204, AZ-305, SC-200.