إعدادات التشخيص في Azure Monitor

تسمح لك إعدادات التشخيص في Azure Monitor بجمع سجلات الموارد وإرسال مقاييس النظام الأساسيوسجل النشاط إلى وجهات مختلفة. إنشاء إعداد تشخيص منفصل لكل مورد تريد جمع البيانات منه. يحدد كل إعداد البيانات من المورد المراد جمعها والوجهات لإرسال تلك البيانات إليها. توضح هذه المقالة تفاصيل إعدادات التشخيص، بما في ذلك كيفية إنشائها والوجهات المتاحة لإرسال البيانات.

يستعرض الفيديو التالي سجلات النظام الأساسي لمورد التوجيه مع إعدادات التشخيص. تم إجراء التغييرات التالية على إعدادات التشخيص منذ تسجيل الفيديو، ولكن تتم مناقشة هذه المواضيع في هذه المقالة.

• شركاء Azure Monitor
• مجموعات الفئات

Warning

احذف أي إعدادات تشخيصية لمورد إذا قمت بحذف هذا المورد أو إعادة تسميته، أو إذا قمت بترحيله عبر مجموعات الموارد أو الاشتراكات. إذا لم تتم إزالة إعداد التشخيص وإعادة إنشاء هذا المورد، فيمكن تطبيق أي إعدادات تشخيص للمورد المحذوف على المورد الجديد. بالنسبة لبعض أنواع الموارد، سيستأنف هذا جمع سجلات الموارد كما هو معرف في إعداد التشخيص.

Sources

يمكن لإعدادات التشخيص جمع البيانات من المصادر في الجدول التالي. راجع كل مقالة مرتبطة للحصول على تفاصيل حول البيانات التي تم جمعها بواسطة هذا المصدر وتنسيقها في كل وجهة.

مصدر البيانات	Description
مقاييس النظام الأساسي	يتم جمعها تلقائيا دون تكوين. استخدم إعدادا تشخيصيا لإرسال مقاييس النظام الأساسي إلى وجهات أخرى.
سجل النشاط	يتم جمعها تلقائيا دون تكوين. استخدم إعدادا تشخيصيا لإرسال إدخالات سجل النشاط إلى وجهات أخرى.
سجلات الموارد	لا يتم جمعها بشكل افتراضي. إنشاء إعداد تشخيص لتجميع سجلات الموارد.

Destinations

ترسل إعدادات التشخيص البيانات إلى الوجهات في الجدول التالي. لضمان أمان البيانات أثناء النقل، يتم تكوين جميع نقاط النهاية الوجهة لدعم TLS 1.2.

يمكن أن يحدد إعداد تشخيص واحد أكثر من وجهة واحدة من كل وجهة. إذا كنت تريد إرسال البيانات إلى أكثر من نوع وجهة معين (على سبيل المثال، مساحات عمل Log Analytics مختلفة)، قم بإنشاء إعدادات متعددة. يمكن أن يحتوي كل مورد على ما يصل إلى 5 إعدادات تشخيص.

يجب أن توجد أي وجهات يستخدمها إعداد التشخيص قبل إنشاء الإعداد. ليس من الضروري أن تكون الوجهة في الاشتراك نفسه مثل سجلات إرسال المورد ما دام المستخدم الذي يقوم بتكوين الإعداد لديه حق وصول Azure role-based access control لكلا الاشتراكين. استخدم Azure Lighthouse لتضمين وجهات في مستأجر Microsoft Entra آخر.

Destination	Description	Requirements
مساحة عمل Log Analytics	استرداد البيانات باستخدام استعلامات السجلوالمصنفات. استخدم تنبيهات السجل للتنبيه بشكل استباقي على البيانات. راجع مرجع سجل موارد Azure Monitor للجداول المستخدمة من قبل موارد Azure المختلفة.	يتم إنشاء أي جداول في مساحة عمل Log Analytics تلقائيا عند إرسال البيانات الأولى إلى مساحة العمل، لذلك يجب أن تكون مساحة العمل نفسها فقط موجودة.
حساب Azure Storage	التخزين للتدقيق أو التحليل الثابت أو النسخ الاحتياطي. قد يكون التخزين أقل تكلفة من الخيارات الأخرى ويمكن الاحتفاظ به إلى أجل غير مسمى. إرسال البيانات إلى التخزين غير القابل للتغيير لمنع تعديلها. تعيين النهج غير القابل للتغيير لحساب التخزين كما هو موضح في تعيين وإدارة نهج عدم قابلية التغيير ل Azure Blob Storage.	يجب أن تكون حسابات التخزين في نفس المنطقة مثل المورد الذي تتم مراقبته إذا كان المورد إقليميا. لا يمكن لإعدادات التشخيص الوصول إلى حسابات التخزين عند تمكين الشبكات الظاهرية. يجب تمكين السماح خدمات Microsoft الموثوق بها بتجاوز إعداد جدار الحماية هذا في حسابات التخزين بحيث يتم منح خدمة إعدادات تشخيص Azure Monitor حق الوصول إلى حساب التخزين الخاص بك. لا يتم دعم نقاط نهاية منطقة Azure DNS (معاينة) وأي حسابات تخزين Premium كوجهة. يتم دعم أي حسابات تخزين قياسية .
مراكز أحداث Azure	دفق البيانات إلى الأنظمة الخارجية مثل SIEMs التابعة لجهات خارجية وحلول Log Analytics الأخرى.	يجب أن تكون مراكز الأحداث في نفس المنطقة مثل المورد الذي تتم مراقبته إذا كان المورد إقليميا. لا يمكنك استخدام مركز أحداث مضغوط لأن هذا يتطلب أن تحتوي الرسالة على مفتاح قسم، والذي لا يتضمنه Azure Monitor. لا يمكن لإعدادات التشخيص الوصول إلى مراكز الأحداث عند تمكين الشبكات الظاهرية. يجب تمكين السماح لخدمات Microsoft الموثوق بها بتجاوز إعداد جدار الحماية هذا في مراكز الأحداث بحيث يتم منح خدمة إعدادات تشخيص Azure Monitor حق الوصول إلى موارد مراكز الأحداث. يحدد نهج الوصول المشترك لمساحة اسم مركز الأحداث الأذونات التي تمتلكها آلية البث. يتطلب ManageSendالدفق إلى مراكز الأحداث أذونات و وListen. لتحديث إعداد التشخيص لتضمين البث، يجب أن يكون لديك الإذن على ListKey قاعدة تخويل مراكز الأحداث هذه.
حلول شركاء Azure Monitor	عمليات تكامل مُتخصصة بين Azure Monitor وأنظمة مراقبة أخرى غير تابعة لـ Microsoft. تختلف الحلول حسب الشريك.	راجع وثائق Azure Native ISV Services للحصول على التفاصيل.

إنشاء إعداد تشخيص

يمكنك إنشاء إعداد تشخيص باستخدام أي من الطرق التالية.

Note

لإنشاء إعداد تشخيص لسجل النشاط، راجع تصدير سجل النشاط.

مدخل Microsoft Azure

استخدم الخطوات التالية لإنشاء إعداد تشخيص جديد أو تحرير إعداد موجود في مدخل Microsoft Azure.

1. حدد إعدادات التشخيص ضمن قسم المراقبة في قائمة المورد أو حدد إعدادات التشخيص ضمن الإعدادات في قائمة Azure Monitor ثم حدد المورد.

2. حدد إضافة إعداد تشخيص لإضافة إعداد جديد أو تحرير الإعداد لتحرير إعداد موجود. قد تحتاج إلى إعدادات تشخيص متعددة لمورد إذا كنت تريد الإرسال إلى وجهات متعددة من نفس النوع. يوضح المثال التالي إعدادات مورد مخزن المفاتيح، ولكن الشاشة مشابهة للموارد الأخرى.

   

3. امنح الإعداد اسما وصفيا إذا لم يكن لديه اسم بالفعل.

   

   Note

   ستختلف الفئات باختلاف أنواع موارد Azure. تعرض لقطة الشاشة هذه مثالا على Key Vault. سيكون للأنواع الأخرى من الموارد مجموعة مختلفة من الفئات.

4. السجلات والمقاييس لتوجيهها: بالنسبة للسجلات، اختر مجموعة فئات أو حدد خانات الاختيار الفردية لكل فئة من البيانات التي تريد إرسالها إلى الوجهات المحددة لاحقا. تختلف قائمة الفئات لكل خدمة من خدمات Azure. حدد AllMetrics إذا كنت تريد جمع مقاييس النظام الأساسي.

5. تفاصيل الوجهة: حدد خانة الاختيار لكل وجهة يجب تضمينها في إعدادات التشخيص ثم قم بتوفير التفاصيل الخاصة بكل منها. إذا حددت مساحة عمل Log Analytics كوجهة، فقد تحتاج إلى تحديد وضع المجموعة. راجع وضع التجميع للحصول على التفاصيل.

PowerShell

استخدم New-AzDiagnosticSetting cmdlet لإنشاء إعداد تشخيصي باستخدام Azure PowerShell. راجع وثائق أمر cmdlet هذا للحصول على أوصاف لمعلماته.

Important

لا يمكنك استخدام هذا الأسلوب لسجل نشاط. بدلاً من ذلك، استخدم إنشاء إعداد تشخيص في Azure Monitor باستخدام قالب Resource Manager لإنشاء قالب Resource Manager ونشره باستخدام PowerShell.

ينشئ البرنامج النصي PowerShell المثال التالي إعداد تشخيص لإرسال جميع السجلات والمقاييس لمخزن مفاتيح إلى مساحة عمل Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

CLI

استخدم الأمر إنشاء إعدادات تشخيصية لجهاز المراقبة من az لإنشاء إعداد تشخيص باستخدام Azure CLI. راجع وثائق هذا الأمر للحصول على أوصاف لمعاملاته.

Important

لا يمكنك استخدام هذا الأسلوب لسجل نشاط. بدلا من ذلك، استخدم إنشاء إعداد تشخيص في Azure Monitor باستخدام قالب Resource Manager لإنشاء قالب Resource Manager ونشره باستخدام Azure CLI.

ينشئ البرنامج النصي المثال التالي إعداد تشخيص يرسل البيانات إلى جميع الوجهات الثلاث. لتحديد الوضع الخاص بالمورد إذا كانت الخدمة تدعمه، أضف المعلمة export-to-resource-specific بقيمة true.'

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

ينشئ نموذج القالب التالي إعداد تشخيص لإرسال جميع سجلات التدقيق إلى مساحة عمل تحليلات السجل. apiVersion يمكن أن يتغير اعتمادا على المورد في النطاق. راجع نماذج قالب Resource Manager لإعدادات التشخيص في Azure Monitor للحصول على نماذج قوالب للموارد الأخرى.

ملف القالب

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

ملف المعلمة

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

قالب واجهة برمجة تطبيقات REST

لإنشاء إعداد تشخيصي أو تحريره باستخدام واجهة برمجة تطبيقات REST ل Azure Monitor، راجع إعدادات التشخيص - إنشاء أو تحديث.

Warning

من بوابة Azure عند إنشاء أو تحديث إعدادات التشخيص لحساب Azure Storage أو مساحة أسماء Azure Event Hub، قد لا تتمكن من اختيار نفسه كوجهة لسجلات الموارد أو بيانات المقاييس. هذا مقصود لأنه من الممكن الوصول إلى حالة حيث يتم إرسال سجلات الموارد أو المقاييس من مورد إلى نفس المورد إلى توليد حلقة لا نهائية من إنشاء وكتابة البيانات.
يتم تطبيق هذا التصميم فقط في طبقة تجربة المستخدم في بوابة Azure، إذا كان هناك حاجة حقيقية لكتابة البيانات على نفس المورد وكنت مستعدا لتحمل المخاطر المرتبطة بها، يمكنك إنشاء إعداد التشخيص باستخدام Azure PowerShell أو Azure CLI أو REST API أو قالب ARM أو أي مجموعة تطوير تطوير مدعومة من مايكروسوفت.

مجموعات الفئات

يمكنك استخدام مجموعات الفئات لتجميع سجلات الموارد استنادا إلى المجموعات المحددة مسبقا بدلا من تحديد فئات السجل الفردية. تحدد Microsoft التجميعات للمساعدة في مراقبة حالات الاستخدام الشائعة. إذا تم تحديث الفئات في المجموعة، يتم تعديل مجموعة السجل تلقائيا. لا تستخدم جميع خدمات Azure مجموعات الفئات. إذا لم تكن مجموعات الفئات متوفرة لمورد معين، فلن يتوفر الخيار عند إنشاء إعداد التشخيص.

إذا كنت تستخدم مجموعات الفئات في إعداد تشخيصي، فلا يمكنك تحديد أنواع فئات فردية. حالياً، هناك مجموعتين من الفئات:

• allLogs: جميع فئات المورد.
• التدقيق: جميع سجلات الموارد التي تسجل تفاعلات العملاء مع البيانات أو إعدادات الخدمة. لا تحتاج إلى تحديد مجموعة الفئات هذه إذا قمت بتحديد مجموعة الفئات allLogs .

Note

لا يؤدي تمكين فئة التدقيق في إعدادات التشخيص لقاعدة بيانات Azure SQL إلى تنشيط التدقيق لقاعدة البيانات. لتمكين تدقيق قاعدة البيانات، يجب تمكينه من شفرة التدقيق لقاعدة بيانات Azure.

قيود المقاييس

لا يمكن إرسال جميع المقاييس إلى مساحة عمل Log Analytics مع إعدادات التشخيص. راجع عمود التصدير في قائمة المقاييس المدعومة.

لا تدعم إعدادات التشخيص حاليا المقاييس متعددة الأبعاد. يتم تصدير المقاييس ذات الأبعاد كمقاييس أحادية الأبعاد مبسطة وتجميعها عبر قيم الأبعاد. على سبيل المثال ، يمكن استكشاف مقياس IOReadBytes على blockchain ورسمها على مستوى كل عقدة. عند تصديره باستخدام إعدادات التشخيص، يعرض المقياس المصدر جميع وحدات البايت المقروءة لجميع العقد.

للتغلب على القيود الخاصة بمقاييس معينة، يمكنك استخراجها يدويا باستخدام واجهة برمجة تطبيقات REST للقياسات ثم استيرادها إلى مساحة عمل Log Analytics باستخدام واجهة برمجة تطبيقات استيعاب السجلات.

التحكم في التكاليف

قد تكون هناك تكلفة للبيانات التي تم جمعها بواسطة إعدادات التشخيص. تعتمد التكلفة على الوجهة التي تختارها وحجم البيانات التي تم جمعها. لمزيد من المعلومات، راجعAzure Monitor pricing.

جمع الفئات التي تحتاجها فقط لكل خدمة. قد لا ترغب أيضًا في جمع مقاييس النظام الأساسي من موارد Azure حيث تُجمع هذه البيانات بالفعل في المقاييس. كوّن بيانات التشخيص فقط لجمع المقاييس إذا احتجت إلى بيانات القياس في مساحة العمل لتحليل أعقد باستخدام استعلامات السجل.

لا تسمح إعدادات التشخيص بالتصفية الدقيقة ضمن فئة محددة. يمكنك تصفية البيانات للجداول المدعومة في مساحة عمل Log Analytics باستخدام التحويلات. راجع التحويلات في Azure Monitor للحصول على التفاصيل.

الوقت قبل وصول بيانات تتبع الاستخدام إلى الوجهة

بعد إنشاء إعداد تشخيصي، يجب أن تبدأ البيانات في التدفق إلى وجهاتك المحددة في غضون 90 دقيقة. عند إرسال البيانات إلى مساحة عمل Log Analytics، يتم إنشاء الجدول تلقائيا إذا لم يكن موجودا بالفعل. يتم إنشاء الجدول فقط عند تلقي سجلات السجل الأولى. إذا لم تحصل على أي معلومات في غضون 24 ساعة، فقد تواجه إحدى المشكلات التالية:

• لا يتم إنشاء سجلات.
• هناك خطأ في آلية التوجيه الأساسية.

إذا كنت تواجه مشكلة، فقم بتعطيل التكوين ثم أعد تمكينه. اتصل بدعم Azure من خلال مدخل Microsoft Azure إذا استمرت لديك مشكلات.

Application Insights

ضع في اعتبارك ما يلي لإعدادات التشخيص لتطبيقات تطبيقات التحليلات:

• لا يمكن أن تكون الوجهة نفس مساحة عمل تحليلات السجلات التي تعتمد عليها موارد Application Insights الخاصة بك.
• لا يمكن لمستخدم Application Insights الوصول إلى كلا دائرتي العمل. اضبط وضع التحكم في الوصول في Log Analytics إلى Require صلاحيات workspace. من خلال التحكم في الوصول القائم على الأدوار في Azure، تأكد من أن المستخدم لديه وصول فقط إلى مساحة عمل تحليلات السجلات التي يعتمد عليها مورد Application Insights فقط.

هذه الخطوات ضرورية لأن Application Insights يصل إلى البيانات عن بعد عبر موارد Application Insight، بما في ذلك مساحات عمل Log Analytics لتوفير عمليات معاملات شاملة من البداية إلى النهاية وخرائط تطبيقات دقيقة. نظرا لأن سجلات التشخيص تستخدم نفس أسماء الجداول، يمكن عرض بيانات التليمترية المكررة إذا كان لدى المستخدم إمكانية الوصول إلى عدة موارد تحتوي على نفس البيانات.

Troubleshooting

فئة القياس غير مدعومة
قد تتلقى رسالة خطأ مشابهة لفئة المقياس 'xxxx' غير مدعومة عند استخدام قالب Resource Manager أو REST API أو Azure CLI أو Azure PowerShell. الفئات القياسية غير AllMetrics المدعومة باستثناء عدد محدود من خدمات Azure. قم بإزالة أي أسماء فئات قياسية غير AllMetrics وتكرار التوزيع.

يختفي الإعداد بسبب أحرف غير ASCII في معرف المورد
لا تدعم إعدادات التشخيص معرفات الموارد ذات الأحرف غير ASCII (على سبيل المثال، Preproduccón). نظرا لأنه لا يمكنك إعادة تسمية الموارد في Azure، يجب إنشاء مورد جديد دون الأحرف غير ASCII. إذا كانت الأحرف في مجموعة موارد، يمكنك نقل الموارد إلى مجموعة جديدة.

الموارد غير النشطة
عندما يكون المورد غير نشط ويصدر مقاييس القيمة الصفرية، تتراجع آلية تصدير إعدادات التشخيص بشكل متزايد لتجنب التكاليف غير الضرورية لتصدير القيم الصفرية وتخزينها. قد يؤدي هذا التراجع إلى تأخير في تصدير القيمة التالية غير الصفرية. ينطبق هذا السلوك فقط على المقاييس المصدرة ولا يؤثر على التنبيهات المستندة إلى المقاييس أو التحجيم التلقائي.

عندما يكون المورد غير نشط لمدة ساعة واحدة، تتراجع آلية التصدير إلى 15 دقيقة. وهذا يعني أن هناك زمن انتقال محتمل يصل إلى 15 دقيقة للقيمة غير الصفرية التالية التي سيتم تصديرها. يتم الوصول إلى الحد الأقصى لوقت التراجع لمدة ساعتين بعد سبعة أيام من عدم النشاط. بمجرد أن يبدأ المورد في تصدير القيم غير الصفرية، تعود آلية التصدير إلى زمن انتقال التصدير الأصلي الذي يبلغ ثلاث دقائق.

الخطوات التالية

• ترحيل استبقاء تخزين إعدادات التشخيص إلى إدارة دورة حياة تخزين Azure
• اقرأ المزيد عن سجلات النظام الأساسي في Azure