المفاتيح التي يديرها العملاء في Azure Monitor

يتم تشفير البيانات في Azure Monitor باستخدام مفاتيح تُديرها Microsoft. يمكنك استخدام مفتاح التشفير الخاص بك لحماية البيانات والاستعلامات المحفوظة في مساحات العمل الخاصة بك. تمنحك المفاتيح التي يديرها العميل في Azure Monitor مرونة أكبر لإدارة عناصر التحكم في الوصول إلى السجلات. بمجرد التكوين، يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة بمفتاحك المخزن في Azure Key Vault، أو Azure Key Vault المدارة "HSM".

راجع القيود والقيود قبل التكوين.

نظرة عامة على المفتاح المُدار بواسطة العميل

التشفير في حالة عدم التشغيل هو شرط للأمان والخصوصية المشتركة في المؤسسات. يمكنك السماح ل Azure بإدارة التشفير بالكامل في حالة الثبات، أو يمكنك استخدام خيارات مختلفة لإدارة مفاتيح التشفير والتشفير عن كثب.

يتأكد Azure Monitor من تشفير جميع البيانات والاستعلامات المحفوظة في حالة عدم التشغيل باستخدام المفاتيح المُدارة بواسطة Microsoft (MMK). استخدام Azure Monitor للتشفير مطابق للطريقة التي يعمل بها تشفير Azure Storage.

لإدارة دورة حياة المفتاح والقدرة على إبطال الوصول إلى بياناتك، يمكنك تشفير البيانات باستخدام المفتاح الخاص بك باستخدام Azure Key Vault.

تتوفر المفاتيح التي يديرها العملاء على مجموعات مخصصة وتوفر لك مستوى أعلى من الحماية والتحكم. يتم تشفير البيانات في التخزين مرتين - على مستوى الخدمة باستخدام مفاتيح تديرها Microsoft أو مفاتيح يديرها العميل، وعلى مستوى البنية الأساسية، باستخدام خوارزميتين مختلفتين للتشفير ومفاتيحين مختلفين. يحمي التشفير المزدوج من سيناريو حيث قد يتم اختراق إحدى خوارزميات التشفير أو المفاتيح. تتيح لك المجموعات المخصصة أيضا حماية البيانات باستخدام Lockbox.

يتم الاحتفاظ بالبيانات التي تم تناولها في آخر 14 يوما، أو المستخدمة مؤخرا في الاستعلامات، في ذاكرة التخزين المؤقت الساخن (مدعومة من SSD) لكفاءة الاستعلام. يتم تشفير بيانات SSD باستخدام مفاتيح Microsoft بغض النظر عما إذا كنت تقوم بتكوين المفاتيح التي يديرها العميل، ولكن التحكم في الوصول إلى SSD يلتزم بإبطال المفتاح.

هام

تستخدم المجموعات المخصصة نموذج تسعير مستوى الالتزام الذي لا يقل عن 100 غيغابايت في اليوم.

كيفية عمل المفاتيح المدارة من قبل العميل في Azure Monitor

تستخدم خدمة Azure Monitor الهوية المدارة لمنح حق الدخول إلى Azure Key Vault الخاص بك. يتم دعم هوية مجموعة «تحليلات السجل» على مستوى المجموعة. للسماح للمفاتيح التي يديرها العميل على مساحات عمل متعددة، يعمل مورد مجموعة Log Analytics كاتصال هوية وسيط بين Key Vault ومساحات عمل Log Analytics. يستخدم تخزين نظام المجموعة الهوية المدارة المقترنة بالمجموعة للمصادقة على Azure Key Vault من خلال معرف Microsoft Entra.

تدعم المجموعات نوعين من الهوية المدارة: تعيين النظام وتعيين المستخدم، بينما يمكن تعريف هوية واحدة في نظام مجموعة اعتمادا على السيناريو الخاص بك.

• الهوية المدارة المعينة من قبل النظام أبسط ويتم إنشاؤها تلقائيا مع نظام المجموعة عند identity type تعيين إلى SystemAssigned. يتم استخدام هذه الهوية لاحقا لمنح حق الوصول إلى التخزين إلى Key Vault لتشفير البيانات وفك تشفيرها.
• تتيح لك الهوية المدارة المعينة من قبل المستخدم تكوين المفاتيح المدارة من قبل العميل عند إنشاء نظام المجموعة، عندما identity type يتم تعيينها إلى UserAssigned، ومنحها أذونات في Key Vault قبل إنشاء نظام المجموعة.

يمكنك تكوين المفاتيح المدارة من قبل العميل على نظام مجموعة جديد، أو مجموعة موجودة مرتبطة بمساحات العمل والتي تقوم بالفعل ب استيعاب البيانات. يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة باستخدام المفتاح الخاص بك، ويتم استيعاب البيانات القديمة قبل أن يظل التكوين مشفرا باستخدام مفاتيح Microsoft. لا يؤثر تكوين المفتاح المدار من قبل العميل على استعلاماتك، والتي تستمر في العمل على البيانات القديمة والجديدة بسلاسة. يمكنك إلغاء ربط مساحات العمل من نظام مجموعة في أي وقت. يتم تشفير البيانات الجديدة التي تتناولها بعد إلغاء الارتباط باستخدام مفاتيح Microsoft، ويتم تنفيذ الاستعلامات عبر البيانات القديمة والجديدة بسلاسة.

هام

إمكانية المفاتيح التي يديرها العميل إقليمية. يجب أن تكون Azure Key Vault والمجموعة ومساحات العمل المرتبطة في نفس المنطقة، ولكن يمكن أن تكون في اشتراكات مختلفة.

1. Key Vault
2. مورد مجموعة Log Analytics الذي لديه هوية مدارة مع أذونات إلى Key Vault - يتم نشر الهوية إلى تخزين نظام المجموعة المخصص
3. نظام مجموعة مخصصة
4. مساحات العمل المرتبطة بنظام مجموعة مخصصة

تشغيل مفاتيح التشفير

هناك ثلاثة أنواع من المفاتيح المتضمنة في تشفير بيانات التخزين:

• "KEK" - Key Encryption Key (المُفتاح المُدار بواسطة العميل الخاص بك)
• "AEK" - مفتاح تشفير الحساب
• "DEK" - مفتاح تشفير البيانات

يتم تطبيق القواعد التالية:

• يحتوي تخزين نظام المجموعة على مفتاح تشفير فريد لكل حساب تخزين، والذي يُعرف باسم "AEK".
• يتم استخدام "AEK" لينحدر منها "DEK التي تُعتبر المفاتيح التي يتم استخدامها لتشفير كل كتلة من البيانات المكتوبة على القرص.
• عند تكوين مفتاح في Key Vault، وتحديث التفاصيل الأساسية في نظام المجموعة، ينفذ تخزين المجموعة طلبات "التفاف" و"إلغاء التفاف" "AEK" للتشفير والإبطال.
• "KEK" الخاص بك لا يترك Key Vault الخاص بك، وإذا كنت تستخدم "HSM" مدارة، فإنه لا يترك الأجهزة.
• يستخدم Azure Storage الهوية المدارة المقترنة بمورد نظام المجموعة للمصادقة. يصل إلى Azure Key Vault عبر معرف Microsoft Entra.

خطوات التزويد بمفتاح مُدار بواسطة العميل

1. إنشاء Azure Key Vault وتخزين المفتاح
2. إنشاء نظام المجموعة
3. منح أذونات إلى «مخزن المفاتيح»
4. تحديث نظام المجموعة بتفاصيل معرّف المفتاح
5. ارتباط مساحات العمل

تكوين المفتاح المُدار بواسطة العميل غير مدعوم في مدخل Microsoft Azure حاليًا ويمكن إجراء التوفير عبر طلبات PowerShell أو CLI أو REST.

تخزين مفتاح التشفير ("KEK")

تسرد قائمة منتجات Azure Key Management الخزائن وأجهزة HSM المدارة التي يمكن استخدامها.

إنشاء أو استخدام Azure Key Vault موجود في المنطقة التي تم تخطيط نظام المجموعة فيها. في Key vault الخاص بك، قم بإنشاء أو استيراد مفتاح لاستخدامه في تشفير السجلات. يجب تكوين Azure Key Vault بحيث يكون قابلاً للاسترداد، لحماية مفتاحك والوصول إلى بياناتك في Azure Monitor. يمكنك التحقق من هذا التكوين ضمن الخصائص الموجودة في «مخزن المفاتيح»، وينبغي تمكين كلًّ من الحماية من الإزالة والحذف المبدئي.

يمكن تحديث هذه الإعدادات في «مخزن المفاتيح» من خلال CLI وPowerShell:

• حذف مبدئي
• تطهير الحماية من الحذف بالقوة للبيانات السرية حتى بعد الحذف المبدئي

إنشاء نظام المجموعة

تستخدم المجموعات الهوية المدارة لتشفير البيانات مع Key Vault الخاص بك. تكوين الخاصية identity type إلى SystemAssigned أو UserAssigned عند إنشاء نظام المجموعة الخاص بك للسماح بالوصول إلى Key Vault لعمليات تشفير البيانات وفك التشفير.

إعدادات الهوية في نظام المجموعة لهوية مُدارة يُعينها النظام

{
  "identity": {
    "type": "SystemAssigned"
    }
}

إشعار

يمكن تغيير نوع الهوية بعد إنشاء نظام المجموعة دون انقطاع في الاستيعاب أو الاستعلامات مع الاعتبارات التالية

• التحديث SystemAssigned إلى UserAssigned—منح هوية UserAssign في Key Vault، ثم التحديث identity type في نظام المجموعة
• التحديث UserAssigned إلى — نظرا لأن SystemAssignedالهوية المدارة المعينة من قبل النظام التي تم إنشاؤها بعد تحديث نظام المجموعة identity type باستخدام SystemAssigned، يجب اتباع الخطوات التالية
  1. تحديث نظام المجموعة وإزالة المفتاح - تعيين keyVaultUriو keyNameو keyVersion بالقيمة ""
  2. تحديث نظام المجموعة identity type إلى SystemAssigned
  3. تحديث Key Vault ومنح أذونات للهوية
  4. تحديث المفتاح في نظام المجموعة

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

قم بمنح أذونات «لمخزن المفاتيح»

هناك نموذجان للأذونات في Key Vault لمنح حق الوصول إلى نظام المجموعة والتخزين المضمن - التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، ونهج الوصول إلى Vault (قديم).

1. تعيين التحكم في الوصول استنادا إلى الدور في Azure الذي تتحكم فيه (مستحسن)

   لإضافة تعيينات الأدوار، يجب أن يكون لديك دور مع Microsoft.Authorization/roleAssignments/write وأذونات Microsoft.Authorization/roleAssignments/delete ، مثل مسؤول وصول المستخدم أو المالك.

   1. افتح Key Vault في مدخل Microsoft Azure وحدد إعدادات>تكوين>الوصول إلى التحكم في الوصول المستند إلى دور Azure وتطبيق
   2. انقر فوق زر Go to access control(IAM) وأضف تعيين دور مستخدم تشفير خدمة تشفير Key Vault.
   3. حدد الهوية المدارة في علامة التبويب الأعضاء وحدد الاشتراك للهوية والهوية كعضو

   

2. تعيين نهج الوصول إلى المخزن (قديم)

   افتح Key Vault في مدخل Microsoft Azure وحدد نهج> الوصول إلى Access Policies>Vault+ Add Access Policy لإنشاء نهج باستخدام هذه الإعدادات:

   • أذونات المفاتيح — حدد Get وWrap Key وUnwrap Key.
   • حدد principal - اعتمادا على نوع الهوية المستخدم في نظام المجموعة (النظام أو الهوية المدارة المعينة من قبل المستخدم)
     • الهوية المُدارة المخصصة للنظام - أدخل اسم الكتلة أو المعرف الرئيسي للمجموعة
     • الهوية المُدارة التي عيّنها المستخدم - أدخل اسم الهوية

   

   يُلزم إذن لـGet للتحقق من تكوين «مخزن المفاتيح» الخاص بك ليكون قابلًا للاسترداد كي يحمي المفتاح الخاص بك والوصول إلى بياناتك على خدمة «مُراقبة» Azure.

قم بتحديث المجموعة باستخدام تفاصيل معرّف المفتاح

تتطلب جميع العمليات التي يتم إجراؤها على المجموعة Microsoft.OperationalInsights/clusters/write إذن الإجراء. يمكن الحصول على هذا الإذن من خلال المالك أو المساهم الذي يحتوي على */write الإجراء أو من خلال دور «المساهم في تحليلات السجل» الذي يتضمن Microsoft.OperationalInsights/* الإجراء.

تعمل هذه الخطوة على تحديث وحدة التخزين العنقودية المخصصة بالمفتاح والإصدار لاستخدامهما في التفاف وإلغاء "AEK".

هام

• يمكن أن يكون تدوير المفتاح تلقائيا أو لكل إصدار مفتاح صريح، راجع تدوير المفتاح لتحديد النهج المناسب لك قبل تحديث تفاصيل معرف المفتاح في نظام المجموعة.
• يجب أن لا يتضمن تحديث المجموعة كلًّا من الهوية وتفاصيل معرّف المفتاح في العملية نفسها. إذا كنت بحاجة إلى تحديث كليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

قم بتحديث «خصائص مخزن المفاتيح» في المجموعة باستخدام تفاصيل معرّف المفتاح.

إن العملية غير متزامنة وقد تستغرق بعض الوقت لاستكمالها.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

عند إدخال قيمة "'" ل key-version، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault وليس هناك حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

بوويرشيل

عند إدخال قيمة "'" ل KeyVersion، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault وليس هناك حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

REST

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2022-10-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

Response

يستغرق نشر المفتاح بعض الوقت لاستكماله. يمكنك التحقق من وضع التحديث من خلال إرسال طلب GET على المجموعة ثم انظر إلى خصائص «خصائص مخزن المفاتيح». يجب أن يرجع المفتاح الخاص بك الذي تم تحديثه مؤخرًا في الاستجابة.

الاستجابة لطلب GET عند اكتمال تحديث المفتاح: 202 (مقبول) والعنوان

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

قم بربط مساحة العمل بالمجموعة

هام

يجب تنفيذ هذه الخطوة فقط بعد توفير نظام المجموعة. إذا قمت بربط مساحات العمل وأدخلت البيانات قبل التزويد، سيتم إسقاط البيانات التي تم إدخالها ولن تكون قابلة للاسترداد.

يجب أن تكون لديك أذونات "كتابة" على مساحة العمل والمجموعة الخاصة بك لتنفيذ هذه العملية. وهذا يشمل Microsoft.OperationalInsights/workspaces/write وMicrosoft.OperationalInsights/clusters/write.

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

إبطال المفتاح

هام

• الطريقة الموصى بها لإلغاء الوصول إلى بياناتك هي تعطيل مفتاحك أو حذف نهج الوصول في Key Vault.
• يؤدي إعداد نظام المجموعةidentity type إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم.

يحترم تخزين نظام المجموعة دائما التغييرات في الأذونات الرئيسية في غضون ساعة أو في وقت أقرب، ويصبح التخزين غير متوفر. يتم إسقاط البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة ولا يمكن تجاوزها. لا يمكن الوصول إلى البيانات في مساحات العمل هذه وتفشل الاستعلامات. تبقى البيانات التي تم إدخالها مسبقًا في موقع التخزين ما لم يتم حذف نظام المجموعة ومساحات العمل الخاصة بك. تخضع البيانات غير القابلة للوصول إلى نهج استبقاء البيانات وتطهيرها عند الوصول إلى الاستبقاء. يتم الاحتفاظ أيضًا بالبيانات التي تم إدخالها في الـ 14 يومًا الماضية والبيانات المستخدمة مؤخرًا في الاستعلامات في ذاكرة التخزين المؤقت الساخنة (مدعومة بـ SSD) لكفاءة الاستعلام. يتم حذف البيانات الموجودة على الـ SSD في عملية إبطال المفاتيح ويتعذر الوصول إليها. يحاول تخزين نظام المجموعة الوصول إلى Key Vault للالتفاف وإلغاء التغليف بشكل دوري، وبمجرد تمكين المفتاح، ينجح إلغاء الالتفاف، وتعاد تحميل بيانات SSD من التخزين، ويستأنف استيعاب البيانات والاستعلام في غضون 30 دقيقة.

دوران المفتاح

إن لتدوير المفتاح وضعين:

• Autorotation — قم بتحديث "keyVaultProperties" الخصائص في نظام المجموعة وحذف "keyVersion" الخاصية ، أو قم بتعيينها إلى "". يستخدم التخزين تلقائيا أحدث إصدار مفتاح.
• تحديث إصدار المفتاح الصريح - تحديث "keyVaultProperties" الخصائص وتحديث إصدار المفتاح في "keyVersion" الخاصية . يتطلب تدوير المفتاح تحديثا صريحا للخاصية "keyVersion" في نظام المجموعة. لمزيد من المعلومات، راجع تحديث نظام المجموعة بتفاصيل معرف المفتاح. إذا قمت بإنشاء إصدار مفتاح جديد في Key Vault ولكنك لم تقم بتحديث المفتاح في نظام المجموعة، يستمر تخزين نظام المجموعة في استخدام المفتاح السابق. إذا قمت بتعطيل المفتاح القديم أو حذفه قبل تحديث مفتاح جديد في نظام المجموعة، فستدخل في حالة إبطال المفتاح.

تظل جميع البيانات الخاصة بك قابلة للوصول أثناء وبعد عملية تدوير المفتاح. يتم دائمًا تشفير البيانات باستخدام مفتاح تشفير الحساب ("AEK")، والذي يتم تشفيره بإصدار مفتاح تشفير المفتاح الجديد ("KEK") في Key Vault.

المفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل

لغة الاستعلام المستخدمة في Log Analytics معبرة ويمكن أن تحتوي على معلومات حساسة في التعليقات أو في صيغة الاستعلام. تتطلب بعض المؤسسات أن تظل هذه المعلومات محمية بموجب سياسة المفتاح المدارة بواسطة العميل وتحتاج إلى حفظ استعلاماتك المشفرة باستخدام المفتاح الخاص بك. يمكنك Azure Monitor من تخزين الاستعلامات المحفوظة وتسجيل تنبيهات البحث المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك عند ربطها بمساحة العمل الخاصة بك.

المفتاح المدار من قبل العميل للمصنفات

مع الاعتبارات المذكورة للمفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل، يتيح لك Azure Monitor تخزين استعلامات المصنف المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك، عند تحديد حفظ المحتوى إلى حساب تخزين Azure في عملية "حفظ" المصنف.

إشعار

تظل الاستعلامات مشفرة باستخدام مفتاح Microsoft ("MMK") في السيناريوهات التالية بغض النظر عن تكوين المفتاح المدار بواسطة العميل: لوحات معلومات Azure وAzure Logic App ودفاتر Azure Notebooks وأتمتة Runbooks.

عند ربط حساب التخزين الخاص بك بالاستعلامات المحفوظة، تخزن الخدمة الاستعلامات المحفوظة وتسجل استعلامات تنبيه البحث في حساب التخزين الخاص بك. من خلال التحكم في نهج تشفير حساب التخزين الثابت، يمكنك حماية الاستعلامات المحفوظة وتسجيل تنبيهات البحث باستخدام المفتاح المدار من قبل العميل. ومع ذلك، ستكون مسؤولاً عن التكاليف المرتبطة بحساب التخزين هذا.

الاعتبارات المُتخذة قبل إعداد مفتاح مُدار بواسطة العميل للاستعلامات

• يجب أن تكون لديك أذونات "كتابة" على مساحة العمل وحساب التخزين.
• تأكد من إنشاء حساب التخزين الخاص بك في نفس المنطقة التي توجد بها مساحة عمل Log Analytics، مع تشفير المفتاح المدار من قبل العميل. هذا مهم نظرا لأنه يتم تخزين الاستعلامات المحفوظة في تخزين الجدول ولا يمكن تشفيرها إلا عند إنشاء حساب التخزين.
• لا يتم تشفير الاستعلامات المحفوظة في حزمة الاستعلام باستخدام مفتاح مدار من قبل العميل. حدد Save as Legacy query عند حفظ الاستعلامات بدلا من ذلك، لحمايتها باستخدام المفتاح المدار بواسطة العميل.
• يعتبر حفظ الاستعلامات في التخزين عناصر خدمة وقد يتغير تنسيقها.
• يؤدي ربط حساب تخزين للاستعلامات إلى إزالة استعلامات الحفظ الموجودة من مساحة العمل الخاصة بك. يحفظ النسخ الاستعلامات التي تحتاجها قبل هذا التكوين. يمكنك عرض الاستعلامات المحفوظة باستخدام PowerShell.
• لا يتم دعم الاستعلام "المحفوظات" و "التثبيت على لوحة المعلومات" عند ربط حساب التخزين للاستعلامات.
• يمكنك ربط حساب تخزين واحد بمساحة عمل لكل من الاستعلامات المحفوظة واستعلامات تنبيه بحث السجل.
• يتم حفظ تنبيهات البحث في السجل في تخزين الكائن الثنائي كبير الحجم ويمكن تكوين تشفير المفتاح المدار من قبل العميل عند إنشاء حساب التخزين، أو في وقت لاحق.
• لن تحتوي تنبيهات بحث السجل التي تم تشغيلها على نتائج البحث أو استعلام التنبيه. يمكنك استخدام أبعاد التنبيه للحصول على سياق في التنبيهات التي تم تشغيلها.

تكوين BYOS للاستعلامات المحفوظة

ربط حساب تخزين للاستعلامات للاحتفاظ بالاستعلامات المحفوظة في حساب التخزين الخاص بك.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد لبحث محفوظ في موقع التخزين الخاص بك.

تكوين BYOS للاستعلامات عن تنبيه البحث في السجل

ربط حساب تخزين للتنبيهات للاحتفاظ استعلامات تنبيه البحث في السجل في حساب التخزين الخاص بك.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد للتنبيه في موقع التخزين الخاص بك.

صندوق تأمين العميل

يمنحك «مربع التأمين» عنصر التحكم للموافقة على طلب مهندس Microsoft أو رفضه للوصول إلى بياناتك أثناء طلب الدعم.

يتم توفير Lockbox في نظام مجموعة مخصص في Azure Monitor، حيث يتم منح إذنك للوصول إلى البيانات على مستوى الاشتراك.

تعرف على المزيد حول «مربع تأمين العميل» لـ Microsoft Azure

عمليات المُتاح «المُدار بواسطة العميل»

يتم توفير المفتاح «المُدار بواسطة العميل» على المجموعة المخصصة ويتم الإشارة إلى هذه العمليات في مقالة المجموعة المخصصة

• احصل على جميع المجموعات في مجموعة الموارد
• احصل على جميع المجموعات في الاشتراك
• قم بتحديث حجز «القدرة الإنتاجية» في المجموعة
• قم بتحديث «نوع» الفوترة في المجموعة
• إلغاء ربط مساحة عمل من نظام المجموعة
• حذف نظام مجموعة

القيود والحدود

• يمكنك إنشاء حد أقصى خمسة نظم مجموعات نشطة في كل منطقة واشتراك.

• يمكن أن يوجد الحد الأقصى لعدد سبع مجموعات محجوزة (نشطة أو تم حذفها مؤخرًا) في كل منطقة واشتراك.

• يمكن ربط 1000 مساحة عمل لـ Log Analytics كحد أقصى بنظام مجموعة.

• يسمح بإجراء عمليتين لربط مساحة العمل على مساحة عمل معينة كحد أقصى في فترة 30 يومًا.

• نقل نظام مجموعة إلى مجموعة موارد أخرى أو اشتراك غير معتمد حاليًا.

• يجب ألا يتضمن تحديث نظام المجموعة كلا من تفاصيل الهوية ومعرف المفتاح في نفس العملية. وإذا احتجت إلى تحديثٍ لكليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

• إن «مربع التأمين» غير متوفر في الصين حاليًّا.

• لا ينطبق Lockbox على الجداول ذات الخطة الإضافية.

• يتم تكوين التشفير المزدوج تلقائيًّا للتجمعات التي تم إنشاؤها من أكتوبر 2020 في المناطق المدعومة. يمكنك التحقق مما إذا تم تكوين المجموعة الخاصة بك لأجل التشفير المزدوج من خلال إرسال طلب GET على المجموعة وملاحظة أن isDoubleEncryptionEnabled القيمة true هي للمجموعات التي تم تمكين التشفير المزدوج بها.

  • إذا أنشأت مجموعة وظهرت لك رسالة خطأ - "لا يدعم اسم المنطقة التشفير المزدوج لنظام المجموعة"، فلا يزال بإمكانك إنشاء المجموعة بدون تشفير مزدوج، عن طريق الإضافة في "properties": {"isDoubleEncryptionEnabled": false} نص طلب REST.
  • لا يمكن تغيير إعدادات التشفير المزدوج بعد إنشاء نظام المجموعة.

• يُسمح بحذف مساحة عمل مرتبطة أثناء الارتباط بنظام المجموعة. في حال قرارك باسترداد مساحة العمل أثناء فترة الحذف المبدئي، فإنها تعود إلى الحالة السابقة وتظل مرتبطة بنظام المجموعة.

• ينطبق تشفير المفاتيح المدارة بواسطة العميل على البيانات التي تم إدخالها حديثًا بعد تاريخ التكوين. تظل البيانات التي تم استيعابها قبل التكوين مشفرة باستخدام مفاتيح Microsoft. يمكنك الاستعلام عن البيانات التي تم استيعابها قبل وبعد تكوين المفتاح المدار من قبل العميل بسلاسة.

• يجب تكوين «مخزن مفاتيح» Azure ليكون قابلًا للاسترداد. لا تُمَكنُ هذه الخصائص بشكل افتراضي ويجب تكوينها باستخدام CLI أو PowerShell:
  

  • الحذف المبدئي.
  • الحماية من الإزالة تقي من فرض الحذف على البيانات السرية/ المخزن حتى بعد الحذف المبدئي.

• يجب أن يكون Azure Key Vault، نظام المجموعة ومساحات العمل في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن تكون في اشتراكات مختلفة.

• يؤدي إعداد نظام المجموعةidentity type إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم. إن الطريقة المقترحة لإبطال الوصول إلى البيانات هي إبطال المفتاح.

• لا يمكنك استخدام المفتاح المُدار بواسطة العميل باستخدام الهوية المدارة التي يعينها «المستخدم» إذا كان «مخزن المفاتيح» في Private-Link (vNet). يمكنك استخدام هوية مدارة يعينها «النظام» في هذا السيناريو.

• لا تدعم خطة الجدول المساعدة المفاتيح التي يديرها العملاء. يتم تشفير البيانات في الجداول التي تحتوي على الخطة المساعدة باستخدام مفاتيح تديرها Microsoft، حتى إذا قمت بحماية البيانات في بقية مساحة عمل Log Analytics باستخدام مفتاح التشفير الخاص بك.

استكشاف الأخطاء وإصلاحها

• السلوك حسب مدى توفر Key Vault:

  • التشغيل العادي - ذاكرات التخزين المؤقت "AEK" لفترات زمنية قصيرة والعودة إلى Key Vault للفك بشكل دوري.

  • أخطاء اتصال Key Vault - يعالج التخزين الأخطاء العابرة (المهلات، وفشل الاتصال، ومشكلات "DNS")، من خلال السماح للمفاتيح بالبقاء في ذاكرة التخزين المؤقت أثناء مشكلة التوفر، ويتغلب على مشاكل التوفر والحذف. تستمر إمكانيات الاستعلام والإدخال دون انقطاع.

• معدل الوصول إلى Key Vault - التردد الذي يصل به تخزين نظام المجموعة إلى Key Vault للالتفاف وفك الالتفاف - يتراوح بين 6 إلى 60 ثانية.

• إذا قمت بتحديث نظام المجموعة الخاص بك أثناء وجوده في حالة التوفير أو حالة التحديث، فسيفشل التحديث.

• إذا واجهت تعارضا - خطأ عند إنشاء نظام مجموعة، فربما تم حذف مجموعة بنفس الاسم في آخر 14 يوما والاحتفاظ بها محجوزة. يصبح اسم نظام المجموعة المحذوف متوفرا بعد 14 يوما من الحذف.

• فشل ربط مساحة عمل بمجموعة إذا كانت مساحة العمل مرتبطة بمجموعة أخرى.

• إذا قمت بإنشاء مجموعة وحددت KeyVaultProperties على الفور، فقد تفشل العملية حتى يتم تعيين هوية إلى نظام المجموعة، ومنحها إلى Key Vault.

• إذا قمت بتحديث نظام المجموعة الحالي باستخدام KeyVaultProperties و"Get" key Access Policy مفقود في Key Vault، تفشل العملية.

• إذا فشلت في نشر نظام المجموعة، فتحقق من وجود Azure Key Vault والمجموعة ومساحات العمل المرتبطة في نفس المنطقة. يمكن أن تكون ذلك في اشتراكات مختلفة.

• إذا قمت بتدوير المفتاح الخاص بك في Key Vault ولم تقم بتحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة، فسيستمر نظام المجموعة في استخدام المفتاح السابق وسيتعذر الوصول إلى بياناتك. تحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة لاستئناف استيعاب البيانات والاستعلام. يمكنك تحديث إصدار المفتاح باستخدام "'" لجعل التخزين يستخدم دائما إصدار مفتاح متأخر تلقائيا.

• بعض العمليات طويلة الأمد ويمكن أن تستغرق بعض الوقت لإكمالها، وتشمل إنشاء نظام المجموعة وتحديث مفتاح نظام المجموعة وحذف نظام المجموعة. يمكنك التحقق من حالة العملية عن طريق إرسال طلب GET إلى المجموعة أو مساحة العمل ومراقبة الاستجابة. على سبيل المثال، لن يكون لمساحة العمل غير المترابطة ميزة clusterResourceId ضمن الميزات.

• رسائل خطأ

  تحديث المجموعة

  • 400 - نظام المجموعة في حالة الحذف. عملية عدم التزامن قيد التنفيذ. يجب أن يكمل نظام المجموعة العملية الخاصة به قبل تنفيذ أية عملية تحديث.
  • 400 - KeyVaultProperties ليست فارغة ولكنها ذات تنسيق غير صحيح. انظر تحديث معرّف المفتاح.
  • 400 - فشل التحقق من صحة المفتاح في Key Vault. قد يكون ذلك بسبب عدم وجود أذونات أو عند عدم وجود المفتاح. قم بالتحقق من تعيين المفتاح ونهج الوصول في Key Vault.
  • 400 - المفتاح غير قابل للاسترداد. يجب تعيين Key Vault إلى الحدف المبدئي وحماية المسح. انظر وثائق Key Vault
  • 400 - لا يمكن تنفيذ العملية الآن. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.
  • 400 - نظام المجموعة في حالة الحذف. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.

  مجموعة Get

  • 404--لم يتم العثور على نظام المجموعة، ربما تم حذف نظام المجموعة. إذا حاولت إنشاء نظام مجموعة بهذا الاسم والحصول على تعارض، فإن نظام المجموعة في عملية الحذف.

الخطوات التالية

• تعرف على المزيد حول فوترة نظام المجموعة المخصص لـ Log Analytics
• تعرف على التصميم المناسب لمساحات عمل Log Analytics