مفتاح Azure Monitor المُدار بواسطة العميل

يتم تشفير البيانات في Azure Monitor باستخدام مفاتيح تُديرها Microsoft. يمكنك استخدام مفتاح التشفير الخاص بك لحماية البيانات والاستعلامات المحفوظة في مساحات العمل الخاصة بك. تمنحك المفاتيح التي يديرها العميل في Azure Monitor مرونة أكبر لإدارة عناصر التحكم في الوصول إلى السجلات. بمجرد التكوين، يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة بمفتاحك المخزن في Azure Key Vault، أو Azure Key Vault المدارة "HSM".

راجع القيود والقيود قبل التكوين.

نظرة عامة على المفتاح المُدار بواسطة العميل

التشفير في حالة عدم التشغيل هو شرط للأمان والخصوصية المشتركة في المؤسسات. يمكنك إسناد مهمة إدارة التشفير في حالة عدم التشغيل لـ Azure بالكامل، في حين يتوافر لديك خيارات مختلفة لإدارة التشفير ومفاتيح التشفير بدقة.

يتأكد Azure Monitor من تشفير جميع البيانات والاستعلامات المحفوظة في حالة عدم التشغيل باستخدام المفاتيح المُدارة بواسطة Microsoft (MMK). يمكنك تشفير البيانات باستخدام المفتاح الخاص بك في Azure Key Vault، للتحكم في دورة حياة المفتاح، والقدرة على إبطال الوصول إلى بياناتك. تتبع خدمة Azure Monitor طريقة تشفير متطابقة مع طريقة تشفير Azure Storage.

يتم تسليم المفتاح المُدار بواسطة العميل على أنظمة مجموعات مخصصة توفر مستوى أعلى من حماية والتحكم. يتم تشفير البيانات في التخزين مرتين، مرة على مستوى الخدمة باستخدام مفاتيح تديرها Microsoft أو مفاتيح يديرها العميل، ومرة على مستوى البنية الأساسية، باستخدام خوارزميتين مختلفتين للتشفير ومفاتيحين مختلفتين. التشفير المزدوج يحمي من سيناريو قد يتم فيه اختراق إحدى خوارزميات التشفير أو المفاتيح. يتيح لك نظام المجموعة المخصص أيضا حماية البيانات باستخدام Lockbox.

يتم الاحتفاظ بالبيانات التي تم إدخالها في آخر 14 يومًا أو التي تم استخدامها مؤخرًا في الاستعلامات في ذاكرة التخزين المؤقت (SSD المدعومة) لتحقيق كفاءة الاستعلام. يتم تشفير بيانات SSD باستخدام مفاتيح Microsoft بغض النظر عن تكوين المفتاح الذي يديره العميل، لكن تحكمك في الوصول إلى SSD يلتزم بمفتاح الإبطال

يتطلب نموذج تسعير Log Analytics Dedicated Clusters مستوى الالتزام بدءا من 100 غيغابايت يوميا.

كيفية عمل المفتاح المُدار بواسطة العميل في خدمة Azure Monitor

تستخدم خدمة Azure Monitor الهوية المدارة لمنح حق الدخول إلى Azure Key Vault الخاص بك. يتم دعم هوية مجموعة «تحليلات السجل» على مستوى المجموعة. للسماح بالمفتاح المدار من قبل العميل على مساحات عمل متعددة، يعمل مورد مجموعة Log Analytics كاتصال هوية وسيط بين Key Vault ومساحات عمل Log Analytics. يستخدم تخزين نظام المجموعة الهوية المدارة المقترنة بالمجموعة للمصادقة على Azure Key Vault عبر معرف Microsoft Entra.

تدعم المجموعات نوعين من الهوية المدارة: تعيين النظام وتعيين المستخدم، بينما يمكن تعريف هوية واحدة في نظام مجموعة اعتمادا على السيناريو الخاص بك.

• الهوية المدارة المعينة من قبل النظام أبسط ويتم إنشاؤها تلقائيا مع إنشاء نظام المجموعة عند تعيين الهوية type إلى "SystemAssigned". يمكن استخدام هذه الهوية لاحقا لمنح حق الوصول إلى التخزين إلى Key Vault لعمليات الالتفاف وفك الالتفاف.
• تتيح لك الهوية المدارة المعينة من قبل المستخدم تكوين المفتاح المدار من قبل العميل عند إنشاء نظام المجموعة، عند منحه أذونات في Key Vault قبل إنشاء نظام المجموعة.

يمكنك تطبيق تكوين المفتاح المدار من قبل العميل على نظام مجموعة جديد، أو نظام مجموعة موجود مرتبط بمساحات العمل واستيعاب البيانات. يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة باستخدام المفتاح الخاص بك، وتظل البيانات القديمة التي تم تناولها قبل التكوين مشفرة باستخدام مفتاح Microsoft. لا تتأثر استعلاماتك بتكوين المفتاح الذي يديره العميل ويتم إجراؤها عبر البيانات القديمة والجديدة بسلاسة. يمكنك إلغاء ربط مساحات العمل من نظام المجموعة في أي وقت. يتم إدخال بيانات جديدة بعد تشفير إلغاء الارتباط باستخدام مفتاح Microsoft، ويتم تنفيذ الاستعلامات عبر البيانات القديمة والجديدة بسلاسة.

هام

إن قدرة المفتاح المُدار بواسطة العميل إقليمية. يجب أن يكون Azure Key Vault ونظام المجموعة ومساحات العمل المرتبطة في نفس المنطقة، ولكن يمكن أن تكون في اشتراكات مختلفة.

1. المخزن الرئيسي
2. مورد مجموعة Log Analytics له هوية مُدارة بأذونات لـ Key Vault - يتم نشر الهوية إلى وحدة تخزين المجموعة المخصصة التي تقوم عليها
3. نظام مجموعة مخصصة
4. مساحات العمل المرتبطة بنظام مجموعة مخصصة

تشغيل مفاتيح التشفير

هناك ثلاثة أنواع من المفاتيح المتضمنة في تشفير بيانات التخزين:

• "KEK" - Key Encryption Key (المُفتاح المُدار بواسطة العميل الخاص بك)
• "AEK" - مفتاح تشفير الحساب
• "DEK" - مفتاح تشفير البيانات

يتم تطبيق القواعد التالية:

• يحتوي تخزين نظام المجموعة على مفتاح تشفير فريد لكل حساب تخزين، والذي يُعرف باسم "AEK".
• يتم استخدام "AEK" لينحدر منها "DEK التي تُعتبر المفاتيح التي يتم استخدامها لتشفير كل كتلة من البيانات المكتوبة على القرص.
• عند تكوين مفتاح في Key Vault، وتحديث التفاصيل الأساسية في نظام المجموعة، ينفذ تخزين المجموعة طلبات "التفاف" و"إلغاء التفاف" "AEK" للتشفير والإبطال.
• لا تترك "KEK" الخاصة بك Key Vault أبدًا، وفي حالة "HSM" المُدار، فإنها لا تترك الجهاز أبدًا.
• يستخدم Azure Storage الهوية المدارة المقترنة بمورد نظام المجموعة للمصادقة. يصل إلى Azure Key Vault عبر معرف Microsoft Entra.

خطوات التزويد بمفتاح مُدار بواسطة العميل

1. إنشاء Azure Key Vault وتخزين المفتاح
2. إنشاء نظام المجموعة
3. منح أذونات إلى «مخزن المفاتيح»
4. تحديث نظام المجموعة بتفاصيل معرّف المفتاح
5. ارتباط مساحات العمل

تكوين المفتاح المُدار بواسطة العميل غير مدعوم في مدخل Microsoft Azure حاليًا ويمكن إجراء التوفير عبر طلبات PowerShell أو CLI أو REST.

تخزين مفتاح التشفير ("KEK")

تسرد قائمة منتجات Azure Key Management الخزائن وأجهزة HSM المدارة التي يمكن استخدامها.

إنشاء أو استخدام Azure Key Vault موجود في المنطقة التي تم تخطيط نظام المجموعة فيها. في Key vault الخاص بك، قم بإنشاء أو استيراد مفتاح لاستخدامه في تشفير السجلات. يجب تكوين Azure Key Vault بحيث يكون قابلاً للاسترداد، لحماية مفتاحك والوصول إلى بياناتك في Azure Monitor. يمكنك التحقق من هذا التكوين ضمن الخصائص الموجودة في «مخزن المفاتيح»، وينبغي تمكين كلًّ من الحماية من الإزالة والحذف المبدئي.

يمكن تحديث هذه الإعدادات في «مخزن المفاتيح» من خلال CLI وPowerShell:

• حذف مبدئي
• تطهير الحماية من الحذف بالقوة للبيانات السرية حتى بعد الحذف المبدئي

إنشاء نظام المجموعة

تستخدم المجموعات الهوية المدارة لتشفير البيانات مع Key Vault الخاص بك. قم بتكوين خاصية type الهوية عند SystemAssigned إنشاء المجموعة الخاصة بك للسماح بالوصول إلى Key Vault من أجل عمليات "الالتفاف" و"الإلغاء".

إعدادات الهوية في نظام المجموعة لهوية مُدارة يُعينها النظام

{
  "identity": {
    "type": "SystemAssigned"
    }
}

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

قم بمنح أذونات «لمخزن المفاتيح»

هناك نموذجان للأذونات في Key Vault لمنح حق الوصول إلى نظام المجموعة والتخزين المضمن - التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، ونهج الوصول إلى Vault (قديم).

1. تعيين التحكم في الوصول استنادا إلى الدور في Azure الذي تتحكم فيه (مستحسن)

   لإضافة تعيينات الأدوار، يجب أن يكون لديك أذونات Microsoft.Authorization/roleAssignments/write وMicrosoft.Authorization/roleAssignments/delete، مثل وصول المستخدم مسؤول istrator أو المالك.

   افتح Key Vault في مدخل Microsoft Azure، وانقر فوق تكوين الوصول في الإعدادات، وحدد خيار التحكم في الوصول المستند إلى دور Azure. ثم أدخل التحكم في الوصول (IAM) وأضف تعيين دور مستخدم تشفير خدمة تشفير Key Vault.

   

2. تعيين نهج الوصول إلى المخزن (قديم)

   افتح Key Vault في مدخل Microsoft Azure وانقر فوق نهج الوصول، وحدد نهج الوصول إلى المخزن، ثم انقر فوق + إضافة نهج الوصول لإنشاء نهج باستخدام هذه الإعدادات:

   • أذونات المفاتيح — حدد Get وWrap Key وUnwrap Key.
   • حدد principal - اعتمادا على نوع الهوية المستخدم في نظام المجموعة (النظام أو الهوية المدارة المعينة من قبل المستخدم)
     • الهوية المُدارة المخصصة للنظام - أدخل اسم الكتلة أو المعرف الرئيسي للمجموعة
     • الهوية المُدارة التي عيّنها المستخدم - أدخل اسم الهوية

   

   يُلزم إذن لـGet للتحقق من تكوين «مخزن المفاتيح» الخاص بك ليكون قابلًا للاسترداد كي يحمي المفتاح الخاص بك والوصول إلى بياناتك على خدمة «مُراقبة» Azure.

قم بتحديث المجموعة باستخدام تفاصيل معرّف المفتاح

تتطلب جميع العمليات التي يتم إجراؤها على المجموعة Microsoft.OperationalInsights/clusters/write إذن الإجراء. يمكن الحصول على هذا الإذن من خلال المالك أو المساهم الذي يحتوي على */write الإجراء أو من خلال دور «المساهم في تحليلات السجل» الذي يتضمن Microsoft.OperationalInsights/* الإجراء.

تعمل هذه الخطوة على تحديث وحدة التخزين العنقودية المخصصة بالمفتاح والإصدار لاستخدامهما في التفاف وإلغاء "AEK".

هام

• يمكن أن يكون تدوير المفتاح تلقائيًّا أو يتطلب تحديثًا صريحًا للمفتاح، راجع تدوير «المفتاح» لتحديد النهج المناسب لك قبل تحديث تفاصيل معرّف المفتاح في المجموعة.
• يجب أن لا يتضمن تحديث المجموعة كلًّا من الهوية وتفاصيل معرّف المفتاح في العملية نفسها. إذا كنت بحاجة إلى تحديث كليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

قم بتحديث «خصائص مخزن المفاتيح» في المجموعة باستخدام تفاصيل معرّف المفتاح.

إن العملية غير متزامنة وقد تستغرق بعض الوقت لاستكمالها.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

عند إدخال قيمة "'' ل key-version، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault ولا توجد حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

بوويرشيل

عند إدخال قيمة "'' ل KeyVersion، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault ولا توجد حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

بقيه

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2022-10-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

Response

يستغرق نشر المفتاح بعض الوقت لاستكماله. يمكنك التحقق من وضع التحديث من خلال إرسال طلب GET على المجموعة ثم انظر إلى خصائص «خصائص مخزن المفاتيح». يجب أن يرجع المفتاح الخاص بك الذي تم تحديثه مؤخرًا في الاستجابة.

الاستجابة لطلب GET عند اكتمال تحديث المفتاح: 202 (مقبول) والعنوان

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

قم بربط مساحة العمل بالمجموعة

هام

يجب تنفيذ هذه الخطوة فقط بعد توفير نظام المجموعة. إذا قمت بربط مساحات العمل وأدخلت البيانات قبل التزويد، سيتم إسقاط البيانات التي تم إدخالها ولن تكون قابلة للاسترداد.

يجب أن تكون لديك أذونات "كتابة" على مساحة العمل والمجموعة الخاصة بك لتنفيذ هذه العملية. وهذا يشمل Microsoft.OperationalInsights/workspaces/write وMicrosoft.OperationalInsights/clusters/write.

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

إبطال المفتاح

هام

• الطريقة الموصى بها لإلغاء الوصول إلى بياناتك هي تعطيل مفتاحك أو حذف نهج الوصول في Key Vault.
• يؤدي إعداد نظام المجموعةidentitytype إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم.

يحترم تخزين نظام المجموعة دائما التغييرات في الأذونات الرئيسية في غضون ساعة أو في وقت أقرب، ويصبح التخزين غير متوفر. يتم إسقاط البيانات الجديدة التي يتم إدخالها إلى مساحات العمل المرتبطة ولا يمكن استردادها. لا يمكن الوصول إلى البيانات في مساحات العمل هذه وتفشل الاستعلامات. تبقى البيانات التي تم إدخالها مسبقًا في موقع التخزين ما لم يتم حذف نظام المجموعة ومساحات العمل الخاصة بك. تخضع البيانات غير القابلة للوصول إلى نهج استبقاء البيانات وتطهيرها عند الوصول إلى الاستبقاء. يتم الاحتفاظ أيضًا بالبيانات التي تم إدخالها في الـ 14 يومًا الماضية والبيانات المستخدمة مؤخرًا في الاستعلامات في ذاكرة التخزين المؤقت الساخنة (مدعومة بـ SSD) لكفاءة الاستعلام. يتم حذف البيانات الموجودة على الـ SSD في عملية إبطال المفاتيح ويتعذر الوصول إليها. يحاول تخزين نظام المجموعة الوصول إلى Key Vault للالتفاف وإلغاء التغليف بشكل دوري، وبمجرد تمكين المفتاح، ينجح إلغاء الالتفاف، وتعاد تحميل بيانات SSD من التخزين، ويستأنف استيعاب البيانات والاستعلام في غضون 30 دقيقة.

دوران المفتاح

إن لتدوير المفتاح وضعين:

• التدوير التلقائي — قم بتحديث نظام المجموعة الخاص بك مع "keyVaultProperties" حذف خاصية "keyVersion"، أو قم بتعيينها على "". يستخدم التخزين تلقائيا أحدث إصدار مفتاح.
• تحديث صريح لإصدار المفتاح — قم بتحديث نظام المجموعة الخاص بك بإصدار مفتاح في خاصية "keyVersion". يتطلب تدوير المفاتيح تحديثًا "keyVaultProperties" واضحًا في المجموعة، راجع تحديث المجموعة بتفاصيل معرف المفتاح. إذا قمت بإنشاء إصدار مفتاح جديد في Key Vault ولكن لم تقم بتحديثه في نظام المجموعة، يستمر تخزين نظام المجموعة في استخدام المفتاح السابق. إذا قمت بتعطيل المفتاح القديم أو حذفه قبل تحديث مفتاح جديد في نظام المجموعة، فستدخل في حالة إبطال المفتاح.

تظل جميع البيانات قابلة للوصول بعد عملية تدوير المفتاح. يتم دائمًا تشفير البيانات باستخدام مفتاح تشفير الحساب ("AEK")، والذي يتم تشفيره بإصدار مفتاح تشفير المفتاح الجديد ("KEK") في Key Vault.

المفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل

لغة الاستعلام المستخدمة في Log Analytics معبرة ويمكن أن تحتوي على معلومات حساسة في التعليقات أو في صيغة الاستعلام. تتطلب بعض المؤسسات أن تظل هذه المعلومات محمية بموجب سياسة المفتاح المدارة بواسطة العميل وتحتاج إلى حفظ استعلاماتك المشفرة باستخدام المفتاح الخاص بك. يمكنك Azure Monitor من تخزين الاستعلامات المحفوظة وتسجيل تنبيهات البحث المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك عند ربطها بمساحة العمل الخاصة بك.

المفتاح المدار من قبل العميل للمصنفات

مع الاعتبارات المذكورة للمفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل، يتيح لك Azure Monitor تخزين استعلامات المصنف المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك، عند تحديد حفظ المحتوى إلى حساب تخزين Azure في عملية "حفظ" المصنف.

إشعار

تظل الاستعلامات مشفرة باستخدام مفتاح Microsoft ("MMK") في السيناريوهات التالية بغض النظر عن تكوين المفتاح المدار بواسطة العميل: لوحات معلومات Azure وAzure Logic App ودفاتر Azure Notebooks وأتمتة Runbooks.

عند ربط حساب التخزين الخاص بك بالاستعلامات المحفوظة، تخزن الخدمة الاستعلامات المحفوظة وتسجل استعلامات تنبيه البحث في حساب التخزين الخاص بك. من خلال التحكم في نهج تشفير حساب التخزين الثابت، يمكنك حماية الاستعلامات المحفوظة وتسجيل تنبيهات البحث باستخدام المفتاح المدار من قبل العميل. ومع ذلك، ستكون مسؤولاً عن التكاليف المرتبطة بحساب التخزين هذا.

الاعتبارات المُتخذة قبل إعداد مفتاح مُدار بواسطة العميل للاستعلامات

• يجب أن تكون لديك أذونات "كتابة" على مساحة العمل وحساب التخزين.
• تأكد من إنشاء حساب التخزين الخاص بك في نفس المنطقة التي توجد بها مساحة عمل Log Analytics، مع تشفير المفتاح المدار من قبل العميل. هذا مهم نظرا لأنه يتم تخزين الاستعلامات المحفوظة في تخزين الجدول ولا يمكن تشفيرها إلا عند إنشاء حساب التخزين.
• لا يتم تشفير الاستعلامات المحفوظة في حزمة الاستعلام باستخدام مفتاح مدار من قبل العميل. حدد Save as Legacy query عند حفظ الاستعلامات بدلا من ذلك، لحمايتها باستخدام المفتاح المدار بواسطة العميل.
• يعتبر حفظ الاستعلامات في التخزين عناصر خدمة وقد يتغير تنسيقها.
• يؤدي ربط حساب تخزين للاستعلامات إلى إزالة استعلامات الحفظ الموجودة من مساحة العمل الخاصة بك. يحفظ النسخ الاستعلامات التي تحتاجها قبل هذا التكوين. يمكنك عرض الاستعلامات المحفوظة باستخدام PowerShell.
• لا يتم دعم الاستعلام "المحفوظات" و "التثبيت على لوحة المعلومات" عند ربط حساب التخزين للاستعلامات.
• يمكنك ربط حساب تخزين واحد بمساحة عمل لكل من الاستعلامات المحفوظة واستعلامات تنبيه بحث السجل.
• يتم حفظ تنبيهات البحث في السجل في تخزين الكائن الثنائي كبير الحجم ويمكن تكوين تشفير المفتاح المدار من قبل العميل عند إنشاء حساب التخزين، أو في وقت لاحق.
• لن تحتوي تنبيهات بحث السجل التي تم تشغيلها على نتائج البحث أو استعلام التنبيه. يمكنك استخدام أبعاد التنبيه للحصول على سياق في التنبيهات التي تم تشغيلها.

تكوين BYOS للاستعلامات المحفوظة

ربط حساب تخزين للاستعلامات للاحتفاظ بالاستعلامات المحفوظة في حساب التخزين الخاص بك.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

بقيه

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد لبحث محفوظ في موقع التخزين الخاص بك.

تكوين BYOS للاستعلامات عن تنبيه البحث في السجل

ربط حساب تخزين للتنبيهات للاحتفاظ استعلامات تنبيه البحث في السجل في حساب التخزين الخاص بك.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

بقيه

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد للتنبيه في موقع التخزين الخاص بك.

صندوق تأمين العميل

يمنحك «مربع التأمين» عنصر التحكم للموافقة على طلب مهندس Microsoft أو رفضه للوصول إلى بياناتك أثناء طلب الدعم.

يتم توفير Lockbox في نظام مجموعة مخصص في Azure Monitor، حيث يتم منح إذنك للوصول إلى البيانات على مستوى الاشتراك.

تعرف على المزيد حول «مربع تأمين العميل» لـ Microsoft Azure

عمليات المُتاح «المُدار بواسطة العميل»

يتم توفير المفتاح «المُدار بواسطة العميل» على المجموعة المخصصة ويتم الإشارة إلى هذه العمليات في مقالة المجموعة المخصصة

• احصل على جميع المجموعات في مجموعة الموارد
• احصل على جميع المجموعات في الاشتراك
• قم بتحديث حجز «القدرة الإنتاجية» في المجموعة
• قم بتحديث «نوع» الفوترة في المجموعة
• إلغاء ربط مساحة عمل من نظام المجموعة
• حذف نظام مجموعة

القيود والحدود

• يمكنك إنشاء حد أقصى خمسة نظم مجموعات نشطة في كل منطقة واشتراك.

• يمكن أن يوجد الحد الأقصى لعدد سبع مجموعات محجوزة (نشطة أو تم حذفها مؤخرًا) في كل منطقة واشتراك.

• يمكن ربط 1000 مساحة عمل لـ Log Analytics كحد أقصى بنظام مجموعة.

• يسمح بإجراء عمليتين لربط مساحة العمل على مساحة عمل معينة كحد أقصى في فترة 30 يومًا.

• نقل نظام مجموعة إلى مجموعة موارد أخرى أو اشتراك غير معتمد حاليًا.

• يجب ألا يتضمن تحديث نظام المجموعة كلا من تفاصيل الهوية ومعرف المفتاح في نفس العملية. وإذا احتجت إلى تحديثٍ لكليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

• إن «مربع التأمين» غير متوفر في الصين حاليًّا.

• يتم تكوين التشفير المزدوج تلقائيًّا للتجمعات التي تم إنشاؤها من أكتوبر 2020 في المناطق المدعومة. يمكنك التحقق مما إذا تم تكوين المجموعة الخاصة بك لأجل التشفير المزدوج من خلال إرسال طلب GET على المجموعة وملاحظة أن isDoubleEncryptionEnabled القيمة true هي للمجموعات التي تم تمكين التشفير المزدوج بها.

  • إذا أنشأت مجموعة وظهرت لك رسالة خطأ - "لا يدعم اسم المنطقة التشفير المزدوج لنظام المجموعة"، فلا يزال بإمكانك إنشاء المجموعة بدون تشفير مزدوج، عن طريق الإضافة في "properties": {"isDoubleEncryptionEnabled": false} نص طلب REST.
  • لا يمكن تغيير إعدادات التشفير المزدوج بعد إنشاء نظام المجموعة.

يُسمح بحذف مساحة عمل مرتبطة أثناء الارتباط بنظام المجموعة. في حال قرارك باسترداد مساحة العمل أثناء فترة الحذف المبدئي، فإنها تعود إلى الحالة السابقة وتظل مرتبطة بنظام المجموعة.

• ينطبق تشفير المفاتيح المدارة بواسطة العميل على البيانات التي تم إدخالها حديثًا بعد تاريخ التكوين. تظل البيانات التي تم إدخالها قبل التكوين مشفرةً باستخدام مفتاح Microsoft. يمكنك الاستعلام عن البيانات التي تم إدخالها قبل وبعد تكوين المفتاح المُدار بواسطة «العميل» بسلاسة.

• يجب تكوين «مخزن مفاتيح» Azure ليكون قابلًا للاسترداد. لا تُمَكنُ هذه الخصائص بشكل افتراضي ويجب تكوينها باستخدام CLI أو PowerShell:
  

  • الحذف المبدئي.
  • الحماية من الإزالة تقي من فرض الحذف على البيانات السرية/ المخزن حتى بعد الحذف المبدئي.

• يجب أن يكون Azure Key Vault، نظام المجموعة ومساحات العمل في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن تكون في اشتراكات مختلفة.

• يؤدي إعداد نظام المجموعةidentitytype إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم. إن الطريقة المقترحة لإبطال الوصول إلى البيانات هي إبطال المفتاح.

• لا يمكنك استخدام المفتاح المُدار بواسطة العميل باستخدام الهوية المدارة التي يعينها «المستخدم» إذا كان «مخزن المفاتيح» في Private-Link (vNet). يمكنك استخدام هوية مدارة يعينها «النظام» في هذا السيناريو.

• الاستعلامات غير المتزامنة في مهام البحث لا يتم دعمها في سيناريو المفتاح المدار من قبل العميل حاليًا.

استكشاف الأخطاء وإصلاحها

• السلوك حسب مدى توفر Key Vault:

  • التشغيل العادي - ذاكرات التخزين المؤقت "AEK" لفترات زمنية قصيرة والعودة إلى Key Vault للفك بشكل دوري.

  • أخطاء اتصال Key Vault - يعالج التخزين الأخطاء العابرة (المهلات، وفشل الاتصال، ومشكلات "DNS")، من خلال السماح للمفاتيح بالبقاء في ذاكرة التخزين المؤقت أثناء مشكلة التوفر، ويتغلب على مشاكل التوفر والحذف. تستمر إمكانيات الاستعلام والإدخال دون انقطاع.

• معدل الوصول إلى مخزن المفاتيح - يتراوح معدل وصول Azure تخزين المجموعة إلى Key Vault للالتفاف وإلغاء التغليف بين 6 إلى 60 ثانية.

• إذا قمت بتحديث نظام المجموعة الخاص بك أثناء وجوده في حالة التوفير أو حالة التحديث، فسيفشل التحديث.

• إذا واجهت تعارضا - خطأ عند إنشاء نظام مجموعة، فربما تم حذف مجموعة بنفس الاسم في آخر 14 يوما والاحتفاظ بها محجوزة. يصبح اسم نظام المجموعة المحذوف متوفرا بعد 14 يوما من الحذف.

• يفشل ارتباط مساحة العمل إلى نظام المجموعة إذا كان مرتبطا بمجموعة أخرى.

• إذا قمت بإنشاء مجموعة وحددت KeyVaultProperties على الفور، فقد تفشل العملية حتى يتم تعيين الهوية في نظام المجموعة، ومنحها في Key Vault.

• إذا قمت بتحديث نظام المجموعة الحالي باستخدام KeyVaultProperties و"Get" key Access Policy مفقود في Key Vault، تفشل العملية.

• إذا فشلت في نشر نظام المجموعة، فتحقق من وجود Azure Key Vault والمجموعة ومساحات العمل المرتبطة في نفس المنطقة. يمكن أن تكون ذلك في اشتراكات مختلفة.

• إذا قمت بتدوير المفتاح الخاص بك في Key Vault ولم تقم بتحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة، فسيستمر نظام المجموعة في استخدام المفتاح السابق وسيتعذر الوصول إلى بياناتك. تحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة لاستئناف استيعاب البيانات والاستعلام. يمكنك تحديث إصدار المفتاح باستخدام "'" لجعل التخزين يستخدم دائما إصدار مفتاح متأخر تلقائيا.

• بعض العمليات طويلة الأمد ويمكن أن تستغرق بعض الوقت لإكمالها، وتشمل إنشاء نظام المجموعة وتحديث مفتاح نظام المجموعة وحذف نظام المجموعة. يمكنك التحقق من حالة العملية عن طريق إرسال طلب GET إلى المجموعة أو مساحة العمل ومراقبة الاستجابة. على سبيل المثال، لن يكون لمساحة العمل غير المترابطة ميزة clusterResourceId ضمن الميزات.

• رسائل خطأ

  تحديث المجموعة

  • 400 - نظام المجموعة في حالة الحذف. عملية عدم التزامن قيد التنفيذ. يجب أن يكمل نظام المجموعة العملية الخاصة به قبل تنفيذ أية عملية تحديث.
  • 400-- KeyVaultProperties ليست فارغة ولكن لديها تنسيق غير صحيح. انظر تحديث معرّف المفتاح.
  • 400 - فشل في التحقق من صحة المفتاح في Key Vault. قد يكون ذلك بسبب عدم وجود أذونات أو عند عدم وجود المفتاح. قم بالتحقق من تعيين المفتاح ونهج الوصول في Key Vault.
  • 400 - مفتاح غير قابل للاسترداد. يجب تعيين Key Vault إلى الحدف المبدئي وحماية المسح. انظر وثائق Key Vault
  • 400 - لا يمكن تنفيذ العملية الآن. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.
  • 400 - نظام المجموعة في حالة الحذف. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.

  مجموعة Get

  • 404--لم يتم العثور على نظام المجموعة، ربما تم حذف نظام المجموعة. إذا حاولت إنشاء نظام مجموعة بهذا الاسم والحصول على تعارض، فإن نظام المجموعة في عملية الحذف.

الخطوات التالية

• تعرف على المزيد حول فوترة نظام المجموعة المخصص لـ Log Analytics
• تعرف على التصميم المناسب لمساحات عمل Log Analytics