Nastavení diagnostiky ve službě Azure Monitor

Nastavení diagnostiky ve službě Azure Monitor umožňuje shromažďovat protokoly prostředků a odesílat metriky platformy a protokol aktivit do různých cílů. Vytvořte samostatné nastavení diagnostiky pro každý prostředek, ze kterého chcete shromažďovat data. Každé nastavení definuje data z prostředku, která se mají shromažďovat, a cíle, do nichž se mají tato data odesílat. Tento článek popisuje podrobnosti nastavení diagnostiky, včetně toho, jak je vytvořit, a cíle, které jsou k dispozici pro odesílání dat.

Následující video vás provede směrováním protokolů platformy prostředků s nastavením diagnostiky. Po zaznamenání videa byly provedeny následující změny nastavení diagnostiky, ale tato témata jsou popsána v tomto článku.

Partneři služby Azure Monitor
Skupiny kategorií

Warning

Pokud prostředek odstraníte nebo přejmenujete, odstraňte všechna nastavení diagnostiky nebo pokud ho migrujete mezi skupinami prostředků nebo předplatnými. Pokud se nastavení diagnostiky neodebere a tento prostředek se znovu vytvoří, mohou se na nový prostředek použít jakákoli diagnostická nastavení odstraněného prostředku. Pro některé typy zdrojů by to obnovilo sběr logů zdrojů, jak je definováno v diagnostickém nastavení.

Sources

Nastavení diagnostiky může shromažďovat data ze zdrojů v následující tabulce. Podrobnosti o datech shromážděných tímto zdrojem a jeho formátu v každém cíli najdete v jednotlivých odkazovaných článcích.

Zdroj dat	Description
Metriky platformy	Automaticky se shromažďuje bez konfigurace. K odesílání metrik platformy do jiných cílů použijte nastavení diagnostiky.
protokol aktivit	Automaticky se shromažďuje bez konfigurace. K odesílání položek protokolu aktivit do jiných cílů použijte nastavení diagnostiky.
Protokoly prostředků	Ve výchozím nastavení se neshromažďují. Vytvořte nastavení diagnostiky, které budou shromažďovat protokoly prostředků.

Destinations

Nastavení diagnostiky odesílají data do cílů v následující tabulce. Aby se zajistilo zabezpečení přenášených dat, jsou všechny cílové koncové body nakonfigurované tak, aby podporovaly protokol TLS 1.2.

Jedno nastavení diagnostiky nemůže definovat více než jedno z jednotlivých cílů. Pokud chcete odesílat data do více než jednoho konkrétního cílového typu (například do dvou různých pracovních prostorů služby Log Analytics), vytvořte více nastavení. Každý prostředek může mít až pět nastavení diagnostiky.

Před vytvořením nastavení musí existovat všechny cíle používané nastavením diagnostiky. Cíl nemusí být ve stejném předplatném jako prostředek odesílající protokoly, pokud má uživatel, který konfiguruje nastavení, odpovídající přístup k řízení přístupu na základě role Azure k oběma předplatným. Azure Lighthouse použijte k zahrnutí cílů do jiného tenanta Microsoft Entra.

Destination	Description	Requirements
Pracovní prostor služby Log Analytics	Načtěte data pomocí dotazů protokolu a workbooků. Pomocí upozornění protokolu můžete aktivně upozorňovat na data. Informace o tabulkách používaných různými prostředky Azure najdete v referenčních informacích k protokolům prostředků služby Azure Monitor .	Všechny tabulky v pracovním prostoru služby Log Analytics se automaticky vytvoří při odeslání prvních dat do pracovního prostoru, takže musí existovat jenom samotný pracovní prostor.
Účet služby Azure Storage	Ukládání pro audit, statickou analýzu nebo zálohování Úložiště může být levnější než jiné možnosti a může být trvale zachováno. Odesílat data do neměnného úložiště, aby se zabránilo jejich úpravám. Nastavte neměnné zásady pro účet úložiště, jak je popsáno v tématu Nastavení a správa zásad neměnnosti pro Azure Blob Storage.	Účty úložiště musí být ve stejné oblasti jako monitorovaný prostředek, pokud je prostředek regionální. Nastavení diagnostiky nemá přístup k účtům úložiště, pokud jsou povolené virtuální sítě. V účtech úložiště musíte povolit Povolit důvěryhodným službám Microsoftu obejít toto nastavení brány firewall, aby službě nastavení diagnostiky Azure Monitor byl udělen přístup k vašemu účtu úložiště. Koncové body zóny Azure DNS (Preview) a žádné Účty úložiště Premium nejsou podporovány jako cílové umístění. Podporují se všechny účty úložiště úrovně Standard .
Azure Event Hubs	Streamovat data do externích systémů, jako jsou SIEM třetích stran a další řešení Log Analytics.	Pokud je prostředek oblastní, musí být centra událostí ve stejné oblasti jako monitorovaný prostředek. Komprimované centrum událostí nemůžete použít, protože to vyžaduje, aby zpráva měla klíč oddílu, který Azure Monitor neobsahuje. Nastavení diagnostiky nemá přístup k centrem událostí, když jsou povolené virtuální sítě. Musíte povolit Povolit důvěryhodným službám Microsoftu obejít toto nastavení brány firewall v centrech událostí, aby služba nastavení diagnostiky služby Azure Monitor získala přístup k prostředkům služby Event Hubs. Zásady sdíleného přístupu pro obor názvů Event Hub definují oprávnění, která má streamovací mechanismus. Streamování do služby Event Hubs vyžaduje `ManageSend`a `Listen` oprávnění. Pokud chcete aktualizovat nastavení diagnostiky tak, aby zahrnovalo streamování, musíte mít `ListKey` oprávnění k autorizačnímu pravidlu služby Event Hubs.
Partnerová řešení služby Azure Monitor	Mezi Azure Monitorem a dalšími monitorovacími platformami jiných společností než Microsoft je možné provádět specializované integrace. Řešení se liší podle partnera.	Podrobnosti najdete v dokumentaci k Azure Native ISV Services.

Vytvoření nastavení diagnostiky

Nastavení diagnostiky můžete vytvořit pomocí některé z následujících metod.

Note

Pokud chcete vytvořit nastavení diagnostiky pro protokol aktivit, přečtěte si článek Export protokolu aktivit.

Pomocí následujících kroků vytvořte nové nastavení diagnostiky nebo upravte existující nastavení na webu Azure Portal.

Buď vyberte Nastavení diagnostiky v části Monitorování v nabídce prostředku, nebo v části Nastavení v nabídce Azure Monitor vyberte nastavení diagnostiky a pak vyberte prostředek.
Pokud chcete přidat nové nastavení, vyberte Přidat nastavení diagnostiky nebo Upravit a upravte existující nastavení. Možná budete potřebovat více nastavení diagnostiky pro prostředek, pokud chcete odeslat do více cílů stejného typu. Následující příklad ukazuje nastavení prostředku trezoru klíčů, ale obrazovka je podobná ostatním prostředkům.
Zadejte popisný název nastavení, pokud ho ještě nemá.

Note

Kategorie se budou lišit pro různé typy prostředků Azure. Tento snímek obrazovky ukazuje příklad služby Key Vault. Jiné typy prostředků budou mít jinou sadu kategorií.
Protokoly a metriky, které se mají směrovat: U protokolů zvolte skupinu kategorií nebo zaškrtněte jednotlivá políčka pro každou kategorii dat, která chcete odeslat do cílů uvedených později. Seznam kategorií se pro každou službu Azure liší. Pokud chcete shromažďovat metriky platformy, vyberte Všechny metriky .
Podrobnosti o cíli: Zaškrtněte políčko pro každý cíl, který by měl být součástí nastavení diagnostiky, a zadejte podrobnosti pro každý cíl. Pokud jako cíl vyberete pracovní prostor služby Log Analytics, budete možná muset určit režim shromažďování. Podrobnosti najdete v režimu shromažďování .

Pomocí rutiny New-AzDiagnosticSetting vytvořte nastavení diagnostiky pomocí Azure PowerShellu. Dokumentaci k této rutině (cmdletu) najdete pro popisy jeho parametrů.

Important

Tuto metodu nemůžete použít pro protokol aktivit. Místo toho můžete pomocí šablony Azure Resource Manageru vytvořit nastavení diagnostiky ve službě Azure Monitor a nasadit ji pomocí PowerShellu.

Následující ukázkový skript PowerShellu vytvoří nastavení diagnostiky pro odesílání všech protokolů a metrik trezoru klíčů do pracovního prostoru služby Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Pomocí příkazu az monitor diagnostic-settings create vytvořte nastavení diagnostiky pomocí Azure CLI. Popis jeho parametrů najdete v dokumentaci k tomuto příkazu.

Important

Tuto metodu nemůžete použít pro protokol aktivit. Místo toho použijte vytvoření diagnostického nastavení v Azure Monitoru pomocí šablony Resource Manager k vytvoření a nasazení šablony pomocí Azure CLI.

Následující ukázkový skript vytvoří nastavení diagnostiky, které odesílá data do všech tří cílů. Pokud chcete určit režim specifický pro prostředek, pokud ji služba podporuje, přidejte export-to-resource-specific parametr s hodnotou true.'

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Následující ukázková šablona vytvoří nastavení diagnostiky, které odešle všechny protokoly auditu do pracovního prostoru služby Log Analytics. Tato apiVersion možnost se může změnit v závislosti na prostředku v oboru. Viz ukázky šablon Resource Manageru pro nastavení diagnostiky ve službě Azure Monitor pro ukázkové šablony pro jiné prostředky.

Soubor šablony

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Soubor parametrů

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Warning

Při vytváření nebo aktualizaci nastavení diagnostiky pro účet služby Azure Storage nebo obor názvů Azure Event Hub na Azure Portal nemůžete tuto službu vybrat samotnou jako cíl pro protokoly prostředků nebo metriky. Je to záměrné, protože je možné se dostat do stavu, kdy protokoly a metriky odesílané z prostředku do stejného prostředku způsobí nekonečnou smyčku generování a zápisu dat.
Tento návrh se použije jenom ve vrstvě uživatelského prostředí webu Azure Portal, pokud skutečně potřebujete zapisovat data do stejného prostředku a vy jste ochotni přijmout přidružená rizika, můžete vytvořit nastavení diagnostiky pomocí Azure PowerShellu, Azure CLI, rozhraní REST API, šablony ARM nebo jiné podporované sady Microsoft SDK.

Skupiny kategorií

Skupiny kategorií můžete použít ke shromažďování logů prostředků na základě předdefinovaných seskupení místo výběru jednotlivých kategorií logů. Společnost Microsoft definuje seskupení, která pomáhají monitorovat běžné případy použití. Pokud se kategorie ve skupině aktualizují, kolekce protokolů se automaticky upraví. Ne všechny služby Azure používají skupiny kategorií. Pokud pro konkrétní prostředek nejsou skupiny kategorií dostupné, nebude tato možnost při vytváření nastavení diagnostiky dostupná.

Pokud v nastavení diagnostiky používáte skupiny kategorií, nemůžete vybrat jednotlivé typy kategorií. V současné době existují dvě skupiny kategorií:

allLogs: všechny kategorie pro zdroj.
audit: Veškeré protokoly o prostředcích, které zaznamenávají interakce zákazníků s daty nebo nastavením služby. Pokud vyberete skupinu kategorií allLogs, nemusíte vybírat tuto skupinu kategorií.

Note

Povolení kategorie Audit v nastavení diagnostiky pro Azure SQL Database neaktivuje auditování pro databázi. Pokud chcete povolit auditování databáze, musíte ho povolit v okně auditování služby Azure Database.

Omezení metrik

Ne všechny metriky se dají odesílat do pracovního prostoru služby Log Analytics s nastavením diagnostiky. Podívejte se na sloupec Exportable v seznamu podporovaných metrik.

Nastavení diagnostiky v současné době nepodporují vícerozměrné metriky. Metriky s dimenzemi se exportují jako zploštěné jednorozměrné metriky a agregují se napříč hodnotami dimenzí. Metriku IOReadBytes v blockchainu můžete například prozkoumat a namapovat na úrovni jednotlivých uzlů. Při exportu s nastavením diagnostiky se vyexportované metriky zobrazují všechny bajty čtení pro všechny uzly.

Pokud chcete obejít omezení konkrétních metrik, můžete je ručně extrahovat pomocí rozhraní REST API metrik a pak je importovat do pracovního prostoru služby Log Analytics pomocí rozhraní API pro příjem protokolů.

Řízení nákladů

Mohou existovat náklady na data shromážděná nastavením diagnostiky. Náklady závisí na zvoleném cíli a na objemu shromážděných dat. Další informace najdete v tématu o cenách služby Azure Monitor.

Shromážděte pouze kategorie, které požadujete pro každou službu. Možná také nechcete shromažďovat metriky platformy z prostředků Azure, protože tato data se už shromažďují v metrikách. Diagnostická data nakonfigurujte tak, aby shromažďovací metriky shromažďovali jenom v případě, že potřebujete data metrik v pracovním prostoru pro složitější analýzu pomocí dotazů protokolu.

Nastavení diagnostiky neumožňuje podrobné filtrování ve vybrané kategorii. Data pro podporované tabulky v pracovním prostoru služby Log Analytics můžete filtrovat pomocí transformací. Podrobnosti najdete v tématu Transformace ve službě Azure Monitor .

Čas před tím, než se telemetrie dostane do cíle

Po vytvoření nastavení diagnostiky by se data měla do 90 minut začít přesměrovávat do vybraných destinací. Když odesíláte data do pracovního prostoru služby Log Analytics, vytvoří se tabulka automaticky, pokud ještě neexistuje. Tabulka se vytvoří pouze při přijetí prvních záznamů protokolu. Pokud do 24 hodin nedostanete žádné informace, může docházet k některým z následujících problémů:

Negenerují se žádné protokoly.
V základním mechanismu směrování se něco nepovedlo.

Pokud dochází k problému, zakažte konfiguraci a pak ji znovu spusťte. Pokud máte i nadále problémy, obraťte se na podpora Azure prostřednictvím webu Azure Portal.

Application Insights

Pro nastavení diagnostiky pro aplikace Application Insights zvažte následující:

Cílem nemůže být stejný pracovní prostor Log Analytics, na kterém je založen váš prostředek Application Insights.
Uživatel Application Insights nemůže mít přístup k oběma pracovním prostorům. Nastavte režim řízení přístupu Log Analytics na Vyžaduje oprávnění k pracovnímu prostoru. Prostřednictvím řízení přístupu na základě role Azure se ujistěte, že uživatel má přístup pouze k pracovnímu prostoru služby Log Analytics, na který je prostředek Application Insights založený.

Tyto kroky jsou nezbytné, protože Application Insights přistupuje k telemetrii napříč prostředky Application Insights, včetně pracovních prostorů služby Log Analytics, k zajištění kompletních operací transakcí a přesných map aplikací. Vzhledem k tomu, že diagnostické protokoly používají stejné názvy tabulek, může se zobrazit duplicitní telemetrie, pokud má uživatel přístup k více prostředkům, které obsahují stejná data.

Troubleshooting

Kategorie metrik se nepodporuje.
Při použití šablony Resource Manageru, rozhraní REST API, Azure CLI nebo Azure PowerShellu se může zobrazit chybová zpráva podobná kategorii metrik 'xxxx' není podporována. Jiné kategorie metrik než AllMetrics nejsou podporované s výjimkou omezeného počtu služeb Azure. Odeberte všechny názvy kategorií metrik kromě AllMetrics a znovu proveďte nasazení.

Nastavení zmizí kvůli ne-ASCII znakům v ID prostředku
Nastavení diagnostiky nepodporují ID prostředku s ne-ASCII znaky (například Preproduccón). Vzhledem k tomu, že nemůžete přejmenovat prostředky v Azure, musíte vytvořit nový prostředek bez znaků non-ASCII. Pokud jsou postavy ve skupině prostředků, můžete prostředky přesunout do nové skupiny.

Neaktivní prostředky
Pokud je prostředek neaktivní a exportuje metriky s nulovou hodnotou, mechanismus exportu nastavení diagnostiky postupně omezuje svou činnost, aby se vyhnul zbytečným nákladům na export a uložení nulových hodnot. Toto zpoždění může vést k prodlevě v exportu další nenulové hodnoty. Toto chování platí jenom pro exportované metriky a nemá vliv na upozornění založená na metrikách ani automatické škálování.

Když je prostředek neaktivní po dobu jedné hodiny, exportní mechanismus sníží frekvenci na každých 15 minut. To znamená, že pro další nenulovou hodnotu, která má být exportována, je možná latence až 15 minut. Maximální čekací doba dvou hodin se dosáhne po sedmi dnech nepoužívání. Jakmile prostředek začne exportovat nenulové hodnoty, mechanismus exportu se vrátí k původní latenci exportu za tři minuty.

Další kroky

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-12-03