Sdílet prostřednictvím


Nastavení diagnostiky ve službě Azure Monitor

Tento článek obsahuje podrobnosti o vytváření a konfiguraci nastavení diagnostiky pro odesílání metrik platformy Azure, protokolů prostředků a protokolu aktivit do různých cílů.

Každý prostředek Azure vyžaduje vlastní nastavení diagnostiky, které definuje následující kritéria:

  • Zdroje: Typ metriky a dat protokolu, která se mají odesílat do cílů definovaných v nastavení. Dostupné typy se liší podle typu prostředku.
  • Cíle: Jeden nebo více cílů, na které se má odeslat.

Jedno nastavení diagnostiky nemůže definovat více než jedno z jednotlivých cílů. Pokud chcete odesílat data do více než jednoho konkrétního cílového typu (například do dvou různých pracovních prostorů služby Log Analytics), vytvořte více nastavení. Každý prostředek může mít až pět nastavení diagnostiky.

Upozorňující

Pokud potřebujete odstranit prostředek, přejmenovat nebo přesunout prostředek nebo ho migrovat mezi skupinami prostředků nebo předplatnými, nejprve odstraňte jeho nastavení diagnostiky. Jinak, pokud tento prostředek znovu vytvoříte, může být nastavení diagnostiky odstraněného prostředku součástí nového prostředku v závislosti na konfiguraci prostředků pro každý prostředek. Pokud jsou nastavení diagnostiky součástí nového prostředku, obnoví se shromažďování protokolů prostředků, jak je definováno v nastavení diagnostiky, a odešle příslušná metrika a data protokolu do dříve nakonfigurovaného cíle.

Také je vhodné odstranit nastavení diagnostiky pro prostředek, který budete odstraňovat, a neplánovat použití znovu, aby vaše prostředí nebylo čisté.

Následující video vás provede směrováním protokolů platformy prostředků s nastavením diagnostiky. Video bylo provedeno v dřívější době. Mějte na paměti následující změny:

  • Teď jsou čtyři cíle. Metriky platformy a protokoly můžete odesílat určitým partnerům služby Azure Monitor.
  • V listopadu 2021 byla zavedena nová funkce označovaná jako skupiny kategorií.

Informace o těchto novějších funkcích jsou součástí tohoto článku.

Zdroje

Pro diagnostické informace existují tři zdroje:

  • Metriky platformy se ve výchozím nastavení automaticky odesílají do metrik služby Azure Monitor a bez konfigurace. Další informace o podporovaných metrikách najdete v tématu Podporované metriky ve službě Azure Monitor.
  • Protokoly platformy poskytují podrobné diagnostické informace a informace o auditování prostředků Azure a platformy Azure, na které závisí.
    • Protokoly prostředků se neshromažďují, dokud se nepřesměrují do cíle. Další informace o podporovaných protokolech najdete v tématu Podporované kategorie protokolů prostředků pro Azure Monitor.
    • Protokol aktivit poskytuje informace o prostředcích mimo prostředek, například při vytvoření nebo odstranění prostředku. Položky existují samostatně, ale lze je směrovat do jiných umístění.

Metriky

Nastavení AllMetrics směruje metriky platformy prostředku do jiných cílů. Tato možnost nemusí být k dispozici pro všechny poskytovatele prostředků.

Protokoly prostředků

Pomocí protokolů prostředků můžete vybrat kategorie protokolů, které chcete směrovat jednotlivě, nebo zvolit skupinu kategorií.

Skupiny kategorií

Poznámka:

Skupiny kategorií se nevztahují na všechny poskytovatele prostředků metrik. Pokud je poskytovatel nemá k dispozici v nastavení diagnostiky na webu Azure Portal, nebudou k dispozici také prostřednictvím šablon Azure Resource Manageru.

Skupiny kategorií můžete použít k dynamickému shromažďování protokolů prostředků na základě předdefinovaných seskupení místo výběru jednotlivých kategorií protokolů. Společnost Microsoft definuje seskupení, která pomáhají monitorovat konkrétní případy použití ve všech službách Azure. V průběhu času se kategorie ve skupině můžou aktualizovat, protože se nasadí nové protokoly nebo se změní posouzení. Když se kategorie protokolů přidají nebo odeberou ze skupiny kategorií, kolekce protokolů se automaticky upraví, aniž byste museli aktualizovat nastavení diagnostiky.

Při použití skupin kategorií:

  • Protokoly prostředků už nelze vybrat jednotlivě na základě jednotlivých typů kategorií.
  • Nastavení uchovávání už nejde použít na protokoly odeslané do Azure Storage.

V současné době existují dvě skupiny kategorií:

  • Vše: Každý protokol prostředků, který prostředek nabízí.
  • Audit: Všechny protokoly prostředků, které zaznamenávají interakce zákazníka s daty nebo nastavením služby. Protokoly auditu představují pokus každého poskytovatele prostředků o poskytování nejrelevavantnějších dat auditu, ale nemusí být v závislosti na vašem případu použití považován za dostatečné z hlediska standardů auditování. Jak už bylo zmíněno výše, shromažďované informace jsou dynamické a Společnost Microsoft ji může v průběhu času měnit, jakmile budou k dispozici nové kategorie protokolů prostředků.

Skupina kategorií Audit je podmnožinou skupiny kategorií Vše, ale azure Portal a rozhraní REST API je považují za samostatná nastavení. Když vyberete skupinu kategorií Vše, shromáždí se všechny protokoly auditu i v případě, že je vybrána také skupina kategorií Audit.

Následující obrázek ukazuje skupiny kategorií protokolů na stránce Přidat nastavení diagnostiky.

Snímek obrazovky zobrazující skupiny kategorií protokolů

Poznámka:

Povolení auditu pro Azure SQL Database neumožňuje auditování služby Azure SQL Database. Pokud chcete povolit auditování databáze, musíte ho povolit v okně auditování služby Azure Database.

Protokol aktivit

Viz část Nastavení protokolu aktivit.

Místa určení

Protokoly platformy a metriky je možné odesílat do cílů uvedených v následující tabulce.

Aby se zajistilo zabezpečení přenášených dat, jsou všechny cílové koncové body nakonfigurované tak, aby podporovaly protokol TLS 1.2.

Cíl Popis
Pracovní prostor služby Log Analytics Metriky se převedou na formulář protokolu. Tato možnost nemusí být k dispozici pro všechny typy prostředků. Jejich odeslání do úložiště protokolů služby Azure Monitor (které je prohledávatelné prostřednictvím Log Analytics) vám pomůže integrovat je do dotazů, upozornění a vizualizací s existujícími daty protokolů.
účet služby Azure Storage Archivace protokolů a metrik do účtu úložiště je užitečná pro audit, statickou analýzu nebo zálohování. Ve srovnání s používáním protokolů služby Azure Monitor nebo pracovního prostoru služby Log Analytics je úložiště levnější a protokoly je možné uchovávat na neomezenou dobu.
Azure Event Hubs Při odesílání protokolů a metrik do služby Event Hubs můžete streamovat data do externích systémů, jako jsou SIEM třetích stran a další řešení Log Analytics.
Partnerská řešení Azure Monitor Mezi Azure Monitorem a dalšími monitorovacími platformami jiných společností než Microsoft je možné provádět specializované integrace. Integrace je užitečná, když už používáte některého z partnerů.

Nastavení protokolu aktivit

Protokol aktivit používá nastavení diagnostiky, ale má vlastní uživatelské rozhraní, protože se vztahuje na celé předplatné, nikoli na jednotlivé prostředky. Zde uvedené informace o cíli se stále vztahují. Další informace najdete v protokolu aktivit Azure.

Požadavky a omezení

Tato část popisuje požadavky a omezení.

Čas před tím, než se telemetrie dostane do cíle

Po nastavení nastavení diagnostiky by se data měla do 90 minut začínat do vybraných cílů. Když odesíláte protokoly do pracovního prostoru služby Log Analytics, vytvoří se tabulka automaticky, pokud ještě neexistuje. Tabulka se vytvoří pouze při přijetí prvních záznamů protokolu. Pokud do 24 hodin nedostanete žádné informace, může docházet k některým z následujících problémů:

  • Negenerují se žádné protokoly.
  • V základním mechanismu směrování se něco nepovedlo.

Pokud dochází k problému, můžete zkusit konfiguraci zakázat a znovu ji znova připojit. Pokud máte i nadále problémy, obraťte se na podpora Azure prostřednictvím webu Azure Portal.

Metriky jako zdroj

Při exportu metrik existují určitá omezení:

  • Odesílání multidimenzionálních metrik prostřednictvím nastavení diagnostiky se v současné době nepodporuje. Metriky s dimenzemi se exportují jako ploché jednorozměrné metriky agregované napříč hodnotami dimenzí. Metriku IOReadBytes v blockchainu můžete například prozkoumat a namapovat na úrovni jednotlivých uzlů. Při exportu prostřednictvím nastavení diagnostiky ale metrika exportovaná zobrazuje všechny bajty čtení pro všechny uzly.
  • Ne všechny metriky se dají exportovat pomocí nastavení diagnostiky. Z důvodu interních omezení se ne všechny metriky dají exportovat do protokolů služby Azure Monitor nebo Log Analytics. Další informace najdete ve sloupci Exportable v seznamu podporovaných metrik.

Pokud chcete tato omezení obejít pro konkrétní metriky, můžete je ručně extrahovat pomocí rozhraní REST API metrik. Pak je můžete importovat do protokolů služby Azure Monitor pomocí rozhraní API kolektoru dat služby Azure Monitor.

Omezení cíle

Před vytvořením nastavení diagnostiky musí být vytvořeny všechny cíle nastavení diagnostiky. Cíl nemusí být ve stejném předplatném jako prostředek odesílající protokoly, pokud má uživatel, který konfiguruje nastavení, odpovídající přístup k řízení přístupu na základě role Azure k oběma předplatným. Pomocí služby Azure Lighthouse je také možné odesílat nastavení diagnostiky do pracovního prostoru, účtu úložiště nebo centra událostí v jiném tenantovi Microsoft Entra.

Následující tabulka obsahuje jedinečné požadavky pro každé cílové umístění, včetně všech regionálních omezení.

Cíl Požadavky
Pracovní prostor služby Log Analytics Pracovní prostor nemusí být ve stejné oblasti jako monitorovaný prostředek.
Účet úložiště Nepoužívejte existující účet úložiště, který obsahuje jiná nemonitorující data uložená v něm. Rozdělení typů dat umožňuje lepší řízení přístupu k datům. Pokud archivujete protokol aktivit a protokoly prostředků společně, můžete použít stejný účet úložiště, abyste zachovali všechna data monitorování v centrálním umístění.

Pokud chcete zabránit úpravám dat, odešlete je do neměnného úložiště. Nastavte neměnné zásady pro účet úložiště, jak je popsáno v tématu Nastavení a správa zásad neměnnosti pro Azure Blob Storage. Musíte postupovat podle všech kroků v tomto propojeném článku, včetně povolení zápisů chráněných doplňovacích objektů blob.

Účet úložiště musí být ve stejné oblasti jako monitorovaný prostředek, pokud je prostředek regionální.

Nastavení diagnostiky nemá přístup k účtům úložiště, pokud jsou povolené virtuální sítě. Povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall v účtech úložiště, aby služba nastavení diagnostiky služby Azure Monitor získala přístup k vašemu účtu úložiště.

Koncové body zón Azure DNS (Preview) a účty úložiště Azure Premium LRS (místně redundantní úložiště) se nepodporují jako cíl protokolu nebo metriky.
Event Hubs Zásady sdíleného přístupu pro obor názvů definují oprávnění, která má mechanismus streamování. Streamování do služby Event Hubs vyžaduje oprávnění spravovat, odesílat a naslouchat. Pokud chcete aktualizovat nastavení diagnostiky tak, aby zahrnovalo streamování, musíte mít oprávnění ListKey k autorizačnímu pravidlu služby Event Hubs.

Obor názvů centra událostí musí být ve stejné oblasti jako monitorovaný prostředek, pokud je prostředek regionální.

Nastavení diagnostiky nemá přístup k prostředkům služby Event Hubs, pokud jsou povolené virtuální sítě. Povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall ve službě Event Hubs, aby služba nastavení diagnostiky služby Azure Monitor získala přístup k vašim prostředkům služby Event Hubs.
Partnerská řešení Řešení se liší podle partnera. Podrobnosti najdete v dokumentaci k nativním službám ISV Services.

Diagnostické protokoly pro Application Insights

Pokud chcete ukládat diagnostické protokoly pro Application Insights v pracovním prostoru služby Log Analytics, neodesílejte protokoly do stejného pracovního prostoru, na který je prostředek Application Insights založený. Tato konfigurace může způsobit zobrazení duplicitní telemetrie, protože Application Insights tato data už ukládá. Odešlete protokoly Application Insights do jiného pracovního prostoru služby Log Analytics.

Při odesílání protokolů Application Insights do jiného pracovního prostoru mějte na paměti, že Application Insights přistupuje k telemetrii napříč prostředky Application Insights, včetně několika pracovních prostorů služby Log Analytics. Omezte přístup uživatele Application Insights jenom k pracovnímu prostoru služby Log Analytics, který je propojený s prostředkem Application Insights. Nastavte režim řízení přístupu na možnost Vyžadovat oprávnění pracovního prostoru a spravovat oprávnění prostřednictvím řízení přístupu na základě role v Azure, abyste zajistili, že Application Insights má přístup pouze k pracovnímu prostoru služby Log Analytics, na který je založený prostředek Application Insights.

Řízení nákladů

Existují náklady na shromažďování dat v pracovním prostoru služby Log Analytics, takže shromážděte jenom kategorie, které potřebujete pro každou službu. Objem dat pro protokoly prostředků se mezi službami výrazně liší.

Možná také nechcete shromažďovat metriky platformy z prostředků Azure, protože tato data se už shromažďují v metrikách. Diagnostická data nakonfigurujte tak, aby shromažďovací metriky shromažďovali jenom v případě, že potřebujete data metrik v pracovním prostoru pro složitější analýzu pomocí dotazů protokolu. Nastavení diagnostiky neumožňují podrobné filtrování protokolů prostředků.

Tip

Strategie pro snížení nákladů na Azure Monitor najdete v tématu Optimalizace nákladů a Azure Monitor.

Další kroky