Použití účtů úložiště spravovaných zákazníkem v protokolech služby Azure Monitor

  • Článek

Protokoly služby Azure Monitor závisí na službě Azure Storage v různých scénářích. Azure Monitor obvykle tento typ úložiště spravuje automaticky, ale některé případy vyžadují, abyste zadali a spravlili vlastní účet úložiště, označovaný také jako účet úložiště spravovaný zákazníkem. Tento článek popisuje případy použití a požadavky pro nastavení úložiště spravovaného zákazníkem pro protokoly služby Azure Monitor a vysvětluje, jak propojit účet úložiště s pracovním prostorem služby Log Analytics.

Poznámka:

Doporučujeme, abyste nezávisli na obsahu, který protokoly Služby Azure Monitor nahrávají do úložiště spravovaného zákazníkem, protože formátování a obsah se můžou změnit.

Účty úložiště spravované zákazníkem se používají k ingestování vlastních protokolů, když se privátní propojení používají k připojení k prostředkům služby Azure Monitor. Proces příjmu dat těchto datových typů nejprve nahraje protokoly do zprostředkujícího účtu služby Azure Storage a pak je pouze ingestuje do pracovního prostoru.

Požadavky na pracovní prostor

Když se připojíte ke službě Azure Monitor přes privátní propojení, agent Služby Azure Monitor může odesílat protokoly jenom do pracovních prostorů přístupných přes privátní propojení. Tento požadavek znamená, že byste měli:

  • Nakonfigurujte objekt oboru služby Azure Monitor Private Link (AMPLS).
  • Připojení do vašich pracovních prostorů.
  • Připojení ampls do vaší sítě přes privátní propojení.

Další informace o postupu konfigurace služby AMPLS najdete v tématu Použití služby Azure Private Link k bezpečnému připojení sítí ke službě Azure Monitor.

Požadavky na účet úložiště

Aby se účet úložiště připojil k privátnímu propojení, musí:

  • Být umístěn ve vaší virtuální síti nebo v partnerské síti a připojit se k virtuální síti přes privátní propojení.

  • Nachází se ve stejné oblasti jako pracovní prostor, na který je propojený.

  • Povolte službě Azure Monitor přístup k účtu úložiště. Pokud chcete povolit přístup k účtu úložiště jenom konkrétním sítím, vyberte výjimku Povolit důvěryhodným služby Microsoft přístup k tomuto účtu úložiště.

    Snímek obrazovky znázorňující služby Microsoft důvěryhodnosti účtu úložiště

Pokud váš pracovní prostor zpracovává provoz z jiných sítí, nakonfigurujte účet úložiště tak, aby umožňoval příchozí provoz přicházející z příslušných sítí nebo internetu.

Koordinuje verzi protokolu TLS mezi agenty a účtem úložiště. Doporučujeme odesílat data do protokolů služby Azure Monitor pomocí protokolu TLS 1.2 nebo vyšší. Projděte si pokyny pro konkrétní platformu. V případě potřeby nakonfigurujte agenty tak, aby používali protokol TLS. Pokud to není možné, nakonfigurujte účet úložiště tak, aby přijímal protokol TLS 1.0.

Šifrování dat klíčů spravovaných zákazníkem

Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení k šifrování dat používá klíče spravované Microsoftem (MMK). Azure Storage ale také umožňuje používat klíče spravované zákazníkem (CMK) ze služby Azure Key Vault k šifrování dat úložiště. Můžete buď importovat vlastní klíče do služby Key Vault, nebo pomocí rozhraní API služby Key Vault vygenerovat klíče.

Scénáře CMK, které vyžadují účet úložiště spravovaného zákazníkem

Účet úložiště spravovaný zákazníkem se vyžaduje pro:

  • Šifrování dotazů na upozornění protokolu pomocí sad CMK
  • Šifrování uložených dotazů pomocí cmk.

Použití cmk u účtů úložiště spravovaných zákazníkem

Postupujte podle těchto pokynů a použijte cmk na účty úložiště spravované zákazníkem.

Požadavky na účet úložiště

Účet úložiště a trezor klíčů musí být ve stejné oblasti, ale můžou být také v různých předplatných. Další informace o šifrování a správě klíčů služby Azure Storage najdete v tématu Šifrování neaktivních uložených dat ve službě Azure Storage.

Použití cmk na účty úložiště

Pokud chcete nakonfigurovat účet Azure Storage tak, aby používal klíče CMK se službou Key Vault, použijte Azure Portal, PowerShell nebo Azure CLI.

Poznámka:

  • Při propojování účtu úložiště pro dotaz se stávající uložené dotazy v pracovním prostoru trvale odstraní kvůli ochraně osobních údajů. Existující uložené dotazy můžete kopírovat před propojením úložiště pomocí PowerShellu.
  • Dotazy uložené v balíčku dotazů nejsou šifrované pomocí klíče spravovaného zákazníkem. Pokud chcete místo toho chránit dotazy pomocí klíče spravovaného zákazníkem, vyberte Možnost Uložit jako starší dotaz .
  • Uložené dotazy se ukládají v úložišti tabulek a při vytváření účtu úložiště se šifrují pomocí klíče spravovaného zákazníkem.
  • Upozornění prohledávání protokolů se ukládají do úložiště objektů blob, kde může být konfigurace šifrování klíče spravovaného zákazníkem při vytváření účtu úložiště nebo novější.
  • Jeden účet úložiště můžete použít pro všechny účely, dotazování, upozornění, vlastní protokol a protokoly služby IIS. Propojení úložiště pro vlastní protokoly a protokoly SLUŽBY IIS může vyžadovat pro škálování více účtů úložiště v závislosti na rychlosti příjmu dat a limitech úložiště. Do pracovního prostoru můžete propojit až pět účtů úložiště.

Použití portálu Azure Portal

Na webu Azure Portal otevřete nabídku pracovního prostoru a vyberte Propojené účty úložiště. Podokno zobrazuje propojené účty úložiště podle dříve uvedených případů použití (příjem dat přes Private Link, použití cmk na uložené dotazy nebo upozornění).

Snímek obrazovky znázorňující podokno Propojené účty úložiště

Výběrem položky v tabulce se otevřou podrobnosti o účtu úložiště, kde můžete nastavit nebo aktualizovat propojený účet úložiště pro tento typ.

Snímek obrazovky znázorňující podokno Propojit účet úložiště Pokud chcete, můžete použít stejný účet pro různé případy použití.

Použití Rozhraní příkazového řádku Azure nebo rozhraní REST API

Účet úložiště můžete také propojit s pracovním prostorem prostřednictvím Azure CLI nebo rozhraní REST API.

dataSourceType Platné hodnoty jsou:

  • CustomLogs: Chcete-li použít účet úložiště pro vlastní protokoly a příjem protokolů služby IIS.
  • Query: Pokud chcete k ukládání uložených dotazů použít účet úložiště (vyžaduje se šifrování CMK).
  • Alerts: Chcete-li použít účet úložiště k ukládání upozornění založených na protokolech (vyžaduje se pro šifrování CMK).

Správa propojených účtů úložiště

Při správě propojených účtů úložiště postupujte podle těchto pokynů.

Když propojíte účet úložiště s pracovním prostorem, protokoly služby Azure Monitor ho začnou používat místo účtu úložiště vlastněného službou. Můžete provádět následující akce:

  • Zaregistrujte několik účtů úložiště, abyste mezi ně rozložili zatížení protokolů.
  • Znovu použijte stejný účet úložiště pro více pracovních prostorů.

Pokud chcete přestat používat účet úložiště, zrušte propojení úložiště s pracovním prostorem. Když zrušíte propojení všech účtů úložiště z pracovního prostoru, protokoly služby Azure Monitor používají účty úložiště spravované službou. Pokud má vaše síť omezený přístup k internetu, nemusí být tyto účty úložiště dostupné a všechny scénáře, které závisí na úložišti, selžou.

Nahrazení účtu úložiště

Nahrazení účtu úložiště použitého k příjmu dat:

  1. Vytvořte odkaz na nový účet úložiště. Agenti protokolování získají aktualizovanou konfiguraci a začnou odesílat data do nového úložiště. Proces může trvat několik minut.
  2. Zrušte propojení starého účtu úložiště, aby agenti přestali zapisovat do odebraného účtu. Proces příjmu dat bude dál číst data z tohoto účtu, dokud se neingestuje. Neodstraňovat účet úložiště, dokud neuvidíte, že se všechny protokoly ingestovaly.

Údržba účtů úložiště

Pokud chcete udržovat účty úložiště, postupujte podle těchto pokynů.

Správa uchovávání protokolů

Pokud používáte vlastní účet úložiště, uchovávání je na vás. Protokoly služby Azure Monitor neodstraní protokoly uložené ve vašem privátním úložišti. Místo toho byste měli nastavit zásadu, která bude zpracovávat zatížení podle vašich preferencí.

Zvažte načtení.

Účty úložiště můžou před zahájením požadavků na omezování zpracovávat určité zatížení požadavků na čtení a zápis. Další informace najdete v tématu Škálovatelnost a cíle výkonu pro Azure Blob Storage.

Omezování ovlivňuje dobu potřebnou k příjmu protokolů. Pokud je váš účet úložiště přetížený, zaregistrujte další účet úložiště, abyste mezi ně rozšířili zatížení. Pokud chcete monitorovat kapacitu a výkon účtu úložiště, projděte si jeho Přehledy na webu Azure Portal.

Poplatky se účtují za účty úložiště na základě objemu uložených dat, typu úložiště a typu redundance. Další informace najdete v tématu Ceny objektů blob bloku a ceny služby Azure Table Storage.

Další kroky