Monitorování delegovaných prostředků ve velkém měřítku

Jako poskytovatel služeb jste možná do Služby Azure Lighthouse zapnuli několik tenantů zákazníků. Azure Lighthouse umožňuje poskytovatelům služeb provádět operace ve velkém měřítku napříč několika tenanty najednou, což usnadňuje úlohy správy.

V tomto tématu se dozvíte, jak používat protokoly Azure Monitoru škálovatelným způsobem napříč tenanty zákazníků, které spravujete. I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, tyto pokyny platí také pro podniky používající Azure Lighthouse ke správě více tenantů.

Poznámka

Ujistěte se, že uživatelům ve správě tenantů byly uděleny nezbytné role pro správu pracovních prostorů Služby Log Analytics u delegovaných zákaznických předplatných.

Vytvoření pracovních prostorů Služby Log Analytics

Abyste mohli shromažďovat data, budete muset vytvořit pracovní prostory Služby Log Analytics. Tyto pracovní prostory Služby Log Analytics jsou jedinečná prostředí pro data shromážděná službou Azure Monitor. Každý pracovní prostor má své vlastní úložiště a konfiguraci dat a zdroje dat a řešení jsou nakonfigurovány tak, aby ukládaly data do konkrétního pracovního prostoru.

Doporučujeme vytvářet tyto pracovní prostory přímo v tenantech zákazníků. Díky tomu zůstanou jejich data v tenantech a neexportují se do vašich klientů. Vytváření pracovních prostorů v tenantech zákazníků umožňuje centralizované monitorování všech prostředků nebo služeb podporovaných službou Log Analytics, což vám dává větší flexibilitu ohledně toho, jaké typy dat monitorujete. Pracovní prostory vytvořené v tenantech zákazníků se vyžadují, aby bylo možné shromažďovat informace z nastavení diagnostiky.

Tip

Každý účet automation, který slouží k přístupu k datům z pracovního prostoru Log Analytics, musí být vytvořen ve stejném tenantovi jako pracovní prostor.

Pracovní prostor služby Log Analytics můžete vytvořit pomocí Azure Portal, pomocí šablon Azure Resource Manager nebo pomocí Azure PowerShell.

Důležité

Pokud jsou všechny pracovní prostory vytvořené v tenantech zákazníků, Microsoft. Přehledy poskytovatelé prostředků musí být také zaregistrovaní v předplatném ve správě tenanta. Pokud váš tenant pro správu nemá existující předplatné Azure, můžete poskytovatele prostředků zaregistrovat ručně pomocí následujících příkazů PowerShellu:

$ManagingTenantId = "your-managing-Azure-AD-tenant-id"

# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId

# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor

Nasazení zásad, které protokoluje data

Po vytvoření pracovních prostorů Log Analytics můžete nasadit Azure Policy napříč hierarchiemi zákazníků, aby se diagnostická data odesílala do příslušného pracovního prostoru v každém tenantovi. Přesné zásady, které nasazujete, se můžou lišit v závislosti na typech prostředků, které chcete monitorovat.

Další informace o vytváření zásad najdete v tématu Kurz: Vytvoření a správa zásad pro vynucení dodržování předpisů. Tento komunitní nástroj poskytuje skript, který vám pomůže vytvořit zásady pro monitorování konkrétních typů prostředků, které zvolíte.

Když určíte, které zásady se mají nasadit, můžete je nasadit do delegovaných předplatných ve velkém měřítku.

Analýza shromážděných dat

Po nasazení zásad se data zaprotokolují do pracovních prostorů Log Analytics, které jste vytvořili v každém tenantovi zákazníka. Pokud chcete získat přehledy pro všechny spravované zákazníky, můžete použít nástroje, jako je Azure Monitor Workbooks ke shromažďování a analýze informací z více zdrojů dat.

Dotazování dat napříč pracovními prostory zákazníků

Dotazy protokolu můžete spustit pro načtení dat mezi pracovními prostory Služby Log Analytics v různých tenantech zákazníků vytvořením sjednocení, které zahrnuje více pracovních prostorů. Když zahrnete sloupec Id tenanta, uvidíte, které výsledky patří ke kterým tenantům.

Následující příklad dotazu vytvoří sjednocení v tabulce AzureDiagnostics napříč pracovními prostory ve dvou samostatných tenantech zákazníků. Výsledky zobrazují sloupce Category, ResourceGroup a TenantID.

union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId

Další příklady dotazů napříč několika pracovními prostory Služby Log Analytics najdete v tématu Vytvoření dotazu protokolu napříč několika pracovními prostory a aplikacemi ve službě Azure Monitor.

Důležité

Pokud používáte účet automation používaný k dotazování dat z pracovního prostoru Služby Log Analytics, musí se tento účet automation vytvořit ve stejném tenantovi jako pracovní prostor.

Zobrazení upozornění napříč zákazníky

Výstrahy pro delegovaná předplatná můžete zobrazit v tenantech zákazníků, které spravujete.

Ve správě tenanta můžete vytvářet, zobrazovat a spravovat upozornění protokolu aktivit v Azure Portal nebo prostřednictvím rozhraní API a nástrojů pro správu.

Pokud chcete automaticky aktualizovat výstrahy napříč více zákazníky, použijte dotaz Azure Resource Graph k filtrování výstrah. Dotaz můžete připnout na řídicí panel a vybrat všechny příslušné zákazníky a předplatná. Například následující dotaz zobrazí závažnost 0 a 1 výstrahy, které se aktualizují každých 60 minut.

alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)

Další kroky