Diagnoseeinstellungen in Azure Monitor

Dieser Artikel enthält Details zum Erstellen und Konfigurieren von Diagnoseeinstellungen zum Senden von Azure-Plattformmetriken, Ressourcenprotokollen und Aktivitätsprotokollen an verschiedene Ziele.

Jede Azure-Ressource erfordert eine eigene Diagnoseeinstellung, die folgende Kriterien definiert:

• Quellen: Der Typ der Metrik- und Protokolldaten, die an die in der Einstellung definierten Ziele gesendet werden sollen. Die verfügbaren Typen variieren je nach Ressourcentyp.
• Ziele: Ein oder mehrere Ziele, an die gesendet werden soll.

Mit einer einzelnen Diagnoseeinstellung kann maximal eines der Ziele definiert werden. Wenn Sie Daten an mehrere Ziele eines bestimmten Typs senden möchten (z. B. zwei verschiedene Log Analytics-Arbeitsbereiche), erstellen Sie mehrere Einstellungen. Jede Ressource kann bis zu fünf Diagnoseeinstellungen haben.

Warnung

Wenn Sie eine Ressource löschen, umbenennen, verschieben oder über Ressourcengruppen oder Abonnements hinweg migrieren möchten, löschen Sie zunächst die Diagnoseeinstellungen. Andernfalls kann es abhängig von der Ressourcenkonfiguration der jeweiligen Ressource vorkommen, dass die Diagnoseeinstellungen für die gelöschte Ressource in die neue Ressource eingeschlossen werden, wenn Sie diese Ressource neu erstellen. Wenn die Diagnoseeinstellungen in die neue Ressource eingeschlossen werden, wird die Sammlung von Ressourcenprotokollen wie in der Diagnoseeinstellung definiert fortgesetzt, und die entsprechenden Metrik- und Protokolldaten werden an das zuvor konfigurierte Ziel gesendet.

Außerdem empfiehlt es sich, die Diagnoseeinstellungen für eine Ressource, die Sie löschen und voraussichtlich nicht erneut verwenden möchten, zu löschen, um die Umgebung zu bereinigen.

Das folgende Video führt Sie durch das Routing von Ressourcenplattformprotokollen mit Diagnoseeinstellungen. Das Video wurde zu einem früheren Zeitpunkt aufgenommen. Bedenken Sie dabei folgende Änderungen:

• Es gibt jetzt vier Ziele. Sie können Plattformmetriken und -protokolle an bestimmte Azure Monitor Partner senden.
• Im November 2021 wurde ein neues Feature namens Kategoriegruppen eingeführt.

Informationen zu diesen neueren Features finden Sie in diesem Artikel.

Quellen

Es gibt drei Quellen für Diagnoseinformationen:

• Plattformmetriken werden automatisch und ohne Konfiguration standardmäßig an Azure Monitor Metrics gesendet
• Plattformprotokolle liefern detaillierte Diagnose- und Überwachungsinformationen für Azure-Ressourcen und die Azure-Plattform, von der sie abhängen.
  • Ressourcenprotokolle werden erst gesammelt, wenn sie an ein Ziel weitergeleitet werden.
  • Das Aktivitätsprotokoll enthält Informationen zu Ressourcen außerhalb der Ressource, z. B. zum Erstellungs- oder Löschzeitpunkt der Ressource. Einträge existieren für sich allein, können aber an andere Stellen weitergeleitet werden.

Metriken

Die Einstellung AllMetrics leitet die Plattformmetriken einer Ressource an andere Ziele weiter. Diese Option ist möglicherweise nicht bei allen Ressourcenanbietern vorhanden.

Ressourcenprotokolle

Bei Ressourcenprotokollen können Sie die Protokollkategorien, die Sie weiterleiten möchten, einzeln auswählen oder eine Kategoriegruppe wählen.

Kategoriegruppen

Hinweis

Kategoriegruppen gelten nicht für alle Metrikressourcenanbieter. Wenn ein Anbieter sie nicht in den Diagnoseeinstellungen im Azure-Portal verfügbar hat, dann sind sie auch nicht über Azure Resource Manager-Vorlagen verfügbar.

Kategoriegruppen ermöglichen die dynamische Erfassung von Ressourcenprotokollen auf der Grundlage vordefinierter Gruppierungen anstelle der Auswahl einzelner Protokollkategorien. Microsoft definiert die Gruppierungen, um die Überwachung bestimmter Anwendungsfälle über alle Azure-Dienste hinweg zu erleichtern. Im Laufe der Zeit können die Kategorien in der Gruppe aktualisiert werden, wenn neue Protokolle eingeführt werden oder sich Bewertungen ändern. Wenn Protokollkategorien einer Kategoriegruppe hinzugefügt oder daraus entfernt werden, wird Ihre Protokollsammlung automatisch geändert, ohne dass Sie Ihre Diagnoseeinstellungen aktualisieren müssen.

Wenn Sie Kategoriegruppen verwenden, können Sie:

• Ressourcenprotokolle nicht mehr individuell auf der Grundlage einzelner Kategorietypen auswählen.
• Aufbewahrungseinstellungen nicht mehr auf Protokolle anwenden, die an Azure Storage gesendet werden.

Derzeit gibt es zwei Gruppen von Kategorien:

• Alle: Jedes Ressourcenprotokoll, das von der Ressource angeboten wird.
• Audit: Alle Ressourcenprotokolle, die Kundeninteraktionen mit Daten oder die Einstellungen des Diensts aufzeichnen. Ressourcenanbieter mit Überwachungsprotokollen versuchen, die relevantesten Überwachungsdaten bereitzustellen. Aus Sicht der Überwachungsstandards ist dies je nach Anwendungsfall jedoch möglicherweise nicht ausreichend. Wie oben erwähnt, sind die erfassten Elemente dynamisch, und Microsoft kann dies im Laufe der Zeit ändern, wenn neue Ressourcenprotokollkategorien verfügbar werden.

Die Kategoriegruppe „Überwachung“ ist eine Teilmenge der Kategoriegruppe „Alle“. Beide Kategorien werden jedoch vom Azure-Portal und der REST-API als separate Einstellungen betrachtet. Wenn Sie die Kategoriegruppe „Alle“ auswählen, werden auch ohne Auswahl der Kategoriegruppe „Überwachung“ alle Überwachungsprotokolle erfasst.

Die folgende Abbildung zeigt die Protokollkategoriengruppen auf der Seite Diagnoseeinstellungen hinzufügen.

Hinweis

Durch Aktivieren von Überwachung für Azure SQL-Datenbank wird die Überwachung für Azure SQL-Datenbank nicht aktiviert. Um die Datenbanküberwachung zu aktivieren, müssen Sie sie auf dem Überwachungsblatt für Azure-Datenbank aktivieren.

Aktivitätsprotokoll

Weitere Informationen finden Sie im Abschnitt Aktivitätsprotokolleinstellungen.

Destinations

Plattformprotokolle und -metriken können an die Ziele in der folgenden Tabelle gesendet werden.

Zur Gewährleistung der Datensicherheit während der Übertragung werden alle Zielendpunkte so konfiguriert, dass sie TLS 1.2 unterstützen.

Destination	BESCHREIBUNG
Log Analytics-Arbeitsbereich	Metriken werden in das Protokollformular konvertiert. Diese Option ist möglicherweise nicht für alle Ressourcentypen verfügbar. Wenn Sie sie an den Azure Monitor Logs-Speicher senden (der über Log Analytics durchsuchbar ist), können Sie sie in Abfragen, Benachrichtigungen und Visualisierungen mit vorhandenen Protokolldaten integrieren.
Azure Storage-Konto	Das Archivieren von Protokollen und Metriken in einem Speicherkonto ist für Überwachung, statische Analyse oder Sicherung nützlich. Im Vergleich zu Azure Monitor-Protokollen oder einem Log Analytics-Arbeitsbereich ist Storage kostengünstiger, und die Protokolle können unbegrenzt aufbewahrt werden.
Azure Event Hubs	Wenn Sie Protokolle und Metriken an Event Hubs senden, können Sie Daten an externe Systeme wie SIEMs von Drittanbietern und andere Log Analytics-Lösungen weiterleiten.
Azure Monitor-Partnerlösungen	Es können spezielle Integrationen zwischen Azure Monitor und anderen Überwachungsplattformen, die nicht von Microsoft stammen, vorgenommen werden. Die Integration ist nützlich, wenn Sie bereits einen der Partner verwenden.

Aktivitätsprotokolleinstellungen

Das Aktivitätsprotokoll verwendet eine Diagnoseeinstellung, verfügt aber über eine eigene Benutzeroberfläche, da es für das gesamte Abonnement und nicht für einzelne Ressourcen gilt. Die hier aufgeführten Zielinformationen gelten weiterhin. Weitere Informationen finden Sie unter Azure-Aktivitätsprotokoll.

Anforderungen und Einschränkungen

In diesem Abschnitt werden Anforderungen und Einschränkungen erläutert.

Zeit, bis die Telemetrie ans Ziel gelangt

Sobald Sie eine Diagnoseeinstellung eingerichtet haben, sollte innerhalb von 90 Minuten der Datenfluss an die ausgewählten Ziele beginnen. Beim Senden von Protokollen an einen Log Analytics-Arbeitsbereich wird die Tabelle automatisch erstellt, wenn sie noch nicht vorhanden ist. Die Tabelle wird nur erstellt, wenn die ersten Protokolldatensätze empfangen werden. Wenn Sie innerhalb von 24 Stunden keine Informationen erhalten, liegt möglicherweise eines der folgenden Probleme vor:

• Es werden keine Protokolle generiert.
• Im zugrunde liegenden Routingmechanismus ist ein Fehler aufgetreten.

Wenn ein Problem vorliegt, können Sie versuchen, die Konfiguration zu deaktivieren und sie dann erneut zu aktivieren. Wenn das Problem weiterhin besteht, wenden Sie sich über das Azure-Portal an den Azure-Support.

Metriken als Quelle

Der Export von Metriken unterliegt gewissen Einschränkungen:

• Das Senden mehrdimensionaler Metriken über die Diagnoseeinstellungen wird derzeit nicht unterstützt. Metriken mit Dimensionen werden als vereinfachte eindimensionale Metriken exportiert und dimensionswertübergreifend aggregiert. Die Metrik IOReadBytes in einer Blockchain kann z. B. für jeden Knoten einzeln untersucht und dargestellt werden. Beim Exportieren über die Diagnoseeinstellungen zeigt die exportierte Metrik jedoch alle gelesenen Bytes für alle Knoten an.
• Nicht alle Metriken können mit Diagnoseeinstellungen exportiert werden. Aufgrund von internen Einschränkungen nicht alle Metriken in Azure Monitor-Protokolle oder in Log Analytics exportiert werden. Weitere Informationen finden Sie in der Spalte Exportierbar in der Liste der unterstützten Metriken.

Um diese Einschränkungen für bestimmte Metriken zu umgehen, können Sie sie mithilfe der REST-API für Metriken manuell extrahieren. Anschließend können Sie sie mithilfe der Azure Monitor-Datensammler-API in Azure Monitor importieren.

Grenzen des Reiseziels

Alle Ziele für die Diagnoseeinstellungen müssen festgelegt werden, bevor Sie die Diagnoseeinstellungen erstellen. Das Ziel muss sich nicht in demselben Abonnement befinden wie die Ressource, die die Protokolle sendet, wenn der Benutzer, der die Einstellung festlegt, über die entsprechende rollenbasierte Zugriffssteuerung von Azure Zugriff auf beide Abonnements hat. Mit Azure Lighthouse ist es auch möglich, Diagnoseeinstellungen an einen Arbeitsbereich, an ein Speicherkonto oder an eine Event Hub-Instanz in einem anderen Microsoft Entra-Mandanten senden zu lassen.

In der folgenden Tabelle sind besondere Anforderungen für die einzelnen Ziele einschließlich regionaler Einschränkungen aufgeführt.

Destination	Requirements (Anforderungen)
Log Analytics-Arbeitsbereich	Der Arbeitsbereich muss sich nicht in derselben Region wie die überwachte Ressource befinden.
Speicherkonto	Verwenden Sie kein bestehendes Speicherkonto, in dem andere, nicht überwachungsrelevante Daten gespeichert sind. Durch das Aufteilen der Datentypen können Sie den Zugriff auf die Daten besser steuern. Wenn Sie das Aktivitätsprotokoll und Ressourcenprotokollen zusammen archivieren, können Sie dasselbe Speicherkonto verwenden, damit sich alle Überwachungsdaten an einem zentralen Ort befinden. Um Änderungen der Daten zu verhindern, senden Sie sie an unveränderlichen Speicher. Legen Sie die unveränderliche Richtlinie für das Speicherkonto wie unter Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Azure Blob Storage beschrieben fest. Sie müssen alle Schritte in diesem verlinkten Artikel befolgen, einschließlich der Aktivierung des geschützten Schreibens von Append Blobs. Wenn die überwachte Ressource regional ist, muss sich das Speicherkonto in derselben Region wie die Ressource befinden. Diagnoseeinstellungen können nicht auf Speicherkonten zugreifen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen Vertrauenswürdige Microsoft-Dienste zulassen aktivieren, um diese Firewalleinstellung in Speicherkonten zu umgehen, sodass der Dienst für Azure Monitor-Diagnoseeinstellungen Zugriff auf Ihr Speicherkonto erhält. Azure DNS-Zonenendpunkte (Vorschau) und Azure Premium LRS (lokal redundanter Speicher) werden nicht als Protokoll- oder Metrikziel unterstützt.
Event Hubs	Die SAS-Richtlinie für den Namespace definiert die Berechtigungen für den Streamingmechanismus. Für das Streaming an Event Hubs werden Berechtigungen für das Verwalten, Senden und Lauschen benötigt. Wenn Sie der Diagnoseeinstellung das Streamingfeature hinzufügen möchten, müssen Sie in der Event Hubs-Autorisierungsregel über die ListKey-Berechtigung verfügen. Wenn die überwachte Ressource regional ist, muss sich der Event Hub-Namespace in derselben Region wie die Ressource befinden. Diagnoseeinstellungen können nicht auf Event-Hubs-Ressourcen zugreifen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen Vertrauenswürdige Microsoft-Dienste zulassen aktivieren, um diese Firewalleinstellung in Event Hubs zu umgehen, sodass der Dienst für Azure Monitor-Diagnoseeinstellungen Zugriff auf Ihre Event Hubs-Ressourcen erhält.
Partnerlösungen	Die Lösungen variieren je nach Partner. Ausführliche Informationen finden Sie in der Dokumentation zu Azure Native ISV Services.

Achtung

Wenn Sie Diagnoseprotokolle in einem Log Analytics-Arbeitsbereich speichern möchten, gibt es zwei Punkte zu berücksichtigen, um doppelte Daten in Application Insights zu vermeiden:

• Das Ziel darf nicht derselbe Log Analytics-Arbeitsbereich sein, auf dem Ihre Application Insights-Ressource basiert.
• Der Application Insights-Benutzer kann nicht Zugriff auf beide Arbeitsbereiche haben. Legen Sie den Log Analytics-Zugriffssteuerungsmodus auf Arbeitsbereichsberechtigungen erforderlich fest. Stellen Sie durch die rollenbasierte Azure-Zugriffssteuerung sicher, dass der Benutzer nur Zugriff auf den Log Analytics-Arbeitsbereich hat, auf dem die Application Insights-Ressource basiert.

Diese Schritte sind erforderlich, da Application Insights auf Telemetriedaten sämtlicher Application Insights-Ressourcen (einschließlich Log Analytics-Arbeitsbereichen) zugreift, um vollständige End-to-End-Transaktionsvorgänge und genaue Anwendungsübersichten bereitzustellen. Da Diagnoseprotokolle dieselben Tabellennamen verwenden, können doppelte Telemetriedaten angezeigt werden, wenn der Benutzer Zugriff auf mehrere Ressourcen hat, die dieselben Daten enthalten.

Kontrolle von Kosten

Es fallen Kosten für das Sammeln von Daten in einem Log Analytics-Arbeitsbereich an, also sammeln Sie nur die Kategorien, die Sie für jeden Dienst benötigen. Das Datenvolumen für Ressourcenprotokolle variiert erheblich von Dienst zu Dienst.

Sie sollten außerdem keine Plattformmetriken von Azure-Ressourcen sammeln, da diese Daten bereits in Metriken gesammelt werden. Konfigurieren Sie Ihre Diagnosedaten nur dann für die Sammlung von Metriken, wenn Sie Metrikdaten im Arbeitsbereich für komplexere Analysen mit Protokollabfragen benötigen. Diagnoseeinstellungen gestatten keine präzise Filterung von Ressourcenprotokollen.

Tipp

Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.

Nächste Schritte

• Erstellen von Diagnoseeinstellungen für Azure Monitor-Plattformmetriken und -protokolle
• Migrieren Sie die Speicheraufbewahrung von Diagnose-Einstellungen zu Azure Storage-Lebenszyklusverwaltung
• Weitere Informationen zu Protokollen der Azure-Plattform