Paramètres de diagnostic dans Azure Monitor
Cet article donne des informations sur la création et la configuration de paramètres de diagnostic dans le but d’envoyer des métriques et journaux de plateforme Azure vers différentes destinations.
Les métriques de plateforme sont envoyées automatiquement à Azure Monitor Metrics par défaut et sans configuration.
Les journaux de plateforme fournissent des informations de diagnostic et d’audit détaillées pour les ressources Azure et la plateforme Azure dont elles dépendent :
- Les journaux de ressources ne sont pas collectés tant qu’ils ne sont pas routés vers une destination.
- Les journaux d’activité existent en tant que tel, mais ils peuvent être acheminés vers d’autres emplacements.
Chaque ressource Azure requiert son propre paramètre de diagnostic, qui définit les critères suivants :
- Sources : le type de données de métrique et de journal à envoyer aux destinations définies dans le paramètre. Les types disponibles varient selon le type de ressource.
- Destinations : une ou plusieurs destinations d’envoi.
Un seul paramètre de diagnostic ne peut pas définir plus d’une destination. Si vous souhaitez envoyer des données à plus d’un type de destination (par exemple, deux espaces de travail Log Analytics), créez plusieurs paramètres. Chaque ressource peut avoir jusqu’à cinq paramètres de diagnostic.
Avertissement
Si vous devez supprimer une ressource, vous devez d’abord supprimer ses paramètres de diagnostic. Sinon, si vous recréez cette ressource, les paramètres de diagnostic de la ressource supprimée peuvent être inclus avec la nouvelle ressource, en fonction de la configuration de la ressource pour chaque ressource. Si les paramètres de diagnostic sont inclus avec la nouvelle ressource, cela reprend la collecte des journaux de ressources tel que défini dans le paramètre de diagnostic et envoie les données de métrique et de journal applicables à la destination configurée précédemment.
En outre, il est recommandé de supprimer les paramètres de diagnostic d’une ressource que vous allez supprimer et de ne pas planifier d’utiliser à nouveau pour garder votre environnement propre.
La vidéo suivante vous guide dans le routage des journaux de ressources et de plateforme avec les paramètres de diagnostic. Cette vidéo a été réalisée plus tôt. Soyez conscient des modifications suivantes :
- Il y a maintenant quatre destinations. Vous pouvez envoyer les métriques et les journaux de la plateforme à certains partenaires Azure Monitor.
- Une nouvelle fonctionnalité appelée groupes de catégories a été introduite en novembre 2021.
Cet article inclut des informations sur ces nouvelles fonctionnalités.
Sources
Voici les sources possibles.
Mesures
Le paramètre AllMetrics achemine les métriques de plateforme d’une ressource vers d’autres destinations. Cette option n’est pas nécessairement présente pour tous les fournisseurs de ressources.
Journaux d’activité de ressources
En ce qui concerne les journaux, vous pouvez sélectionner les catégories de journaux que vous souhaitez acheminer individuellement ou choisir un groupe de catégories.
Notes
Les groupes de catégories ne s’appliquent pas aux métriques. Toutes les ressources ne possèdent pas de groupes de catégories disponibles.
Vous pouvez utiliser les groupes de catégories pour collecter dynamiquement des journaux de ressources en fonction de regroupements prédéfinis au lieu de sélectionner des catégories de journaux individuelles. Microsoft définit les regroupements de façon à aider à surveiller des cas d’usage spécifiques dans tous les services Azure.
Les catégories du groupe peuvent être mises à jour au fur et à mesure que de nouveaux journaux sont déployés ou que les évaluations changent. Lorsque des catégories de journaux sont ajoutées à un groupe de catégories ou en sont supprimées, votre collecte de journaux est modifiée automatiquement sans que vous ayez à mettre à jour vos paramètres de diagnostic.
Le recours à des groupes de catégories présente les conséquences suivantes :
- Vous ne pouvez plus sélectionner individuellement les journaux de ressources en fonction de types de catégorie individuels.
- Vous ne pouvez plus appliquer de paramètres de rétention aux journaux envoyés au Stockage Azure.
Il existe actuellement deux groupes de catégories :
- Tous : tous les journaux de ressources offerts par la ressource.
- Audit : tous les journaux de ressources qui enregistrent les interactions des clients avec les données ou les paramètres du service. Notez que les journaux d’audit sont une tentative de chaque fournisseur de ressources de fournir les données d’audit les plus pertinentes, mais peuvent ne pas être considérées comme suffisantes du point de vue des normes d’audit.
Journal d’activité
Consultez la section Paramètres du journal d’activité.
Destinations
Il est possible d’envoyer des journaux et métriques de plateforme aux destinations indiquées dans le tableau suivant.
Pour garantir la sécurité des données en transit, nous vous encourageons vivement à configurer le protocole TLS (Transport Layer Security). Tous les points de terminaison de destination prennent en charge TLS 1.2.
| Destination | Description |
|---|---|
| Espace de travail Log Analytics | Les métriques sont converties au format journal. Cette option peut ne pas être disponible pour tous les types de ressources. Les envoyer au magasin Azure Monitor Logs (qui peut faire l’objet d’une recherche avec l’Analytique des journaux) aide à les intégrer dans des requêtes, des alertes et des visualisations avec des données de journaux existantes. |
| compte Stockage Azure | L’archivage des journaux et des métriques dans un compte de stockage est utile à des fins d’audit, d’analyse statique ou de sauvegarde. Par rapport aux journaux d’activité Azure Monitor ou à l’espace de travail Log Analytics, le stockage est moins onéreux et les journaux peuvent y être conservés indéfiniment. |
| Azure Event Hubs | Lorsque vous envoyez des journaux et des métriques à Event Hubs, vous pouvez transmettre en continu des données à des systèmes externes tels que des solutions SIEM tierces et d’autres solutions d’analytique des journaux d’activité. |
| Intégrations partenaires d’Azure Monitor | Des intégrations spécialisées peuvent être réalisées entre Azure Monitor et d’autres plateformes de surveillance non-Microsoft. Cette intégration est utile lorsque vous utilisez déjà l’un des partenaires. |
Paramètres du journal d’activité
Le journal d’activité utilise un paramètre de diagnostic, mais il a sa propre interface utilisateur, car elle s’applique à l’intégralité de l’abonnement plutôt qu’à des ressources individuelles. Les informations de destination listées ici s’appliquent néanmoins toujours. Pour plus d’informations, consultez Journal d’activité Azure.
Conditions requises et limitations :
Cette section décrit les exigences et les limitations.
Temps nécessaire à l’arrivée de la télémétrie à destination
Une fois que vous avez configuré un paramètre de diagnostic, les données doivent commencer à transiter vers votre ou vos destinations sélectionnées dans les 90 minutes. Si vous n’obtenez aucune information dans les 24 heures, soit
- aucun journal n’est généré ou
- un problème se produit dans le mécanisme de routage sous-jacent. Essayez de désactiver la configuration, puis de la réactiver. Contactez le support Azure via le portail Azure si vous continuez à rencontrer des problèmes.
Métriques comme source
L’exportation des métriques présente certaines limitations :
- L’envoi de métriques multidimensionnelles par le biais des paramètres de diagnostic n’est pas pris en charge actuellement. Les métriques comportant des dimensions sont exportées sous forme de métriques unidimensionnelles aplaties, agrégées sur toutes les valeurs de dimension. Par exemple, la métrique IOReadBytes sur une blockchain peut être explorée et représentée sur un graphique par niveau de nœud. Toutefois, lorsqu’elle est exportée par le biais de paramètres de diagnostic, elle présente tous les octets lus de tous les nœuds.
- Toutes les métriques ne sont pas exportables avec les paramètres de diagnostic. En raison de limitations internes, toutes les métriques ne sont pas exportables vers Azure Monitor Logs ni Log Analytics. Pour plus d’informations, consultez la colonne Exportable dans la liste des métriques prises en charge.
Pour contourner ces limitations pour certaines métriques, vous pouvez les extraire manuellement avec l’API REST Metrics. Vous pouvez ensuite les importer dans les journaux Azure Monitor à l’aide de l’API Collecteur de données Azure Monitor.
Limitations des destinations
Les destinations du paramètre de diagnostic doivent être créées avant que vous ne puissiez créer les paramètres de diagnostic. Cette destination ne doit pas nécessairement se trouver dans le même abonnement que la ressource qui envoie des journaux, à condition que l’utilisateur qui configure le paramètre ait un accès Azure RBAC approprié aux deux abonnements. Grâce à l’utilisation d’Azure Lighthouse, il est également possible d’envoyer des paramètres de diagnostic vers un espace de travail, compte de stockage ou Event Hub d’un autre locataire Azure Active Directory.
Le tableau suivant fournit des exigences uniques pour chaque destination, y compris des restrictions régionales.
| Destination | Spécifications |
|---|---|
| Espace de travail Log Analytics | Il n’est pas obligatoire que l’espace de travail réside dans la même région que la ressource supervisée. |
| Compte de stockage | N’utilisez pas un compte de stockage existant sur lequel sont stockées d’autres données sans monitoring pour pouvoir mieux contrôler l’accès aux données. Si vous archivez également des journaux de diagnostic et des journaux de ressources ensemble, vous pouvez choisir d’utiliser le même compte de stockage pour regrouper toutes vos données d’analyse au même emplacement. Pour envoyer les données dans l’espace de stockage immuable, définissez la stratégie d’immuabilité du compte de stockage, comme décrit dans Définir et gérer des stratégies d’immuabilité pour le stockage d’objets blob Azure. Vous devez suivre toutes les étapes décrites dans cet article, et notamment l’activation des écritures sur les objets blob d'ajout protégés. Le compte de stockage doit se trouver dans la même région que la ressource supervisée si la ressource est régionale. Les paramètres de diagnostic ne peuvent pas accéder aux compte de stockage lorsque les réseaux virtuels sont activés. Vous devez activer le paramètre Autoriser les services Microsoft approuvés à contourner ce pare-feu dans le compte de stockage, afin que le service Azure Monitor (paramètres de diagnostic) soit autorisé à accéder à vos compte de stockage. Les points de terminaison de zone Azure DNS (préversion) et les comptes de stockage Azure Premium LRS (stockage localement redondant) ne sont pas pris en charge en tant que destination de journal ou de métrique. |
| Event Hubs | La stratégie d’accès partagé pour l’espace de noms définit les autorisations dont dispose le mécanisme de diffusion en continu. La diffusion en continu vers Event Hubs requiert des autorisations de gestion, d’envoi et d’écoute. Pour mettre à jour le paramètre de diagnostic afin d’inclure la diffusion en continu, vous devez disposer de l’autorisation ListKey sur la règle d’autorisation Event Hubs. L’espace de noms Event Hub doit se trouver dans la même région que la ressource supervisée si la ressource est régionale. Les paramètres de diagnostic ne peuvent pas accéder aux ressources Event Hubs lorsque les réseaux virtuels sont activés. Vous devez activer le paramètre Autoriser les services Microsoft approuvés à contourner ce pare-feu dans Event Hub, afin que le service Azure Monitor (paramètres de diagnostic) soit autorisé à accéder à vos ressources Event Hubs. |
| Intégrations des partenaires | Les solutions varient selon le partenaire. Pour plus d’informations, consultez la documentation sur les intégrations de partenaires Azure Monitor. |
Contrôle des coûts
La collecte des données dans un espace de travail Log Analytics entraîne un coût. Vous devez donc collecter uniquement les catégories dont vous avez besoin pour chaque service. Le volume de données pour les journaux de ressources varie considérablement selon les services.
Il se peut également que vous ne souhaitiez pas collecter les métriques de la plateforme à partir des ressources Azure, car ces données sont déjà collectées dans les métriques. Ne configurez vos données de diagnostic pour collecter des métriques que si vous avez besoin de données métriques dans l'espace de travail à des fins d’analyse plus complexe avec des requêtes de journal.
Les paramètres de diagnostic n’autorisent pas le filtrage granulaire des journaux de ressources. Vous pouvez exiger certains journaux d’activité dans une catégorie particulière, mais pas d’autres. Vous pouvez également supprimer des colonnes inutiles des données. Dans ce cas, utilisez des transformations dans l’espace de travail afin de filtrer les journaux dont vous n’avez pas besoin.
Vous pouvez également utiliser des transformations pour réduire les exigences de stockage des enregistrements souhaités en supprimant des colonnes ne contenant pas d’informations utiles. Par exemple, vous pouvez avoir des événements d'erreur dans un journal de ressources dont vous souhaitez disposer à des fins d’alerte. Mais vous n’avez peut-être pas besoin de certaines colonnes de ces enregistrements qui contiennent une grande quantité de données. Vous pouvez créer une transformation pour la table qui supprime ces colonnes.
Conseil
Pour connaître les stratégies de réduction de vos coûts Azure Monitor, consultez Optimisation des coûts et Azure Monitor.
Créer des paramètres de diagnostic
Vous pouvez créer et modifier des paramètres de diagnostic à l’aide de plusieurs méthodes.
Vous pouvez configurer des paramètres de diagnostic sur le portail Azure à partir du menu Azure Monitor ou du menu de la ressource.
L’endroit où vous configurez les paramètres de diagnostic dans le portail Azure dépend de la ressource :
Pour une ressource unique, cliquez sur Paramètres de diagnostic sous Analyse dans le menu de la ressource.
Pour une ou plusieurs ressources, dans le menu Azure Monitor, sous Paramètres, sélectionnez Paramètres de diagnostic, puis la ressource.
Pour le journal d’activité, dans le menu Azure Monitor, cliquez sur Journal d’activité, puis sur Paramètres de diagnostic. Veillez à désactiver toute configuration héritée pour le journal d’activité. Pour obtenir des instructions, consultez Désactiver les paramètres existants.
S’il n’existe aucun paramètre sur la ressource que vous avez sélectionnée, vous êtes invité à créer un paramètre. Sélectionnez Ajouter le paramètre de diagnostic.
Si des paramètres sont définis pour la ressource, la liste des paramètres déjà configurés s’affiche. Pour ajouter de nouveaux paramètres, sélectionnez Ajouter un paramètre de diagnostic. Vous pouvez également sélectionner Modifier le paramètre pour modifier un paramètre existant. Chaque paramètre ne peut pas avoir plus d’un type de destination.
Si votre paramètre n’a pas de nom, nommez-le.
Journaux et métriques à router : pour les journaux, choisissez un groupe de catégories ou cochez la case de chaque catégorie de données que vous souhaitez envoyer aux destinations spécifiées plus tard. La liste des catégories varie pour chaque service Azure. Choisissez AllMetrics si vous souhaitez aussi stocker les métriques dans des journaux Azure Monitor.
Détails de la destination : activez la case à cocher pour chaque destination. Les options s’affichent pour que vous puissiez ajouter plus d’informations.
Log Analytics : entrez l’abonnement et l’espace de travail. Si vous n’avez pas d’espace de travail, vous devez en créer un avant de continuer.
Event Hubs : spécifiez les critères suivants :
- Abonnement : abonnement auquel appartient le hub d’événements.
- Espace de noms Event Hub : si vous n’en avez pas, vous devez en créer un.
- Nom Event Hub (facultatif) : nom auquel envoyer toutes les données. Si vous ne spécifiez pas de nom, un hub d’événements est créé pour chaque catégorie de journal. Si vous envoyez plusieurs catégories, vous pouvez spécifier un nom pour limiter le nombre de hubs d’événements créés. Pour plus d’informations, consultez Quotas et limites Azure Event Hubs.
- Nom de la stratégie Event Hub (aussi facultatif) : une stratégie définit les autorisations dont dispose le mécanisme de diffusion en continu. Pour plus d’informations, consultez Fonctionnalités Event Hubs.
Stockage : sélectionnez Abonnement, Compte de stockage et stratégie de rétention.
Conseil
Envisagez de définir la stratégie de rétention sur 0, et utilisez la Stratégie de cycle de vie de S ou supprimez vos données du stockage à l’aide d’une tâche planifiée. Ces stratégies sont susceptibles de fournir un comportement plus cohérent.
Tout d’abord, si vous utilisez le stockage pour l’archivage, vous souhaitez généralement que vos données soient conservées plus de 365 jours.
Ensuite, si vous choisissez une stratégie de rétention supérieure à 0, la date d’expiration est jointe aux journaux au moment du stockage. Vous ne pouvez pas modifier la date de ces journaux une fois qu’ils sont stockés.
Par exemple, si vous définissez la stratégie de rétention pour WorkflowRuntime sur 180 jours, puis que vous la définissez 24 heures plus tard sur 365 jours, les journaux stockés pendant ces 24 heures sont automatiquement supprimés après 180 jours. Tous les journaux suivants de ce type seront automatiquement supprimés après 365 jours. La modification ultérieure de la stratégie de rétention ne permet pas de conserver les journaux des premières 24 heures pendant 365 jours.
Intégration partenaire : vous devez d’abord installer une intégration partenaire dans votre abonnement. Les options de configuration varient selon le partenaire. Pour plus d’informations, consultez Intégrations partenaires d’Azure Monitor.
Sélectionnez Enregistrer.
Après quelques instants, le nouveau paramètre apparaît dans la liste des paramètres pour cette ressource. Les journaux sont diffusés en continu vers les destinations spécifiées, car de nouvelles données d’événement sont générées. Un délai de 15 minutes peut s’écouler entre le moment où un événement est émis et celui où il s’affiche dans un espace de travail Log Analytics.
Résolution des problèmes
Voici quelques conseils pour la résolution de ce problème.
La catégorie de métrique n’est pas prise en charge
Lorsque vous déployez un paramètre de diagnostic, vous recevez un message d’erreur similaire à « La catégorie de métrique ’xxxx’ n’est pas prise en charge. » Vous pouvez voir cette erreur même si votre déploiement précédent a réussi.
Le problème se produit lors de l’utilisation d’un modèle Resource Manager, de l’API REST, de la CLI ou d’Azure PowerShell. Les paramètres de diagnostic créés via le portail Azure ne sont pas affectés, car seuls les noms des catégories prises en charge sont présentés.
Le problème est dû à une modification récente de l’API sous-jacente. Les catégories de métriques autres que AllMetrics ne sont pas prises en charge et ne l’ont jamais été, à l’exception de quelques services Azure spécifiques. Par le passé, les autres noms de catégorie étaient ignorés lors du déploiement d’un paramètre de diagnostic. Le backend Azure Monitor redirigeait ces catégories vers AllMetrics. À compter de février 2021, le back-end a été mis à jour et vérifie maintenant spécifiquement que la catégorie de métriques fournie est exacte. Ce changement a entraîné l’échec de certains déploiements.
Si vous recevez cette erreur, mettez à jour vos déploiements en y remplaçant tous les noms de catégories de métriques par AllMetrics pour résoudre le problème. Si le déploiement cumulait déjà plusieurs catégories, une seule catégorie avec la référence AllMetrics doit être conservée. Si le problème persiste, contactez le support Azure sur le Portail Azure.
Le paramètre disparaît en raison de la présence de caractères non ASCII dans resourceID
Les paramètres de diagnostic ne prennent pas en charge les ID de ressource avec des caractères non ASCII. Par exemple, considérez le terme Preproducción. Comme il n’est pas possible de renommer des ressources dans Azure, la seule option consiste donc à créer une nouvelle ressource sans caractères non ASCII. Si les caractères se trouvent dans le nom d’un groupe de ressources, vous pouvez déplacer les ressources dans un nouveau groupe. Sinon, vous devez recréer la ressource.
Possibilité de données dupliquées ou supprimées
Tous les efforts sont déployés pour garantir que toutes les données de journal sont correctement envoyées à vos destinations, mais il n’est pas possible de garantir un transfert de données à 100 % des journaux d’activité entre les points de terminaison. Les nouvelles tentatives et d’autres mécanismes sont en place pour contourner ces problèmes et tenter de garantir que les données de journal arrivent au point de terminaison.