Delegált erőforrások monitorozása nagy léptékben

  • Cikk

Szolgáltatóként előfordulhat, hogy több ügyfélbérlőt is előkészített az Azure Lighthouse-ba. Az Azure Lighthouse lehetővé teszi a szolgáltatók számára, hogy egyszerre több bérlőre kiterjedő műveletet hajtsanak végre, ami hatékonyabbá teszi a felügyeleti feladatokat.

Ez a témakör bemutatja, hogyan használhatja az Azure Monitor-naplókat skálázható módon a felügyelt ügyfélbérlőkben. Bár ebben a témakörben a szolgáltatókra és az ügyfelekre hivatkozunk, ez az útmutató az Azure Lighthouse-t több bérlő kezelésére használó vállalatokra is vonatkozik.

Megjegyzés

Győződjön meg arról, hogy a felügyeleti bérlők felhasználói megkapták a Log Analytics-munkaterületek delegált ügyfél-előfizetéseken való kezeléséhez szükséges szerepköröket .

Log Analytics-munkaterületek létrehozása

Az adatgyűjtéshez Log Analytics-munkaterületeket kell létrehoznia. Ezek a Log Analytics-munkaterületek egyedi környezetek az Azure Monitor által gyűjtött adatokhoz. Mindegyik munkaterület saját adattárral és konfigurációval rendelkezik, és az adatforrások és megoldások úgy vannak konfigurálva, hogy egy adott munkaterületen tárolják az adataikat.

Javasoljuk, hogy ezeket a munkaterületeket közvetlenül az ügyfélbérlőkben hozza létre. Így az adataik a saját bérlőikben maradnak ahelyett, hogy a sajátodba exportálják őket. A munkaterületek ügyfélbérlőkben való létrehozása lehetővé teszi a Log Analytics által támogatott erőforrások vagy szolgáltatások központosított figyelését, így nagyobb rugalmasságot biztosít a figyelt adattípusokra vonatkozóan. Az ügyfélbérlőkben létrehozott munkaterületekre azért van szükség, hogy adatokat gyűjtsenek a diagnosztikai beállításokból.

Tipp

A Log Analytics-munkaterület adatainak eléréséhez használt automatizálási fiókokat ugyanabban a bérlőben kell létrehozni, mint a munkaterületet.

Log Analytics-munkaterületet a Azure Portal, az Azure Resource Manager-sablonok vagy a Azure PowerShell használatával hozhat létre.

Fontos

Ha az összes munkaterület ügyfélbérlőkben van létrehozva, a Microsoft.Insights erőforrás-szolgáltatókat is regisztrálni kell egy előfizetésben a felügyeleti bérlőben. Ha a felügyeleti bérlő nem rendelkezik meglévő Azure-előfizetéssel, manuálisan regisztrálhatja az erőforrás-szolgáltatót a következő PowerShell-parancsokkal:

$ManagingTenantId = "your-managing-Azure-AD-tenant-id"

# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId

# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor

Adatok naplózására vonatkozó szabályzatok üzembe helyezése

A Log Analytics-munkaterületek létrehozása után üzembe helyezheti Azure Policy az ügyfélhierarchiákban, hogy a diagnosztikai adatok az egyes bérlők megfelelő munkaterületére érkezhessenek. A pontosan üzembe helyezett szabályzatok a figyelni kívánt erőforrástípusoktól függően változhatnak.

A szabályzatok létrehozásával kapcsolatos további információkért lásd : Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez. Ez a közösségi eszköz egy szkriptet biztosít, amellyel szabályzatokat hozhat létre a kiválasztott erőforrástípusok figyeléséhez.

Amikor meghatározta, hogy mely szabályzatokat kell üzembe helyeznie, nagy léptékben helyezheti üzembe őket a delegált előfizetésekben.

Az összegyűjtött adatok elemzése

A szabályzatok üzembe helyezése után az adatok az egyes ügyfélbérlőkben létrehozott Log Analytics-munkaterületeken lesznek naplózva. Ha az összes felügyelt ügyfélről szeretne elemzést nyerni, az olyan eszközökkel, mint az Azure Monitor-munkafüzetek , több adatforrásból származó információkat gyűjthet és elemezhet.

Adatok lekérdezése az ügyfél-munkaterületeken

Napló lekérdezéseket futtatva adatokat kérdezhet le a különböző ügyfélbérlőkBen lévő Log Analytics-munkaterületeken egy több munkaterületet tartalmazó unió létrehozásával. A TenantID oszlop beleszámítva láthatja, hogy mely eredmények tartoznak a bérlőkhöz.

Az alábbi példa lekérdezés egy egyesítést hoz létre az AzureDiagnostics táblában két különálló ügyfélbérlő munkaterületei között. Az eredmények a Kategória, a ResourceGroup és a TenantID oszlopokat mutatják.

union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId

További példák több Log Analytics-munkaterület lekérdezéseire: Napló lekérdezés létrehozása több munkaterületen és alkalmazáson az Azure Monitorban.

Fontos

Ha egy Log Analytics-munkaterület adatainak lekérdezéséhez használt automation-fiókot használ, az automatizálási fiókot ugyanabban a bérlőben kell létrehozni, mint a munkaterületet.

Riasztások megtekintése ügyfelek között

A felügyelt ügyfélbérlőkben megtekintheti a delegált előfizetésekre vonatkozó riasztásokat .

A felügyeleti bérlőből tevékenységnapló-riasztásokat hozhat létre, tekinthet meg és kezelhet a Azure Portal vagy API-k és felügyeleti eszközök használatával.

A riasztások több ügyfél közötti automatikus frissítéséhez használjon Azure Resource Graph-lekérdezést a riasztások szűréséhez. Rögzítheti a lekérdezést az irányítópulton, és kiválaszthatja az összes megfelelő ügyfelet és előfizetést. Az alábbi lekérdezés például 0 és 1 súlyossági riasztást jelenít meg, amelyek 60 percenként frissülnek.

alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)

Következő lépések