Memantau sumber daya yang didelegasikan dalam skala besar

  • Artikel

Sebagai penyedia layanan, Anda mungkin telah melakukan onboarding beberapa penyewa pelanggan ke Azure Lighthouse. Azure Lighthouse memungkinkan penyedia layanan melakukan operasi dalam skala besar di beberapa penyewa sekaligus, membuat tugas manajemen menjadi lebih efisien.

Topik ini menunjukkan cara menggunakan Azure Monitor Logs dengan cara yang dapat diskalakan di seluruh penyewa pelanggan yang Anda kelola. Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, panduan ini juga berlaku untuk perusahaan menggunakan Azure Lighthouse untuk mengelola beberapa penyewa.

Catatan

Pastikan bahwa pengguna di penyewa pengelola Anda telah diberikan peran yang diperlukan untuk mengelola ruang kerja Log Analytics pada langganan pelanggan yang didelegasikan.

Membuat ruang kerja Log Analytics

Untuk mengumpulkan data, Anda harus membuat ruang kerja Log Analytics. Ruang kerja Log Analytics ini adalah lingkungan unik untuk data yang dikumpulkan oleh Azure Monitor. Setiap ruang kerja memiliki repositori data dan konfigurasinya sendiri, serta sumber data dan solusi dikonfigurasi untuk menyimpan datanya di ruang kerja tertentu.

Sebaiknya buat ruang kerja ini langsung di penyewa pelanggan. Dengan cara ini, data mereka tetap berada di penyewa mereka daripada diekspor ke dalam penyewa Anda. Membuat ruang kerja di penyewa pelanggan memungkinkan pemantauan terpusat dari semua sumber daya atau layanan yang didukung oleh Analisis Log, memberi Anda lebih banyak fleksibilitas pada jenis data yang Anda pantau. Ruang kerja yang dibuat di penyewa pelanggan diperlukan untuk mengumpulkan informasi dari pengaturan diagnostik.

Tip

Setiap akun otomatisasi yang digunakan untuk mengakses data dari ruang kerja Log Analytics harus dibuat di penyewa yang sama dengan ruang kerja.

Anda dapat membuat ruang kerja Log Analytics dengan menggunakan portal Azure, templat Azure Resource Manager, atau menggunakan Azure PowerShell.

Penting

Jika semua ruang kerja dibuat di penyewa pelanggan, penyedia sumber daya Microsoft.Insights juga harus didaftarkan pada langganan di penyewa pengelola. Jika penyewa pengelola Anda tidak memiliki langganan Azure, Anda bisa mendaftarkan penyedia sumber daya secara manual dengan menggunakan perintah PowerShell berikut ini:

$ManagingTenantId = "your-managing-Azure-AD-tenant-id"

# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId

# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor

Menyebarkan kebijakan yang mencatat data

Setelah membuat ruang kerja Log Analytics, Anda dapat menyebarkan Azure Policy ke seluruh hierarki pelanggan Anda sehingga data diagnostik dikirim ke ruang kerja yang sesuai di setiap penyewa. Kebijakan yang Anda sebarkan dapat bervariasi tergantung pada jenis sumber daya yang ingin Anda pantau.

Untuk mempelajari selengkapnya tentang membuat kebijakan, lihat Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan. Alat komunitas ini menyediakan skrip untuk membantu Anda membuat kebijakan untuk memantau jenis sumber daya tertentu yang Anda pilih.

Saat Anda telah menentukan kebijakan mana yang akan disebarkan, Anda dapat menyebarkannya ke langganan yang didelegasikan dalam skala besar.

Menganalisis data yang dikumpulkan

Setelah Anda menyebarkan kebijakan, data akan dicatat di ruang kerja Log Analytics yang telah Anda buat di setiap penyewa pelanggan. Untuk mendapatkan wawasan di semua pelanggan terkelola, Anda bisa menggunakan alat seperti Azure Monitor Workbooks untuk mengumpulkan dan menganalisis informasi dari beberapa sumber data.

Data kueri di seluruh ruang kerja pelanggan

Anda dapat menjalankan kueri log untuk mengambil data di ruang kerja Analitik Log di penyewa pelanggan yang berbeda dengan membuat himpunan yang mencakup beberapa ruang kerja. Dengan menyertakan kolom TenantID, Anda dapat melihat hasil yang dimiliki setiap penyewa.

Kueri contoh berikut membuat himpunan di tabel AzureDiagnostics di seluruh ruang kerja di dua penyewa pelanggan terpisah. Hasil tersebut menunjukkan kolom Kategori, ResourceGroup, dan TenantID.

union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId

Untuk contoh kueri lainnya di beberapa ruang kerja Analitik Log, lihat Membuat kueri log di beberapa ruang kerja dan aplikasi di Azure Monitor.

Penting

Jika Anda menggunakan akun automasi yang digunakan untuk mengkueri data dari ruang kerja Analitik Log, maka akun automasi tersebut harus dibuat di penyewa yang sama dengan ruang kerja.

Melihat pemberitahuan di seluruh pelanggan

Anda dapat melihat peringatan untuk langganan yang didelegasikan di penyewa pelanggan yang Anda kelola.

Dari penyewa pengelola, Anda dapat membuat, melihat, dan mengelola pemberitahuan log aktivitas di portal Microsoft Azure atau melalui API dan alat manajemen.

Untuk me-refresh pemberitahuan secara otomatis di beberapa pelanggan, gunakan kueri Azure Resource Graph untuk memfilter pemberitahuan. Anda bisa menyematkan kueri ke dasbor Anda dan memilih semua pelanggan dan langganan yang sesuai. Misalnya, kueri di bawah ini akan menampilkan pemberitahuan dengan tingkat keparahan 0 dan 1, dan me-refresh setiap 60 menit.

alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)

Langkah berikutnya