pengaturan diagnostik di Azure Monitor
Artikel ini menyediakan detail tentang membuat dan mengonfigurasi pengaturan diagnostik untuk mengirim metrik platform Azure, log sumber daya, dan log aktivitas ke tujuan yang berbeda.
Setiap sumber daya Azure memerlukan pengaturan diagnostiknya sendiri, yang menentukan kriteria berikut:
- Sumber: Jenis metrik dan data log untuk dikirim ke tujuan yang ditentukan dalam pengaturan. Jenis yang tersedia bervariasi menurut jenis sumber daya.
- Tujuan: Satu tujuan atau lebih untuk pengiriman.
Satu pengaturan diagnostik dapat menentukan tidak lebih dari satu dari masing-masing tujuan. Jika Anda ingin mengirim data ke lebih dari satu jenis tujuan tertentu (misalnya, dua ruang kerja Analitik Log yang berbeda), buat beberapa pengaturan. Setiap sumber daya dapat memiliki hingga 5 pengaturan diagnostik.
Peringatan
Jika Anda perlu menghapus sumber daya, mengganti nama, atau memindahkan sumber daya, atau memigrasikannya di seluruh grup sumber daya atau langganan, pertama-tama hapus pengaturan diagnostiknya. Jika tidak, jika Anda membuat ulang sumber daya ini, pengaturan diagnostik untuk sumber daya yang dihapus dapat disertakan dengan sumber daya baru, tergantung pada konfigurasi sumber daya untuk setiap sumber daya. Jika pengaturan diagnostik disertakan dengan sumber daya baru, ini melanjutkan pengumpulan log sumber daya seperti yang didefinisikan dalam pengaturan diagnostik dan mengirim metrik dan data log yang berlaku ke tujuan yang dikonfigurasi sebelumnya.
Selain itu, ini adalah praktik yang baik untuk menghapus pengaturan diagnostik untuk sumber daya yang akan Anda hapus dan tidak berencana menggunakan lagi untuk menjaga lingkungan Anda tetap bersih.
Video berikut memandu Anda melalui log platform perutean dengan pengaturan diagnostik. Video tersebut dibuat lebih awal. Ketahui perubahan berikut:
- Sekarang ada empat tujuan. Anda dapat mengirim metrik dan log platform ke mitra Azure Monitor tertentu.
- Fitur baru yang disebut grup kategori diperkenalkan pada November 2021.
Informasi tentang fitur-fitur baru ini disertakan dalam artikel ini.
Sumber
Ada tiga sumber untuk informasi diagnostik:
- Metrik platform dikirim secara otomatis ke Metrik Azure Monitor secara default dan tanpa konfigurasi. Untuk informasi selengkapnya tentang metrik yang didukung, lihat Metrik yang didukung dengan Azure Monitor
- Log platform menyediakan informasi audit dan diagnostik detail untuk sumber daya Azure serta platform Azure yang diandalkan.
- Log sumber daya tidak dikumpulkan sampai diarahkan ke satu tujuan. Untuk informasi selengkapnya tentang log yang didukung, lihat Kategori log Sumber Daya yang Didukung untuk Azure Monitor
- Log Aktivitas menyediakan informasi tentang sumber daya dari luar sumber daya, seperti saat sumber daya dibuat atau dihapus. Entri ada sendiri tetapi dapat dirutekan ke lokasi lain.
Metrik
Pengaturan AllMetrics merutekan metrik platform sumber daya ke tujuan lain. Opsi ini mungkin tidak tersedia untuk semua penyedia sumber daya.
Log sumber daya
Dengan log sumber daya, Anda dapat memilih kategori log yang ingin Anda rutekan satu per satu atau memilih grup kategori.
Grup kategori
Catatan
Grup kategori tidak berlaku untuk semua penyedia sumber daya metrik. Jika penyedia tidak memilikinya tersedia di pengaturan diagnostik di portal Azure, penyedia juga tidak akan tersedia melalui templat Azure Resource Manager.
Anda dapat menggunakan grup kategori untuk mengumpulkan log sumber daya secara dinamis berdasarkan pengelompokan yang telah ditentukan alih-alih memilih kategori log secara individual. Microsoft menetapkan pengelompokan untuk membantu memantau kasus penggunaan tertentu di semua layanan Azure. Seiring waktu, kategori dalam grup dapat diperbarui saat log baru diluncurkan atau saat penilaian berubah. Ketika kategori log ditambahkan atau dihapus dari grup kategori, kumpulan log Anda dimodifikasi secara otomatis tanpa harus memperbarui pengaturan diagnostik Anda.
Saat Anda menggunakan grup kategori, Anda:
- Tidak lagi dapat memilih log sumber daya secara individual berdasarkan jenis kategori individual.
- Tidak lagi dapat menerapkan pengaturan retensi ke log yang dikirim ke Azure Storage.
Saat ini, ada dua grup kategori:
- Semua: Setiap log sumber daya yang ditawarkan oleh sumber daya.
- Audit: Semua log sumber daya yang merekam interaksi pelanggan dengan data atau pengaturan layanan. Log audit adalah upaya oleh setiap penyedia sumber daya untuk memberikan data audit yang paling relevan, tetapi mungkin tidak dianggap cukup dari perspektif standar audit tergantung pada kasus penggunaan Anda. Seperti disebutkan di atas, apa yang dikumpulkan bersifat dinamis, dan Microsoft dapat mengubahnya dari waktu ke waktu saat kategori log sumber daya baru tersedia.
Grup kategori "Audit" adalah subset dari grup kategori "Semua", tetapi portal Azure dan REST API menganggapnya sebagai pengaturan terpisah. Memilih grup kategori "Semua" memang mengumpulkan semua log audit meskipun grup kategori "Audit" juga dipilih.
Gambar berikut menunjukkan grup kategori log di halaman Tambahkan pengaturan diagnostik.
Catatan
Mengaktifkan Audit untuk Azure SQL Database tidak mengaktifkan audit untuk Azure SQL Database. Untuk mengaktifkan audit database, Anda harus mengaktifkannya dari bilah audit untuk Azure Database.
Log aktivitas
Lihat bagian pengaturan Log Aktivitas.
Tujuan
Log dan metrik platform dapat dikirim ke tujuan yang tercantum dalam tabel berikut.
Untuk memastikan keamanan data saat transit, semua titik akhir tujuan dikonfigurasi untuk mendukung TLS 1.2.
Tujuan | Deskripsi |
---|---|
Ruang kerja Log Analytics | Metrik dikonversi ke formulir log. Opsi ini mungkin tidak tersedia untuk semua jenis sumber daya. Mengirimnya ke penyimpanan Log Azure Monitor (yang dapat dicari melalui Analitik Log) membantu Anda mengintegrasikannya ke dalam kueri, peringatan, dan visualisasi dengan data log yang ada. |
Akun Azure Storage | Mengarsipkan log dan metrik ke akun Storage berguna untuk audit, analisis statis, atau pencadangan. Dibandingkan dengan menggunakan Log Azure Monitor dan ruang kerja Analitik Log, Penyimpanan lebih murah dan log dapat disimpan di sana tanpa batas waktu. |
Azure Event Hubs | Saat Anda mengirim log dan metrik ke Azure Event Hubs, Anda dapat mengalirkan data ke sistem eksternal seperti SIEM pihak ketiga dan solusi Analitik Log lainnya. |
Solusi mitra Azure Monitor | Integrasi khusus dapat dibuat antara Azure Monitor dan platform pemantauan non-Microsoft lainnya. Integrasi berguna saat Anda sudah menggunakan salah satu mitra. |
Pengaturan log aktivitas
Log aktivitas menggunakan pengaturan diagnostik, tetapi memiliki antarmuka penggunanya sendiri karena berlaku untuk seluruh langganan daripada sumber daya individual. Informasi tujuan yang tercantum di bawah ini masih berlaku. Untuk informasi selengkapnya, lihat log aktivitas Azure.
Persyaratan dan batasan
Bagian ini membahas persyaratan dan batasan.
Waktu sebelum telemetri sampai ke tujuan
Setelah Anda menyiapkan pengaturan diagnostik, data harus mulai mengalir ke tujuan yang Anda pilih dalam waktu 90 menit. Saat mengirim log ke ruang kerja Analitik Log, tabel dibuat secara otomatis jika belum ada. Tabel hanya dibuat ketika rekaman log pertama diterima. Jika Anda tidak mendapatkan informasi dalam waktu 24 jam, maka Anda mungkin mengalami salah satu masalah berikut:
- Tidak ada log yang dihasilkan.
- Ada yang salah dalam mekanisme perutean yang mendasar.
Jika mengalami masalah, Anda dapat mencoba menonaktifkan konfigurasi lalu mengaktifkannya kembali. Hubungi dukungan Azure melalui portal Azure jika Anda terus mengalami masalah.
Metrik sebagai sumber
Ada batasan tertentu dari metrik ekspor:
- Mengirim metrik multidimensi melalui pengaturan diagnostik saat ini tidak didukung. Metrik dengan dimensi diekspor sebagai metrik satu dimensi yang diratakan, yang digabungkan di seluruh nilai dimensi. Misalnya, metrik IOReadBytes pada blockchain dapat dieksplorasi dan dipetakan pada tingkat per simpul. Namun, ketika diekspor melalui pengaturan diagnostik, metrik yang diekspor menunjukkan semua byte baca untuk semua node.
- Tidak semua metrik dapat diekspor dengan pengaturan diagnostik. Karena keterbatasan internal, tidak semua metrik dapat diekspor ke Log Azure Monitor atau Analitik Log. Untuk informasi selengkapnya, lihat kolom Dapat Diekspor dalam daftar metrik yang didukung.
Untuk mengatasi batasan metrik tertentu, Anda dapat mengekstrak mereka secara manual dengan menggunakan Metrik REST API. Kemudian Anda dapat mengimpornya ke Log Azure Monitor dengan menggunakan Azure Monitor Data Collector API.
Batasan destinasi
Semua tujuan untuk pengaturan diagnostik harus dibuat sebelum Anda membuat pengaturan diagnostik. Tujuan tidak harus dalam langganan yang sama dengan log pengiriman sumber daya jika pengguna yang mengonfigurasi pengaturan memiliki akses kontrol akses berbasis peran Azure yang sesuai ke kedua langganan. Dengan menggunakan Azure Lighthouse, anda juga dapat memiliki pengaturan diagnostik yang dikirim ke ruang kerja, akun penyimpanan, atau hub peristiwa di penyewa Microsoft Entra lainnya.
Tabel berikut memberikan persyaratan unik untuk setiap tujuan termasuk batasan regional.
Tujuan | Persyaratan |
---|---|
Ruang kerja Analitik Log | Ruang kerja tidak perlu berada di wilayah yang sama dengan sumber daya yang dipantau. |
Akun Penyimpanan | Jangan gunakan akun penyimpanan yang sudah ada yang memiliki data nonmonitor lain yang disimpan di dalamnya. Memisahkan jenis data ke atas memungkinkan Anda mengontrol akses ke data dengan lebih baik. Jika Anda mengarsipkan log Aktivitas dan log sumber daya bersama-sama, Anda dapat memilih untuk menggunakan akun penyimpanan yang sama untuk menyimpan semua data pemantauan di lokasi pusat. Untuk mencegah modifikasi data, kirimkan ke penyimpanan yang tidak dapat diubah. Atur kebijakan yang tidak dapat diubah untuk akun penyimpanan seperti yang dijelaskan dalam Mengatur dan mengelola kebijakan imutabilitas untuk Azure Blob Storage. Anda harus mengikuti semua langkah dalam artikel terkait ini termasuk mengaktifkan blob tambahan yang dilindungi. Akun penyimpanan harus berada di wilayah yang sama dengan sumber daya yang dipantau jika sumber daya bersifat regional. Pengaturan diagnostik tidak dapat mengakses akun penyimpanan saat jaringan virtual diaktifkan. Anda harus mengaktifkan Izinkan layanan Microsoft tepercaya untuk melewati pengaturan firewall ini di akun penyimpanan sehingga layanan pengaturan diagnostik Azure Monitor diberikan akses ke akun penyimpanan Anda. Akun penyimpanan titik akhir zona Azure DNS (pratinjau) dan Azure Premium LRS (penyimpanan redundan lokal) tidak didukung sebagai tujuan log atau metrik. |
Event Hubs | Kebijakan akses bersama untuk kumpulan nama XML menentukan izin yang dimiliki mekanisme streaming. Streaming ke Azure Event Hubs memerlukan izin Kelola, Kirim, dan Mendengarkan. Untuk memperbarui pengaturan diagnostik untuk menyertakan streaming, Anda harus memiliki izin ListKey pada aturan otorisasi Azure Event Hubs tersebut. Kumpulan nama XML hub peristiwa harus berada di wilayah yang sama dengan sumber daya yang dipantau jika sumber daya bersifat regional. Pengaturan diagnostik tidak dapat mengakses sumber daya Azure Event Hubs saat jaringan virtual diaktifkan. Anda harus mengaktifkan Izinkan layanan Microsoft tepercaya untuk melewati pengaturan firewall ini di Azure Event Hubs, sehingga layanan pengaturan diagnostik Azure Monitor diberikan akses ke sumber daya Azure Event Hubs Anda. |
Solusi mitra | Solusinya bervariasi menurut mitra. Periksa dokumentasi Azure Native ISV Services untuk detailnya. |
Log diagnostik untuk Application Insights
Jika Anda ingin menyimpan log diagnostik untuk Application Insights di ruang kerja Analitik Log, jangan kirim log ke ruang kerja yang sama dengan sumber daya Application Insights. Konfigurasi ini dapat menyebabkan telemetri duplikat ditampilkan karena Application Insights sudah menyimpan data ini. Kirim log Application Insights Anda ke ruang kerja Analitik Log yang berbeda.
Saat mengirim log Application Insights ke ruang kerja yang berbeda, ketahuilah bahwa Application Insights mengakses telemetri di seluruh sumber daya Application Insight, termasuk beberapa ruang kerja Analitik Log. Batasi akses pengguna Application Insights hanya ke ruang kerja Analitik Log yang ditautkan dengan sumber daya Application Insights. Atur mode kontrol akses ke Memerlukan izin ruang kerja dan mengelola izin melalui kontrol akses berbasis peran Azure untuk memastikan bahwa Application Insights hanya memiliki akses ke ruang kerja Analitik Log yang menjadi dasar sumber daya Application Insights.
Biaya pengontrol
Ada biaya untuk mengumpulkan data di ruang kerja Analitik Log, jadi hanya kumpulkan kategori yang Anda butuhkan untuk setiap layanan. Volume data untuk log sumber daya bervariasi secara signifikan di antara layanan.
Anda mungkin juga tidak ingin mengumpulkan metrik platform dari sumber daya Azure karena data ini sudah dikumpulkan dalam Metrik. Hanya konfigurasi data diagnostik Anda untuk mengumpulkan metrik jika Anda memerlukan data metrik di ruang kerja untuk analisis yang lebih kompleks dengan kueri log. Pengaturan diagnostik tidak mengizinkan pemfilteran terperinci untuk log sumber daya.
Tip
Untuk strategi mengurangi biaya Azure Monitor Anda, lihat Pengoptimalan biaya dan Azure Monitor.