Menggunakan akun penyimpanan yang dikelola pelanggan di Log Azure Monitor

  • Artikel

Log Azure Monitor bergantung pada Azure Storage dalam berbagai skenario. Azure Monitor biasanya mengelola jenis penyimpanan ini secara otomatis, tetapi beberapa kasus mengharuskan Anda untuk menyediakan dan mengelola akun penyimpanan Anda sendiri, juga dikenal sebagai akun penyimpanan yang dikelola pelanggan. Artikel ini menjelaskan kasus penggunaan dan persyaratan untuk menyiapkan penyimpanan yang dikelola pelanggan untuk Log Azure Monitor dan menjelaskan cara menautkan akun penyimpanan ke ruang kerja Analitik Log.

Catatan

Kami menyarankan agar Anda tidak mengambil dependensi pada konten yang diunggah Log Azure Monitor ke penyimpanan yang dikelola pelanggan karena pemformatan dan konten mungkin berubah.

Akun penyimpanan yang dikelola pelanggan digunakan untuk menyerap log kustom saat tautan privat digunakan untuk menyambungkan ke sumber daya Azure Monitor. Proses menyerap data ini pertama kali mengunggah log ke akun Azure Storage perantara, lalu menyerapnya ke ruang kerja.

Persyaratan ruang kerja

Saat Anda tersambung ke Azure Monitor melalui tautan privat, Agen Azure Monitor hanya dapat mengirim log ke ruang kerja yang dapat diakses melalui tautan privat. Persyaratan ini berarti Anda harus:

  • Mengonfigurasi objek Azure Monitor Private Link Scope (AMPLS).
  • Koneksi ke ruang kerja Anda.
  • Sambungkan AMPLS ke jaringan Anda melalui tautan privat.

Untuk informasi selengkapnya tentang prosedur konfigurasi AMPLS, lihat Menggunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Monitor.

Persyaratan akun penyimpanan

Agar akun penyimpanan tersambung ke tautan privat Anda, akun tersebut harus:

  • Terletak di jaringan virtual Anda atau jaringan yang di-peering dan terhubung ke jaringan virtual Anda melalui tautan privat.

  • Terletak di wilayah yang sama dengan ruang kerja yang ditautkan.

  • Mengizinkan Azure Monitor mengakses akun penyimpanan. Untuk hanya mengizinkan jaringan tertentu mengakses akun penyimpanan Anda, pilih pengecualian Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan ini.

    Cuplikan layar yang memperlihatkan layanan Microsoft kepercayaan akun penyimpanan.

Jika ruang kerja Anda menangani lalu lintas dari jaringan lain, konfigurasikan akun penyimpanan untuk memungkinkan lalu lintas masuk yang berasal dari jaringan/internet yang relevan.

Koordinasikan versi TLS antara agen dan akun penyimpanan. Kami menyarankan agar Anda mengirim data ke Log Azure Monitor dengan menggunakan TLS 1.2 atau yang lebih tinggi. Tinjau panduan khusus platform. Jika perlu, konfigurasikan agen Anda untuk menggunakan TLS. Jika tidak memungkinkan, konfigurasikan akun penyimpanan untuk menerima TLS 1.0.

Enkripsi data kunci yang dikelola pelanggan

Azure Storage mengenkripsi semua data tidak aktif di akun penyimpanan. Secara default, ia menggunakan kunci yang dikelola Microsoft (MMK) untuk mengenkripsi data. Namun, Azure Storage juga memungkinkan Anda menggunakan kunci yang dikelola pelanggan (CMK) dari Azure Key Vault untuk mengenkripsi data penyimpanan Anda. Anda dapat mengimpor kunci Anda sendiri ke Key Vault atau menggunakan API Key Vault untuk menghasilkan kunci.

Skenario CMK yang memerlukan akun penyimpanan yang dikelola pelanggan

Akun penyimpanan yang dikelola pelanggan diperlukan untuk:

  • Mengenkripsi kueri pemberitahuan log dengan CMK.
  • Mengenkripsi kueri yang disimpan dengan CMK.

Menerapkan CMK ke akun penyimpanan yang dikelola pelanggan

Ikuti panduan ini untuk menerapkan CMK ke akun penyimpanan yang dikelola pelanggan.

Persyaratan akun penyimpanan

Akun penyimpanan dan brankas kunci harus berada di wilayah yang sama, tetapi mereka juga dapat berada di langganan yang berbeda. Untuk informasi selengkapnya tentang enkripsi Azure Storage dan manajemen kunci, lihat Enkripsi Microsoft Azure Storage untuk data tidak aktif.

Menerapkan CMK ke akun penyimpanan Anda

Untuk mengonfigurasi akun Azure Storage Anda untuk menggunakan CMK dengan Key Vault, gunakan portal Azure, PowerShell, atau Azure CLI.

Catatan

  • Saat menautkan Akun Penyimpanan untuk kueri, kueri yang disimpan yang ada di ruang kerja dihapus secara permanen untuk privasi. Anda bisa menyalin kueri yang sudah disimpan sebelum tautan penyimpanan menggunakan PowerShell.
  • Kueri yang disimpan dalam paket kueri tidak dienkripsi dengan kunci yang dikelola Pelanggan. Pilih Simpan sebagai kueri Warisan saat menyimpan kueri sebagai gantinya, untuk melindunginya dengan kunci yang dikelola pelanggan.
  • Kueri yang disimpan disimpan dalam penyimpanan tabel dan dienkripsi dengan kunci yang dikelola Pelanggan saat enkripsi dikonfigurasi pada pembuatan Akun Penyimpanan.
  • Pemberitahuan pencarian log disimpan dalam penyimpanan blob di mana konfigurasi enkripsi kunci yang dikelola pelanggan dapat berada di pembuatan Akun Penyimpanan, atau yang lebih baru.
  • Anda dapat menggunakan satu Akun Penyimpanan untuk semua tujuan, kueri, pemberitahuan, log kustom, dan log IIS. Menautkan penyimpanan untuk log kustom dan log IIS mungkin memerlukan lebih banyak Akun Penyimpanan untuk skala, tergantung pada tingkat penyerapan dan batas penyimpanan. Anda dapat menautkan hingga lima Akun Penyimpanan ke ruang kerja.

Menggunakan portal Azure

Pada portal Azure, buka menu ruang kerja Anda dan pilih Akun penyimpanan tertaut. Panel memperlihatkan akun penyimpanan tertaut berdasarkan kasus penggunaan yang disebutkan sebelumnya (penyerapan melalui Private Link, menerapkan CMK ke kueri yang disimpan atau ke pemberitahuan).

Cuplikan layar yang memperlihatkan panel Akun penyimpanan tertaut.

Memilih item pada tabel akan membuka detail akun penyimpanannya, tempat Anda dapat mengatur atau memperbarui akun penyimpanan tertaut untuk jenis ini.

Cuplikan layar yang memperlihatkan panel Tautkan akun penyimpanan. Anda dapat menggunakan akun yang sama untuk kasus penggunaan yang berbeda jika mau.

Menggunakan Azure CLI atau REST API

Anda juga dapat menautkan akun penyimpanan ke ruang kerja Anda melalui Azure CLI atau REST API.

Nilai yang berlaku dataSourceType adalah:

  • CustomLogs: Untuk menggunakan akun penyimpanan untuk log kustom dan penyerapan log IIS.
  • Query: Untuk menggunakan akun penyimpanan untuk menyimpan kueri yang disimpan (diperlukan untuk enkripsi CMK).
  • Alerts: Untuk menggunakan akun penyimpanan untuk menyimpan pemberitahuan berbasis log (diperlukan untuk enkripsi CMK).

Mengelola akun penyimpanan tertaut

Ikuti panduan ini untuk mengelola akun penyimpanan tertaut Anda.

Saat Anda menautkan akun penyimpanan ke ruang kerja, Log Azure Monitor mulai menggunakannya alih-alih akun penyimpanan yang dimiliki oleh layanan. Anda dapat:

  • Daftarkan beberapa akun penyimpanan untuk menyebarkan beban log di antara mereka.
  • Gunakan kembali akun penyimpanan yang sama untuk beberapa ruang kerja.

Untuk berhenti menggunakan akun penyimpanan, batalkan tautan penyimpanan dari ruang kerja. Saat Anda membatalkan tautan semua akun penyimpanan dari ruang kerja, Log Azure Monitor menggunakan akun penyimpanan yang dikelola layanan. Jika jaringan Anda memiliki akses terbatas ke internet, akun penyimpanan ini mungkin tidak tersedia dan skenario apa pun yang bergantung pada penyimpanan akan gagal.

Mengganti akun penyimpanan

Untuk mengganti akun penyimpanan yang digunakan untuk penyerapan:

  1. Buat tautan ke akun penyimpanan baru. Agen pengelogan akan mendapatkan konfigurasi yang diperbarui dan mulai mengirim data ke penyimpanan baru. Prosesnya bisa memakan waktu beberapa menit.
  2. Batalkan tautan akun penyimpanan lama sehingga agen akan berhenti menulis ke akun yang dihapus. Proses penyerapan terus membaca data dari akun ini sampai semuanya terserap. Jangan hapus akun penyimpanan sampai Anda melihat bahwa semua log diserap.

Pertahankan akun penyimpanan

Ikuti panduan ini untuk mempertahankan akun penyimpanan Anda.

Kelola retensi log

Saat Anda menggunakan akun penyimpanan Anda sendiri, retensi terserah Anda. Log Azure Monitor tidak menghapus log yang disimpan di penyimpanan privat Anda. Sebagai gantinya, Anda harus menyiapkan kebijakan untuk menangani beban sesuai dengan preferensi Anda.

Pertimbangkan muatan

Akun penyimpanan dapat menangani beban permintaan baca dan tulis tertentu sebelum mereka mulai membatasi permintaan. Untuk informasi selengkapnya, lihat Skalabilitas dan target performa untuk Azure Blob Storage.

Pembatasan memengaruhi waktu yang diperlukan untuk menelan log. Jika akun penyimpanan Anda kelebihan beban, daftarkan akun penyimpanan lain untuk menyebarkan beban di antara mereka. Untuk memantau kapasitas dan performa akun penyimpanan Anda, tinjau Wawasannya di portal Azure.

Anda dikenakan biaya untuk akun penyimpanan berdasarkan volume data yang disimpan, jenis penyimpanan, dan jenis redundansi. Untuk informasi selengkapnya, lihat Harga blob blok dan harga Azure Table Storage.

Langkah berikutnya