Usare gli account di archiviazione gestiti dal cliente nei log di Monitoraggio di Azure

  • Articolo

I log di Monitoraggio di Azure si basano su Archiviazione di Azure in vari scenari. Monitoraggio di Azure gestisce in genere questo tipo di archiviazione automaticamente, ma alcuni casi richiedono di fornire e gestire il proprio account di archiviazione, noto anche come account di archiviazione gestito dal cliente. Questo articolo descrive i casi d'uso e i requisiti per configurare l'archiviazione gestita dal cliente per i log di Monitoraggio di Azure e spiega come collegare un account di archiviazione a un'area di lavoro Log Analytics.

Nota

È consigliabile non dipendere dal contenuto caricato dai log di Monitoraggio di Azure nell'archiviazione gestita dal cliente perché la formattazione e il contenuto potrebbero cambiare.

Gli account di archiviazione gestiti dal cliente vengono usati per inserire log personalizzati quando vengono usati collegamenti privati per connettersi alle risorse di Monitoraggio di Azure. Il processo di inserimento di questi tipi di dati carica prima i log in un account Archiviazione di Azure intermedio e li inserisce solo in un'area di lavoro.

Requisiti dell'area di lavoro

Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'agente di Monitoraggio di Azure può inviare i log solo alle aree di lavoro accessibili tramite un collegamento privato. Questo requisito significa che è necessario:

  • Configurare un oggetto AmpLS (Scope) di Monitoraggio di Azure collegamento privato.
  • Connessione alle aree di lavoro.
  • Connessione ampls alla rete tramite un collegamento privato.

Per altre informazioni sulla procedura di configurazione ampls, vedere Usare collegamento privato di Azure per connettere in modo sicuro le reti a Monitoraggio di Azure.

Requisiti dell'account di archiviazione

Affinché l'account di archiviazione si connetta al collegamento privato, deve:

  • Trovarsi nella rete virtuale o in una rete con peering e connettersi alla rete virtuale tramite un collegamento privato.

  • Trovarsi nella stessa area dell'area di lavoro a cui è collegato.

  • Consentire a Monitoraggio di Azure di accedere all'account di archiviazione. Per consentire solo a reti specifiche di accedere all'account di archiviazione, selezionare l'eccezione Consenti all'servizi Microsoft attendibile di accedere a questo account di archiviazione.

    Screenshot che mostra Archiviazione servizi Microsoft di attendibilità dell'account.

Se l'area di lavoro gestisce il traffico da altre reti, configurare l'account di archiviazione per consentire il traffico in ingresso proveniente dalle reti/Internet pertinenti.

Coordinare la versione TLS tra gli agenti e l'account di archiviazione. È consigliabile inviare dati ai log di Monitoraggio di Azure usando TLS 1.2 o versione successiva. Esaminare le linee guida specifiche della piattaforma. Se necessario, configurare gli agenti per l'uso di TLS. Se non è possibile, configurare l'account di archiviazione per accettare TLS 1.0.

Crittografia dei dati delle chiavi gestite dal cliente

Archiviazione di Azure crittografa tutti i dati inattivi in un account di archiviazione. Per impostazione predefinita, usa chiavi gestite da Microsoft per crittografare i dati. Tuttavia, Archiviazione di Azure consente anche di usare chiavi gestite dal cliente da Azure Key Vault per crittografare i dati di archiviazione. È possibile importare chiavi personalizzate in Key Vault o usare le API di Key Vault per generare le chiavi.

Scenari della chiave gestita dal cliente che richiedono un account di archiviazione gestito dal cliente

È necessario un account di archiviazione gestito dal cliente per:

  • Crittografia delle query di avviso per i log con i cmk.
  • Crittografia delle query salvate con i cmk.

Applicare i cmk agli account di archiviazione gestiti dal cliente

Seguire queste indicazioni per applicare i cmk agli account di archiviazione gestiti dal cliente.

Requisiti dell'account di archiviazione

L'account di archiviazione e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area, ma possono anche trovarsi in sottoscrizioni diverse. Per altre informazioni sulla crittografia e sulla gestione delle chiavi Archiviazione di Azure, vedere crittografia Archiviazione di Azure per i dati inattivi.

Applicare i cmk agli account di archiviazione

Per configurare l'account Archiviazione di Azure per l'uso di CHIAVI con Key Vault, usare il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Nota

  • Quando si collega Archiviazione account per la query, le query salvate esistenti nell'area di lavoro vengono eliminate in modo permanente per la privacy. È possibile copiare le query salvate esistenti prima del collegamento all'archiviazione usando PowerShell.
  • Le query salvate in Query Pack non vengono crittografate con la chiave gestita dal cliente. Selezionare Salva come query legacy durante il salvataggio delle query per proteggerle con la chiave gestita dal cliente.
  • Le query salvate vengono archiviate nell'archiviazione tabelle e crittografate con chiave gestita dal cliente quando la crittografia viene configurata in fase di creazione dell'account Archiviazione.
  • Gli avvisi di ricerca log vengono salvati nell'archivio BLOB in cui la configurazione della crittografia della chiave gestita dal cliente può essere Archiviazione creazione dell'account o versione successiva.
  • È possibile usare un singolo account Archiviazione per tutti gli scopi, eseguire query, avvisi, log personalizzati e log IIS. Il collegamento dell'archiviazione per i log personalizzati e i log IIS potrebbe richiedere più account Archiviazione per la scalabilità, a seconda della velocità di inserimento e dei limiti di archiviazione. È possibile collegare fino a cinque account Archiviazione a un'area di lavoro.

Usare il portale di Azure

Nel portale di Azure aprire il menu dell'area di lavoro e selezionare Account di archiviazione collegati. Un riquadro mostra gli account di archiviazione collegati in base ai casi d'uso indicati in precedenza (inserimento su collegamento privato, applicazione di chiavi CMK alle query salvate o agli avvisi).

Screenshot che mostra il riquadro Account di archiviazione collegati.

Se si seleziona un elemento nella tabella, vengono aperti i dettagli dell'account di archiviazione, in cui è possibile impostare o aggiornare l'account di archiviazione collegato per questo tipo.

Screenshot che mostra il riquadro Collega account di archiviazione. Se si preferisce, è possibile usare lo stesso account per casi d'uso diversi.

Usare l'interfaccia della riga di comando di Azure o l'API REST

È anche possibile collegare un account di archiviazione all'area di lavoro tramite l'interfaccia della riga di comando di Azure o l'API REST.

I valori applicabili dataSourceType sono:

  • CustomLogs: per usare l'account di archiviazione per i log personalizzati e l'inserimento dei log IIS.
  • Query: per usare l'account di archiviazione per archiviare le query salvate (necessarie per la crittografia cmk).
  • Alerts: per usare l'account di archiviazione per archiviare gli avvisi basati sui log (necessari per la crittografia cmk).

Gestire gli account di archiviazione collegati

Seguire queste indicazioni per gestire gli account di archiviazione collegati.

Quando si collega un account di archiviazione a un'area di lavoro, i log di Monitoraggio di Azure iniziano a usarlo anziché l'account di archiviazione di proprietà del servizio. È possibile:

  • Registrare più account di archiviazione per distribuire il carico dei log tra di essi.
  • Riutilizzare lo stesso account di archiviazione per più aree di lavoro.

Per interrompere l'uso di un account di archiviazione, scollegare l'archiviazione dall'area di lavoro. Quando si scollegano tutti gli account di archiviazione da un'area di lavoro, i log di Monitoraggio di Azure usano account di archiviazione gestiti dal servizio. Se la rete ha accesso limitato a Internet, questi account di archiviazione potrebbero non essere disponibili e qualsiasi scenario basato sull'archiviazione avrà esito negativo.

Sostituire un account di archiviazione

Per sostituire un account di archiviazione usato per l'inserimento:

  1. Creare un collegamento a un nuovo account di archiviazione. Gli agenti di registrazione otterranno la configurazione aggiornata e inizieranno a inviare i dati alla nuova risorsa di archiviazione. Il processo potrebbe richiedere alcuni minuti.
  2. Scollegare l'account di archiviazione precedente in modo che gli agenti interrompano la scrittura nell'account rimosso. Il processo di inserimento continua a leggere i dati da questo account fino a quando non vengono inseriti tutti. Non eliminare l'account di archiviazione finché non si noterà che tutti i log sono stati inseriti.

Gestire gli account di archiviazione

Seguire queste indicazioni per gestire gli account di archiviazione.

Gestire la conservazione dei log

Quando si usa il proprio account di archiviazione, la conservazione spetta all'utente. I log di Monitoraggio di Azure non eliminano i log archiviati nell'archiviazione privata. È invece necessario configurare un criterio per gestire il carico in base alle preferenze.

Prendere in considerazione il caricamento

Gli account di archiviazione possono gestire un determinato carico di richieste di lettura e scrittura prima di avviare la limitazione delle richieste. Per altre informazioni, vedere Obiettivi di scalabilità e prestazioni per Archiviazione BLOB di Azure.

La limitazione influisce sul tempo necessario per inserire i log. Se l'account di archiviazione è in overload, registrare un altro account di archiviazione per distribuire il carico tra di essi. Per monitorare la capacità e le prestazioni dell'account di archiviazione, esaminare le informazioni dettagliate nella portale di Azure.

Vengono addebitati gli account di archiviazione in base al volume di dati archiviati, al tipo di archiviazione e al tipo di ridondanza. Per altre informazioni, vedere Prezzi dei BLOB in blocchi e Prezzi di Tabelle di Azure Archiviazione.

Passaggi successivi