Impostazioni di diagnostica in Monitoraggio di Azure
Questo articolo fornisce informazioni dettagliate sulla creazione e la configurazione delle impostazioni di diagnostica per inviare metriche della piattaforma Azure, log delle risorse e log attività a destinazioni diverse.
Ogni risorsa di Azure richiede una propria impostazione di diagnostica, che definisce i criteri seguenti:
- Origini: tipo di dati di metrica e di log da inviare alle destinazioni definite nell'impostazione. I tipi disponibili variano in base al tipo di risorsa.
- Destinazioni: una o più destinazioni a cui inviare.
Una singola impostazione di diagnostica può definire al massimo una destinazione di ogni tipo. Se si vogliono inviare i dati a più di un tipo di destinazione specifico (ad esempio, due aree di lavoro Log Analytics diverse), creare più impostazioni. Ogni risorsa può avere fino a cinque impostazioni di diagnostica.
Avviso
Se è necessario eliminare una risorsa, rinominare o spostare una risorsa oppure eseguirne la migrazione tra gruppi di risorse o sottoscrizioni, eliminare prima le impostazioni di diagnostica. In caso contrario, se si ricrea questa risorsa, le impostazioni di diagnostica per la risorsa eliminata potrebbero essere incluse nella nuova risorsa, a seconda della configurazione della risorsa per ogni risorsa. Se le impostazioni di diagnostica sono incluse nella nuova risorsa, viene ripresa la raccolta di log delle risorse come definito nell'impostazione di diagnostica e i dati delle metriche e dei log applicabili alla destinazione configurata in precedenza.
Inoltre, è consigliabile eliminare le impostazioni di diagnostica per una risorsa che si intende eliminare e non pianificare di nuovo l'uso per mantenere pulito l'ambiente.
Il video seguente illustra il routing dei log della piattaforma delle risorse con le impostazioni di diagnostica. Il video è stato fatto in un momento precedente. Tenere presente le modifiche seguenti:
- Ci sono ora quattro destinazioni. È possibile inviare metriche e log della piattaforma a determinati partner di Monitoraggio di Azure.
- Una nuova funzionalità denominata gruppi di categorie è stata introdotta a novembre 2021.
Le informazioni su queste funzionalità più recenti sono incluse in questo articolo.
Origini
Esistono tre origini per le informazioni di diagnostica:
- Le metriche della piattaforma vengono inviate automaticamente alle metriche di Monitoraggio di Azure per impostazione predefinita e senza configurazione.
- Log della piattaforma: forniscono informazioni dettagliate di diagnostica e controllo per le risorse di Azure e la piattaforma Azure da cui dipendono.
- I log delle risorse non vengono raccolti finché non vengono indirizzati a una destinazione.
- Il log attività fornisce informazioni sulle risorse dall'esterno della risorsa, ad esempio quando la risorsa è stata creata o eliminata. Le voci esistono autonomamente, ma possono essere instradate ad altre posizioni.
Metrica
L'impostazione AllMetrics indirizza le metriche della piattaforma di una risorsa ad altre destinazioni. Questa opzione potrebbe non essere presente per tutti i provider di risorse.
Log risorse
Con i log delle risorse è possibile selezionare le categorie di log da instradare singolarmente o scegliere un gruppo di categorie.
Gruppi di categorie
Nota
I gruppi di categorie non si applicano a tutti i provider di risorse delle metriche. Se un provider non li ha disponibili nelle impostazioni di diagnostica nel portale di Azure, non saranno disponibili anche tramite i modelli di Azure Resource Manager.
È possibile usare i gruppi di categorie per raccogliere dinamicamente i log delle risorse in base a raggruppamenti predefiniti anziché selezionare singole categorie di log. Microsoft definisce i raggruppamenti per facilitare il monitoraggio di casi d'uso specifici per tutti i servizi di Azure. Nel corso del tempo, le categorie nel gruppo potrebbero essere aggiornate man mano che vengono implementati nuovi log o quando cambiano le valutazioni. Quando le categorie di log vengono aggiunte o rimosse da un gruppo di categorie, la raccolta di log viene modificata automaticamente senza dover aggiornare le impostazioni di diagnostica.
Quando si usano gruppi di categorie, è possibile:
- Non è più possibile selezionare singolarmente i log delle risorse in base ai singoli tipi di categoria.
- Non è più possibile applicare le impostazioni di conservazione ai log inviati a Archiviazione di Azure.
Attualmente sono disponibili due gruppi di categorie:
- Tutto: ogni log delle risorse offerto dalla risorsa.
- Controllo: tutti i log delle risorse che registrano le interazioni con i clienti con i dati o le impostazioni del servizio. I log di controllo sono un tentativo da parte di ogni provider di risorse di fornire i dati di controllo più rilevanti, ma potrebbero non essere considerati sufficienti dal punto di vista degli standard di controllo a seconda del caso d'uso. Come accennato in precedenza, ciò che viene raccolto è dinamico e Microsoft può modificarlo nel tempo man mano che diventano disponibili nuove categorie di log delle risorse.
Il gruppo di categorie "Audit" è un subset del gruppo di categorie "Tutti", ma l'API REST e portale di Azure considerano le impostazioni separate. Se si seleziona il gruppo di categorie "All" vengono raccolti tutti i log di controllo anche se è selezionato anche il gruppo di categorie "Audit".
L'immagine seguente mostra i gruppi di categorie di log nella pagina Aggiungi impostazioni di diagnostica.
Nota
L'abilitazione di Audit per database SQL di Azure non abilita il controllo per database SQL di Azure. Per abilitare il controllo del database, è necessario abilitarlo dal pannello di controllo per Database di Azure.
Log attività
Vedere la sezione Impostazioni log attività.
Destinazioni
I log e le metriche della piattaforma possono essere inviati alle destinazioni elencate nella tabella seguente.
Per garantire la sicurezza dei dati in transito, tutti gli endpoint di destinazione sono configurati per supportare TLS 1.2.
| Destinazione | Descrizione |
|---|---|
| area di lavoro Log Analytics | Le metriche vengono convertite nel modulo di log. Questa opzione potrebbe non essere disponibile per tutti i tipi di risorse. L'invio all'archivio dei log di Monitoraggio di Azure (disponibile per la ricerca tramite Log Analytics) consente di integrarli in query, avvisi e visualizzazioni con i dati di log esistenti. |
| account di archiviazione di Azure | L'archiviazione di log e metriche in un account Archiviazione è utile per il controllo, l'analisi statica o il backup. Rispetto all'uso dei log di Monitoraggio di Azure o di un'area di lavoro Log Analytics, Archiviazione è meno costoso e i log possono essere mantenuti a tempo indeterminato. |
| Hub eventi di Azure | Quando si inviano log e metriche a Hub eventi, è possibile trasmettere dati a sistemi esterni, ad esempio SIEM di terze parti e altre soluzioni di Log Analytics. |
| Soluzioni partner di Monitoraggio di Azure | È possibile eseguire integrazioni specializzate tra Monitoraggio di Azure e altre piattaforme di monitoraggio non Microsoft. L'integrazione è utile quando si usa già uno dei partner. |
Impostazioni del log attività
Il log attività usa un'impostazione di diagnostica ma ha una propria interfaccia utente perché si applica all'intera sottoscrizione anziché alle singole risorse. Le informazioni di destinazione elencate di seguito sono ancora valide. Per altre informazioni, vedere Log attività di Azure.
Requisiti e limitazioni
In questa sezione vengono illustrati i requisiti e le limitazioni.
Tempo prima che i dati di telemetria arrivino alla destinazione
Dopo aver configurato un'impostazione di diagnostica, i dati devono iniziare a passare alle destinazioni selezionate entro 90 minuti. Quando si inviano log a un'area di lavoro Log Analytics, la tabella viene creata automaticamente se non esiste già. La tabella viene creata solo quando vengono ricevuti i primi record di log. Se non si ottengono informazioni entro 24 ore, è possibile che si verifichi uno dei problemi seguenti:
- Non vengono generati log.
- Si è verificato un errore nel meccanismo di routing sottostante.
Se si verifica un problema, è possibile provare a disabilitare la configurazione e quindi ripetere l'operazione. Se si continuano a verificarsi problemi, contattare supporto tecnico di Azure tramite il portale di Azure.
Metriche come origine
Esistono alcune limitazioni per l'esportazione delle metriche:
- L'invio di metriche multidimensionali tramite le impostazioni di diagnostica non è attualmente supportato. Le metriche con dimensioni vengono esportate come metriche bidimensionali bidimensionali, aggregate tra i valori delle dimensioni. Ad esempio, la metrica IOReadBytes in una blockchain può essere esaminata e tracciata in base a un livello per nodo. Tuttavia, quando viene esportata tramite le impostazioni di diagnostica, la metrica esportata mostra tutti i byte di lettura per tutti i nodi.
- Non tutte le metriche sono esportabili con le impostazioni di diagnostica. A causa delle limitazioni interne, non tutte le metriche sono esportabili nei log di Monitoraggio di Azure o in Log Analytics. Per altre informazioni, vedere la colonna Esportabile nell'elenco delle metriche supportate.
Per aggirare queste limitazioni per metriche specifiche, è possibile estrarle manualmente usando l'API REST metrica. È quindi possibile importarli nei log di Monitoraggio di Azure usando l'API dell'agente di raccolta dati di Monitoraggio di Azure.
Limitazioni di destinazione
Prima di creare le impostazioni di diagnostica, è necessario creare tutte le destinazioni per l'impostazione di diagnostica. La destinazione non deve trovarsi nella stessa sottoscrizione della risorsa che invia i log se l'utente che configura l'impostazione ha l'accesso appropriato al controllo degli accessi in base al ruolo di Azure a entrambe le sottoscrizioni. Usando Azure Lighthouse, è anche possibile che le impostazioni di diagnostica siano inviate a un'area di lavoro, un account di archiviazione o un hub eventi in un altro tenant di Microsoft Entra.
La tabella seguente fornisce requisiti univoci per ogni destinazione, incluse eventuali restrizioni internazionali.
| Destinazione | Requisiti |
|---|---|
| Area di lavoro Log Analytics | L'area di lavoro non deve trovarsi nella stessa area della risorsa monitorata. |
| Account di archiviazione | Non usare un account di archiviazione esistente con altri dati non monitorati archiviati. La suddivisione dei tipi di dati consente di controllare meglio l'accesso ai dati. Se si archivia il log attività e i log delle risorse insieme, è possibile scegliere di usare lo stesso account di archiviazione per mantenere tutti i dati di monitoraggio in una posizione centrale. Per impedire la modifica dei dati, inviarli all'archiviazione non modificabile. Impostare i criteri non modificabili per l'account di archiviazione come descritto in Impostare e gestire i criteri di immutabilità per Archiviazione BLOB di Azure. È necessario seguire tutti i passaggi descritti in questo articolo collegato, inclusa l'abilitazione delle scritture di BLOB di accodamento protetti. L'account di archiviazione deve trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli account di archiviazione quando sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Gli endpoint della zona DNS di Azure (anteprima) e gli account di archiviazione di Archiviazione con ridondanza locale (archiviazione con ridondanza locale) di Azure non sono supportati come destinazione log o metrica. |
| Hub eventi di | I criteri di accesso condiviso per lo spazio dei nomi definiscono le autorizzazioni di cui dispone il meccanismo di streaming. Lo streaming in Hub eventi richiede autorizzazioni di gestione, invio e ascolto. Per aggiornare l'impostazione di diagnostica per includere lo streaming, è necessario disporre dell'autorizzazione ListKey per tale regola di autorizzazione di Hub eventi. Lo spazio dei nomi dell'hub eventi deve trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere alle risorse di Hub eventi quando sono abilitate le reti virtuali. È necessario abilitare Consenti alle servizi Microsoft attendibili di ignorare questa impostazione del firewall in Hub eventi in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso alle risorse di Hub eventi. |
| Soluzioni partner | Le soluzioni variano in base al partner. Per informazioni dettagliate, vedere la documentazione di Servizi ISV nativi di Azure. |
Attenzione
Se si vogliono archiviare i log di diagnostica in un'area di lavoro Log Analytics, è consigliabile evitare di visualizzare dati duplicati in Application Insights:
- L'area di lavoro di destinazione non può essere la stessa area di lavoro Log Analytics su cui si basa la risorsa di Application Insights.
- L'utente di Application Insights non può avere accesso a entrambe le aree di lavoro. Impostare la modalità di controllo di accesso di Log Analytics sulle autorizzazioni Richiede area di lavoro. Tramite il controllo degli accessi in base al ruolo di Azure, assicurarsi che l'utente abbia accesso solo all'area di lavoro Log Analytics su cui si basa la risorsa Application Insights.
Questi passaggi sono necessari perché Application Insights accede ai dati di telemetria tra le proprie risorse (incluse le aree di lavoro Log Analytics) per fornire operazioni di transazione end-to-end complete e mappe accurate delle applicazioni. Poiché i log di diagnostica usano gli stessi nomi di tabella, è possibile che siano presenti dati di telemetria duplicati se l'utente ha accesso a più risorse contenenti gli stessi dati.
Controllo dei costi
È previsto un costo per la raccolta di dati in un'area di lavoro Log Analytics, quindi raccogliere solo le categorie necessarie per ogni servizio. Il volume di dati per i log delle risorse varia in modo significativo tra i servizi.
È anche possibile non raccogliere metriche della piattaforma dalle risorse di Azure perché questi dati sono già raccolti in Metriche. Configurare i dati di diagnostica per raccogliere le metriche solo se sono necessari dati delle metriche nell'area di lavoro per un'analisi più complessa con query di log. Le impostazioni di diagnostica non consentono il filtro granulare dei log delle risorse.
Suggerimento
Per strategie per ridurre i costi di Monitoraggio di Azure, vedere Ottimizzazione dei costi e Monitoraggio di Azure.
Passaggi successivi
- Creare impostazioni di diagnostica per le metriche e i log della piattaforma di Monitoraggio di Azure
- Eseguire la migrazione della conservazione dell'archiviazione delle impostazioni di diagnostica alla gestione del ciclo di vita Archiviazione di Azure
- Altre informazioni sui log della piattaforma Azure