Impostazioni di diagnostica in Monitoraggio di Azure
Questo articolo fornisce informazioni dettagliate sulla creazione e la configurazione delle impostazioni di diagnostica per inviare le metriche della piattaforma Azure, i log delle risorse e i log attività a destinazioni diverse.
Ogni risorsa di Azure richiede una propria impostazione di diagnostica, che definisce i criteri seguenti:
- Origini: tipo di dati delle metriche e dei log da inviare alle destinazioni definite nell'impostazione. I tipi disponibili variano in base al tipo di risorsa.
- Destinazioni: una o più destinazioni a cui inviare i dati.
Una singola impostazione di diagnostica può definire al massimo una destinazione di ogni tipo. Se si vogliono inviare i dati a più di un tipo di destinazione specifico (ad esempio, due aree di lavoro Log Analytics diverse), creare più impostazioni. Ogni risorsa può avere fino a cinque impostazioni di diagnostica.
Avviso
Se è necessario eliminare, rinominare o spostare una risorsa oppure eseguirne la migrazione tra gruppi di risorse o sottoscrizioni, eliminare innanzitutto le impostazioni di diagnostica. In caso contrario, se si ricrea questa risorsa, le impostazioni di diagnostica della risorsa eliminata potrebbero essere incluse nella nuova risorsa, a seconda della configurazione di ciascuna. Se le impostazioni di diagnostica sono incluse nella nuova risorsa, viene ripresa la raccolta dei log delle risorse come definita nell'impostazione di diagnostica e i dati delle metriche e dei log applicabili alla destinazione configurata in precedenza.
Inoltre, è consigliabile eliminare le impostazioni di diagnostica per una risorsa che si intende eliminare e non pianificarne di nuovo l'uso per mantenere pulito l'ambiente.
Il video seguente spiega come instradare i log della piattaforma di una risorsa con le impostazioni di diagnostica. Il video è stato realizzato in un momento precedente. Tenere presente le modifiche seguenti:
- Sono ora disponibili quattro destinazioni. È possibile inviare metriche e log della piattaforma a determinati partner di Monitoraggio di Azure.
- Una nuova funzionalità, denominata gruppi di categorie, è stata introdotta nel novembre 2021.
Le informazioni su queste funzionalità più recenti sono incluse in questo articolo.
Origini
Esistono tre origini per le informazioni di diagnostica:
- Le metriche della piattaforma vengono inviate automaticamente alle metriche di Monitoraggio di Azure per impostazione predefinita, senza necessità di configurazione. Per altre informazioni sulle metriche supportate, vedere Metriche supportate con Monitoraggio di Azure
- I log della piattaforma offrono informazioni di diagnostica e controllo dettagliate per le risorse di Azure e la piattaforma Azure da cui dipendono.
- I log delle risorse non vengono raccolti finché non vengono indirizzati a una destinazione. Per altre informazioni sui log supportati, vedere Categorie di log delle risorse supportate per Monitoraggio di Azure
- Il log attività fornisce informazioni sulle risorse dall'esterno della risorsa, ad esempio su quando la risorsa è stata creata o eliminata. Le voci esistono autonomamente, ma possono essere instradate ad altre posizioni.
Metrica di
L'impostazione AllMetrics instrada le metriche della piattaforma di una risorsa ad altre destinazioni. Questa opzione potrebbe non essere presente per tutti i provider di risorse.
Log risorse
Con i log delle risorse è possibile selezionare le categorie di log da instradare singolarmente o scegliere un gruppo di categorie.
Gruppi di categorie
Nota
I gruppi di categorie non si applicano a tutti i provider di risorse delle metriche. Se un provider non prevede tali gruppi nelle impostazioni di diagnostica nel portale di Azure, non saranno disponibili nemmeno tramite i modelli di Azure Resource Manager.
È possibile usare i gruppi di categorie per raccogliere dinamicamente i log delle risorse in base a raggruppamenti predefiniti anziché selezionare singole categorie di log. Microsoft definisce i raggruppamenti per facilitare il monitoraggio di casi d'uso specifici per tutti i servizi di Azure. Nel corso del tempo, le categorie nel gruppo potrebbero essere aggiornate man mano che vengono implementati nuovi log o quando cambiano le valutazioni. Quando le categorie di log vengono aggiunte o rimosse da un gruppo di categorie, la raccolta di log viene modificata automaticamente, senza dover aggiornare le impostazioni di diagnostica.
Quando si usano i gruppi di categorie:
- Non è più possibile selezionare singolarmente i log delle risorse in base ai singoli tipi di categoria.
- Non è più possibile applicare le impostazioni di conservazione ai log inviati ad Archiviazione di Azure.
Attualmente sono disponibili due gruppi di categorie:
- Tutti: ogni log delle risorse offerto dalla risorsa.
- Audit: tutti i log delle risorse che registrano le interazioni dei clienti con i dati o le impostazioni del servizio. I log di controllo sono un tentativo da parte di ogni provider di risorse di fornire i dati di controllo più rilevanti, ma potrebbero non essere considerati sufficienti ai fini degli standard di controllo a seconda del caso d'uso. Come specificato in precedenza, i dati raccolti sono dinamici e Microsoft può modificarli nel tempo man mano che si rendono disponibili nuove categorie di log delle risorse.
Il gruppo di categorie "Audit" è un subset del gruppo di categorie "Tutti" sebbene il portale di Azure e l'API REST li considerano impostazioni separate. La selezione del gruppo di categorie “Tutti” raccoglie tutti i log di controllo anche nel caso sia selezionato il gruppo di categorie “Audit”.
L'immagine seguente mostra i gruppi di categorie di log visualizzati nella pagina Aggiungi impostazioni di diagnostica.
Nota
L'abilitazione di Audit per il database SQL di Azure non abilita il controllo per tale database. Per abilitare il controllo del database, è necessario abilitarlo dal pannello di controllo per Database di Azure.
Log attività
Vedere la sezione Impostazioni del log attività.
Destinazioni
È possibile inviare i log e le metriche della piattaforma alle destinazioni elencate nella tabella seguente.
Per garantire la sicurezza dei dati in transito, tutti gli endpoint di destinazione sono configurati per supportare TLS 1.2.
| Destinazione | Descrizione |
|---|---|
| area di lavoro Log Analytics | Le metriche vengono convertite nel modulo di log. Questa opzione potrebbe non essere disponibile per tutti i tipi di risorse. L'invio di tali metriche all'archivio dei log di Monitoraggio di Azure(ricercabile tramite log Analitica) consente di integrarle in query, avvisi e visualizzazioni con i dati di log esistenti. |
| account di archiviazione di Azure | È utile archiviare i log e le metriche in un account di archiviazione a scopo di controllo, analisi statica o backup. Rispetto ai log di Monitoraggio di Azure e a un'area di lavoro Log Analytics, questa archiviazione è meno costosa e permette di conservare i log per un periodo illimitato. |
| Hub eventi di Azure | Quando si inviano i log e le metriche a Hub eventi, è possibile trasmettere i dati a sistemi esterni, ad esempio SIEM di terze parti e altre soluzioni di analisi dei log. |
| Soluzioni dei partner di Monitoraggio di Azure | È possibile eseguire integrazioni specializzate tra Monitoraggio di Azure e altre piattaforme di monitoraggio non Microsoft. L'integrazione è utile quando si usa già uno dei partner. |
Impostazioni del log attività
Il log attività usa un'impostazione di diagnostica ma dispone una propria interfaccia utente perché si applica all'intera sottoscrizione anziché alle singole risorse. Le informazioni di destinazione elencate di seguito sono ancora valide. Per altre informazioni, vedere la Log attività di Azure.
Requisiti e limitazioni
In questa sezione vengono illustrati i requisiti e le limitazioni.
Il tempo prima che i dati di telemetria arrivino alla destinazione
Dopo aver configurato un'impostazione di diagnostica, i dati devono iniziare a passare alle destinazioni selezionate entro 90 minuti. Quando si inviano log a un'area di lavoro Log Analytics, viene automaticamente creata la tabella se non esiste già. La tabella viene creata solo dopo la ricezione dei primi record del log. Se non si ottengono informazioni entro 24 ore, è possibile che si sia verificato uno dei problemi seguenti:
- Non vengono generati log.
- Si è verificato un errore nel meccanismo di routing sottostante.
Se si verifica un problema, è possibile provare a disabilitare la configurazione e poi riabilitarla. Se continuano a verificarsi problemi, contattare il supporto tecnico di Azure tramite il portale di Azure.
Metriche come origine
Sono previste alcune limitazioni per l'esportazione delle metriche:
- L'invio di metriche multidimensionali tramite le impostazioni di diagnostica non è attualmente supportato. Le metriche con dimensioni vengono esportate come metriche a singola dimensione di tipo flat e aggregate tra i valori di dimensione. Ad esempio, la metrica IOReadBytes su una blockchain può essere esaminata e tracciata a livello di nodo. Tuttavia, quando la metrica viene esportata tramite le impostazioni di diagnostica, tale metrica mostra tutti i byte letti per tutti i nodi.
- Non è possibile esportare tutte le metriche con le impostazioni di diagnostica. A causa di limitazioni interne, non è possibile esportare tutte le metriche nei log di Monitoraggio di Azure o in Log Analytics. Per altre informazioni, vedere la colonna Esportabile nell'elenco delle metriche supportate.
Per aggirare queste limitazioni relative a metriche specifiche, è possibile estrarle manualmente usando l'API REST Metriche. È quindi possibile importarle nei log di Monitoraggio di Azure usando l'API dell'agente di raccolta dati di Monitoraggio di Azure.
Limitazioni di destinazione
Prima di creare le impostazioni di diagnostica, è necessario creare tutte le destinazioni per l'impostazione di diagnostica. La destinazione non deve trovarsi nella stessa sottoscrizione della risorsa che invia i log se l’utente che configura l'impostazione ha un accesso basato su Controllo degli accessi in base al ruolo di Azure appropriato a entrambe le sottoscrizioni. Se si usa Azure Lighthouse, è anche possibile inviare le impostazioni di diagnostica a un'area di lavoro, un account di archiviazione o un Hub eventi in un altro tenant di Microsoft Entra.
La tabella seguente fornisce requisiti univoci per ogni destinazione, incluse eventuali restrizioni a livello di area.
| Destinazione | Requisiti |
|---|---|
| area di lavoro Log Analytics | L’area di lavoro non deve risiedere nella stessa area della risorsa monitorata. |
| Account di archiviazione | Non usare un account di archiviazione esistente con altri dati archiviati non monitorati. La suddivisione dei tipi di dati consente di controllare meglio l'accesso ai dati. Se si archiviano il log attività e i log delle risorse insieme, è possibile scegliere di usare lo stesso account di archiviazione per mantenere tutti i dati di monitoraggio in una posizione centrale. Per impedire la modifica dei dati, inviarli a una risorsa di archiviazione non modificabile. Impostare il criterio non modificabile per l'account di archiviazione come descritto in Impostare e gestire i criteri di immutabilità per Archiviazione BLOB di Azure. È necessario seguire tutti i passaggi descritti in questo articolo collegato, inclusa l'abilitazione delle scritture di BLOB di accodamento protetti. L'account di archiviazione deve risiedere nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli account di archiviazione sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Gli endpoint della zona DNS di Azure (anteprima) e gli account di archiviazionePremium LRS di Azure (archiviazione con ridondanza locale) non sono supportati come destinazione di un log o una metrica. |
| Hub eventi | Il criterio di accesso condiviso per lo spazio dei nomi definisce le autorizzazioni per il meccanismo di trasmissione. Attualmente la trasmissione a Hub eventi richiede autorizzazioni di gestione, invio e attesa. Per aggiornare l’impostazione di diagnostica in modo da includere la trasmissione, il client deve disporre dell'autorizzazione ListKey per la regola di autorizzazione di Hub eventi. Lo spazio dei nomi di Hub eventi deve risiedere nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere alle risorse di Hub eventi quando sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli hub eventi in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso alle risorse di Hub eventi. |
| Soluzioni partner | Le soluzioni variano in base al partner. Per informazioni dettagliate, vedere la documentazione di Servizi ISV nativi di Azure. |
Log di diagnostica per Application Insights
Per archiviare i log di diagnostica per Application Insights in un'area di lavoro Log Analytics, non inviare i log alla stessa area di lavoro su cui si basa la risorsa di Application Insights. Questa configurazione può causare la visualizzazione di dati di telemetria duplicati perché questi dati vengono già archiviati da Application Insights. Inviare i log di Application Insights a un'area di lavoro Log Analytics diversa.
Quando si inviano i log di Application Insights a un'area di lavoro diversa, tenere presente che Application Insights accede ai dati di telemetria tra le risorse di Application Insights, che includono più aree di lavoro Log Analytics. Limitare l'accesso dell'utente di Application Insights solo all'area di lavoro Log Analytics collegata alla risorsa di Application Insights. Impostare la modalità di controllo degli accessi su Richiede le autorizzazioni dell'area di lavoro e gestire le autorizzazioni tramite il controllo degli accessi in base al ruolo per verificare che solo Application Insights abbia accesso all’area di lavoro Log Analytics su cui è basata la risorsa di Application Insights.
Controllo dei costi
È previsto un costo per la raccolta di dati in un'area di lavoro Log Analytics, quindi è consigliabile raccogliere solo le categorie necessarie per ogni servizio. Il volume di dati per i log delle risorse varia in modo significativo a seconda del servizio.
È anche possibile scegliere di non raccogliere le metriche della piattaforma dalle risorse di Azure perché questi dati vengono già raccolti in Metriche. Configurare i dati di diagnostica in modo che raccolgano le metriche solo se sono necessari dati delle metriche nell'area di lavoro per un'analisi più complessa con query di log. Le impostazioni di diagnostica non consentono il filtraggio granulare dei log delle risorse.
Suggerimento
Per le strategie per ridurre i costi di Monitoraggio di Azure, vedere Ottimizzazione dei costi e Monitoraggio di Azure.
Passaggi successivi
- Creare impostazioni di diagnostica per le metriche e i log della piattaforma di Monitoraggio di Azure
- Eseguire la migrazione della conservazione dell'archiviazione delle impostazioni di diagnostica alla gestione del ciclo di vita di Archiviazione di Azure
- Altre informazioni sui log della piattaforma di Azure