Impostazioni diagnostiche di Azure Monitor

È possibile usare le impostazioni di diagnostica in Monitoraggio di Azure per raccogliere i log delle risorse e inviare metriche della piattaforma e il log attività a varie destinazioni. Creare un'impostazione di diagnostica separata per ogni risorsa da cui raccogliere i dati. Ogni impostazione definisce i dati della risorsa a cui raccogliere e le destinazioni a cui inviare tali dati. Questo articolo descrive i dettagli delle impostazioni di diagnostica, tra cui come crearle e le destinazioni disponibili per l'invio di dati.

Il video seguente illustra i log della piattaforma delle risorse di routing con le impostazioni di diagnostica. Le modifiche seguenti sono state apportate alle impostazioni di diagnostica dal momento della registrazione del video, ma questi argomenti sono descritti in questo articolo.

Partner di Monitoraggio di Azure
Gruppi di categorie

Warning

Eliminare le impostazioni di diagnostica per una risorsa se si elimina o si rinomina tale risorsa oppure se la si esegue la migrazione tra gruppi di risorse o sottoscrizioni. Se l'impostazione di diagnostica non viene rimossa e questa risorsa viene ricreata, è possibile applicare le impostazioni di diagnostica per la risorsa eliminata a quella nuova. Per alcuni tipi di risorse, questa situazione riprende la raccolta di log delle risorse, come definito nell'impostazione di diagnostica.

Sources

Le impostazioni di diagnostica possono raccogliere dati dalle origini nella tabella seguente. Per informazioni dettagliate sui dati raccolti da ogni origine e sul relativo formato in ogni destinazione, vedere l'articolo collegato.

L'origine dei dati	Description
Metriche della piattaforma	Raccolta automatica senza configurazione. Usare un'impostazione di diagnostica per inviare metriche della piattaforma ad altre destinazioni.
Registro delle attività	Raccolta automatica senza configurazione. Usare un'impostazione di diagnostica per inviare voci dei log attività ad altre destinazioni.
Log delle risorse	Non vengono raccolti per impostazione predefinita. Creare un'impostazione di diagnostica per raccogliere i log delle risorse.

Destinations

Le impostazioni di diagnostica inviano dati alle destinazioni nella tabella seguente. Per garantire la sicurezza dei dati in transito, tutti gli endpoint di destinazione sono configurati per supportare TLS 1.2.

Una singola impostazione di diagnostica può definire non più di una di ogni destinazione. Se si desidera inviare dati a più di un tipo di destinazione specifico, ad esempio due aree di lavoro Log Analytics, creare più impostazioni. Ogni risorsa può avere fino a cinque impostazioni di diagnostica.

Tutte le destinazioni usate da un'impostazione di diagnostica devono esistere prima di poter creare l'impostazione. La destinazione non deve trovarsi nella stessa sottoscrizione della risorsa che invia i log se l'utente che configura l'impostazione ha l'accesso appropriato al controllo degli accessi in base al ruolo di Azure a entrambe le sottoscrizioni. Usare Azure Lighthouse per includere le destinazioni in un altro tenant di Microsoft Entra.

Destination	Description	Requirements
Area di lavoro Log Analytics	Recuperare i dati usando query di log e cartelle di lavoro. Usare gli avvisi del log per inviare avvisi proattivi sui dati. Per le tabelle usate da varie risorse di Azure, consultare il riferimento ai log delle risorse di Azure Monitor.	Tutte le tabelle in un'area di lavoro Log Analytics vengono create automaticamente quando i primi dati vengono inviati all'area di lavoro, quindi solo l'area di lavoro stessa deve esistere.
Account di archiviazione Azure	Archiviare per il controllo, l'analisi statica o il backup. L'archiviazione potrebbe essere meno costosa rispetto ad altre opzioni e può essere mantenuta a tempo indeterminato. Inviare dati a una risorsa di archiviazione non modificabile per impedirne la modifica. Impostare i criteri non modificabili per l'account di archiviazione come descritto in Configurare i criteri di immutabilità per le versioni blob.	Gli account di archiviazione devono trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli account di archiviazione quando le reti virtuali sono abilitate. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Gli endpoint della zona DNS di Azure (anteprima) e gli account di archiviazione Premium non sono supportati come destinazioni. Tutti gli account di archiviazione Standard sono supportati.
Hub eventi di Azure	Trasmettere dati a sistemi esterni, ad esempio soluzioni SIEM (Security Information and Event Management) non Microsoft e altre soluzioni di Log Analytics.	Gli hub eventi devono trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Non è possibile usare un hub eventi compattato perché richiede che il messaggio abbia una chiave di partizione, che Monitoraggio di Azure non include. Le impostazioni di diagnostica non possono accedere agli hub eventi quando sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli hub eventi in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso alle risorse dell'hub eventi. La politica di accesso condiviso per un namespace di Event Hubs definisce le autorizzazioni del sistema di streaming. Lo streaming in hub eventi richiede `Manage`, `Send` e `Listen` permessi. Per aggiornare l'impostazione di diagnostica per includere lo streaming, è necessario disporre dell'autorizzazione `ListKey` per tale regola di autorizzazione di Hub eventi.
Monitoraggio Azure delle soluzioni dei partner	Le integrazioni specializzate sono possibili tra Monitoraggio di Azure e altre piattaforme di monitoraggio non Microsoft. Le soluzioni variano in base al partner.	Per informazioni dettagliate, vedere la documentazione di Servizi ISV nativi di Azure.

Metodi per la creazione di un'impostazione di diagnostica

È possibile creare un'impostazione di diagnostica usando uno dei metodi seguenti.

Per creare un'impostazione di diagnostica per il log attività usando il portale di Azure, vedere Esportare il log attività. Per creare un'impostazione di diagnostica per un gruppo di gestione, vedere Impostazioni di diagnostica del gruppo di gestione.

Usare la procedura seguente per creare una nuova impostazione di diagnostica o per modificarne una esistente nel portale di Azure:

Nella sezione Monitoraggio del menu di una risorsa selezionare Impostazioni di diagnostica. In alternativa, nel menu Monitoraggio di Azure selezionare Impostazioni>di diagnostica. Selezionare quindi la risorsa.
Selezionare Aggiungi impostazione di diagnostica per aggiungere una nuova impostazione oppure selezionare Modifica impostazione per modificarne una esistente.

Se si desidera inviare a più destinazioni dello stesso tipo, potrebbero essere necessarie più impostazioni di diagnostica per una risorsa. L'esempio seguente mostra le impostazioni per una risorsa Key Vault, ma la schermata è simile per altre risorse.
Assegnare all'impostazione un nome descrittivo se non ne ha già uno.

Questo screenshot mostra un esempio di key vault. Altri tipi di risorse hanno diversi set di categorie.
Per Log scegliere un gruppo di categorie o selezionare le singole caselle di controllo per ogni categoria di dati da inviare alle destinazioni. L'elenco delle categorie varia per ogni servizio di Azure.
Per Metriche selezionare AllMetrics se si desidera raccogliere le metriche della piattaforma.
Per Dettagli destinazione selezionare la casella di controllo per ogni destinazione da includere nelle impostazioni di diagnostica. Specificare quindi i dettagli per ogni destinazione.

Se si seleziona un'area di lavoro Log Analytics come destinazione, potrebbe essere necessario specificare la modalità di raccolta. Per informazioni dettagliate, vedere Modalità raccolta.

Usare il cmdlet New-AzDiagnosticSetting per creare un'impostazione di diagnostica tramite Azure PowerShell. Per le descrizioni dei parametri, vedere la documentazione per questo cmdlet.

Important

Non è possibile usare questo metodo per un log attività. Creare invece un modello di Azure Resource Manager e distribuirlo usando PowerShell.

Lo script di PowerShell di esempio seguente crea un'impostazione di diagnostica per inviare tutti i log e le metriche per un Key Vault a un workspace di Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Usare il comando az monitor diagnostic-settings create per creare un'impostazione di diagnostica tramite l'interfaccia della riga di comando di Azure. Per le descrizioni dei parametri, vedere la documentazione per questo comando.

Important

Non è possibile usare questo metodo per un log attività. Creare invece un modello di Azure Resource Manager e distribuirlo usando l'interfaccia della riga di comando di Azure.

Lo script di esempio seguente crea un'impostazione di diagnostica che invia dati a tutte e tre le destinazioni. Per specificare la modalità specifica della risorsa se il servizio lo supporta, aggiungere il export-to-resource-specific parametro con il valore true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Il modello di esempio seguente crea un'impostazione di diagnostica per inviare tutti i log di controllo a un'area di lavoro Log Analytics. Il apiVersion valore può cambiare a seconda della risorsa nell'ambito. Per i modelli di esempio per altre risorse, vedere Esempi di modelli di Resource Manager per le impostazioni di diagnostica in Monitoraggio di Azure.

Ecco il file modello:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Ecco il file di parametri:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Warning

Quando si creano o aggiornano le impostazioni di diagnostica per un account di archiviazione o uno spazio dei nomi di Hub eventi, non è possibile selezionare tale account o spazio dei nomi una destinazione per i log delle risorse o i dati delle metriche. Si tratta di una limitazione prevista da progettazione. L'invio di log di risorse o metriche da una risorsa alla stessa risorsa genera un ciclo infinito di generazione e scrittura di dati.

Questa progettazione si applica solo al livello UX del portale di Azure. Se è veramente necessario scrivere dati nella stessa risorsa e si è disposti ad accettare i rischi associati, è possibile creare l'impostazione di diagnostica usando Azure PowerShell, l'interfaccia della riga di comando di Azure, l'API REST, un modello di Resource Manager o microsoft SDK supportato.

Gruppi di categorie

È possibile usare i gruppi di categorie per raccogliere i log delle risorse in base a raggruppamenti predefiniti anziché selezionare singole categorie di log. Microsoft definisce i raggruppamenti per monitorare i casi d'uso comuni. Se le categorie nel gruppo vengono aggiornate, la raccolta di log viene modificata automaticamente.

Non tutti i servizi di Azure usano gruppi di categorie. Se i gruppi di categorie non sono disponibili per una determinata risorsa, l'opzione non sarà disponibile quando si crea l'impostazione di diagnostica.

Se si usano gruppi di categorie in un'impostazione di diagnostica, non è possibile selezionare singoli tipi di categoria. Attualmente sono disponibili due gruppi di categorie:

allLogs: Tutte le categorie per la risorsa.
audit: tutti i log delle risorse che registrano le interazioni con i clienti con i dati o le impostazioni del servizio. Non è necessario selezionare questo gruppo di categorie se si seleziona il allLogs gruppo di categorie.

Note

L'abilitazione della audit categoria nelle impostazioni di diagnostica per il database SQL di Azure non attiva il controllo per il database. Per abilitare il controllo del database, è necessario abilitarlo dal riquadro di controllo per il database SQL di Azure.

Limitazioni delle metriche

Non tutte le metriche possono essere inviate a un'area di lavoro Log Analytics con impostazioni di diagnostica. Vedere la colonna Esportabilenell'elenco delle metriche supportate.

Le impostazioni di diagnostica non supportano attualmente le metriche multidimensionali. Le metriche con dimensioni sono esportate come metriche a singola dimensione di tipo flat e aggregate a livello di valori di dimensione. Ad esempio, la IOReadBytes metrica in una blockchain può essere esaminata e tracciata in base a un livello per nodo. Quando la metrica viene esportata con le impostazioni di diagnostica, vengono visualizzati tutti i byte letti per tutti i nodi.

Per ovviare alle limitazioni per metriche specifiche, è possibile estrarle manualmente usando l'API REST Metrics. È quindi possibile importarli in un'area di lavoro Log Analytics usando l'API di inserimento log.

Controllo dei costi

Potrebbe essere previsto un costo per i dati raccolti da impostazioni di diagnostica. Il costo dipende dalla destinazione scelta e dal volume dei dati raccolti. Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Raccogliere solo le categorie necessarie per ogni servizio. Potrebbe anche non essere necessario raccogliere le metriche della piattaforma dalle risorse di Azure, perché questi dati sono già stati raccolti in Metriche. Configurare i dati di diagnostica per raccogliere le metriche solo se sono necessari dati metrici nell'area di lavoro per un'analisi più complessa con query di log.

Le impostazioni di diagnostica non consentono filtri granulari all'interno di una categoria selezionata. È possibile filtrare i dati per le tabelle supportate in un'area di lavoro Log Analytics usando trasformazioni. Per informazioni dettagliate, vedere Trasformazioni in Monitoraggio di Azure.

Tempo prima che i dati arrivino alle destinazioni

Dopo aver creato un'impostazione di diagnostica, i dati devono iniziare a passare alle destinazioni selezionate entro 90 minuti. Quando si inviano dati a un'area di lavoro Log Analytics, la tabella viene creata automaticamente se non esiste già. La tabella viene creata solo quando le destinazioni ricevono i primi record di log.

Se non si ottengono informazioni entro 24 ore, potrebbe verificarsi uno dei problemi seguenti:

Non vengono generati log.
Si è verificato un errore nel meccanismo di routing sottostante.

Provare a disabilitare la configurazione e quindi a riabilitarla. Se il problema persiste, contattare il supporto tecnico di Azure tramite il portale di Azure.

Approfondimenti sulle Applicazioni

Considerare le informazioni seguenti per le impostazioni di diagnostica per le applicazioni di Application Insights:

La destinazione non può essere la stessa area di lavoro Log Analytics su cui si basa la risorsa di Application Insights.
L'utente di Application Insights non può accedere a entrambe le aree di lavoro. Impostare la modalità di controllo di accesso di Log Analytics su Richiede le autorizzazioni dell'area di lavoro. Tramite Azure RBAC, si assicuri che l'utente abbia accesso solo all'area di lavoro di Log Analytics a cui è associata la risorsa di Application Insights.

Questi passaggi sono necessari perché Application Insights accede ai dati tra le risorse per fornire operazioni di transazione end-to-end complete e mappe delle applicazioni accurate. Queste risorse includono le aree di lavoro Log Analytics. Poiché i log di diagnostica usano gli stessi nomi di tabella, i dati duplicati possono essere visualizzati se l'utente ha accesso a più risorse che contengono gli stessi dati.

Troubleshooting

Categoria di metriche non supportata

È possibile che venga visualizzato un messaggio di errore simile a "La categoria metrica 'xxxx' non è supportata" quando si usa un modello di Resource Manager, l'API REST, l'interfaccia della riga di comando di Azure o Azure PowerShell. Le categorie di metriche diverse da AllMetrics non sono supportate, ad eccezione di un numero limitato di servizi di Azure. Rimuovere qualsiasi nome di categoria delle metriche diverso da AllMetrics e ripetere la distribuzione.

L'impostazione scompare a causa di caratteri non ASCII in un ID risorsa

Le impostazioni di diagnostica non supportano GLI ID risorsa con caratteri non ASCII, ad esempio Preproduccón. Poiché non è possibile rinominare le risorse in Azure, è necessario creare una nuova risorsa senza i caratteri non ASCII. Se i caratteri si trovano in un gruppo di risorse, è possibile spostare le risorse in un nuovo gruppo.

La risorsa è inattiva

Quando una risorsa è inattiva ed esporta metriche con valore zero, il meccanismo di esportazione delle impostazioni di diagnostica viene disattivato in modo incrementale per evitare costi non necessari per esportare e archiviare valori zero. Questo back-off potrebbe causare un ritardo nell'esportazione del valore diverso da zero successivo. Questo comportamento si applica solo alle metriche esportate e non influisce sugli avvisi basati sulle metriche o sulla scalabilità automatica.

Se una risorsa rimane inattiva per un'ora, il meccanismo di esportazione si riduce a 15 minuti. Questa situazione significa che è presente una potenziale latenza fino a 15 minuti per l'esportazione del valore diverso da zero successivo. La risorsa raggiunge il tempo massimo di backoff di due ore dopo sette giorni di inattività. Dopo l'avvio dell'esportazione dei valori diversi da zero, il meccanismo di esportazione torna alla latenza di esportazione originale di tre minuti.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-01-20