Condividi tramite

Esportare i log del connettore di rete privata nell'area di lavoro Log Analytics

Questo articolo descrive come estrarre i log del connettore di rete privata dai computer connettore distribuiti nella rete del cliente. Dopo l'estrazione, questi log possono essere inviati all'area di lavoro Log Analytics nella sottoscrizione di Azure del cliente. L'estrazione di questi log viene eseguita usando Azure Arc e le relative estensioni. I clienti mantengono il controllo e la gestione dei log nell'ambiente Azure, garantendo ai clienti la piena proprietà e la sicurezza dei dati.

Prerequisiti

Per completare i passaggi di questo processo, è necessario disporre dei prerequisiti seguenti:

  • Una sottoscrizione di Azure attiva.
  • Una macchina Windows in sede che esegue Microsoft Entra Private Network Connector e che si desidera connettere ad Azure Log Analytics. Per altre informazioni, vedere Informazioni sul connettore di rete privata Microsoft Entra.
  • Accesso per esplorare ed eseguire comandi nel portale di Azure.
  • Un account Microsoft Azure Arc per gestire le risorse locali e multicloud. Per altre informazioni, vedere panoramica di Azure Arc.

Estrarre i log del connettore

Per estrarre i log dei connettori, è necessario abilitare la registrazione dettagliata nel computer connettore e quindi trasmettere i log a Log Analytics.

Abilitare la registrazione dettagliata nel computer del connettore

I log dettagliati sono utili durante la risoluzione di problemi relativi al Connettore di rete privata di Microsoft Entra per Entra Private Access. La registrazione verbosa non è abilitata per impostazione predefinita nel connettore.

Per abilitare la registrazione dettagliata:

  1. Individuare la directory di installazione del connettore in C:\Program Files\Microsoft Entra Private Network Connector.

  2. Creare una cartella nella directory locale con permessi di scrittura su.

    Per verificare le autorizzazioni di scrittura:

    1. Fare clic con il pulsante destro del mouse sulla cartella creata, quindi scegliere proprietà .
    2. Passare alla scheda Sicurezza e verificare che la proprietà Scrittura sia selezionata per Allow. Se write non è selezionata, selezionare modificare.
    3. Nella finestra popup selezionare consentire per la riga di scrittura, quindi fare clic su applicare.

  3. Fare clic con il pulsante destro del mouse su un'applicazione editor di testo, ad esempio Blocco note o Blocco note++, quindi selezionare Esegui come amministratore.

  4. Aprire il file MicrosoftEntraPrivateNetworkConnector.exe.config da modificare.

  5. Nella sezione seguente selezionare il codice da <system.diagnostics> a </system.diagnostics> e aggiungerlo al file MicrosoftEntraPrivateNetworkConnector.exe.config.


<?xml version="1.0" encoding="utf-8" ?> 

<configuration> 

  <runtime> 

     <gcServer enabled="true"/> 

  </runtime> 

  <appSettings> 

    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" /> 

  </appSettings> 

<system.diagnostics> 

  <trace autoflush="true" indentsize="4"> 

    <listeners> 

      <add name="consoleListener" type="System.Diagnostics.ConsoleTraceListener" /> 

      <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:\logs\connector_logs.log" /> 

      <remove name="Default" /> 

    </listeners> 

  </trace> 

</system.diagnostics> 

</configuration>

Successivamente, è necessario arrestare e avviare il servizio Connettore affinché le modifiche abbiano effetto.

  1. Digitare Services nella casella di ricerca nella barra delle applicazioni, quindi passare a Services.
  2. Cercare il Connettore di rete privata Microsoft Entra dall'elenco Servizi e selezionarlo.
  3. Scegliere Arresta servizio agente, quindi Avviare di nuovo il servizio agente. A questo punto, viene visualizzato un file di testo con etichetta connector_logs.log nella cartella C:\logs\.

Nota

Quando la registrazione dettagliata non è abilitata, il percorso predefinito del file di log viene archiviato in C:\Users\<user>\AppData\Local\Temp. Quando la registrazione dettagliata è abilitata, il file di log viene archiviato in C:\logs\connector_logs.log. La registrazione dettagliata può essere abilitata o disabilitata aggiungendo o rimuovendo le righe specificate nel passaggio 4. È necessario riavviare l'agente del servizio ogni volta che le modifiche di registrazione diventano effettive.

Configurare Azure Arc nel computer locale

  1. Ottenere lo script per abilitare Azure Arc per il computer locale:
    1. Vai sul portale Azure .
    2. Cercare Azure Arc nella barra di ricerca.
    3. Passare a risorse di Azure Arc > Computer.
    4. Fare clic su Aggiungi/Crea > Aggiungi una macchina.
    5. Aggiungi un singolo server > e fai clic su Genera script.
    6. Immettere le informazioni, quindi fare clic su Scaricare ed eseguire script.
  2. Installare l'agente Azure Arc nel computer connettore locale:
    1. Scaricare lo script di installazione dell'agente Azure Arc dal portale di Azure.
    2. Cercare Windows PowerShell ISE nella casella di ricerca sulla barra delle applicazioni. Fare clic con il pulsante destro del mouse sull'applicazione, quindi scegliere Esegui come amministratore.
      Da PowerShell aprire il file scaricato con etichetta OnboardingScript.ps1.
    3. Esegui lo script.
    4. Accedere alla finestra popup per eseguire l'autenticazione usando le credenziali dell'account Azure. La schermata restituisce un messaggio che legge: Authentication complete. You can return to the application. Feel free to close this browser tab.

Configurare l'area di lavoro Log Analytics

  1. Vai sul portale Azure .
  2. Creare un'area di lavoro Log Analytics:
    1. Nella barra di ricerca, digitare Log Analytics e selezionare aree di lavoro Log Analytics.
    2. Fare clic su Crea.
    3. Compilare i dettagli necessari:
      • Abbonamento: Seleziona il tuo abbonamento.
      • gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
      • Nome: specificare un nome univoco per l'area di lavoro Log Analytics.
      • Regione: scegli la regione più vicina alla tua macchina locale.
    4. Clicca su Rivedi e crea, quindi Crea.
  3. Creare una tabella nella nuova area di lavoro.
    1. Selezionare il nome dell'area di lavoro creato.
    2. Passare a Area di lavoro> ** Tabelle delle impostazioni>.
    3. Fare clic su Crea>nuovo log personalizzato (basato su MMA).
    4. Seleziona il file di registro dal percorso della macchina virtuale (VM) (C:\logs\connector_logs.log).
    5. Impostare il delimitatore come nuova riga.
    6. Aggiungi tipo di percorso di raccolta – windows & percorso come C:\logs\connector_logs.log.
    7. Fare clic su Crea.

Configurare l'endpoint di raccolta dati (DCE)

  1. Vai sul portale Azure .
  2. Nella barra di ricerca, cerca endpoint di raccolta dati.
  3. Fare clic su Crea.
  4. Specificare un nome e una regione per il DCE.
  5. Fare clic su Rivedi e crea e quindi Crea.

Configurare la regola di raccolta dati

  1. Vai sul portale Azure .
  2. Nella barra di ricerca, cercare la regola di raccolta dati .
  3. Fare clic su Crea.
  4. Compilare i dettagli necessari:
    • Abbonamento: Seleziona il tuo abbonamento.
    • gruppo di risorse: Seleziona lo stesso gruppo di risorse della tua area di lavoro Log Analytics.
    • Nome: Fornire un nome per il DCR.
    • Regione: scegliere la stessa regione del workspace Log Analytics.
    • Piattaforma: Windows.
    • Endpoint di Raccolta Dati: Selezionare l'Endpoint di Raccolta Dati creato nel passaggio prima.
  5. Fare clic su Avanti: Risorse
    1. Fare clic su Aggiungi risorse.
    2. Aprire la sottoscrizione.
    3. Selezionare il gruppo di risorse dall'elenco.
    4. Fare clic su Applica. Nelle risorse dovrebbe essere visualizzato l'elenco dei nomi della macchina virtuale.
  6. Fare clic su Avanti: Raccogliere e recapitare
    1. Fare clic su Aggiungi origine dati.
    2. Per il tipo di origine dati, selezionare Log di testo personalizzati.
    3. Specificare i percorsi dei log nel computer Windows locale, ad esempio C:\logs\ connector_logs.log.
    4. Immettere il nome della tabella creato nell'area di lavoro Log Analytics. Per ottenere il nome della tabella, aprire una nuova scheda, navigare nel portale di Azure e cercare Log Analytics Workspaces. Selezionare la tabella creata. Fare clic su impostazione e aprire le tabelle. Trovare il nome della tabella personalizzata (versione classica).
    5. Fare clic su Aggiungi, quindi Avanti: Destinazione.
  7. Configura destinazione:
    1. Tipo di destinazione:> log di Monitoraggio di Azure.
    2. Selezionare la sottoscrizione.
    3. Selezionare l'area di lavoro Log Analytics come destinazione.
    4. Verificare che l'endpoint di raccolta dati sia selezionato.
    5. Fare clic su Avanti: Rivedi e crea e quindi Crea.

Verificare la raccolta dati

  • Verificare i dati in Log Analytics:

    Dopo aver installato e configurato l'agente, l'avvio della visualizzazione dei dati potrebbe richiedere del tempo.

    1. Nel portale di Azure passare all'area di lavoro Log Analytics > Selezionare l'area di lavoro.
    2. Passare a log, fare clic su esci dall'hub popup >log personalizzati>, fare doppio clic sul nome del log. In questo modo il nome del log viene aggiunto alla query.
    3. Selezionare Esegui. Vengono visualizzati i log. Questa configurazione consente di raccogliere i log di testo dai computer Windows locali e di inviarli ad Azure Log Analytics usando Azure Arc. La regola di raccolta dati garantisce che i log vengano raccolti in base ai percorsi definiti e che l'agente li invii all'area di lavoro Log Analytics.

Condividere l'accesso all'area di lavoro

Dopo aver ottenuto i log nell'area di lavoro Log Analytics, è possibile aprire in modo sicuro i log a un utente esterno (all'esterno del tenant) condividendo l'area di lavoro. Un caso d'uso consiste nel concedere l'accesso al personale di supporto (in base alle esigenze) per eventuali problemi di supporto. Il personale di supporto può essere di Microsoft CSS (Customer Service & Support), Engineering OCE (On Call Engineer) o della rete di supporto del cliente. Concedere l'accesso all'area di lavoro può aiutare a diagnosticare rapidamente il problema, a influire positivamente sul tempo medio di ripristino (MTTR) e sul tempo medio di mitigazione (MTTM) e, per estensione, sulla soddisfazione dei clienti.

Ecco i passaggi per fornire l'accesso a un utente esterno:

Prerequisiti

  • abbonamento Azure: assicurati di avere un abbonamento Azure attivo.
  • Area di lavoro Log Analytics: un'area di lavoro Log Analytics esistente che desideri condividere.
  • Utente guest di Microsoft Entra ID: L'utente esterno deve essere aggiunto come guest user nel tuo Microsoft Entra ID.

Aggiungere un utente esterno come ospite in Microsoft Entra ID

  1. Navigare fino a Microsoft Entra ID:
    1. Vai sul portale Azure .
    2. Nella barra di ricerca digitare ID Entra Microsofte quindi selezionarlo.
  2. Aggiungere un nuovo utente ospite:
    1. Nel dashboard microsoft Entra ID selezionare Gestisci>utenti.
    2. Fare clic su + Nuovo utente, quindi selezionare Invita utente esterno.
    3. Immettere l'indirizzo di posta elettronica dell'utente esterno e immettere le informazioni necessarie.
    4. Fare clic su Invita per inviare un invito all'utente esterno. L'utente esterno riceve un invito tramite posta elettronica per partecipare alla pagina microsoft Entra ID come guest.

Assegnare ruoli all'utente guest nell'area di lavoro Log Analytics

  1. Passare all'area di lavoro Log Analytics:
    • Nel portale di Azure, cerca le aree di lavoro di Log Analytics, quindi seleziona l'area di lavoro che desideri condividere.
  2. Controllo dell'accesso all'identità (IAM):
    1. Nel pannello dell'area di lavoro selezionare Controllo di accesso (IAM) dal menu a sinistra.
    2. Fare clic su + Aggiungi, quindi selezionare Aggiungi assegnazione di ruolo.
  3. Assegnare un ruolo:
    1. Selezionare un ruolo da assegnare all'utente guest. I ruoli comuni per l'accesso a Log Analytics includono:
    2. Lettore di Log Analytics: consente all'utente di leggere ed eseguire query sui log.
    3. Collaboratore di Log Analytics: consente all'utente di leggere, eseguire query e modificare i log.
  4. Aggiungere l'utente guest:
    1. Nella sezione Membri fare clic su Selezionare membri.
    2. Cercare l'utente guest aggiunto in precedenza mediante l'indirizzo di posta elettronica.
    3. Seleziona l'utente guest e fai clic su Seleziona.
  5. Rivedi e assegna:
    • Esaminare l'assegnazione di ruolo e fare clic su Rivedi e assegna per completare il processo.

Verificare che le autorizzazioni siano impostate correttamente

  • Verificare le autorizzazioni: l'utente guest dovrebbe ora avere accesso all'area di lavoro Log Analytics con le autorizzazioni assegnate.
    • Per verificare, vai a controllo di accesso (IAM) nell'area di lavoro Log Analytics e verifica le assegnazioni di ruolo.

Accesso utente esterno e log di query

  1. Accesso utente esterno:
    • L'utente esterno deve accettare l'invito inviato al proprio messaggio di posta elettronica e accedere al portale di Azure usando le proprie credenziali.
  2. Accesso a Log Analytics:
    1. Dopo l'accesso, l'utente esterno passa all'area di lavoro Log Analytics condivisa con loro.
    2. Possono usare la funzionalità Log dell'area di lavoro Log Analytics per eseguire query e analizzare i log in base alle autorizzazioni concesse.

Altre considerazioni

  • Security: seguire il principio dei privilegi minimi e assicurarsi di concedere solo le autorizzazioni necessarie all'utente guest.
  • monitoraggio e controllo: monitorare e controllare regolarmente l'accesso all'area di lavoro Log Analytics per garantire la conformità e la sicurezza.

Seguendo questa procedura, è possibile aprire in modo sicuro l'area di lavoro Log Analytics di Azure a un utente esterno al tenant, consentendo loro di accedere ai log ed eseguire query in base alle esigenze.

Passaggi successivi