Diagnostische instellingen in Azure Monitor

U kunt diagnostische instellingen in Azure Monitor gebruiken om resourcelogboeken te verzamelen en platformmetrieken en het activiteitslogboek naar verschillende bestemmingen te verzenden. Maak een afzonderlijke diagnostische instelling voor elke resource waaruit u gegevens wilt verzamelen. Elke instelling definieert de gegevens van de resource die moeten worden verzameld en de bestemmingen waarnaar die gegevens moeten worden verzonden. In dit artikel worden de details van diagnostische instellingen beschreven, waaronder het maken ervan en de bestemmingen die beschikbaar zijn voor het verzenden van gegevens.

Diagram met een verzameling activiteitenlogboeken, resourcelogboeken en metrische platformgegevens.

In de volgende video wordt uitgelegd hoe logboeken van het resourceplatform worden gerouteerd door middel van diagnostische instellingen. De volgende wijzigingen zijn aangebracht in diagnostische instellingen sinds de video is opgenomen, maar deze onderwerpen worden in dit artikel besproken.

Azure Monitor partners
Categoriegroepen

Warning

Verwijder diagnostische instellingen voor een resource als u die resource verwijdert of de naam ervan wijzigt, of als u deze migreert tussen resourcegroepen of abonnementen. Als de diagnostische instelling niet wordt verwijderd en deze resource opnieuw wordt gemaakt, kunnen alle diagnostische instellingen voor de verwijderde resource worden toegepast op de nieuwe. Voor sommige resourcetypen zou deze situatie de verzameling resourcelogboeken hervatten zoals gedefinieerd in de diagnostische instelling.

Sources

Diagnostische instellingen kunnen gegevens uit de bronnen in de volgende tabel verzamelen. Zie het gekoppelde artikel voor meer informatie over de gegevens die elke bron verzamelt en de indeling ervan in elke bestemming.

Gegevensbron	Description
Metrische platformgegevens	Automatisch verzameld zonder configuratie. Gebruik een diagnostische instelling om metrische platformgegevens naar andere bestemmingen te verzenden.
Activiteitenlogboek	Automatisch verzameld zonder configuratie. Gebruik een diagnostische instelling om vermeldingen in het activiteitenlogboek naar andere bestemmingen te verzenden.
Resourcelogboeken	Worden niet standaard verzameld. Maak een diagnostische instelling voor het verzamelen van resourcelogboeken.

Destinations

Diagnostische instellingen verzenden gegevens naar de bestemmingen in de volgende tabel. Om de beveiliging van gegevens in transit te waarborgen, worden alle doeleindpunten geconfigureerd ter ondersteuning van TLS 1.2.

Eén diagnostische instelling kan niet meer dan één van elke bestemming definiëren. Als u gegevens wilt verzenden naar meer dan een van een bepaald doeltype (bijvoorbeeld twee Log Analytics werkruimten), maakt u meerdere instellingen. Elke resource kan maximaal vijf diagnostische instellingen hebben.

Alle bestemmingen die door een diagnostische instelling worden gebruikt, moeten bestaan voordat u de instelling kunt maken. Het doel hoeft zich niet in hetzelfde abonnement te bevinden als de resource die logboeken verzendt, mits de gebruiker die de instelling configureert, de juiste Azure rolgebaseerde toegangscontrole (RBAC) heeft voor beide abonnementen. Gebruik Azure Lighthouse om bestemmingen op te nemen in een andere Microsoft Entra tenant.

Destination	Description	Requirements
Log Analytics werkruimte	Gegevens ophalen met behulp van logboekquery's en werkmappen. Gebruik logboekwaarschuwingen om proactief te waarschuwen voor gegevens. Zie de Azure Monitor resource log referentie voor de tabellen die verschillende Azure-resources gebruiken.	Tabellen in een Log Analytics werkruimte worden automatisch gemaakt wanneer de eerste gegevens naar de werkruimte worden verzonden, dus alleen de werkruimte zelf moet bestaan.
Azure Storage-account	Opslaan voor controle, statische analyse of back-up. Opslag is mogelijk goedkoper dan andere opties en kan voor onbepaalde tijd worden bewaard. Gegevens verzenden naar onveranderbare opslag om te voorkomen dat ze worden gewijzigd. Stel het onveranderbare beleid voor het opslagaccount in, zoals beschreven in Beleid voor onveranderbaarheid configureren voor blobversies.	Opslagaccounts moeten zich in dezelfde regio bevinden als de resource die u bewaakt als de resource regionaal is. Diagnostische instellingen hebben geen toegang tot opslagaccounts wanneer virtuele netwerken zijn ingeschakeld. U moet Vertrouwde Microsoft-services inschakelen om deze firewallinstelling in opslagaccounts te omzeilen, zodat de service Azure Monitor diagnostische instellingen toegang krijgt tot uw opslagaccount. Azure DNS zone-eindpunten (preview) en eventuele Premium-opslagaccounts worden niet ondersteund als bestemmingen. Alle Standard-opslagaccounts worden ondersteund.
Azure Event Hubs	Gegevens streamen naar externe systemen, zoals SIEM-oplossingen (Security Information and Event Management) van niet-Microsoft en andere Log Analytics-oplossingen.	Event Hubs moeten zich in dezelfde regio bevinden als de resource die u bewaakt als de resource regionaal is. U kunt geen compacted Event Hub gebruiken omdat het bericht een partitiesleutel vereist, die Azure Monitor niet bevat. Diagnostische instellingen hebben geen toegang tot Event Hubs wanneer virtuele netwerken zijn ingeschakeld. U moet Allow trusted Microsoft-services inschakelen om deze firewallinstelling in Event Hubs te laten omzeilen, zodat de Azure Monitor service voor diagnostische instellingen toegang krijgt tot uw Event Hub-resources. Het beleid voor gedeelde toegang voor een Event Hubs-naamruimte definieert de machtigingen die het streamingmechanisme heeft. Streaming naar Event Hubs vereist , en machtigingen. Als u de diagnostische instelling wilt bijwerken om streaming op te nemen, moet u over de machtiging beschikken voor die Event Hubs-autorisatieregel.
Azure Monitor partneroplossingen	Gespecialiseerde integraties zijn mogelijk tussen Azure Monitor en andere niet-Microsoft-bewakingsplatforms. De oplossingen variëren per partner.	Zie Azure Native ISV Services-documentatie voor meer informatie.

Methoden voor het creëren van een diagnostische omgeving

U kunt een diagnostische instelling maken met behulp van een van de volgende methoden.

Zie Activiteitenlogboek exporteren als u een diagnostische instelling voor het activiteitenlogboek wilt maken met behulp van de Azure-portal. Zie Diagnostische instellingen voor beheergroepen om een diagnostische instelling voor een beheergroep te maken.

Gebruik de volgende stappen om een nieuwe diagnostische instelling te maken of een bestaande te bewerken in de Azure-portal:

Selecteer diagnostische instellingen in het menu van een resource in de sectie Bewaking. Of selecteer in het menu Azure Monitor Settings>Diagnostic settings. Selecteer vervolgens de resource.
Selecteer Diagnostische instelling toevoegen om een nieuwe instelling toe te voegen of selecteer Instelling Bewerken om een bestaande te bewerken.

Mogelijk hebt u meerdere diagnostische instellingen voor een resource nodig als u naar meerdere bestemmingen van hetzelfde type wilt verzenden. In het volgende voorbeeld ziet u de instellingen voor een sleutelkluisbron, maar het scherm is vergelijkbaar voor andere bronnen.

Schermopname van het toevoegen van een diagnostische instelling voor bestaande instellingen.
Geef uw instelling een beschrijvende naam als deze nog geen naam heeft.

Schermopname van diagnostische instellingsgegevens.

In deze schermopname ziet u een voorbeeld van een sleutelkluis. Andere typen bronnen hebben verschillende sets categorieën.
Kies voor logboeken een categoriegroep of schakel de afzonderlijke selectievakjes in voor elke gegevenscategorie die u naar de bestemmingen wilt verzenden. De lijst met categorieën varieert voor elke Azure service.
Voor metrische gegevens selecteert u AllMetrics als u metrische platformgegevens wilt verzamelen.
Schakel voor doeldetails het selectievakje in voor elke bestemming die u wilt opnemen in de diagnostische instellingen. Geef vervolgens de details op voor elke bestemming.

Als u een Log Analytics werkruimte als bestemming selecteert, moet u mogelijk de verzamelingsmodus opgeven. Zie de verzamelingsmodus voor meer informatie.

Gebruik de cmdlet New-AzDiagnosticSetting om een diagnostische instelling te maken via Azure PowerShell. Zie de documentatie voor deze cmdlet voor beschrijvingen van parameters.

Important

U kunt deze methode niet gebruiken voor een activiteitenlogboek. Maak in plaats daarvan een Azure Resource Manager-sjabloon en implementeer deze met behulp van PowerShell.

In het volgende powerShell-script wordt een diagnostische instelling gemaakt voor het verzenden van alle logboeken en metrische gegevens voor een sleutelkluis naar een Log Analytics werkruimte:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Gebruik de opdracht az monitor diagnostic-settings create om een diagnostische instelling te maken via de Azure CLI. Zie de documentatie voor deze opdracht voor beschrijvingen van parameters.

Important

U kunt deze methode niet gebruiken voor een activiteitenlogboek. Maak in plaats daarvan een sjabloon Azure Resource Manager en implementeer deze met behulp van de Azure CLI.

In het volgende voorbeeldscript wordt een diagnostische instelling gemaakt waarmee gegevens naar alle drie de bestemmingen worden verzonden. Als u de resourcespecifieke modus wilt opgeven als de service deze ondersteunt, voegt u de parameter toe met een waarde van .

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Met de volgende voorbeeldsjabloon maakt u een diagnostische instelling om alle auditlogboeken naar een Log Analytics werkruimte te verzenden. De waarde kan veranderen, afhankelijk van de resource in de scope. Zie Resource Manager sjabloonvoorbeelden voor diagnostische instellingen in Azure Monitor voor voorbeeldsjablonen voor andere resources.

Sjabloonbestand

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Parameterbestand

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Sjabloonbestand

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Parameterbestand

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

Warning

Wanneer u diagnostische instellingen voor een opslagaccount of een Event Hubs-naamruimte maakt of bijwerkt, kunt u dat account of de naamruimte niet selecteren als bestemming voor de resourcelogboeken of metrische gegevens. Deze beperking is opzettelijk aangebracht. Het verzenden van resourcelogboeken of meetgegevens van een resource naar dezelfde resource zou een oneindige lus van het genereren en schrijven van gegevens veroorzaken.

Dit ontwerp is alleen van toepassing op de UX-laag van de Azure portal. Als er echt gegevens naar dezelfde resource moeten worden geschreven en u bereid bent de bijbehorende risico's te accepteren, kunt u de diagnostische instelling maken met behulp van Azure PowerShell, de Azure CLI, de REST API, een Resource Manager-sjabloon of een ondersteunde Microsoft SDK.

Categoriegroepen

U kunt categoriegroepen gebruiken om resourcelogboeken te verzamelen op basis van vooraf gedefinieerde groeperingen in plaats van afzonderlijke logboekcategorieën te selecteren. Microsoft definieert de groeperingen om veelvoorkomende use cases te bewaken. Als de categorieën in de groep worden bijgewerkt, wordt uw logboekverzameling automatisch gewijzigd.

Niet alle Azure services maken gebruik van categoriegroepen. Als categoriegroepen niet beschikbaar zijn voor een bepaalde resource, is de optie niet beschikbaar wanneer u de diagnostische instelling maakt.

Als u categoriegroepen in een diagnostische instelling gebruikt, kunt u geen afzonderlijke categorietypen selecteren. Er zijn momenteel twee categoriegroepen:

: Alle categorieën voor de bron.
: Alle resourcelogboeken die interacties van klanten met gegevens of de instellingen van de service vastleggen. U hoeft deze categoriegroep niet te selecteren als u de categoriegroep selecteert.

Note

Het inschakelen van de categorie audit in de diagnostische instellingen voor Azure SQL Database activeert de auditing voor de database niet. Als u databasecontrole wilt inschakelen, moet u deze inschakelen vanuit het controlevenster voor Azure SQL Database.

Beperkingen voor metrische gegevens

Niet alle metrische gegevens kunnen worden verzonden naar een Log Analytics werkruimte met diagnostische instellingen. Zie de kolom Exportable in de lijst met ondersteunde metrische gegevens.

Diagnostische instellingen ondersteunen momenteel geen multidimensionale metrische gegevens. Metrische gegevens met dimensies worden geëxporteerd als platgemaakte singledimensionale metrische gegevens en geaggregeerd over dimensiewaarden. De metrische gegevens in een blockchain kunnen bijvoorbeeld worden verkend en in kaart gebracht op een niveau per knooppunt. Wanneer de metrische waarde wordt geëxporteerd met diagnostische instellingen, worden alle gelezen bytes voor alle knooppunten weergegeven.

Als u de beperkingen voor specifieke metrische gegevens wilt omzeilen, kunt u deze handmatig extraheren met behulp van de REST API voor metrische gegevens. U kunt ze vervolgens importeren in een Log Analytics werkruimte met behulp van de Logs Ingestion-API.

Kosten beheersen

Er zijn mogelijk kosten verbonden aan gegevens die diagnostische instellingen verzamelen. De kosten zijn afhankelijk van de bestemming die u kiest en het volume van verzamelde gegevens. Zie Azure Monitor prijzen voor meer informatie.

Verzamel alleen de categorieën die u nodig hebt voor elke service. Mogelijk wilt u ook geen metrische platformgegevens van Azure resources verzamelen, omdat deze gegevens al worden verzameld in Metrics. Configureer uw diagnostische gegevens om alleen metrische gegevens te verzamelen als u metrische gegevens in de werkruimte nodig hebt voor complexere analyse met logboekquery's.

Diagnostische instellingen staan geen gedetailleerd filteren binnen een geselecteerde categorie toe. U kunt gegevens filteren op ondersteunde tabellen in een Log Analytics werkruimte met behulp van transformaties. Zie Transformations in Azure Monitor voor meer informatie.

Tijd voordat gegevens naar bestemmingen worden verzonden

Nadat u een diagnostische instelling hebt gemaakt, moeten gegevens binnen 90 minuten naar uw geselecteerde bestemmingen stromen. Wanneer u gegevens naar een Log Analytics werkruimte verzendt, wordt de tabel automatisch gemaakt als deze nog niet bestaat. De tabel wordt alleen gemaakt wanneer de bestemmingen de eerste logboekrecords ontvangen.

Als u binnen 24 uur geen informatie krijgt, ondervindt u mogelijk een van de volgende problemen:

Er worden geen logboeken gegenereerd.
Er is iets mis in het onderliggende routeringsmechanisme.

Probeer de configuratie uit te schakelen en vervolgens opnieuw in te schakelen. Als het probleem zich blijft voordoen, neemt u contact op met ondersteuning voor Azure via de Azure-portal.

Analyses van toepassingen

Houd rekening met de volgende informatie voor diagnostische instellingen voor Application Insights-toepassingen:

De bestemming kan niet dezelfde Log Analytics werkruimte zijn waarop uw Application Insights-resource is gebaseerd.
De Application Insights-gebruiker heeft geen toegang tot beide werkruimten. Stel de Log Analytics toegangscontrolemodus in op vereist machtigingen voor werkruimten. Zorg er via Azure RBAC voor dat de gebruiker alleen toegang heeft tot de Log Analytics werkruimte waarop de Application Insights-resource is gebaseerd.

Deze stappen zijn nodig omdat Application Insights toegang heeft tot gegevens over resources om volledige end-to-end transactiebewerkingen en nauwkeurige toepassingstoewijzingen te bieden. Deze resources omvatten Log Analytics werkruimten. Omdat diagnostische logboeken dezelfde tabelnamen gebruiken, kunnen dubbele gegevens worden weergegeven als de gebruiker toegang heeft tot meerdere resources die dezelfde gegevens bevatten.

Troubleshooting

De categorie Metrische gegevens wordt niet ondersteund

Er wordt mogelijk een foutbericht weergegeven dat lijkt op 'Metrische categorie 'xxxx' wordt niet ondersteund wanneer u een Resource Manager-sjabloon, de REST API, de Azure CLI of Azure PowerShell gebruikt. Andere metrische categorieën dan AllMetrics worden niet ondersteund, met uitzondering van een beperkt aantal Azure services. Verwijder andere namen van metrische categorieën dan en herhaal uw implementatie.

Instelling verdwijnt vanwege niet-ASCII-tekens in een resource-ID

Diagnostische instellingen bieden geen ondersteuning voor resource-id's met niet-ASCII-tekens (bijvoorbeeld Preproduccón). Omdat u de naam van resources in Azure niet kunt wijzigen, moet u een nieuwe resource maken zonder de niet-ASCII-tekens. Als de tekens zich in een resourcegroep bevinden, kunt u de resources verplaatsen naar een nieuwe groep.

De bron is inactief

Wanneer een resource inactief is en metrische gegevens met nulwaarden exporteert, wordt het exportmechanisme voor diagnostische instellingen incrementeel uitgeschakeld om onnodige kosten te voorkomen voor het exporteren en opslaan van nulwaarden. Deze back-off kan leiden tot een vertraging in de export van de volgende niet-nulwaarde. Dit gedrag is alleen van toepassing op geëxporteerde metrische gegevens en heeft geen invloed op waarschuwingen op basis van metrische gegevens of automatische schaalaanpassing.

Wanneer een resource gedurende één uur inactief is, wordt het exportmechanisme teruggezet naar 15 minuten. Deze situatie betekent dat er een potentiële latentie van maximaal 15 minuten is voordat de volgende niet-nulwaarde wordt geëxporteerd. De resource bereikt een maximale wachttijd van twee uur na zeven dagen inactiviteit. Nadat de resource niet-nulwaarden heeft geëxporteerd, wordt het exportmechanisme teruggezet naar de oorspronkelijke exportlatentie van drie minuten.

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-20