Diagnostische instellingen in Azure Monitor

U kunt diagnostische instellingen in Azure Monitor gebruiken om resourcelogboeken te verzamelen en metrische platformgegevens en het activiteitenlogboek naar verschillende bestemmingen te verzenden. Maak een afzonderlijke diagnostische instelling voor elke resource waaruit u gegevens wilt verzamelen. Elke instelling definieert de gegevens van de resource die moeten worden verzameld en de bestemmingen waarnaar die gegevens moeten worden verzonden. In dit artikel worden de details van diagnostische instellingen beschreven, waaronder het maken ervan en de bestemmingen die beschikbaar zijn voor het verzenden van gegevens.

In de volgende video wordt uitgelegd hoe logboeken van het resourceplatform worden gerouteerd door middel van diagnostische instellingen. De volgende wijzigingen zijn aangebracht in diagnostische instellingen sinds de video is opgenomen, maar deze onderwerpen worden in dit artikel besproken.

Azure Monitor-partners
Categoriegroepen

Warning

Verwijder diagnostische instellingen voor een resource als u die resource verwijdert of de naam ervan wijzigt, of als u deze migreert tussen resourcegroepen of abonnementen. Als de diagnostische instelling niet wordt verwijderd en deze resource opnieuw wordt gemaakt, kunnen alle diagnostische instellingen voor de verwijderde resource worden toegepast op de nieuwe. Voor sommige resourcetypen zou deze situatie de verzameling resourcelogboeken hervatten zoals gedefinieerd in de diagnostische instelling.

Sources

Diagnostische instellingen kunnen gegevens uit de bronnen in de volgende tabel verzamelen. Zie het gekoppelde artikel voor meer informatie over de gegevens die elke bron verzamelt en de indeling ervan in elke bestemming.

Gegevensbron	Description
Metrische platformgegevens	Automatisch verzameld zonder configuratie. Gebruik een diagnostische instelling om metrische platformgegevens naar andere bestemmingen te verzenden.
Activiteitenlogboek	Automatisch verzameld zonder configuratie. Gebruik een diagnostische instelling om vermeldingen in het activiteitenlogboek naar andere bestemmingen te verzenden.
Resourcelogboeken	Worden niet standaard verzameld. Maak een diagnostische instelling voor het verzamelen van resourcelogboeken.

Destinations

Diagnostische instellingen verzenden gegevens naar de bestemmingen in de volgende tabel. Om de beveiliging van gegevens in transit te waarborgen, worden alle doeleindpunten geconfigureerd ter ondersteuning van TLS 1.2.

Eén diagnostische instelling kan niet meer dan één van elke bestemming definiëren. Als u gegevens wilt verzenden naar meer dan een van een bepaald doeltype (bijvoorbeeld twee Log Analytics-werkruimten), maakt u meerdere instellingen. Elke resource kan maximaal vijf diagnostische instellingen hebben.

Alle bestemmingen die door een diagnostische instelling worden gebruikt, moeten bestaan voordat u de instelling kunt maken. De bestemming hoeft zich niet in hetzelfde abonnement te bevinden als de resource die logboeken verzendt als de gebruiker die de instelling configureert de juiste RBAC-toegangsbeheer (Op rollen gebaseerd toegangsbeheer) van Azure heeft voor beide abonnementen. Gebruik Azure Lighthouse om bestemmingen op te nemen in een andere Microsoft Entra-tenant.

Destination	Description	Requirements
Log Analytics-werkruimte	Gegevens ophalen met behulp van logboekquery's en werkmappen. Gebruik logboekwaarschuwingen om proactief te waarschuwen voor gegevens. Voor de tabellen die verschillende Azure-resources gebruiken, zie de Azure Monitor-resource logboekreferentie.	Tabellen in een Log Analytics-werkruimte worden automatisch gemaakt wanneer de eerste gegevens naar de werkruimte worden verzonden, dus alleen de werkruimte zelf moet bestaan.
Azure Storage-account	Opslaan voor controle, statische analyse of back-up. Opslag is mogelijk goedkoper dan andere opties en kan voor onbepaalde tijd worden bewaard. Gegevens verzenden naar onveranderbare opslag om te voorkomen dat ze worden gewijzigd. Stel het onveranderbare beleid voor het opslagaccount in, zoals beschreven in Beleid voor onveranderbaarheid configureren voor blobversies.	Opslagaccounts moeten zich in dezelfde regio bevinden als de resource die u bewaakt als de resource regionaal is. Diagnostische instellingen hebben geen toegang tot opslagaccounts wanneer virtuele netwerken zijn ingeschakeld. U moet vertrouwde Microsoft-services inschakelen om deze firewallinstelling in opslagaccounts te omzeilen, zodat de service diagnostische instellingen van Azure Monitor toegang krijgt tot uw opslagaccount. Azure DNS-zone-eindpunten (preview) en Premium-opslagaccounts worden niet ondersteund als bestemmingen. Alle Standard-opslagaccounts worden ondersteund.
Azure Event Hubs	Gegevens streamen naar externe systemen, zoals SIEM-oplossingen (Security Information and Event Management) van niet-Microsoft en andere Log Analytics-oplossingen.	Event Hubs moeten zich in dezelfde regio bevinden als de resource die u bewaakt als de resource regionaal is. U kunt geen gecomprimeerde Event Hub gebruiken omdat hiervoor een partitiesleutel is vereist die niet is opgenomen in Azure Monitor. Diagnostische instellingen hebben geen toegang tot Event Hubs wanneer virtuele netwerken zijn ingeschakeld. U moet vertrouwde Microsoft-services toestaan om deze firewallinstelling in Event Hubs te omzeilen, zodat de service diagnostische instellingen van Azure Monitor toegang krijgt tot uw Event Hub-resources. Het beleid voor gedeelde toegang voor een Event Hubs-naamruimte definieert de machtigingen die het streamingmechanisme heeft. Streaming naar Event Hubs vereist `Manage`, `Send`en `Listen` machtigingen. Als u de diagnostische instelling wilt bijwerken om streaming op te nemen, moet u over de `ListKey` machtiging beschikken voor die Event Hubs-autorisatieregel.
Azure Monitor-partneroplossingen	Gespecialiseerde integraties zijn mogelijk tussen Azure Monitor en andere niet-Microsoft-bewakingsplatforms. De oplossingen variëren per partner.	Zie de documentatie van Azure Native ISV Services voor meer informatie.

Methoden voor het creëren van een diagnostische omgeving

U kunt een diagnostische instelling maken met behulp van een van de volgende methoden.

Zie Activiteitenlogboek exporteren als u een diagnostische instelling voor het activiteitenlogboek wilt maken met behulp van Azure Portal. Zie Diagnostische instellingen voor beheergroepen om een diagnostische instelling voor een beheergroep te maken.

Gebruik de volgende stappen om een nieuwe diagnostische instelling te maken of een bestaande te bewerken in Azure Portal:

Selecteer diagnostische instellingen in het menu van een resource in de sectie Bewaking. Of, in het Azure Monitor-menu, selecteer Instellingen>Diagnostische instellingen. Selecteer vervolgens de resource.
Selecteer Diagnostische instelling toevoegen om een nieuwe instelling toe te voegen of selecteer Instelling Bewerken om een bestaande te bewerken.

Mogelijk hebt u meerdere diagnostische instellingen voor een resource nodig als u naar meerdere bestemmingen van hetzelfde type wilt verzenden. In het volgende voorbeeld ziet u de instellingen voor een sleutelkluisbron, maar het scherm is vergelijkbaar voor andere bronnen.
Geef uw instelling een beschrijvende naam als deze nog geen naam heeft.

In deze schermopname ziet u een voorbeeld van een sleutelkluis. Andere typen bronnen hebben verschillende sets categorieën.
Kies voor logboeken een categoriegroep of schakel de afzonderlijke selectievakjes in voor elke gegevenscategorie die u naar de bestemmingen wilt verzenden. De lijst met categorieën varieert voor elke Azure-service.
Voor metrische gegevens selecteert u AllMetrics als u metrische platformgegevens wilt verzamelen.
Schakel voor doeldetails het selectievakje in voor elke bestemming die u wilt opnemen in de diagnostische instellingen. Geef vervolgens de details op voor elke bestemming.

Als u een Log Analytics-werkruimte als bestemming selecteert, moet u mogelijk de verzamelingsmodus opgeven. Zie de verzamelingsmodus voor meer informatie.

Gebruik de cmdlet New-AzDiagnosticSetting om een diagnostische instelling te maken via Azure PowerShell. Zie de documentatie voor deze cmdlet voor beschrijvingen van parameters.

Important

U kunt deze methode niet gebruiken voor een activiteitenlogboek. Maak in plaats daarvan een Azure Resource Manager-sjabloon en implementeer deze met behulp van PowerShell.

In het volgende PowerShell-script wordt een diagnostische instelling gemaakt voor het verzenden van alle logboeken en metrische gegevens voor een sleutelkluis naar een Log Analytics-werkruimte:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Gebruik de opdracht az monitor diagnostic-settings create om een diagnostische instelling te maken via de Azure CLI. Zie de documentatie voor deze opdracht voor beschrijvingen van parameters.

Important

U kunt deze methode niet gebruiken voor een activiteitenlogboek. Maak in plaats daarvan een Azure Resource Manager-sjabloon en implementeer deze met behulp van de Azure CLI.

In het volgende voorbeeldscript wordt een diagnostische instelling gemaakt waarmee gegevens naar alle drie de bestemmingen worden verzonden. Als u de resourcespecifieke modus wilt opgeven als de service deze ondersteunt, voegt u de export-to-resource-specific parameter toe met een waarde van true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Met de volgende voorbeeldsjabloon wordt een diagnostische instelling gemaakt om alle auditlogboeken naar een Log Analytics-werkruimte te verzenden. De apiVersion waarde kan veranderen, afhankelijk van de resource in de scope. Zie Resource Manager-sjabloonvoorbeelden voor diagnostische instellingen in Azure Monitor voor voorbeeldsjablonen voor andere resources.

Dit is het sjabloonbestand:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Dit is het parameterbestand:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Warning

Wanneer u diagnostische instellingen voor een opslagaccount of een Event Hubs-naamruimte maakt of bijwerkt, kunt u dat account of de naamruimte niet selecteren als bestemming voor de resourcelogboeken of metrische gegevens. Deze beperking is opzettelijk aangebracht. Het verzenden van resourcelogboeken of meetgegevens van een resource naar dezelfde resource zou een oneindige lus van het genereren en schrijven van gegevens veroorzaken.

Dit ontwerp is alleen van toepassing op de UX-laag van Azure Portal. Als er echt gegevens naar dezelfde resource moeten worden geschreven en u bereid bent de bijbehorende risico's te accepteren, kunt u de diagnostische instelling maken met behulp van Azure PowerShell, de Azure CLI, de REST API, een Resource Manager-sjabloon of een ondersteunde Microsoft SDK.

Categoriegroepen

U kunt categoriegroepen gebruiken om resourcelogboeken te verzamelen op basis van vooraf gedefinieerde groeperingen in plaats van afzonderlijke logboekcategorieën te selecteren. Microsoft definieert de groeperingen om veelvoorkomende use cases te bewaken. Als de categorieën in de groep worden bijgewerkt, wordt uw logboekverzameling automatisch gewijzigd.

Niet alle Azure-services maken gebruik van categoriegroepen. Als categoriegroepen niet beschikbaar zijn voor een bepaalde resource, is de optie niet beschikbaar wanneer u de diagnostische instelling maakt.

Als u categoriegroepen in een diagnostische instelling gebruikt, kunt u geen afzonderlijke categorietypen selecteren. Er zijn momenteel twee categoriegroepen:

allLogs: Alle categorieën voor de bron.
audit: Alle resourcelogboeken die interacties van klanten met gegevens of de instellingen van de service vastleggen. U hoeft deze categoriegroep niet te selecteren als u de allLogs categoriegroep selecteert.

Note

Als u de audit categorie inschakelt in de diagnostische instellingen voor Azure SQL Database, wordt de controle voor de database niet geactiveerd. Als u databasecontrole wilt inschakelen, moet u deze inschakelen vanuit het controlevenster voor Azure SQL Database.

Beperkingen voor metrische gegevens

Niet alle metrische gegevens kunnen worden verzonden naar een Log Analytics-werkruimte met diagnostische instellingen. Zie de kolom Exportable in de lijst met ondersteunde metrische gegevens.

Diagnostische instellingen ondersteunen momenteel geen multidimensionale metrische gegevens. Metrische gegevens met dimensies worden geëxporteerd als platgemaakte singledimensionale metrische gegevens en geaggregeerd over dimensiewaarden. De metrische gegevens in een blockchain kunnen bijvoorbeeld IOReadBytes worden verkend en in kaart gebracht op een niveau per knooppunt. Wanneer de metrische waarde wordt geëxporteerd met diagnostische instellingen, worden alle gelezen bytes voor alle knooppunten weergegeven.

Als u de beperkingen voor specifieke metrische gegevens wilt omzeilen, kunt u deze handmatig extraheren met behulp van de REST API voor metrische gegevens. U kunt ze vervolgens importeren in een Log Analytics-werkruimte met behulp van de Logboekopname-API.

Kosten beheersen

Er zijn mogelijk kosten verbonden aan gegevens die diagnostische instellingen verzamelen. De kosten zijn afhankelijk van de bestemming die u kiest en het volume van verzamelde gegevens. Zie prijzen voor Azure Monitor voor meer informatie.

Verzamel alleen de categorieën die u nodig hebt voor elke service. Mogelijk wilt u ook geen metrische platformgegevens van Azure-resources verzamelen, omdat deze gegevens al worden verzameld in metrische gegevens. Configureer uw diagnostische gegevens om alleen metrische gegevens te verzamelen als u metrische gegevens in de werkruimte nodig hebt voor complexere analyse met logboekquery's.

Diagnostische instellingen staan geen gedetailleerd filteren binnen een geselecteerde categorie toe. U kunt gegevens filteren op ondersteunde tabellen in een Log Analytics-werkruimte met behulp van transformaties. Zie Transformaties in Azure Monitor voor meer informatie.

Tijd voordat gegevens naar bestemmingen worden verzonden

Nadat u een diagnostische instelling hebt gemaakt, moeten gegevens binnen 90 minuten naar uw geselecteerde bestemmingen stromen. Wanneer u gegevens naar een Log Analytics-werkruimte verzendt, wordt de tabel automatisch gemaakt als deze nog niet bestaat. De tabel wordt alleen gemaakt wanneer de bestemmingen de eerste logboekrecords ontvangen.

Als u binnen 24 uur geen informatie krijgt, ondervindt u mogelijk een van de volgende problemen:

Er worden geen logboeken gegenereerd.
Er is iets mis in het onderliggende routeringsmechanisme.

Probeer de configuratie uit te schakelen en vervolgens opnieuw in te schakelen. Als het probleem zich blijft voordoen, neemt u contact op met de ondersteuning van Azure via Azure Portal.

Analyses van toepassingen

Houd rekening met de volgende informatie voor diagnostische instellingen voor Application Insights-toepassingen:

De bestemming kan niet dezelfde Log Analytics-werkruimte zijn waarop uw Application Insights-resource is gebaseerd.
De Application Insights-gebruiker heeft geen toegang tot beide werkruimten. Stel de Log Analytics-toegangsbeheermodus in op Werkruimtemachtigingen vereist. Zorg er via Azure RBAC voor dat de gebruiker alleen toegang heeft tot de Log Analytics-werkruimte waarop de Application Insights-resource is gebaseerd.

Deze stappen zijn nodig omdat Application Insights toegang heeft tot gegevens over resources om volledige end-to-end transactiebewerkingen en nauwkeurige toepassingstoewijzingen te bieden. Deze resources omvatten Log Analytics-werkruimten. Omdat diagnostische logboeken dezelfde tabelnamen gebruiken, kunnen dubbele gegevens worden weergegeven als de gebruiker toegang heeft tot meerdere resources die dezelfde gegevens bevatten.

Troubleshooting

De categorie Metrische gegevens wordt niet ondersteund

Mogelijk ontvangt u een foutbericht dat lijkt op 'Metric category 'xxxx' wordt niet ondersteund wanneer u een Resource Manager-sjabloon, de REST API, de Azure CLI of Azure PowerShell gebruikt. Andere metrische categorieën dan AllMetrics worden niet ondersteund, met uitzondering van een beperkt aantal Azure-services. Verwijder andere namen van metrische categorieën dan AllMetrics en herhaal uw implementatie.

Instelling verdwijnt vanwege niet-ASCII-tekens in een resource-ID

Diagnostische instellingen bieden geen ondersteuning voor resource-id's met niet-ASCII-tekens (bijvoorbeeld Preproduccón). Omdat u de naam van resources in Azure niet kunt wijzigen, moet u een nieuwe resource maken zonder de niet-ASCII-tekens. Als de tekens zich in een resourcegroep bevinden, kunt u de resources verplaatsen naar een nieuwe groep.

Resource is inactief

Wanneer een resource inactief is en metrische gegevens met nulwaarden exporteert, wordt het exportmechanisme voor diagnostische instellingen incrementeel uitgeschakeld om onnodige kosten te voorkomen voor het exporteren en opslaan van nulwaarden. Deze back-off kan leiden tot een vertraging in de export van de volgende niet-nulwaarde. Dit gedrag is alleen van toepassing op geëxporteerde metrische gegevens en heeft geen invloed op waarschuwingen op basis van metrische gegevens of automatische schaalaanpassing.

Wanneer een resource gedurende één uur inactief is, wordt het exportmechanisme teruggezet naar 15 minuten. Deze situatie betekent dat er een potentiële latentie van maximaal 15 minuten is voordat de volgende niet-nulwaarde wordt geëxporteerd. De resource bereikt een maximale wachttijd van twee uur na zeven dagen inactiviteit. Nadat de resource niet-nulwaarden heeft geëxporteerd, wordt het exportmechanisme teruggezet naar de oorspronkelijke exportlatentie van drie minuten.

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-20