Ustawienia diagnostyczne w usłudze Azure Monitor
Ten artykuł zawiera szczegółowe informacje na temat tworzenia i konfigurowania ustawień diagnostycznych w celu wysyłania metryk platformy Azure, dzienników zasobów i dziennika aktywności do różnych miejsc docelowych.
Każdy zasób platformy Azure wymaga własnego ustawienia diagnostycznego, które definiuje następujące kryteria:
- Źródła: typ danych metryk i dzienników, które mają być wysyłane do miejsc docelowych zdefiniowanych w ustawieniu. Dostępne typy różnią się w zależności od typu zasobu.
- Miejsca docelowe: co najmniej jedno miejsce docelowe do wysłania.
Jedno ustawienie diagnostyczne może definiować nie więcej niż jedno z miejsc docelowych. Jeśli chcesz wysłać dane do więcej niż jednego z określonego typu docelowego (na przykład dwóch różnych obszarów roboczych usługi Log Analytics), utwórz wiele ustawień. Każdy zasób może mieć maksymalnie pięć ustawień diagnostycznych.
Ostrzeżenie
Jeśli musisz usunąć zasób, zmienić nazwę lub przenieść zasób albo zmigrować go między grupami zasobów lub subskrypcjami, najpierw usuń jego ustawienia diagnostyczne. W przeciwnym razie, jeśli ponownie utworzysz ten zasób, ustawienia diagnostyczne usuniętego zasobu mogą być dołączone do nowego zasobu, w zależności od konfiguracji zasobu dla każdego zasobu. Jeśli ustawienia diagnostyczne są dołączone do nowego zasobu, wznawia to zbieranie dzienników zasobów zgodnie z definicją w ustawieniu diagnostycznym i wysyła odpowiednie dane metryki i dziennika do wcześniej skonfigurowanego miejsca docelowego.
Dobrym rozwiązaniem jest również usunięcie ustawień diagnostycznych zasobu, który zamierzasz usunąć i nie planujesz używać go ponownie, aby zachować czyste środowisko.
Poniższy film wideo przeprowadzi Cię przez routing dzienników platformy zasobów z ustawieniami diagnostycznymi. Film został wykonany wcześniej. Należy pamiętać o następujących zmianach:
- Istnieją teraz cztery miejsca docelowe. Metryki i dzienniki platformy można wysyłać do niektórych partnerów usługi Azure Monitor.
- W listopadzie 2021 r. wprowadzono nową funkcję o nazwie grupy kategorii.
Informacje o tych nowszych funkcjach znajdują się w tym artykule.
Źródła
Istnieją trzy źródła informacji diagnostycznych:
- Metryki platformy są wysyłane automatycznie do metryk usługi Azure Monitor domyślnie i bez konfiguracji.
- Dzienniki platformy — zawierają szczegółowe informacje diagnostyczne i inspekcji dla zasobów platformy Azure i platformy Azure, od których zależą.
- Dzienniki zasobów nie są zbierane, dopóki nie zostaną przekierowane do miejsca docelowego.
- Dziennik aktywności zawiera informacje o zasobach spoza zasobu, na przykład podczas tworzenia lub usuwania zasobu. Wpisy istnieją samodzielnie, ale mogą być kierowane do innych lokalizacji.
Metryki
Ustawienie AllMetrics kieruje metryki platformy zasobu do innych miejsc docelowych. Ta opcja może nie być obecna dla wszystkich dostawców zasobów.
Dzienniki zasobów
Za pomocą dzienników zasobów możesz wybrać kategorie dzienników, które chcesz kierować indywidualnie lub wybrać grupę kategorii.
Grupy kategorii
Uwaga
Grupy kategorii nie mają zastosowania do wszystkich dostawców zasobów metryk. Jeśli dostawca nie ma ich dostępnych w ustawieniach diagnostycznych w witrynie Azure Portal, nie będzie on również dostępny za pośrednictwem szablonów usługi Azure Resource Manager.
Grupy kategorii umożliwiają dynamiczne zbieranie dzienników zasobów na podstawie wstępnie zdefiniowanych grup zamiast wybierania poszczególnych kategorii dzienników. Firma Microsoft definiuje grupy, aby ułatwić monitorowanie określonych przypadków użycia we wszystkich usługach platformy Azure. W miarę upływu czasu kategorie w grupie mogą być aktualizowane w miarę wdrażania nowych dzienników lub zmiany ocen. Gdy kategorie dzienników zostaną dodane lub usunięte z grupy kategorii, kolekcja dzienników zostanie zmodyfikowana automatycznie bez konieczności aktualizowania ustawień diagnostycznych.
W przypadku korzystania z grup kategorii:
- Nie można już indywidualnie wybierać dzienników zasobów na podstawie poszczególnych typów kategorii.
- Nie można już stosować ustawień przechowywania do dzienników wysyłanych do usługi Azure Storage.
Obecnie istnieją dwie grupy kategorii:
- Wszystko: każdy dziennik zasobów oferowany przez zasób.
- Inspekcja: wszystkie dzienniki zasobów, które rejestrują interakcje klientów z danymi lub ustawieniami usługi. Dzienniki inspekcji to próba dostarczenia najbardziej odpowiednich danych inspekcji przez każdego dostawcę zasobów, ale może nie być traktowana jako wystarczająca z perspektywy standardów inspekcji w zależności od przypadku użycia. Jak wspomniano powyżej, zbierane dane są dynamiczne, a firma Microsoft może zmieniać je wraz z upływem czasu, gdy nowe kategorie dzienników zasobów staną się dostępne.
Grupa kategorii "Inspekcja" jest podzbiorem grupy kategorii "Wszystkie", ale witryna Azure Portal i interfejs API REST uwzględniają je oddzielne ustawienia. Wybranie grupy kategorii "Wszystkie" spowoduje zebranie wszystkich dzienników inspekcji, nawet jeśli wybrano również grupę kategorii "Inspekcja".
Na poniższej ilustracji przedstawiono grupy kategorii dzienników na stronie Dodawanie ustawień diagnostycznych.
Uwaga
Włączenie inspekcji dla usługi Azure SQL Database nie włącza inspekcji dla usługi Azure SQL Database. Aby włączyć inspekcję bazy danych, trzeba włączyć ją w bloku inspekcji dla usługi Azure Database.
Dziennik aktywności
Zobacz sekcję Ustawienia dziennika aktywności.
Miejsca docelowe
Dzienniki i metryki platformy można wysyłać do miejsc docelowych wymienionych w poniższej tabeli.
Aby zapewnić bezpieczeństwo przesyłanych danych, wszystkie docelowe punkty końcowe są skonfigurowane do obsługi protokołu TLS 1.2.
| Element docelowy | opis |
|---|---|
| Obszar roboczy usługi Log Analytics | Metryki są konwertowane na formularz dziennika. Ta opcja może nie być dostępna dla wszystkich typów zasobów. Wysyłanie ich do magazynu dzienników usługi Azure Monitor (które można przeszukiwać za pośrednictwem usługi Log Analytics) pomaga zintegrować je z zapytaniami, alertami i wizualizacjami z istniejącymi danymi dziennika. |
| konto usługi Azure Storage | Archiwizowanie dzienników i metryk na koncie magazynu jest przydatne w przypadku inspekcji, analizy statycznej lub tworzenia kopii zapasowej. W porównaniu z używaniem dzienników usługi Azure Monitor lub obszaru roboczego usługi Log Analytics magazyn jest mniej kosztowny, a dzienniki mogą być przechowywane w nieskończoność. |
| Azure Event Hubs | Podczas wysyłania dzienników i metryk do usługi Event Hubs można przesyłać strumieniowo dane do systemów zewnętrznych, takich jak rozwiązania SIEM innych firm i inne rozwiązania usługi Log Analytics. |
| Rozwiązania partnerskie usługi Azure Monitor | Wyspecjalizowane integracje można tworzyć między usługą Azure Monitor i innymi platformami monitorowania innych niż Microsoft. Integracja jest przydatna, gdy korzystasz już z jednego z partnerów. |
Ustawienia dziennika aktywności
Dziennik aktywności używa ustawienia diagnostycznego, ale ma własny interfejs użytkownika, ponieważ dotyczy całej subskrypcji, a nie poszczególnych zasobów. Informacje docelowe wymienione tutaj nadal mają zastosowanie. Aby uzyskać więcej informacji, zobacz Dziennik aktywności platformy Azure.
Wymagania i ograniczenia
W tej sekcji omówiono wymagania i ograniczenia.
Czas przed przejściem telemetrii do miejsca docelowego
Po skonfigurowaniu ustawienia diagnostycznego dane powinny zacząć przepływać do wybranych miejsc docelowych w ciągu 90 minut. Podczas wysyłania dzienników do obszaru roboczego usługi Log Analytics tabela jest tworzona automatycznie, jeśli jeszcze nie istnieje. Tabela jest tworzona tylko po odebraniu pierwszych rekordów dziennika. Jeśli nie uzyskasz żadnych informacji w ciągu 24 godzin, może wystąpić jeden z następujących problemów:
- Dzienniki nie są generowane.
- Coś jest nie tak w podstawowym mechanizmie routingu.
Jeśli występuje problem, możesz spróbować wyłączyć konfigurację, a następnie ponownie ją opublikować. Jeśli nadal masz problemy, skontaktuj się z pomoc techniczna platformy Azure za pośrednictwem witryny Azure Portal.
Metryki jako źródło
Istnieją pewne ograniczenia dotyczące eksportowania metryk:
- Wysyłanie metryk wielowymiarowych za pośrednictwem ustawień diagnostycznych nie jest obecnie obsługiwane. Metryki z wymiarami są eksportowane jako spłaszczone metryki jednowymiarowe, agregowane między wartościami wymiarów. Na przykład metryka IOReadBytes w łańcuchu bloków może być eksplorowana i wykresowana na poziomie poszczególnych węzłów. Jednak w przypadku eksportowania za pośrednictwem ustawień diagnostycznych wyeksportowana metryka pokazuje wszystkie bajty odczytu dla wszystkich węzłów.
- Nie wszystkie metryki można eksportować przy użyciu ustawień diagnostycznych. Ze względu na ograniczenia wewnętrzne nie wszystkie metryki można eksportować do dzienników usługi Azure Monitor lub usługi Log Analytics. Aby uzyskać więcej informacji, zobacz kolumnę Eksportowanie na liście obsługiwanych metryk.
Aby obejść te ograniczenia dotyczące określonych metryk, możesz je ręcznie wyodrębnić przy użyciu interfejsu API REST metryk. Następnie możesz zaimportować je do dzienników usługi Azure Monitor przy użyciu interfejsu API modułu zbierającego dane usługi Azure Monitor.
Ograniczenia lokalizacji docelowej
Przed utworzeniem ustawień diagnostycznych należy utworzyć wszystkie lokalizacje docelowe dla ustawienia diagnostycznego. Miejsce docelowe nie musi znajdować się w tej samej subskrypcji co zasób wysyłający dzienniki, jeśli użytkownik, który konfiguruje to ustawienie, ma odpowiedni dostęp kontroli dostępu opartej na rolach platformy Azure do obu subskrypcji. Za pomocą usługi Azure Lighthouse można również mieć ustawienia diagnostyczne wysyłane do obszaru roboczego, konta magazynu lub centrum zdarzeń w innej dzierżawie firmy Microsoft Entra.
Poniższa tabela zawiera unikatowe wymagania dla każdego miejsca docelowego, w tym wszelkie ograniczenia regionalne.
| Element docelowy | Wymagania |
|---|---|
| Obszar roboczy usługi Log Analytics | Obszar roboczy nie musi znajdować się w tym samym regionie co monitorowany zasób. |
| Konto magazynu | Nie używaj istniejącego konta magazynu, które ma inne, niemonitorujące dane przechowywane w nim. Dzielenie typów danych pozwala lepiej kontrolować dostęp do danych. Jeśli archiwizowasz dziennik aktywności i dzienniki zasobów razem, możesz użyć tego samego konta magazynu, aby zachować wszystkie dane monitorowania w centralnej lokalizacji. Aby zapobiec modyfikacji danych, wyślij je do niezmiennego magazynu. Ustaw niezmienne zasady dla konta magazynu zgodnie z opisem w temacie Ustawianie zasad niezmienności dla usługi Azure Blob Storage i zarządzanie nimi. Należy wykonać wszystkie kroki opisane w tym połączonym artykule, w tym włączanie chronionych uzupełnialnych zapisów obiektów blob. Konto magazynu musi znajdować się w tym samym regionie co monitorowany zasób, jeśli zasób jest regionalny. Ustawienia diagnostyczne nie mogą uzyskiwać dostępu do kont magazynu po włączeniu sieci wirtualnych. Należy włączyć opcję Zezwalaj na zaufane usługi firmy Microsoft, aby pominąć to ustawienie zapory na kontach magazynu, aby usługa ustawień diagnostycznych usługi Azure Monitor udzieliła dostępu do konta magazynu. Punkty końcowe strefy DNS platformy Azure (wersja zapoznawcza) i konta magazynu usługi Azure Premium LRS (magazyn lokalnie nadmiarowy) nie są obsługiwane jako miejsce docelowe dziennika ani metryki. |
| Event Hubs | Zasady dostępu współdzielonego dla przestrzeni nazw definiują uprawnienia, które ma mechanizm przesyłania strumieniowego. Przesyłanie strumieniowe do usługi Event Hubs wymaga uprawnień do zarządzania, wysyłania i nasłuchiwania. Aby zaktualizować ustawienie diagnostyczne w celu przesyłania strumieniowego, musisz mieć uprawnienie ListKey dla tej reguły autoryzacji usługi Event Hubs. Przestrzeń nazw centrum zdarzeń musi znajdować się w tym samym regionie co monitorowany zasób, jeśli zasób jest regionalny. Ustawienia diagnostyczne nie mogą uzyskać dostępu do zasobów usługi Event Hubs po włączeniu sieci wirtualnych. Należy włączyć opcję Zezwalaj na zaufane usługi firmy Microsoft, aby pominąć to ustawienie zapory w usłudze Event Hubs, aby usługa ustawień diagnostycznych usługi Azure Monitor uzyskała dostęp do zasobów usługi Event Hubs. |
| Rozwiązania partnerów | Rozwiązania różnią się w zależności od partnera. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją usługi Azure Native ISV Services. |
Uwaga
Jeśli chcesz przechowywać dzienniki diagnostyczne w obszarze roboczym usługi Log Analytics, należy wziąć pod uwagę dwa punkty, aby uniknąć wyświetlania zduplikowanych danych w usłudze Application Szczegółowe informacje:
- Miejscem docelowym nie może być ten sam obszar roboczy usługi Log Analytics, na którym opiera się zasób usługi Application Insights.
- Użytkownik usługi Application Insights nie może mieć dostępu do obu obszarów roboczych. Ustaw tryb kontroli dostępu do usługi Log Analytics na wymaga uprawnień do obszaru roboczego. Korzystając z kontroli dostępu na podstawie ról na platformie Azure, upewnij się, że użytkownik ma dostęp tylko do obszaru roboczego usługi Log Analytics, na którym opiera się zasób usługi Application Insights.
Te kroki są niezbędne, ponieważ usługa Application Insights uzyskuje dostęp do danych telemetrycznych we wszystkich zasobach usługi Application Insights, w tym w obszarach roboczych usługi Log Analytics, w celu zapewnienia pełnych informacji o operacjach transakcji i dokładnych map aplikacji. Ponieważ dzienniki diagnostyczne używają tych samych nazw tabel, gdy użytkownik ma dostęp do wielu zasobów zawierających te same dane, mogą być wyświetlane zduplikowane dane telemetryczne.
Kontrolowanie kosztów
Istnieje koszt zbierania danych w obszarze roboczym usługi Log Analytics, więc zbieraj tylko wymagane kategorie dla każdej usługi. Ilość danych dzienników zasobów różni się znacznie między usługami.
Możesz również nie chcieć zbierać metryk platformy z zasobów platformy Azure, ponieważ te dane są już zbierane w obszarze Metryki. Skonfiguruj dane diagnostyczne tylko w celu zbierania metryk, jeśli potrzebujesz danych metryk w obszarze roboczym, aby uzyskać bardziej złożoną analizę za pomocą zapytań dzienników. Ustawienia diagnostyczne nie zezwalają na szczegółowe filtrowanie dzienników zasobów.
Napiwek
Aby uzyskać strategie zmniejszenia kosztów usługi Azure Monitor, zobacz Optymalizacja kosztów i Usługa Azure Monitor.