Używanie kont magazynu zarządzanych przez klienta w dziennikach usługi Azure Monitor

Usługa Azure Monitor zwykle automatycznie zarządza magazynem, ale niektóre scenariusze wymagają skonfigurowania konta magazynu zarządzanego przez klienta. W tym artykule opisano przypadki użycia, wymagania i procedury konfigurowania linku konta magazynu zarządzanego przez klienta do obszaru roboczego usługi Log Analytics.

Scenariusze wymagające konta magazynu zarządzanego przez klienta
Łącza prywatne używane do pozyskiwania dzienników niestandardowych/IIS
Szyfrowanie danych za pomocą klucza zarządzanego przez klienta (CMK) zapytań dotyczących alertów dziennika i zapytań zapisanych.

Niestandardowa zawartość logów załadowana do kont magazynowych zarządzanych przez klienta może zmienić się w formatowaniu lub w inny nieoczekiwany sposób. Uważnie zastanów się nad zależnościami tej zawartości i zapoznaj się ze specjalnymi okolicznościami twojego przypadku użycia.

Wymagania wstępne

Ostrzeżenie

Od 30 czerwca 2025 r. tworzenie lub aktualizowanie dzienników niestandardowych i dzienników usług IIS powiązanych kont magazynowania nie będzie już możliwe. Istniejące konta przechowywania zostaną odłączone najpóźniej do 1 listopada 2025 r. Zdecydowanie zalecamy migrację do agenta usługi Azure Monitor, aby uniknąć utraty danych. Aby uzyskać więcej informacji, zobacz Omówienie agenta usługi Azure Monitor.

Ostrzeżenie

Od 31 sierpnia 2025 r. obszary robocze usługi Log Analytics muszą mieć przypisaną tożsamość zarządzaną (MSI), aby dodawać lub aktualizować połączone konta magazynowania dla bezpiecznych zapytań i alertów logów. Aby uzyskać więcej informacji, zobacz Łączenie kont magazynu z obszarem roboczym usługi Log Analytics.

Akcja	Wymagane uprawnienie
Zarządzanie skojarzonymi kontami magazynu w przestrzeni roboczej	Microsoft.OperationalInsights/workspaces/write — zakres obszaru roboczego , na przykład udostępniony przez wbudowaną rolę Współautor analizy dzienników.
Przypisywanie dowolnej tożsamości zarządzanej do obszaru roboczego	Microsoft.OperationalInsights/workspaces/write — zakres obszaru roboczego , na przykład udostępniony przez wbudowaną rolę Współautor analizy dzienników.
Zarządzanie tożsamością zarządzaną przypisaną przez użytkownika dla obszaru roboczego	Microsoft.ManagedIdentity/userAssignedIdentities/assign/action — zakres tożsamości, na przykład udostępniany przez wbudowane role, operator tożsamości zarządzanej lub współautor tożsamości zarządzanej.
Minimalne wymagane uprawnienia tożsamości zarządzanej dla konta magazynu	Współautor danych tabeli magazynowania.

Ponadto połączone konto pamięci masowej musi znajdować się w tym samym regionie co obszar roboczy.

Łącza prywatne

Konta magazynu zarządzane przez klienta służą do pozyskiwania dzienników niestandardowych, gdy linki prywatne są używane do łączenia się z zasobami usługi Azure Monitor. Proces pozyskiwania tych typów danych najpierw przekazuje dzienniki do pośredniego konta usługi Azure Storage, a następnie pozyskuje je do obszaru roboczego.

Wymagania dotyczące obszaru roboczego

Po nawiązaniu połączenia z usługą Azure Monitor za pośrednictwem łącza prywatnego agent usługi Azure Monitor może wysyłać dzienniki tylko do obszarów roboczych dostępnych za pośrednictwem łącza prywatnego. To wymaganie oznacza, że należy wykonać następujące konieczność:

• Skonfiguruj obiekt Azure Monitor Private Link Scope (AMPLS).
• Połącz go z obszarami roboczymi.
• Połącz aplikację AMPLS z siecią za pośrednictwem łącza prywatnego.

Aby uzyskać więcej informacji na temat procedury konfiguracji AMPLS, zobacz Używanie usługi Azure Private Link do bezpiecznego łączenia sieci z usługą Azure Monitor.

Wymagania dotyczące konta magazynowego dla łącza prywatnego

Po nawiązaniu połączenia z Azure Monitor łącze prywatne musi również umożliwiać dostęp do konta magazynu. To wymaganie oznacza, że należy: Aby konto magazynowe mogło się połączyć z linkiem prywatnym, musi:

• Znajduj się w swojej sieci wirtualnej lub sieci powiązanej i bądź połączona ze swoją siecią wirtualną za pośrednictwem łącza prywatnego.

• Zezwalaj usłudze Azure Monitor na dostęp do konta magazynu. Aby zezwolić tylko określonym sieciom na dostęp do konta magazynu, wybierz wyjątek Zezwalaj zaufanym usługi firmy Microsoft na dostęp do tego konta magazynu.

  

Jeśli obszar roboczy obsługuje ruch z innych sieci, skonfiguruj konto magazynu, aby zezwolić na ruch przychodzący z odpowiednich sieci/Internetu.

Koordynuj wersję protokołu TLS między agentami a kontem przechowywania. Zalecamy wysyłanie danych do dzienników usługi Azure Monitor przy użyciu protokołu TLS 1.2 lub nowszego. W razie potrzeby skonfiguruj agentów do używania protokołu TLS. Jeśli to jest niemożliwe, skonfiguruj konto magazynu tak, aby akceptowało protokół TLS 1.2.

Szyfrowanie danych klucza zarządzanego przez klienta

Usługa Azure Storage szyfruje wszystkie dane magazynowane na koncie magazynu. Domyślnie szyfruje dane przy użyciu kluczy zarządzanych przez firmę Microsoft (MMKs). Jednak usługa Azure Storage umożliwia również szyfrowanie danych magazynu przy użyciu kluczy zarządzanych przez klienta (CMKS) z usługi Azure Key Vault. Zaimportuj własne klucze do usługi Key Vault lub użyj interfejsów API usługi Key Vault do generowania kluczy.

Konto magazynu zarządzanego przez klienta jest wymagane w przypadku:

• Szyfrowanie zapytań dotyczących alertów dzienników za pomocą zestawów CMKs.
• Szyfrowanie zapisanych zapytań przy użyciu Kluczy Zarządzanych przez Klienta (CMK).

Skonfiguruj konto magazynu, aby używać Kluczy Zarządzanych przez Klienta (CMKs) wraz z Azure Key Vault. Aby uzyskać więcej informacji, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla usługi Azure Storage.

Zagadnienia dotyczące magazynu zarządzanego przez klienta za pomocą CMK

Konto magazynowe i skarbiec kluczy muszą znajdować się w tym samym regionie. Nie muszą jednak pochodzić z tej samej subskrypcji. Więcej informacji można znaleźć w sekcji Szyfrowanie danych przechowywanych w usłudze Azure Storage.

Przypadek specjalny	Działania naprawcze
Gdy konto magazynowe jest powiązane z zapytaniami, istniejące zapisane zapytania i funkcje w obszarze roboczym są trwale usuwane w celu zachowania prywatności i są przeniesione do tabeli na koncie magazynowym.	Przed skonfigurowaniem łącza magazynu skopiuj istniejące zapisane zapytania. Oto przykład użycia programu PowerShell. Możesz odłączyć konto magazynu dla zapytań, aby przenieść zapisane zapytania i funkcje z powrotem do obszaru roboczego. Odśwież przeglądarkę, jeśli zapisane zapytania lub funkcje nie są wyświetlane w Azure Portal po wykonaniu operacji.
Zapytania zapisane w pakietach zapytań nie są szyfrowane za pomocą CMK.	Wybierz pozycję Zapisz jako zapytanie 'starsze' przy zapisywaniu zapytań, aby chronić je za pomocą Klucza zarządzanego przez klienta (CMK).
Zapisane zapytania i alerty wyszukiwania dzienników nie są domyślnie szyfrowane w magazynie zarządzanym przez klienta.	Szyfruj konto magazynu przy użyciu klucza zarządzanego przez klienta podczas jego tworzenia, mimo że klucz ten można skonfigurować także później.
Do wszystkich celów można używać pojedynczego konta magazynu StorageV2 — zapytań, alertów, dzienników niestandardowych i dzienników usług IIS.	Łączenie magazynu dla dzienników niestandardowych i dzienników usług IIS może wymagać większej liczby kont magazynu (do 5 na obszar roboczy) na potrzeby skalowania, w zależności od szybkości pozyskiwania i limitów magazynu. Należy pamiętać, że cała pamięć zarządzana przez klienta dla niestandardowych dzienników i dzienników IIS zostanie odłączona 1 listopada 2025 r.

Łączenie kont magazynu z obszarem roboczym usługi Log Analytics

Następujące wymagania zostaną wymuszone nie wcześniej niż 31 sierpnia 2025 r.

Nadchodzące wymaganie	Opis
Tożsamość zarządzana przypisana do obszaru roboczego	Tworzenie nowych linków do kont magazynu zarządzanych przez klienta, gdy żadna tożsamość zarządzana nie zostanie przypisana, zostanie zablokowane dla wszystkich obszarów roboczych, łącznie z aktualizacją istniejących łączy.
Konto magazynowania skonfigurowane z przypisaniem roli dla zarządzanej tożsamości	Utworzenie nowych połączeń do klienckich kont magazynu, gdy konto magazynu nie ma przypisanej roli dla zarządzanej tożsamości, zostanie zablokowane dla wszystkich obszarów roboczych, a zmiana istniejących połączeń również zostanie zablokowana.

Tworzenie tożsamości zarządzanej

Przygotuj się do nadchodzącej zmiany sposobu egzekwowania, konfigurując obszar roboczy z zarządzaną tożsamością.

Dopóki nie zostanie to wymuszone, obszar roboczy nie będzie korzystać z tożsamości zarządzanej do uwierzytelniania w prywatnym magazynie. Nie usuwaj istniejącej metody uwierzytelniania do momentu ogłoszenia, że tożsamości zarządzane są włączone do uwierzytelniania w prywatnej pamięci.

Utwórz lub zaktualizuj obszar roboczy przy użyciu tożsamości zarządzanej przy użyciu jednej z następujących metod:

• Ustawienia tożsamości obszarów roboczych Log Analytics w portalu Azure
• Biceps
• REST API
• Interfejs wiersza polecenia platformy Azure.

Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Dodaj przypisanie roli

Po przypisaniu tożsamości zarządzanej do obszaru roboczego zaktualizuj konto magazynu, aby zezwolić na dostęp do tożsamości zarządzanej. Przypisz tej tożsamości rolę Storage Table Data Contributor na koncie magazynu, aby umożliwić obszarowi roboczemu dostęp do zapisanych zapytań i zapytań dotyczących logów alarmów. Zwróć uwagę na wymagane uprawnienia wymagane do przypisywania tożsamości zarządzanych i zarządzania tożsamościami przypisanymi przez użytkownika.

Dodawanie linku

Portal Azure

W witrynie Azure Portal otwórz menu obszaru roboczego i wybierz pozycję Połączone konta magazynu. Połączone konto przechowywania jest wyświetlane dla każdego typu.

Wybranie Typu lub ikony połączenia otwiera szczegóły linku konta magazynowego, umożliwiając skonfigurowanie lub aktualizację połączonego konta magazynowego dla tego typu. Użyj tego samego konta magazynu dla wielu typów, aby zmniejszyć złożoność.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać więcej informacji, zobacz Konfigurowanie połączonego konta magazynu za pomocą interfejsu wiersza polecenia platformy Azure.

Odpowiednie dataSourceType wartości to:

• CustomLogs: Aby użyć konta magazynu do dzienników niestandardowych i przetwarzania dzienników usług IIS. Należy pamiętać, że cała pamięć zarządzana przez klienta dla niestandardowych dzienników i dzienników IIS zostanie odłączona 1 listopada 2025 r.
• Query: Aby używać konta magazynu do przechowywania zapisanych zapytań (wymaganych do szyfrowania cmK).
• Alerts: Aby używać konta magazynu do przechowywania alertów opartych na dziennikach (wymaganych do szyfrowania CMK).

API REST

Aby uzyskać więcej informacji, zobacz Konfigurowanie połączonego konta magazynu przy użyciu interfejsu API REST.

Odpowiednie dataSourceType wartości to:

• CustomLogs: Aby użyć konta magazynu do dzienników niestandardowych i przetwarzania dzienników usług IIS. Należy pamiętać, że cała pamięć zarządzana przez klienta dla niestandardowych dzienników i dzienników IIS zostanie odłączona 1 listopada 2025 r.
• Query: Aby używać konta magazynu do przechowywania zapisanych zapytań (wymaganych do szyfrowania cmK).
• Alerts: Aby używać konta magazynu do przechowywania alertów opartych na dziennikach (wymaganych do szyfrowania CMK).

Zarządzanie połączonymi kontami magazynu

Skorzystaj z tych wskazówek, aby zarządzać połączonymi kontami przechowywania.

Tworzenie lub modyfikowanie łącza

Po połączeniu konta magazynu z obszarem roboczym, Azure Monitor Logs zaczyna go używać zamiast dotychczasowego konta magazynu należącego do usługi. Masz następujące możliwości:

• Zarejestruj wiele kont magazynu, aby rozłożyć obciążenie dzienników między nimi.
• Użyj ponownie tego samego konta magazynu dla wielu obszarów roboczych.

Odłączanie konta magazynu

Aby zatrzymać korzystanie z konta pamięci masowej, odłącz je od obszaru roboczego. Po odłączeniu wszystkich kont magazynu z obszaru roboczego, dzienniki Azure Monitor używają kont magazynu zarządzanych przez usługę. Jeśli sieć ma ograniczony dostęp do Internetu, te konta magazynu mogą być niedostępne, a każdy scenariusz, który opiera się na magazynie, zakończy się niepowodzeniem.

Zastąpić konto przechowywania

Aby zastąpić konto magazynu używane do pozyskiwania danych:

1. Utwórz link do nowego konta magazynu. Agenci rejestrowania uzyskują zaktualizowaną konfigurację i zaczynają wysyłać dane do nowego magazynu. Proces może potrwać kilka minut.
2. Odłącz stare konto magazynu, aby agenci przestali zapisywać dane na usuniętym koncie. Proces pozyskiwania kontynuuje odczytywanie danych z tego konta, dopóki nie zostanie pozyskane. Nie usuwaj konta magazynu, dopóki nie zobaczysz, że wszystkie dzienniki zostały pozyskane.

Obsługa kont magazynu

Postępuj zgodnie z poniższymi wskazówkami, aby obsługiwać konta magazynu.

Zarządzanie przechowywaniem dzienników

W przypadku korzystania z własnego konta magazynowego, przechowywanie jest zależne od Ciebie. Dzienniki usługi Azure Monitor nie usuwa dzienników przechowywanych w magazynie prywatnym. Zamiast tego należy skonfigurować zasady do obsługi obciążenia zgodnie z preferencjami.

Rozważ obciążenie

Konta magazynu mogą obsługiwać pewne obciążenia żądań odczytu i zapisu przed rozpoczęciem ograniczania żądań. Aby uzyskać więcej informacji, zobacz Cele dotyczące skalowalności i wydajności dla usługi Azure Blob Storage.

Ograniczanie wpływa na czas pozyskiwania dzienników. Jeśli konto magazynu jest przeciążone, zarejestruj inne konto magazynu, aby rozłożyć obciążenie między nimi. Aby monitorować pojemność i wydajność konta magazynu, przejrzyj jego szczegółowe informacje w witrynie Azure Portal.

Powiązane opłaty

Opłaty są naliczane za konta magazynowe na podstawie ilości przechowywanych danych, rodzaju magazynu i rodzaju redundancji. Aby uzyskać więcej informacji, zobacz Cennik blokowych obiektów blob i Cennik usługi Azure Table Storage.

Następne kroki

• Dowiedz się więcej na temat używania usługi Private Link do bezpiecznego łączenia sieci z usługą Azure Monitor.
• Dowiedz się więcej o kluczach zarządzanych przez klienta usługi Azure Monitor.