Ustawienia diagnostyczne w Azure Monitor

Można użyć ustawień diagnostycznych w Azure Monitor do zbierania logów zasobów oraz wysyłania metryk platformy i dziennika aktywności do różnych miejsc docelowych. Utwórz oddzielne ustawienie diagnostyczne dla każdego zasobu, z którego chcesz zbierać dane. Każde ustawienie definiuje dane z zasobu do zbierania i miejsc docelowych do wysyłania tych danych. W tym artykule opisano szczegóły ustawień diagnostycznych, w tym sposób ich tworzenia i lokalizacji docelowych dostępnych do wysyłania danych.

Diagram przedstawiający zbieranie dzienników aktywności, dzienników zasobów i metryk platformy.

W poniższym filmie omówiono routing dzienników platformy zasobów przy użyciu ustawień diagnostycznych. Następujące zmiany zostały wprowadzone w ustawieniach diagnostycznych od momentu zarejestrowania filmu wideo, ale te tematy zostały omówione w tym artykule.

Partnerzy Azure Monitor
Grupy kategorii

Warning

Usuń wszystkie ustawienia diagnostyczne zasobu, jeśli usuniesz lub zmienisz jego nazwę albo przeprowadzisz migrację między grupami zasobów lub subskrypcjami. Jeśli ustawienie diagnostyczne nie zostanie usunięte i ten zasób zostanie utworzony ponownie, wszystkie ustawienia diagnostyczne usuniętego zasobu mogą zostać zastosowane do nowego zasobu. W przypadku niektórych typów zasobów ta sytuacja wznowi zbieranie dzienników zasobów zgodnie z definicją w ustawieniu diagnostycznym.

Sources

Ustawienia diagnostyczne mogą zbierać dane ze źródeł w poniższej tabeli. Aby uzyskać szczegółowe informacje na temat danych zbieranych przez każde źródło i jego format w każdym miejscu docelowym, zobacz połączony artykuł.

Źródło danych	Description
Metryki platformy	Automatycznie zbierane bez konfiguracji. Użyj ustawienia diagnostycznego, aby wysyłać metryki platformy do innych miejsc docelowych.
dziennika aktywności	Automatycznie zbierane bez konfiguracji. Użyj ustawienia diagnostycznego, aby wysyłać wpisy dziennika aktywności do innych miejsc docelowych.
Dzienniki zasobów	Nie są zbierane domyślnie. Utwórz ustawienie diagnostyczne w celu zbierania dzienników zasobów.

Destinations

Ustawienia diagnostyczne wysyłają dane do miejsc docelowych w poniższej tabeli. Aby zapewnić bezpieczeństwo przesyłanych danych, wszystkie docelowe punkty końcowe są skonfigurowane do obsługi protokołu TLS 1.2.

Jedno ustawienie diagnostyczne może definiować nie więcej niż jedno miejsce docelowe. Jeśli chcesz wysłać dane do więcej niż jednego z określonego typu miejsca docelowego (na przykład dwóch Log Analytics obszarów roboczych), utwórz wiele ustawień. Każdy zasób może mieć maksymalnie pięć ustawień diagnostycznych.

Wszystkie lokalizacje docelowe używane przez ustawienie diagnostyczne muszą istnieć przed utworzeniem ustawienia. Lokalizacja docelowa nie musi znajdować się w tej samej subskrypcji, co zasób, który wysyła dzienniki, jeśli użytkownik, który konfiguruje to ustawienie, ma odpowiedni dostęp do obu subskrypcji za pomocą Azure RBAC (kontrola dostępu oparta na rolach). Użyj Azure Lighthouse, aby uwzględnić destynacje w innej dzierżawie Microsoft Entra.

Destination	Description	Requirements
obszar roboczy Log Analytics	Pobieranie danych przy użyciu zapytań dziennika i skoroszytów. Alerty dzienników umożliwiają proaktywne zgłaszanie alertów dotyczących danych. Aby zapoznać się z tabelami używanymi przez różne zasoby Azure, zobacz dokumentację dziennika zasobów Azure Monitor.	Wszystkie tabele w obszarze roboczym Log Analytics są tworzone automatycznie po wysłaniu pierwszych danych do obszaru roboczego, więc tylko sam obszar roboczy musi istnieć.
konto usługi Azure Storage	Przechowywanie na potrzeby inspekcji, analizy statycznej lub kopii zapasowej. Przechowywanie może być mniej kosztowne niż inne opcje i może być przechowywane bezterminowo. Wysyłanie danych do magazynu niezmiennego, aby zapobiec jego modyfikacji. Ustaw politykę niezmienności dla konta magazynu, jak opisano w Konfigurowanie zasad niezmienności dla wersji obiektów blob.	Konta magazynu muszą znajdować się w tym samym regionie co zasób, który monitorujesz, jeśli zasób jest regionalny. Ustawienia diagnostyki nie mogą uzyskiwać dostępu do kont storage po włączeniu sieci wirtualnych. Należy włączyć opcję Zezwalaj zaufanym usługom Microsoft, aby pominąć to ustawienie zapory sieciowej na kontach magazynu. Dzięki temu usługa ustawień diagnostycznych Azure Monitor uzyska dostęp do konta magazynu. Punkty końcowe strefy Azure DNS (wersja zapoznawcza) i wszystkie konta magazynu Premium nie są obsługiwane jako docelowe miejsca. Obsługiwane są wszystkie konta magazynowe typu Standard.
Azure Event Hubs	Przesyłanie danych strumieniowo do zewnętrznych systemów, takich jak rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń firmy innej niż Microsoft (SIEM) i inne rozwiązania Log Analytics.	Centra zdarzeń muszą znajdować się w tym samym regionie co zasób monitorujący, jeśli zasób jest regionalny. Nie można użyć skomplikowanego centrum zdarzeń, ponieważ wymaga, aby komunikat miał klucz partycji, którego Azure Monitor nie zawiera. Ustawienia diagnostyczne nie mogą uzyskiwać dostępu do centrów zdarzeń po włączeniu sieci wirtualnych. Należy włączyć Allow trusted Microsoft services, aby pominąć to ustawienie zapory w centrum zdarzeń, dzięki czemu usługa Azure Monitor z ustawieniami diagnostycznymi uzyska dostęp do zasobów twojego centrum zdarzeń. Zasady dostępu współdzielonego dla przestrzeni nazw usługi Event Hubs definiują uprawnienia, które ma mechanizm przesyłania strumieniowego. Przesyłanie strumieniowe do centrów zdarzeń wymaga uprawnień , i . Aby zaktualizować ustawienie diagnostyczne do uwzględnienia streamingu, musisz mieć uprawnienia do reguły autoryzacji Event Hubs.
Azure Monitor rozwiązania partnerskie	Wyspecjalizowane integracje są możliwe między platformami monitorowania Azure Monitor i innymi platformami monitorowania firm innych niż Microsoft. Rozwiązania różnią się w zależności od partnera.	Aby uzyskać szczegółowe informacje, zobacz dokumentację Azure Native ISV Services.

Metody tworzenia ustawienia diagnostycznego

Ustawienie diagnostyczne można utworzyć przy użyciu dowolnej z poniższych metod.

Aby utworzyć ustawienie diagnostyczne dziennika aktywności przy użyciu portalu Azure, zobacz Export activity log. Aby utworzyć ustawienie diagnostyczne dla grupy zarządzania, zobacz Ustawienia diagnostyczne grupy zarządzania.

Wykonaj następujące kroki, aby utworzyć nowe ustawienie diagnostyczne lub edytować istniejące w portalu Azure:

W menu zasobu w sekcji Monitorowanie wybierz pozycję Ustawienia diagnostyczne. W menu Azure Monitor wybierz Ustawienia>Ustawienia diagnostyczne. Następnie wybierz zasób.
Wybierz pozycję Dodaj ustawienie diagnostyczne , aby dodać nowe ustawienie, lub wybierz pozycję Edytuj ustawienie , aby edytować istniejące.

Może być konieczne użycie wielu ustawień diagnostycznych dla zasobu, jeśli chcesz wysłać do wielu miejsc docelowych tego samego typu. W poniższym przykładzie przedstawiono ustawienia zasobu magazynu kluczy, ale ekran jest podobny dla innych zasobów.

Zrzut ekranu przedstawiający dodawanie ustawienia diagnostycznego dla istniejących ustawień.
Nadaj ustawieniu nazwę opisową, jeśli jeszcze jej nie ma.

Zrzut ekranu przedstawiający szczegóły ustawień diagnostycznych.

Ten zrzut ekranu przedstawia przykładowy magazyn kluczy. Inne typy zasobów mają różne zestawy kategorii.
W obszarze Dzienniki wybierz grupę kategorii lub zaznacz poszczególne pola wyboru dla każdej kategorii danych, które chcesz wysłać do miejsc docelowych. Lista kategorii jest różna dla każdej usługi Azure.
W obszarze Metryki wybierz pozycję Wszystkie metryki , jeśli chcesz zbierać metryki platformy.
W obszarze Szczegóły miejsca docelowego zaznacz pole wyboru dla każdego miejsca docelowego, które chcesz uwzględnić w ustawieniach diagnostycznych. Następnie podaj szczegóły dla każdego miejsca docelowego.

W przypadku wybrania obszaru roboczego Log Analytics jako miejsca docelowego może być konieczne określenie trybu zbierania. Aby uzyskać szczegółowe informacje, zobacz Tryb zbierania.

Użyj polecenia cmdlet New-AzDiagnosticSetting aby utworzyć ustawienie diagnostyczne za pośrednictwem Azure PowerShell. Opisy parametrów znajdują się w dokumentacji tego polecenia cmdlet.

Important

Nie można użyć tej metody dla dziennika aktywności. Zamiast tego utwórz szablon Azure Resource Manager i wdróż go przy użyciu programu PowerShell.

Poniższy przykładowy skrypt programu PowerShell tworzy ustawienia diagnostyczne do przesyłania wszystkich dzienników i metryk dotyczących usługi Key Vault do obszaru roboczego usługi Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Użyj polecenia az monitor diagnostic-settings create aby utworzyć ustawienie diagnostyczne za pośrednictwem Azure CLI. Opisy parametrów można znaleźć w dokumentacji tego polecenia.

Important

Nie można użyć tej metody dla dziennika aktywności. Zamiast tego utwórz szablon Azure Resource Manager i wdróż go przy użyciu Azure CLI.

Poniższy przykładowy skrypt tworzy ustawienie diagnostyczne, które wysyła dane do wszystkich trzech miejsc docelowych. Aby określić tryb specyficzny dla zasobu , jeśli usługa go obsługuje, dodaj parametr z wartością .

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Poniższy przykładowy szablon tworzy ustawienie diagnostyczne służące do wysyłania wszystkich dzienników inspekcji do Log Analytics obszaru roboczego. Wartość może ulec zmianie w zależności od zasobu w zakresie. Aby zapoznać się z przykładowymi szablonami innych zasobów, zobacz przykłady szablonów Resource Manager dotyczące ustawień diagnostycznych w Azure Monitor.

Plik szablonu

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Plik parametrów

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Plik szablonu

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Plik parametrów

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

Warning

Podczas tworzenia lub aktualizowania ustawień diagnostycznych dla konta magazynu lub przestrzeni nazw Event Hubs, nie można wskazać tego konta ani przestrzeni nazw jako miejsca przechowywania danych dzienników zasobów lub metryk. To ograniczenie jest celowe. Wysyłanie dzienników zasobów lub metryk z zasobu do tego samego zasobu spowoduje wygenerowanie nieskończonej pętli generowania i zapisywania danych.

Ten projekt dotyczy tylko warstwy środowiska użytkownika portalu Azure. Jeśli istnieje naprawdę potrzeba zapisania danych w tym samym zasobie i chcesz zaakceptować skojarzone ryzyko, możesz utworzyć ustawienie diagnostyczne przy użyciu Azure PowerShell, Azure CLI, interfejsu API REST, szablonu Resource Manager lub obsługiwanego zestawu Microsoft SDK.

Grupy kategorii

Grupy kategorii umożliwiają zbieranie dzienników zasobów na podstawie wstępnie zdefiniowanych grup zamiast wybierania poszczególnych kategorii dzienników. Firma Microsoft definiuje grupy, aby ułatwić monitorowanie typowych przypadków użycia. Jeśli kategorie w grupie zostaną zaktualizowane, zbiór dzienników zostanie automatycznie zmodyfikowany.

Nie wszystkie usługi Azure używają grup kategorii. Jeśli grupy kategorii nie są dostępne dla określonego zasobu, opcja nie będzie dostępna podczas tworzenia ustawienia diagnostycznego.

Jeśli używasz grup kategorii w ustawieniu diagnostycznym, nie możesz wybrać poszczególnych typów kategorii. Obecnie istnieją dwie grupy kategorii:

: wszystkie kategorie zasobu.
: wszystkie dzienniki zasobów rejestrujące interakcje klientów z danymi lub ustawieniami usługi. Nie musisz wybierać tej grupy kategorii, jeśli wybierzesz grupę kategorii.

Note

Włączenie kategorii audit w ustawieniach diagnostycznych dla Azure SQL Database nie aktywuje inspekcji dla bazy danych. Aby włączyć inspekcję bazy danych, należy włączyć ją w okienku inspekcji dla Azure SQL Database.

Ograniczenia metryk

Nie wszystkie metryki można wysyłać do obszaru roboczego Log Analytics z ustawieniami diagnostycznymi. Zobacz kolumnę Eksportowanie na liście obsługiwanych metryk.

Ustawienia diagnostyczne nie obsługują obecnie metryk wielowymiarowych. Metryki z wymiarami są eksportowane jako jednowymiarowe, spłaszczone metryki i agregowane z uwzględnieniem wartości wymiarów. Na przykład metryka łańcucha bloków może być eksplorowana i wykresowana na poziomie poszczególnych węzłów. Po wyeksportowaniu metryki z ustawieniami diagnostycznymi zostaną wyświetlone wszystkie bajty odczytu dla wszystkich węzłów.

Aby obejść ograniczenia dotyczące określonych metryk, możesz je ręcznie wyodrębnić przy użyciu API REST dla metryk. Następnie możesz zaimportować je do obszaru roboczego Log Analytics przy użyciu interfejsu API Logs Ingestion API.

Kontrolowanie kosztów

Może istnieć koszt danych zbieranych przez ustawienia diagnostyczne. Koszt zależy od wybranego miejsca docelowego i ilości zebranych danych. Aby uzyskać więcej informacji, zobacz Azure Monitor cennik.

Zbierz tylko kategorie, które są potrzebne dla każdej usługi. Możesz również nie chcieć zbierać metryk platformy z zasobów Azure, ponieważ te dane są już zbierane w usłudze Metrics. Skonfiguruj dane diagnostyczne, aby zbierać metryki tylko wtedy, gdy potrzebujesz danych metrycznych w obszarze roboczym dla bardziej złożonej analizy za pomocą zapytań dzienników.

Ustawienia diagnostyczne nie zezwalają na szczegółowe filtrowanie w wybranej kategorii. Dane dla obsługiwanych tabel w obszarze roboczym Log Analytics można filtrować przy użyciu przekształceń. Aby uzyskać szczegółowe informacje, skorzystaj z Transformacje w Azure Monitor.

Czas potrzebny na dotarcie danych do miejsc docelowych

Po utworzeniu ustawienia diagnostycznego dane powinny zacząć przepływać do wybranych miejsc docelowych w ciągu 90 minut. Podczas wysyłania danych do obszaru roboczego Log Analytics tabela jest tworzona automatycznie, jeśli jeszcze nie istnieje. Tabela jest tworzona tylko wtedy, gdy miejsca docelowe otrzymają pierwsze rekordy dziennika.

Jeśli nie uzyskasz żadnych informacji w ciągu 24 godzin, może wystąpić jeden z następujących problemów:

Dzienniki nie są generowane.
Coś jest nie tak w podstawowym mechanizmie routingu.

Spróbuj wyłączyć konfigurację, a następnie ponownie ją włączyć. Jeśli problem będzie nadal występować, skontaktuj się z pomoc techniczna platformy Azure za pośrednictwem portalu Azure.

Application Insights

Rozważ następujące informacje dotyczące ustawień diagnostycznych aplikacji usługi Application Insights:

Miejsce docelowe nie może być tym samym obszarem roboczym Log Analytics, na podstawie którego jest oparty zasób usługi Application Insights.
Użytkownik usługi Application Insights nie może mieć dostępu do obu obszarów roboczych. Ustaw tryb sterowania Log Analytics access na Wymagaj uprawnień obszaru roboczego. Za pośrednictwem Azure RBAC upewnij się, że użytkownik ma dostęp tylko do obszaru roboczego Log Analytics, na podstawie którego jest oparty zasób usługi Application Insights.

Te kroki są niezbędne, ponieważ usługa Application Insights uzyskuje dostęp do danych w różnych zasobach w celu zapewnienia kompletnych operacji transakcyjnych i dokładnych map aplikacji. Te zasoby obejmują obszary robocze Log Analytics. Ponieważ dzienniki diagnostyczne używają tych samych nazw tabel, zduplikowane dane mogą pojawić się, jeśli użytkownik ma dostęp do wielu zasobów zawierających te same dane.

Troubleshooting

Kategoria wskaźników nie jest obsługiwana

Jeśli używasz szablonu Resource Manager, interfejsu API REST, Azure CLI lub Azure PowerShell, może zostać wyświetlony komunikat o błędzie podobny do "Kategoria metryki 'xxxx' nie jest obsługiwana". Kategorie metryk inne niż AllMetrics nie są obsługiwane, z wyjątkiem ograniczonej liczby usług Azure. Usuń wszystkie nazwy kategorii metryk innych niż i powtórz wdrożenie.

Ustawienie znika z powodu znaków innych niż ASCII w identyfikatorze zasobu

Ustawienia diagnostyczne nie obsługują identyfikatorów zasobów z znakami innymi niż ASCII (na przykład Preproduccón). Ponieważ nie można zmienić nazwy zasobów w Azure, musisz utworzyć nowy zasób bez znaków innych niż ASCII. Jeśli postacie znajdują się w grupie zasobów, możesz przenieść zasoby do nowej grupy.

Zasób jest nieaktywny

Gdy zasób jest nieaktywny i eksportuje metryki zerowej wartości, mechanizm eksportu ustawień diagnostycznych jest cofany przyrostowo, aby uniknąć niepotrzebnych kosztów eksportowania i przechowywania wartości zerowych. To wycofywanie może prowadzić do opóźnienia eksportu następnej wartości niezerowej. To zachowanie dotyczy tylko wyeksportowanych metryk i nie ma wpływu na alerty oparte na metrykach ani autoskalowania.

Gdy zasób jest nieaktywny przez jedną godzinę, mechanizm eksportu cofa się do 15 minut. Taka sytuacja oznacza, że istnieje potencjalne opóźnienie do 15 minut na wyeksportowanie następnej wartości niezerowej. Zasób osiąga maksymalny czas wycofywania wynoszący dwie godziny po siedmiu dniach braku aktywności. Po rozpoczęciu eksportowania wartości innych niż zerowe, mechanizm eksportu zasobu powraca do pierwotnego opóźnienia eksportu wynoszącego trzy minuty.

Opinia

Czy ta strona była pomocna?

Last updated on 2026-03-06