Configurações de diagnóstico no Azure Monitor

Você pode usar as configurações de diagnóstico no Azure Monitor para coletar logs de recursos e enviar métricas de plataforma e o log de atividades para vários destinos. Crie uma configuração de diagnóstico separada para cada recurso do qual você deseja coletar dados. Cada configuração define os dados do recurso a serem coletados e os destinos para os quais enviar esses dados. Este artigo descreve os detalhes das configurações de diagnóstico, incluindo como criá-las e os destinos disponíveis para enviar dados.

O vídeo a seguir percorre os logs da plataforma de recursos de roteamento com configurações de diagnóstico. As alterações a seguir foram feitas nas configurações de diagnóstico desde que o vídeo foi gravado, mas esses tópicos são discutidos neste artigo.

Azure Monitor parceiros
Grupos de categorias

Warning

Exclua as configurações de diagnóstico de um recurso ao excluir ou renomear esse recurso, ou ao migrá-lo entre grupos de recursos ou assinaturas. Se a configuração de diagnóstico não for removida e esse recurso for recriado, qualquer configuração de diagnóstico para o recurso excluído poderá ser aplicada à nova. Para alguns tipos de recursos, essa situação retomaria a coleta de logs de recursos conforme definido na configuração de diagnóstico.

Sources

As configurações de diagnóstico podem coletar dados das fontes na tabela a seguir. Para obter detalhes sobre os dados coletados por cada fonte e seu formato em cada destino, consulte o artigo vinculado.

Fonte de dados	Description
Métricas de plataforma	Coletado automaticamente sem configuração. Use uma configuração de diagnóstico para enviar métricas de plataforma para outros destinos.
Log de atividades	Coletado automaticamente sem configuração. Use uma configuração de diagnóstico para enviar entradas de log de atividades para outros destinos.
Logs de recursos	Não são coletados por padrão. Crie uma configuração de diagnóstico para coletar logs de recursos.

Destinations

As configurações de diagnóstico enviam dados para os destinos na tabela a seguir. Para ajudar a garantir a segurança dos dados em trânsito, todos os pontos de extremidade de destino são configurados para dar suporte ao TLS 1.2.

Uma única configuração de diagnóstico pode definir não mais do que um de cada destino. Se você quiser enviar dados para mais de um tipo de destino específico (por exemplo, dois workspaces Log Analytics), crie várias configurações. Cada recurso pode ter até cinco configurações de diagnóstico.

Todos os destinos que uma configuração de diagnóstico usa devem existir antes que você possa criar a configuração. O destino não precisa estar na mesma assinatura que o recurso que está enviando logs se o usuário que configura a definição tiver acesso apropriado ao RBAC do Azure (controle de acesso baseado em função) para ambas as assinaturas. Use o Azure Lighthouse para incluir destinos em outro tenant Microsoft Entra.

Destination	Description	Requirements
Área de Trabalho do Log Analytics	Recupere dados usando consultas de log e workbooks. Use alertas de log para alertar proativamente sobre os dados. Para as tabelas usadas por vários recursos do Azure, consulte a referência de log de recursos do Azure Monitor.	Todas as tabelas em um workspace Log Analytics são criadas automaticamente quando os primeiros dados são enviados para o workspace, portanto, somente o workspace em si deve existir.
conta do Azure Storage	Armazene para auditoria, análise estática ou para backup. O armazenamento pode ser mais barato do que outras opções e pode ser mantido indefinidamente. Envie dados para o armazenamento imutável para impedir sua modificação. Defina a política imutável para a conta de armazenamento, conforme descrito em Configurar políticas de imutabilidade para versões de blob.	As contas de armazenamento devem estar na mesma região que o recurso que você está monitorando se o recurso for regional. As configurações de diagnóstico não pode acessar as contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que os serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor possa acessar sua conta de armazenamento. Pontos de extremidade de zona do Azure DNS (versão prévia) e quaisquer contas de armazenamento Premium não são suportados como destinos. Há suporte para todas as contas de armazenamento Standard .
Azure Event Hubs	Transmita dados para sistemas externos, como soluções SIEM (gerenciamento de eventos e informações de segurança) não microsoft e outras soluções de Log Analytics.	Os hubs de eventos devem estar na mesma região que o recurso que você está monitorando se o recurso for regional. Você não pode usar um hub de eventos compactado porque ele requer que a mensagem tenha uma chave de partição, que Azure Monitor não inclua. As configurações de diagnóstico não podem acessar hubs de eventos quando as redes virtuais estão habilitadas. Você deve habilitar Permitir serviços confiáveis da Microsoft para ignorar essa configuração de firewall em hubs de eventos, para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso aos recursos do hub de eventos. A política de acesso compartilhado para um namespace dos Hubs de Eventos define as permissões que o mecanismo de streaming tem. O streaming para os hubs de eventos requer `Manage`, `Send`e `Listen` permissões. Para atualizar a configuração de diagnóstico para incluir streaming, você deve ter a `ListKey` permissão nessa regra de autorização dos Hubs de Eventos.
soluções de parceiro Azure Monitor	Integrações especializadas são possíveis entre Azure Monitor e outras plataformas de monitoramento que não são da Microsoft. As soluções variam de acordo com o parceiro.	Para obter detalhes, consulte a documentação dos Serviços ISV Nativos do Azure.

Métodos para criar uma configuração de diagnóstico

Você pode criar uma configuração de diagnóstico usando qualquer um dos métodos a seguir.

Para criar uma configuração de diagnóstico para o log de atividades usando o portal Azure, consulte Export activity log. Para criar uma configuração de diagnóstico para um grupo de gerenciamento, consulte As Configurações de Diagnóstico do Grupo de Gerenciamento.

Use as seguintes etapas para criar uma nova configuração de diagnóstico ou editar uma existente no portal Azure:

No menu de um recurso, na seção Monitoramento , selecione Configurações de diagnóstico. Ou, no menu Azure Monitor, selecione Configurações>Configurações de diagnóstico. Em seguida, selecione o recurso.
Selecione Adicionar configuração de diagnóstico para adicionar uma nova configuração ou selecione Editar configuração para editar uma existente.

Talvez você precise de várias configurações de diagnóstico para um recurso se quiser enviar para vários destinos do mesmo tipo. O exemplo a seguir mostra as configurações de um recurso de cofre de chaves, mas a tela é semelhante para outros recursos.
Dê um nome descritivo à sua configuração se ela ainda não tiver um.

Esta captura de tela mostra um exemplo de cofre de chaves. Outros tipos de recursos têm diferentes conjuntos de categorias.
Para Logs, escolha um grupo de categorias ou selecione as caixas de seleção individuais para cada categoria de dados que você deseja enviar para os destinos. A lista de categorias varia para cada serviço Azure.
Para Métricas, selecione AllMetrics se você quiser coletar métricas de plataforma.
Para obter detalhes de destino, marque a caixa de seleção para cada destino que você deseja incluir nas configurações de diagnóstico. Em seguida, forneça os detalhes para cada destino.

Se você selecionar um Log Analytics workspace como destino, talvez seja necessário especificar o modo de coleção. Para obter detalhes, consulte Modo Coleção.

Use o cmdlet New-AzDiagnosticSetting para criar uma configuração de diagnóstico por meio de Azure PowerShell. Para obter descrições de parâmetros, consulte a documentação deste cmdlet.

Important

Você não pode usar esse método para um log de atividades. Em vez disso, crie um modelo Azure Resource Manager e implante-o usando o PowerShell.

O exemplo a seguir de script do PowerShell cria uma configuração de diagnóstico para enviar todos os logs e métricas de um cofre de chaves para um Log Analytics workspace:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Use o comando az monitor diagnostic-settings create para criar uma configuração de diagnóstico por meio do Azure CLI. Para obter descrições de parâmetros, consulte a documentação deste comando.

Important

Você não pode usar esse método para um log de atividades. Em vez disso, crie um modelo Azure Resource Manager e implante-o usando o Azure CLI.

O script de exemplo a seguir cria uma configuração de diagnóstico que envia dados para todos os três destinos. Para especificar o modo específico do recurso se o serviço der suporte a ele, adicione o parâmetro export-to-resource-specific com um valor igual a true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

O modelo de exemplo a seguir cria uma configuração de diagnóstico para enviar todos os logs de auditoria para um workspace Log Analytics. O valor apiVersion pode mudar de acordo com o recurso no escopo. Para obter modelos de exemplo para outros recursos, consulte Resource Manager exemplos de modelo para configurações de diagnóstico em Azure Monitor.

Arquivo de Modelo

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Arquivo de parâmetros

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Arquivo de Modelo

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Arquivo de parâmetros

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

Warning

Quando você cria ou atualiza as configurações de diagnóstico para uma conta de armazenamento ou um namespace dos Hubs de Eventos, não é possível selecionar essa conta ou namespace como um destino para os dados de métricas ou logs de recursos. Essa limitação é por design. Enviar logs de recursos ou métricas de um recurso para o mesmo recurso geraria um loop infinito de geração e gravação de dados.

Esse design se aplica apenas à camada de UX do portal Azure. Se realmente houver uma necessidade de gravar dados no mesmo recurso e você estiver disposto a aceitar os riscos associados, poderá criar a configuração de diagnóstico usando Azure PowerShell, o Azure CLI, a API REST, um modelo de Resource Manager ou um SDK da Microsoft com suporte.

Grupos de categorias

Você pode usar grupos de categorias para coletar logs de recursos com base em agrupamentos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os agrupamentos para ajudar a monitorar casos de uso comuns. Se as categorias no grupo forem atualizadas, sua coleção de logs será modificada automaticamente.

Nem todos os serviços Azure usam grupos de categorias. Se os grupos de categorias não estiverem disponíveis para um recurso específico, a opção não estará disponível quando você criar a configuração de diagnóstico.

Se você usar grupos de categorias em uma configuração de diagnóstico, não poderá selecionar tipos de categoria individuais. Atualmente, há dois grupos de categorias:

allLogs: todas as categorias do recurso.
audit: todos os logs de recursos que registram interações do cliente com dados ou as configurações do serviço. Você não precisará selecionar esse grupo de categorias se selecionar o grupo de allLogs categorias.

Note

Habilitar a categoria audit nas configurações de diagnóstico para Azure SQL Database não ativa a auditoria para o banco de dados. Para habilitar a auditoria de banco de dados, você precisa habilitá-la no painel de auditoria para Azure SQL Database.

Limitações de métricas

Nem todas as métricas podem ser enviadas para um workspace do Log Analytics com configurações de diagnóstico. Consulte a coluna Exportável na lista de métricas com suporte.

Atualmente, as configurações de diagnóstico não dão suporte a métricas multidimensionais. As métricas com dimensões são exportadas como métricas unidimensionais niveladas e agregadas entre valores de dimensão. Por exemplo, a métrica IOReadBytes em um blockchain pode ser explorada e mapeada em nível de nó. Quando a métrica é exportada com configurações de diagnóstico, ela mostra todos os bytes lidos para todos os nós.

Para contornar as limitações para métricas específicas, você pode extraí-las manualmente usando a API REST de Métricas. Em seguida, você pode importá-los para um workspace Log Analytics usando a API Logs Ingestion.

Controle dos custos

Pode haver um custo para os dados coletados pelas configurações de diagnóstico. O custo depende do destino escolhido e do volume de dados coletados. Para obter mais informações, consulte Azure Monitor preços.

Colete apenas as categorias necessárias para cada serviço. Talvez você também não queira coletar métricas de plataforma dos recursos Azure, pois esses dados já estão sendo coletados em Metrics. Configure seus dados de diagnóstico para coletar métricas somente se precisar de dados de métricas no espaço de trabalho para uma análise mais complexa com consultas de log.

As configurações de diagnóstico não permitem filtragem granular dentro de uma categoria selecionada. Você pode filtrar dados para tabelas compatíveis em um espaço de trabalho do Log Analytics usando transformações. Para obter detalhes, consulte Transformations no Azure Monitor.

Tempo antes de os dados chegarem aos destinos

Depois de criar uma configuração de diagnóstico, os dados devem começar a fluir para seus destinos selecionados dentro de 90 minutos. Quando você estiver enviando dados para um workspace de Log Analytics, a tabela será criada automaticamente se ainda não existir. A tabela é criada somente quando os destinos recebem os primeiros registros de log.

Se você não receber nenhuma informação dentro de 24 horas, poderá estar enfrentando um dos seguintes problemas:

Nenhum log está sendo gerado.
Algo está errado no mecanismo de roteamento subjacente.

Tente desabilitar a configuração e, em seguida, reabilitá-la. Se o problema continuar, entre em contato com Azure support por meio do portal Azure.

Application Insights

Considere as seguintes informações para configurações de diagnóstico para aplicativos do Application Insights:

O destino não pode ser o mesmo Log Analytics workspace no qual o recurso do Application Insights se baseia.
O usuário do Application Insights não pode ter acesso a ambos os workspaces. Configure o modo de controle de acesso do Log Analytics para exigir permissões do workspace. Por Azure RBAC, verifique se o usuário tem acesso apenas ao workspace Log Analytics no qual o recurso do Application Insights se baseia.

Essas etapas são necessárias porque o Application Insights acessa dados entre recursos para fornecer operações completas de transação de ponta a ponta e mapas precisos de aplicativos. Esses recursos incluem espaços de trabalho do Log Analytics. Como os logs de diagnóstico usam os mesmos nomes de tabela, os dados duplicados podem aparecer se o usuário tiver acesso a vários recursos que contêm os mesmos dados.

Troubleshooting

Não há suporte para a categoria de métrica

Você pode receber uma mensagem de erro semelhante a "Não há suporte para a categoria de métrica 'xxxx' quando você estiver usando um modelo Resource Manager, a API REST, o Azure CLI ou Azure PowerShell. Não há suporte para categorias de métrica diferentes de AllMetrics, exceto por um número limitado de serviços de Azure. Remova todos os nomes de categoria de métrica que não sejam AllMetrics e repita sua implantação.

A configuração desaparece devido a caracteres não ASCII em uma ID de recurso

As configurações de diagnóstico não dão suporte a IDs de recurso com caracteres não ASCII (por exemplo, Preproduccón). Como você não pode renomear recursos em Azure, você deve criar um novo recurso sem os caracteres não ASCII. Se os caracteres estiverem em um grupo de recursos, você poderá mover os recursos para um novo grupo.

O recurso está inativo

Quando um recurso está inativo e exportando métricas de valor zero, o mecanismo de exportação das configurações de diagnóstico recua incrementalmente para evitar custos desnecessários de exportação e armazenamento de valores zero. Esse recuo pode levar a um atraso na exportação do próximo valor diferente de zero. Esse comportamento se aplica apenas a métricas exportadas e não afeta alertas baseados em métricas ou dimensionamento automático.

Quando um recurso fica inativo por uma hora, o mecanismo de exportação recua para 15 minutos. Essa situação significa que há uma latência potencial de até 15 minutos para que o próximo valor diferente de zero seja exportado. O recurso atinge o tempo máximo de espera de duas horas após sete dias de inatividade. Depois que o recurso começar a exportar valores não zero, o mecanismo de exportação será revertido para a latência de exportação original de três minutos.

Comentários

Esta página foi útil?

Last updated on 2026-03-06