Definições de diagnóstico no Azure Monitor
Este artigo fornece detalhes sobre como criar e definir configurações de diagnóstico para enviar métricas da plataforma Azure, logs de recursos e o log de atividades para destinos diferentes.
Cada recurso do Azure requer sua própria configuração de diagnóstico, que define os seguintes critérios:
- Fontes: o tipo de dados de métrica e log a serem enviados para os destinos definidos na configuração. Os tipos disponíveis variam de acordo com o tipo de recurso.
- Destinos: Um ou mais destinos para enviar.
Uma única configuração de diagnóstico não pode definir mais do que um de cada um dos destinos. Se você quiser enviar dados para mais de um tipo de destino específico (por exemplo, dois espaços de trabalho diferentes do Log Analytics), crie várias configurações. Cada recurso pode ter até cinco configurações de diagnóstico.
Aviso
Se você precisar excluir um recurso, renomear ou mover um recurso, ou migrá-lo entre grupos de recursos ou assinaturas, primeiro exclua suas configurações de diagnóstico. Caso contrário, se você recriar esse recurso, as configurações de diagnóstico para o recurso excluído poderão ser incluídas com o novo recurso, dependendo da configuração do recurso para cada recurso. Se as configurações de diagnóstico forem incluídas com o novo recurso, isso retomará a coleta de logs de recursos conforme definido na configuração de diagnóstico e enviará a métrica aplicável e os dados de log para o destino configurado anteriormente.
Além disso, é uma boa prática excluir as configurações de diagnóstico de um recurso que você vai excluir e não planeja usar novamente para manter seu ambiente limpo.
O vídeo a seguir orienta você pelos logs da plataforma de recursos de roteamento com configurações de diagnóstico. O vídeo foi feito em um momento anterior. Esteja atento às seguintes alterações:
- Existem agora quatro destinos. Você pode enviar métricas e logs da plataforma para determinados parceiros do Azure Monitor.
- Um novo recurso chamado grupos de categorias foi introduzido em novembro de 2021.
Informações sobre esses recursos mais recentes estão incluídas neste artigo.
Origens
Existem três fontes de informação diagnóstica:
- As métricas da plataforma são enviadas automaticamente para o Azure Monitor Metrics por padrão e sem configuração. Para obter mais informações sobre métricas suportadas, consulte Métricas suportadas com o Azure Monitor
- Registos de Plataforma fornecem informações detalhadas de diagnóstico e auditoria dos recursos do Azure e da plataforma do Azure de que dependem.
- Os logs de recursos não são coletados até que sejam roteados para um destino. Para obter mais informações sobre logs com suporte, consulte Categorias de log de recursos com suporte para o Azure Monitor
- O log de atividades fornece informações sobre recursos de fora do recurso, como quando o recurso foi criado ou excluído. As entradas existem por conta própria, mas podem ser encaminhadas para outros locais.
Métricas
A configuração AllMetrics roteia as métricas da plataforma de um recurso para outros destinos. Essa opção pode não estar presente para todos os provedores de recursos.
Registos do recurso
Com os logs de recursos, você pode selecionar as categorias de log que deseja rotear individualmente ou escolher um grupo de categorias.
Grupos de categorias
Nota
Os grupos de categorias não se aplicam a todos os provedores de recursos métricos. Se um provedor não os tiver disponíveis nas configurações de diagnóstico no portal do Azure, eles também não estarão disponíveis por meio dos modelos do Azure Resource Manager.
Você pode usar grupos de categorias para coletar dinamicamente logs de recursos com base em agrupamentos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os agrupamentos para ajudar a monitorar casos de uso específicos em todos os serviços do Azure. Com o tempo, as categorias no grupo podem ser atualizadas à medida que novos logs são implantados ou que as avaliações mudam. Quando categorias de log são adicionadas ou removidas de um grupo de categorias, sua coleção de logs é modificada automaticamente sem que você precise atualizar suas configurações de diagnóstico.
Ao usar grupos de categorias, você:
- Não é mais possível selecionar individualmente logs de recursos com base em tipos de categoria individuais.
- Não é mais possível aplicar configurações de retenção aos logs enviados para o Armazenamento do Azure.
Atualmente, existem dois grupos de categorias:
- Todos: Cada log de recursos oferecido pelo recurso.
- Auditoria: todos os logs de recursos que registram as interações do cliente com os dados ou as configurações do serviço. Os logs de auditoria são uma tentativa de cada provedor de recursos de fornecer os dados de auditoria mais relevantes, mas podem não ser considerados suficientes do ponto de vista dos padrões de auditoria, dependendo do seu caso de uso. Como mencionado acima, o que é coletado é dinâmico, e a Microsoft pode alterá-lo ao longo do tempo à medida que novas categorias de log de recursos ficam disponíveis.
O grupo de categorias "Auditoria" é um subconjunto do grupo de categorias "Todos", mas o portal do Azure e a API REST consideram-nos configurações separadas. A seleção do grupo de categorias "Todos" coleta todos os logs de auditoria, mesmo que o grupo de categorias "Auditoria" também esteja selecionado.
A imagem a seguir mostra os grupos de categorias de logs na página Adicionar configurações de diagnóstico.
Nota
Habilitar a Auditoria para o Banco de Dados SQL do Azure não habilita a auditoria para o Banco de Dados SQL do Azure. Para ativar a auditoria da base de dados, tem de ativá-la no painel de auditoria da Base de Dados do Azure.
Registo de atividades
Consulte a seção Configurações do registro de atividades .
Destinos
Os logs e métricas da plataforma podem ser enviados para os destinos listados na tabela a seguir.
Para garantir a segurança dos dados em trânsito, todos os pontos de extremidade de destino são configurados para suportar TLS 1.2.
Destino | Description |
---|---|
Área de trabalho do Log Analytics | As métricas são convertidas em formulário de registo. Esta opção pode não estar disponível para todos os tipos de recursos. Enviá-los para o repositório de Logs do Azure Monitor (que pode ser pesquisado por meio do Log Analytics) ajuda você a integrá-los em consultas, alertas e visualizações com dados de log existentes. |
Conta de armazenamento do Azure | O arquivamento de logs e métricas em uma conta de armazenamento é útil para auditoria, análise estática ou backup. Em comparação com o uso do Azure Monitor Logs ou um espaço de trabalho do Log Analytics, o armazenamento é mais barato e os logs podem ser mantidos lá indefinidamente. |
Hubs de Eventos do Azure | Ao enviar logs e métricas para Hubs de Eventos, você pode transmitir dados para sistemas externos, como SIEMs de terceiros e outras soluções de Análise de Logs. |
Soluções de parceiros do Azure Monitor | Integrações especializadas podem ser feitas entre o Azure Monitor e outras plataformas de monitoramento que não sejam da Microsoft. A integração é útil quando você já está usando um dos parceiros. |
Configurações do log de atividades
O log de atividades usa uma configuração de diagnóstico, mas tem sua própria interface de usuário porque se aplica a toda a assinatura em vez de recursos individuais. As informações de destino listadas aqui ainda se aplicam. Para obter mais informações, consulte Log de atividades do Azure.
Requisitos e limitações
Esta seção discute requisitos e limitações.
Tempo antes de a telemetria chegar ao destino
Depois de configurar uma configuração de diagnóstico, os dados devem começar a fluir para o(s) destino(s) selecionado(s) dentro de 90 minutos. Ao enviar logs para um espaço de trabalho do Log Analytics, a tabela é criada automaticamente se ainda não existir. A tabela só é criada quando os primeiros registros de log são recebidos. Se você não receber nenhuma informação dentro de 24 horas, então você pode estar enfrentando um dos seguintes problemas:
- Nenhum log está sendo gerado.
- Algo está errado no mecanismo de roteamento subjacente.
Se tiver um problema, pode tentar desativar a configuração e, em seguida, reativá-la. Contacte o suporte do Azure através do portal do Azure se continuar a ter problemas.
Métricas como fonte
Há certas limitações com as métricas de exportação:
- Atualmente, não há suporte para o envio de métricas multidimensionais por meio de configurações de diagnóstico. As métricas com dimensões são exportadas como métricas unidimensionais niveladas, agregadas em valores de dimensão. Por exemplo, a métrica IOReadBytes em um blockchain pode ser explorada e mapeada em um nível por nó. No entanto, quando exportada por meio de configurações de diagnóstico, a métrica exportada mostra todos os bytes de leitura para todos os nós.
- Nem todas as métricas são exportáveis com configurações de diagnóstico. Devido a limitações internas, nem todas as métricas são exportáveis para o Azure Monitor Logs ou Log Analytics. Para obter mais informações, consulte a coluna Exportável na lista de métricas suportadas.
Para contornar essas limitações para métricas específicas, você pode extraí-las manualmente usando a API REST de métricas. Em seguida, você pode importá-los para os Logs do Azure Monitor usando a API do Coletor de Dados do Azure Monitor.
Limitações de destino
Todos os destinos para a configuração de diagnóstico devem ser criados antes de criar as configurações de diagnóstico. O destino não precisa estar na mesma assinatura que os logs de envio de recursos se o usuário que define a configuração tiver acesso de controle de acesso baseado em função do Azure apropriado para ambas as assinaturas. Usando o Azure Lighthouse, também é possível enviar as configurações de diagnóstico para um espaço de trabalho, conta de armazenamento ou hub de eventos em outro locatário do Microsoft Entra.
A tabela a seguir fornece requisitos exclusivos para cada destino, incluindo quaisquer restrições regionais.
Destino | Requisitos |
---|---|
Área de trabalho do Log Analytics | O espaço de trabalho não precisa estar na mesma região que o recurso que está sendo monitorado. |
Conta de armazenamento | Não use uma conta de armazenamento existente que tenha outros dados não monitorantes armazenados nela. Dividir os tipos de dados permite controlar melhor o acesso aos dados. Se você estiver arquivando o log de atividades e os logs de recursos juntos, poderá optar por usar a mesma conta de armazenamento para manter todos os dados de monitoramento em um local central. Para evitar a modificação dos dados, envie-os para armazenamento imutável. Defina a política imutável para a conta de armazenamento conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure. Você deve seguir todas as etapas neste artigo vinculado, incluindo a habilitação de gravações de blobs de acréscimo protegidos. A conta de armazenamento precisa estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não podem acessar contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. Os pontos de extremidade de zona DNS do Azure (visualização) e as contas de armazenamento do Azure Premium LRS (armazenamento localmente redundante) não são suportados como um destino de log ou métrica. |
Hubs de Eventos | A política de acesso compartilhado para o namespace define as permissões que o mecanismo de streaming tem. O streaming para Hubs de Eventos requer as permissões Gerenciar, Enviar e Ouvir. Para atualizar a configuração de diagnóstico para incluir streaming, você deve ter a permissão ListKey nessa regra de autorização de Hubs de Eventos. O namespace do hub de eventos precisa estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não podem acessar os recursos dos Hubs de Eventos quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall nos Hubs de Eventos para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso aos recursos dos Hubs de Eventos. |
Soluções de parceiros | As soluções variam de acordo com o parceiro. Consulte a documentação dos Serviços ISV Nativos do Azure para obter detalhes. |
Logs de diagnóstico para o Application Insights
Se você quiser armazenar logs de diagnóstico do Application Insights em um espaço de trabalho do Log Analytics, não envie os logs para o mesmo espaço de trabalho no qual o recurso do Application Insights se baseia. Essa configuração pode fazer com que a telemetria duplicada seja exibida porque o Application Insights já está armazenando esses dados. Envie seus logs do Application Insights para um espaço de trabalho diferente do Log Analytics.
Ao enviar logs do Application Insights para um espaço de trabalho diferente, lembre-se de que o Application Insights acessa a telemetria entre os recursos do Application Insight, incluindo vários espaços de trabalho do Log Analytics. Restrinja o acesso do usuário do Application Insights apenas ao espaço de trabalho do Log Analytics vinculado ao recurso do Application Insights. Defina o modo de controle de acesso como Requer permissões de espaço de trabalho e gerencie permissões por meio do controle de acesso baseado em função do Azure para garantir que o Application Insights só tenha acesso ao espaço de trabalho do Log Analytics no qual o recurso do Application Insights se baseia.
Controlo de custos
Há um custo para coletar dados em um espaço de trabalho do Log Analytics, portanto, colete apenas as categorias necessárias para cada serviço. O volume de dados para logs de recursos varia significativamente entre serviços.
Você também pode não querer coletar métricas da plataforma dos recursos do Azure porque esses dados já estão sendo coletados em Métricas. Configure seus dados de diagnóstico apenas para coletar métricas se precisar de dados métricos no espaço de trabalho para análises mais complexas com consultas de log. As configurações de diagnóstico não permitem filtragem granular de logs de recursos.
Gorjeta
Para obter estratégias para reduzir os custos do Azure Monitor, consulte Otimização de custos e Azure Monitor.