Definições de diagnóstico no Azure Monitor

Pode usar as definições de diagnóstico no Azure Monitor para recolher registos de recursos e enviar métricas da plataforma e o registo de atividade para vários destinos. Crie uma definição de diagnóstico separada para cada recurso de onde pretende recolher dados. Cada configuração define os dados do recurso a ser coletado e os destinos para os quais enviar esses dados. Este artigo descreve os detalhes das configurações de diagnóstico, incluindo como criá-las e os destinos disponíveis para o envio de dados.

O vídeo a seguir percorre os logs da plataforma de recursos de roteamento com configurações de diagnóstico. As seguintes alterações foram feitas nas configurações de diagnóstico desde que o vídeo foi gravado, mas esses tópicos são discutidos neste artigo.

• Parceiros do Azure Monitor
• Grupos de categorias

Warning

Exclua todas as configurações de diagnóstico de um recurso se você excluir ou renomear esse recurso ou se migrá-lo entre grupos de recursos ou assinaturas. Se a definição de diagnóstico não for removida e este recurso for recriado, quaisquer definições de diagnóstico para o recurso eliminado podem ser aplicadas ao novo. Para alguns tipos de recursos, esta situação retomaria a recolha dos registos de recursos conforme definido no cenário de diagnóstico.

Sources

As configurações de diagnóstico podem coletar dados das fontes na tabela a seguir. Para detalhes sobre os dados que cada fonte recolhe e o seu formato em cada destino, consulte o artigo relacionado.

Fonte de dados	Description
Métricas da plataforma	Recolhido automaticamente sem configuração. Use uma definição de diagnóstico para enviar métricas da plataforma para outros destinos.
Registo de atividades	Recolhido automaticamente sem configuração. Use uma definição de diagnóstico para enviar entradas do registo de atividade para outros destinos.
Logs de recursos	Não são recolhidos por predefinição. Crie uma definição de diagnóstico para coletar registos de recursos.

Destinations

As configurações de diagnóstico enviam dados para os destinos na tabela a seguir. Para ajudar a garantir a segurança dos dados em trânsito, todos os endpoints de destino estão configurados para suportar TLS 1.2.

Uma única definição de diagnóstico pode definir no máximo um para cada destino. Se quiser enviar dados para mais do que um de um determinado tipo de destino (por exemplo, dois espaços de trabalho de Log Analytics), crie múltiplas definições. Cada recurso pode ter até cinco configurações de diagnóstico.

Qualquer destino usado por uma configuração de diagnóstico deve existir antes de poderes criar a configuração. O destino não tem de estar na mesma subscrição do recurso que envia os registos se o utilizador que configura a definição tiver acesso apropriado ao controlo de acesso baseado em funções (RBAC) do Azure para ambas as subscrições. Utilize o Azure Lighthouse para incluir destinos noutro tenant Microsoft Entra.

Destination	Description	Requirements
Área de trabalho do Log Analytics	Recupere dados usando consultas de registo e livros de exercícios. Use alertas de log para alertar proativamente sobre os dados. Para as tabelas que vários recursos do Azure utilizam, consulte a referência do registo de recursos do Azure Monitor.	Todas as tabelas em um espaço de trabalho do Log Analytics são criadas automaticamente quando os primeiros dados são enviados para o espaço de trabalho, portanto, apenas o espaço de trabalho em si deve existir.
Conta de armazenamento do Azure	Armazena para auditoria, análise estática ou backup. O armazenamento pode ser mais barato do que outras opções e pode ser mantido indefinidamente. Envie dados para armazenamento imutável para evitar a sua modificação. Defina a política de imutabilidade para a conta de armazenamento conforme descrito em Configurar políticas de imutabilidade para versões de blob.	As contas de armazenamento devem estar na mesma região do recurso que está a monitorizar, caso o recurso seja regional. As configurações de diagnóstico não podem acessar contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. Os endpoints da zona DNS Azure (pré-visualização) e quaisquer contas de armazenamento Premium não são suportados como destinos. Todas as contas de armazenamento padrão são suportadas.
Hubs de Eventos do Azure	Transmita dados para sistemas externos, como soluções de gestão de informação e eventos de segurança (SIEM) não Microsoft e outras soluções de Log Analytics.	Os hubs de eventos devem estar na mesma região do recurso que está a monitorizar, caso o recurso seja regional. Não podes usar um hub de eventos compactado porque exige que a mensagem tenha uma chave de partição, que o Azure Monitor não inclui. As configurações de diagnóstico não podem acessar hubs de eventos quando as redes virtuais estão habilitadas. É necessário ativar Permitir que serviços Microsoft confiáveis ignorem esta definição de firewall no hub de eventos, para que o serviço de definições de diagnóstico do Azure Monitor tenha acesso aos recursos do seu hub de eventos. A política de acesso partilhado para um namespace de Event Hubs define as permissões que o mecanismo de streaming possui. Transmitir para hubs de eventos requer Manage, Send, e Listen permissões. Para atualizar a configuração de diagnóstico para incluir streaming, você deve ter a ListKey permissão nessa regra de autorização de Hubs de Eventos.
Soluções de parceiros do Azure Monitor	São possíveis integrações especializadas entre o Azure Monitor e outras plataformas de monitorização não Microsoft. As soluções variam de acordo com o parceiro.	Para mais detalhes, consulte a documentação dos Serviços ISV Nativos do Azure.

Métodos para criar um cenário de diagnóstico

Pode criar uma configuração de diagnóstico usando qualquer um dos seguintes métodos.

Para criar uma definição de diagnóstico para o registo de atividades usando o portal Azure, consulte Exportar registo de atividade. Para criar uma definição de diagnóstico para um grupo de gestão, consulte Definições de Diagnóstico do Grupo de Gestão.

portal do Azure

Use os seguintes passos para criar uma nova definição de diagnóstico ou para editar uma existente no portal Azure:

1. No menu de um recurso, na secção de Monitorização , selecione Definições de Diagnóstico. Ou, no menu Azure Monitor, selecione Definições>Definições de Diagnóstico. Depois seleciona o recurso.

2. Selecione Adicionar definição de diagnóstico para adicionar uma nova definição, ou selecione Editar definição para editar uma existente.

   Pode precisar de várias definições de diagnóstico para um recurso se quiser enviar para vários destinos do mesmo tipo. O exemplo a seguir mostra as configurações de um recurso do cofre de chaves, mas a tela é semelhante para outros recursos.

   

3. Dê à sua configuração um nome descritivo, se ela ainda não tiver um.

   

   Esta captura de ecrã mostra um exemplo de cofre de chaves. Outros tipos de recursos têm diferentes conjuntos de categorias.

4. Para os Registos, escolha um grupo de categorias ou selecione as caixas individuais para cada categoria de dados que pretende enviar aos destinos. A lista de categorias varia para cada serviço do Azure.

5. Para Métricas, selecione AllMetrics se quiser recolher métricas da plataforma.

6. Para detalhes do destino, selecione a caixa de seleção para cada destino que pretende incluir nas definições de diagnóstico. Depois forneça os detalhes de cada destino.

   Se selecionar um espaço de trabalho de Log Analytics como destino, poderá ser necessário especificar o modo de recolha. Para mais detalhes, veja Modo de Recolha.

PowerShell

Use o cmdlet New-AzDiagnosticSetting para criar uma definição de diagnóstico via Azure PowerShell. Para descrições dos parâmetros, consulte a documentação deste cmdlet.

Important

Não é possível usar esse método para um log de atividades. Em vez disso, crie um modelo Azure Resource Manager e implemente-o usando PowerShell.

O seguinte exemplo de script do PowerShell cria uma configuração de diagnóstico para enviar todos os logs e métricas de um cofre de chaves para um espaço de trabalho do Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

CLI

Use o comando az monitor diagnostic-settings create para criar uma configuração de diagnóstico através da CLI do Azure. Para descrições dos parâmetros, consulte a documentação deste comando.

Important

Não é possível usar esse método para um log de atividades. Em vez disso, crie um modelo Azure Resource Manager e implemente-o usando a CLI do Azure.

O script de exemplo a seguir cria uma configuração de diagnóstico que envia dados para os três destinos. Para especificar o modo específico de recurso , se o serviço o suportar, adicione o export-to-resource-specific parâmetro com um valor de true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Modelo do Resource Manager

O modelo de exemplo seguinte cria uma definição de diagnóstico para enviar todos os registos de auditoria para um espaço de trabalho de Log Analytics. O apiVersion valor pode variar consoante o recurso dentro do escopo. Para exemplos de modelos para outros recursos, consulte exemplos de modelos do Resource Manager para definições de diagnóstico no Azure Monitor.

Aqui está o ficheiro modelo:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Aqui está o ficheiro de parâmetros:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Modelo de API REST

Para criar ou editar uma definição de diagnóstico usando a API REST do Azure Monitor, consulte Definições de Diagnóstico - Criar ou Atualizar.

Warning

Quando cria ou atualiza definições de diagnóstico para uma conta de armazenamento ou um namespace de Event Hubs, não pode selecionar essa conta ou namespace como destino para os registos de recursos ou dados de métricas. Esta limitação é propositada. Enviar registos de recursos ou métricas de um recurso para o mesmo recurso geraria um ciclo infinito de geração e escrita de dados.

Este design aplica-se apenas à camada UX do portal Azure. Se realmente houver necessidade de escrever dados para o mesmo recurso e estiveres disposto a aceitar os riscos associados, podes criar a definição de diagnóstico usando o Azure PowerShell, a linha de comando do Azure, a API REST, um template do Resource Manager ou um Microsoft SDK suportado.

Grupos de categorias

Você pode usar grupos de categorias para coletar logs de recursos com base em agrupamentos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os agrupamentos para ajudar a monitorar casos de uso comuns. Se as categorias no grupo forem atualizadas, sua coleção de logs será modificada automaticamente.

Nem todos os serviços do Azure usam grupos de categorias. Se grupos de categorias não estiverem disponíveis para um determinado recurso, a opção não estará disponível quando criares a definição de diagnóstico.

Se você usar grupos de categorias em uma configuração de diagnóstico, não poderá selecionar tipos de categoria individuais. Atualmente, existem dois grupos de categorias:

• allLogs: Todas as categorias do recurso.
• audit: Todos os registos de recursos que registam as interações dos clientes com dados ou as definições do serviço. Não precisas de selecionar este grupo de categorias se escolheres o allLogs grupo de categorias.

Note

Ativar a audit categoria nas definições de diagnóstico do Azure SQL Database não ativa a auditoria da base de dados. Para ativar a auditoria de bases de dados, tens de a ativar a partir do painel de auditoria da Azure SQL Database.

Limitações de métricas

Nem todas as métricas podem ser enviadas para um espaço de trabalho do Log Analytics com configurações de diagnóstico. Consulte a coluna Exportável na lista de métricas suportadas.

As definições de diagnóstico atualmente não suportam métricas multidimensionais. As métricas com dimensões são exportadas como métricas unidimensionais simplificadas e agregadas através dos valores das dimensões. Por exemplo, a IOReadBytes métrica numa blockchain pode ser explorada e representada ao nível de cada nó. Quando a métrica é exportada com as definições de diagnóstico, mostra todos os bytes de leitura de todos os nós.

Para contornar as limitações de métricas específicas, pode extraí-las manualmente usando a API Metrics REST. Pode então importá-los para um espaço de trabalho de Log Analytics usando a API de Ingestão de Logs.

Controlo de custos

Poderá haver um custo pelos dados que as definições de diagnóstico recolhem. O custo depende do destino escolhido e do volume de dados recolhidos. Para obter mais informações, consulte Preços do Azure Monitor.

Recolhe apenas as categorias necessárias para cada serviço. Também pode não querer recolher métricas de plataforma a partir dos recursos do Azure, porque esses dados já estão a ser recolhidos em Métricas. Configure os seus dados de diagnóstico para recolher métricas apenas se precisar de dados de métricas no espaço de trabalho para análises mais complexas com consultas de log.

As configurações de diagnóstico não permitem filtragem granular dentro de uma categoria selecionada. Pode filtrar dados para tabelas suportadas num espaço de trabalho Log Analytics usando transformações. Para mais detalhes, veja Transformações no Azure Monitor.

Tempo antes de os dados chegarem aos destinos

Depois de criar uma configuração de diagnóstico, os dados devem começar a fluir para os destinos selecionados dentro de 90 minutos. Quando envia dados para um espaço de trabalho Log Analytics, a tabela é criada automaticamente se ainda não existir. A tabela só é criada quando os destinos recebem os primeiros registos de registo.

Se não receber nenhuma informação dentro de 24 horas, pode estar a enfrentar um dos seguintes problemas:

• Nenhum log está sendo gerado.
• Algo está errado no mecanismo de roteamento subjacente.

Tenta desativar a configuração e depois voltar a ativá-la. Se o problema continuar, contacte o suporte Azure através do portal Azure.

Application Insights

Considere as seguintes informações para definições de diagnóstico para aplicações Application Insights:

• O destino não pode ser o mesmo espaço de trabalho de Log Analytics em que se baseia o seu recurso Application Insights.
• O utilizador do Application Insights não pode ter acesso a ambos os espaços de trabalho. Defina o modo de controlo de acesso Log Analytics para Requer permissões de espaço de trabalho. Através do Azure RBAC, certifique-se de que o utilizador tem acesso apenas ao espaço de trabalho de Log Analytics em que se baseia o recurso Application Insights.

Estes passos são necessários porque o Application Insights acede a dados de vários recursos para fornecer operações completas de transação de ponta a ponta e mapas de aplicação precisos. Estes recursos incluem espaços de trabalho de Log Analytics. Como os registos de diagnóstico usam os mesmos nomes de tabelas, podem aparecer dados duplicados se o utilizador tiver acesso a múltiplos recursos que contenham os mesmos dados.

Troubleshooting

A categoria métrica não é suportada

Pode receber uma mensagem de erro semelhante a "A categoria métrica 'xxxx' não é suportada" quando estiver a usar um modelo do Resource Manager, a API REST, a CLI do Azure ou o Azure PowerShell. Categorias métricas diferentes de AllMetrics não são suportadas, exceto para um número limitado de serviços da Azure. Remova quaisquer nomes de categorias de métricas, exceto AllMetrics, e repita a implantação.

A configuração desaparece devido a caracteres não ASCII num ID de recurso

As definições de diagnóstico não suportam IDs de recursos com caracteres que não sejam ASCII (por exemplo, Preproduccón). Como não podes renomear recursos no Azure, tens de criar um novo recurso sem os caracteres não ASCII. Se os caracteres estiverem em um grupo de recursos, você poderá movê-los para um novo grupo.

O recurso está inativo

Quando um recurso está inativo e a exportar métricas de valor zero, o mecanismo de exportação das definições de diagnóstico recua gradualmente para evitar custos desnecessários de exportação e armazenamento de valores zero. Este recuo pode levar a um atraso na exportação do próximo valor não nulo. Este comportamento aplica-se apenas a métricas exportadas e não afeta alertas baseados em métricas nem autoescala.

Quando um recurso fica inativo por uma hora, o mecanismo de exportação recua para 15 minutos. Esta situação significa que existe uma latência potencial de até 15 minutos para o próximo valor não nulo ser exportado. O recurso atinge o tempo máximo de recuo de duas horas após sete dias de inatividade. Depois de o recurso começar a exportar valores não nulos, o mecanismo de exportação reverte para a latência original de exportação de três minutos.

Conteúdo relacionado

• Migrar da retenção de armazenamento das definições de diagnóstico para o gerenciamento do ciclo de vida do Azure Storage
• Azure Monitor fontes de dados e métodos de coleta de dados