Usar contas de armazenamento gerenciadas pelo cliente nos Logs do Azure Monitor

  • Artigo

Os Logs do Azure Monitor dependem do Armazenamento do Azure em vários cenários. O Azure Monitor normalmente gerencia esse tipo de armazenamento automaticamente, mas alguns casos exigem que você forneça e gerencie sua própria conta de armazenamento, também conhecida como conta de armazenamento gerenciada pelo cliente. Este artigo descreve os casos de uso e os requisitos para configurar o armazenamento gerenciado pelo cliente para os Logs do Azure Monitor e explica como vincular uma conta de armazenamento a um espaço de trabalho do Log Analytics.

Nota

Recomendamos que você não dependa do conteúdo que os Logs do Azure Monitor carregam no armazenamento gerenciado pelo cliente porque a formatação e o conteúdo podem mudar.

As contas de armazenamento gerenciadas pelo cliente são usadas para ingerir logs personalizados quando links privados são usados para se conectar aos recursos do Azure Monitor. O processo de ingestão desses tipos de dados primeiro carrega logs em uma conta de Armazenamento do Azure intermediária e só depois os ingere em um espaço de trabalho.

Requisitos do espaço de trabalho

Quando você se conecta ao Azure Monitor por meio de um link privado, o Agente do Azure Monitor só pode enviar logs para espaços de trabalho acessíveis por meio de um link privado. Este requisito significa que deve:

  • Configure um objeto AMPLS (Escopo de Link Privado) do Azure Monitor.
  • Conecte-o aos seus espaços de trabalho.
  • Ligue a AMPLS à sua rede através de uma ligação privada.

Para obter mais informações sobre o procedimento de configuração AMPLS, consulte Usar o Azure Private Link para conectar redes com segurança ao Azure Monitor.

Requisitos da conta de armazenamento

Para que a conta de armazenamento se conecte ao seu link privado, ela deve:

  • Estar localizado na sua rede virtual ou numa rede emparelhada e ligado à sua rede virtual através de uma ligação privada.

  • Estar localizado na mesma região do espaço de trabalho ao qual está vinculado.

  • Permita que o Azure Monitor acesse a conta de armazenamento. Para permitir que apenas redes específicas acessem sua conta de armazenamento, selecione a exceção Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento.

    Captura de tela que mostra a confiança da conta de armazenamento nos serviços da Microsoft.

Se o seu espaço de trabalho lida com o tráfego de outras redes, configure a conta de armazenamento para permitir o tráfego de entrada proveniente das redes/Internet relevantes.

Coordene a versão TLS entre os agentes e a conta de armazenamento. Recomendamos que você envie dados para os Logs do Azure Monitor usando o TLS 1.2 ou superior. Reveja as orientações específicas da plataforma. Se necessário, configure seus agentes para usar TLS. Se isso não for possível, configure a conta de armazenamento para aceitar o TLS 1.0.

Criptografia de dados de chave gerenciada pelo cliente

O Armazenamento do Azure criptografa todos os dados em repouso em uma conta de armazenamento. Por padrão, ele usa chaves gerenciadas pela Microsoft (MMKs) para criptografar os dados. No entanto, o Armazenamento do Azure também permite que você use chaves gerenciadas pelo cliente (CMKs) do Cofre de Chaves do Azure para criptografar seus dados de armazenamento. Você pode importar suas próprias chaves para o Cofre de Chaves ou usar as APIs do Cofre de Chaves para gerar chaves.

Cenários de CMK que exigem uma conta de armazenamento gerenciada pelo cliente

Uma conta de armazenamento gerenciada pelo cliente é necessária para:

  • Criptografando consultas de alerta de log com CMKs.
  • Encriptação de consultas guardadas com CMKs.

Aplicar CMKs a contas de armazenamento gerenciadas pelo cliente

Siga estas orientações para aplicar CMKs a contas de armazenamento gerenciadas pelo cliente.

Requisitos da conta de armazenamento

A conta de armazenamento e o cofre de chaves devem estar na mesma região, mas também podem estar em assinaturas diferentes. Para obter mais informações sobre a criptografia do Armazenamento do Azure e o gerenciamento de chaves, consulte Criptografia do Armazenamento do Azure para dados em repouso.

Aplicar CMKs às suas contas de armazenamento

Para configurar sua conta de Armazenamento do Azure para usar CMKs com o Cofre da Chave, use o portal do Azure, o PowerShell ou a CLI do Azure.

Nota

  • Ao vincular a Conta de Armazenamento para consulta, as consultas salvas existentes no espaço de trabalho são excluídas permanentemente para privacidade. Você pode copiar consultas salvas existentes antes do link de armazenamento usando o PowerShell.
  • As consultas salvas no pacote de consultas não são criptografadas com a chave gerenciada pelo cliente. Selecione Salvar como consulta herdada ao salvar consultas, para protegê-las com a chave gerenciada pelo cliente.
  • As consultas salvas são armazenadas no armazenamento de tabelas e criptografadas com chave gerenciada pelo cliente quando a criptografia é configurada na criação da Conta de Armazenamento.
  • Os alertas de pesquisa de log são salvos no armazenamento de blobs, onde a configuração da criptografia de chave gerenciada pelo cliente pode ser na criação da Conta de Armazenamento ou posteriormente.
  • Você pode usar uma única conta de armazenamento para todos os fins, consulta, alerta, log personalizado e logs do IIS. Vincular o armazenamento para log personalizado e logs do IIS pode exigir mais contas de armazenamento para escala, dependendo da taxa de ingestão e dos limites de armazenamento. Você pode vincular até cinco Contas de Armazenamento a um espaço de trabalho.

Utilizar o portal do Azure

No portal do Azure, abra o menu do espaço de trabalho e selecione Contas de armazenamento vinculadas. Um painel mostra as contas de armazenamento vinculadas pelos casos de uso mencionados anteriormente (ingestão por Link Privado, aplicação de CMKs a consultas salvas ou alertas).

Captura de tela que mostra o painel Contas de armazenamento vinculadas.

A seleção de um item na tabela abre os detalhes da conta de armazenamento, onde você pode definir ou atualizar a conta de armazenamento vinculada para esse tipo.

Captura de tela que mostra o painel Conta de armazenamento de link. Você pode usar a mesma conta para diferentes casos de uso, se preferir.

Usar a CLI do Azure ou a API REST

Você também pode vincular uma conta de armazenamento ao seu espaço de trabalho por meio da CLI do Azure ou da API REST.

Os valores aplicáveis dataSourceType são:

  • CustomLogs: Para usar a conta de armazenamento para ingestão de logs personalizados e logs do IIS.
  • Query: Para usar a conta de armazenamento para armazenar consultas salvas (necessário para criptografia CMK).
  • Alerts: Para usar a conta de armazenamento para armazenar alertas baseados em log (necessário para criptografia CMK).

Gerenciar contas de armazenamento vinculadas

Siga estas orientações para gerenciar suas contas de armazenamento vinculadas.

Quando você vincula uma conta de armazenamento a um espaço de trabalho, os Logs do Azure Monitor começam a usá-la em vez da conta de armazenamento de propriedade do serviço. Pode:

  • Registre várias contas de armazenamento para distribuir a carga de logs entre elas.
  • Reutilize a mesma conta de armazenamento para vários espaços de trabalho.

Para parar de usar uma conta de armazenamento, desvincule o armazenamento do espaço de trabalho. Quando você desvincula todas as contas de armazenamento de um espaço de trabalho, os Logs do Azure Monitor usam contas de armazenamento gerenciadas por serviço. Se a sua rede tiver acesso limitado à Internet, essas contas de armazenamento podem não estar disponíveis e qualquer cenário que dependa do armazenamento falhará.

Substituir uma conta de armazenamento

Para substituir uma conta de armazenamento usada para ingestão:

  1. Crie um link para uma nova conta de armazenamento. Os agentes de log obterão a configuração atualizada e começarão a enviar dados para o novo armazenamento. O processo pode demorar alguns minutos.
  2. Desvincule a conta de armazenamento antiga para que os agentes parem de escrever na conta removida. O processo de ingestão continua lendo os dados dessa conta até que tudo seja ingerido. Não exclua a conta de armazenamento até ver que todos os logs foram ingeridos.

Manter contas de armazenamento

Siga estas orientações para manter suas contas de armazenamento.

Gerenciar retenção de logs

Quando você usa sua própria conta de armazenamento, a retenção depende de você. Os Logs do Azure Monitor não excluem logs armazenados em seu armazenamento privado. Em vez disso, você deve configurar uma política para lidar com a carga de acordo com suas preferências.

Considere a carga

As contas de armazenamento podem lidar com uma determinada carga de solicitações de leitura e gravação antes de começarem a limitar as solicitações. Para obter mais informações, consulte Metas de escalabilidade e desempenho para o Armazenamento de Blobs do Azure.

A limitação afeta o tempo necessário para ingerir logs. Se sua conta de armazenamento estiver sobrecarregada, registre outra conta de armazenamento para distribuir a carga entre elas. Para monitorizar a capacidade e o desempenho da sua conta de armazenamento, reveja as respetivas Informações no portal do Azure.

Você é cobrado por contas de armazenamento com base no volume de dados armazenados, no tipo de armazenamento e no tipo de redundância. Para obter mais informações, consulte Preços de blob de bloco e Preços do Armazenamento de Tabela do Azure.

Próximos passos