Использование управляемых клиентом учетных записей хранения в журналах Azure Monitor

  • Статья

Журналы Azure Monitor зависят от служба хранилища Azure в различных сценариях. Azure Monitor обычно управляет этим типом хранилища автоматически, но в некоторых случаях требуется предоставить собственную учетную запись хранения и управлять ими, также называемой управляемой клиентом учетной записью хранения. В этой статье описываются варианты использования и требования к настройке управляемого клиентом хранилища для журналов Azure Monitor и объясняется, как связать учетную запись хранения с рабочей областью Log Analytics.

Примечание.

Рекомендуется не учитывать содержимое, которое журналы Azure Monitor отправляет в управляемое клиентом хранилище, так как форматирование и содержимое могут измениться.

Управляемые клиентом учетные записи хранения используются для приема пользовательских журналов при использовании частных ссылок для подключения к ресурсам Azure Monitor. В процессе приема этих типов данных журналы сначала передаются в промежуточную учетную запись службы хранилища Azure, и только затем они принимаются в рабочей области.

Требования к рабочей области

При подключении к Azure Monitor через приватный канал агент Azure Monitor может отправлять журналы только в рабочие области, доступные через приватный канал. Это требование означает, что вам следует:

  • Настройте объект Приватный канал Области (AMPLS) Azure Monitor.
  • Подключение его в рабочие области.
  • подключить объект AMPLS к своей сети по приватному каналу.

Дополнительные сведения о процедуре настройки AMPLS см. в разделе Безопасное подключение сетей к Azure Monitor с помощью приватного канала Azure.

Требования к учетной записи хранения

Для подключения учетной записи хранения к приватной ссылке необходимо:

  • Находиться в виртуальной сети или одноранговой сети и подключаться к виртуальной сети через приватный канал.

  • Находиться в том же регионе, что и связанная с ней рабочая область.

  • Разрешить Azure Monitor доступ к учетной записи хранения. Чтобы разрешить доступ к учетной записи хранения только определенным сетям, выберите исключение Allow trusted службы Майкрософт для доступа к этой учетной записи хранения.

    Снимок экрана: служба хранилища доверие учетной записи службы Майкрософт.

Если рабочая область обрабатывает трафик из других сетей, настройте учетную запись хранения, чтобы разрешить входящий трафик, поступающий из соответствующих сетей или Интернета.

Координирует версию TLS между агентами и учетной записью хранения. Рекомендуется отправлять данные в журналы Azure Monitor с помощью TLS 1.2 или более поздней версии. Ознакомьтесь с рекомендациями для конкретной платформы. При необходимости настройте агенты для использования TLS. Если это невозможно, настройте учетную запись хранения, чтобы принять TLS 1.0.

Шифрование данных ключей, управляемых клиентом

Служба хранилища Azure шифрует все неактивные данные в учетной записи хранения. По умолчанию он использует управляемые Корпорацией Майкрософт ключи (MMKs) для шифрования данных. Однако служба хранилища Azure также позволяет использовать управляемые клиентом ключи (CMKs) из Azure Key Vault для шифрования данных хранилища. Вы можете импортировать собственные ключи в Key Vault или использовать API Key Vault для создания ключей.

Сценарии CMK, в которых требуется управляемая клиентом учетная запись хранения

Для учетной записи хранения, управляемой клиентом, требуется:

  • Шифрование запросов генерации оповещений журнала с помощью CMK.
  • Шифрование сохраненных запросов с помощью CMK.

Применение cmKs к учетным записям хранения, управляемым клиентом

Следуйте этим рекомендациям, чтобы применить пакеты УПРАВЛЕНИЯ к учетным записям хранения, управляемым клиентом.

Требования к учетной записи хранения

Учетная запись хранения и хранилище ключей должны находиться в одном регионе, но они также могут находиться в разных подписках. Дополнительные сведения о шифровании и управлении ключами в службе хранилища Azure см. в статье Шифрование службы хранилища Azure для неактивных данных.

Применение CMK к учетным записям хранения

Чтобы настроить учетную запись служба хранилища Azure для использования cmKs в Key Vault, используйте портал Azure, PowerShell или Azure CLI.

Примечание.

  • При связывании служба хранилища учетной записи для запроса существующие сохраненные запросы в рабочей области удаляются безвозвратно для конфиденциальности. Вы можете скопировать существующие сохраненные запросы перед ссылкой на хранилище с помощью PowerShell.
  • Запросы, сохраненные в пакете запросов, не шифруются с помощью ключа, управляемого клиентом. Выберите " Сохранить как устаревший запрос " при сохранении запросов, чтобы защитить их с помощью ключа, управляемого клиентом.
  • Сохраненные запросы хранятся в хранилище таблиц и шифруются с помощью ключа, управляемого клиентом, при настройке шифрования при создании учетной записи служба хранилища.
  • Оповещения поиска по журналам сохраняются в хранилище BLOB-объектов, где конфигурация шифрования ключей, управляемого клиентом, может находиться в служба хранилища создании учетной записи или более поздней версии.
  • Вы можете использовать одну учетную запись служба хранилища для всех целей, запросов, оповещений, пользовательских журналов и журналов IIS. Для связывания хранилища для пользовательских журналов и журналов IIS может потребоваться больше служба хранилища учетных записей для масштабирования в зависимости от скорости приема и ограничений хранения. С рабочей областью можно связать до пяти служба хранилища учетных записей.

Использование портала Azure

В портал Azure откройте меню рабочей области и выберите связанные учетные записи хранения. На панели отображаются связанные учетные записи хранения по ранее упоминание (прием более Приватный канал, применение cmKs к сохраненным запросам или оповещениям).

Снимок экрана: панель связанных учетных записей хранения.

При выборе элемента в таблице открываются сведения о учетной записи хранения, где можно задать или обновить связанную учетную запись хранения для этого типа.

Снимок экрана, на котором показана панель Вы можете использовать одну и ту же учетную запись для разных вариантов использования, если вы предпочитаете.

Использование Azure CLI или REST API

Вы также можете связать учетную запись хранения со своей рабочей областью с помощью Azure CLI или REST API.

dataSourceType Применимые значения:

  • CustomLogs: чтобы использовать учетную запись хранения для пользовательских журналов и приема журналов IIS.
  • Query: чтобы использовать учетную запись хранения для хранения сохраненных запросов (требуется для шифрования CMK).
  • Alerts: чтобы использовать учетную запись хранения для хранения оповещений на основе журналов (требуется для шифрования CMK).

Управление связанными учетными записями хранения

Следуйте инструкциям по управлению связанными учетными записями хранения.

При связывании учетной записи хранения с рабочей областью журналы Azure Monitor начинают использовать ее вместо учетной записи хранения, принадлежащей службе. Вы можете:

  • Зарегистрируйте несколько учетных записей хранения, чтобы распространить нагрузку журналов между ними.
  • Повторно используйте одну учетную запись хранения для нескольких рабочих областей.

Чтобы прекратить использование учетной записи хранения, отсоедините хранилище от рабочей области. При отмене связи всех учетных записей хранения из рабочей области журналы Azure Monitor используют управляемые службой учетные записи хранения. Если сеть имеет ограниченный доступ к Интернету, эти учетные записи хранения могут быть недоступны, и любой сценарий, основанный на хранении, завершится сбоем.

Замена учетной записи хранения

Чтобы заменить учетную запись хранения, используемую для приема:

  1. Создайте ссылку на новую учетную запись хранения. Агенты ведения журнала получат обновленную конфигурацию и начнут отправлять данные в новое хранилище. Процесс может занять несколько минут.
  2. Отмените связь со старой учетной записью хранения, чтобы агенты перестали записывать данные в удаленную учетную запись. Процесс приема позволяет считывать данные из этой учетной записи до тех пор, пока он не будет получен. Не удаляйте учетную запись хранения, пока не увидите, что все журналы были приема.

Обслуживание учетных записей хранения

Следуйте этим инструкциям, чтобы сохранить учетные записи хранения.

Управление хранением журнала

При использовании собственной учетной записи хранения срок хранения предназначен для вас. Журналы Azure Monitor не удаляют журналы, хранящиеся в частном хранилище. Но вы должны настроить политику для обработки нагрузки в соответствии с вашими предпочтениями.

Учет нагрузки

Учетные записи хранения могут обрабатывать определенную нагрузку запросов на чтение и запись, прежде чем начать регулировать запросы. Дополнительные сведения см. в разделе "Целевые показатели масштабируемости и производительности" для Хранилище BLOB-объектов Azure.

Регулирование влияет на время, затрачиваемое на прием журналов. Если ваша учетная запись хранения перегружена, зарегистрируйте другую учетную запись хранения, чтобы распространить нагрузку между ними. Чтобы отслеживать емкость и производительность учетной записи хранения, просмотрите его Аналитика в портал Azure.

Плата за учетные записи хранения взимается на основе объема хранимых данных, типа хранилища и типа избыточности. Дополнительные сведения см. в разделе "Цены на блочные BLOB-объекты" и цены на таблицу Azure служба хранилища.

Следующие шаги