Поделиться через

Создание и настройка наблюдателя (предварительная версия)

Применимо к: База данных SQL Azure Управляемый экземпляр SQL Azure

В этой статье содержатся подробные инструкции по созданию, настройке и запуску наблюдателя на портале Azure для Базы данных SQL Azure и Управляемого экземпляра SQL Azure.

Наблюдатель за базами данных не требует развертывания и обслуживания агентов мониторинга или другой инфраструктуры мониторинга. Вы можете включить подробный мониторинг ваших ресурсов Azure SQL всего за несколько минут.

Упрощенный пошаговый пример для создания и настройки наблюдателя см. в кратком руководстве по созданию наблюдателя для мониторинга SQL Azure.

См. пример кода создания наблюдателя, чтобы узнать, как можно создать и настроить наблюдателя с помощью Bicep или шаблона ARM.

Определение наблюдателей с помощью инфраструктуры как кода (Bicep, шаблоны ARM, Terraform AzAPI) см. в справочной документации по ресурсам Azure .

Сведения о программном управлении наблюдателями см. в документации по REST API наблюдателя баз данных.

После создания и настройки наблюдателя, выполнив действия, описанные в этой статье, можно использовать оповещения Azure Monitor. Дополнительные сведения см. в оповещения наблюдателя за базами данных.

Примечание.

Наблюдатель за базами данных в настоящее время находится в предварительной версии.

Необходимые компоненты

Чтобы использовать наблюдатель за базой данных, необходимы следующие предварительные требования.

  • Вам нужна активная подписка Azure. Если ее нет, создайте бесплатную учетную запись. Необходимо быть членом роли участника или роли владельца подписки или группы ресурсов, чтобы иметь возможность создавать ресурсы.

  • Чтобы настроить и запустить наблюдатель, вам потребуется существующий целевой объект SQL: база данных SQL Azure, эластичные пулы или управляемый экземпляр SQL.

  • Microsoft.DatabaseWatcher, Microsoft.Kusto и Microsoft.Network поставщики ресурсов должны быть зарегистрированы в вашей подписке Azure.

    • Чтобы использовать проверку подлинности SQL для подключений к ресурсам SQL Azure, необходимо также зарегистрировать поставщика ресурсов Microsoft.KeyVault. Дополнительная конфигурация для использования аутентификации SQL.
    • Чтобы создать правила генерации оповещений, поставщик ресурсов Microsoft.Insights также должен быть зарегистрирован.

    Регистрация поставщика ресурсов выполняется автоматически, если у вас есть членство в роли владельца или участникаRBAC на уровне подписки. В противном случае пользователь в одной из этих ролей должен зарегистрировать поставщиков ресурсов перед созданием и настройкой наблюдателя. Дополнительные сведения см. в разделе Регистрация поставщика ресурсов.

  • Пользователь, который создает и настраивает наблюдателя и ресурсы кластера Azure Data Explorer, должен быть членом роли Владельца или Участника RBAC для группы ресурсов или подписки, в которой создаются эти ресурсы.

    Кроме того, при использовании проверки подлинности SQL пользователь должен быть членом роли владельца группы ресурсов или членом роли администратора доступа владельца или пользователя для хранилища ключей, в которой хранятся учетные данные проверки подлинности SQL.

  • Пользователь, который настраивает наблюдателя, должен иметь доступ администратора к целевым объектам SQL Azure. Администратор предоставляет наблюдателю ограниченный доступ к целевым объектам мониторинга SQL. Дополнительные сведения см. в разделе "Предоставление доступа к целевым объектам".

  • Чтобы предоставить наблюдателю доступ к целевому объекту SQL, администратору необходимо выполнить скрипты T-SQL с помощью SQL Server Management Studio (SSMS), Visual Studio Code с расширением SQL Server mssql или другими клиентскими средствами SQL.

  • Чтобы использовать Приватный канал Azure для частного подключения к ресурсам Azure, пользователь, утверждающий частную конечную точку, должен быть членом роли RBAC владельца или иметь необходимые разрешения RBAC. Дополнительные сведения см. в разделе "Утверждение RBAC" для частной конечной точки.

Создание наблюдателя

  1. В меню навигации портал Azure выберите все службы. Выберите "Монитор" в качестве категории и в разделе "Средства мониторинга" выберите "Наблюдатели за базами данных". Кроме того, можно ввести наблюдатель за базой данных в поле поиска в верхней части страницы портала и выбрать наблюдателя за базами данных.

    Когда откроется представление "Наблюдатели за базами данных", нажмите кнопку "Создать".

  2. На вкладке "Основные сведения" выберите подписку и группу ресурсов для наблюдателя, введите имя наблюдателя и выберите регион Azure.

    Совет

    Во время предварительной версии, если наблюдатель за базами данных еще недоступен в вашем регионе, его можно создать в другом регионе. Дополнительные сведения см. в разделе "Региональная доступность".

  3. На вкладке "Удостоверение" по умолчанию включено управляемое удостоверение наблюдателя, назначаемое системой. Если вы хотите, чтобы наблюдатель использовал управляемое удостоверение, назначаемое пользователем, нажмите кнопку "Добавить ", найдите удостоверение, которое вы хотите использовать, и нажмите кнопку "Добавить ". Чтобы сделать удостоверение, назначенное пользователем, эффективным для наблюдателя, отключите управляемое удостоверение, назначаемое системой.

    Дополнительные сведения об управляемых удостоверениях в наблюдателе за базами данных см. в разделе Изменение удостоверения наблюдателя.

  4. Выберите хранилище данных для наблюдателя.

    По умолчанию создание наблюдателя также создает кластер Azure Data Explorer и добавляет базу данных в этом кластере в качестве хранилища данных для собранных данных мониторинга.

    • По умолчанию новый кластер Azure Data Explorer использует SKU очень маленький, вычислительно оптимизированный. Это самый экономичный номер SKU, который по-прежнему предоставляет соглашение об уровне обслуживания (SLA). Этот кластер можно масштабировать позже по мере необходимости.

    • Кроме того, можно использовать базу данных в существующем кластере Azure Data Explorer, в бесплатном кластере Azure Data Explorer или в аналитике в режиме реального времени.

      1. На вкладке "Хранилище данных" выберите параметр "Выбрать хранилище данных" и нажмите кнопку "Добавить".
      2. Выберите базу данных Аналитики в режиме реального времени или кластер Azure Data Explorer.
      3. При использовании существующего кластера Azure Data Explorer необходимо включить прием потоковой передачи.
      4. Создайте новую базу данных или используйте существующую базу данных.

      Примечание.

      Любая существующую базу данных, которую вы выбрали, должна быть пустой или должна быть базой данных, которая ранее использовалась в качестве хранилища данных наблюдателя. Выбор базы данных, содержащей объекты, не созданные наблюдателем за базами данных, не поддерживается.

    • Кроме того, вы можете пропустить добавление хранилища данных в настоящее время и добавить его позже. Для запуска наблюдателя требуется хранилище данных.

  5. На вкладке целевые объекты SQL добавьте один или несколько ресурсов Azure SQL для мониторинга. Вы можете пропустить добавление целевых объектов SQL при создании наблюдателя и добавить их позже. Перед запуском наблюдателя необходимо добавить по крайней мере один целевой объект.

  6. На вкладке "Просмотр и создание " проверьте конфигурацию наблюдателя и нажмите кнопку "Создать". Если выбрать параметр по умолчанию для создания кластера Azure Data Explorer, развертывание обычно занимает 15–20 минут. Если выбрать базу данных в существующем кластере Azure Data Explorer, в бесплатном кластере Azure Data Explorer или в аналитике в режиме реального времени развертывание обычно занимает до пяти минут.

  7. После завершения развертывания предоставьте наблюдателю доступ к целевым объектам SQL.

  8. Возможно, вам также потребуется предоставить наблюдателю доступ к хранилищу данных.

    • Доступ к базе данных в новом или существующем кластере Azure Data Explorer предоставляется автоматически при создании наблюдателя, если пользователь, создающий наблюдатель, является членом роли владельца RBAC для кластера.
    • Однако при выборе базы данных необходимо предоставить доступ к хранилищу данных с помощью команды KQL:
      • Аналитика в режиме реального времени в Microsoft Fabric.
      • Бесплатный кластер Azure Data Explorer.

  9. Создайте и утвердите управляемые частные конечные точки, если вы хотите использовать частное подключение.

Запуск и остановка наблюдателя

При создании наблюдателя оно не запускается автоматически, так как может потребоваться дополнительная конфигурация.

Для запуска наблюдателя у него должны быть:

  • Хранилище данных.
  • По крайней мере один целевой объект.
  • Доступ к хранилищу данных и целевым объектам.
    • Доступ к хранилищу ключей, если для какого-либо целевого объекта выбрана проверка подлинности SQL.
  • Частное или общедоступное подключение к целевым объектам, хранилище ключей (при использовании проверки подлинности SQL) и хранилище данных.

После полной настройки наблюдателя нажмите кнопку "Пуск " на странице обзора , чтобы начать сбор данных. Через несколько минут новые данные мониторинга отображаются в хранилище данных и на панелях мониторинга. Если новые данные не отображаются в течение пяти минут, см . раздел "Устранение неполадок".

Вы можете остановить наблюдение с помощью кнопки "Остановить", если вам не нужно отслеживать ваши ресурсы Azure SQL в течение некоторого времени.

Чтобы перезапустить наблюдатель, остановите его и снова запустите его.

Изменение наблюдателя

В портал Azure можно добавлять или удалять целевые точки, создавать или удалять частные конечные точки, использовать другое хранилище данных для существующего наблюдателя или изменять управляемое удостоверение наблюдателя.

Примечание.

Если не указано по-другому, изменения, внесенные в конфигурацию наблюдателя, становятся эффективными после остановки и перезапуска наблюдателя.

Добавление целевых объектов SQL в наблюдатель

Чтобы включить мониторинг наблюдателя за базами данных SQL Azure, эластичным пулом или управляемым экземпляром SQL, необходимо добавить этот ресурс в качестве целевого объекта SQL.

  1. Чтобы добавить целевой объект, на странице целевых объектов SQL нажмите кнопку "Добавить".
  2. Найдите ресурс SQL Azure, который вы хотите отслеживать. Выберите тип ресурса и подписку, а затем выберите целевой объект SQL из списка ресурсов. Целевой объект SQL может находиться в любой подписке в том же клиенте Идентификатора Microsoft Entra, что и наблюдатель.
  3. Чтобы отслеживать первичную реплику и вторичную реплика высокой доступности базы данных, эластичного пула или управляемого экземпляра SQL, добавьте два отдельных целевых объекта SQL для одного ресурса и установите флажок намерения чтения для одного из них. Аналогичным образом создайте два отдельных целевых объекта SQL для геореплики и вторичной реплики высокой доступности, если таковые имеются.
    • Настройка флажка намерение чтения конфигурирует целевой SQL-объект только для вторичной реплики с высокой доступностью.
    • Не отмечайте флажок намерения чтения, если вы хотите отслеживать только основную реплику или только геореплику, или если для этого ресурса не существует вторичной реплики высокой доступности, или если функция масштабирования для чтения отключена.

По умолчанию наблюдатель использует проверку подлинности Microsoft Entra при подключении к целевым объектам SQL. Если вы хотите, чтобы контроллер использовал аутентификацию SQL, отметьте поле "Использовать аутентификацию SQL" и введите необходимые данные. Дополнительные сведения см. в статье "Дополнительная конфигурация для использования проверки подлинности SQL".

Удаление целевых объектов SQL из наблюдателя

Чтобы удалить один или несколько целевых объектов, откройте страницу целевых объектов SQL, выберите целевые объекты, которые нужно удалить в списке, и нажмите кнопку "Удалить".

Удаление целевого объекта SQL останавливает мониторинг ресурса SQL Azure после перезапуска наблюдателя, но не удаляет фактический ресурс.

При удалении ресурса SQL Azure, отслеживаемого наблюдателем, необходимо также удалить соответствующий целевой объект SQL из наблюдателя. Поскольку существует ограничение на количество целевых объектов SQL, которые могут иметь наблюдатель, сохранение устаревших целевых объектов может блокировать добавление новых целевых объектов.

Создание управляемой частной конечной точки

Если вы хотите использовать частное подключение для сбора данных из целевых объектов SQL, необходимо создать управляемые частные конечные точки для приема в хранилище данных и подключения к хранилищам ключей. Если вы не создаете частные конечные точки, наблюдатель по умолчанию использует общедоступное подключение.

Примечание.

Наблюдатель должен использовать собственные управляемые частные конечные точки для подключения к ресурсам Azure. Наблюдатель не может использовать любую частную конечную точку, которая уже может существовать для логического сервера SQL Azure, управляемого экземпляра SQL, кластера Azure Data Explorer или хранилища ключей.

Чтобы создать управляемую частную конечную точку для наблюдателя:

  1. Если на ресурсе, группе ресурсов или подписке, для которой вы создаете управляемую частную конечную точку, существует блокировка только для чтения, удалите блокировку. Вы можете добавить блокировку снова после успешного создания частной конечной точки.

  2. Перейдите к наблюдателю на портале Azure, откройте страницу управляемых частных конечных точек и нажмите кнопку "Добавить".

  3. Укажите имя частной конечной точки.

  4. Выберите подписку ресурса Azure, для которого нужно создать частную конечную точку.

  5. В зависимости от типа ресурса, для которого требуется создать частную конечную точку, выберите тип ресурса и целевой вложенный ресурс следующим образом:

    Ресурс Тип ресурса Целевой подресурс
    Логический сервер Microsoft.Sql/servers sqlServer
    Управляемый экземпляр SQL Microsoft.Sql/managedInstances managedInstance
    Кластер Azure Data Explorer Microsoft.Kusto/clusters cluster
    Хранилище ключей Microsoft.KeyVault/vaults vault

  6. Выберите ресурс, для которого нужно создать частную конечную точку. Это может быть логический сервер SQL Azure, управляемый экземпляр SQL, кластер Azure Data Explorer или хранилище ключей.

    • Создание частной конечной точки для логического сервера Базы данных SQL Azure позволяет наблюдателю использовать частное подключение для всех целевых объектов базы данных и эластичного пула на этом сервере.

  7. При необходимости введите описание частной конечной точки. Это может помочь владельцу ресурса утвердить запрос.

  8. Нажмите кнопку создания. Создание частной конечной точки может занять несколько минут. Частная конечная точка создается после изменения состояния подготовки от Accepted или Running на Succeeded. Обновите представление, чтобы просмотреть текущее состояние подготовки.

    Внимание

    Частная конечная точка создается в состоянии ожидания . Владелец ресурса должен утвердить частную конечную точку, прежде чем наблюдатель сможет подключиться к ресурсу.

    Чтобы владельцы ресурсов могли управлять сетевым подключением, управляемые частные конечные точки для наблюдателя не утверждаются автоматически.

  9. Владелец ресурса должен утвердить запрос частной конечной точки.

Если наблюдатель уже запущен при утверждении частной конечной точки, его необходимо перезапустить, чтобы начать использование частного подключения.

Совет

При отключении общедоступного подключения кластера Azure Data Explorer необходимо создать дополнительную частную конечную точку. Дополнительные сведения см. в разделе "Частное подключение к хранилищу данных".

Удаление управляемой частной конечной точки

  1. Если на ресурсе, группе ресурсов или подписке ресурс, для которого вы планируете удалить управляемую частную конечную точку, есть блокировка на удаление или блокировка только для чтения, удалите эту блокировку. Вы можете снова добавить блокировку после успешного удаления частной конечной точки.
  2. На странице портала Azure для наблюдателя откройте страницу управляемых частных конечных точек .
  3. Выберите частные конечные точки, которые нужно удалить.
  4. Выберите команду Удалить.

Удаление управляемой частной конечной точки останавливает сбор данных из целевых объектов SQL, использующих эту частную конечную точку. Удаление управляемой частной конечной точки для кластера Azure Data Explorer останавливает сбор данных для всех целевых объектов. Чтобы возобновить сбор данных, создайте частную конечную точку или включите общедоступное подключение и перезапустите наблюдатель.

Изменение хранилища данных для наблюдателя

Наблюдатель может иметь только одно хранилище данных.

Чтобы изменить текущее хранилище данных, удалите существующее хранилище данных, а затем добавьте новое хранилище данных.

  • Чтобы удалить текущее хранилище данных, откройте страницу хранилища данных, выберите хранилище данных в сетке и нажмите кнопку "Удалить".

    • Удаление хранилища данных не удаляет фактическую базу данных хранилища данных в кластере Azure Data Explorer или в Аналитике в режиме реального времени в Microsoft Fabric.
    • Чтобы остановить сбор данных в удаленное хранилище данных, остановите наблюдателя.
    • При удалении хранилища данных необходимо добавить новое хранилище данных, прежде чем снова запустить наблюдатель.

  • Чтобы добавить хранилище данных, выберите "Добавить " на странице хранилища данных, а затем выберите или создайте базу данных в кластере Azure Data Explorer или в аналитике в режиме реального времени.

    • Выбранная база данных должна быть пустой или должна быть базой данных, которая ранее использовалась в качестве хранилища данных наблюдателя. Выбор базы данных, содержащей объекты, не созданные наблюдателем за базами данных, не поддерживается.
    • После добавления хранилища данных необходимо предоставить наблюдателю доступ к нему. Дополнительные сведения см. в разделе "Предоставление доступа к хранилищу данных".
    • После перезапуска наблюдателя он начинает использовать новое хранилище данных.

Совет

Если вы переключите хранилище данных из платного кластера Azure Data Explorer на бесплатный кластер Azure Data Explorer, рассмотрите возможность остановки или удаления платного кластера, если он больше не нужен. Это может избежать ненужных затрат.

Изменение удостоверения наблюдателя

Наблюдатель должен иметь управляемое удостоверение для аутентификации в целевых объектах SQL, хранилищах ключей и хранилище данных. Можно использовать назначенное системой или назначаемое пользователем управляемое удостоверение. Дополнительные сведения об управляемых удостоверениях в Azure см. в статье "Что такое управляемые удостоверения для ресурсов Azure"?

Следующие рекомендации помогут выбрать тип управляемого удостоверения для наблюдателя:

  • Назначено системой

    • Включен по умолчанию при создании наблюдателя.
    • Всегда связан с одним наблюдателем.
    • Создано и удалено с помощью наблюдателя.
    • Если отключить удостоверение, назначенное системой для наблюдателя, любой доступ, предоставленный данному удостоверению, будет потерян. Повторное включение назначаемого системой удостоверения для того же наблюдателя создает новое, другое удостоверение с другим идентификатором объекта (субъекта). Вам необходимо предоставить доступ к целевым объектам SQL, хранилищу ключей и хранилищу данных этому новому удостоверению.

  • Назначенный пользователем

    • Действует только в том случае, если назначенное системой удостоверение отключено для наблюдателя.
    • Одно и то же удостоверение пользователя можно назначить нескольким наблюдателям за ресурсами, для упрощения управления доступом, например, при мониторинге крупных инфраструктур в Azure SQL. Вместо предоставления доступа к идентификаторам, назначенным системой нескольким наблюдателям, доступ можно предоставить идентификатору, назначенному одному пользователю.
    • Для поддержки разделения обязанностей управление удостоверениями может быть отделено от управления системами мониторинга. Назначенное пользователем удостоверение может быть создано и использовано другим пользователем до или после создания наблюдателя.
    • Наоборот, когда наблюдатель удаляется, назначенное пользователю удостоверение и его доступ остаются неизменными. То же удостоверение можно использовать для нового наблюдателя.
    • Указание нескольких идентификаторов, назначенных пользователем, для наблюдателя не поддерживается.

Чтобы изменить управляемое удостоверение наблюдателя, откройте страницу удостоверений наблюдателя.

  • Чтобы использовать назначенное системой удостоверение, включите переключатель назначаемого системой удостоверения .

  • Чтобы использовать пользовательское удостоверение, отключите параметр Системное удостоверение. Нажмите кнопку Добавить, чтобы найти и добавить существующую пользовательскую идентификацию.

    Чтобы создать новое назначенное пользователем удостоверение, см. статью Создание управляемого удостоверения, назначенного пользователем.

  • Чтобы удалить назначенную пользователем идентичность из наблюдателя, выберите её в списке и нажмите "Удалить". После удаления удостоверения, назначенного пользователем, необходимо добавить другое назначаемое пользователем удостоверение или включить назначенное системой удостоверение.

    Удаленное назначенное пользователю удостоверение не удаляется из тенанта Microsoft Entra ID.

Нажмите кнопку Сохранить, чтобы сохранить изменения идентификационных данных. Сохранить изменения удостоверений невозможно, если это оставит наблюдателя без удостоверения. Наблюдатели, у которых отсутствует действительное управляемое удостоверение, не поддерживаются.

Совет

Рекомендуется, чтобы отображаемое имя управляемого удостоверения для наблюдателя было уникальным в вашем клиенте Microsoft Entra ID. При создании удостоверения, назначаемого пользователем, для наблюдателей можно выбрать уникальное имя.

Отображаемое имя системно назначенной идентичности совпадает с именем наблюдателя. Если вы используете удостоверение, назначенное системой, убедитесь, что имя наблюдателя уникально в тенанте Microsoft Entra ID.

Если отображаемое имя управляемого удостоверения не является уникальным, скрипт T-SQL для предоставления наблюдателям доступа к целевым объектам SQL завершается ошибкой повторяющегося отображаемого имени. Для получения дополнительной информации и обходного решения см. в разделе "Входы Microsoft Entra" и пользователи с неуникальными отображаемыми именами.

Вскоре после сохранения изменений данных удостоверения наблюдатель повторно подключается к целевым объектам SQL, хранилищам ключей (при использовании) и базе данных с использованием текущего управляемого удостоверения.

Удаление наблюдателя

Если у наблюдателя, его группы ресурсов или подписки есть блокировка на удаление или только для чтения, удалите блокировку. Аналогичным образом, если существует блокировка ресурса, группы ресурсов или подписки ресурса, для которого вы создали управляемую частную конечную точку, удалите блокировку. После успешного удаления наблюдателя можно добавить блокировки.

При удалении наблюдателя с включенным управляемым удостоверением, назначенным системой, удостоверение также удаляется. Удаляется любой доступ, который вы предоставили этой сущности. При повторном создании наблюдателя необходимо предоставить доступ назначенному системой управляемому удостоверению нового наблюдателя для аутентификации в каждом ресурсе. Сюда входит следующее:

Необходимо предоставить доступ к повторно созданному наблюдателю, даже если вы используете то же имя наблюдателя.

При удалении наблюдателя ресурсы Azure, указанные в качестве целевых объектов SQL, и хранилище данных не удаляются. Вы сохраняете собранные данные мониторинга SQL в хранилище данных и можете использовать ту же базу данных Azure Data Explorer или базу данных Аналитики в режиме реального времени, что и хранилище данных, если вы создадите новый наблюдатель позже.

Предоставление доступа к целевым объектам SQL

Чтобы наблюдатель могли собирать данные мониторинга SQL, необходимо выполнить скрипт T-SQL, предоставляющий наблюдателям ограниченные разрешения SQL.

  • Чтобы выполнить скрипт в База данных SQL Azure, вам нужен доступ администратора сервера к логическому серверу, содержаму базы данных и эластичным пулам, которые необходимо отслеживать.

    • В База данных SQL Azure необходимо выполнить скрипт только один раз на логическом сервере для каждого создаваемого наблюдателя. Это предоставляет наблюдателю доступ ко всем существующим и новым базам данных и эластичным пулам на этом сервере.

  • Чтобы выполнить скрипт в Azure SQL Управляемом экземпляре, необходимо быть членом серверной роли sysadmin или securityadmin, либо иметь разрешение CONTROL SERVER на управляемом экземпляре SQL.

    • В Azure SQL Managed Instance необходимо выполнить скрипт на каждом экземпляре, который нужно отслеживать.

  1. Перейдите к наблюдателю в портал Azure, выберите целевые объекты SQL, выберите одну из ссылок Предоставление доступа, чтобы открыть скрипт T-SQL и скопировать скрипт. Обязательно выберите правильную ссылку для целевого типа и тип проверки подлинности, который вы хотите использовать.

    Внимание

    Скрипт проверки подлинности Microsoft Entra в портале Azure предназначен для наблюдателя, так как он содержит имя управляемого удостоверения наблюдателя. Универсальная версия этого скрипта, которую можно настроить для каждого наблюдателя, см. в статье Предоставление доступа к целевым объектам SQL с помощью скриптов T-SQL.

  2. В SQL Server Management Studio или любом другом клиентском средстве SQL откройте новое окно запроса и подключите его к базе данных master на логическом сервере SQL Azure, содержащей целевой объект, или к базе данных master на целевом объекте управляемого экземпляра SQL.

  3. Вставьте и выполните скрипт T-SQL, чтобы предоставить доступ наблюдателю. Скрипт создает имя входа, которое наблюдатель использует для подключения, и предоставляет определенные ограниченные разрешения для сбора данных мониторинга.

    1. Если вы используете скрипт проверки подлинности Microsoft Entra, а наблюдатель использует управляемое удостоверение, назначенное системой, наблюдатель должен быть уже создан при выполнении скрипта. Если наблюдатель будет использовать пользовательскую управляемую учетную запись, можно выполнить сценарий до или после создания наблюдателя.

    При выполнении скриптов доступа T-SQL, которые предоставляют доступ к управляемому удостоверению, необходимо подключиться к проверке подлинности Microsoft Entra.

Если вы добавите новые целевые объекты в наблюдатель позже, необходимо предоставить доступ к этим целевым объектам аналогично, если эти целевые объекты не находятся на логическом сервере, где доступ уже предоставлен.

Предоставление доступа к целевым объектам SQL с помощью скриптов T-SQL

Существуют различные сценарии для проверки подлинности Microsoft Entra и проверки подлинности SQL, а также для целевых объектов База данных SQL Azure и Управляемый экземпляр SQL Azure.

Внимание

Всегда используйте предоставленные скрипты для предоставления доступа наблюдателю. Предоставление доступа другим способом может блокировать сбор данных. Дополнительные сведения см. в разделе "Авторизация наблюдателя".

Перед выполнением скрипта замените все заполнители, которые могут присутствовать в скрипте, такие как login-name-placeholder и password-placeholder, фактическими значениями.

Предоставление доступа аутентифицированным наблюдателям Microsoft Entra

Этот скрипт создает учетную запись аутентификации Microsoft Entra (ранее известная как Azure Active Directory) на логическом сервере в базе данных SQL Azure. Логин создается для управляемого удостоверения наблюдателя. Скрипт предоставляет наблюдателю необходимые и достаточные разрешения для сбора данных мониторинга со всех баз данных и эластичных пулов на логическом сервере.

Если наблюдатель использует управляемое удостоверение, назначенное системой, необходимо использовать имя наблюдателя в качестве имени входа. Если наблюдатель использует управляемое удостоверение, назначаемое пользователем, необходимо использовать отображаемое имя удостоверения в качестве имени входа.

Скрипт должен выполняться в master базе данных на логическом сервере. Необходимо войти в систему, используя учётную запись проверки подлинности Microsoft Entra, являющуюся администратором сервера.

CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [identity-name-placeholder];

Предоставление доступа наблюдателям с аутентификацией SQL

Дополнительные действия требуются при использовании проверки подлинности SQL, см. Дополнительные настройки для использования проверки подлинности SQL.

Этот скрипт создает логин с SQL-аутентификацией на логическом сервере в базе данных Azure SQL. Он предоставляет пользователю необходимые и достаточные разрешения для сбора данных мониторинга со всех баз данных и эластичных пулов на этом логическом сервере.

Скрипт должен выполняться в master базе данных на логическом сервере, используя имя входа, которое является администратором логического сервера.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

Дополнительная конфигурация для использования проверки подлинности SQL

Для безопасного хранения аутентификационных данных при использовании аутентификации SQL для монитора требуется дополнительная настройка.

Совет

Для более безопасной, упрощенной и менее подверженной ошибкам конфигурации рекомендуется включить проверку подлинности Microsoft Entra для ресурсов SQL Azure и использовать ее вместо проверки подлинности SQL.

Чтобы настроить наблюдатель для подключения к целевому объекту SQL с помощью проверки подлинности SQL, выполните следующие действия.

  1. Создайте хранилище в Azure Key Vault или определите существующее хранилище, который можно использовать. Хранилище должно использовать модель разрешений RBAC. Модель разрешений RBAC — это модель разрешений по умолчанию для новых хранилищ. Если вы хотите использовать существующее хранилище, убедитесь, что оно не настроено для использования более старой модели политики доступа.

    Если вы хотите использовать частное подключение к хранилищу, создайте частную конечную точку на странице Управляемые частные конечные точки. Выберите Microsoft.KeyVault/vaults тип ресурса и vault в качестве целевого подресурса. Перед запуском наблюдателя убедитесь, что приватная конечная точка утверждена.

    Если вы хотите использовать подключение к публичной сети, хранилище должно разрешить открытый доступ из всех сетей. Ограничение подключения общедоступного хранилища данных к определенным сетям не поддерживается в системе мониторинга баз данных.

  2. Создайте логин проверки подлинности SQL на каждом логическом сервере SQL Azure или управляемом экземпляре, который вы хотите отслеживать, и предоставьте определенные ограниченные разрешения с помощью представленных скриптов доступа. В скрипте замените имя входа и заполнители пароля фактическими значениями. Выбирайте надежные пароли.

  3. В хранилище создайте два секрета: секрет для имени входа и отдельный секрет для пароля. Используйте все допустимые имена в качестве имени секрета и введите имя входа и пароль, которые вы использовали в скрипте T-SQL в качестве значения секрета для каждого секрета.

    Например, имена двух секретов могут быть database-watcher-login-name и database-watcher-password. Значения секретов — имя входа и надежный пароль.

    Чтобы создавать секреты, необходимо состоять в роли RBAC Key Vault Secrets Officer.

  4. Добавьте цель SQL для наблюдателя. При добавлении целевого объекта установите флажок "Использовать проверку подлинности SQL" и выберите хранилище, в котором хранятся имена входа и секреты паролей. Введите имена секретов для имени входа и пароля в соответствующих полях.

    При добавлении цели для SQL не вводите фактическое имя входа и пароль. Используя предыдущий пример, введите секретные имена database-watcher-login-name и database-watcher-password.

  5. При добавлении целевого объекта SQL в портал Azure управляемому удостоверению наблюдателя автоматически предоставляется необходимый доступ к секретам хранилища ключей, если текущий пользователь является членом роли "Владельцы" или роли администратора управления доступом пользователей для хранилища ключей. В противном случае выполните следующий шаг, чтобы предоставить необходимый доступ вручную.

  6. На странице управления доступом (IAM) каждого секрета добавьте назначение роли для управляемого идентификатора наблюдателя в роли пользователя секретов Key Vault RBAC. Чтобы следовать принципу минимальных привилегий, добавьте это назначение роли для каждого секрета, а не для всего хранилища. Страница управления доступом (IAM) отображается только в том случае, если хранилище настроено для использования модели разрешений RBAC.

Если вы хотите использовать разные учетные данные проверки подлинности SQL в разных целевых объектах SQL, необходимо создать несколько пар секретов. Вы можете использовать одно хранилище или разные хранилища для хранения секретов для каждого целевого объекта SQL.

Примечание.

Если вы обновляете значение секрета для имени входа или пароля в хранилище ключей во время выполнения наблюдателя, наблюдатель повторно подключается к целевым объектам, используя новые учетные данные проверки подлинности SQL в течение 15 минут. Если вы хотите сразу начать использовать новые учетные данные, остановите и перезапустите наблюдатель.

Предоставление доступа к хранилищу данных

Чтобы создать схему базы данных в хранилище данных и управлять ими, а также для приема данных мониторинга, наблюдатель требует членства в роли администратора RBAC в базе данных хранилища данных в кластере Azure Data Explorer или в Real-Time Analytics. Наблюдатель не требует доступа на уровне кластера к кластеру Azure Data Explorer или доступ к другим базам данных, которые могут существовать в одном кластере.

Если вы используете базу данных в кластере Azure Data Explorer в качестве хранилища данных, этот доступ предоставляется автоматически, если вы являетесь членом роли владельца RBAC для кластера. В противном случае необходимо предоставить доступ, как описано в этом разделе.

Если вы используете базу данных в аналитике в режиме реального времени или в бесплатном кластере Azure Data Explorer, необходимо предоставить доступ с помощью KQL.

Предоставление доступа к базе данных Azure Data Explorer с помощью портал Azure

Вы можете использовать портал Azure для предоставления доступа к базе данных в кластере Azure Data Explorer:

  1. Для базы данных в кластере Azure Data Explorer в меню ресурсов в разделе "Безопасность и сеть" выберите "Разрешения". Не используйте страницу разрешений кластера.
  2. Выберите "Добавить" и выберите "Администратор".
  3. На странице "Новые принципалы" выберите корпоративные приложения. Если наблюдатель использует управляемое удостоверение, назначенное системой, введите имя наблюдателя в поле поиска . Если наблюдатель использует управляемое удостоверение, назначаемое пользователем, введите отображаемое имя этого удостоверения в поле поиска .
  4. Выберите корпоративное приложение для управляемого удостоверения наблюдателя.

Предоставление доступа к базе данных Azure Data Explorer с помощью KQL

Вместо использования портал Azure вы также можете предоставить доступ к базе данных с помощью команды KQL. Используйте этот метод для предоставления доступа к базе данных в аналитике в режиме реального времени или в бесплатном кластере Azure Data Explorer.

  1. Подключитесь к базе данных в кластере Azure Data Explorer с помощью Kusto Explorer или веб-интерфейса Azure Data Explorer.

  2. В следующем примере команды KQL замените три заполнителя, как указано в таблице:

    .add database [adx-database-name-placeholder] admins ('aadapp=identity-principal-id-placeholder;tenant-primary-domain-placeholder');
    Заполнитель Замена
    adx-database-name-placeholder Имя базы данных в кластере Azure Data Explorer или в аналитике в режиме реального времени.
    identity-principal-id-placeholder Значение основного идентификатора управляемого удостоверения (GUID), найденное на странице идентификации наблюдателя. Если назначенное системой удостоверение включено, используйте его основной идентификатор. В противном случае используйте значение идентификатора субъекта, назначаемого пользователем.
    tenant-primary-domain-placeholder Доменное имя арендатора Microsoft Entra ID для управляемого удостоверения наблюдателя. Найдите это на странице Обзор идентификатора Microsoft Entra в портале Azure. Вместо основного домена клиента можно также использовать значение Tenant ID в формате GUID.

    Эта часть команды требуется, если вы используете базу данных в Real-Time Аналитике или в бесплатном кластере Azure Data Explorer.

    Значение доменного имени или идентификатора клиента (и предыдущей точки с запятой) может быть опущено для базы данных в кластере Azure Data Explorer, так как кластер всегда находится в том же клиенте Microsoft Entra ID, что и управляемое удостоверение наблюдателя.

    Например:

    .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');

Дополнительные сведения см. в разделе "Управление доступом на основе ролей Kusto".

Предоставление пользователям и группам доступа к хранилищу данных

Вы можете использовать портал Azure или команду KQL для предоставления пользователям и группам доступа к базе данных в кластере Azure Data Explorer или в аналитике в режиме реального времени. Чтобы предоставить доступ, необходимо быть членом роли администратора RBAC в базе данных.

Используйте команду KQL для предоставления доступа к базе данных в бесплатном кластере Azure Data Explorer или в аналитике в режиме реального времени. Чтобы следовать принципу наименьших привилегий, рекомендуется не добавлять пользователей и группы к любой роли RBAC, отличной от средства просмотра по умолчанию.

Внимание

Внимательно рассмотрите требования к конфиденциальности и безопасности данных при предоставлении доступа к просмотру данных мониторинга SQL, собранных наблюдателем.

Несмотря на то, что наблюдатель не может собирать данные, хранящиеся в пользовательских таблицах в базах данных SQL, определенные наборы данных , такие как активные сеансы, метаданные индекса, отсутствующие индексы, статистика среды выполнения запросов, статистика ожидания запросов, статистика ожидания, статистика сеанса и метаданные таблиц могут содержать потенциально конфиденциальные данные, такие как имена таблиц и индексов, текст запроса, значения параметров запроса, имена входа и т. д.

Предоставив пользователю доступ к хранилищу данных, у которого нет доступа к этим данным в базе данных SQL, вы можете разрешить им просматривать конфиденциальные данные, которые они не смогут видеть в противном случае.

Предоставление доступа к хранилищу данных с помощью портал Azure

Вы можете использовать портал Azure для предоставления пользователям и группам доступа к базе данных в кластере Azure Data Explorer:

  1. Для базы данных в кластере Azure Data Explorer в меню ресурсов в разделе "Безопасность и сеть" выберите "Разрешения". Не используйте страницу разрешений кластера.
  2. Выберите "Добавить" и выберите "Зрители".
  3. На странице "Новые участники" введите имя пользователя или группы в поисковое поле.
  4. Выберите пользователя или группу.

Предоставление доступа к хранилищу данных с помощью KQL

Вместо использования портал Azure можно также предоставить пользователям и группам доступ к базе данных с помощью команды KQL. В следующем примере команды KQL предоставляют доступ на чтение данных пользователю mary@contoso.com и группе SQLMonitoringUsers@contoso.com в клиенте Microsoft Entra ID с конкретным значением идентификатора клиента.

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Дополнительные сведения см. в разделе "Управление доступом на основе ролей Kusto".

Чтобы предоставить доступ к хранилищу данных пользователям и группам из другого клиента, необходимо включить проверку подлинности между клиентами в кластере Azure Data Explorer. Дополнительные сведения см. в разделе «Разрешить межтенантные запросы и команды».

Совет

Чтобы предоставить доступ пользователям и группам в арендаторе Microsoft Entra ID, межарендаторская аутентификация включена в Аналитике в режиме реального времени и на бесплатных кластерах Azure Data Explorer.

Управление хранилищем данных

В этом разделе описывается, как управлять хранилищем данных мониторинга, включая масштабирование, хранение данных и другую конфигурацию. Рекомендации по масштабированию кластера в этом разделе важны, если вы используете базу данных в кластере Azure Data Explorer. При использовании базы данных в Аналитике в режиме реального времени в Fabric масштабирование выполняется автоматически.

Масштабирование кластера Azure Data Explorer

Вы можете масштабировать кластер Azure Data Explorer по мере необходимости. Например, можно уменьшить масштаб кластера до уровня SKU Extra Small, Dev/test, если соглашение об уровне обслуживания не требуется, и производительность запросов и приема данных остается приемлемой.

Для многих развертываний наблюдателя за базами данных стандартный кластер на 2 экземпляра, SKU оптимизированное по вычислительным ресурсам, будет достаточным на неопределенный срок. В некоторых случаях в зависимости от изменений конфигурации и рабочей нагрузки с течением времени может потребоваться масштабировать кластер, чтобы обеспечить достаточную производительность запросов и обеспечить низкую задержку приема данных.

Azure Data Explorer поддерживает вертикальное и горизонтальное масштабирование кластера. При вертикальном масштабировании вы изменяете номер SKU кластера, который изменяет количество виртуальных ЦП, памяти и кэша на экземпляр (узел). При горизонтальном масштабировании номер SKU остается неизменным, но число экземпляров в кластере увеличивается или уменьшается.

Если вы заметили один или несколько следующих симптомов, необходимо масштабировать кластер (горизонтально) или вверх (по вертикали).

  • Производительность панели мониторинга или нерегламентированного запроса становится слишком медленной.
  • Вы выполняете множество параллельных запросов в кластере и наблюдаете ошибки регулирования.
  • Задержка приема данных становится согласованно выше допустимой.

Как правило, не нужно масштабировать кластер по мере увеличения объема данных в хранилище данных с течением времени. Это связано с тем, что запросы панели мониторинга и наиболее распространенные аналитические запросы используют только последние данные, которые кэшируются в локальном хранилище SSD на узлах кластера.

Однако при выполнении аналитических запросов, охватывающих более длинные диапазоны времени, они могут стать медленнее с течением времени, так как общий объем собранных данных увеличивается и больше не помещается в локальное хранилище SSD. Масштабирование кластера может потребоваться для обеспечения достаточной производительности запросов в этом случае.

  • Если вам нужно масштабировать кластер, рекомендуется сначала масштабировать его горизонтально , чтобы увеличить количество экземпляров. Это сохраняет кластер доступным для обработки запросов и приема данных во время процесса масштабирования.

  • Вы можете обнаружить, что даже после горизонтального масштабирования кластера некоторые запросы по-прежнему не выполняются должным образом. Это может произойти, если производительность запросов привязана к ресурсам, доступным на экземпляре (узле) кластера. В этом случае масштабируйте кластер по вертикали.

    • Вертикальное масштабирование кластера занимает несколько минут. Во время этого процесса существует период простоя, который может остановить сбор данных наблюдателем. Если это произойдет, остановите и перезапустите наблюдатель после завершения операции масштабирования.

Бесплатный кластер Azure Data Explorer

Бесплатный кластер Azure Data Explorer имеет определенные ограничения емкости, включая ограничение емкости хранилища для исходных несжатых данных. Вы не можете масштабировать бесплатный кластер Azure Data Explorer, чтобы увеличить объем вычислительных ресурсов или хранилища. Когда кластер близок к достижению емкости хранилища или уже достиг ее, на странице кластеров появится предупреждающее сообщение.

Если вы достигнете емкости хранилища, новые данные мониторинга не принимаются, но существующие данные остаются доступными на панелях мониторинга системы наблюдения за базами данных и могут быть проанализированы с помощью запросов KQL или SQL.

Если вы обнаружите, что спецификации бесплатного кластера недостаточно для ваших требований, можно обновить до полного кластера Azure Data Explorer. Обновление сохраняет все собранные данные.

Чтобы наблюдатель продолжал работать после обновления, выполните следующие действия:

  1. останови наблюдателя.
  2. Выполните действия по обновлению до полного кластера Azure Data Explorer и дождитесь завершения обновления.
  3. Изменить хранилище данных для наблюдателя, выбрав обновленный кластер и базу данных Azure Data Explorer.
  4. запустить наблюдателя.

Чтобы продолжить использование бесплатного кластера Azure Data Explorer, управляйте хранением данных, чтобы удалить старые данные автоматически и освободить место для новых данных. После того как хранилище будет доступно, может потребоваться остановить и перезапустить наблюдатель, чтобы возобновить сбор данных.

Управление хранением данных

Если вам не нужны старые данные, можно настроить политики хранения данных так, чтобы они автоматически удалялись. По умолчанию срок хранения данных в новой базе данных в кластере Azure Data Explorer или в службе аналитики в режиме реального времени составляет 365 дней.

  • Можно уменьшить срок хранения данных на уровне базы данных или для отдельных таблиц в базе данных.
  • Кроме того, этот период можно увеличить, если данные мониторинга требуется хранить более одного года. Верхний лимит для периода хранения данных отсутствует.
  • Если вы настраиваете разные периоды хранения данных для разных таблиц, панели мониторинга могут не работать должным образом для более старых диапазонов времени. Это может произойти, если данные по-прежнему присутствуют в некоторых таблицах, но уже очищаются в других таблицах для того же интервала времени.

Объем данных мониторинга SQL, которые поступают в хранилище данных, зависит от SQL рабочих нагрузок и размера вашей базы данных Azure SQL. Следующий запрос KQL можно использовать для просмотра среднего объема данных, потребляемых в день, оценки использования хранилища с течением времени и управления политиками хранения данных.

.show database extents
| summarize OriginalSize = sum(OriginalSize),
            CompressedSize = sum(CompressedSize)
            by bin(MinCreatedOn, 1d)
| summarize DailyAverageOriginal = format_bytes(avg(OriginalSize)),
            DailyAverageCompressed = format_bytes(avg(CompressedSize));

Изменения схемы и доступа в хранилище данных наблюдателя

С течением времени корпорация Майкрософт может вводить новые наборы данных наблюдателя за базами данных или расширять существующие наборы данных. Это означает, что новые таблицы в хранилище данных или новые столбцы в существующих таблицах могут быть добавлены автоматически.

Для этого текущее управляемое удостоверение наблюдателя должно быть членом роли администратора RBAC в хранилище данных. Отмена членства в этой роли или замена ее членством в любой другой роли RBAC может повлиять на сбор данных и управление схемами и не поддерживается.

Аналогичным образом создание новых объектов, таких как таблицы, внешние таблицы, материализованные представления, функции и т. д. в хранилище данных наблюдателя не поддерживается. Вы можете использовать запросы между кластерами и между базами данных для запроса данных в хранилище данных из других кластеров Azure Data Explorer или из других баз данных в одном кластере.

Внимание

Если вы изменяете доступ наблюдателя к хранилищу данных или вносите любые изменения схемы базы данных или конфигурации, влияющие на прием данных, может потребоваться изменить хранилище данных для этого наблюдателя на новую пустую базу данных и предоставить наблюдателю доступ к этой новой базе данных, чтобы возобновить сбор данных и вернуться к поддерживаемой конфигурации.

Кластеры Azure Data Explorer остановлены

Кластер Azure Data Explorer можно остановить, например, чтобы сэкономить затраты. По умолчанию кластер Azure Data Explorer, созданный в портал Azure, автоматически останавливается через несколько дней бездействия. Например, это может произойти, если вы остановите процесс, который загружает данные в единственную базу данных вашего кластера, и не выполняете никаких запросов в этой базе данных.

Если при создании нового наблюдателя используется параметр по умолчанию для создания кластера Azure Data Explorer, автоматическое поведение остановки отключено, чтобы разрешить непрерывную сбор данных.

Если кластер остановлен, сбор данных наблюдателем также останавливается. Чтобы возобновить сбор данных, необходимо запустить кластер. После запуска кластера перезапустите наблюдатель.

Вы можете отключить поведение автоматической остановки, если вы хотите, чтобы кластер оставался доступным, даже если он неактивен. Это может увеличить затраты на кластер.

Прием потоковой передачи

Наблюдатель за базами данных требует, чтобы кластер Azure Data Explorer, содержащий базу данных хранилища данных, включил прием потоковой передачи . Прием потоковой передачи автоматически включен для нового кластера Azure Data Explorer, созданного при создании нового наблюдателя. Она также включена в аналитике в режиме реального времени и в бесплатном кластере Azure Data Explorer.

Если вы хотите использовать существующий кластер Azure Data Explorer, сначала включите прием потоковой передачи. Это займет несколько минут и перезагрузит кластер.

Частное подключение к хранилищу данных

Если общедоступный доступ в кластере Azure Data Explorer отключен, необходимо создать частную конечную точку для подключения к кластеру из браузера и просмотреть данные мониторинга SQL на панелях мониторинга или напрямую запросить данные. Эта частная конечная точка, по существу, дополняет собой управляемую частную конечную точку, созданную для того, чтобы позволить наблюдателю вносить данные мониторинга в базу данных на кластере Azure Data Explorer.

  • Если вы подключаетесь к кластеру Azure Data Explorer с виртуальной машины Azure, создайте частную конечную точку для кластера Azure Data Explorer в виртуальной сети Azure, в которой развернута виртуальная машина Azure.

  • Если вы подключаетесь к кластеру Azure Data Explorer из локальной среды, вы можете:

    1. Используйте Azure VPN-шлюз или Azure ExpressRoute, чтобы установить частное подключение из локальной сети к виртуальной сети Azure.
    2. Создайте частную конечную точку для кластера Azure Data Explorer в виртуальной сети Azure, где подключение VPN или ExpressRoute завершается или в другой виртуальной сети Azure, доступной по трафику с локального компьютера.
    3. Настройте DNS для этой частной конечной точки.

Частное подключение недоступно для бесплатных кластеров Azure Data Explorer или аналитики в режиме реального времени в Microsoft Fabric.

Мониторинг крупных поместий

Чтобы отслеживать большое пространство SQL Azure, может потребоваться создать несколько наблюдателей.

Для каждого наблюдателя требуется база данных в кластере Azure Data Explorer или в аналитике в режиме реального времени в качестве хранилища данных. Наблюдатели, которые вы создаете, могут использовать одну базу данных в качестве общего хранилища данных или отдельные базы данных в качестве отдельных хранилищ данных. Следующие рекомендации помогут вам выбрать оптимальный вариант проектирования для сценариев мониторинга и требований.

Рекомендации по общему хранилищу данных:

  • Существует одноуровневое представление всего пространства SQL Azure.
  • На панелях мониторинга любого наблюдателя отображаются все данные в хранилище данных, даже если данные собираются другими наблюдателями.
  • Пользователи с доступом к хранилищу данных имеют доступ к данным мониторинга для всей вашей инфраструктуры Azure SQL.

Рекомендации по отдельным хранилищам данных:

  • Подмножества вашего хранилища SQL Azure отслеживаются независимо. Панели мониторинга наблюдателя за базами данных в портал Azure всегда отображают данные из одного хранилища данных.
  • Пользователи с доступом к нескольким хранилищам данных могут использовать запросы KQL между кластерами или базами данных для доступа к данным мониторинга в нескольких хранилищах данных с помощью одного запроса.
  • Так как доступ к данным в Azure Data Explorer и в аналитике в режиме реального времени управляется для каждой базы данных, вы можете управлять доступом к данным мониторинга для подмножеств вашего объекта в детализированном виде.
  • Вы можете разместить несколько баз данных в одном кластере Azure Data Explorer, чтобы совместно использовать ресурсы кластера и сэкономить затраты, сохраняя изоляцию данных в каждой базе данных.
  • Если требуется полное разделение сред, включая сетевой доступ к кластерам Azure Data Explorer, можно разместить разные базы данных в разных кластерах.

Связанный контент