Diagnostikinställningar i Azure Monitor

Den här artikeln innehåller information om hur du skapar och konfigurerar diagnostikinställningar för att skicka Azure-plattformsmått och loggar till olika mål.

Plattformsmått skickas automatiskt till Azure Monitor-mått som standard och utan konfiguration.

Plattformsloggar innehåller detaljerad diagnostik- och granskningsinformation för Azure-resurser och den Azure-plattform som de är beroende av:

  • Resursloggar samlas inte in förrän de dirigeras till ett mål.
  • Aktivitetsloggar finns på egen hand men kan dirigeras till andra platser.

Varje Azure-resurs kräver en egen diagnostikinställning som definierar följande kriterier:

  • Källor: Typen av mått och loggdata som ska skickas till de mål som definierats i inställningen. De tillgängliga typerna varierar beroende på resurstyp.
  • Mål: Ett eller flera mål att skicka till.

En enda diagnostikinställning kan inte definiera fler än ett av vart och ett av målen. Om du vill skicka data till mer än en av en viss måltyp (till exempel två olika Log Analytics-arbetsytor) skapar du flera inställningar. Varje resurs kan ha upp till fem diagnostikinställningar.

Varning

Om du behöver ta bort en resurs bör du först ta bort dess diagnostikinställningar. Om du återskapar den här resursen kan annars diagnostikinställningarna för den borttagna resursen inkluderas i den nya resursen, beroende på resurskonfigurationen för varje resurs. Om diagnostikinställningarna ingår i den nya resursen återupptar detta insamlingen av resursloggar enligt definitionen i diagnostikinställningen och skickar tillämpliga mått- och loggdata till det tidigare konfigurerade målet.

Det är också bra att ta bort diagnostikinställningarna för en resurs som du ska ta bort och inte planerar att använda igen för att hålla miljön ren.

Följande video vägleder dig genom routning av resursplattformsloggar med diagnostikinställningar. Videon gjordes vid ett tidigare tillfälle. Tänk på följande ändringar:

  • Det finns nu fyra destinationer. Du kan skicka plattformsmått och loggar till vissa Azure Monitor-partner.
  • En ny funktion som heter kategorigrupper introducerades i november 2021.

Information om dessa nyare funktioner ingår i den här artikeln.

Källor

Här är källalternativen.

Mått

Inställningen AllMetrics dirigerar en resurs plattformsmått till andra mål. Det här alternativet kanske inte finns för alla resursprovidrar.

Resursloggar

Med loggar kan du välja de loggkategorier som du vill dirigera individuellt eller välja en kategorigrupp.

Anteckning

Kategorigrupper gäller inte för mått. Alla resurser har inte tillgängliga kategorigrupper.

Du kan använda kategorigrupper för att dynamiskt samla in resursloggar baserat på fördefinierade grupperingar i stället för att välja enskilda loggkategorier. Microsoft definierar grupperingar för att övervaka specifika användningsfall för alla Azure-tjänster.

Med tiden kan kategorierna i gruppen uppdateras när nya loggar distribueras eller när utvärderingarna ändras. När loggkategorier läggs till eller tas bort från en kategorigrupp ändras loggsamlingen automatiskt utan att du behöver uppdatera diagnostikinställningarna.

När du använder kategorigrupper gör du följande:

  • Det går inte längre att välja resursloggar individuellt baserat på enskilda kategorityper.
  • Det går inte längre att använda kvarhållningsinställningar för loggar som skickas till Azure Storage.

Det finns för närvarande två kategorigrupper:

  • Alla: Varje resurslogg som erbjuds av resursen.
  • Granskning: Alla resursloggar som registrerar kundinteraktioner med data eller tjänstens inställningar. Observera att granskningsloggar är ett försök av varje resursprovider att tillhandahålla de mest relevanta granskningsdata, men kanske inte anses tillräckliga ur ett granskningsstandarder perspektiv.

Aktivitetslogg

Se avsnittet Inställningar för aktivitetslogg .

Mål

Plattformsloggar och mått kan skickas till de mål som anges i följande tabell.

För att säkerställa säkerheten för data under överföring rekommenderar vi starkt att du konfigurerar TLS (Transport Layer Security). Alla målslutpunkter stöder TLS 1.2.

Mål Description
Log Analytics-arbetsyta Mått konverteras till loggformulär. Det här alternativet kanske inte är tillgängligt för alla resurstyper. Genom att skicka dem till Azure Monitor-loggarkivet (som är sökbart via Log Analytics) kan du integrera dem i frågor, aviseringar och visualiseringar med befintliga loggdata.
Azure Storage-konto Arkivering av loggar och mått till ett lagringskonto är användbart för granskning, statisk analys eller säkerhetskopiering. Jämfört med att använda Azure Monitor-loggar eller en Log Analytics-arbetsyta är Storage billigare och loggar kan sparas där på obestämd tid.
Azure Event Hubs När du skickar loggar och mått till Event Hubs kan du strömma data till externa system, till exempel SIEM från tredje part och andra Log Analytics-lösningar.
Partnerintegrering i Azure Monitor Specialiserade integreringar kan göras mellan Azure Monitor och andra övervakningsplattformar som inte kommer från Microsoft. Integrering är användbart när du redan använder en av partnerna.

Inställningar för aktivitetslogg

Aktivitetsloggen använder en diagnostikinställning men har ett eget användargränssnitt eftersom den gäller för hela prenumerationen i stället för enskilda resurser. Målinformationen som anges här gäller fortfarande. Mer information finns i Azure-aktivitetsloggen.

Krav och begränsningar

I det här avsnittet beskrivs krav och begränsningar.

Tid innan telemetri kommer till målet

När du har konfigurerat en diagnostikinställning bör data börja flöda till dina valda mål med 90 minuter. Om du inte får någon information inom 24 timmar kan du antingen

  • inga loggar genereras eller
  • något är fel i den underliggande routningsmekanismen. Försök att inaktivera konfigurationen och sedan återaktivera den. Kontakta Azure Support via Azure Portal om du fortfarande har problem.

Mått som källa

Det finns vissa begränsningar med att exportera mått:

  • Det finns för närvarande inte stöd för att skicka flerdimensionella mått via diagnostikinställningar: Mått med dimensioner exporteras som utplattade endimensionella mått, aggregerade över dimensionsvärden. Måttet IOReadBytes i en blockkedja kan till exempel utforskas och kartläggas på nodnivå. Men när det exporteras via diagnostikinställningar visar det exporterade måttet alla lästa byte för alla noder.
  • Alla mått kan inte exporteras med diagnostikinställningar: På grund av interna begränsningar kan inte alla mått exporteras till Azure Monitor-loggar eller Log Analytics. Mer information finns i kolumnen Exporterbar i listan över mått som stöds.

Om du vill kringgå dessa begränsningar för specifika mått kan du extrahera dem manuellt med hjälp av REST-API:et för mått. Sedan kan du importera dem till Azure Monitor-loggar med hjälp av API:et för Azure Monitor Data Collector.

Målbegränsningar

Alla mål för diagnostikinställningen måste skapas innan du skapar diagnostikinställningarna. Målet behöver inte finnas i samma prenumeration som resursen som skickar loggar om användaren som konfigurerar inställningen har rätt åtkomst till rollbaserad åtkomstkontroll i Azure till båda prenumerationerna. Med hjälp av Azure Lighthouse går det också att skicka diagnostikinställningar till en arbetsyta, ett lagringskonto eller en händelsehubb i en annan Azure Active Directory-klientorganisation.

Följande tabell innehåller unika krav för varje mål, inklusive eventuella regionala begränsningar.

Mål Krav
Log Analytics-arbetsyta Arbetsytan behöver inte finnas i samma region som resursen som övervakas.
Lagringskonto Använd inte ett befintligt lagringskonto som har andra data som inte övervakas så att du bättre kan kontrollera åtkomsten till data. Om du arkiverar aktivitetsloggen och resursloggarna tillsammans kan du välja att använda samma lagringskonto för att behålla alla övervakningsdata på en central plats.

Om du vill skicka data till oföränderlig lagring anger du den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderlighetsprinciper för Azure Blob Storage. Du måste följa alla steg i den här länkade artikeln, inklusive aktivering av skyddade tilläggsblobar.

Lagringskontot måste finnas i samma region som resursen som övervakas om resursen är regional.

Diagnostikinställningar kan inte komma åt lagringskonton när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i lagringskonton så att tjänsten Diagnostikinställningar för Azure Monitor beviljas åtkomst till ditt lagringskonto.

Azure DNS-zonslutpunkter (förhandsversion) och Azure Premium LRS-lagringskonton (lokalt redundant lagring) stöds inte som logg- eller måttmål.
Event Hubs Principen för delad åtkomst för namnområdet definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver behörigheterna Hantera, Skicka och Lyssna. Om du vill uppdatera diagnostikinställningen så att den inkluderar direktuppspelning måste du ha ListKey-behörigheten för den händelsehubbens auktoriseringsregel.

Händelsehubbens namnområde måste finnas i samma region som resursen som övervakas om resursen är regional.

Diagnostikinställningar kan inte komma åt Event Hubs-resurser när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i Event Hubs så att tjänsten Diagnostikinställningar för Azure Monitor beviljas åtkomst till dina Event Hubs-resurser.
Partnerintegrering Lösningarna varierar beroende på partner. Mer information finns i dokumentationen för Partnerintegrering i Azure Monitor .

Skapa diagnostikinställningar

Du kan skapa och redigera diagnostikinställningar med hjälp av flera metoder.

Du kan konfigurera diagnostikinställningar i Azure Portal antingen från Azure Monitor-menyn eller från menyn för resursen.

  1. Var du konfigurerar diagnostikinställningar i Azure Portal beror på resursen:

    • För en enskild resurs väljer du Diagnostikinställningar under Övervakning på resursmenyn.

      Skärmbild som visar avsnittet Övervakning i en resursmeny i Azure Portal med Diagnostikinställningar markerade.

    • För en eller flera resurser väljer du Diagnostikinställningar under Inställningar på Azure Monitor-menyn och väljer sedan resursen.

      Skärmbild som visar avsnittet Inställningar på Azure Monitor-menyn med Diagnostikinställningar markerade.

    • I aktivitetsloggen väljer du AktivitetsloggAzure Monitor-menyn och sedan Diagnostikinställningar. Se till att du inaktiverar alla äldre konfigurationer för aktivitetsloggen. Anvisningar finns i Inaktivera befintliga inställningar.

      Skärmbild som visar Azure Monitor-menyn med aktivitetsloggen markerad och Diagnostikinställningar markerade i Monitor-Activity loggmenyfältet.

  2. Om det inte finns några inställningar för den resurs som du har valt uppmanas du att skapa en inställning. Välj Lägg till diagnostikinställning.

    Skärmbild som visar inställningen Lägg till diagnostik utan befintliga inställningar.

    Om det finns befintliga inställningar för resursen visas en lista med inställningar som redan har konfigurerats. Välj Lägg till diagnostikinställning för att lägga till en ny inställning. Eller välj Redigera inställning för att redigera en befintlig. Varje inställning får inte ha mer än en av varje måltyper.

    Skärmbild som visar hur du lägger till en diagnostikinställning för befintliga inställningar.

  3. Ge inställningen ett namn om den inte redan har ett.

    Skärmbild som visar namnet på diagnostikinställningen.

  4. Loggar och mått som ska dirigeras: För loggar väljer du antingen en kategorigrupp eller markerar de enskilda kryssrutorna för varje kategori med data som du vill skicka till de mål som anges senare. Listan över kategorier varierar för varje Azure-tjänst. Välj AllMetrics om du också vill lagra mått i Azure Monitor-loggar.

  5. Målinformation: Markera kryssrutan för varje mål. Alternativen visas så att du kan lägga till mer information.

    Skärmbild som visar Skicka till Log Analytics och Stream till en händelsehubb.

    1. Log Analytics: Ange prenumerationen och arbetsytan. Om du inte har någon arbetsyta måste du skapa en innan du fortsätter.

    2. Event Hubs: Ange följande villkor:

      • Prenumeration: Den prenumeration som händelsehubben ingår i.
      • Händelsehubbens namnområde: Om du inte har något måste du skapa ett.
      • Händelsehubbnamn (valfritt): Namnet som alla data ska skickas till. Om du inte anger något namn skapas en händelsehubb för varje loggkategori. Om du skickar till flera kategorier kanske du vill ange ett namn för att begränsa antalet skapade händelsehubbar. Mer information finns i Azure Event Hubs kvoter och gränser.
      • Principnamn för händelsehubb (även valfritt): En princip definierar de behörigheter som strömningsmekanismen har. Mer information finns i Event Hubs-funktioner.
    3. Lagring: Välj prenumeration, lagringskonto och kvarhållningsprincip .

      Skärmbild som visar lagringskategori och målinformation.

      Tips

      Överväg att ange kvarhållningsprincipen till 0 och antingen använda Azure Storage Lifecycle Policy eller ta bort dina data från lagringen med hjälp av ett schemalagt jobb. Dessa strategier kommer sannolikt att ge ett mer konsekvent beteende.

      Om du först använder lagring för arkivering vill du vanligtvis att dina data ska behållas i mer än 365 dagar.

      För det andra, om du väljer en kvarhållningsprincip som är större än 0, kopplas förfallodatumet till loggarna vid tidpunkten för lagringen. Du kan inte ändra datumet för loggarna när de har lagrats.

      Om du till exempel anger kvarhållningsprincipen för WorkflowRuntime till 180 dagar och sedan 24 timmar senare anger du den till 365 dagar, tas loggarna som lagras under de första 24 timmarna bort automatiskt efter 180 dagar. Alla efterföljande loggar av den typen tas bort automatiskt efter 365 dagar. Om du ändrar kvarhållningsprincipen senare behålls inte de första 24 timmarnas loggar på 365 dagar.

    4. Partnerintegrering: Du måste först installera partnerintegrering i din prenumeration. Konfigurationsalternativen varierar beroende på partner. Mer information finns i Azure Monitor-partnerintegreringar.

  6. Välj Spara.

Efter en liten stund visas den nya inställningen i listan med inställningar för den här resursen. Loggar strömmas till angivna mål när nya händelsedata genereras. Det kan ta upp till 15 minuter mellan när en händelse genereras och när den visas på en Log Analytics-arbetsyta.

Felsökning

Här följer några felsökningstips.

Måttkategori stöds inte

När du distribuerar en diagnostikinställning får du ett felmeddelande som liknar "Måttkategorin xxxx stöds inte". Du kan få det här felet även om den tidigare distributionen lyckades.

Problemet uppstår när du använder en Resource Manager mall, REST API, CLI eller Azure PowerShell. Diagnostikinställningar som skapas via Azure Portal påverkas inte eftersom endast de kategorinamn som stöds visas.

Problemet orsakas av en ny ändring i det underliggande API:et. Andra måttkategorier än AllMetrics stöds inte och har aldrig varit undantagna för några specifika Azure-tjänster. Tidigare ignorerades andra kategorinamn när en diagnostikinställning distribuerades. Azure Monitor-serverdelen omdirigerade dessa kategorier till AllMetrics. Från och med februari 2021 uppdaterades serverdelen för att specifikt bekräfta att den angivna måttkategorin är korrekt. Den här ändringen har orsakat att vissa distributioner misslyckas.

Om du får det här felet uppdaterar du dina distributioner för att ersätta eventuella måttkategorinamn med AllMetrics för att åtgärda problemet. Om distributionen tidigare lade till flera kategorier behåller du bara en med AllMetrics-referensen . Om problemet kvarstår kontaktar du Azure Support via Azure Portal.

Inställningen försvinner på grund av icke-ASCII-tecken i resourceID

Diagnostikinställningar stöder inte resurs-ID:t med icke-ASCII-tecken. Tänk till exempel på termen Preproducción. Eftersom du inte kan byta namn på resurser i Azure är det enda alternativet att skapa en ny resurs utan icke-ASCII-tecken. Om tecknen finns i en resursgrupp kan du flytta resurserna under den till en ny. Annars måste du återskapa resursen.

Möjlighet till duplicerade eller borttagna data

Allt görs för att säkerställa att alla loggdata skickas korrekt till dina mål, men det är inte möjligt att garantera 100 % dataöverföring av loggar mellan slutpunkter. Återförsök och andra mekanismer finns på plats för att kringgå dessa problem och försöka se till att loggdata kommer till slutpunkten.

Nästa steg

Läs mer om Azure-plattformsloggar