Övervaka delegerade resurser i stor skala

  • Artikel

Som tjänstleverantör kan du ha registrerat flera kundklientorganisationer till Azure Lighthouse. Med Azure Lighthouse kan tjänstleverantörer utföra åtgärder i stor skala över flera klienter samtidigt, vilket gör hanteringsuppgifterna mer effektiva.

Det här avsnittet visar hur du använder Azure Monitor-loggar på ett skalbart sätt för de kundklientorganisationer som du hanterar. Även om vi refererar till tjänstleverantörer och kunder i det här avsnittet gäller den här vägledningen även för företag som använder Azure Lighthouse för att hantera flera klientorganisationer.

Anteckning

Se till att användare i dina hanteringsklientorganisationer har beviljats de roller som krävs för att hantera Log Analytics-arbetsytor i dina delegerade kundprenumerationer.

Skapa Log Analytics-arbetsytor

För att samla in data måste du skapa Log Analytics-arbetsytor. Dessa Log Analytics-arbetsytor är unika miljöer för data som samlas in av Azure Monitor. Varje arbetsyta har en egen datalagringsplats och konfiguration, och datakällor och lösningar konfigureras för att lagra datan på en viss arbetsyta.

Vi rekommenderar att du skapar dessa arbetsytor direkt i kundens klientorganisationer. På så sätt finns deras data kvar i klientorganisationen i stället för att exporteras till din. Genom att skapa arbetsytorna i kundklientorganisationen kan du centralisera övervakningen av alla resurser eller tjänster som stöds av Log Analytics, vilket ger dig större flexibilitet när det gäller vilka typer av data du övervakar. Arbetsytor som skapats i kundklientorganisationer krävs för att samla in information från diagnostikinställningar.

Tips

Alla automationskonton som används för att komma åt data från en Log Analytics-arbetsyta måste skapas i samma klientorganisation som arbetsytan.

Du kan skapa en Log Analytics-arbetsyta med hjälp av Azure Portal, med hjälp av Azure Resource Manager-mallar eller med hjälp av Azure PowerShell.

Viktigt

Om alla arbetsytor skapas i kundklientorganisationer måste resursprovidrar för Microsoft.Insights också vara registrerade i en prenumeration i den hanterande klientorganisationen. Om din hanteringsklient inte har någon befintlig Azure-prenumeration kan du registrera resursprovidern manuellt med hjälp av följande PowerShell-kommandon:

$ManagingTenantId = "your-managing-Azure-AD-tenant-id"

# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId

# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor

Distribuera principer som loggar data

När du har skapat dina Log Analytics-arbetsytor kan du distribuera Azure Policy i dina kundhierarkier så att diagnostikdata skickas till rätt arbetsyta i varje klientorganisation. De exakta principerna som du distribuerar kan variera beroende på vilka resurstyper du vill övervaka.

Mer information om hur du skapar principer finns i Självstudie: Skapa och hantera principer för att framtvinga efterlevnad. Det här community-verktyget innehåller ett skript som hjälper dig att skapa principer för att övervaka de specifika resurstyper som du väljer.

När du har fastställt vilka principer som ska distribueras kan du distribuera dem till dina delegerade prenumerationer i stor skala.

Analysera insamlade data

När du har distribuerat dina principer loggas data i Log Analytics-arbetsytorna som du har skapat i varje kundklientorganisation. Om du vill få insikter för alla hanterade kunder kan du använda verktyg som Azure Monitor-arbetsböcker för att samla in och analysera information från flera datakällor.

Fråga efter data mellan kundarbetsytor

Du kan köra loggfrågor för att hämta data mellan Log Analytics-arbetsytor i olika kundklientorganisationer genom att skapa en union som innehåller flera arbetsytor. Genom att inkludera kolumnen TenantID kan du se vilka resultat som tillhör vilka klienter.

Följande exempelfråga skapar en union i tabellen AzureDiagnostics mellan arbetsytor i två separata kundklientorganisationer. Resultaten visar kolumnerna Kategori, ResourceGroup och TenantID.

union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId

Fler exempel på frågor på flera Log Analytics-arbetsytor finns i Skapa en loggfråga över flera arbetsytor och appar i Azure Monitor.

Viktigt

Om du använder ett automationskonto som används för att fråga efter data från en Log Analytics-arbetsyta måste det automationskontot skapas i samma klientorganisation som arbetsytan.

Visa aviseringar mellan kunder

Du kan visa aviseringar för delegerade prenumerationer i de kundklientorganisationer som du hanterar.

Från din hanteringsklientorganisation kan du skapa, visa och hantera aktivitetsloggaviseringar i Azure Portal eller via API:er och hanteringsverktyg.

Om du vill uppdatera aviseringar automatiskt mellan flera kunder använder du en Azure-Resource Graph fråga för att filtrera efter aviseringar. Du kan fästa frågan på instrumentpanelen och välja alla lämpliga kunder och prenumerationer. Frågan nedan visar till exempel allvarlighetsgrad 0 och 1 aviseringar, som uppdateras var 60:e minut.

alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)

Nästa steg