Aracılığıyla paylaş

Azure İzleyici Günlüklerinde müşteri tarafından yönetilen depolama hesaplarını kullanma

Azure İzleyici genellikle depolamayı otomatik olarak yönetir, ancak bazı senaryolarda müşteri tarafından yönetilen bir depolama hesabı yapılandırmanız gerekir. Bu makalede, Log Analytics çalışma alanına müşteri tarafından yönetilen bir depolama hesabı bağlantısı ayarlamaya yönelik kullanım örnekleri, gereksinimler ve yordamlar açıklanmaktadır.

Müşteri tarafından yönetilen depolama hesabı gerektiren senaryolar
Özel bağlantılar, özel/IIS loglarının alınması için kullanılır.
Müşteri tarafından yönetilen anahtar (CMK) ile günlük uyarı sorguları ve kaydedilen sorguların veri şifrelemesi

Müşteri tarafından yönetilen depolama hesaplarına yüklenen özel günlük içeriği biçimlendirme veya diğer beklenmeyen yollarla değişebilir. Bu içeriğe olan bağımlılıklarınızı dikkatle göz önünde bulundurun ve kullanım örneğiniz için özel koşulları anlayın.

Önkoşullar

Uyarı

30 Haziran 2025'den itibaren Özel günlükler ve IIS günlükleri bağlantılı depolama hesapları oluşturma veya güncelleştirme artık kullanılamayacaktır. Mevcut depolama hesaplarının bağlantısı 1 Kasım 2025'e kadar kaldırılacaktır. Veri kaybını önlemek için bir Azure İzleyici Aracısı'na geçiş yapmanızı kesinlikle öneririz. Daha fazla bilgi için bkz. Azure İzleyici Aracısı'ne genel bakış.

Uyarı

31 Ağustos 2025'den itibaren Log Analytics Çalışma Alanlarının, kaydedilmiş sorgular ve kaydedilmiş günlük uyarısı sorguları için bağlı depolama hesapları eklemek veya güncelleştirmek için kendilerine atanmış bir yönetilen kimlik (MSI) olması gerekir. Daha fazla bilgi için bkz. Depolama hesaplarını Log Analytics çalışma alanınıza bağlama.

Eylem İzin gerekiyor
Çalışma alanı için bağlı depolama hesaplarını yönetme Microsoft.OperationalInsights/workspaces/write - çalışma alanı kapsamı
Örneğin, yerleşik rol tarafından sağlanan Log Analytics Katkı Sağlayıcısı.
Herhangi bir yönetilen kimliği bir çalışma alanına atayın Microsoft.OperationalInsights/workspaces/write - çalışma alanı kapsamı
Örneğin, yerleşik rol tarafından sağlanan Log Analytics Katkı Sağlayıcısı.
Çalışma alanı için kullanıcı tarafından atanan yönetilen kimliği yönetme Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - kimlik kapsamı
Örneğin, yerleşik roller, Yönetilen Kimlik Operatörü veya Yönetilen Kimlik Katkıda Bulunanı tarafından sağlandığı gibi.
Depolama hesabında yönetilen kimlik için en düşük izinler Depolama Tablosu Veri Katılımcısı

Ayrıca, bağlı depolama hesabının çalışma alanıyla aynı bölgede olması gerekir.

Müşteri tarafından yönetilen depolama hesapları, Azure İzleyici kaynaklarına bağlanmak için özel bağlantılar kullanıldığında özel günlükleri almak için kullanılır. Bu veri türlerinin alma işlemi önce günlükleri aracı bir Azure Depolama hesabına yükler ve yalnızca daha sonra bir çalışma alanına alır.

Çalışma alanı gereksinimleri

Azure İzleyici'ye özel bir bağlantı üzerinden bağlandığınızda, Azure İzleyici Aracısı günlükleri yalnızca özel bağlantı üzerinden erişilebilen çalışma alanlarına gönderebilir. Bu gereksinim, aşağıdakilerin yapılması gerektiği anlamına gelir:

  • Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) nesnesini yapılandırın.
  • Çalışma alanlarınıza bağlayın.
  • AMPLS'yi özel bir bağlantı üzerinden ağınıza bağlayın.

AMPLS yapılandırma yordamı hakkında daha fazla bilgi için bkz. Ağları Azure İzleyici'ye güvenli bir şekilde bağlamak için Azure Özel Bağlantı kullanma.

Azure İzleyici'ye özel bağlantı üzerinden bağlandığınızda depolama hesabına özel bağlantı üzerinden erişilebilir olmalıdır. Bu gereksinim şu anlama gelir: Depolama hesabının özel bağlantınıza bağlanması için şunları yapması gerekir:

  • Sanal ağınızda veya eşlenmiş bir ağda bulunup özel bir bağlantı üzerinden sanal ağınıza bağlı olun.

  • Azure İzleyici'nin depolama hesabına erişmesine izin verin. Yalnızca belirli ağların depolama hesabınıza erişmesine izin vermek için Güvenilen Microsoft hizmetleri bu depolama hesabına erişmesine izin ver özel durumunu seçin.

    Depolama hesabı güveni Microsoft hizmetleri gösteren ekran görüntüsü.

Çalışma alanınız diğer ağlardan gelen trafiği işleyecekse, depolama hesabını ilgili ağlardan/İnternet'ten gelen trafiğe izin verecek şekilde yapılandırın.

Aracılar ve depolama hesabı arasındaki TLS sürümünü koordine edin. TLS 1.2 veya üzerini kullanarak Azure İzleyici Günlüklerine veri göndermenizi öneririz. Gerekirse aracılarınızı TLS kullanacak şekilde yapılandırın. Bu mümkün değilse, depolama hesabını TLS 1.2'yi kabul etmek üzere yapılandırın.

Müşteri tarafından yönetilen anahtar veri şifrelemesi

Azure Depolama, bir depolama hesabında bekleyen tüm verileri şifreler. Varsayılan olarak, verileri şifrelemek için Microsoft tarafından yönetilen anahtarlar (MMK) kullanır. Ancak Azure Depolama, depolama verilerinizi şifrelemek için Azure Key Vault'tan müşteri tarafından yönetilen anahtarları (CMK) kullanmanıza da olanak tanır. Kendi anahtarlarınızı Key Vault'a aktarın veya anahtar oluşturmak için Key Vault API'lerini kullanın.

Müşteri tarafından yönetilen depolama hesabı şu durumlarda gereklidir:

  • Günlük uyarısı sorgularını CMK'lerle şifreleme.
  • Kaydedilen sorguları CMK'lerle şifreleme.

Depolama hesabınızı Key Vault ile CMK'leri kullanacak şekilde yapılandırın. Daha fazla bilgi için bkz. Azure Depolama için müşteri tarafından yönetilen anahtarları yapılandırma.

CMK ile müşteri tarafından yönetilen depolama için dikkat edilmesi gerekenler

Depolama hesabı ve anahtar kasası aynı bölgede olmalıdır. Ancak aynı abonelikten olmaları gerekmez. Daha fazla bilgi için Durağan veri için Azure Depolama şifrelemesi sayfasına bakın.

Özel durum Düzeltme
Bir depolama hesabı sorgular için bağlandığında, çalışma alanında kayıtlı mevcut sorgular ve işlevler gizlilik için kalıcı olarak silinir ve depolama hesabındaki bir tabloya taşınır. Depolama bağlantısını yapılandırmadan önce mevcut kaydedilmiş sorguları kopyalayın. Aşağıda PowerShell'in kullanıldığı bir örnek verilmiştir. Kaydedilen sorguları ve işlevleri çalışma alanınıza geri taşımak için sorgular için depolama hesabının bağlantısını kaldırabilirsiniz. Kaydetmediğiniz sorgular veya işlevler işlemden sonra Azure Portal'da gösterilmiyorsa tarayıcıyı yenileyin.
Sorgu paketlerine kaydedilen sorgular CMK ile şifrelenmez. CmK ile korumak için sorguları kaydederken Eski sorgu olarak kaydet'i seçin.
Kaydedilen sorgular ve günlük araması uyarıları varsayılan olarak müşteri tarafından yönetilen depolama alanında şifrelenmez. Sonrasında CMK yapılandırılabilir olsa bile depolama hesabı oluşturma sırasında depolama hesabınızı CMK ile şifreleyin.
Tek bir StorageV2 depolama hesabı sorgular, uyarılar, özel günlükler ve IIS günlükleri gibi tüm amaçlar için kullanılabilir. Özel günlükler ve IIS günlükleri için depolamanın bağlanması, alım hızına ve depolama sınırlarına bağlı olarak ölçek için daha fazla depolama hesabı (çalışma alanı başına 5'e kadar) gerektirebilir. Özel günlükler ve IIS günlükleri için müşteri tarafından yönetilen tüm depolamanın 1 Kasım 2025'te bağlantısının kaldırılacağını unutmayın.

Aşağıdaki gereksinimler 31 Ağustos 2025'ten önce uygulanmayacaktır.

Yaklaşan gereksinim Açıklama
Çalışma alanına atanan yönetilen kimlik Yönetilen kimlik atanmadığında müşteri tarafından yönetilen depolama hesaplarına yeni bağlantılar oluşturulması, mevcut bağlantıların güncelleştirilmesi de dahil olmak üzere tüm çalışma alanları için engellenir.
Yönetilen kimlik için rol atamasıyla yapılandırılmış depolama hesabı Depolama hesabının yönetilen kimlik için rol ataması olmadığında müşteri tarafından yönetilen depolama hesaplarına yeni bağlantılar oluşturulması, mevcut bağlantıların güncelleştirilmesi de dahil olmak üzere tüm çalışma alanları için engellenir.

Yönetilen bir kimlik oluştur

Çalışma alanınızı yönetilen bir kimlikle yapılandırarak önümüzdeki uygulama değişikliğine hazır olun.

Azure portalında çalışma alanı kimliği ayarını gösteren ekran görüntüsü.

Bu uygulama yapılana kadar, çalışma alanı özel depolamada kimlik doğrulaması için yönetilen kimliği kullanmaz. Mevcut kimlik doğrulama yöntemizi, yönetilen kimliklerin özel depolamada kimlik doğrulaması için etkinleştirildiği duyurulana kadar kaldırmayın.

Aşağıdaki yöntemlerden birini kullanarak yönetilen kimlikle çalışma alanınızı oluşturun veya güncelleştirin:

Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nedir?.

Rol ataması ekleme

Yönetilen kimlik çalışma alanına atandıktan sonra, yönetilen kimliğe erişime izin vermek için depolama hesabını güncelleştirin. Çalışma alanının kaydedilen sorgulara erişmesine ve uyarı sorgularını günlüğe kaydetmesine izin vermek için bu kimliğe depolama hesabında Depolama Tablosu Veri Katkıda Bulunanı rolünü atayın. Yönetilen kimlikleri atamak ve kullanıcı tarafından atanan kimlikleri yönetmek için gereken izinleri not edin.

Azure portalında çalışma alanı menünüzü açın ve Bağlı depolama hesapları'nı seçin. Bağlı depolama hesabı her tür için gösterilir.

Bağlı depolama hesapları bölmesini gösteren ekran görüntüsü.

Tür veya bağlantı simgesi seçildiğinde, bu tür için bağlı depolama hesabını ayarlamak veya güncelleştirmek için depolama hesabı bağlantı ayrıntıları açılır. Karmaşıklığı azaltmak için birden çok tür için aynı depolama hesabını kullanın.

Bağlı depolama hesaplarını yönetme

Bağlı depolama hesaplarınızı yönetmek için bu kılavuzu izleyin.

Bir depolama hesabını bir çalışma alanına bağladığınızda Azure İzleyici Günlükleri, hizmetin sahip olduğu depolama hesabı yerine bunu kullanmaya başlar. Şunları yapabilirsiniz:

  • Günlüklerin yükünü aralarında yaymak için birden çok depolama hesabı kaydedin.
  • Aynı depolama hesabını birden çok çalışma alanı için yeniden kullanın.

Depolama hesabı kullanmayı durdurmak için depolama alanının çalışma alanıyla bağlantısını kaldırın. Bir çalışma alanından tüm depolama hesaplarının bağlantısını kaldırdığınızda, Azure İzleyici Günlükleri hizmet tarafından yönetilen depolama hesaplarını kullanır. Ağınız İnternet'e sınırlı erişime sahipse, bu depolama hesapları kullanılamayabilir ve depolamaya dayalı herhangi bir senaryo başarısız olur.

Depolama hesabını değiştirme

Alma için kullanılan bir depolama hesabını değiştirmek için:

  1. Yeni bir depolama hesabına bağlantı oluşturun. Günlük aracıları güncellenmiş yapılandırmayı alırlar ve yeni depolama alanına veri göndermeye başlarlar. İşlem birkaç dakika sürebilir.
  2. Aracıların kaldırılan hesaba yazmayı durdurması için eski depolama hesabının bağlantısını kaldırın. Alma işlemi, tüm veriler alınana kadar bu hesaptan verileri okumaya devam eder. Tüm günlüklerin alındığını görene kadar depolama hesabını silmeyin.

Depolama hesaplarını koruma

Depolama hesaplarınızın bakımını yapmak için bu kılavuzu izleyin.

Günlük saklamayı yönetme

Kendi depolama hesabınızı kullandığınızda saklama size aittir. Azure İzleyici Günlükleri, özel depolama alanınızda depolanan günlükleri silmez. Bunun yerine, yükü tercihlerinize göre işlemek için bir ilke ayarlamanız gerekir.

Yüklemeyi göz önünde bulundurun

Depolama hesapları, istekleri azaltmaya başlamadan önce belirli bir okuma ve yazma isteği yükünü işleyebilir. Daha fazla bilgi için bkz. Azure Blob Depolama için ölçeklenebilirlik ve performans hedefleri.

Azaltma, günlükleri alma süresini etkiler. Depolama hesabınız aşırı yüklenmişse, yükü aralarında yaymak için başka bir depolama hesabı kaydedin. Depolama hesabınızın kapasitesini ve performansını izlemek için Azure portalında İçgörüleri'ni gözden geçirin.

Depolanan verilerin hacmine, depolama türüne ve yedeklilik türüne göre depolama hesapları için ücretlendirilirsiniz. Daha fazla bilgi için bkz . Blob fiyatlandırmasını engelleme ve Azure Tablo Depolama fiyatlandırması.

Sonraki adımlar