Azure Monitor tanılama ayarları

kaynak günlüklerini toplamak ve platform ölçümlerini ve activity günlüğü çeşitli hedeflere göndermek için Azure Monitor tanılama ayarlarını kullanabilirsiniz. Veri toplamak istediğiniz her kaynak için ayrı bir tanılama ayarı oluşturun. Her ayar, toplayacağınız kaynaktan verileri ve bu verilerin göndereceği hedefleri tanımlar. Bu makalede, tanılama ayarlarının nasıl oluşturulacağı ve veri göndermek için kullanılabilecek hedefler de dahil olmak üzere ayrıntılar açıklanmaktadır.

Aşağıdaki videoda, tanılama ayarlarıyla kaynak platformu günlüklerini yönlendirme adımları gösterilir. Video kaydedildikten sonra tanılama ayarlarında aşağıdaki değişiklikler yapılmıştır, ancak bu konular bu makalede ele alınılmıştır.

• Azure Monitor iş ortakları
• Kategori grupları

Warning

Kaynağı siler veya yeniden adlandırırsanız ya da kaynak grupları veya abonelikler arasında geçirirseniz kaynağın tanılama ayarlarını silin. Tanılama ayarı kaldırılmazsa ve bu kaynak yeniden oluşturulursa, silinen kaynak için tüm tanılama ayarları yenisine uygulanabilir. Bazı kaynak türleri için bu durum, tanılama ayarında tanımlandığı gibi kaynak günlüklerinin toplanmasını sürdürür.

Sources

Tanılama ayarları aşağıdaki tabloda yer alan kaynaklardan veri toplayabilir. Her kaynağın topladığı veriler ve her hedefteki biçimi hakkında ayrıntılı bilgi için bağlantılı makaleye bakın.

Veri kaynağı	Description
Platform ölçümleri	Yapılandırma olmadan otomatik olarak toplanır. Platform ölçümlerini diğer hedeflere göndermek için bir tanılama ayarı kullanın.
Etkinlik Günlüğü	Yapılandırma olmadan otomatik olarak toplanır. Etkinlik günlüğü girdilerini diğer hedeflere göndermek için bir tanılama ayarı kullanın.
Kaynak günlükleri	Varsayılan olarak toplanmaz. Kaynak günlüklerini toplamak için bir tanılama ayarı oluşturun.

Tanılama ayarını yapılandırdıktan sonra, her veri kaynağının analiz için kullanılabilir olma süresi değişir. Platform ölçümleri, kaynak günlükleri ve etkinlik günlükleri için beklenen gecikme süresi hakkında bilgi almak için bkz. Azure İzleyici'deki günlük verisi alma süresi.

Destinations

Tanılama ayarları aşağıdaki tabloda yer alan hedeflere veri gönderir. Aktarımdaki verilerin güvenliğini sağlamaya yardımcı olmak için tüm hedef uç noktalar TLS 1.2'yi destekleyecek şekilde yapılandırılır.

Tek bir tanılama ayarı her hedeften en fazla birini tanımlayabilir. Verileri belirli bir hedef türünden birden fazlasına (örneğin, iki Log Analytics çalışma alanı) göndermek istiyorsanız, birden çok ayar oluşturun. Her kaynağın en fazla beş tanılama ayarı olabilir.

Bir tanılama ayarının kullandığı tüm hedefler, ayarı oluşturabilmeniz için önce mevcut olmalıdır. Ayarı yapılandıran kullanıcının her iki aboneliğe de uygun Azure rol tabanlı erişim denetimi (RBAC) erişimi varsa hedefin günlük gönderen kaynakla aynı abonelikte olması gerekmez. Başka bir Microsoft Entra kiracısına hedefleri eklemek için Azure Lighthouse kullanın.

Destination	Description	Requirements
Log Analytics çalışma alanı	Günlük sorgularını ve çalışma kitaplarını kullanarak verileri alın. Veriler üzerinde proaktif olarak uyarı almak için günlük uyarılarını kullanın. Çeşitli Azure kaynaklarının kullandığı tablolar hakkında daha fazla bilgi için Azure Monitor kaynak günlüğü referansı bölümüne bakın.	Log Analytics çalışma alanında yer alan tüm tablolar, çalışma alanına ilk veriler gönderildiğinde otomatik olarak oluşturulur, bu nedenle yalnızca çalışma alanının kendisi mevcut olmalıdır.
Azure Storage hesabı	Denetim, statik analiz veya yedekleme için depolayın. Depolama diğer seçeneklerden daha düşük maliyetli olabilir ve süresiz olarak tutulabilir. Değiştirilmesini önlemek için sabit depolama alanına veri gönderin. Blob sürümleri için değiştirilemezlik ilkelerini yapılandırma bölümünde açıklandığı gibi depolama hesabı için sabit ilkeyi ayarlayın.	Depolama hesaplarının, kaynağın bölgesel olması durumunda izlediğiniz kaynakla aynı bölgede olması gerekir. Tanılama ayarları, sanal ağlar etkinleştirildiğinde depolama hesaplarına erişemez. Azure Monitor tanılama ayarları hizmetine depolama hesabınıza erişim izni verilmesi ve depolama hesaplarındaki güvenlik duvarı ayarını atlayabilmesi için "Güvenilen Microsoft hizmetlerine izin ver" seçeneğini etkinleştirmeniz gerekir. Azure DNS bölge uç noktaları (önizleme) ve Premium depolama hesapları hedef olarak desteklenmez. Tüm Standart depolama hesapları desteklenir.
Azure Event Hubs	Microsoft dışı güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri ve diğer Log Analytics çözümleri gibi dış sistemlere veri akışı yapın.	Olay hub'ları, bölgeselse izlediğiniz kaynakla aynı bölgede olmalıdır. Sıkıştırılmış olay hub'ı kullanamazsınız çünkü iletinin bölüm anahtarına sahip olmasını gerektirir ve Azure Monitor bunu içermez. Sanal ağlar etkinleştirildiğinde tanılama ayarları olay hub'larına erişemez. Etkinlik hub'larında bu güvenlik duvarı ayarını atlayacak şekilde Azure Monitor tanılama ayarları hizmetine olay hub'ı kaynaklarınız için erişim verilmesi amacıyla Güvenilen Microsoft hizmetlerine izin ver seçeneğini etkinleştirmeniz gerekir. Event Hubs ad alanı için paylaşılan erişim ilkesi, akış mekanizmasının sahip olduğu izinleri tanımlar. Olay hub'larına akış yapmak için Manage, Sendve Listen izinleri gerekir. Diagnostik ayarı akış içerecek şekilde güncelleştirmek için ListKey iznine bu Event Hubs yetkilendirme kuralı üzerinde sahip olmalısınız.
Azure Monitor iş ortağı çözümleri	Azure Monitor ve Diğer Microsoft dışı izleme platformları arasında özel tümleştirmeler mümkündür. Çözümler iş ortağına göre farklılık gösterir.	Ayrıntılar için bkz. Azure Native ISV Services belgeleri.

Tanılama ayarı oluşturma yöntemleri

Aşağıdaki yöntemlerden herhangi birini kullanarak bir tanılama ayarı oluşturabilirsiniz.

Azure portalını kullanarak etkinlik günlüğü için tanılama ayarı oluşturmak için bkz. Export etkinlik günlüğü. Bir yönetim grubu için tanılama ayarı oluşturmak için bkz. Yönetim Grubu Tanılama Ayarları.

Azure portalı

Yeni bir tanılama ayarı oluşturmak veya Azure portalında var olan bir ayarı düzenlemek için aşağıdaki adımları kullanın:

1. Bir kaynağın menüsündeki İzleme bölümünde Tanılama ayarları'nı seçin. Azure Monitor menüsünde Settings>Diagnostic settings öğesini seçin. Ardından kaynağı seçin.

2. Yeni bir ayar eklemek için Tanılama ayarı ekle'yi veya var olan bir ayarı düzenlemek için Ayarı düzenle'yi seçin.

   Aynı türde birden çok hedefe göndermek istiyorsanız, bir kaynak için birden çok tanılama ayarına ihtiyacınız olabilir. Aşağıdaki örnekte bir anahtar kasası kaynağının ayarları gösterilmektedir, ancak ekran diğer kaynaklar için benzerdir.

   

3. Henüz yoksa ayarınıza açıklayıcı bir ad verin.

   

   Bu ekran görüntüsünde örnek bir anahtar kasası gösterilmektedir. Diğer kaynak türleri farklı kategori kümelerine sahiptir.

4. Günlükler için bir kategori grubu seçin veya hedeflere göndermek istediğiniz her veri kategorisi için tek tek onay kutularını seçin. Kategori listesi her Azure hizmeti için farklılık gösterir.

5. Ölçümler için, platform ölçümlerini toplamak istiyorsanız AllMetrics'i seçin.

6. Hedef ayrıntıları için tanılama ayarlarına eklemek istediğiniz her hedefin onay kutusunu seçin. Ardından her hedef için ayrıntıları sağlayın.

   Hedef olarak bir Log Analytics çalışma alanı seçerseniz koleksiyon modunu belirtmeniz gerekebilir. Ayrıntılar için bkz. Koleksiyon modu.

PowerShell

Azure PowerShell aracılığıyla tanılama ayarı oluşturmak için New-AzDiagnosticSetting cmdlet'ini kullanın. Parametrelerin açıklamaları için bu cmdlet'in belgelerine bakın.

Important

Etkinlik günlüğü için bu yöntemi kullanamazsınız. Bunun yerine bir Azure Resource Manager şablonu oluşturun ve PowerShell kullanarak dağıtın.

Aşağıdaki örnek PowerShell betiği, bir anahtar kasasının tüm günlüklerini ve ölçümlerini Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturur:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

CLI

Azure CLI aracılığıyla tanılama ayarı oluşturmak için az monitor diagnostic-settings create komutunu kullanın. Parametrelerin açıklamaları için bu komutun belgelerine bakın.

Important

Etkinlik günlüğü için bu yöntemi kullanamazsınız. Bunun yerine bir Azure Resource Manager şablonu oluşturun ve Azure CLI kullanarak dağıtın.

Aşağıdaki örnek betik, üç hedefe de veri gönderen bir tanılama ayarı oluşturur. Hizmet destekliyorsa kaynağa özgü modu belirtmek için export-to-resource-specific değerine sahip true parametresini ekleyin.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

ARM (JSON)

Aşağıdaki örnek şablon, tüm denetim günlüklerini bir Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturur. Değer, apiVersion kapsamdaki kaynağa bağlı olarak değişebilir. Diğer kaynaklar için örnek şablonları Azure Monitor'daki tanılama ayarları için Resource Manager şablon örnekleri bölümünde bulabilirsiniz.

Şablon Dosyası

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Parametre Dosyası

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Bicep

Aşağıdaki örnek şablon, tüm denetim günlüklerini bir Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturur. Değer, apiVersion kapsamdaki kaynağa bağlı olarak değişebilir.

Şablon Dosyası

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Parametre Dosyası

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

REST API

Azure Monitor REST API kullanarak tanılama ayarı oluşturmak veya düzenlemek için bkz. Diagnostic Settings - Create Or Update.

Warning

Depolama hesabı veya Event Hubs ad alanı için tanılama ayarları oluşturduğunuzda veya güncelleştirdiğinizde, kaynak günlükleri veya ölçüm verileri için bu hesabı veya ad alanını hedef olarak seçemezsiniz. Bu sınırlama tasarımdan kaynaklanır. Kaynak günlüklerinin veya ölçümlerin bir kaynaktan aynı kaynağa gönderilmesi, veri oluşturma ve yazma için sonsuz bir döngü oluşturur.

Bu tasarım yalnızca Azure portalı UX katmanı için geçerlidir. Aynı kaynağa gerçekten veri yazmanız gerekiyorsa ve ilişkili riskleri kabul etmek istiyorsanız tanılama ayarını Azure PowerShell, Azure CLI, REST API, Resource Manager şablonu veya desteklenen bir Microsoft SDK'sını kullanarak oluşturabilirsiniz.

Kategori grupları

Tek tek günlük kategorilerini seçmek yerine önceden tanımlanmış gruplandırmalara göre kaynak günlüklerini toplamak için kategori gruplarını kullanabilirsiniz. Microsoft, yaygın kullanım örneklerini izlemeye yardımcı olmak için gruplandırmaları tanımlar. Gruptaki kategoriler güncelleştirilirse günlük koleksiyonunuz otomatik olarak değiştirilir.

Tüm Azure hizmetleri kategori gruplarını kullanmaz. Belirli bir kaynak için kategori grupları kullanılamıyorsa, tanılama ayarını oluşturduğunuzda bu seçenek kullanılamaz.

Tanılama ayarında kategori grupları kullanıyorsanız, tek tek kategori türlerini seçemezsiniz. Şu anda iki kategori grubu vardır:

• allLogs: Kaynak için tüm kategoriler.
• audit: Verilerle veya hizmetin ayarlarıyla müşteri etkileşimlerini kaydeden tüm kaynak günlükleri. allLogs kategori grubunu seçerseniz, bu kategori grubunu seçmenize gerek yok.

Note

Azure SQL Database tanılama ayarlarında audit kategorisinin etkinleştirilmesi, veritabanı için denetimi etkinleştirmez. Veritabanı denetimini etkinleştirmek için, Azure SQL Database için denetim bölmesinden etkinleştirmeniz gerekir.

Ölçüm sınırlamaları

Tüm ölçümler tanılama ayarlarıyla Log Analytics çalışma alanına gönderilemez. Desteklenen ölçümler listesindekiDışarı Aktarılabilir sütununa bakın.

Tanılama ayarları şu anda çok boyutlu ölçümleri desteklememektedir. Boyutları olan ölçümler, tek boyutlu hale getirilmiş ölçümler olarak dışarı aktarılır ve boyut değerleri arasında birleştirilir. Örneğin, blok zincirindeki IOReadBytes ölçüm keşfedilebilir ve düğüm başına düzeyde grafik oluşturulabilir. Ölçüm tanılama ayarlarıyla dışarı aktarıldığında, tüm düğümler için tüm okuma baytlarını gösterir.

Belirli ölçümlerle ilgili sınırlamaları geçici olarak çözmek için Ölçümler REST API'sini kullanarak bunları el ile ayıklayabilirsiniz. Daha sonra Logs Alma API'sini kullanarak bunları Log Analytics çalışma alanına aktarabilirsiniz.

Maliyetleri denetleme

Tanılama ayarlarının topladığı veriler için maliyetlerle karşılaşabilirsiniz. Maliyet, seçtiğiniz hedefe ve toplanan verilerin hacmine bağlıdır. Daha fazla bilgi için Azure İzleyici fiyatlandırmasına bakın veya Sık Sorulan Sorular bölümüne bakın.

Yalnızca her hizmet için ihtiyacınız olan kategorileri toplayın. Ölçümler bu verileri zaten topladığı için Azure kaynaklarından platform ölçümleri de toplamak istemeyebilirsiniz. Tanılama verileri ayarlarınızı, yalnızca çalışma alanında daha karmaşık analiz için ölçüm verilerine ihtiyacınız varsa, günlük sorgularını kullanarak ölçümleri toplayacak şekilde yapılandırın.

Tanılama ayarları, seçilen bir kategori içinde ayrıntılı filtrelemeye izin vermez. Dönüştürmeleri kullanarak Log Analytics çalışma alanında desteklenen tablolar için verileri filtreleyebilirsiniz. Ayrıntılar için bkz. Azure Monitor'da Dönüştürmeler.

Verilerin hedeflere erişmeden önce geçmesi gereken süre

Bir tanılama ayarı oluşturduktan sonra, veriler 90 dakika içinde seçili hedeflerinize akmaya başlamalıdır. Log Analytics çalışma alanına veri gönderdiğinizde, tablo yoksa otomatik olarak oluşturulur. Tablo, yalnızca hedefler ilk kez günlük kayıtlarını aldığında oluşturulur.

24 saat içinde bilgi alamazsanız aşağıdaki sorunlardan biriyle karşılaşmış olabilirsiniz:

• Günlük oluşturulmakta değil.
• Altta yatan yönlendirme mekanizmasında bir sorun var.

Yapılandırmayı devre dışı bırakmayı ve sonra yeniden oluşturmayı deneyin. Sorun devam ederse Azure portalı üzerinden Azure support başvurun.

Uygulama Öngörüleri

Application Insights uygulamaları için tanılama ayarları için aşağıdaki bilgileri göz önünde bulundurun:

• Hedef, Application Insights kaynağınızın temel Log Analytics çalışma alanıyla aynı olamaz.
• Application Insights kullanıcısı her iki çalışma alanına da erişemez. Log Analytics erişim denetimi modunuÇalışma alanı izinleri gerektirir olarak ayarlayın. Azure RBAC aracılığıyla kullanıcının yalnızca Application Insights kaynağının temel aldığı Log Analytics çalışma alanına erişimi olduğundan emin olun.

Application Insights eksiksiz uçtan uca işlem işlemleri ve doğru uygulama eşlemeleri sağlamak için kaynaklar genelinde verilere eriştiği için bu adımlar gereklidir. Bu kaynaklar Log Analytics çalışma alanlarını içerir. Tanılama günlükleri aynı tablo adlarını kullandığından, kullanıcının aynı verileri içeren birden çok kaynağa erişimi varsa yinelenen veriler görüntülenebilir.

Troubleshooting

Ölçüm kategorisi desteklenmiyor

bir Resource Manager şablonu, REST API, Azure CLI veya Azure PowerShell kullanırken "Ölçüm kategorisi 'xxxx' desteklenmiyor" gibi bir hata iletisi alabilirsiniz. sınırlı sayıda Azure hizmeti dışında AllMetrics dışındaki ölçüm kategorileri desteklenmez. Dışındaki AllMetrics tüm ölçüm kategorisi adlarını kaldırın ve dağıtımınızı yineleyin.

Kaynak kimliğindeki ASCII olmayan karakterler nedeniyle ayar kayboluyor

Tanılama ayarları, ASCII olmayan karakterler içeren kaynak kimliklerini desteklemez (örneğin, Preproduccón). Azure'da kaynakları yeniden adlandıramadığınız için ASCII olmayan karakterler olmadan yeni bir kaynak oluşturmanız gerekir. Karakterler bir kaynak grubundaysa, kaynakları yeni bir gruba taşıyabilirsiniz.

Kaynak etkin değil

Kaynak etkin olmadığında ve sıfır değerli metrikler dışa aktarıldığında, tanılama ayarlarının dışa aktarma mekanizması, sıfır değerleri aktarma ve depolamanın gereksiz maliyetlerini önlemek için kademeli olarak geri çekilir. Bu geri kapatma, sıfır olmayan bir sonraki değerin dışarı aktarımında gecikmeye neden olabilir. Bu davranış yalnızca dışarı aktarılan ölçümler için geçerlidir ve ölçüm tabanlı uyarıları veya otomatik ölçeklendirmeyi etkilemez.

Bir kaynak bir saat boyunca etkin olmadığında dışarı aktarma mekanizması 15 dakikaya kadar geri döner. Bu durum, bir sonraki sıfır olmayan değerin dışarı aktarılabilmesi için 15 dakikaya kadar olası bir gecikme süresi olduğu anlamına gelir. Kaynak, yedi günlük etkinlik dışı kalma süresinden sonra en fazla iki saat geri alma süresine ulaşır. Kaynak sıfır olmayan değerleri dışarı aktarmaya başladıktan sonra, dışarı aktarma mekanizması üç dakikalık özgün dışarı aktarma gecikme süresine geri döner.

Tüm kaynak türleri için normal çalışma koşulları altında beklenen gecikme süresi için bkz. Azure İzleyici'de veri alma süresine bakın.

İlgili içerik

• Tanılama ayarları saklamasından Azure Storage yaşam döngüsü yönetimine geçiş yapın
• Azure Monitor veri kaynakları ve veri toplama yöntemleri