Azure İzleyici'de tanılama ayarları

Azure İzleyici'deki tanılama ayarlarını kullanarak kaynak günlüklerini toplayabilir, platform ölçümlerini ve etkinlik günlüğünü çeşitli hedeflere gönderebilirsiniz. Veri toplamak istediğiniz her kaynak için ayrı bir tanılama ayarı oluşturun. Her ayar, toplayacağınız kaynaktan verileri ve bu verilerin göndereceği hedefleri tanımlar. Bu makalede, tanılama ayarlarının nasıl oluşturulacağı ve veri göndermek için kullanılabilecek hedefler de dahil olmak üzere ayrıntılar açıklanmaktadır.

Aşağıdaki videoda, tanılama ayarlarıyla kaynak platformu günlüklerini yönlendirme adımları gösterilir. Video kaydedildikten sonra tanılama ayarlarında aşağıdaki değişiklikler yapılmıştır, ancak bu konular bu makalede ele alınılmıştır.

• Azure İzleyici iş ortakları
• Kategori grupları

Warning

Kaynağı siler veya yeniden adlandırırsanız ya da kaynak grupları veya abonelikler arasında geçirirseniz kaynağın tanılama ayarlarını silin. Tanılama ayarı kaldırılmazsa ve bu kaynak yeniden oluşturulursa, silinen kaynak için tüm tanılama ayarları yenisine uygulanabilir. Bazı kaynak türleri için bu durum, tanılama ayarında tanımlandığı gibi kaynak günlüklerinin toplanmasını sürdürür.

Sources

Tanılama ayarları aşağıdaki tabloda yer alan kaynaklardan veri toplayabilir. Her kaynağın topladığı veriler ve her hedefteki biçimi hakkında ayrıntılı bilgi için bağlantılı makaleye bakın.

Veri kaynağı	Description
Platform ölçümleri	Yapılandırma olmadan otomatik olarak toplanır. Platform ölçümlerini diğer hedeflere göndermek için bir tanılama ayarı kullanın.
Etkinlik Günlüğü	Yapılandırma olmadan otomatik olarak toplanır. Etkinlik günlüğü girdilerini diğer hedeflere göndermek için bir tanılama ayarı kullanın.
Kaynak günlükleri	Varsayılan olarak toplanmaz. Kaynak günlüklerini toplamak için bir tanılama ayarı oluşturun.

Destinations

Tanılama ayarları aşağıdaki tabloda yer alan hedeflere veri gönderir. Aktarımdaki verilerin güvenliğini sağlamaya yardımcı olmak için tüm hedef uç noktalar TLS 1.2'yi destekleyecek şekilde yapılandırılır.

Tek bir tanılama ayarı her hedeften en fazla birini tanımlayabilir. Verileri belirli bir hedef türünden birden fazlasına (örneğin, iki Log Analytics çalışma alanı) göndermek istiyorsanız, birden çok ayar oluşturun. Her kaynağın en fazla beş tanılama ayarı olabilir.

Bir tanılama ayarının kullandığı tüm hedefler, ayarı oluşturabilmeniz için önce mevcut olmalıdır. Ayarı yapılandıran kullanıcının her iki aboneliğe de uygun Azure rol tabanlı erişim denetimi (RBAC) erişimi varsa, hedefin günlük gönderen kaynakla aynı abonelikte olması gerekmez. Azure Lighthouse'u kullanarak hedefleri başka bir Microsoft Entra kiracısına ekleyin.

Destination	Description	Requirements
Log Analytics çalışma alanı	Günlük sorgularını ve çalışma kitaplarını kullanarak verileri alın. Veriler üzerinde proaktif olarak uyarı almak için günlük uyarılarını kullanın. Çeşitli Azure kaynaklarının kullandığı tablolar için bkz. Azure Monitor kaynak günlüğü referansı.	Log Analytics çalışma alanında yer alan tüm tablolar, çalışma alanına ilk veriler gönderildiğinde otomatik olarak oluşturulur, bu nedenle yalnızca çalışma alanının kendisi olmalıdır.
Azure Depolama hesabınız	Denetim, statik analiz veya yedekleme için depolayın. Depolama diğer seçeneklerden daha düşük maliyetli olabilir ve süresiz olarak tutulabilir. Değiştirilmesini önlemek için sabit depolama alanına veri gönderin. Blob sürümleri için değiştirilemezlik ilkelerini yapılandırma bölümünde açıklandığı gibi depolama hesabı için sabit ilkeyi ayarlayın.	Depolama hesaplarının, kaynağın bölgesel olması durumunda izlediğiniz kaynakla aynı bölgede olması gerekir. Tanılama ayarları, sanal ağlar etkinleştirildiğinde depolama hesaplarına erişemez. Azure Monitor tanılama ayarları hizmetine depolama hesabınıza erişim verilebilmesi için depolama hesaplarındaki bu güvenlik duvarı ayarını baypas etmek amacıyla Güvenilen Microsoft hizmetlerine izin ver'i etkinleştirmeniz gerekir. Azure DNS bölgesi uç noktaları (önizleme) ve premium depolama hesapları hedef olarak desteklenmez. Tüm Standart depolama hesapları desteklenir.
Azure Event Hubs	Microsoft dışı güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri ve diğer Log Analytics çözümleri gibi dış sistemlere veri akışı yapma.	Olay hub'ları, bölgeselse izlediğiniz kaynakla aynı bölgede olmalıdır. İletinin Azure İzleyici'nin içermediği bir bölümleme anahtarına sahip olmasını gerektirdiğinden bileştirilmiş bir olay hub'ı kullanamazsınız. Sanal ağlar etkinleştirildiğinde tanılama ayarları olay hub'larına erişemez. Azure İzleyici tanılama ayarları hizmetine olay hub'ı kaynaklarınız için erişim verilmesi için Güvenilen Microsoft hizmetlerinin olay hub'larında bu güvenlik duvarı ayarını atlamasına izin ver seçeneğini etkinleştirmeniz gerekir. Event Hubs ad alanı için paylaşılan erişim ilkesi, akış mekanizmasının sahip olduğu izinleri tanımlar. Olay hub'larına akış yapmak için Manage, Sendve Listen izinleri gerekir. Diagnostik ayarı akış içerecek şekilde güncelleştirmek için ListKey iznine bu Event Hubs yetkilendirme kuralı üzerinde sahip olmalısınız.
Azure İzleyici iş ortağı çözümleri	Azure İzleyici ile Microsoft dışı diğer izleme platformları arasında özel tümleştirmeler yapılabilir. Çözümler iş ortağına göre farklılık gösterir.	Ayrıntılar için bkz. Azure Yerel ISV Hizmetleri belgeleri.

Tanılama ayarı oluşturma yöntemleri

Aşağıdaki yöntemlerden herhangi birini kullanarak bir tanılama ayarı oluşturabilirsiniz.

Azure portalını kullanarak etkinlik günlüğü için tanılama ayarı oluşturmak için bkz. Etkinlik günlüğünü dışarı aktarma. Bir yönetim grubu için tanılama ayarı oluşturmak için bkz. Yönetim Grubu Tanılama Ayarları.

Azure portalı

Yeni bir tanılama ayarı oluşturmak veya Azure portalında var olan bir ayarı düzenlemek için aşağıdaki adımları kullanın:

1. Bir kaynağın menüsündeki İzleme bölümünde Tanılama ayarları'nı seçin. İsterseniz Azure İzleyici menüsünde Ayarlar>Tanılama ayarları'nı da seçebilirsiniz. Ardından kaynağı seçin.

2. Yeni bir ayar eklemek için Tanılama ayarı ekle'yi veya var olan bir ayarı düzenlemek için Ayarı düzenle'yi seçin.

   Aynı türde birden çok hedefe göndermek istiyorsanız, bir kaynak için birden çok tanılama ayarına ihtiyacınız olabilir. Aşağıdaki örnekte bir anahtar kasası kaynağının ayarları gösterilmektedir, ancak ekran diğer kaynaklar için benzerdir.

   

3. Henüz yoksa ayarınıza açıklayıcı bir ad verin.

   

   Bu ekran görüntüsünde örnek bir anahtar kasası gösterilmektedir. Diğer kaynak türleri farklı kategori kümelerine sahiptir.

4. Günlükler için bir kategori grubu seçin veya hedeflere göndermek istediğiniz her veri kategorisi için tek tek onay kutularını seçin. Kategori listesi her Azure hizmeti için farklılık gösterir.

5. Ölçümler için, platform ölçümlerini toplamak istiyorsanız AllMetrics'i seçin.

6. Hedef ayrıntıları için tanılama ayarlarına eklemek istediğiniz her hedefin onay kutusunu seçin. Ardından her hedef için ayrıntıları sağlayın.

   Hedef olarak bir Log Analytics çalışma alanı seçerseniz koleksiyon modunu belirtmeniz gerekebilir. Ayrıntılar için bkz. Koleksiyon modu.

PowerShell

Azure PowerShell aracılığıyla bir tanılama ayarı oluşturmak için New-AzDiagnosticSetting cmdlet'ini kullanın. Parametrelerin açıklamaları için bu cmdlet'in belgelerine bakın.

Important

Etkinlik günlüğü için bu yöntemi kullanamazsınız. Bunun yerine, bir Azure Resource Manager şablonu oluşturun ve PowerShell kullanarak dağıtın.

Aşağıdaki örnek PowerShell betiği, bir anahtar kasasının tüm günlüklerini ve ölçümlerini Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturur:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

CLI

Azure CLI aracılığıyla bir tanılama ayarı oluşturmak için az monitor diagnostic-settings create komutunu kullanın. Parametrelerin açıklamaları için bu komutun belgelerine bakın.

Important

Etkinlik günlüğü için bu yöntemi kullanamazsınız. Bunun yerine bir Azure Resource Manager şablonu oluşturun ve Azure CLI kullanarak dağıtın.

Aşağıdaki örnek betik, üç hedefe de veri gönderen bir tanılama ayarı oluşturur. Hizmet destekliyorsa kaynağa özgü modu belirtmek için true değerine sahip export-to-resource-specific parametresini ekleyin.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Resource Manager şablonu

Aşağıdaki örnek şablon, tüm denetim günlüklerini Log Analytics çalışma alanına göndermek için bir tanılama ayarı oluşturur. Değer, apiVersion kapsamdaki kaynağa bağlı olarak değişebilir. Diğer kaynaklara yönelik örnek şablonlar için bkz. Azure İzleyici'de tanılama ayarları için Resource Manager şablon örnekleri.

Şablon dosyası şu şekildedir:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Parametre dosyası aşağıdadır:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

REST API şablonu

Azure İzleyici REST API'sini kullanarak tanılama ayarı oluşturmak veya düzenlemek için bkz. Tanılama Ayarları - Oluşturma veya Güncelleştirme.

Warning

Depolama hesabı veya Event Hubs ad alanı için tanılama ayarları oluşturduğunuzda veya güncelleştirdiğinizde, kaynak günlükleri veya ölçüm verileri için bu hesabı veya ad alanını hedef olarak seçemezsiniz. Bu sınırlama tasarımdan kaynaklanır. Kaynak günlüklerinin veya ölçümlerin bir kaynaktan aynı kaynağa gönderilmesi, veri oluşturma ve yazma için sonsuz bir döngü oluşturur.

Bu tasarım yalnızca Azure portal UX katmanı için geçerlidir. Aynı kaynağa gerçekten veri yazmanız gerekiyorsa ve ilişkili riskleri kabul etmek istiyorsanız, Tanılama ayarını Azure PowerShell, Azure CLI, REST API, Resource Manager şablonu veya desteklenen bir Microsoft SDK kullanarak oluşturabilirsiniz.

Kategori grupları

Tek tek günlük kategorilerini seçmek yerine önceden tanımlanmış gruplandırmalara göre kaynak günlüklerini toplamak için kategori gruplarını kullanabilirsiniz. Microsoft, yaygın kullanım örneklerini izlemeye yardımcı olmak için gruplandırmaları tanımlar. Gruptaki kategoriler güncelleştirilirse günlük koleksiyonunuz otomatik olarak değiştirilir.

Tüm Azure hizmetleri kategori gruplarını kullanmaz. Belirli bir kaynak için kategori grupları kullanılamıyorsa, tanılama ayarını oluşturduğunuzda bu seçenek kullanılamaz.

Tanılama ayarında kategori grupları kullanıyorsanız, tek tek kategori türlerini seçemezsiniz. Şu anda iki kategori grubu vardır:

• allLogs: Kaynak için tüm kategoriler.
• audit: Verilerle veya hizmetin ayarlarıyla müşteri etkileşimlerini kaydeden tüm kaynak günlükleri. allLogs kategori grubunu seçerseniz, bu kategori grubunu seçmenize gerek yok.

Note

audit Azure SQL Veritabanı için tanılama ayarlarında kategorinin etkinleştirilmesi, veritabanı için denetimi etkinleştirmez. Veritabanı denetimini etkinleştirmek için Azure SQL Veritabanı denetim bölmesinden etkinleştirmeniz gerekir.

Ölçüm sınırlamaları

Bazı ölçümler tanılama ayarlarıyla Log Analytics çalışma alanına gönderilemez. Desteklenen ölçümler listesindekiDışarı Aktarılabilir sütununa bakın.

Tanılama ayarları şu anda çok boyutlu ölçümleri desteklememektedir. Boyutları olan ölçümler, tek boyutlu hale getirilmiş ölçümler olarak dışarı aktarılır ve boyut değerleri arasında birleştirilir. Örneğin, blok zincirindeki IOReadBytes ölçüm keşfedilebilir ve düğüm başına düzeyde grafik oluşturulabilir. Ölçüm tanılama ayarlarıyla dışarı aktarıldığında, tüm düğümler için tüm okuma baytlarını gösterir.

Belirli ölçümlerle ilgili sınırlamaları geçici olarak çözmek için Ölçümler REST API'sini kullanarak bunları el ile ayıklayabilirsiniz. Daha sonra Günlük Alımı API'sini kullanarak bunları bir Log Analytics çalışma alanına aktarabilirsiniz.

Maliyetleri denetleme

Tanılama ayarlarının topladığı veriler için bir maliyet söz konusu olabilir. Maliyet, seçtiğiniz hedefe ve toplanan verilerin hacmine bağlıdır. Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Yalnızca her hizmet için ihtiyacınız olan kategorileri toplayın. Ayrıca, bu veriler Ölçümler'de zaten toplandığı için Azure kaynaklarından platform ölçümleri toplamak istemeyebilirsiniz. Tanılama verilerinizi yalnızca günlük sorgularıyla daha karmaşık analiz için çalışma alanında ölçüm verilerine ihtiyacınız varsa ölçümleri toplayacak şekilde yapılandırın.

Tanılama ayarları, seçilen bir kategori içinde ayrıntılı filtrelemeye izin vermez. Log Analytics çalışma alanında desteklenen tablolar için dönüştürmeleri kullanarak verileri filtreleyebilirsiniz. Ayrıntılar için bkz. Azure İzleyici'de dönüşümler.

Verilerin hedeflere erişmeden önce geçmesi gereken süre

Bir tanılama ayarı oluşturduktan sonra, veriler 90 dakika içinde seçili hedeflerinize akmaya başlamalıdır. Log Analytics çalışma alanına veri gönderirken, tablo zaten yoksa otomatik olarak oluşturulur. Tablo, yalnızca hedefler ilk kez günlük kayıtlarını aldığında oluşturulur.

24 saat içinde bilgi alamazsanız aşağıdaki sorunlardan biriyle karşılaşmış olabilirsiniz:

• Günlük oluşturulmakta değil.
• Altta yatan yönlendirme mekanizmasında bir sorun var.

Yapılandırmayı devre dışı bırakmayı ve sonra yeniden oluşturmayı deneyin. Sorun devam ederse Azure portalı üzerinden Azure desteğine başvurun.

Uygulama Öngörüleri

Application Insights uygulamaları için tanılama ayarları için aşağıdaki bilgileri göz önünde bulundurun:

• Hedef, Application Insights kaynağınızın temel alındığı Log Analytics çalışma alanıyla aynı olamaz.
• Application Insights kullanıcısı her iki çalışma alanına da erişemez. Log Analytics erişim denetimi modunuÇalışma alanı izinleri gerekiyor olarak ayarlayın. Azure RBAC aracılığıyla kullanıcının yalnızca Application Insights kaynağının temel aldığı Log Analytics çalışma alanına erişimi olduğundan emin olun.

Application Insights eksiksiz uçtan uca işlem işlemleri ve doğru uygulama eşlemeleri sağlamak için kaynaklar genelinde verilere eriştiği için bu adımlar gereklidir. Bu kaynaklar Log Analytics çalışma alanlarını içerir. Tanılama günlükleri aynı tablo adlarını kullandığından, kullanıcının aynı verileri içeren birden çok kaynağa erişimi varsa yinelenen veriler görüntülenebilir.

Troubleshooting

Ölçüm kategorisi desteklenmiyor

Resource Manager şablonu, REST API, Azure CLI veya Azure PowerShell kullanırken "Ölçüm kategorisi 'xxxx' desteklenmiyor" gibi bir hata iletisi alabilirsiniz. Dışındaki ölçüm kategorileri AllMetrics , sınırlı sayıda Azure hizmeti dışında desteklenmez. Dışındaki AllMetrics tüm ölçüm kategorisi adlarını kaldırın ve dağıtımınızı yineleyin.

Kaynak kimliğindeki ASCII olmayan karakterler nedeniyle ayar kayboluyor

Tanılama ayarları, ASCII olmayan karakterler içeren kaynak kimliklerini desteklemez (örneğin, Preproduccón). Azure'da kaynakları yeniden adlandıramadığınız için ASCII olmayan karakterler olmadan yeni bir kaynak oluşturmanız gerekir. Karakterler bir kaynak grubundaysa, kaynakları yeni bir gruba taşıyabilirsiniz.

Kaynak etkin değil

Kaynak etkin olmadığında ve sıfır değerli metrikler dışa aktarıldığında, tanılama ayarlarının dışa aktarma mekanizması, sıfır değerleri aktarma ve depolamanın gereksiz maliyetlerini önlemek için kademeli olarak geri çekilir. Bu geri kapatma, sıfır olmayan bir sonraki değerin dışarı aktarımında gecikmeye neden olabilir. Bu davranış yalnızca dışarı aktarılan ölçümler için geçerlidir ve ölçüm tabanlı uyarıları veya otomatik ölçeklendirmeyi etkilemez.

Bir kaynak bir saat boyunca etkin olmadığında dışarı aktarma mekanizması 15 dakikaya kadar geri döner. Bu durum, bir sonraki sıfır olmayan değerin dışarı aktarılabilmesi için 15 dakikaya kadar olası bir gecikme süresi olduğu anlamına gelir. Kaynak, yedi günlük etkinlik dışı kalma süresinden sonra en fazla iki saat geri alma süresine ulaşır. Kaynak sıfır olmayan değerleri dışarı aktarmaya başladıktan sonra, dışarı aktarma mekanizması üç dakikalık özgün dışarı aktarma gecikme süresine geri döner.

İlgili içerik

• Tanılama ayarları depolama saklama sürecinden Azure Depolama yaşam döngüsü yönetimine geçiş
• Azure İzleyici veri kaynakları ve veri toplama yöntemleri