使用適用於復原服務保存庫和備份保存庫的診斷設定

本文說明如何針對 Azure 備份使用適用於復原服務保存庫和備份保存庫的診斷設定。

Azure 備份會傳送診斷事件，可針對分析、警示和報告用途加以收集和使用。

您可以透過 Azure 入口網站藉由前往保存庫，然後選取 [診斷設定]，設定復原服務保存庫的診斷設定。 選取 [+ 新增診斷設定] 可讓您將一或多個診斷事件傳送至儲存體帳戶、事件中樞或 Log Analytics 工作區。

Azure 備份使用者可以使用的診斷事件

Azure 備份提供下列診斷事件。 每個事件都會提供一組特定備份相關成品的詳細資料：

• 核心 Azure 備份資料
• 附加元件 Azure 備份作業資料
• 附加元件 Azure 備份原則資料
• 附加元件 Azure 備份儲存體資料
• 附加元件 Azure 備份受保護執行個體資料
• Azure 備份作業

如果您仍在使用舊版事件 Azure 備份報告資料，建議您切換為使用上述事件。

如需詳細資訊，請參閱 Azure 備份診斷事件的資料模型。

這些事件的資料可以傳送至儲存體帳戶、Log Analytics 工作區或事件中樞。 儲存體帳戶必須位於與 Azure 復原服務保存庫相同的區域中。 不過，Log Analytics 工作區可以位於不同的區域中。 如果您要將此資料傳送至 Log Analytics 工作區，請選取 [診斷設定] 畫面上的 [Resource specific]\(資源專屬\)切換。 如需詳細資訊，請參閱下列幾節。

搭配使用診斷設定與 Log Analytics

您現在可以使用 Azure 備份將保存庫診斷資料傳送到專用的 Log Analytics 資料表加以備份。 這些資料表稱為資源專屬資料表。

如何將您的保存庫診斷資料傳送至 Log Analytics：

選擇保存庫類型：

復原服務保存庫

1. 移至您的保存庫，然後選取 [診斷設定]>[+ 新增診斷設定]。

2. 在 [診斷設定名稱] 中提供名稱。

3. 選取 [傳送至 Log Analytics] 核取方塊，然後選取 Log analytics 工作區。

4. 選取 [資源專屬]，然後選取下列六個事件：核心 Azure 備份資料、附加元件 Azure 備份作業資料、附加元件 Azure 備份原則資料，以及附加元件 Azure 備份受保護執行個體資料、Azure 備份作業。

5. 選取 [儲存]。

   

備份保存庫

1. 移至您的保存庫，然後選取 [診斷設定]>[+ 新增診斷設定]。

2. 在 [診斷設定名稱] 中提供名稱。

3. 選取 [傳送至 Log Analytics] 核取方塊，然後選取 Log analytics 工作區。

4. 選取下列事件：核心 Azure 備份資料、附加元件 Azure 備份作業資料、附加元件 Azure 備份原則資料，以及附加元件 Azure 備份受保護執行個體資料。

5. 選取 [儲存]。

   

資料流入 Log Analytics 工作區之後，會在您的工作區中建立每個事件的專用資料表。 您可以直接查詢其中任何一個資料表。 也可以視需要在這些資料表之間執行聯結或聯合。

重要

「附加元件 Azure 備份警示」是指傳統警示解決方案所產生的警示。 由於傳統警示解決方案即將淘汰以改為採用 Azure 監視器型警示，建議您在設定診斷設定時，不要選取「附加元件 Azure 備份警示」事件。 若要將引發的 Azure 監視器型警示傳送至您選擇的目的地，您可以建立警示處理規則和動作群組，以將這些警示路由傳送至邏輯應用程式、Webhook 或 Runbook，進而將這些警示傳送至想要的目的地。

針對復原服務保存庫，六個事件-「核心 Azure 備份」、「附加元件 Azure 備份作業」、「附加元件 Azure 備份原則」、「附加元件 Azure 備份儲存體」、「Azure 備份作業」和「附加元件 Azure 備份受保護執行個體」僅在備份報告中復原服務的「資源專屬」模式中受到支援。 如果您嘗試在 Azure 診斷模式中傳送這些事件的資料，備份報告不會顯示任何資料。

針對備份保存庫，因為有關前端大小和消耗的備份儲存體的資訊已包含在「核心 Azure備份」和「附加元件 Azure 備份受保護執行個體」 事件中 (以提高查詢效能)，因此「附加元件 Azure 備份儲存體事件」不適用於備份保存庫，以避免建立重複資料表。

舊版事件

傳統上，復原服務保存庫的所有備份相關診斷資料都包含在名為「Azure 備份報告資料」的單一事件中。 此處所述的六個事件在本質上是將「Azure 備份報告資料」內的所有資料分開。

目前，若您目前具有此事件的自訂查詢，我們會繼續支援復原服務保存庫的「Azure 備份報告資料」事件以提供回溯相容性。 例如，自訂記錄警示和自訂視覺效果。 建議您盡早改用新事件。 新事件：

• 在記錄查詢中更易於使用資料。
• 對結構描述及其結構的探索能力更佳。
• 同時改善擷取延遲及查詢時間兩者的效能。

Azure 診斷模式中的舊版事件最終會遭到取代。 選擇新事件可協助您避免日後的複雜移轉. 以 Log Analytics 為基礎的報告解決方案也會停止支援舊版事件中的資料。

注意

針對備份保存庫，所有診斷事件只會傳送至資源專屬的資料表；因此，您不需要針對備份保存庫執行任何移轉。 前一節專門說明復原服務保存庫。

改用 Log Analytics 工作區新診斷設定的步驟

1. 使用舊版事件及其所屬的訂閱，識別目前有哪些保存庫將資料傳送至 Log Analytics 工作區。 在每個工作區中執行下列查詢，以識別這些保存庫和訂閱。

   let RangeStart = startofday(ago(3d));
   let VaultUnderAzureDiagnostics = (){
       AzureDiagnostics
       | where TimeGenerated >= RangeStart | where Category == "AzureBackupReport" and OperationName == "Vault" and SchemaVersion_s == "V2"
       | summarize arg_max(TimeGenerated, *) by ResourceId
       | project ResourceId, Category};
   let VaultUnderResourceSpecific = (){
       CoreAzureBackup
       | where TimeGenerated >= RangeStart | where OperationName == "Vault"
       | summarize arg_max(TimeGenerated, *) by ResourceId
       | project ResourceId, Category};
       // Some Workspaces will not have AzureDiagnostics Table, so you need to use isFuzzy
   let CombinedVaultTable = (){
       union isfuzzy = true
       (VaultUnderAzureDiagnostics() ),
       (VaultUnderResourceSpecific() )
       | distinct ResourceId, Category};
   CombinedVaultTable | where Category == "AzureBackupReport"
   | join kind = leftanti (
   CombinedVaultTable | where Category == "CoreAzureBackup"
   ) on ResourceId
   | parse ResourceId with * "SUBSCRIPTIONS/" SubscriptionId:string "/RESOURCEGROUPS" * "MICROSOFT.RECOVERYSERVICES/VAULTS/" VaultName:string
   | project ResourceId, SubscriptionId, VaultName
   

   下列螢幕擷取畫面顯示正在其中一個工作區中執行的查詢：

   

2. 使用 Azure 備份中內建的 Azure 原則定義，為指定範圍內的所有保存庫新增診斷設定。 此原則會將新的診斷設定新增至保存庫，其中可能沒有診斷設定或只有舊版診斷設定。 您可以一次將此原則指派給整個訂閱項目或資源群組。 您對於獲指派該原則的每項訂閱，必須擁有「擁有者」存取權限。

您可以針對「Azure 備份報告」和六個新事件選擇個別的診斷設定，直到您將所有自訂查詢遷移完畢，可使用新資料表中的資料為止。 下圖顯示具有兩個診斷設定的保存庫範例。 第一個設定 (名為Setting1) 會在 Azure 診斷模式中，將「Azure 備份報告」事件的資料傳送至 Log Analytics 工作區。 第二個設定 (名為 Setting2) 會在資源專屬模式中，將六個新的 Azure 備份事件的資料傳送至 Log Analytics 工作區。

重要

Azure 備份報告事件「僅」在 Azure 診斷模式中受支援。 如果您嘗試在資源專屬模式下傳送此事件的資料，沒有任何資料會流向 Log Analytics 工作區。

注意

只有當使用者選取 [傳送至 Log Analytics] 時，才會顯示 [Azure 診斷] 或 [Resource specific]\(資源專屬\)的切換功能。 若要將資料傳送至儲存體帳戶或事件中樞，使用者可以選取所需的目的地，然後選取任何所需事件的核取方塊，而不需要任何額外輸入。 同樣地，我們建議您之後不要選擇舊版事件「Azure 備份報告資料」。

將 Azure Site Recovery 事件傳送至 Log Analytics

系統會從相同的復原服務保存庫傳送 Azure 備份和 Azure Site Recovery 事件。 Azure Site Recovery 提供兩個資源專屬的資料表 -「Azure Site Recovery 作業」和「Azure Site Recovery 複寫項目詳細資料」。 使用者必須針對所述的兩個資料表選擇資源專屬。 為用於站台復原的任何其他資料表選擇 Azure Site Recovery 事件的資源專屬模式，會避免將所需資料傳送至 Log Analytics 工作區。 Azure Site Recovery 作業可作為資源專屬和舊版資料表使用。

注意

當您建立 Log Analytics 工作區時，復原服務保存庫位於不同區域並不重要。

總括來說：

• 如果您已經使用 Azure 診斷來設定 Log Analytics 診斷，並且在其上撰寫自訂查詢，請將該設定保持不變，直到您遷移查詢完畢，可使用新事件中的資料為止。
• 如果也想要上線到新的資料表，建議您建立新的診斷設定，選取 [Resource specific]\(資源專屬\)，然後選取六個新的事件。
• 如果您目前是將 Azure Site Recovery 事件傳送至 Log Analytics，請勿對這些事件選擇資源專屬模式。 否則，這些事件的資料不會流入您的 Log Analytics 工作區。 請改為建立另一個診斷設定、選取 [Azure 診斷]，然後選取相關的 Azure Site Recovery 事件。

下圖所示範例中的使用者具有三個保存庫診斷設定。 第一個設定 (名為 Setting1) 會在 Azure 診斷模式中，將「Azure 備份報告資料」事件的資料傳送至 Log Analytics 工作區。 第二個設定 (名為 Setting2) 會在資源專屬模式中，將六個新 Azure 備份事件的資料傳送至 Log Analytics 工作區。 第三個設定 (名為 Setting3) 會在 Azure 診斷模式中，將 Azure Site Recovery 事件的資料傳送至 Log Analytics 工作區。

下一步

了解診斷事件的 Log Analytics 資料模型