在 Azure 監視器記錄中使用客戶管理的記憶體帳戶
Azure 監視器記錄會依賴各種案例中的 Azure 儲存體。 Azure 監視器通常會自動管理這種類型的記憶體,但在某些情況下,您必須提供和管理自己的記憶體帳戶,也稱為客戶管理的記憶體帳戶。 本文說明為 Azure 監視器記錄設定客戶管理的記憶體的使用案例和需求,並說明如何將記憶體帳戶連結至 Log Analytics 工作區。
注意
建議您不要依賴 Azure 監視器記錄上傳至客戶管理的記憶體內容,因為格式和內容可能會變更。
私人連結
當私人鏈接用來連線到 Azure 監視器資源時,客戶管理的記憶體帳戶會用來內嵌自定義記錄。 這些數據類型的擷取程式會先將記錄上傳至中繼 Azure 儲存體 帳戶,然後才將它們內嵌至工作區。
工作區需求
當您透過私人連結連線到 Azure 監視器時,Azure 監視器代理程式只能透過私人連結將記錄傳送至可存取的工作區。 此需求表示您應該:
- 設定 Azure 監視器 Private Link 範圍 (AMPLS) 物件。
- 將它 連線 到您的工作區。
- 透過私人連結將 AMPLS 連線 至您的網路。
如需 AMPLS 設定程式的詳細資訊,請參閱 使用 Azure Private Link 安全地將網路連線到 Azure 監視器。
儲存體帳戶需求
若要讓記憶體帳戶連線到您的私人連結,它必須:
位於您的虛擬網路或對等互連網路,並透過私人連結連線到您的虛擬網路。
位於與其連結工作區相同的區域。
允許 Azure 監視器存取記憶體帳戶。 若要只允許特定網路存取您的記憶體帳戶,請選取 [允許受信任的 Microsoft 服務 存取此儲存體帳戶的例外狀況。
如果您的工作區處理來自其他網路的流量,請將記憶體帳戶設定為允許來自相關網路/因特網的連入流量。
協調代理程式與記憶體帳戶之間的 TLS 版本。 建議您使用 TLS 1.2 或更高版本將數據傳送至 Azure 監視器記錄。 檢閱 平臺特定的指引。 如有必要, 請將您的代理程式設定為使用 TLS。 如果不可能,請將記憶體帳戶設定為接受 TLS 1.0。
客戶管理的金鑰數據加密
Azure 儲存體 加密記憶體帳戶中的所有待用數據。 根據預設,它會使用 Microsoft 管理的金鑰 (MMK) 來加密數據。 不過,Azure 儲存體 也可讓您使用來自 Azure 金鑰保存庫 的客戶自控密鑰(CMK)來加密記憶體數據。 您可以將自己的金鑰匯入 金鑰保存庫,或使用 金鑰保存庫 API 來產生金鑰。
需要客戶管理的記憶體帳戶的 CMK 案例
需要客戶管理的記憶體帳戶:
- 使用 CMK 加密記錄警示查詢。
- 使用 CMK 加密已儲存的查詢。
將 CMK 套用至客戶管理的記憶體帳戶
請遵循本指南,將 CMK 套用至客戶管理的記憶體帳戶。
儲存體帳戶需求
儲存體帳戶和金鑰保存庫必須位於相同的區域,但也可以位於不同的訂用帳戶中。 如需 Azure 儲存體 加密和金鑰管理的詳細資訊,請參閱 Azure 儲存體 待用數據的加密。
將 CMK 套用至您的記憶體帳戶
若要將 Azure 儲存體 帳戶設定為搭配 金鑰保存庫 使用 CMK,請使用 Azure 入口網站、PowerShell 或 Azure CLI。
注意
- 連結 儲存體 帳戶進行查詢時,工作區中現有的已儲存查詢會永久刪除以取得隱私權。 您可以使用 PowerShell 在記憶體連結之前複製現有的已儲存查詢。
- 儲存在查詢套件中的查詢不會使用客戶管理的金鑰加密。 請改為在儲存查詢時選取 [另存成舊版查詢 ],以使用客戶管理的密鑰加以保護。
- 儲存的查詢會儲存在數據表記憶體中,並在建立 儲存體 帳戶時使用客戶管理的密鑰進行加密。
- 記錄搜尋警示會儲存在 Blob 記憶體中,其中客戶管理的密鑰加密設定可以在建立帳戶或更新版本 儲存體。
- 您可以針對所有用途使用單一 儲存體 帳戶、查詢、警示、自定義記錄和 IIS 記錄。 視擷取速率和記憶體限制而定,連結自定義記錄和 IIS 記錄的記憶體可能需要更多 儲存體 帳戶以進行調整。 您可以將最多五個 儲存體 帳戶連結至工作區。
將記憶體帳戶連結至 Log Analytics 工作區
使用 Azure 入口網站
在 Azure 入口網站 上,開啟工作區功能表,然後選取 [鏈接的記憶體帳戶]。 窗格會顯示先前提及的使用案例所連結的記憶體帳戶(透過 Private Link 擷取、將 CMK 套用至已儲存的查詢或警示)。
![顯示 [鏈接記憶體帳戶] 窗格的螢幕快照。](media/private-storage/all-linked-storage-accounts.png#lightbox)
選取資料表上的項目會開啟其記憶體帳戶詳細數據,您可以在其中設定或更新此類型的連結記憶體帳戶。
![顯示 [鏈接記憶體帳戶] 窗格的螢幕快照。](media/private-storage/link-a-storage-account-blade.png#lightbox)
如果您想要,您可以將相同的帳戶用於不同的使用案例。
使用 Azure CLI 或 REST API
您也可以透過 Azure CLI 或 REST API 將記憶體帳戶連結至工作區。
適用的 dataSourceType 值為:
CustomLogs:若要使用記憶體帳戶進行自定義記錄和 IIS 記錄擷取。Query:若要使用記憶體帳戶來儲存儲存的查詢(CMK 加密的必要專案)。Alerts:若要使用記憶體帳戶來儲存記錄型警示(CMK 加密的必要專案)。
管理連結的記憶體帳戶
請遵循此指引來管理連結的記憶體帳戶。
建立或修改連結
當您將記憶體帳戶連結至工作區時,Azure 監視器記錄會開始使用它,而不是服務所擁有的記憶體帳戶。 您可以:
- 註冊多個記憶體帳戶,以分散記錄之間的負載。
- 針對多個工作區重複使用相同的記憶體帳戶。
取消連結記憶體帳戶
若要停止使用記憶體帳戶,請從工作區取消連結記憶體。 當您從工作區取消連結所有記憶體帳戶時,Azure 監視器記錄會使用服務管理的記憶體帳戶。 如果您的網路具有因特網的有限存取權,這些記憶體帳戶可能無法使用,而且任何依賴記憶體的案例都會失敗。
取代記憶體帳戶
若要取代用於擷取的記憶體帳戶:
- 建立新記憶體帳戶的連結。 記錄代理程式會取得更新的組態,並開始將數據傳送至新的記憶體。 此程式可能需要幾分鐘的時間。
- 取消連結舊的記憶體帳戶,讓代理程式停止寫入移除的帳戶。 擷取程式會持續從此帳戶讀取數據,直到全部擷取為止。 除非您看到所有記錄都已擷取,否則請勿刪除記憶體帳戶。
維護記憶體帳戶
請遵循此指引來維護您的記憶體帳戶。
管理記錄保留
當您使用自己的記憶體帳戶時,保留會由您決定。 Azure 監視器記錄不會刪除儲存在私人記憶體上的記錄。 相反地,您應該設定原則以根據您的喜好設定來處理負載。
考慮載入
儲存體 帳戶可以在啟動節流要求之前處理特定讀取和寫入要求負載。 如需詳細資訊,請參閱 Azure Blob 儲存體的延展性和效能目標。
節流會影響擷取記錄所需的時間。 如果您的記憶體帳戶多載,請註冊另一個記憶體帳戶,以在兩者之間分散負載。 若要監視記憶體帳戶的容量和效能,請檢閱其 Azure 入口網站 中的深入解析。
相關費用
您會根據儲存的數據量、記憶體類型,以及備援類型,向您收取記憶體帳戶的費用。 如需詳細資訊,請參閱區塊 Blob 定價和 Azure 數據表 儲存體 定價。