Vytvoření a konfigurace sledovacího procesu databáze (Preview)

Platí pro:Azure SQL DatabaseAzure SQL Managed Instance

Sledovací proces databáze nevyžaduje nasazení a údržbu agentů monitorování ani jiné infrastruktury monitorování. Podrobné monitorování prostředků Azure SQL můžete povolit za pár minut.

Tento článek obsahuje podrobné kroky pro vytvoření, konfiguraci a spuštění sledovacího nástroje databáze na webu Azure Portal.

Podrobný příklad vytvoření a konfigurace sledovacího nástroje databáze najdete v tématu Rychlý start: Vytvoření sledovacího nástroje databáze pro monitorování Azure SQL.

Pokud chcete zjistit, jak můžete vytvořit a nakonfigurovat sledovací proces databáze pomocí Bicep nebo šablony ARM, přečtěte si téma Vytvoření sledovacího modulu databáze.

Informace o správě sledovacích procesů databází prostřednictvím kódu programu najdete v dokumentaci k rozhraní REST API sledovacího programu databáze.

Poznámka:

Sledovací proces databáze je aktuálně ve verzi Preview. Funkce ve verzi Preview jsou vydávány s omezenými možnostmi, ale jsou dostupné na základě verze Preview , aby zákazníci mohli získat přednostní přístup a poskytnout zpětnou vazbu. Funkce ve verzi Preview podléhají samostatným dodatečným podmínkám verze Preview a nevztahují se na smlouvy SLA. Podpora je poskytována jako nejlepší úsilí v určitých případech. Podpora Microsoftu ale chce získat zpětnou vazbu k funkcím ve verzi Preview a v některých případech může poskytovat podporu co nejlépe. Funkce ve verzi Preview můžou mít omezené nebo omezené funkce a můžou být dostupné jenom ve vybraných geografických oblastech.

Požadavky

K použití sledovacího nástroje pro databáze jsou vyžadovány následující požadavky.

• Budete potřebovat aktivní předplatné Azure. Pokud žádné nemáte, vytvořte si bezplatný účet. Abyste mohli vytvářet prostředky, musíte být členem role přispěvatele nebo role Vlastník předplatného nebo skupiny prostředků.

• Ke konfiguraci sledovacího modulu databáze budete potřebovat existující cíl SQL: databázi Azure SQL, elastický fond nebo spravovanou instanci SQL.

  • Pokud ještě nemáte vytvořenou databázi Azure SQL, přejděte na rychlý start: Vytvoření izolované databáze. Vyhledejte možnost použití vaší nabídky k vyzkoušení služby Azure SQL Database zdarma (Preview).
  • Alternativně vyzkoušejte službu Azure SQL Managed Instance zdarma (Preview).

• Poskytovatelé Microsoft.DatabaseWatcherprostředků a Microsoft.Network poskytovatelé Microsoft.Kustoprostředků musí být zaregistrovaní ve vašem předplatném Azure.

  • Pokud chcete použít ověřování SQL pro připojení k prostředkům Azure SQL, Microsoft.KeyVault musí být také zaregistrovaný poskytovatel prostředků. Viz Další konfigurace pro použití ověřování SQL.

  Registrace poskytovatele prostředků je automatická, pokud máte členství role Vlastník nebo PřispěvatelRBAC na úrovni předplatného. V opačném případě musí uživatel v jedné z těchto rolí před vytvořením a konfigurací sledovacího procesu zaregistrovat poskytovatele prostředků. Další informace najdete v části Registrace poskytovatele prostředku.

• Uživatel, který vytváří a konfiguruje sledovací proces a prostředky clusteru Azure Data Exploreru, musí být členem role RBAC vlastníka nebo přispěvatele pro skupinu prostředků nebo předplatné, ve kterém se tyto prostředky vytvářejí.

  Pokud používáte ověřování SQL, musí být uživatel členem role Vlastník skupiny prostředků nebo členem role Vlastník nebo Správce přístupu uživatele pro trezor klíčů, který ukládá přihlašovací údaje ověřování SQL.

• Uživatel, který konfiguruje sledovací proces, musí mít přístup správce k cílům Azure SQL. Sledovací proces má omezený, specifický přístup k cílům monitorování SQL. Další informace najdete v tématu Udělení přístupu k cílům.

• Pokud chcete sledovacímu modulu udělit přístup k cíli SQL, musíte spustit skripty T-SQL. Sql Server Management Studio (SSMS) , Azure Data Studio nebo Visual Studio Code můžete použít s rozšířením MSsql SQL Serveru.

• Pokud chcete použít Azure Private Link pro privátní připojení k prostředkům Azure, musí být uživatel, který privátní koncový bod schválí, členem role RBAC vlastníka nebo musí mít požadovaná oprávnění RBAC. Další informace najdete v tématu Schválení RBAC pro privátní koncový bod.

Vytvoření služby Watcher

1. Na webu Azure Portal v navigační nabídce vyberte Všechny služby. Jako kategorii vyberte Monitorování a v části Monitorovací nástroje vyberte Sledovací nástroje databáze. Případně můžete do vyhledávacího pole v horní části stránky portálu zadat sledovací procesdatabáze a vybrat sledovací proces databáze.

   Jakmile se otevře zobrazení sledovacích procesů databáze, vyberte Vytvořit.

2. Na kartě Základy vyberte předplatné a skupinu prostředků pro sledovací proces, zadejte název sledovacího programu a vyberte oblast Azure.

   Tip

   Pokud ve vaší oblasti ještě není k dispozici sledovací proces databáze, můžete ho vytvořit v jiné oblasti. Další informace najdete v tématu Regionální dostupnost.

3. Na kartě Identita je stav spravované identity přiřazené systémem nastavený na Zapnuto. V tuto chvíli se nepodporuje vytváření sledovacích procesů bez spravované identity přiřazené systémem.

4. Zvolte úložiště dat pro sledovací proces.

   Ve výchozím nastavení vytvoří sledovací proces také cluster Azure Data Exploreru a přidá do daného clusteru databázi jako úložiště dat pro shromážděná data monitorování.

   • Ve výchozím nastavení nový cluster Azure Data Exploreru používá skladovou položku optimalizovanou pro extra malé výpočetní prostředky. Jedná se o nejekonomičtější skladovou položku, která stále poskytuje smlouvu o úrovni služeb (SLA). Podle potřeby můžete tento cluster škálovat později.

   • Nebo můžete použít databázi v existujícím clusteru Azure Data Exploreru, v bezplatném clusteru Azure Data Exploreru nebo v analýzách v reálném čase.

     1. Na kartě Úložiště dat zvolte možnost Vybrat úložiště dat a vyberte Přidat.
     2. Vyberte databázi Analýzy v reálném čase nebo cluster Azure Data Exploreru.
     3. Pokud používáte existující cluster Azure Data Exploreru, musíte povolit příjem dat streamování.
     4. Vytvořte novou databázi nebo použijte existující databázi.

     Poznámka:

     Každá existující databáze, kterou vyberete , musí být prázdná nebo musí být databáze, kterou jste dříve použili jako úložiště dat sledovacího nástroje databáze. Výběr databáze, která obsahuje žádné objekty, které nevytvořil sledovací proces databáze, není podporováno.

5. Na kartě Cíle SQL přidejte jeden nebo více prostředků Azure SQL, které chcete monitorovat. Přidávání cílů SQL můžete přeskočit při vytváření sledovacího nástroje a přidat je později. Před spuštěním sledovacího procesu musíte přidat alespoň jeden cíl.

6. Na kartě Zkontrolovat a vytvořit zkontrolujte konfiguraci sledovacího nástroje a vyberte Vytvořit. Pokud vyberete výchozí možnost pro vytvoření nového clusteru Azure Data Exploreru, nasazení obvykle trvá 15 až 20 minut. Pokud vyberete databázi v existujícím clusteru Azure Data Exploreru, v bezplatném clusteru Azure Data Exploreru nebo v analýze v reálném čase, nasazení obvykle trvá až pět minut.

7. Po dokončení nasazení udělte sledovacímu modulu přístup k cílům SQL.

   • Přístup k databázi v novém nebo existujícím clusteru Azure Data Exploreru se automaticky udělí při vytváření sledovacího nástroje.
   • Pokud ale vyberete databázi, musíte udělit přístup k úložišti dat pomocí příkazu KQL:
     • Analýzy v reálném čase v Microsoft Fabric
     • Bezplatný cluster Azure Data Exploreru

8. Pokud chcete používat privátní připojení, vytvořte spravované privátní koncové body.

Spuštění a zastavení sledovacího prvku

Když je sledovací proces vytvořen, není spuštěn automaticky, protože může být vyžadována další konfigurace.

Pokud chcete spustit službu Watcher, musí mít:

• Úložiště dat
• Alespoň jeden cíl
• Přístup k úložišti dat a cílům
  • Přístup k trezoru klíčů se vyžaduje také v případě, že pro libovolný cíl bylo vybráno ověřování SQL.
• Privátní nebo veřejné připojení k cílům, trezoru klíčů (pokud používáte ověřování SQL) a úložiště dat
  • Pokud chcete použít privátní připojení, vytvořte privátní koncové body.

Jakmile je sledovací proces plně nakonfigurovaný, použijte na stránce Přehled tlačítko Start ke spuštění shromažďování dat. Během několika minut se nová data monitorování zobrazí v úložišti dat a na řídicích panelech. Pokud se nová data během pěti minut nezobrazují, přečtěte si téma Řešení potíží.

Sledovací proces můžete zastavit tlačítkem Zastavit , pokud už nějakou dobu nepotřebujete monitorovat prostředky Azure SQL.

Pokud chcete sledovací proces restartovat, zastavte ho a pak ho znovu spusťte.

Úprava sledovacího nástroje

Na webu Azure Portal můžete přidávat nebo odebírat cíle, vytvářet nebo odstraňovat privátní koncové body nebo pro existující sledovací proces používat jiné úložiště dat.

Poznámka:

Pokud není uvedeno jinak, změny provedené v konfiguraci sledovacího nástroje se po zastavení a restartování sledovacího nástroje stanou efektivní.

Přidání cílů SQL do sledovacího nástroje

Pokud chcete povolit monitorování sledovacího modulu databáze Azure SQL pro databázi Azure SQL, elastický fond nebo spravovanou instanci SQL, musíte tento prostředek přidat jako cíl SQL.

1. Pokud chcete přidat cíl, vyberte na stránce Cíle SQL možnost Přidat.
2. Vyhledejte prostředek Azure SQL, který chcete monitorovat. Vyberte typ prostředku a předplatné a pak v seznamu prostředků vyberte cíl SQL. Cíl SQL může být v libovolném předplatném ve stejném tenantovi Microsoft Entra ID jako sledovací proces.
3. Pokud chcete monitorovat primární repliku a sekundární repliku sekundární repliky databáze, elastického fondu nebo spravované instance SQL, přidejte dva samostatné cíle pro stejný prostředek a zaškrtněte políčko Číst pro jeden z nich.
   • Zaškrtnutím políčka Záměr pro čtení nakonfigurujete sledovací proces tak, aby monitoroval pouze sekundární repliku s vysokou dostupností.
   • Pokud chcete monitorovat pouze primární repliku, nebo pokud pro tento prostředek neexistuje sekundární replika s vysokou dostupností, nebo pokud je funkce horizontálního navýšení kapacity pro čtení zakázaná, nezaškrtáte políčko Záměr pro čtení.

Sledovací proces databáze ve výchozím nastavení používá ověřování Microsoft Entra při připojování k cílům SQL. Pokud chcete, aby sledovací proces používal ověřování SQL, zaškrtněte políčko Použít ověřování SQL a zadejte požadované podrobnosti. Další informace najdete v tématu Další konfigurace pro použití ověřování SQL.

Odebrání cílů SQL z sledovacího nástroje

Pokud chcete odebrat jeden nebo více cílů, otevřete stránku cílů SQL, vyberte v seznamu cíle, které chcete odebrat, a vyberte Odstranit.

Odebrání cíle zastaví monitorování prostředku Azure SQL po restartování sledovacího programu, ale neodstraní skutečný prostředek.

Pokud odstraníte prostředek Azure SQL monitorovaný sledovacím procesem databáze, měli byste odebrat i odpovídající cíl. Vzhledem k tomu, že existuje omezení počtu cílů SQL, které může sledovací proces mít, může být zachování zastaralých cílů blokované v přidávání nových cílů.

Vytvoření spravovaného privátního koncového bodu

Spravované privátní koncové body musíte vytvořit, pokud chcete pro shromažďování dat z cílů SQL použít privátní připojení , pro příjem dat do úložiště dat a pro připojení k trezoru klíčů. Pokud nevytvoříte privátní koncové body, použije sledovací proces databáze výchozí nastavení pro použití veřejného připojení.

Vytvoření spravovaného privátního koncového bodu:

1. Pokud u prostředku, skupiny prostředků nebo předplatného prostředku, pro který vytváříte spravovaný privátní koncový bod, existuje zámek jen pro čtení, odeberte zámek. Zámek můžete znovu přidat po úspěšném vytvoření privátního koncového bodu.

2. Přejděte na sledovací proces databáze na webu Azure Portal, otevřete stránku Spravované privátní koncové body a vyberte Přidat.

3. Zadejte název privátního koncového bodu.

4. Vyberte předplatné prostředku Azure, pro které chcete vytvořit privátní koncový bod.

5. V závislosti na prostředku, pro který chcete vytvořit privátní koncový bod, vyberte typ prostředku a cílový dílčí prostředek následujícím způsobem:

   Prostředek	Typ prostředku	Target sub-resource
   Logický server	Microsoft.Sql/servers	sqlServer
   Spravovaná instance SQL	Microsoft.Sql/managedInstances	managedInstance
   Cluster Azure Data Exploreru	Microsoft.Kusto/clusters	cluster
   Trezor klíčů	Microsoft.KeyVault/vaults	vault

6. Vyberte prostředek, pro který chcete vytvořit privátní koncový bod. Může se jednat o logický server Azure SQL nebo spravovanou instanci SQL, cluster Azure Data Exploreru nebo trezor klíčů.

   • Vytvoření privátního koncového bodu pro logický server Azure SQL Database umožňuje privátní připojení sledovacího procesu databáze pro všechny cíle databáze a elastického fondu na daném serveru.

7. Volitelně můžete zadat popis privátního koncového bodu. To může vlastníkovi prostředku pomoct žádost schválit.

8. Vyberte Vytvořit. Vytvoření privátního koncového bodu může trvat jednu nebo dvě minuty. Privátní koncový bod se vytvoří, jakmile se stav zřizování změní ze stavu Přijato nebo Spuštěno na Úspěšné. Aktualizujte zobrazení, abyste viděli aktuální stav zřizování.

   Důležité

   Privátní koncový bod se vytvoří ve stavu Čeká na vyřízení . Aby ji sledovací proces databáze mohl použít k připojení k prostředku, musí ho schválit vlastník prostředku.

   Aby vlastníci prostředků mohli řídit síťové připojení, privátní koncové body sledovacího procesu databáze se neschválejí automaticky.

9. Vlastník prostředku musí schválit žádost o privátní koncový bod.

   • Vlastník prostředku by měl na webu Azure Portal vyhledat Private Link , aby otevřel Centrum private Linku. V části Čekající připojení vyhledejte privátní koncový bod, který jste vytvořili, potvrďte jeho popis a podrobnosti a vyberte Schválit.
   • Žádosti o privátní koncový bod můžete také schválit pomocí Azure CLI.

Pokud sledovací proces už běží, když je privátní koncový bod schválený, je potřeba ho restartovat, aby bylo možné začít používat privátní připojení.

Odstranění spravovaného privátního koncového bodu

1. Pokud je u prostředku, skupiny prostředků nebo předplatného prostředku, pro který odstraňujete spravovaný privátní koncový bod, zámek odstraňte. Zámek můžete znovu přidat po úspěšném odstranění privátního koncového bodu.
2. Na stránce webu Azure Portal pro sledovací proces databáze otevřete stránku Spravované privátní koncové body .
3. Vyberte privátní koncové body, které chcete odstranit.
4. Vyberte Odstranit.

Odstranění spravovaného privátního koncového bodu zastaví shromažďování dat z cílů SQL, které používají tento privátní koncový bod. Odstranění spravovaného privátního koncového bodu pro cluster Azure Data Explorer zastaví shromažďování dat pro všechny cíle. Pokud chcete obnovit shromažďování dat, znovu vytvořte privátní koncový bod nebo povolte veřejné připojení a restartujte sledovací proces.

Změna úložiště dat pro sledovací proces

Sledovací proces může mít pouze jedno úložiště dat.

Pokud chcete změnit aktuální úložiště dat, odeberte existující úložiště dat a přidejte nové úložiště dat.

• Pokud chcete odebrat aktuální úložiště dat, otevřete stránku Úložiště dat, vyberte úložiště dat v mřížce a vyberte Odstranit.

  • Odebrání úložiště dat neodstraní skutečnou databázi úložiště dat v clusteru Azure Data Exploreru ani v analýzách v reálném čase v Microsoft Fabric.
  • Pokud chcete zastavit shromažďování dat do odebraných úložiště dat, zastavte sledovací proces.
  • Pokud odeberete úložiště dat, musíte přidat nové úložiště dat, abyste mohli sledovací proces spustit znovu.

• Pokud chcete přidat úložiště dat, vyberte Přidat na stránce Úložiště dat a pak vyberte nebo vytvořte databázi v clusteru Azure Data Exploreru nebo v analýze v reálném čase.

  • Zvolená databáze musí být prázdná nebo musí být databáze, kterou jste dříve použili jako úložiště dat sledovacího nástroje databáze. Výběr databáze, která obsahuje žádné objekty, které nevytvořil sledovací proces databáze, není podporováno.
  • Jakmile přidáte úložiště dat, musíte sledovacímu nástroji udělit přístup, aby ho mohli používat. Další informace najdete v tématu Udělení přístupu k úložišti dat.
  • Nové úložiště dat se použije po restartování sledovacího programu.

Odstranění sledovacího prvku

Pokud ve sledovacím programu existuje zámek odstranění, jeho skupina prostředků nebo jeho předplatné, odeberte zámek. Zámek můžete znovu přidat po úspěšném odstranění sledovacího procesu.

Když sledovací proces odstraníte, odstraní se také jeho spravovaná identita přiřazená systémem. Tím se odebere veškerý přístup, který jste udělili této identitě. Pokud později sledovací proces znovu vytvoříte, musíte udělit přístup ke spravované identitě přiřazené systémem nového sledovacího nástroje, aby se ověřil pro každý prostředek. Sem patří:

• Cíle
• Úložiště dat
• A trezor klíčů (pokud se používá)

Musíte udělit přístup k znovu vytvořeným sledovacím procesům, i když použijete stejný název sledovacího programu.

Při odstranění sledovacího nástroje se prostředky Azure, na které odkazují, jako cíle a úložiště dat, neodstraní. Shromážděná data monitorování SQL se uchovávají v úložišti dat a pokud později vytvoříte nový sledovací proces, můžete použít stejnou databázi jako úložiště dat.

Udělení přístupu k cílům SQL

Pokud chcete sledovacímu modulu povolit shromažďování dat monitorování SQL, musíte spustit skript T-SQL, který udělí sledovacímu uživateli specifická omezená oprávnění SQL.

• Pokud chcete spustit skript ve službě Azure SQL Database, potřebujete přístup správce serveru k logickému serveru obsahujícímu databáze a elastické fondy, které chcete monitorovat.

  • Ve službě Azure SQL Database stačí spustit skript jenom jednou na logický server pro každý sledovací proces, který vytvoříte. Tím umožníte sledovacímu správci přístup ke všem existujícím a novým databázím a elastickým fondům na tomto serveru.

• Pokud chcete spustit skript ve službě Azure SQL Managed Instance, musíte být členem role serveru sysadmin nebo securityadmin mít CONTROL oprávnění serveru ke spravované instanci SQL.

  • Ve službě Azure SQL Managed Instance musíte skript spustit na každé instanci, kterou chcete monitorovat.

1. Přejděte na sledovací proces na webu Azure Portal, vyberte cíle SQL, vyberte jeden z odkazů Udělit přístup , otevřete skript T-SQL a zkopírujte skript. Nezapomeňte zvolit správný odkaz pro cílový typ a typ ověřování, který chcete použít.

   Důležité

   Ověřovací skript Microsoft Entra na webu Azure Portal je specifický pro sledovací proces, protože obsahuje název sledovacího procesu. Obecná verze tohoto skriptu, kterou můžete přizpůsobit pro každého sledovacího modulu, najdete v tématu Udělení přístupu k cílům SQL pomocí skriptů T-SQL.

2. V aplikaci SQL Server Management Studio, Azure Data Studio nebo jiném klientském nástroji SQL otevřete nové okno dotazu a připojte ho k master databázi na logickém serveru Azure SQL obsahujícím cíl nebo k master databázi v cíli spravované instance SQL.

3. Vložte a spusťte skript T-SQL pro udělení přístupu ke sledovacímu modulu. Skript vytvoří přihlášení, které bude sledovací proces používat pro připojení a uděluje konkrétní omezená oprávnění ke shromažďování dat monitorování.

   1. Pokud používáte ověřovací skript Microsoft Entra, sledovací proces musí být již vytvořen při spuštění skriptu. Kromě toho musíte být připojeni k ověřování Microsoft Entra.

Pokud později přidáte do sledovacího programu nové cíle, budete muset udělit přístup k těmto cílům podobným způsobem, pokud tyto cíle nejsou na logickém serveru, kde už byl udělen přístup.

Udělení přístupu k cílům SQL pomocí skriptů T-SQL

Existují různé skripty pro ověřování Microsoft Entra a ověřování SQL a pro cíle služby Azure SQL Database a Azure SQL Managed Instance.

Důležité

Vždy používejte poskytnuté skripty k udělení přístupu ke sledovacímu modulu databáze. Udělení přístupu jiným způsobem může blokovat shromažďování dat. Další informace najdete v tématu Autorizace Watcheru.

Před spuštěním skriptu nahraďte všechny instance zástupných symbolů, které mohou být ve skriptu, například login-name-placeholder, user-name-placeholdera password-placeholder skutečnými hodnotami.

Udělení přístupu k ověřeným sledovacím procesům Microsoft Entra

SQL Database

Tento skript vytvoří přihlašovací jméno ověřování Microsoft Entra (dříve označované jako Azure Active Directory) na logickém serveru ve službě Azure SQL Database. Přihlašovací jméno se vytvoří pro spravovanou identitu sledovacího prvku. Skript udělí sledovacímu správci potřebná a dostatečná oprávnění ke shromažďování dat monitorování ze všech databází a elastických fondů na logickém serveru.

Jako přihlašovací jméno musíte použít jméno sledovacího nástroje. Skript se musí spustit v master databázi na logickém serveru. Musíte být přihlášeni pomocí přihlašovacího jména Microsoft Entra, které je správcem serveru.

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [watcher-name-placeholder];

Spravovaná instance SQL

Tento skript vytvoří přihlašovací jméno ověřování Microsoft Entra (dříve označované jako Azure Active Directory) ve spravované instanci SQL. Přihlašovací jméno se vytvoří pro spravovanou identitu sledovacího prvku. Skript udělí sledovacímu procesi potřebná a dostatečná oprávnění ke shromažďování dat monitorování z instance.

Jako přihlašovací jméno musíte použít jméno sledovacího nástroje. Skript se musí spustit v master databázi ve spravované instanci. Musíte být přihlášeni pomocí přihlášení k ověřování Microsoft Entra, které je členem role serveru sysadmin nebo securityadmin má CONTROL oprávnění k serveru.

USE master;

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [watcher-name-placeholder];

USE msdb;

CREATE USER [watcher-name-placeholder] FOR LOGIN [watcher-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [watcher-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [watcher-name-placeholder];

Udělení přístupu k sledovacím procesům ověřeným SQL

Další kroky jsou vyžadovány při použití ověřování SQL, viz Další konfigurace pro použití ověřování SQL.

SQL Database

Tento skript vytvoří přihlašovací jméno ověřování SQL na logickém serveru ve službě Azure SQL Database. Udělí přihlášení potřebná a dostatečná oprávnění ke shromažďování dat monitorování ze všech databází a elastických fondů na daném logickém serveru.

Skript musí být spuštěn v master databázi na logickém serveru pomocí přihlášení, které je správcem logického serveru.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

Spravovaná instance SQL

Tento skript vytvoří přihlašovací jméno ověřování SQL ve spravované instanci SQL. Udělí přihlášení potřebná a dostatečná oprávnění ke shromažďování dat monitorování z instance.

Skript musí být spuštěn v master databázi v instanci pomocí přihlášení, které je členem sysadmin role serveru nebo securityadmin má CONTROL oprávnění k serveru.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Další konfigurace pro použití ověřování SQL

Pokud chcete bezpečně ukládat přihlašovací údaje pro ověřování, vyžaduje použití ověřování SQL ve sledovacím procesu databáze další konfiguraci.

Tip

Pro bezpečnější, jednodušší a méně náchylnou konfiguraci chyb doporučujeme povolit ověřování Microsoft Entra pro prostředky Azure SQL a místo ověřování SQL ho používat.

Pokud chcete nakonfigurovat sledovací proces databáze pro připojení k cíli pomocí ověřování SQL, postupujte takto:

1. Vytvořte trezor ve službě Azure Key Vault nebo identifikujte existující trezor, který můžete použít. Trezor musí používat model oprávnění RBAC. Model oprávnění RBAC je výchozím nastavením pro nové trezory. Pokud chcete použít existující trezor, ujistěte se, že není nakonfigurovaný tak, aby používal starší model zásad přístupu.

   Pokud chcete použít privátní připojení k trezoru, vytvořte privátní koncový bod na stránce Spravované privátní koncové body . Vyberte Microsoft.KeyVault/vaults jako typ prostředku a vault jako cílový dílčí prostředek. Před spuštěním sledovacího modulu se ujistěte, že je privátní koncový bod schválený.

   Pokud chcete použít veřejné připojení, musí mít trezor veřejný přístup ze všech sítí povolený. Omezení připojení veřejného trezoru ke konkrétním sítím se ve sledovacím procesu databáze nepodporuje.

2. Na každém logickém serveru Azure SQL nebo spravované instanci, kterou chcete monitorovat, vytvořte přihlášení pomocí ověřování SQL a udělte požadovaná oprávnění. Pro ověřování SQL použijte poskytnuté přístupové skripty a nahraďte zástupné symboly přihlašovacího jména, uživatelského jména a hesla skutečnými hodnotami. Použijte silné heslo.

3. V trezoru vytvořte dva tajné kódy: tajný klíč pro přihlašovací jméno a samostatný tajný klíč pro heslo. Jako název tajného kódu použijte libovolný platný název a jako hodnotu tajného kódu zadejte přihlašovací jméno nebo heslo, které jste použili ve skriptu T-SQL.

   Například názvy těchto dvou tajných kódů mohou být database-watcher-login-name a database-watcher-password. Tajné hodnoty by byly přihlašovací jméno a silné heslo.

   Abyste mohli vytvářet tajné kódy, musíte být členem role RBAC pro tajné kódy služby Key Vault.

4. Na stránce Řízení přístupu (IAM) každého tajného kódu přidejte přiřazení role pro spravovanou identitu sledovacího procesu v roli RBAC pro tajné kódy služby Key Vault. Pokud chcete postupovat podle principu nejnižších oprávnění, přidejte toto přiřazení role pro každý tajný klíč, nikoli pro celý trezor. Stránka Řízení přístupu (IAM) se zobrazí jenom v případě, že je trezor nakonfigurovaný tak, aby používal model oprávnění RBAC .

5. Přidejte cíl SQL do sledovacího nástroje. Při přidávání cíle zaškrtněte políčko Použít ověřování SQL a vyberte trezor, ve kterém jsou uložené přihlašovací jméno a tajné kódy hesel. Zadejte názvy tajných kódů pro přihlašovací jméno a heslo.

   Při přidávání cíle SQL nezadávejte skutečné přihlašovací jméno a heslo. V předchozím příkladu byste zadali názvy tajných kódů a database-watcher-password tajných database-watcher-login-name kódů.

Pokud chcete pro různé cíle SQL použít různá přihlášení, můžete použít stejný trezor k uložení všech tajných kódů.

Poznámka:

Pokud aktualizujete hodnotu tajného kódu pro přihlašovací jméno nebo heslo v trezoru klíčů v době, kdy je sledovací proces spuštěný, sledovací proces se během 15 minut znovu připojí k cílům pomocí nových přihlašovacích údajů pro ověřování SQL. Pokud chcete začít používat nové přihlašovací údaje hned, zastavte a restartujte sledovací proces.

Udělení přístupu k úložišti dat

K vytváření a správě schématu databáze v průběhu času a k příjmu dat monitorování vyžaduje sledovací proces databáze členství v roli RBAC Správa s v databázi úložiště dat. Sledovací proces databáze nevyžaduje žádný přístup na úrovni clusteru ke clusteru Azure Data Exploreru ani žádný přístup k jiným databázím, které mohou existovat ve stejném clusteru.

Pokud vytvoříte nový cluster a databázi Azure Data Exploreru nebo vyberete databázi v existujícím clusteru při vytváření sledovacího procesu, tento přístup se udělí automaticky, pokud je uživatel, který vytváří sledovací proces, členem role RBAC vlastníka clusteru.

Pokud změníte úložiště dat pro existující sledovací proces nebo pokud používáte databázi v analýze v reálném čase nebo v bezplatném clusteru Azure Data Exploreru, musíte udělit přístup, jak je popsáno v této části.

Udělení přístupu k databázi Azure Data Exploreru pomocí webu Azure Portal

Pomocí webu Azure Portal můžete udělit přístup k databázi v clusteru Azure Data Exploreru:

1. V případě databáze v clusteru Azure Data Exploreru v nabídce prostředků v části Zabezpečení a sítě vyberte Oprávnění. Nepoužívejte stránku Oprávnění clusteru.
2. Vyberte Přidat a vyberte Správa.
3. Na stránce Nové objekty zabezpečení vyberte Podnikové aplikace a do vyhledávacího pole zadejte název sledovacího procesu.
4. Vyberte podnikovou aplikaci se stejným názvem jako sledovací proces.

Udělení přístupu k databázi Azure Data Exploreru pomocí KQL

Místo použití webu Azure Portal můžete také udělit přístup k databázi pomocí příkazu KQL.

1. Připojení do databáze v clusteru Azure Data Exploreru pomocí Průzkumník Kusto nebo webové uživatelské rozhraní Azure Data Exploreru Pomocí této metody můžete udělit přístup k databázi v analýzách v reálném čase nebo v bezplatném clusteru Azure Data Exploreru.

2. V následujícím ukázkovém příkazu KQL nahraďte tři zástupné symboly:

   .add database [adx-database-name-placeholder] admins ('aadapp=watcher-object-id-placeholder;tenant-primary-domain-placeholder');
   

   Zástupný symbol	Náhrada
   adx-database-name-placeholder	Název databáze v clusteru Azure Data Exploreru nebo v analýze v reálném čase.
   watcher-object-id-placeholder	Hodnota ID objektu (objektu zabezpečení) (GUID), která se nachází na stránce Identita sledovacího procesu.
   tenant-primary-domain-placeholder	Název domény tenanta Microsoft Entra ID sledovacího nástroje. Najděte to na stránce Přehled ID Microsoft Entra na webu Azure Portal. Místo primární domény tenanta je možné použít také hodnotu GUID ID tenanta. Tuto část příkazu (a předchozí středník) můžete vynechat, pokud sledovací proces a cluster Azure Data Exploreru jsou ve stejném tenantovi Microsoft Entra ID.

   Příklad:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Další informace najdete v tématu Řízení přístupu na základě role Kusto.

Udělení přístupu uživatelům a skupinám k úložišti dat

Pomocí webu Azure Portal nebo příkazu KQL můžete uživatelům a skupinám udělit přístup k databázi v clusteru Azure Data Exploreru nebo v analýze v reálném čase. Pokud chcete udělit přístup, musíte být členem role Správa RBAC v databázi.

Pomocí příkazu KQL udělte přístup k databázi v bezplatném clusteru Azure Data Exploreru nebo v analýzách v reálném čase. Pokud chcete postupovat podle principu nejnižších oprávnění, doporučujeme nepřidávejte uživatele a skupiny do žádné jiné role RBAC než Viewer.

Důležité

Pečlivě zvažte požadavky na ochranu osobních údajů a zabezpečení dat při udělování přístupu k zobrazení dat monitorování SQL shromážděných sledovacím procesem databáze.

I když sledovací proces databáze nemá možnost shromažďovat žádná data uložená v uživatelských tabulkách v databázích SQL, některé datové sady, jako jsou aktivní relace, metadata indexu, chybějící indexy, statistika modulu runtime dotazu, statistika čekání na dotazy, statistika čekání na relace a metadata tabulek můžou obsahovat potenciálně citlivá data, jako jsou názvy tabulek a indexů, text dotazu, hodnoty parametrů dotazu, přihlašovací jména atd.

Udělením přístupu k úložišti dat uživateli, který nemá přístup k zobrazení těchto dat v databázi SQL, můžete jim umožnit zobrazit citlivá data, která by jinak neviděl.

Udělení přístupu k úložišti dat pomocí webu Azure Portal

Pomocí webu Azure Portal můžete uživatelům a skupinám udělit přístup k databázi v clusteru Azure Data Exploreru:

1. V případě databáze v clusteru Azure Data Exploreru v nabídce prostředků v části Zabezpečení a sítě vyberte Oprávnění. Nepoužívejte stránku Oprávnění clusteru.
2. Vyberte Přidat a vyberte Čtenáři.
3. Na stránce Nové objekty zabezpečení zadejte do vyhledávacího pole jméno uživatele nebo skupiny.
4. Vyberte uživatele nebo skupinu.

Udělení přístupu k úložišti dat pomocí KQL

Místo webu Azure Portal můžete uživatelům a skupinám udělit přístup k databázi také pomocí příkazu KQL. Následující příklad příkazů KQL uděluje uživateli přístup ke mary@contoso.com čtení dat a SQLMonitoringUsers@contoso.com skupině v tenantovi Microsoft Entra ID s konkrétní hodnotou ID tenanta:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Další informace najdete v tématu Řízení přístupu na základě role Kusto.

Pokud chcete udělit přístup k úložišti dat uživatelům a skupinám z jiného tenanta, musíte povolit ověřování mezi tenanty v clusteru Azure Data Exploreru. Další informace najdete v tématu Povolení dotazů a příkazů mezi tenanty.

Tip

Ověřování mezi tenanty je povolené v analýzách v reálném čase a v bezplatných clusterech Azure Data Exploreru. To vám umožní udělit přístup uživatelům a skupinám v tenantovi Microsoft Entra ID k zobrazení dat v těchto databázích.

Správa úložiště dat

Tato část popisuje, jak můžete spravovat úložiště dat monitorování, včetně škálování, uchovávání dat a další konfigurace. Aspekty škálování clusteru v této části jsou relevantní, pokud používáte databázi v clusteru Azure Data Exploreru. Pokud používáte databázi v analýzách v reálném čase v prostředcích infrastruktury, škálování se spravuje automaticky.

Škálování clusteru Azure Data Exploreru

Cluster Azure Data Exploreru můžete podle potřeby škálovat. Pokud například není vyžadována smlouva o úrovni služeb (SLA), můžete vertikálně snížit kapacitu clusteru na extra malou skladovou položku pro vývoj/testování , a pokud výkon dotazů a dat zůstává přijatelný.

U mnoha nasazení sledovacích procesů databáze bude výchozí skladová položka clusteru s 2 instancemi optimalizovaná pro extra malé výpočetní prostředky dostatečná na neomezenou dobu. V některých případech může být v závislosti na konfiguraci a změnách úloh v průběhu času potřeba škálovat cluster, abyste zajistili odpovídající výkon dotazů a zachovali nízkou latenci příjmu dat.

Azure Data Explorer podporuje vertikální a horizontální škálování clusteru. Při vertikálním škálování změníte skladovou položku clusteru, která změní počet virtuálních procesorů, paměti a mezipaměti na instanci (uzel). S horizontálním škálováním zůstává skladová položka stejná, ale počet instancí v clusteru se zvýší nebo sníží.

Pokud si všimnete jednoho nebo více z následujících příznaků, potřebujete vertikálně navýšit nebo vertikálně navýšit kapacitu clusteru:

• Výkon dotazů řídicího panelu nebo ad hoc se stává příliš pomalým.
• V clusteru spouštíte řadu souběžných dotazů a sledujete chyby omezování.
• Latence příjmu dat je konzistentně vyšší, než je přijatelná.

Obecně platí, že cluster nemusíte škálovat, protože množství dat v úložišti dat se v průběhu času zvyšuje. Důvodem je to, že dotazy na řídicí panely a nejčastější analytické dotazy používají pouze nejnovější data, která jsou uložená v místním úložišti SSD na uzlech clusteru.

Pokud ale spustíte analytické dotazy, které pokrývají delší časové rozsahy, můžou být v průběhu času pomalejší, protože se zvyšuje celkové množství shromážděných dat a už se nevejde do místního úložiště SSD. Škálování clusteru může být potřeba k zajištění odpovídajícího výkonu dotazů v takovém případě.

• Pokud potřebujete škálovat cluster, doporučujeme ho horizontálně škálovat, abyste zvýšili počet instancí. Cluster tak bude během procesu škálování dostupný pro dotazy a příjem dat.

  • Optimalizované automatické škálování můžete povolit, aby se automaticky snížil nebo zvýšil počet instancí v reakci na změny úloh nebo sezónní trendy.

• Možná zjistíte, že i po horizontálním navýšení kapacity clusteru některé dotazy nefungují podle očekávání. K tomu může dojít v případě, že výkon dotazů souvisí s prostředky dostupnými v instanci (uzlu) clusteru. V takovém případě vertikálně navyšte kapacitu clusteru.

  • Vertikální škálování clusteru trvá několik minut. Během tohoto procesu dochází k výpadkům, které můžou přerušit shromažďování dat. Pokud k tomu dojde, po dokončení operace škálování zastavte a restartujte sledovací proces.

Nemůžete škálovat bezplatný cluster Azure Data Exploreru. Pokud zjistíte, že specifikace bezplatného clusteru nejsou pro vaše požadavky dostatečné, upgradujte na úplný cluster Azure Data Exploreru. Proces upgradu uchovává všechna shromážděná data. Vzhledem k tomu, že během upgradu může dojít k výpadku, možná budete muset sledovací proces zastavit a restartovat, abyste po dokončení upgradu obnovili shromažďování dat.

Správa uchovávání dat

Pokud nepotřebujete starší data, můžete nakonfigurovat zásady uchovávání dat tak, aby je automaticky vyprazdňovaly. Ve výchozím nastavení je uchovávání dat nastavené na 365 dnů v nové databázi v clusteru Azure Data Explorer nebo v analýzách v reálném čase.

• Dobu uchovávání dat můžete snížit na úrovni databáze nebo pro jednotlivé tabulky v databázi.
• Uchovávání můžete zvýšit také v případě, že potřebujete ukládat data monitorování po dobu více než jednoho roku. Doba uchovávání dat není nijak omezena.
• Pokud nakonfigurujete různá období uchovávání dat pro různé tabulky, řídicí panely nemusí fungovat podle očekávání pro starší časové rozsahy . K tomu může dojít v případě, že data v některých tabulkách stále existují, ale už jsou v jiných tabulkách vyprázdněna po dobu stejného časového intervalu.

Schéma a přístup ke změnám v úložišti dat sledovacího modulu databáze

Microsoft může v průběhu času zavést nové datové sady sledovacích procesů databáze nebo rozšířit stávající datové sady. To znamená, že nové tabulky v úložišti dat nebo nové sloupce v existujících tabulkách se můžou přidávat automaticky.

K tomu musí být spravovaná identita sledovacího procesu databáze členem role RBAC Správa s v úložišti dat. Odvolání tohoto členství role nebo jeho nahrazení členstvím v jakékoli jiné roli RBAC může mít vliv na shromažďování dat sledovacího procesu databáze a správu schématu a nepodporuje se.

Podobně se nepodporuje vytváření nových objektů, jako jsou tabulky, externí tabulky, materializovaná zobrazení, funkce atd. v úložišti dat sledovacího nástroje databáze. Dotazy mezi clustery a křížovými databázemi můžete použít k dotazování dat v úložišti dat z jiných clusterů Azure Data Exploreru nebo z jiných databází ve stejném clusteru.

Důležité

Pokud změníte přístup sledovacího modulu databáze ke svému úložišti dat nebo provedete jakékoli změny schématu nebo konfigurace databáze, které mají vliv na příjem dat, budete možná muset změnit úložiště dat pro tuto sledovací službu na novou prázdnou databázi a udělit sledovacímu nástroji přístup k této nové databázi, aby bylo možné obnovit shromažďování dat a vrátit se k podporované konfiguraci.

Zastavené clustery Azure Data Exploreru

Cluster Azure Data Exploreru je možné zastavit, například ušetřit náklady. Ve výchozím nastavení se cluster Azure Data Exploreru vytvořený na webu Azure Portal automaticky zastaví po několika dnech nečinnosti. K tomu může dojít například v případě, že sledovací proces zastavíte příjem dat do jediné databáze v clusteru a nespustíte v této databázi žádné dotazy.

Pokud při vytváření nového sledovacího nástroje použijete výchozí možnost k vytvoření nového clusteru Azure Data Exploreru, chování automatického zastavení je zakázané, aby se povolilo nepřerušované shromažďování dat.

Pokud je cluster zastavený, shromažďování dat sledovacího nástroje databáze se zastaví a data monitorování se na řídicích panelech nezobrazí. Pokud chcete obnovit shromažďování dat a zpřístupnit data prostřednictvím řídicích panelů, musíte cluster obnovit ručně. Po spuštění clusteru restartujte sledovací proces.

Chování automatického zastavení můžete zakázat, pokud chcete, aby cluster zůstal dostupný i v případě, že je neaktivní. To může zvýšit náklady na cluster.

Ingestování streamování

Sledovací proces databáze vyžaduje, aby cluster Azure Data Exploreru obsahující databázi úložiště dat byl povolený pro příjem dat streamování. Příjem dat streamování se automaticky povolí pro nový cluster Azure Data Exploreru vytvořený při vytváření nového sledovacího nástroje. Je také povolený v analýzách v reálném čase a v bezplatném clusteru Azure Data Exploreru.

Pokud chcete použít existující cluster Azure Data Exploreru, nezapomeňte nejprve povolit příjem dat streamování. To trvá několik minut a vyžaduje restartování clusteru.

Monitorování rozsáhlých aktiv

Pokud chcete monitorovat velké prostředky Azure SQL, budete možná muset vytvořit několik sledovacích procesů.

Každý sledovací proces vyžaduje databázi v clusteru Azure Data Exploreru nebo v analýzách v reálném čase jako úložiště dat. Správci, které vytvoříte, můžou jako společné úložiště dat použít jednu databázi nebo samostatné databáze jako samostatná úložiště dat. Následující aspekty vám můžou pomoct zajistit optimální volbu návrhu pro scénáře monitorování a požadavky.

Důležité informace o společném úložišti dat:

• K dispozici je jednoookenové zobrazení celého majetku Azure SQL.
• Uživatelé s přístupem k úložišti dat ale mají přístup ke všem datům monitorování.

Důležité informace o samostatných úložištích dat:

• Podmnožina vašich aktiv Azure SQL se monitoruje nezávisle. Řídicí panely aktiv na webu Azure Portal zobrazují data z jednoho úložiště dat. Uživatelé s přístupem k více úložištům dat můžou pomocí dotazů KQL napříč clustery nebo napříč databázemi přistupovat k datům monitorování ve více úložištích dat pomocí jednoho dotazu.
• Vzhledem k tomu, že přístup k datům v Azure Data Exploreru a v analýzách v reálném čase se spravuje pro každou databázi, můžete spravovat přístup k datům monitorování pro podmnožinu vašich aktiv podrobným způsobem.
• Do stejného clusteru Azure Data Exploreru můžete umístit více databází, abyste mohli sdílet prostředky clusteru a ušetřit náklady a přitom zachovat data izolovaná v každé databázi.
• Pokud potřebujete úplné oddělení prostředí, včetně síťového přístupu ke clusterům Azure Data Exploreru, můžete umístit různé databáze do různých clusterů.

Související obsah

• Rychlý start: Vytvoření sledovacího procesu databáze pro monitorování Azure SQL (Preview)
• Monitorování úloh Azure SQL pomocí sledovacího procesu databáze (Preview)
• Shromažďování dat a datové sady sledovacích procesů databáze (Preview)
• Analýza dat monitorování sledovacího procesu databáze (Preview)
• Nejčastější dotazy ke sledovacím procesům databáze