Monitorování delegovaných prostředků ve velkém měřítku

  • Článek
  • 3 min ke čtení

Jako poskytovatel služeb jste možná nasedli do několika tenantů zákazníků, aby Azure Lighthouse. Azure Lighthouse umožňuje poskytovatelům služeb provádět operace ve velkém měřítku napříč několika tenanty najednou, takže úlohy správy jsou efektivnější.

Toto téma ukazuje, jak používat protokoly Azure Monitor škálovatelným způsobem napříč tenanty zákazníků, které spravujete. I když se v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, tyto pokyny platí také pro podniky, které Azure Lighthouse ke správě více tenantů.

Poznámka

Ujistěte se, že uživatelům ve vašich tenantech pro správu byly uděleny role potřebné ke správě pracovních prostorů služby Log Analytics v delegovaných zákaznických předplatných.

Vytváření pracovních prostorů log Analytics

Abyste mohli shromažďovat data, budete muset vytvořit pracovní prostory služby Log Analytics. Tyto pracovní prostory log Analytics jsou jedinečná prostředí pro data shromážděná Azure Monitor. Každý pracovní prostor má vlastní úložiště dat a konfiguraci a zdroje dat a řešení jsou nakonfigurované tak, aby ukládal data do konkrétního pracovního prostoru.

Doporučujeme vytvářet tyto pracovní prostory přímo v tenantech zákazníků. Tímto způsobem jejich data zůstanou ve svých tenantech a neexportují se do vašich tenantů. Vytváření pracovních prostorů v tenantech zákazníků umožňuje centralizované monitorování všech prostředků nebo služeb podporovaných službou Log Analytics, což vám dává větší flexibilitu při sledování typů dat. Aby bylo možné shromažďovat informace z nastavení diagnostiky, jsou potřeba pracovní prostory vytvořené v tenantech zákazníků.

Tip

Každý účet Automation použitý pro přístup k datům z pracovního prostoru služby Log Analytics musí být vytvořený ve stejném tenantovi jako pracovní prostor.

Pracovní prostor služby Log Analytics můžete vytvořit pomocí Azure Portal, Azure CLInebo pomocí Azure PowerShell.

Důležité

Pokud jsou všechny pracovní prostory vytvořené v tenantech zákazníků, Microsoft. Přehledy poskytovatelé prostředků musí být také zaregistrovaní v předplatném ve správě tenanta. Pokud váš tenant pro správu nemá stávající předplatné Azure, můžete poskytovatele prostředků zaregistrovat ručně pomocí následujících příkazů PowerShellu:

$ManagingTenantId = "your-managing-Azure-AD-tenant-id"

# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId

# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d

Nasazení zásad, které protokolu mohou protokolovat data

Po vytvoření pracovních prostorů služby Log Analytics můžete nasadit Azure Policy mezi hierarchie zákazníků, aby se diagnostická data odesílala do příslušného pracovního prostoru v každém tenantovi. Přesné zásady, které nasadíte, se můžou lišit v závislosti na typech prostředků, které chcete monitorovat.

Další informace o vytváření zásad najdete v tématu Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů. Tento komunitní nástroj poskytuje skript, který vám pomůže vytvořit zásady pro monitorování konkrétních typů prostředků, které zvolíte.

Až určíte, které zásady se mají nasadit, můžete je nasadit do delegovaných předplatných ve velkém měřítku.

Analýza shromážděných dat

Po nasazení zásad se data budou protokolovat v pracovních prostorech služby Log Analytics, které jste vytvořili v jednotlivých tenantech zákazníků. Pokud chcete získat přehledy napříč všemi spravovanými zákazníky, můžete pomocí nástrojů, jako je Azure Monitor Workbooks, shromažďovat a analyzovat informace z více zdrojů dat.

Dotazování na data napříč pracovními prostory zákazníků

Vytvořením sjednoceného sjednoceného připojení, které obsahuje více pracovních prostorů, můžete spouštět dotazy na protokol, které načítá data mezi pracovními prostory služby Log Analytics v různých tenantech zákazníků. Zahrnutím sloupce TenantID můžete zjistit, které výsledky patří do kterých tenantů.

Následující příklad dotazu vytvoří sjednocené připojení tabulky AzureDiagnostics mezi pracovními prostory ve dvou samostatných tenantech zákazníků. Ve výsledcích se zobrazí sloupce Category( Kategorie), ResourceGroup (Skupina Prostředků) a TenantID (ID tenanta).

union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId

Další příklady dotazů napříč několika pracovními prostory služby Log Analytics najdete v tématu Dotazovánínapříč prostředky pomocí Azure Monitor .

Důležité

Pokud používáte účet Automation, který se používá k dotazování na data z pracovního prostoru služby Log Analytics, musí být tento účet Automation vytvořený ve stejném tenantovi jako pracovní prostor.

Zobrazení upozornění napříč zákazníky

Výstrahy pro delegovaná předplatná můžete zobrazit v tenantech zákazníků, které spravujete.

Ve svém tenantovi pro správu můžete vytvářet, prohlížet a spravovat upozornění protokolu aktivit v Azure Portal nebo prostřednictvím rozhraní API a nástrojů pro správu.

Pokud chcete upozornění aktualizovat automaticky napříč více zákazníky, použijte dotaz Azure Resource Graph k filtrování upozornění. Dotaz můžete připnout na řídicí panel a vybrat všechny příslušné zákazníky a předplatná. Například následující dotaz zobrazí výstrahy závažnosti 0 a 1 a bude se každých 60 minut obnovovat.

alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)

Další kroky