Uso de cuentas de almacenamiento administradas por el cliente en registros de Azure Monitor

  • Artículo

Los registros de Azure Monitor se basan en Azure Storage en varios escenarios. Azure Monitor normalmente administra este tipo de almacenamiento automáticamente, pero algunos casos requieren que proporcione y administre su propia cuenta de almacenamiento, también conocida como cuenta de almacenamiento administrada por el cliente. En este artículo se describen los casos de uso y los requisitos para configurar el almacenamiento administrado por el cliente para los registros de Azure Monitor y se explica cómo vincular una cuenta de almacenamiento a un área de trabajo de Log Analytics.

Nota

Se recomienda no depender del contenido que los registros de Azure Monitor cargan en el almacenamiento administrado por el cliente, dado que el formato y el contenido pueden cambiar.

Las cuentas de almacenamiento administradas por el cliente se utilizan para ingerir registros personalizados cuando se usan vínculos privados a fin de conectarse a recursos de Azure Monitor. En primer lugar, el proceso de ingesta de estos tipos de datos carga los registros en una cuenta de Azure Storage intermediaria y, a continuación, se ingieren en un área de trabajo.

Requisitos del área de trabajo

Al conectarse a Azure Monitor mediante un vínculo privado, el agente de Azure Monitor solo puede enviar registros a las áreas de trabajo accesibles mediante un vínculo privado. Este requisito significa que debe:

  • Configurar un objeto de ámbito de Private Link de Azure Monitor (AMPLS).
  • Conectarlo a las áreas de trabajo.
  • Conectar el AMPLS a la red a través de un vínculo privado

Para más información sobre el procedimiento para la configuración de AMPLS, consulte Uso de Azure Private Link para conectar redes a Azure Monitor de forma segura.

Requisitos de la cuenta de almacenamiento

Para que la cuenta de almacenamiento se conecte a su vínculo privado, debe:

  • Encontrarse en la red virtual o en una red emparejada y conectada a la red virtual mediante un vínculo privado.

  • Encontrarse en la misma región que el área de trabajo a la que está vinculada.

  • Permitir que Azure Monitor tenga acceso a la cuenta de almacenamiento. Para permitir que solo redes específicas tengan acceso a la cuenta de almacenamiento, seleccione la excepción: Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento.

    Captura de pantalla en la que se muestran los servicios de Microsoft de confianza de la cuenta de almacenamiento.

Si el área de trabajo controla el tráfico de otras redes, configure la cuenta de almacenamiento para permitir el tráfico entrante procedente de las redes pertinentes o de Internet.

Coordine la versión de TLS entre los agentes y la cuenta de almacenamiento. Se recomienda enviar datos a registros de Azure Monitor usando TLS 1.2 o una versión superior. Revise la guía específica para la plataforma. Si es necesario, configure los agentes para que usen TLS. Si esto no fuera posible, configure la cuenta de almacenamiento para que acepte TLS 1.0.

Cifrado de datos de clave administrada por el cliente

Azure Storage cifra todos los datos en reposo de una cuenta de almacenamiento. De manera predeterminada, usa claves administradas por Microsoft (MMK) para cifrar los datos. Sin embargo, Azure Storage también le permite usar una clave administrada por el cliente (CMK) de Azure Key Vault para cifrar los datos de almacenamiento. Para generar las claves, puede importar las suyas propias a Azure Key Vault o bien puede usar las API de Key Vault.

Escenarios de CMK que requieren una cuenta de almacenamiento administrada por el cliente

Se requiere una cuenta de almacenamiento administrada por el cliente para lo siguiente:

  • Cifrar consultas de alertas de registro con CMK
  • Cifrar consultas guardadas con CMK

Aplicación de CMK a cuentas de almacenamiento administradas por el cliente

Siga estas instrucciones para aplicar CMK a cuentas de almacenamiento administradas por el cliente.

Requisitos de la cuenta de almacenamiento

La cuenta de almacenamiento y el almacén de claves deben estar en la misma región, pero también pueden estar en distintas suscripciones. Para más información sobre cifrado de Azure Storage y la administración de claves, consulte Cifrado de Azure Storage para datos en reposo.

Aplicación de CMK a las cuentas de almacenamiento

Para configurar la cuenta de Azure Storage a fin de usar CMK con Key Vault, use Azure Portal, PowerShell o la CLI de Azure.

Nota:

  • Al vincular la cuenta de almacenamiento para la consulta, las consultas guardadas existentes en el área de trabajo se eliminan permanentemente para la privacidad. Puede copiar consultas guardadas existentes antes del vínculo de almacenamiento mediante PowerShell.
  • Las consultas guardadas en el paquete de consultas no se cifran con la clave administrada por el cliente. Seleccione Guardar como consulta heredada al guardar consultas en su lugar, para protegerlas con clave administrada por el cliente.
  • Las consultas guardadas se almacenan en Table Storage y se cifran con clave administrada por el cliente cuando el cifrado se configura en la creación de la cuenta de almacenamiento.
  • Las alertas de búsqueda de registros se guardan en Blob Storage, donde la configuración del cifrado de claves administradas por el cliente puede estar en la creación de la cuenta de almacenamiento o posterior.
  • Puede usar una sola cuenta de almacenamiento para todos los propósitos, consultar, alertar, registros personalizados e registros de IIS. La vinculación del almacenamiento para registros personalizados e registros de IIS puede requerir más cuentas de almacenamiento para el escalado, en función de la tasa de ingesta y los límites de almacenamiento. Puede vincular hasta cinco cuentas de almacenamiento a un área de trabajo.

Uso de Azure Portal

En Azure Portal, abra el menú del área de trabajo y seleccione Cuentas de almacenamiento vinculadas. En un panel se muestran las cuentas de almacenamiento que han vinculado los casos de uso mencionados anteriormente (ingesta sobre Private Link, aplicación de CMK a consultas guardadas o alertas).

Captura de pantalla en la que se muestra el panel Cuentas de almacenamiento vinculadas.

Al seleccionar un elemento de la tabla se abren los detalles de su cuenta de almacenamiento, donde puede establecer o actualizar la cuenta de almacenamiento vinculada para este tipo.

Captura de pantalla en la que se muestra el panel Vincular cuenta de almacenamiento. Puede usar la misma cuenta para los distintos casos de uso si lo prefiere.

Uso de la CLI de Azure o la API REST

También puede vincular una cuenta de almacenamiento a su área de trabajo a través de la CLI de Azure o la API REST.

Los valores aplicables de dataSourceType son los siguientes:

  • CustomLogs: a fin de usar la cuenta de almacenamiento para los registros personalizados y la ingesta de registros de IIS
  • Query: para usar la cuenta de almacenamiento a fin de almacenar las consultas guardadas (necesario para el cifrado de CMK)
  • Alerts: para usar la cuenta de almacenamiento a fin de almacenar las alertas basadas en registros (necesario para el cifrado de CMK)

Administración de cuentas de almacenamiento vinculadas

Siga estas instrucciones para administrar las cuentas de almacenamiento vinculadas.

Una vez que vincule una cuenta de almacenamiento a un área de trabajo, los registros de Azure Monitor comienzan a usarla en lugar de la cuenta de almacenamiento propiedad del servicio. Puede:

  • Registrar varias cuentas de almacenamiento para distribuir la carga de registros entre ellas
  • Reutilizar la misma cuenta de almacenamiento para varias áreas de trabajo

Para dejar de usar una cuenta de almacenamiento, desvincule el almacenamiento del área de trabajo. Al desvincular todas las cuentas de almacenamiento de un área de trabajo, los registros de Azure Monitor usan cuentas de almacenamiento administradas por el servicio. Si la red tiene acceso limitado a Internet, es posible que estos almacenamientos no estén disponibles y que se produzca un error en cualquier escenario que se base en el almacenamiento.

Reemplazo de una cuenta de almacenamiento

Para reemplazar una cuenta de almacenamiento usada para la ingesta, realice lo siguiente:

  1. Cree un vínculo a una nueva cuenta de almacenamiento. Los agentes de registro obtendrán la configuración actualizada y comenzarán a enviar datos también al almacenamiento nuevo. El proceso puede tardar unos minutos.
  2. Desvincule la cuenta de almacenamiento anterior para que los agentes dejen de escribir en la cuenta quitada. El proceso de ingesta sigue leyendo los datos de esta cuenta hasta que se realice la ingesta de todos ellos. No elimine la cuenta de almacenamiento hasta que vea que se han ingerido todos los registros.

Mantenimiento de las cuentas de almacenamiento

Siga estas instrucciones para mantener las cuentas de almacenamiento.

Administración de la retención de registros

Cuando use su propia cuenta de almacenamiento, será el responsable de la retención. Los registros de Azure Monitor no eliminan los registros almacenados en el almacenamiento privado. En su lugar, debe configurar una directiva para controlar la carga según sus preferencias.

Consideración de la carga

Las cuentas de almacenamiento pueden controlar cierta carga de solicitudes de lectura y escritura antes de iniciar las solicitudes de limitación. Para obtener más información, vea Objetivos de escalabilidad y rendimiento de Azure Blob Storage.

La limitación afecta al tiempo que se tarda en ingerir registros. Si la cuenta de almacenamiento está sobrecargada, registre otra cuenta de almacenamiento para distribuir la carga entre ellas. Para supervisar la capacidad y el rendimiento de la cuenta de almacenamiento, revise su Información en Azure Portal.

Se le cobra por las cuentas de almacenamiento en función del volumen de datos almacenados, el tipo de almacenamiento y el tipo de redundancia. Para obtener más información, vea Precios de blobs en bloques y Precios de Azure Table Storage.

Pasos siguientes