Paramètres de diagnostic dans Azure Monitor
Cet article fournit des informations sur la création et la configuration de paramètres de diagnostic dans le but d’envoyer des métriques de plateforme, des journaux de ressources et des journaux d’activités Azure vers différentes destinations.
Chaque ressource Azure requiert son propre paramètre de diagnostic, qui définit les critères suivants :
- Sources : le type de données de métrique et de journal à envoyer aux destinations définies dans le paramètre. Les types disponibles varient selon le type de ressource.
- Destinations : une ou plusieurs destinations d’envoi.
Un seul paramètre de diagnostic ne peut pas définir plus d’une destination. Si vous souhaitez envoyer des données à plus d’un type de destination (par exemple, deux espaces de travail Log Analytics), créez plusieurs paramètres. Chaque ressource peut avoir jusqu’à cinq paramètres de diagnostic.
Avertissement
Si vous devez supprimer une ressource, renommer ou déplacer une ressource, ou la migrer parmi des groupes de ressources ou des abonnements, supprimez d’abord ses paramètres de diagnostic. Sinon, si vous recréez cette ressource, les paramètres de diagnostic de la ressource supprimée peuvent être inclus avec la nouvelle ressource, en fonction de la configuration de la ressource pour chaque ressource. Si les paramètres de diagnostic sont inclus avec la nouvelle ressource, cela reprend la collecte des journaux de ressources tel que défini dans le paramètre de diagnostic et envoie les données de métrique et de journal applicables à la destination configurée précédemment.
En outre, il est recommandé de supprimer les paramètres de diagnostic d’une ressource que vous allez supprimer et de ne pas planifier d’utiliser à nouveau pour garder votre environnement propre.
La vidéo suivante vous guide dans le routage des journaux de ressources et de plateforme avec les paramètres de diagnostic. Cette vidéo a été réalisée plus tôt. Soyez conscient des modifications suivantes :
- Il y a maintenant quatre destinations. Vous pouvez envoyer les métriques et les journaux de la plateforme à certains partenaires Azure Monitor.
- Une nouvelle fonctionnalité appelée groupes de catégories a été introduite en novembre 2021.
Cet article inclut des informations sur ces nouvelles fonctionnalités.
Sources
Trois sources d’informations de diagnostic existent :
- Les métriques de plateforme sont envoyées automatiquement à Azure Monitor Metrics par défaut et sans configuration.
- Journaux de plateforme - fournissent des informations de diagnostic et d’audit détaillées pour les ressources Azure et la plateforme Azure dont elles dépendent.
- Les journaux de ressources ne sont pas collectés tant qu’ils ne sont pas routés vers une destination.
- Le journal d’activité fournit des informations sur les ressources provenant de l’extérieur de la ressource, comme le moment de création ou de suppression de la ressource. Les entrées existent en tant que telles, mais peuvent être acheminées vers d’autres emplacements.
Métriques
Le paramètre AllMetrics achemine les métriques de plateforme d’une ressource vers d’autres destinations. Cette option n’est pas nécessairement présente pour tous les fournisseurs de ressources.
Journaux d’activité de ressources
Les journaux de ressources vous permettent de sélectionner les catégories de journaux que vous souhaitez acheminer individuellement ou de choisir un groupe de catégories.
Groupes de catégories
Remarque
Les groupes de catégories ne s’appliquent pas à tous les fournisseurs de ressources de métrique. Si un fournisseur n’en a pas de disponibles dans les paramètres de diagnostic du Portail Azure, ils ne sont pas non plus disponibles par les modèles Azure Resource Manager.
Vous pouvez utiliser les groupes de catégories pour collecter dynamiquement des journaux de ressources en fonction de regroupements prédéfinis au lieu de sélectionner des catégories de journaux individuelles. Microsoft définit les regroupements de façon à aider à surveiller des cas d’usage spécifiques dans tous les services Azure. Les catégories du groupe peuvent être mises à jour au fur et à mesure que de nouveaux journaux sont déployés ou que les évaluations changent. Lorsque des catégories de journaux sont ajoutées à un groupe de catégories ou en sont supprimées, votre collecte de journaux est modifiée automatiquement sans que vous ayez à mettre à jour vos paramètres de diagnostic.
Le recours à des groupes de catégories présente les conséquences suivantes :
- Vous ne pouvez plus sélectionner individuellement les journaux de ressources en fonction de types de catégorie individuels.
- Vous ne pouvez plus appliquer de paramètres de rétention aux journaux envoyés au Stockage Azure.
Il existe actuellement deux groupes de catégories :
- Tous : tous les journaux de ressources offerts par la ressource.
- Audit : tous les journaux de ressources qui enregistrent les interactions des clients avec les données ou les paramètres du service. Les journaux d’audit sont une tentative par chaque fournisseur de ressources de fournir les données d’audit les plus pertinentes, mais il est possible qu’ils ne soient pas considérés comme suffisants du point de vue des normes d’audit en fonction de votre cas d’usage. Comme mentionné ci-dessus, les éléments collectés sont dynamiques. Microsoft peut les modifier au fil du temps à mesure que de nouvelles catégories de journaux de ressources deviennent disponibles.
Le groupe de catégorie « Audit » est un sous-ensemble du groupe de catégorie « Tout », mais le Portail Azure et l’API REST les considèrent comme des paramètres distincts. La sélection du groupe de catégorie « Tout » collecte tous les journaux d’audit même si le groupe de catégories « Audit » est également sélectionné.
L’image suivante montre les groupes de catégories de journaux sur la page Ajouter des paramètres de diagnostic.
Remarque
L’activation de la fonctionnalité Audit pour Azure SQL Database n’active pas l’audit pour Azure SQL Database. Pour activer l’audit de base de données, vous devez l’activer à partir du panneau Audit pour Azure Database.
Journal d’activité
Consultez la section Paramètres du journal d’activité.
Destinations
Il est possible d’envoyer des journaux et métriques de plateforme aux destinations indiquées dans le tableau suivant.
Pour garantir la sécurité des données en transit, tous les points de terminaison de destination sont configurés pour prendre en charge TLS 1.2.
| Destination | Description |
|---|---|
| Espace de travail Log Analytics | Les métriques sont converties au format journal. Cette option peut ne pas être disponible pour tous les types de ressources. Les envoyer au magasin Azure Monitor Logs (qui peut faire l’objet d’une recherche avec l’Analytique des journaux) aide à les intégrer dans des requêtes, des alertes et des visualisations avec des données de journaux existantes. |
| compte Stockage Azure | L’archivage des journaux et des métriques dans un compte de stockage est utile pour l’audit, l’analyse statique ou la sauvegarde. Par rapport aux journaux d’activité Azure Monitor ou à l’espace de travail Log Analytics, le stockage est moins onéreux et les journaux peuvent y être conservés indéfiniment. |
| Azure Event Hubs | Lorsque vous envoyez des journaux et des métriques à Event Hubs, vous pouvez transmettre en continu des données à des systèmes externes tels que des solutions SIEM tierces et d’autres solutions d’analytique des journaux d’activité. |
| Solutions de partenaires Azure Monitor | Des intégrations spécialisées peuvent être réalisées entre Azure Monitor et d’autres plateformes de surveillance non-Microsoft. Cette intégration est utile lorsque vous utilisez déjà l’un des partenaires. |
Paramètres du journal d’activité
Le journal d’activité utilise un paramètre de diagnostic, mais il a sa propre interface utilisateur, car elle s’applique à l’intégralité de l’abonnement plutôt qu’à des ressources individuelles. Les informations de destination listées ici s’appliquent néanmoins toujours. Pour plus d’informations, consultez Journal d’activité Azure.
Conditions requises et limitations :
Cette section décrit les exigences et les limitations.
Temps nécessaire à l’arrivée de la télémétrie à destination
Après avoir configuré un paramètre de diagnostic, les données doivent commencer à transiter vers votre ou vos destination(s) sélectionnée(s) dans les 90 minutes. Lors de l’envoi de journaux à un espace de travail Log Analytics, la table est créée automatiquement si elle n’existe pas déjà. La table est créée uniquement lorsque les premiers enregistrements de journaux sont reçus. Si vous n’obtenez aucune information dans les 24 heures, il se peut que vous soyez confronté à l’un des problèmes suivants :
- Aucun journal n’est généré.
- Un problème se produit dans le mécanisme de routage sous-jacent.
Si vous rencontrez un problème, vous pouvez essayer de désactiver la configuration, puis de la réactiver. Contactez le support Azure via le portail Azure si vous continuez à rencontrer des problèmes.
Métriques comme source
L’exportation des métriques présente certaines limitations :
- L’envoi de métriques multidimensionnelles via les paramètres de diagnostic n’est pas pris en charge actuellement. Les métriques à plusieurs dimensions sont exportées en tant que métriques dimensionnelles uniques aplaties, puis agrégées dans les valeurs de la dimension. Par exemple, la métrique IOReadBytes sur une blockchain peut être explorée et représentée sur un graphique par niveau de nœud. Toutefois, lorsqu’elle est exportée par le biais de paramètres de diagnostic, elle présente tous les octets lus de tous les nœuds.
- Toutes les métriques ne sont pas exportables avec les paramètres de diagnostic. En raison de limitations internes, certaines métriques ne sont pas exportables vers des journaux Azure Monitor ou Log Analytics. Pour plus d’informations, consultez la colonne Exportable dans la liste des métriques prises en charge.
Pour contourner ces limitations pour certaines métriques, vous pouvez les extraire manuellement avec l’API REST Metrics. Vous pouvez ensuite les importer dans les journaux Azure Monitor à l’aide de l’API Collecteur de données Azure Monitor.
Limitations des destinations
Les destinations du paramètre de diagnostic doivent être créées avant que vous ne puissiez créer les paramètres de diagnostic. Cette destination ne doit pas nécessairement se trouver dans le même abonnement que la ressource qui envoie des journaux, à condition que l’utilisateur qui configure le paramètre ait un accès Azure RBAC approprié aux deux abonnements. Grâce à l’utilisation d’Azure Lighthouse, il est également possible d’envoyer des paramètres de diagnostic vers un espace de travail, compte de stockage ou Event Hub d’un autre locataire Microsoft Entra.
Le tableau suivant fournit des exigences uniques pour chaque destination, y compris des restrictions régionales.
| Destination | Spécifications |
|---|---|
| Espace de travail Log Analytics | Il n’est pas obligatoire que l’espace de travail réside dans la même région que la ressource supervisée. |
| Compte de stockage | N’utilisez pas un compte de stockage existant sur lequel sont stockées d’autres données sans surveillance. Le fractionnement des types de données vous permet de mieux contrôler l’accès aux données. Si vous archivez également des journaux de diagnostic et des journaux de ressources ensemble, vous pouvez choisir d’utiliser le même compte de stockage pour regrouper toutes vos données d’analyse au même emplacement. Pour empêcher la modification des données, envoyez-les vers un support de stockage immuable. Définissez la stratégie d’immuabilité du compte de stockage, comme décrit dans Définir et gérer des stratégies d’immuabilité pour le Stockage Blob Azure. Vous devez suivre toutes les étapes décrites dans cet article, et notamment l’activation des écritures sur les objets blob d'ajout protégés. Le compte de stockage doit se trouver dans la même région que la ressource supervisée si la ressource est régionale. Les paramètres de diagnostic ne peuvent pas accéder aux compte de stockage lorsque les réseaux virtuels sont activés. Vous devez activer le paramètre Autoriser les services Microsoft approuvés à contourner ce pare-feu dans le compte de stockage, afin que le service Azure Monitor (paramètres de diagnostic) soit autorisé à accéder à vos compte de stockage. Les points de terminaison de zone Azure DNS (préversion) et les comptes de stockage Azure Premium LRS (stockage localement redondant) ne sont pas pris en charge comme destination de journal ou de métrique. |
| Event Hubs | La stratégie d’accès partagé pour l’espace de noms définit les autorisations dont dispose le mécanisme de diffusion en continu. La diffusion en continu vers Event Hubs requiert des autorisations de gestion, d’envoi et d’écoute. Pour mettre à jour le paramètre de diagnostic afin d’inclure la diffusion en continu, vous devez disposer de l’autorisation ListKey sur la règle d’autorisation Event Hubs. L’espace de noms Event Hub doit se trouver dans la même région que la ressource supervisée si la ressource est régionale. Les paramètres de diagnostic ne peuvent pas accéder aux ressources Event Hubs lorsque les réseaux virtuels sont activés. Vous devez activer le paramètre Autoriser les services Microsoft approuvés à contourner ce pare-feu dans Event Hub, afin que le service Azure Monitor (paramètres de diagnostic) soit autorisé à accéder à vos ressources Event Hubs. |
| Solutions de partenaires | Les solutions varient selon le partenaire. Pour plus d’informations, consultez la Documentation Azure Native ISV Services. |
Attention
Si vous souhaitez stocker les journaux de diagnostic dans un espace de travail Log Analytics, il existe deux points à prendre en compte pour éviter de voir des données en double dans Application Insights :
- La destination ne peut pas être le même espace de travail Log Analytics sur lequel repose votre ressource Application Insights.
- L’utilisateur Application Insights ne peut pas avoir accès aux deux espaces de travail. Définissez le mode de contrôle d’accès Log Analytics sur Exige des autorisations d’espace de travail. Utilisez le Contrôle d’accès en fonction du rôle Azure pour garantir que l’utilisateur a accès uniquement à l’espace de travail Log Analytics sur lequel est basée la ressource Application Insights.
Ces étapes sont nécessaires car Application Insights accède à la télémétrie de ressources Application Insights, notamment des espaces de travail Log Analytics, pour assurer des opérations de transaction de bout en bout et fournir des cartographies d’application précises. Étant donné que les journaux de diagnostic utilisent les mêmes noms de table, il se peut que la télémétrie s’affiche en double si l’utilisateur a accès à plusieurs ressources qui contiennent les mêmes données.
Contrôle des coûts
Comme la collecte des données dans un espace de travail Log Analytics entraîne un coût, collectez uniquement les catégories dont vous avez besoin pour chaque service. Le volume de données pour les journaux de ressources varie considérablement d’un service à l’autre.
Il se peut également que vous ne souhaitiez pas collecter les métriques de la plateforme à partir des ressources Azure, car ces données sont déjà collectées dans les métriques. Ne configurez vos données de diagnostic pour collecter des métriques que si vous avez besoin de données métriques dans l'espace de travail à des fins d’analyse plus complexe avec des requêtes de journal. Les paramètres de diagnostic n’autorisent pas le filtrage granulaire des journaux de ressources.
Conseil
Pour connaître les stratégies de réduction de vos coûts Azure Monitor, consultez Optimisation des coûts et Azure Monitor.