Utiliser des comptes de stockage gérés par le client dans les journaux Azure Monitor

  • Article

Les journaux Azure Monitor s’appuient sur stockage Azure dans différents scénarios. Azure Monitor gère généralement ce type de stockage automatiquement, mais dans certains cas, vous devez fournir et gérer votre propre compte de stockage, également appelé compte de stockage géré par le client. Cet article décrit les cas d’utilisation et les conditions requises pour configurer le stockage géré par le client pour les journaux Azure Monitor et explique comment lier un compte de stockage à un espace de travail Log Analytics.

Remarque

Nous vous recommandons de ne pas dépendre du contenu que les journaux Azure Monitor chargent sur le stockage géré par le client, car le formatage et le contenu peuvent changer.

Les comptes de stockage gérés par le client servent à ingérer des journaux personnalisés quand des liaisons privées sont utilisées pour se connecter à des ressources Azure Monitor. Le processus d’ingestion de ces types de données charge d’abord les journaux sur un compte Stockage Azure intermédiaire, et seulement ensuite les ingère dans un espace de travail.

Conditions requises pour l’espace de travail

Lorsque vous vous connectez à Azure Monitor via un lien privé, Azure Monitor Agent ne peut envoyer des journaux qu'aux espaces de travail accessibles via un lien privé. Cette exigence signifie que vous devez :

  • configurer un objet Étendue de liaison privée Azure Monitor (AMPLS) ;
  • connecter cet objet à vos espaces de travail ;
  • Connecter l’objet AMPLS à votre réseau via une liaison privée ;

Pour plus d’informations sur la procédure de configuration de l’AMPLS, consultez Utiliser Azure Private Link pour connecter en toute sécurité des réseaux à Azure Monitor.

Conditions requises pour le compte de stockage

Pour que le compte de stockage se connecte à votre liaison privée, il doit :

  • se trouver sur votre réseau virtuel ou un réseau appairé et connecté à votre réseau virtuel via une liaison privée.

  • se trouver dans la même région que l’espace de travail auquel il est lié ;

  • autoriser Azure Monitor à accéder au compte de stockage. Pour autoriser uniquement certains réseaux à accéder à votre compte de stockage, sélectionnez l’exception Autoriser les services Microsoft approuvés à accéder à ce compte de stockage.

    Capture d’écran montrant que le compte Stockage approuve les services Microsoft.

Si votre espace de travail traite du trafic provenant d’autres réseaux, configurez le compte de stockage de manière à autoriser le trafic entrant provenant des réseaux concernés ou d’Internet.

Coordonnez la version TLS entre les agents et le compte de stockage. Nous vous recommandons d’envoyer les données aux journaux Azure Monitor en utilisant TLS version 1.2 ou ultérieure. Consultez les instructions spécifiques à la plateforme. Si nécessaire, configurez vos agents pour qu’ils utilisent TLS. Si cela n’est pas possible, configurez le compte de stockage pour qu’il accepte TLS 1.0.

Chiffrement des données avec des clés gérées par le client

Stockage Azure chiffre toutes les données au repos dans un compte de stockage. Par défaut, il utilise des clés managées par Microsoft (MMK) pour chiffrer les données. Cependant, Stockage Azure vous permet également d’utiliser des clés gérées par le client (CMK) à partir d’Azure Key Vault pour chiffrer vos données de stockage. Vous pouvez importer vos propres clés dans Key Vault ou utiliser les API de Key Vault pour générer des clés.

Scénarios CMK qui requièrent un compte de stockage géré par le client

Un compte de stockage géré par le client est requis pour les opérations suivantes :

  • Chiffrement des requêtes d’alerte de journal avec des clés gérées par le client
  • Chiffrement des requêtes enregistrées avec des clés gérées par le client

Appliquer des clés gérées par le client à des comptes de stockage gérés par le client

Suivez ces conseils pour appliquer des clés CMK à des comptes de stockage gérés par le client.

Conditions requises pour le compte de stockage

Le compte de stockage et le coffre de clés doivent se trouver dans la même région, mais ils peuvent également appartenir à des abonnements différents. Pour plus d’informations sur le chiffrement et la gestion des clés dans le stockage Azure, consultez Chiffrement du stockage Azure pour les données au repos.

Appliquer des clés gérées par le client à vos comptes de stockage

Pour configurer votre compte Stockage Azure de façon à utiliser des clés CMK avec Key Vault, utilisez le portail Azure, PowerShell ou l’interface Azure CLI.

Remarque

  • Lors de la liaison du compte de stockage pour la requête, les requêtes enregistrées existantes dans l’espace de travail sont supprimées définitivement pour la confidentialité. Vous pouvez copier des requêtes enregistrées existantes avant le lien de stockage à l’aide de PowerShell.
  • Les requêtes enregistrées dans un pack de requêtes ne sont pas chiffrées avec la clé gérée par le client. Sélectionnez plutôt Enregistrer en tant que requête héritée lors de l’enregistrement de requêtes, afin de les protéger avec une clé gérée par le client.
  • Les requêtes enregistrées sont stockées dans le stockage de tables et chiffrées avec une clé gérée par le client lors de la configuration du chiffrement au moment de la création du compte de stockage.
  • Les alertes de recherche dans les journaux sont enregistrées dans le stockage d’objets blob où la configuration de chiffrement par clé gérée par le client peut se faire lors de la création du compte de stockage ou plus tard.
  • Vous pouvez utiliser un compte de stockage unique à toutes fins, une requête, une alerte, un journal personnalisé et des journaux IIS. La liaison du stockage pour le journal personnalisé et les journaux IIS peut nécessiter davantage de comptes de stockage pour la mise à l’échelle, en fonction du taux d’ingestion et des limites de stockage. Vous pouvez lier jusqu’à cinq comptes de stockage à un espace de travail.

Utilisation du portail Azure

Dans le portail Azure, ouvrez le menu de votre espace de travail, puis sélectionnez Comptes de stockage liés. Un volet affiche les comptes de stockage liés en utilisant les cas d’utilisation mentionnés (ingestion via une liaison privée, application de clés CMK à des requêtes enregistrées ou à des alertes).

Capture d’écran montrant le volet Comptes de stockage liés.

La sélection d’un élément de la table ouvre les détails du compte de stockage, où vous pouvez définir ou mettre à jour le compte de stockage lié pour ce type.

Capture d’écran montrant le volet Lier le compte de stockage. Vous pouvez utiliser le même compte pour différents cas d’utilisation, si vous le souhaitez.

Utiliser l’interface de ligne de commande Azure ou l’API REST

Vous pouvez également lier un compte de stockage à votre espace de travail via l’interface de ligne de commande Azure ou l’API REST.

Les valeurs dataSourceType possibles sont :

  • CustomLogs : pour utiliser le compte de stockage pour l’ingestion de journaux personnalisés et de journaux IIS.
  • Query : pour utiliser le compte de stockage afin de stocker les requêtes enregistrées (requis pour le chiffrement CMK).
  • Alerts : pour utiliser le compte de stockage afin de stocker les alertes basées sur un journal (requis pour le chiffrement CMK).

Gérer les comptes de stockage liés

Suivez ces conseils pour gérer vos comptes de stockage liés.

Lorsque vous liez un compte de stockage à un espace de travail, les journaux Azure Monitor commencent à l'utiliser au lieu du compte de stockage appartenant au service. Vous pouvez :

  • inscrire plusieurs comptes de stockage pour répartir la charge des journaux entre eux ;
  • réutiliser le même compte de stockage pour plusieurs espaces de travail.

Pour cesser d’utiliser un compte de stockage, dissociez le stockage de l’espace de travail. Lorsque vous dissociez tous les comptes de stockage d’un espace de travail, les journaux Azure Monitor utilisent des comptes de stockage gérés par le service. Si votre réseau dispose d’un accès limité à Internet, ces comptes de stockage peuvent être indisponibles et tout scénario qui repose sur le stockage est voué à l’échec.

Remplacer un compte de stockage

Pour remplacer un compte de stockage utilisé pour l’ingestion :

  1. Créez une liaison vers un nouveau compte de stockage. Les agents de journalisation recevront la configuration mise à jour et commenceront à envoyer des données vers le nouveau stockage. Le processus peut prendre quelques minutes.
  2. Dissociez l’ancien compte de stockage pour que les agents cessent d’écrire dans le compte supprimé. Le processus d’ingestion continue de lire les données de ce compte jusqu’à ce qu’elles soient toutes ingérées. Ne supprimez pas le compte de stockage tant que tous les journaux n’ont pas été ingérés.

Gérer les comptes de stockage

Suivez ces conseils pour gérer vos comptes de stockage.

Gérer la rétention des journaux

Quand vous utilisez votre propre compte de stockage, la conservation est laissée à votre discrétion. Les journaux Azure Monitor ne suppriment pas les journaux stockés sur votre stockage privé. Au lieu de cela, vous devez configurer une stratégie pour gérer la charge en fonction de vos préférences.

Prendre en compte la charge

Les comptes de stockage peuvent traiter une certaine charge de demandes de lecture et d’écriture avant de commencer à les limiter. Pour plus d’informations, consultez Objectifs de performance et de scalabilité pour Stockage Blob Azure.

La limitation a une incidence sur le temps nécessaire à l’ingestion des journaux. Si votre compte de stockage est surchargé, inscrivez un autre compte de stockage afin de répartir la charge. Pour superviser la capacité et le niveau de performance de votre compte de stockage, consultez ses insights dans le portail Azure.

Vous êtes facturé pour les comptes de stockage en fonction du volume de données stockées, du type de stockage et du type de redondance. Pour plus d’informations, consultez Prix des objets blob de blocs et Prix de Stockage Table Azure.

Étapes suivantes