Diagnostische instellingen in Azure Monitor
Dit artikel bevat informatie over het maken en configureren van diagnostische instellingen voor het verzenden van metrische gegevens van het Azure-platform, resourcelogboeken en het activiteitenlogboek naar verschillende bestemmingen.
Voor elke Azure-resource is een eigen diagnostische instelling vereist, die de volgende criteria definieert:
- Bronnen: het type metrische gegevens en logboekgegevens dat moet worden verzonden naar de bestemmingen die in de instelling zijn gedefinieerd. De beschikbare typen variëren per resourcetype.
- Bestemmingen: een of meer bestemmingen om naar te verzenden.
Eén diagnostische instelling kan niet meer dan één van de bestemmingen definiëren. Als u gegevens wilt verzenden naar meer dan een van een bepaald doeltype (bijvoorbeeld twee verschillende Log Analytics-werkruimten), maakt u meerdere instellingen. Elke resource kan maximaal vijf diagnostische instellingen hebben.
Waarschuwing
Als u een resource wilt verwijderen, een resource wilt hernoemen of verplaatsen of deze wilt migreren tussen resourcegroepen of abonnementen, verwijdert u eerst de diagnostische instellingen. Als u deze resource opnieuw maakt, kunnen de diagnostische instellingen voor de verwijderde resource worden opgenomen in de nieuwe resource, afhankelijk van de resourceconfiguratie voor elke resource. Als de diagnostische instellingen zijn opgenomen in de nieuwe resource, wordt de verzameling resourcelogboeken hervat zoals gedefinieerd in de diagnostische instelling en worden de toepasselijke metrische gegevens en logboekgegevens verzonden naar de eerder geconfigureerde bestemming.
Het is ook een goed idee om de diagnostische instellingen te verwijderen voor een resource die u gaat verwijderen en niet van plan bent om uw omgeving schoon te houden.
In de volgende video wordt u begeleid bij het routeren van resourceplatformlogboeken met diagnostische instellingen. De video is op een eerder tijdstip uitgevoerd. Houd rekening met de volgende wijzigingen:
- Er zijn nu vier bestemmingen. U kunt metrische platformgegevens en logboeken verzenden naar bepaalde Azure Monitor-partners.
- In november 2021 is een nieuwe functie met de naam categoriegroepen geïntroduceerd.
In dit artikel vindt u informatie over deze nieuwere functies.
Bronnen
Er zijn drie bronnen voor diagnostische gegevens:
- Metrische platformgegevens worden standaard en zonder configuratie automatisch naar Metrische gegevens van Azure Monitor verzonden.
- Platformlogboeken : bieden gedetailleerde diagnostische en controle-informatie voor Azure-resources en het Azure-platform waarop ze afhankelijk zijn.
- Resourcelogboeken worden pas verzameld wanneer ze naar een bestemming worden gerouteerd.
- Het activiteitenlogboek bevat informatie over resources van buiten de resource, bijvoorbeeld wanneer de resource is gemaakt of verwijderd. Vermeldingen bestaan op zichzelf, maar kunnen worden doorgestuurd naar andere locaties.
Metrische gegevens voor
Met de instelling AllMetrics worden de metrische gegevens van een resource naar andere bestemmingen gerouteerd. Deze optie is mogelijk niet aanwezig voor alle resourceproviders.
Resourcelogboeken
Met resourcelogboeken kunt u de logboekcategorieën selecteren die u afzonderlijk wilt routeren of een categoriegroep kiezen.
Categoriegroepen
Notitie
Categoriegroepen zijn niet van toepassing op alle metrische resourceproviders. Als een provider deze niet beschikbaar heeft in de diagnostische instellingen in Azure Portal, zijn ze ook niet beschikbaar via Azure Resource Manager-sjablonen.
U kunt categoriegroepen gebruiken om resourcelogboeken dynamisch te verzamelen op basis van vooraf gedefinieerde groeperingen in plaats van afzonderlijke logboekcategorieën te selecteren. Microsoft definieert de groeperingen om specifieke use cases in alle Azure-services te bewaken. Na verloop van tijd kunnen de categorieën in de groep worden bijgewerkt wanneer nieuwe logboeken worden geïmplementeerd of als evaluaties veranderen. Wanneer logboekcategorieën worden toegevoegd aan of verwijderd uit een categoriegroep, wordt uw logboekverzameling automatisch gewijzigd zonder dat u uw diagnostische instellingen hoeft bij te werken.
Wanneer u categoriegroepen gebruikt, gaat u het volgende doen:
- Resourcelogboeken kunnen niet meer afzonderlijk worden geselecteerd op basis van afzonderlijke categorietypen.
- Bewaarinstellingen kunnen niet meer worden toegepast op logboeken die naar Azure Storage worden verzonden.
Er zijn momenteel twee categoriegroepen:
- Alle: elk resourcelogboek dat wordt aangeboden door de resource.
- Controle: Alle resourcelogboeken die interacties van klanten met gegevens of de instellingen van de service vastleggen. Auditlogboeken zijn een poging van elke resourceprovider om de meest relevante controlegegevens te bieden, maar zijn mogelijk niet voldoende vanuit het perspectief van controlestandaarden, afhankelijk van uw gebruiksscenario. Zoals hierboven vermeld, is wat er wordt verzameld dynamisch en kan Microsoft deze na verloop van tijd wijzigen naarmate er nieuwe resourcelogboekcategorieën beschikbaar komen.
De categoriegroep Audit is een subset van de categorieGroep Alle, maar de Azure-portal en REST API beschouwen deze afzonderlijke instellingen. Als u de categorieGroep Alles selecteert, worden alle auditlogboeken verzameld, zelfs als de categoriegroep Audit ook is geselecteerd.
In de volgende afbeelding ziet u de categoriegroepen voor logboeken op de pagina Diagnostische instellingen toevoegen.
Notitie
Als u Audit voor Azure SQL Database inschakelt, wordt controle voor Azure SQL Database niet ingeschakeld. Als u databasecontrole wilt inschakelen, moet u deze inschakelen vanaf de blade Controle voor Azure Database.
Activiteitenlogboek
Zie de sectie Instellingen voor activiteitenlogboeken.
Bestemmingen
Platformlogboeken en metrische gegevens kunnen worden verzonden naar de bestemmingen die worden vermeld in de volgende tabel.
Om de beveiliging van gegevens in transit te garanderen, worden alle doeleindpunten geconfigureerd ter ondersteuning van TLS 1.2.
| Doel | Beschrijving |
|---|---|
| Log Analytics-werkruimte | Metrische gegevens worden geconverteerd naar een logboekformulier. Deze optie is mogelijk niet beschikbaar voor alle resourcetypen. Als u ze verzendt naar het logboekarchief van Azure Monitor (dat doorzoekbaar is via Log Analytics), kunt u ze integreren in query's, waarschuwingen en visualisaties met bestaande logboekgegevens. |
| Azure Storage-account | Het archiveren van logboeken en metrische gegevens naar een opslagaccount is handig voor controle, statische analyse of back-up. In vergelijking met het gebruik van Azure Monitor-logboeken of een Log Analytics-werkruimte is Opslag goedkoper en kunnen logboeken daar voor onbepaalde tijd worden bewaard. |
| Azure Event Hubs | Wanneer u logboeken en metrische gegevens naar Event Hubs verzendt, kunt u gegevens streamen naar externe systemen, zoals externe SIEM's en andere Log Analytics-oplossingen. |
| Azure Monitor-partneroplossingen | Gespecialiseerde integraties kunnen worden gemaakt tussen Azure Monitor en andere niet-Microsoft-bewakingsplatforms. Integratie is handig wanneer u al een van de partners gebruikt. |
Instellingen voor activiteitenlogboek
Het activiteitenlogboek maakt gebruik van een diagnostische instelling, maar heeft een eigen gebruikersinterface omdat dit van toepassing is op het hele abonnement in plaats van op afzonderlijke resources. De hier vermelde doelgegevens zijn nog steeds van toepassing. Zie het Activiteitenlogboek van Azure voor meer informatie.
Vereisten en beperkingen
In deze sectie worden vereisten en beperkingen besproken.
Tijd voordat telemetrie naar de bestemming wordt verzonden
Nadat u een diagnostische instelling hebt ingesteld, moeten gegevens binnen 90 minuten naar uw geselecteerde bestemmingen stromen. Wanneer u logboeken naar een Log Analytics-werkruimte verzendt, wordt de tabel automatisch gemaakt als deze nog niet bestaat. De tabel wordt alleen gemaakt wanneer de eerste logboekrecords worden ontvangen. Als u binnen 24 uur geen informatie krijgt, ondervindt u mogelijk een van de volgende problemen:
- Er worden geen logboeken gegenereerd.
- Er is iets mis in het onderliggende routeringsmechanisme.
Als u een probleem ondervindt, kunt u proberen de configuratie uit te schakelen en vervolgens opnieuw in te schakelen. Neem contact op met ondersteuning voor Azure via Azure Portal als u problemen blijft ondervinden.
Metrische gegevens als bron
Er gelden bepaalde beperkingen voor het exporteren van metrische gegevens:
- Het verzenden van multidimensionale metrische gegevens via diagnostische instellingen wordt momenteel niet ondersteund. Metrische gegevens met dimensies worden geëxporteerd als platgemaakte enkelvoudige metrische gegevens, geaggregeerd over dimensiewaarden. De metrische ioReadBytes-gegevens in een blockchain kunnen bijvoorbeeld worden verkend en in kaart gebracht op knooppuntniveau. Wanneer de metrische gegevens echter worden geëxporteerd via diagnostische instellingen, worden alle gelezen bytes voor alle knooppunten weergegeven.
- Niet alle metrische gegevens kunnen worden geëxporteerd met diagnostische instellingen. Vanwege interne beperkingen kunnen niet alle metrische gegevens worden geëxporteerd naar Azure Monitor-logboeken of Log Analytics. Zie de kolom Exporteerbaar in de lijst met ondersteunde metrische gegevens voor meer informatie.
Als u deze beperkingen voor specifieke metrische gegevens wilt omzeilen, kunt u deze handmatig extraheren met behulp van de REST API voor metrische gegevens. Vervolgens kunt u ze importeren in Azure Monitor-logboeken met behulp van de Azure Monitor Data Collector-API.
Doelbeperkingen
Alle bestemmingen voor de diagnostische instelling moeten worden gemaakt voordat u de diagnostische instellingen maakt. Het doel hoeft zich niet in hetzelfde abonnement te bevinden als de resource die logboeken verzendt als de gebruiker die de instelling configureert de juiste toegangsbeheer op basis van rollen van Azure heeft voor beide abonnementen. Met behulp van Azure Lighthouse is het ook mogelijk om diagnostische instellingen te laten verzenden naar een werkruimte, opslagaccount of Event Hub in een andere Microsoft Entra-tenant.
De volgende tabel bevat unieke vereisten voor elke bestemming, inclusief regionale beperkingen.
| Doel | Vereisten |
|---|---|
| Log Analytics-werkruimte | De werkruimte hoeft zich niet in dezelfde regio te bevinden als de resource die wordt bewaakt. |
| Opslagaccount | Gebruik geen bestaand opslagaccount met andere, niet-bewaakte gegevens die erin zijn opgeslagen. Door de typen gegevens op te splitsen, kunt u de toegang tot de gegevens beter beheren. Als u het activiteitenlogboek en de resourcelogboeken samen archivert, kunt u hetzelfde opslagaccount gebruiken om alle bewakingsgegevens op een centrale locatie te bewaren. Als u wijzigingen van de gegevens wilt voorkomen, verzendt u deze naar onveranderbare opslag. Stel het onveranderbare beleid voor het opslagaccount in zoals beschreven in Beleid voor onveranderbaarheid instellen en beheren voor Azure Blob Storage. U moet alle stappen in dit gekoppelde artikel volgen, inclusief het inschakelen van beveiligde toevoeg-blobs-schrijfbewerkingen. Het opslagaccount moet zich in dezelfde regio bevinden als de resource die wordt bewaakt als de resource regionaal is. Diagnostische instellingen hebben geen toegang tot opslagaccounts wanneer virtuele netwerken zijn ingeschakeld. U moet vertrouwde Microsoft-services inschakelen om deze firewallinstelling in opslagaccounts te omzeilen, zodat de service diagnostische instellingen van Azure Monitor toegang krijgt tot uw opslagaccount. Azure DNS-zone-eindpunten (preview) en Azure Premium LRS-opslagaccounts (lokaal redundante opslag) worden niet ondersteund als een logboek- of metrische bestemming. |
| Event Hubs | Het beleid voor gedeelde toegang voor de naamruimte definieert de machtigingen die het streamingmechanisme heeft. Voor streaming naar Event Hubs zijn machtigingen voor beheren, verzenden en luisteren vereist. Als u de diagnostische instelling wilt bijwerken om streaming op te nemen, moet u de machtiging ListKey hebben voor die Event Hubs-autorisatieregel. De Event Hub-naamruimte moet zich in dezelfde regio bevinden als de resource die wordt bewaakt als de resource regionaal is. Diagnostische instellingen hebben geen toegang tot Event Hubs-resources wanneer virtuele netwerken zijn ingeschakeld. U moet vertrouwde Microsoft-services inschakelen om deze firewallinstelling in Event Hubs te omzeilen, zodat de service diagnostische instellingen van Azure Monitor toegang krijgt tot uw Event Hubs-resources. |
| Partneroplossingen | De oplossingen variëren per partner. Raadpleeg de documentatie van Azure Native ISV Services voor meer informatie. |
Let op
Als u diagnostische logboeken wilt opslaan in een Log Analytics-werkruimte, zijn er twee punten om te voorkomen dat dubbele gegevens in Application Insights worden weergegeven:
- Het doel mag niet dezelfde Log Analytics-werkruimte zijn waarop uw Application Insights-resource is gebaseerd.
- De gebruiker van Application Insights mag geen toegang tot beide werkruimten hebben. Stel de toegangsbeheermodus van Log Analytics in op Werkruimtemachtigingen vereist. Zorg ervoor dat de gebruiker via op rollen gebaseerd toegangsbeheer van Azure alleen toegang heeft tot de Log Analytics-werkruimte waarop de Application Insights-resource is gebaseerd.
Deze stappen zijn nodig omdat Application Insights toegang heeft tot telemetrie in alle Application Insight-resources, inclusief Log Analytics-werkruimten, om zodoende volledige end-to-end-transactiebewerkingen en nauwkeurige toepassingstoewijzingen te kunnen bieden. Omdat de diagnostische instellingen dezelfde tabelnamen gebruiken, kunnen duplicaat telemetriegegevens worden weergegeven als de gebruiker toegang heeft tot meerdere resources met dezelfde gegevens.
Kosten beheren
Er zijn kosten verbonden aan het verzamelen van gegevens in een Log Analytics-werkruimte, dus verzamel alleen de categorieën die u voor elke service nodig hebt. Het gegevensvolume voor resourcelogboeken varieert aanzienlijk tussen services.
Mogelijk wilt u ook geen metrische platformgegevens van Azure-resources verzamelen omdat deze gegevens al worden verzameld in metrische gegevens. Configureer uw diagnostische gegevens alleen om metrische gegevens te verzamelen als u metrische gegevens in de werkruimte nodig hebt voor complexere analyse met logboekquery's. Diagnostische instellingen staan geen gedetailleerd filteren van resourcelogboeken toe.
Tip
Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.