Share via

Door de klant beheerde opslagaccounts gebruiken in Azure Monitor-logboeken

  • Artikel

Azure Monitor-logboeken zijn afhankelijk van Azure Storage in verschillende scenario's. Azure Monitor beheert dit type opslag doorgaans automatisch, maar in sommige gevallen moet u uw eigen opslagaccount opgeven en beheren, ook wel een door de klant beheerd opslagaccount genoemd. In dit artikel worden de use cases en vereisten beschreven voor het instellen van door de klant beheerde opslag voor Azure Monitor-logboeken en wordt uitgelegd hoe u een opslagaccount koppelt aan een Log Analytics-werkruimte.

Notitie

U wordt aangeraden geen afhankelijkheid te nemen van de inhoud die Azure Monitor-logboeken uploadt naar door de klant beheerde opslag, omdat opmaak en inhoud mogelijk veranderen.

Door de klant beheerde opslagaccounts worden gebruikt om aangepaste logboeken op te nemen wanneer privékoppelingen worden gebruikt om verbinding te maken met Azure Monitor-resources. Tijdens het opnameproces van deze gegevenstypen worden eerst logboeken geüpload naar een intermediair Azure Storage-account en worden ze alleen opgenomen in een werkruimte.

Werkruimtevereisten

Wanneer u via een privékoppeling verbinding maakt met Azure Monitor, kan de Azure Monitor-agent alleen logboeken verzenden naar werkruimten die toegankelijk zijn via een privékoppeling. Deze vereiste betekent dat u het volgende moet doen:

  • Configureer een AMPLS-object (Private Link Scope) van Azure Monitor.
  • Verbinding maken deze naar uw werkruimten.
  • Verbinding maken de AMPLS via een privékoppeling naar uw netwerk.

Zie Azure Private Link gebruiken om netwerken veilig te verbinden met Azure Monitor voor meer informatie over de AMPLS-configuratieprocedure.

Vereisten voor een opslagaccount

Het opslagaccount moet het volgende doen om verbinding te maken met uw privékoppeling:

  • U bevindt zich in uw virtuele netwerk of een gekoppeld netwerk en verbonden met uw virtuele netwerk via een privékoppeling.

  • U bevindt zich in dezelfde regio als de werkruimte waaraan deze is gekoppeld.

  • Sta Azure Monitor toegang toe tot het opslagaccount. Als u alleen specifieke netwerken toegang wilt geven tot uw opslagaccount, selecteert u de uitzondering Vertrouwde Microsoft-services toegang geven tot dit opslagaccount.

    Schermopname van de vertrouwensrelatie van opslagaccounts Microsoft-services.

Als uw werkruimte verkeer van andere netwerken verwerkt, configureert u het opslagaccount om binnenkomend verkeer dat afkomstig is van de relevante netwerken/internet toe te staan.

Coördineer de TLS-versie tussen de agents en het opslagaccount. U wordt aangeraden gegevens naar Azure Monitor-logboeken te verzenden met behulp van TLS 1.2 of hoger. Bekijk de platformspecifieke richtlijnen. Configureer indien nodig uw agents voor het gebruik van TLS. Als dat niet mogelijk is, configureert u het opslagaccount om TLS 1.0 te accepteren.

Door de klant beheerde sleutelgegevensversleuteling

Azure Storage versleutelt alle data-at-rest in een opslagaccount. Standaard worden door Microsoft beheerde sleutels (MMK's) gebruikt om de gegevens te versleutelen. Met Azure Storage kunt u echter ook door de klant beheerde sleutels (CMK's) van Azure Key Vault gebruiken om uw opslaggegevens te versleutelen. U kunt uw eigen sleutels importeren in Key Vault of de Key Vault-API's gebruiken om sleutels te genereren.

CMK-scenario's waarvoor een door de klant beheerd opslagaccount is vereist

Een door de klant beheerd opslagaccount is vereist voor:

  • Logboekwaarschuwingsquery's versleutelen met CMK's.
  • Opgeslagen query's versleutelen met CMK's.

CMK's toepassen op door de klant beheerde opslagaccounts

Volg deze richtlijnen om CMK's toe te passen op door de klant beheerde opslagaccounts.

Vereisten voor een opslagaccount

Het opslagaccount en de sleutelkluis moeten zich in dezelfde regio bevinden, maar ze kunnen zich ook in verschillende abonnementen bevinden. Zie Azure Storage-versleuteling voor data-at-rest voor meer informatie over Azure Storage-versleuteling en sleutelbeheer.

CMK's toepassen op uw opslagaccounts

Als u uw Azure Storage-account wilt configureren voor het gebruik van CMK's met Key Vault, gebruikt u Azure Portal, PowerShell of de Azure CLI.

Notitie

  • Bij het koppelen van opslagaccount voor query's worden bestaande opgeslagen query's in de werkruimte permanent verwijderd voor privacy. U kunt bestaande opgeslagen query's kopiëren vóór de opslagkoppeling met behulp van PowerShell.
  • Query's die zijn opgeslagen in het querypakket , worden niet versleuteld met de door de klant beheerde sleutel. Selecteer Opslaan als verouderde query bij het opslaan van query's om ze te beveiligen met door de klant beheerde sleutel.
  • Opgeslagen query's worden opgeslagen in tabelopslag en versleuteld met door de klant beheerde sleutel wanneer versleuteling is geconfigureerd bij het maken van een opslagaccount.
  • Waarschuwingen voor zoeken in logboeken worden opgeslagen in blobopslag, waarbij de configuratie van door de klant beheerde sleutelversleuteling zich kan bevinden bij het maken van een opslagaccount of later.
  • U kunt één opslagaccount gebruiken voor alle doeleinden, query's, waarschuwingen, aangepaste logboeken en IIS-logboeken. Voor het koppelen van opslag voor aangepaste logboeken en IIS-logboeken zijn mogelijk meer opslagaccounts nodig voor schaalaanpassing, afhankelijk van de opnamesnelheid en opslaglimieten. U kunt maximaal vijf opslagaccounts koppelen aan een werkruimte.

De Azure-portal gebruiken

Open uw werkruimtemenu in Azure Portal en selecteer Gekoppelde opslagaccounts. Een deelvenster toont de gekoppelde opslagaccounts op basis van de eerder genoemde gebruiksvoorbeelden (opname via Private Link, het toepassen van CMK's op opgeslagen query's of op waarschuwingen).

Schermopname van het deelvenster Gekoppelde opslagaccounts.

Als u een item in de tabel selecteert, worden de details van het opslagaccount geopend, waar u het gekoppelde opslagaccount voor dit type kunt instellen of bijwerken.

Schermopname van het deelvenster Opslagaccount koppelen. U kunt hetzelfde account gebruiken voor verschillende use cases als u wilt.

De Azure CLI of REST API gebruiken

U kunt ook een opslagaccount koppelen aan uw werkruimte via de Azure CLI of REST API.

De toepasselijke dataSourceType waarden zijn:

  • CustomLogs: Als u het opslagaccount wilt gebruiken voor aangepaste logboeken en opname van IIS-logboeken.
  • Query: als u het opslagaccount wilt gebruiken om opgeslagen query's op te slaan (vereist voor CMK-versleuteling).
  • Alerts: Als u het opslagaccount wilt gebruiken om waarschuwingen op basis van logboeken op te slaan (vereist voor CMK-versleuteling).

Gekoppelde opslagaccounts beheren

Volg deze richtlijnen voor het beheren van uw gekoppelde opslagaccounts.

Wanneer u een opslagaccount koppelt aan een werkruimte, worden azure Monitor-logboeken gebruikt in plaats van het opslagaccount dat eigendom is van de service. U kunt:

  • Registreer meerdere opslagaccounts om de belasting van logboeken ertussen te verdelen.
  • Gebruik hetzelfde opslagaccount voor meerdere werkruimten opnieuw.

Als u het gebruik van een opslagaccount wilt stoppen, ontkoppelt u de opslag uit de werkruimte. Wanneer u alle opslagaccounts uit een werkruimte ontkoppelt, worden in Azure Monitor-logboeken door de service beheerde opslagaccounts gebruikt. Als uw netwerk beperkte toegang tot internet heeft, zijn deze opslagaccounts mogelijk niet beschikbaar en mislukken scenario's die afhankelijk zijn van opslag.

Een opslagaccount vervangen

Een opslagaccount vervangen dat wordt gebruikt voor opname:

  1. Maak een koppeling naar een nieuw opslagaccount. De logboekregistratieagenten krijgen de bijgewerkte configuratie en beginnen met het verzenden van gegevens naar de nieuwe opslag. Het proces kan enkele minuten duren.
  2. Ontkoppel het oude opslagaccount, zodat agents stoppen met schrijven naar het verwijderde account. Het opnameproces bewaart het lezen van gegevens van dit account totdat alles is opgenomen. Verwijder het opslagaccount pas nadat u ziet dat alle logboeken zijn opgenomen.

Opslagaccounts onderhouden

Volg deze richtlijnen om uw opslagaccounts te onderhouden.

Logboekretentie beheren

Wanneer u uw eigen opslagaccount gebruikt, is retentie aan u. In Azure Monitor-logboeken worden geen logboeken verwijderd die zijn opgeslagen in uw persoonlijke opslag. In plaats daarvan moet u een beleid instellen om de belasting op basis van uw voorkeuren af te handelen.

Overwegen om te laden

Opslagaccounts kunnen een bepaalde belasting van lees- en schrijfaanvragen verwerken voordat ze beginnen met het beperken van aanvragen. Zie Schaalbaarheids- en prestatiedoelen voor Azure Blob Storage voor meer informatie.

Beperking is van invloed op de tijd die nodig is om logboeken op te nemen. Als uw opslagaccount overbelast is, registreert u een ander opslagaccount om de belasting ertussen te verdelen. Als u de capaciteit en prestaties van uw opslagaccount wilt bewaken, bekijkt u de inzichten in Azure Portal.

Er worden kosten in rekening gebracht voor opslagaccounts op basis van het volume van opgeslagen gegevens, het type opslag en het type redundantie. Zie prijzen voor blok-blob en Prijzen voor Azure Table Storage voor meer informatie.

Volgende stappen