Używanie kont magazynu zarządzanych przez klienta w dziennikach usługi Azure Monitor

  • Artykuł

Dzienniki usługi Azure Monitor korzystają z usługi Azure Storage w różnych scenariuszach. Usługa Azure Monitor zwykle automatycznie zarządza tym typem magazynu, ale niektóre przypadki wymagają podania własnego konta magazynu i zarządzania nim, nazywanego również kontem magazynu zarządzanego przez klienta. W tym artykule opisano przypadki użycia i wymagania dotyczące konfigurowania magazynu zarządzanego przez klienta dla dzienników usługi Azure Monitor i wyjaśniono, jak połączyć konto magazynu z obszarem roboczym usługi Log Analytics.

Uwaga

Zalecamy, aby nie przyjmować zależności od zawartości przekazywanej przez dzienniki usługi Azure Monitor do magazynu zarządzanego przez klienta, ponieważ formatowanie i zawartość mogą ulec zmianie.

Konta magazynu zarządzane przez klienta służą do pozyskiwania dzienników niestandardowych, gdy linki prywatne są używane do łączenia się z zasobami usługi Azure Monitor. Proces pozyskiwania tych typów danych najpierw przekazuje dzienniki do pośredniego konta usługi Azure Storage, a następnie pozyskuje je do obszaru roboczego.

Wymagania dotyczące obszaru roboczego

Po nawiązaniu połączenia z usługą Azure Monitor za pośrednictwem łącza prywatnego agent usługi Azure Monitor może wysyłać dzienniki tylko do obszarów roboczych dostępnych za pośrednictwem łącza prywatnego. To wymaganie oznacza, że należy wykonać następujące konieczność:

  • Konfigurowanie obiektu zakresu usługi Private Link (AMPLS) usługi Azure Monitor.
  • Połączenie go do obszarów roboczych.
  • Połączenie ampLS do sieci za pośrednictwem łącza prywatnego.

Aby uzyskać więcej informacji na temat procedury konfiguracji AMPLS, zobacz Używanie usługi Azure Private Link do bezpiecznego łączenia sieci z usługą Azure Monitor.

Wymagania konta magazynu

Aby konto magazynu nawiązało połączenie z linkiem prywatnym, musi:

  • Być zlokalizowana w sieci wirtualnej lub sieci równorzędnej i połączona z siecią wirtualną za pośrednictwem łącza prywatnego.

  • Należy znajdować się w tym samym regionie co obszar roboczy, z którym jest połączony.

  • Zezwalaj usłudze Azure Monitor na dostęp do konta magazynu. Aby zezwolić tylko określonym sieciom na dostęp do konta magazynu, wybierz wyjątek Zezwalaj zaufanym usługi firmy Microsoft na dostęp do tego konta magazynu.

    Zrzut ekranu przedstawiający usługi firmy Microsoft zaufania konta magazynu.

Jeśli obszar roboczy obsługuje ruch z innych sieci, skonfiguruj konto magazynu, aby zezwolić na ruch przychodzący z odpowiednich sieci/Internetu.

Koordynuj wersję protokołu TLS między agentami a kontem magazynu. Zalecamy wysyłanie danych do dzienników usługi Azure Monitor przy użyciu protokołu TLS 1.2 lub nowszego. Zapoznaj się ze wskazówkami specyficznymi dla platformy. W razie potrzeby skonfiguruj agentów do używania protokołu TLS. Jeśli to nie jest możliwe, skonfiguruj konto magazynu tak, aby akceptował protokół TLS 1.0.

Szyfrowanie danych klucza zarządzanego przez klienta

Usługa Azure Storage szyfruje wszystkie dane magazynowane na koncie magazynu. Domyślnie szyfruje dane przy użyciu kluczy zarządzanych przez firmę Microsoft (MMKs). Jednak usługa Azure Storage umożliwia również szyfrowanie danych magazynu przy użyciu kluczy zarządzanych przez klienta (CMKS) z usługi Azure Key Vault. Możesz zaimportować własne klucze do usługi Key Vault lub użyć interfejsów API usługi Key Vault do wygenerowania kluczy.

Scenariusze cmK, które wymagają konta magazynu zarządzanego przez klienta

Konto magazynu zarządzanego przez klienta jest wymagane w przypadku:

  • Szyfrowanie zapytań dotyczących alertów dzienników za pomocą zestawów CMKs.
  • Szyfrowanie zapisanych zapytań przy użyciu zestawów CMKs.

Stosowanie zestawów CMKs do kont magazynu zarządzanych przez klienta

Postępuj zgodnie z poniższymi wskazówkami, aby zastosować zestawy CMKs do kont magazynu zarządzanych przez klienta.

Wymagania konta magazynu

Konto magazynu i magazyn kluczy muszą znajdować się w tym samym regionie, ale mogą również znajdować się w różnych subskrypcjach. Aby uzyskać więcej informacji na temat szyfrowania i zarządzania kluczami usługi Azure Storage, zobacz Szyfrowanie usługi Azure Storage dla danych magazynowanych.

Stosowanie zestawów CMKs do kont magazynu

Aby skonfigurować konto usługi Azure Storage do używania kluczy z usługą Key Vault, użyj witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Uwaga

  • Podczas łączenia konta magazynu dla zapytania istniejące zapisane zapytania w obszarze roboczym są trwale usuwane w celu zachowania poufności informacji. Istniejące zapisane zapytania można skopiować przed linkiem magazynu przy użyciu programu PowerShell.
  • Zapytania zapisane w pakiecie zapytań nie są szyfrowane przy użyciu klucza zarządzanego przez klienta. Wybierz pozycję Zapisz jako starsze zapytanie podczas zapisywania zapytań , aby chronić je przy użyciu klucza zarządzanego przez klienta.
  • Zapisane zapytania są przechowywane w magazynie tabel i szyfrowane przy użyciu klucza zarządzanego przez klienta podczas konfigurowania szyfrowania podczas tworzenia konta magazynu.
  • Alerty przeszukiwania dzienników są zapisywane w magazynie obiektów blob, w którym konfiguracja szyfrowania kluczy zarządzanych przez klienta może być częścią tworzenia konta magazynu lub nowszego.
  • Do wszystkich celów, zapytań, alertów, dzienników niestandardowych i dzienników usług IIS można użyć jednego konta magazynu. Łączenie magazynu dla dzienników niestandardowych i dzienników usług IIS może wymagać większej liczby kont magazynu na potrzeby skalowania, w zależności od szybkości pozyskiwania i limitów magazynu. Możesz połączyć maksymalnie pięć kont magazynu z obszarem roboczym.

Korzystanie z witryny Azure Portal

W witrynie Azure Portal otwórz menu obszaru roboczego i wybierz pozycję Połączone konta magazynu. W okienku są wyświetlane połączone konta magazynu według wcześniej wymienionych przypadków użycia (pozyskiwanie za pośrednictwem usługi Private Link, stosowanie zestawów CMKs do zapisanych zapytań lub alertów).

Zrzut ekranu przedstawiający okienko Połączone konta magazynu.

Wybranie elementu w tabeli powoduje otwarcie szczegółów konta magazynu, w którym można ustawić lub zaktualizować połączone konto magazynu dla tego typu.

Zrzut ekranu przedstawiający okienko Połącz konto magazynu. Jeśli wolisz, możesz użyć tego samego konta dla różnych przypadków użycia.

Korzystanie z interfejsu wiersza polecenia platformy Azure lub interfejsu API REST

Możesz również połączyć konto magazynu z obszarem roboczym za pośrednictwem interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Odpowiednie dataSourceType wartości to:

  • CustomLogs: Aby użyć konta magazynu na potrzeby dzienników niestandardowych i pozyskiwania dzienników usług IIS.
  • Query: Aby używać konta magazynu do przechowywania zapisanych zapytań (wymaganych do szyfrowania cmK).
  • Alerts: Aby używać konta magazynu do przechowywania alertów opartych na dziennikach (wymaganych do szyfrowania cmK).

Zarządzanie połączonymi kontami magazynu

Postępuj zgodnie z tymi wskazówkami, aby zarządzać połączonymi kontami magazynu.

Po połączeniu konta magazynu z obszarem roboczym dzienniki usługi Azure Monitor zaczynają używać go zamiast konta magazynu należącego do usługi. Masz następujące możliwości:

  • Zarejestruj wiele kont magazynu, aby rozłożyć obciążenie dzienników między nimi.
  • Użyj ponownie tego samego konta magazynu dla wielu obszarów roboczych.

Aby zatrzymać korzystanie z konta magazynu, odłącz magazyn od obszaru roboczego. Po odłączeniu wszystkich kont magazynu z obszaru roboczego dzienniki usługi Azure Monitor używają kont magazynu zarządzanego przez usługę. Jeśli sieć ma ograniczony dostęp do Internetu, te konta magazynu mogą być niedostępne, a każdy scenariusz, który opiera się na magazynie, zakończy się niepowodzeniem.

Zastępowanie konta magazynu

Aby zastąpić konto magazynu używane do pozyskiwania:

  1. Utwórz link do nowego konta magazynu. Agenci rejestrowania otrzymają zaktualizowaną konfigurację i zaczną wysyłać dane do nowego magazynu. Proces może potrwać kilka minut.
  2. Odłącz stare konto magazynu, aby agenci przestali zapisywać dane na usuniętym koncie. Proces pozyskiwania kontynuuje odczytywanie danych z tego konta, dopóki nie zostanie pozyskane. Nie usuwaj konta magazynu, dopóki nie zobaczysz, że wszystkie dzienniki zostały pozyskane.

Obsługa kont magazynu

Postępuj zgodnie z poniższymi wskazówkami, aby obsługiwać konta magazynu.

Zarządzanie przechowywaniem dzienników

W przypadku korzystania z własnego konta magazynu przechowywanie zależy od Ciebie. Dzienniki usługi Azure Monitor nie usuwa dzienników przechowywanych w magazynie prywatnym. Zamiast tego należy skonfigurować zasady do obsługi obciążenia zgodnie z preferencjami.

Rozważ obciążenie

Konta magazynu mogą obsługiwać pewne obciążenia żądań odczytu i zapisu przed rozpoczęciem ograniczania żądań. Aby uzyskać więcej informacji, zobacz Cele dotyczące skalowalności i wydajności dla usługi Azure Blob Storage.

Ograniczanie wpływa na czas pozyskiwania dzienników. Jeśli konto magazynu jest przeciążone, zarejestruj inne konto magazynu, aby rozłożyć obciążenie między nimi. Aby monitorować pojemność i wydajność konta magazynu, przejrzyj jego Szczegółowe informacje w witrynie Azure Portal.

Opłaty są naliczane za konta magazynu na podstawie ilości przechowywanych danych, typu magazynu i typu nadmiarowości. Aby uzyskać więcej informacji, zobacz Cennik blokowych obiektów blob i Cennik usługi Azure Table Storage.

Następne kroki