Configurações de diagnóstico no Azure Monitor
Este artigo fornece detalhes sobre como criar e definir configurações de diagnóstico para enviar métricas da plataforma do Azure, logs de recursos e o log de atividades para destinos diferentes.
Cada recurso do Azure requer sua própria configuração de diagnóstico, o que define os seguintes critérios:
- Fontes: o tipo de dados de log e métrica a ser enviado aos destinos definidos na configuração. Os tipos disponíveis variam de acordo com o tipo de recurso.
- Destinos: um ou mais destinos para envio.
Uma única configuração de diagnóstico pode definir apenas um de cada um dos destinos. Se desejar enviar dados para mais de um tipo de destino específico (por exemplo, dois workspaces do Log Analytics diferentes), crie várias configurações. Cada recurso pode ter até cinco configurações de diagnóstico.
Aviso
Se você precisar excluir um recurso, renomear ou mover um recurso, ou migrá-lo entre grupos de recursos ou assinaturas, primeiro exclua suas configurações de diagnóstico. Caso contrário, se você recriar esse recurso, as configurações de diagnóstico do recurso excluído poderão ser incluídas com o novo recurso, dependendo da configuração do recurso para cada recurso. Se as configurações de diagnóstico estiverem incluídas no novo recurso, isso retomará a coleção de logs de recursos conforme definido na configuração de diagnóstico e enviará a métrica aplicável e os dados de log para o destino configurado anteriormente.
Além disso, é uma boa prática excluir as configurações de diagnóstico de um recurso que você vai excluir e não planeja usar novamente para manter seu ambiente limpo.
O vídeo a seguir orienta você a como fazer o roteamento de logs da plataforma de recursos com as configurações de diagnóstico. O vídeo foi feito há um tempo atrás. Não esqueça do seguinte:
- Agora há quatro destinos. Você pode enviar logs e métricas de plataforma para determinados Azure Monitor parceiros.
- Um novo recurso chamado grupos de categorias foi introduzido em novembro de 2021.
Informações sobre esses recursos mais novos estão incluídas neste artigo.
Origens
Há três fontes para informações de diagnóstico:
- As métricas de plataforma são enviadas automaticamente e sem configuração para métricas do Azure Monitor.
- Logs de plataforma – forneça informações detalhadas de diagnóstico e auditoria para os recursos do Azure e a plataforma do Azure da qual eles dependem.
- Os logs de recursos não são coletados até que sejam roteados para um destino.
- O Log de atividades fornece informações sobre recursos de fora do recurso, como quando o recurso foi criado ou excluído. As entradas existem por conta própria, mas podem ser roteadas para outros locais.
Métrica
A configuração AllMetrics encaminha as métricas de plataforma de um recurso para outros destinos. Pode ser que essa opção não esteja presente para todos os provedores de recursos.
Logs de recursos
Com os logs de recursos, você pode selecionar as categorias de log que deseja rotear individualmente ou escolher um grupo de categorias.
Grupos de categorias
Observação
Os grupos de categorias não se aplicam a todos os provedores de recursos de métrica. Se um provedor não os tiver disponíveis nas configurações de diagnóstico no portal do Azure, eles também não estarão disponíveis por meio de modelos do Azure Resource Manager.
Você pode usar grupos de categorias para coletar dinamicamente logs de recursos com base em grupos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os grupos para ajudar a monitorar casos de uso específicos em todos os serviços do Azure. Ao longo do tempo, as categorias no grupo podem ser atualizadas conforme novos logs são lançados ou conforme as avaliações mudam. Quando categorias de log são adicionadas ou removidas de um grupo de categorias, sua coleção de logs é modificada automaticamente sem a necessidade de atualizar as configurações de diagnóstico.
Ao usar grupos de categorias, você:
- Não pode mais selecionar individualmente logs de recursos com base em tipos de categoria individuais.
- Não pode mais aplicar configurações de retenção aos logs enviados ao Armazenamento do Microsoft Azure.
Atualmente, há dois grupos de categorias:
- Todos: cada log de recursos oferecido pelo recurso.
- Auditoria: todos os logs de recursos que registram interações do cliente com os dados ou as configurações do serviço. Os logs de auditoria são uma tentativa de cada provedor de recursos de fornecer os dados de auditoria mais relevantes, mas podem não ser considerados suficientes do ponto de vista dos padrões de auditoria, dependendo do seu caso de uso. Conforme mencionado acima, o que é coletado é dinâmico, e a Microsoft pode alterá-lo ao longo do tempo à medida que novas categorias de registro de recursos se tornam disponíveis.
O grupo de categorias "Auditoria" é um subconjunto do grupo de categorias "Todos", mas o portal do Azure e a API REST os consideram configurações separadas. A seleção do grupo de categorias "Todos" coleta todos os logs de auditoria mesmo que o grupo de categorias "Auditoria" também esteja selecionado.
A imagem a seguir mostra os grupos de categorias de logs na página Adicionar configurações de diagnóstico.
Observação
Habilitar a Auditoria para Banco de Dados SQL do Azure não habilita a auditoria para o Banco de Dados SQL do Azure. Para habilitar a auditoria de banco de dados, você precisa fazê-lo na folha de auditoria do Banco de Dados do Azure.
Log de atividades
Confira a seção Configurações do log de atividades.
Destinos
Os logs e as métricas da plataforma podem ser enviados para os destinos listados na tabela a seguir.
Para garantir a segurança dos dados em trânsito, todos os pontos de extremidade de destino são configurados para oferecer suporte ao TLS 1.2.
| Destino | Descrição |
|---|---|
| Espaço de Trabalho do Log Analytics | As métricas são convertidas no formulário de log. Essa opção pode não estar disponível para todos os tipos de recurso. Ao enviá-las para o repositório de Logs do Azure Monitor (que é pesquisável via Log Analytics) ajuda a integrá-las em consultas, alertas e visualizações com dados de log existentes. |
| Conta do Armazenamento do Azure | O arquivamento de logs e métricas em uma conta de armazenamento é útil para auditoria, análise estática ou backup. Em comparação ao uso de logs do Azure Monitor ou um workspace do Log Analytics, o armazenamento é menos dispendioso e os logs podem ser mantidos indefinidamente. |
| Hubs de eventos do Azure | Ao enviar logs e métricas para o Hubs de Eventos, você pode transmitir dados para sistemas externos, como SIEMs de terceiros e outras soluções do Log Analytics. |
| Soluções de parceiro do Azure Monitor | Integrações especializadas podem ser feitas entre o Azure Monitor e outras plataformas de monitoramento que não sejam da Microsoft. A integração é útil quando você já está usando um dos parceiros. |
Configurações do log de atividades
O log de atividades usa uma configuração de diagnóstico, mas tem uma interface do usuário própria, pois se aplica a toda a assinatura em vez de recursos individuais. As informações de destino listadas aqui ainda são aplicáveis. Para obter mais informações, confira Log de atividades do Azure.
Requisitos e limitações
Esta seção discute requisitos e limitações.
Tempo antes da telemetria chegar ao destino
Depois de configurar uma configuração de diagnóstico, os dados devem começar a fluir para o(s) destino(s) selecionado(s) dentro de 90 minutos. Ao enviar logs para um workspace do Log Analytics, a tabela será criada automaticamente se ela ainda não existir. A tabela só é criada quando os primeiros registros de log são recebidos. Se você não receber nenhuma informação dentro de 24 horas, então você pode estar enfrentando um dos seguintes problemas:
- Nenhum log está sendo gerado.
- Algo está errado no mecanismo de roteamento subjacente.
Se você estiver enfrentando um problema, tente desabilitar a configuração e reativá-la. Entre em contato com Suporte do Azure por meio do portal do Azure se você continuar tendo problemas.
Métricas como fonte
Há determinadas limitações na exportação de métricas:
- No momento, não há suporte para o envio de métricas multidimensionais por meio de configurações de diagnóstico. As métricas com dimensões são exportadas como métricas dimensionais simples, agregadas nos valores da dimensão. Por exemplo, a métrica IOReadBytes em um blockchain pode ser explorada e plotada em um nível por nó. No entanto, quando exportada por meio de configurações de diagnóstico, a métrica é representada como todos os bytes de leitura de todos os nós.
- Nem todas as métricas são exportáveis com configurações de diagnóstico. Devido a limitações internas, nem todas as métricas podem ser exportadas para o Azure Monitor Logs ou Log Analytics. Para obter mais informações, consulte a coluna exportável na lista de métricas com suporte.
Para contornar essas limitações em métricas específicas, você pode extraí-las manualmente usando a API REST de Métricas. Em seguida, você pode importá-las para logs do Azure Monitor usando a API do Coletor de Dados do Azure Monitor.
Limitações de destino
Todos os destinos para a configuração de diagnósticos devem ser criados antes de criar as configurações de diagnóstico. O destino não precisa estar na mesma assinatura que o recurso que envie os logs se o usuário que define a configuração tiver controle de acesso baseado em função do Azure apropriado a ambas as assinaturas. Usando o Azure Lighthouse, também é possível enviar configurações de diagnóstico para um espaço de trabalho, conta de armazenamento ou hub de eventos em outro locatário do Microsoft Entra.
A tabela a seguir fornece requisitos exclusivos para cada destino, incluindo quaisquer restrições regionais.
| Destino | Requisitos |
|---|---|
| Espaço de trabalho do Log Analytics | O workspace não precisa estar na mesma região que o recurso sendo monitorado. |
| Conta de armazenamento | Não use uma conta de armazenamento existente que tenha outros dados não monitorados armazenados nela. Dividir os tipos de dados permite controlar melhor o acesso aos dados. Caso você esteja arquivando o log de atividades e os logs de recursos juntos, você pode optar por usar a mesma conta de armazenamento para manter todos os dados de monitoramento em um local central. Para evitar a modificação dos dados, envie-os para o armazenamento imutável. Defina a política imutável para a conta de armazenamento, conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure. Você deve seguir todas as etapas deste artigo, incluindo a habilitação de gravações de blobs de acréscimo protegidos. A conta de armazenamento precisa estar na mesma região que o recurso sendo monitorado se o recurso for regional. As configurações de diagnóstico não pode acessar as contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir serviços confiáveis da Microsoft para ignorar essa configuração de firewall nas contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor obtenha acesso à sua conta de armazenamento. Os pontos de extremidade de zona DNS do Azure (visualização) e as contas de armazenamento do Azure Premium LRS (armazenamento localmente redundante) não têm suporte como um destino de log ou métrica. |
| Hubs de Eventos | A política de acesso compartilhado do namespace define as permissões que o mecanismo de streaming tem. O streaming para Hubs de Eventos exige as permissões Gerenciar, Enviar e Escutar. Para atualizar a configuração de diagnóstico para incluir o streaming, você deve ter a permissão ListKey nessa regra de autorização de Hubs de Eventos. O namespace do hub de eventos precisa estar na mesma região que o recurso sendo monitorado se o recurso for regional. As configurações de diagnóstico não pode acessar recursos do Hubs de Eventos quando as redes virtuais estão habilitadas. Você deve habilitar Permitir serviços confiáveis da Microsoft para ignorar essa configuração de firewall no Hubs de Eventos para que o serviço de configurações de diagnóstico do Azure Monitor obtenha acesso aos seus recursos de Hubs de Eventos. |
| Soluções de parceiros | As soluções variam de acordo com o parceiro. Verifique a documentação dos Serviços ISV Nativos do Azure para obter detalhes. |
Cuidado
Se você quiser armazenar logs de diagnóstico em um workspace do Log Analytics, há dois pontos a considerar para evitar ver dados duplicados no Application Insights:
- O destino não pode ser o mesmo workspace do Log Analytics no qual o seu recurso do Application Insights se baseia.
- O usuário do Application Insights não pode ter acesso a ambos os workspaces. Defina o modo de controle de acesso do Log Analytics como Requer permissões de workspace. Por meio do Controle de acesso baseado em função do Azure, garanta que o usuário tenha acesso apenas ao workspace do Log Analytics em que o recurso Application Insights é baseado.
Essas etapas são necessárias porque o Application Insights acessa a telemetria entre os recursos do Application Insight, incluindo workspaces do Log Analytics, para fornecer operações de transação completas de ponta a ponta e mapas de aplicativos precisos. Como os logs de diagnóstico usam os mesmos nomes de tabela, a telemetria duplicada poderá ser exibida se o usuário tiver acesso a vários recursos com os mesmos dados.
Controle dos custos
Há um custo para coletar dados em um workspace do Log Analytics; portanto, colete apenas as categorias necessárias para cada serviço. O volume de dados para logs de recurso varia significativamente entre os serviços.
Também pode não ser necessário coletar métricas de plataforma de recursos do Azure, pois esses dados já estão sendo coletados em Métricas. Configure seus dados de diagnóstico para coletar métricas somente se precisar de dados de métricas no workspace para análises mais complexas com consultas de log. As configurações de diagnóstico não permitem a filtragem granular de logs de recursos.
Dica
Para ver estratégias que reduzem os custos do Azure Monitor, confira Otimização de custos e o Azure Monitor.