Usar contas de armazenamento gerenciadas pelo cliente nos Logs do Azure Monitor

Os Logs do Azure Monitor dependem do Armazenamento do Microsoft Azure em vários cenários. O Azure Monitor normalmente gerencia esse tipo de armazenamento automaticamente, mas alguns casos exigem que você forneça e gerencie sua própria conta de armazenamento, também conhecida como uma conta de armazenamento gerenciada pelo cliente. Este artigo descreve os casos de uso e os requisitos para configurar o armazenamento gerenciado pelo cliente para logs do Azure Monitor e explica como vincular uma conta de armazenamento a um workspace do Log Analytics.

Observação

É recomendável que você não use uma dependência do conteúdo que os Logs do Azure Monitor carregam no armazenamento gerenciado pelo cliente, porque a formatação e o conteúdo podem ser alterados.

As contas de armazenamento gerenciadas pelo cliente são usadas para ingerir logs personalizados quando links privados são usados para se conectar aos recursos do Azure Monitor. O processo de ingestão desses tipos de dados primeiro carrega os logs em uma conta intermediária do armazenamento do Azure e, em seguida, os ingeri em um espaço de trabalho.

Requisitos do espaço de trabalho

Ao se conectar com o Azure Monitor por meio de um link privado, os agentes do Log Analytics só podem enviar logs para workspaces acessíveis em um link privado. Esse requisito significa que você deve:

  • Configurar um objeto AMPLS (escopo de link privado do Azure Monitor).
  • Conectá-lo aos workspaces.
  • Conectar o AMPLS à sua rede por meio de um link privado.

Para obter mais informações sobre o procedimento de configuração AMPLS, consulte Usar o link privado do Azure para conectar redes ao Azure Monitor com segurança.

Requisitos da conta de armazenamento

Para que a conta de armazenamento se conecte ao seu link privado, ela deve:

  • Estar localizada na rede virtual ou em uma rede emparelhada e conectada à rede virtual por meio de um link privado.

  • Estar na mesma região que o workspace ao qual está vinculada.

  • Permitir que Azure Monitor acesse a conta de armazenamento. Para permitir que apenas redes específicas acessem sua conta de armazenamento, selecione a exceção Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento.

    Screenshot that shows Storage account trust Microsoft services.

Se o workspace processa tráfego de outras redes, configure a conta de armazenamento para permitir o tráfego de entrada proveniente das redes relevantes ou da Internet.

Coordene a versão do TLS entre os agentes e a conta de armazenamento. Recomendamos que você envie dados ao Log Analytics usando TLS 1.2 ou superior. Examine as Diretrizes específicas da plataforma. Se necessário, configure os agentes para usar TLS 1.2. Se isso não for possível, configure a conta de armazenamento para aceitar TLS 1.0.

Criptografia de dados de chave gerenciada pelo cliente

O Armazenamento do Azure criptografa todos os dados em repouso em uma conta de armazenamento. Por padrão, ele usa MMKs (chaves gerenciadas pela Microsoft) para criptografar os dados. No entanto, o armazenamento do Azure também permite que você use chaves gerenciadas pelo cliente (CMKs) do Azure Key Vault para criptografar seus dados de armazenamento. Você pode importar as próprias chaves e armazená-las no Key Vault ou usar as APIs do Key Vault para gerar chaves.

Cenários de CMK que exigem uma conta de armazenamento gerenciada pelo cliente

Uma conta de armazenamento gerenciada pelo cliente é necessária para:

  • Criptografar consultas de alerta de log com CMKs.
  • Criptografar consultas salvas com CMKs.

Aplicar CMKs a contas de armazenamento gerenciadas pelo cliente

Siga essas diretrizes para aplicar CMKs a contas de armazenamento gerenciadas pelo cliente.

Requisitos da conta de armazenamento

A conta de armazenamento e o cofre de chaves precisam estar na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre a criptografia de armazenamento do Azure e gerenciamento de chave, confira Criptografia do Armazenamento do Azure para dados inativos.

Aplicar CMK às contas de armazenamento

Para configurar a conta de armazenamento do Azure para usar CMKs com o Key Vault, use o portal do Azure, o PowerShell ou a CLI do Azure.

Observação

  • Ao vincular a conta de armazenamento para consulta, as consultas salvas existentes no workspace são excluídas permanentemente por uma questão de privacidade. Você pode copiar consultas salvas existentes antes do link de armazenamento usando o PowerShell.
  • As consultas salvas no pacote de consultas não são criptografadas com a chave gerenciada pelo cliente. Selecione Salvar como consulta herdada ao salvar consultas para protegê-las com a chave gerenciada pelo cliente.
  • As consultas salvas são armazenadas no armazenamento de tabelas e criptografadas com a chave gerenciada pelo cliente quando a criptografia é configurada durante a criação da conta de armazenamento.
  • Os alertas de pesquisa de log são salvos no armazenamento de blobs em que a configuração da criptografia de chave gerenciada pelo cliente pode estar, durante a criação da conta de armazenamento ou posteriormente.
  • Você pode usar uma única conta de armazenamento para todas as finalidades, consulta, alerta, log personalizado e logs de IIS. Vincular o armazenamento para logs personalizados e logs de IIS pode exigir mais contas de armazenamento para escala, dependendo da taxa de ingestão e dos limites de armazenamento. Você pode vincular até cinco contas de armazenamento a um workspace.

Use o Portal do Azure

Na portal do Azure, abra o menu do workspace e selecione Contas de armazenamento vinculadas. Um painel mostra as contas de armazenamento vinculadas pelos casos de uso mencionados acima (ingestão por link privado, aplicando CMKs a consultas salvas ou a alertas).

Screenshot that shows the Linked storage accounts pane.

A seleção de um item na tabela abre os detalhes da respectiva conta de armazenamento, em que você poderá definir ou atualizar a conta de armazenamento vinculada para esse tipo.

Screenshot that shows the Link storage account pane. Você poderá usar a mesma conta para diferentes casos de uso, se preferir.

Usar a CLI do Azure ou a API REST

Você também pode vincular uma conta de armazenamento ao seu espaço de trabalho por meio da CLI do Azure ou da API REST.

Os valores de dataSourceType aplicáveis são:

  • CustomLogs: para usar a conta de armazenamento em logs personalizados e ingestão de logs do IIS.
  • Query: para usar a conta de armazenamento para armazenar consultas salvas (necessário para criptografia de CMK).
  • Alerts: para usar a conta de armazenamento para armazenar alertas baseados em log (necessário para a criptografia de CMK).

Gerenciar as contas de armazenamento vinculadas

Siga estas diretrizes para gerenciar as contas de armazenamento vinculadas.

Quando você vincula uma conta de armazenamento a um espaço de trabalho, os Logs do Azure Monitor começam a usá-la em vez da conta de armazenamento pertencente ao serviço. Você pode:

  • Registrar várias contas de armazenamento para distribuir a carga de logs entre elas.
  • Reutilizar a mesma conta de armazenamento para vários workspaces.

Para parar de usar uma conta de armazenamento, desvincule o armazenamento do espaço de trabalho. Quando você desvincula todas as contas de armazenamento de um workspace, os Logs do Azure Monitor usam contas de armazenamento gerenciadas pelo serviço. Se a rede tiver acesso limitado à Internet, essas contas de armazenamento poderão não estar disponíveis. Assim, qualquer cenário que dependa do armazenamento falhará.

Substituir uma conta de armazenamento

Para substituir uma conta de armazenamento usada para ingestão:

  1. Crie um link para uma nova conta de armazenamento. Os agentes de registro em log receberão a configuração atualizada e começarão a enviar dados para o novo armazenamento. O processo pode levar alguns minutos.
  2. Desvincule a antiga conta de armazenamento para que os agentes parem de gravar na conta removida. O processo de ingestão continua lendo os dados dessa conta até que eles sejam todos ingeridos. Não exclua a conta de armazenamento até verificar que todos os logs foram ingeridos.

Manter as contas de armazenamento

Siga estas diretrizes para manter suas contas de armazenamento.

Gerenciar retenção de log

Quando você usa a sua conta de armazenamento, a retenção é sua responsabilidade. Os Logs do Azure Monitor não excluem logs armazenados em seu armazenamento privado. Em vez disso, você deve configurar uma política para lidar com a carga de acordo com suas preferências.

Considerar a carga

As contas de armazenamento podem lidar com determinada carga de solicitações de leitura e gravação antes de iniciarem as solicitações de limitação. Para obter mais informações, confira Escalabilidade e metas de desempenho do Armazenamento de Blobs do Azure.

A limitação afeta o tempo necessário para a ingestão de logs. Se a conta de armazenamento estiver sobrecarregada, registre outra conta de armazenamento para distribuir a carga entre elas. Para monitorar a capacidade e o desempenho da conta de armazenamento, veja os Insights no portal do Azure.

Você é cobrado por contas de armazenamento com base no volume de dados armazenados, no tipo de armazenamento e no tipo de redundância. Para obter mais informações, confira Preços do blob de blocos e Preços do Armazenamento de Tabelas do Azure.

Próximas etapas