Diagnostikinställningar i Azure Monitor
Den här artikeln innehåller information om hur du skapar och konfigurerar diagnostikinställningar för att skicka Azure-plattformsmått, resursloggar och aktivitetsloggen till olika mål.
Varje Azure-resurs kräver en egen diagnostikinställning, som definierar följande villkor:
- Källor: Typen av mått och loggdata som ska skickas till de mål som definieras i inställningen. De tillgängliga typerna varierar beroende på resurstyp.
- Mål: Ett eller flera mål att skicka till.
En enda diagnostikinställning kan inte definiera fler än ett av vart och ett av målen. Om du vill skicka data till mer än en av en viss måltyp (till exempel två olika Log Analytics-arbetsytor) skapar du flera inställningar. Varje resurs kan ha upp till fem diagnostikinställningar.
Varning
Om du behöver ta bort en resurs, byta namn på eller flytta en resurs eller migrera den mellan resursgrupper eller prenumerationer tar du först bort dess diagnostikinställningar. Annars kan diagnostikinställningarna för den borttagna resursen inkluderas i den nya resursen om du återskapar den här resursen, beroende på resurskonfigurationen för varje resurs. Om diagnostikinställningarna ingår i den nya resursen återupptar detta samlingen av resursloggar enligt definitionen i diagnostikinställningen och skickar tillämpliga mått- och loggdata till det tidigare konfigurerade målet.
Det är också en bra idé att ta bort diagnostikinställningarna för en resurs som du ska ta bort och inte planerar att använda igen för att hålla miljön ren.
Följande video vägleder dig genom routning av resursplattformsloggar med diagnostikinställningar. Videon gjordes vid ett tidigare tillfälle. Tänk på följande ändringar:
- Det finns nu fyra destinationer. Du kan skicka plattformsmått och loggar till vissa Azure Monitor-partner.
- En ny funktion som kallas kategorigrupper introducerades i november 2021.
Information om dessa nyare funktioner finns i den här artikeln.
Källor
Det finns tre källor för diagnostikinformation:
- Plattformsmått skickas automatiskt till Azure Monitor-mått som standard och utan konfiguration.
- Plattformsloggar – tillhandahålla detaljerad diagnostik- och granskningsinformation för Azure-resurser och den Azure-plattform som de är beroende av.
- Resursloggar samlas inte in förrän de dirigeras till ett mål.
- Aktivitetsloggen innehåller information om resurser utanför resursen, till exempel när resursen skapades eller togs bort. Poster finns på egen hand men kan dirigeras till andra platser.
Mått
Inställningen AllMetrics dirigerar en resurs plattformsmått till andra mål. Det här alternativet kanske inte finns för alla resursprovidrar.
Resursloggar
Med resursloggar kan du välja de loggkategorier som du vill dirigera individuellt eller välja en kategorigrupp.
Kategorigrupper
Kommentar
Kategorigrupper gäller inte för alla måttresursprovidrar. Om en provider inte har dem tillgängliga i diagnostikinställningarna i Azure-portalen blir de inte heller tillgängliga via Azure Resource Manager-mallar.
Du kan använda kategorigrupper för att dynamiskt samla in resursloggar baserat på fördefinierade grupper i stället för att välja enskilda loggkategorier. Microsoft definierar grupperingarna för att övervaka specifika användningsfall för alla Azure-tjänster. Med tiden kan kategorierna i gruppen uppdateras när nya loggar distribueras eller när utvärderingarna ändras. När loggkategorier läggs till eller tas bort från en kategorigrupp ändras loggsamlingen automatiskt utan att du behöver uppdatera diagnostikinställningarna.
När du använder kategorigrupper:
- Det går inte längre att välja resursloggar individuellt baserat på enskilda kategorityper.
- Det går inte längre att tillämpa kvarhållningsinställningar på loggar som skickas till Azure Storage.
För närvarande finns det två kategorigrupper:
- Alla: Varje resurslogg som erbjuds av resursen.
- Granskning: Alla resursloggar som registrerar kundinteraktioner med data eller tjänstens inställningar. Granskningsloggar är ett försök av varje resursprovider att tillhandahålla de mest relevanta granskningsdata, men kanske inte anses vara tillräckliga ur ett granskningsstandarders perspektiv beroende på ditt användningsfall. Som nämnts ovan är det som samlas in dynamiskt, och Microsoft kan ändra det över tid när nya resursloggkategorier blir tillgängliga.
Kategorigruppen "Granska" är en delmängd av kategorigruppen "Alla", men Azure-portalen och REST-API:et anser att de är separata inställningar. Om du väljer kategorigruppen "Alla" samlas alla granskningsloggar in även om kategorigruppen "Granskning" också är markerad.
Följande bild visar kategorigrupperna för loggar på sidan Lägg till diagnostikinställningar .
Kommentar
Om du aktiverar Granskning för Azure SQL Database aktiveras inte granskning för Azure SQL Database. Om du vill aktivera databasgranskning måste du aktivera den från granskningsbladet för Azure Database.
Aktivitetslogg
Se avsnittet Inställningar för aktivitetslogg.
Destinationer
Plattformsloggar och mått kan skickas till de mål som anges i följande tabell.
För att säkerställa säkerheten för data under överföring är alla målslutpunkter konfigurerade för stöd för TLS 1.2.
| Mål | beskrivning |
|---|---|
| Log Analytics-arbetsyta | Mått konverteras till loggformulär. Det här alternativet kanske inte är tillgängligt för alla resurstyper. Genom att skicka dem till Azure Monitor-loggarkivet (som kan sökas via Log Analytics) kan du integrera dem i frågor, aviseringar och visualiseringar med befintliga loggdata. |
| Azure-lagringskonto | Arkivering av loggar och mått till ett lagringskonto är användbart för granskning, statisk analys eller säkerhetskopiering. Jämfört med att använda Azure Monitor-loggar eller en Log Analytics-arbetsyta är Lagring billigare och loggar kan sparas där på obestämd tid. |
| Azure Event Hubs | När du skickar loggar och mått till Event Hubs kan du strömma data till externa system som SIEM från tredje part och andra Log Analytics-lösningar. |
| Azure Monitor-partnerlösningar | Specialiserade integreringar kan göras mellan Azure Monitor och andra övervakningsplattformar som inte kommer från Microsoft. Integrering är användbart när du redan använder en av partnerna. |
Inställningar för aktivitetslogg
Aktivitetsloggen använder en diagnostikinställning men har ett eget användargränssnitt eftersom den gäller för hela prenumerationen i stället för enskilda resurser. Målinformationen som anges här gäller fortfarande. Mer information finns i Azure-aktivitetsloggen.
Krav och begränsningar
I det här avsnittet beskrivs krav och begränsningar.
Tid innan telemetrin kommer till målet
När du har konfigurerat en diagnostikinställning bör data börja flöda till dina valda mål inom 90 minuter. När du skickar loggar till en Log Analytics-arbetsyta skapas tabellen automatiskt om den inte redan finns. Tabellen skapas bara när de första loggposterna tas emot. Om du inte får någon information inom 24 timmar kan det bero på något av följande problem:
- Inga loggar genereras.
- Något är fel i den underliggande routningsmekanismen.
Om du har problem kan du prova att inaktivera konfigurationen och sedan återaktivera den. Kontakta Azure-supporten via Azure-portalen om du fortfarande har problem.
Mått som källa
Det finns vissa begränsningar med att exportera mått:
- Det finns för närvarande inte stöd för att skicka flerdimensionella mått via diagnostikinställningar. Mått med dimensioner exporteras som utplattade endimensionella mått, aggregerade över dimensionsvärden. Måttet IOReadBytes i en blockkedja kan till exempel utforskas och kartläggas på nivån per nod. Men när det exporteras via diagnostikinställningar visar det exporterade måttet alla lästa byte för alla noder.
- Alla mått kan inte exporteras med diagnostikinställningar. På grund av interna begränsningar kan inte alla mått exporteras till Azure Monitor-loggar eller Log Analytics. Mer information finns i kolumnen Exporterbar i listan över mått som stöds.
För att komma runt de här begränsningarna för specifika mått kan du extrahera dem manuellt med hjälp av REST-API:et för mått. Sedan kan du importera dem till Azure Monitor-loggar med hjälp av Azure Monitor Data Collector-API:et.
Målbegränsningar
Alla mål för diagnostikinställningen måste skapas innan du skapar diagnostikinställningarna. Målet behöver inte finnas i samma prenumeration som resursen som skickar loggar om användaren som konfigurerar inställningen har lämplig åtkomst till azure-rollbaserad åtkomstkontroll till båda prenumerationerna. Med hjälp av Azure Lighthouse går det också att skicka diagnostikinställningar till en arbetsyta, ett lagringskonto eller en händelsehubb i en annan Microsoft Entra-klientorganisation.
Följande tabell innehåller unika krav för varje mål, inklusive eventuella regionala begränsningar.
| Mål | Behov |
|---|---|
| Log Analytics-arbetsyta | Arbetsytan behöver inte finnas i samma region som resursen som övervakas. |
| Lagringskonto | Använd inte ett befintligt lagringskonto som har andra data som inte övervakas. Genom att dela upp datatyperna kan du bättre kontrollera åtkomsten till data. Om du arkiverar aktivitetsloggen och resursloggarna tillsammans kan du välja att använda samma lagringskonto för att behålla alla övervakningsdata på en central plats. Om du vill förhindra att data ändras skickar du dem till oföränderlig lagring. Ange den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderlighetsprinciper för Azure Blob Storage. Du måste följa alla steg i den här länkade artikeln, inklusive aktivering av skrivning av skyddade tilläggsblobar. Lagringskontot måste finnas i samma region som resursen som övervakas om resursen är regional. Diagnostikinställningar kan inte komma åt lagringskonton när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i lagringskonton så att tjänsten diagnostikinställningar för Azure Monitor beviljas åtkomst till ditt lagringskonto. Azure DNS-zonslutpunkter (förhandsversion) och Azure Premium LRS-lagringskonton (lokalt redundant lagring) stöds inte som logg- eller måttmål. |
| Event Hubs | Principen för delad åtkomst för namnområdet definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver behörigheterna Hantera, Skicka och Lyssna. Om du vill uppdatera diagnostikinställningen så att den inkluderar direktuppspelning måste du ha behörigheten ListKey för den händelsehubbens auktoriseringsregel. Namnområdet för händelsehubben måste finnas i samma region som resursen som övervakas om resursen är regional. Diagnostikinställningar kan inte komma åt Event Hubs-resurser när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i Event Hubs så att tjänsten Diagnostikinställningar för Azure Monitor beviljas åtkomst till dina Event Hubs-resurser. |
| Partnerlösningar | Lösningarna varierar beroende på partner. Mer information finns i dokumentationen för Azure Native ISV Services. |
Varning
Om du vill lagra diagnostikloggar på en Log Analytics-arbetsyta finns det två saker att tänka på för att undvika att se dubblettdata i Application Insights:
- Målet kan inte vara samma Log Analytics-arbetsyta som Application Insights-resursen är baserad på.
- Application Insights-användaren kan inte ha åtkomst till båda arbetsytorna. Ange Kräver behörigheter för arbetsyta som åtkomstkontrolläge för Log Analytics. Via rollbaserad åtkomstkontroll i Azure kontrollerar du att användaren endast har åtkomst till den Log Analytics-arbetsyta som Application Insights-resursen baseras på.
De här stegen är nödvändiga eftersom Application Insights använder telemetri i alla Application Insights-resurser, inklusive Log Analytics-arbetsytor. Syftet med detta är att tillhandahålla transaktionsåtgärder från slutpunkt till slutpunkt och korrekta programmappningar. Eftersom samma tabellnamn används i diagnostikloggar kan dubbletter av telemetri visas om användaren har åtkomst till flera resurser som innehåller samma data.
Kontrollera kostnader
Det finns en kostnad för att samla in data på en Log Analytics-arbetsyta, så samla bara in de kategorier som du behöver för varje tjänst. Datavolymen för resursloggar varierar avsevärt mellan tjänsterna.
Du kanske inte heller vill samla in plattformsmått från Azure-resurser eftersom dessa data redan samlas in i Mått. Konfigurera endast diagnostikdata för att samla in mått om du behöver måttdata på arbetsytan för mer komplex analys med loggfrågor. Diagnostikinställningar tillåter inte detaljerad filtrering av resursloggar.
Dricks
Strategier för att minska dina Azure Monitor-kostnader finns i Kostnadsoptimering och Azure Monitor.