你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Monitor Logs 中使用客户管理的存储帐户

Azure Monitor Logs 在各种方案中依赖于 Azure 存储。 Azure Monitor 一般会自动管理此类存储,但在一些情况下,你需要提供和管理自己的存储帐户,也称为“客户管理的存储帐户”。 本文介绍为 Azure Monitor Logs 设置客户管理的存储的用例和要求,以及如何将存储帐户关联到 Log Analytics 工作区。

注意

建议不要与 Azure Monitor Logs 上传到客户管理的存储的内容有依赖关系,因为格式和内容可能发生变化。

当使用专用链接连接到 Azure Monitor 资源时,客户管理的存储帐户用于引入自定义日志。 这些数据类型的引入过程是首先将日志上传到中间 Azure 存储帐户,然后才将其引入到工作区。

工作区要求

通过专用链接连接到 Azure Monitor 时,Azure Monitor 代理只能将日志发送到可通过专用链接访问的工作区。 此要求意味着你应:

  • 配置 Azure Monitor 专用链接范围 (AMPLS) 对象。
  • 将其连接到工作区。
  • 通过专用链接将 AMPLS 连接到网络。

有关 AMPLS 配置过程的详细信息,请参阅使用 Azure 专用链接将网络安全地连接到 Azure Monitor

存储帐户要求

要使存储帐户连接到专用链接,该存储帐户必须:

  • 位于虚拟网络或对等互连网络上,并通过专用链接连接到虚拟网络。

  • 与其所链接到的工作区位于同一区域。

  • 允许 Azure Monitor 访问存储帐户。 若要仅允许特定网络访问你的存储帐户,请选择例外 -“允许受信任的 Microsoft 服务访问此存储帐户”。

    Screenshot that shows Storage account trust Microsoft services.

如果工作区处理来自其他网络的流量,请将存储帐户配置为允许来自相关网络/Internet 的传入流量。

协调代理和存储帐户之间的 TLS 版本。 建议使用 TLS 1.2 或更高版本将数据发送到 Azure Monitor Logs。 请查看平台特定的指南。 如有必要,请将代理配置为使用 TLS 1.2。 如果无法做到这一点,请将存储帐户配置为接受 TLS 1.0。

客户管理的密钥数据加密

Azure 存储可对存储帐户中的所有数据进行静态加密。 默认情况下,它使用 Microsoft 管理的密钥 (MMK) 来加密数据。 但是,Azure 存储还允许使用 Azure Key Vault 中的客户管理的密钥数据加密 (CMK) 来加密存储数据。 可将自己的密钥导入 Key Vault,也可使用 Key Vault API 生成密钥。

需要客户管理的存储帐户的 CMK 方案

以下情况需要客户管理的存储帐户:

  • 使用 CMK 加密日志警报查询。
  • 使用 CMK 加密保存的查询。

将 CMK 应用于客户管理的存储帐户

按照本指南将 CMK 应用于客户管理的存储帐户。

存储帐户要求

存储帐户和密钥保管库必须在同一个区域中,但也可以在不同的订阅中。 有关 Azure 存储加密和密钥管理的详细信息,请参阅静态数据的 Azure 存储加密

将 CMK 应用于存储帐户

若要配置 Azure 存储帐户,使其将 CMK 与 Key Vault 一起使用,请使用 Azure 门户PowerShellAzure CLI

注意

  • 链接存储帐户进行查询时,工作区中现有的已保存查询会被永久删除以保护隐私。 你可以使用 PowerShell 在存储链接之前复制现有的已保存查询。
  • 保存在查询包中的查询不会使用客户管理的密钥进行加密。 请在保存查询时改为选择“另存为旧查询”,以使用客户管理的密钥对其进行保护。
  • 在创建存储帐户的过程中配置加密时,保存的查询会存储在表存储中并使用客户管理的密钥进行加密。
  • 日志搜索警报保存在 blob 存储中,在其中,可以在创建存储帐户时配置客户管理的密钥加密,也可以稍后这样做。
  • 可以将单个存储帐户用于所有目的:查询、警报、自定义日志和 IIS 日志。 链接自定义日志和 IIS 日志的存储时,可能需要更多存储帐户才能进行缩放,具体取决于引入速率和存储限制。 最多可以将五个存储帐户链接到一个工作区。

使用 Azure 门户

在 Azure 门户中打开工作区菜单,然后选择“链接的存储帐户”。 窗格显示了上述用例中链接的存储帐户(通过专用链接进行数据引入,将 CMK 应用到已保存的查询或警报)。

Screenshot that shows the Linked storage accounts pane.

选择表上的一项将打开其存储帐户详细信息,可在其中设置或更新此类型的链接存储帐户。

Screenshot that shows the Link storage account pane.如果愿意,可以将同一帐户用于不同的用例。

使用 Azure CLI 或 REST API

你也可以通过 Azure CLIREST API 将存储帐户链接到工作区。

适用的 dataSourceType 值为:

  • CustomLogs:将存储帐户用于自定义日志和 IIS 日志引入。
  • Query:将存储帐户用于存储已保存的查询(CMK 加密所需)。
  • Alerts:将存储帐户用于存储基于日志的警报(CMK 加密所需)。

管理链接的存储帐户

按照本指南管理链接的存储帐户。

将存储帐户链接到工作区后,Azure Monitor Logs 将开始使用该存储帐户,而不是使用服务所拥有的存储帐户。 方法:

  • 注册多个存储帐户,以在帐户之间分散日志负载。
  • 为多个工作区重用同一个存储帐户。

若要停止使用存储帐户,请取消存储与工作区的链接。 取消关联到某个工作区的所有存储帐户时,Azure Monitor Logs 使用服务管理的存储帐户。 如果网络对 Internet 的访问权限有限,则这些存储帐户可能不可用,且任何依赖于存储的方案都将失败。

替换存储帐户

若要替换用于引入数据的存储帐户:

  1. 创建与新存储帐户的链接。 日志记录代理将获取更新的配置,并开始将数据发送到新的存储。 此过程可能需要几分钟时间。
  2. 取消与旧存储帐户的链接,以便代理停止写入已移除的帐户。 数据引入过程将一直读取此帐户中的数据,直到全部引入。 在所有日志引入完之前,请不要删除存储帐户。

维护存储帐户

按照本指南维护存储帐户。

管理日志保留期

使用自己的存储帐户时,保留期取决于你。 Azure Monitor Logs 不会删除存储在专用存储上的日志。 但你应根据偏好设置策略来处理负载。

考虑负载

开始限制请求之前,存储帐户可以处理某些读取和写入请求。 有关详细信息,请参阅 Azure Blob 存储的可伸缩性和性能目标

限制请求会延长引入日志所花费的时间。 如果存储帐户已超载,请再注册一个存储帐户,以在帐户之间分散负载。 若要监视存储帐户的容量和性能,请查看其在 Azure 门户中的见解

根据存储帐户按存储数据量、存储类型和冗余类型进行收费。 有关详细信息,请参阅块 Blob 定价Azure 表存储定价

后续步骤