Usare gli account di archiviazione gestiti dal cliente in Log di Monitoraggio di Azure

  • Articolo

Log di Monitoraggio di Azure si basa su Archiviazione di Azure in vari scenari. Monitoraggio di Azure gestisce in genere questo tipo di archiviazione automaticamente, ma alcuni casi richiedono di fornire e gestire il proprio account di archiviazione, noto anche come account di archiviazione gestito dal cliente. Questo articolo descrive i casi d'uso e i requisiti per configurare l'archiviazione gestita dal cliente per Log di Monitoraggio di Azure e spiega come collegare un account di archiviazione a un'area di lavoro di Log Analytics.

Nota

È consigliabile non dipendere dal contenuto caricato da Log di Monitoraggio di Azure nell'archiviazione gestita dal cliente perché la formattazione e il contenuto potrebbero cambiare.

Gli account di archiviazione gestiti dal cliente vengono usati per inserire log personalizzati quando vengono usati collegamenti privati per connettersi alle risorse di Monitoraggio di Azure. Il processo di inserimento di questi tipi di dati carica prima i log in un account di Archiviazione di Azure intermedio e li inserisce solo in un'area di lavoro.

Requisiti dell'area di lavoro

Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'agente di Monitoraggio di Azure può inviare i log solo alle aree di lavoro accessibili tramite un collegamento privato. Questo requisito significa che è necessario:

  • Configurare un oggetto AMPLS (Private Link Scope) di Monitoraggio di Azure.
  • Connetterlo alle aree di lavoro.
  • Connettere l'AMPLS alla rete tramite un collegamento privato.

Per altre informazioni sulla procedura di configurazione AMPLS, vedere Usare il Collegamento privato di Azure per connettere in modo sicuro le reti a Monitoraggio di Azure.

Requisiti dell'account di archiviazione

Affinché l'account di archiviazione si connetta al collegamento privato, deve:

  • Trovarsi nella rete virtuale o in una rete con peering e connettersi alla rete virtuale tramite un collegamento privato.

  • Trovarsi nella stessa area geografica dell'area di lavoro a cui è collegato.

  • Consentire a Monitoraggio di Azure di accedere all'account di archiviazione. Per consentire solo a reti specifiche di accedere all'account di archiviazione, selezionare l'eccezione Consentire ai servizi Microsoft attendibili di accedere a questo account di archiviazione.

    Screenshot che mostra l'attendibilità dell'account di archiviazione dei servizi Microsoft.

Se l'area di lavoro gestisce il traffico da altre reti, configurare l'account di archiviazione per consentire il traffico in ingresso proveniente dalle reti/Internet pertinenti.

Coordinare la versione TLS tra gli agenti e l'account di archiviazione. È consigliabile inviare dati a Log di Monitoraggio di Azure usando TLS 1.2 o versione successiva. Esaminare le linee guida specifiche della piattaforma. Se necessario, configurare gli agenti per l'uso di TLS. Se non è possibile, configurare l'account di archiviazione per accettare TLS 1.0.

Crittografia dei dati con chiavi gestite dal cliente

Archiviazione di Azure crittografa tutti i dati inattivi in un account di Archiviazione. Per impostazione predefinita, usa chiavi gestite da Microsoft per crittografare i dati. Archiviazione di Azure, tuttavia, consente anche di usare chiavi gestite dal cliente da Azure Key Vault per crittografare i dati di archiviazione. È possibile importare chiavi personalizzate in Key Vault o usare le API di Key Vault per generare le chiavi.

Scenari CMK che richiedono un account di archiviazione gestito dal cliente

È necessario un account di archiviazione gestito dal cliente per:

  • Crittografia delle query di avviso per i log con i CMK.
  • Crittografia delle query salvate con i CMK.

Applicare i CMK agli account di archiviazione gestiti dal cliente

Seguire queste indicazioni per applicare i CMK agli account di archiviazione gestiti dal cliente.

Requisiti dell'account di archiviazione

L'account di archiviazione e l'insieme di credenziali chiave devono essere nella stessa area, ma possono anche appartenere a sottoscrizioni diverse. Per altre informazioni sulla crittografia e sulla gestione delle chiavi di Archiviazione di Azure, vedere Crittografia di Archiviazione di Azure per i dati inattivi.

Applicare i CMK agli account di archiviazione

Per configurare l'account di Archiviazione di Azure per l'uso di CHIAVI con Key Vault, usare il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Nota

  • Quando si collega l'account di archiviazione per la query, le query salvate esistenti nell'area di lavoro vengono eliminate in modo permanente per la privacy. È possibile copiare le query salvate esistenti prima del collegamento all'archiviazione usando PowerShell.
  • Le query salvate in query pack non vengono crittografate con la chiave gestita dal cliente. Selezionare Salva come query di legacy durante il salvataggio delle query per proteggerle con la chiave gestita dal cliente.
  • Le query salvate vengono archiviate nell'archiviazione tabelle e crittografate con chiave gestita dal cliente quando la crittografia viene configurata durante la creazione dell'account di archiviazione.
  • Gli avvisi di ricerca log vengono salvati nell'archiviazione BLOB in cui la configurazione della crittografia della chiave gestita dal cliente può essere al momento della creazione dell'account di archiviazione o successivamente.
  • È possibile usare un singolo account di archiviazione per tutti gli scopi, eseguire query, avvisi, log personalizzati e log IIS. Il collegamento dell'archiviazione per i log personalizzati e i log IIS potrebbe richiedere più account di archiviazione per la scalabilità, a seconda della velocità di inserimento e dei limiti di archiviazione. È possibile collegare fino a cinque account di archiviazione a un'area di lavoro.

Usare il portale di Azure

Nel portale di Azure aprire il menu dell'area di lavoro e selezionare Account di archiviazione collegati. Un riquadro mostra gli account di archiviazione collegati in base ai casi d'uso indicati in precedenza (inserimento su Collegamento privato, applicazione di CHIAVI alle query salvate o agli avvisi).

Screenshot che mostra il riquadro Account di archiviazione collegati.

Se si seleziona un elemento nella tabella, vengono aperti i dettagli dell'account di archiviazione, in cui è possibile impostare o aggiornare l'account di archiviazione collegato per questo tipo.

Screenshot che mostra il riquadro Collega account di archiviazione. Se si preferisce, è possibile usare lo stesso account per casi d'uso diversi.

Usare l'interfaccia della riga di comando di Azure o l'API REST

È anche possibile collegare un account di archiviazione all'area di lavoro tramite l'interfaccia della riga di comando di Azure o l'API REST.

I valori applicabili dataSourceType sono:

  • CustomLogs: per usare l'account di archiviazione per i log personalizzati e l'inserimento dei log IIS.
  • Query: per usare l'account di archiviazione per archiviare le query salvate (necessarie per la crittografia CMK).
  • Alerts: per usare l'account di archiviazione per archiviare gli avvisi basati sui log (necessari per la crittografia CMK).

Gestire gli account di archiviazione collegati

Seguire queste indicazioni per gestire gli account di archiviazione collegati.

Quando si collega un account di archiviazione a un'area di lavoro, Log di Monitoraggio di Azure inizia a usarlo anziché l'account di archiviazione di proprietà del servizio. È possibile:

  • Registrare più account di archiviazione per distribuire il carico dei log tra di essi.
  • Riutilizzare lo stesso account di archiviazione per più aree di lavoro.

Per interrompere l'uso di un account di archiviazione, scollegare l'archiviazione dall'area di lavoro. Quando si scollegano tutti gli account di archiviazione da un'area di lavoro, Log di Monitoraggio di Azure usa account di archiviazione gestiti dal servizio. Se la rete ha accesso limitato a Internet, questi account di archiviazione potrebbero non essere disponibili e qualsiasi scenario basato sull'archiviazione avrà esito negativo.

Sostituire un account di archiviazione

Per sostituire un account di archiviazione usato per l'inserimento:

  1. Creare un collegamento a un nuovo account di archiviazione. Gli agenti di registrazione otterranno la configurazione aggiornata e inizieranno a inviare i dati alla nuova risorsa di archiviazione. Il processo potrebbe richiedere alcuni minuti.
  2. Scollegare quindi il vecchio account di archiviazione in modo che gli agenti smettano di scrivere nell'account rimosso. Il processo di inserimento continua a leggere i dati da questo account fino a quando non vengono inseriti tutti. Non eliminare l'account di archiviazione finché non vengono visualizzati tutti i log inseriti.

Gestire gli account di archiviazione

Seguire queste indicazioni per gestire gli account di archiviazione.

Gestire la conservazione dei log

Quando si usa il proprio account di archiviazione, la conservazione spetta all'utente. Log di Monitoraggio di Azure non elimina i log archiviati nell'archiviazione privata. È invece necessario configurare un criterio per gestire il carico in base alle preferenze.

Prendere in considerazione il caricamento

Gli account di archiviazione possono gestire un determinato carico di richieste di lettura e scrittura prima di avviare la limitazione delle richieste. Per altre informazioni, vedere Obiettivi di scalabilità e prestazioni per Archiviazione BLOB di Azure.

La limitazione influisce sul tempo necessario per inserire i log. Se l'account di archiviazione è in overload, registrare un altro account di archiviazione per distribuire il carico tra di essi. Per monitorare la capacità e le prestazioni dell'account di archiviazione, esaminare le informazioni dettagliate nel portale di Azure.

Vengono addebitati gli account di archiviazione in base al volume di dati archiviati, al tipo di archiviazione e al tipo di ridondanza. Per altre informazioni, vedere Prezzi dei BLOB in blocchi e Prezzi di Archiviazione tabelle di Azure.

Passaggi successivi