Параметры диагностики в Azure Monitor

В этой статье содержатся сведения о создании и настройке параметров диагностики для отправки метрик платформы Azure, журналов ресурсов и журнала действий в разные места назначения.

Для каждого ресурса Azure требуется собственный параметр диагностики, который определяет следующие критерии:

  • Источники — тип метрики и данных журналов, отправляемых в места назначения, определенные в параметре. Доступные типы зависят от типа ресурса.
  • Назначения — одно или несколько мест назначения.

Один параметр диагностики может определять не более одного назначения каждого типа. Если необходимо отправить данные в места назначения нескольких типов (например, в две разные рабочие области Log Analytics), создайте несколько параметров. Каждый ресурс может иметь до пяти параметров диагностики.

Предупреждение

Если необходимо удалить ресурс, переименовать или переместить ресурс или перенести его между группами ресурсов или подписками, сначала удалите его параметры диагностики. В противном случае при повторном создании этого ресурса параметры диагностики для удаленного ресурса могут быть включены в новый ресурс в зависимости от конфигурации ресурсов для каждого ресурса. Если параметры диагностика включены в новый ресурс, это возобновляет сбор журналов ресурсов, как определено в параметре диагностики, и отправляет применимые метрики и данные журнала в ранее настроенное назначение.

Кроме того, рекомендуется удалить параметры диагностики для ресурса, который вы собираетесь удалить, и не планируете использовать его повторно, чтобы обеспечить очистку среды.

В этом видео показано, как выполнить маршрутизацию журналов платформы ресурсов с помощью параметров диагностики. Видеоролик был снят раньше. Обратите внимание на следующие изменения:

  • Сейчас существует четыре места назначения. Метрики и журналы платформы можно отправлять определенным партнерам Azure Monitor.
  • В ноябре 2021 года появилась новая функция — группы категорий.

Сведения о новых функциях приведены в этой статье.

Источники

Существует три источника диагностических сведений:

  • Метрики платформы автоматически отправляются в метрики Azure Monitor по умолчанию и без настройки. Дополнительные сведения о поддерживаемых метриках см. в статье "Поддерживаемые метрики" с помощью Azure Monitor
  • Журналы платформы содержат подробные сведения о диагностике и аудите для ресурсов Azure и платформы Azure, от которых они зависят.
    • Журналы ресурсов не собираются, пока для них не будет указано место назначения. Дополнительные сведения о поддерживаемых журналах см. в разделе "Поддерживаемые категории журналов ресурсов" для Azure Monitor
    • Журнал действий содержит сведения о ресурсах извне ресурса, например о том, когда ресурс был создан или удален. Записи существуют самостоятельно, но их можно перенаправить в другие расположения.

Метрики

Параметр AllMetrics направляет метрики платформы ресурсов в другие места назначения. Этот параметр может быть недоступен для некоторых поставщиков ресурсов.

Журналы ресурсов

С помощью журналов ресурсов можно выбрать категории журналов, которые нужно маршрутизировать по отдельности или выбрать группу категорий.

Группы категорий

Примечание.

Группы категорий не применяются ко всем поставщикам ресурсов метрик. Если у поставщика нет доступных параметров диагностики в портал Azure, они также не будут доступны с помощью шаблонов Azure Resource Manager.

Вы можете использовать группы категорий, чтобы динамически собирать журналы ресурсов на основе предварительно определенной группировки, а не выбирать отдельные категории журналов. Корпорация Майкрософт определяет группы, которые помогают отслеживать конкретные случаи использования, во всех службах Azure. Со временем категории в группе могут обновляться по мере развертывания новых журналов или изменения оценок. Когда категории журналов добавляются в группу категорий или удаляются из нее, коллекция журналов автоматически изменяется без необходимости обновлять параметры диагностики.

При использовании групп категорий вы:

  • больше не можете выбирать журналы ресурсов по отдельности на основе отдельных типов категорий.
  • больше не можете применять параметры хранения к журналам, отправленным в службу хранилища Azure.

Сейчас существует две группы категорий:

  • Все — все журналы ресурсов.
  • Аудит — все журналы ресурсов, в которых фиксируется взаимодействие с пользователем с помощью данных или параметров службы. Журналы аудита — это попытка каждого поставщика ресурсов предоставить наиболее релевантные данные аудита, но может быть недостаточно с точки зрения стандартов аудита в зависимости от варианта использования. Как упоминалось выше, собранные данные являются динамическими, и корпорация Майкрософт может изменить ее с течением времени, так как новые категории журналов ресурсов становятся доступными.

Группа категорий "Аудит" представляет собой подмножество группы категорий "Все", но портал Azure и REST API считают их отдельными параметрами. При выборе группы категорий "Все" собираются все журналы аудита, даже если выбрана группа категорий "Аудит".

На следующем рисунке показаны группы категорий журналов на странице "Добавление диагностика параметров".

Снимок экрана: группы категорий журналов.

Примечание.

Включение аудита для База данных SQL Azure не включает аудит для База данных SQL Azure. Включить аудит базы данных можно в колонке аудита для базы данных Azure.

Журнал действий

См. раздел Параметры журналов действий.

Назначения

Журналы и метрики платформы можно отправлять в места назначения, перечисленные в следующей таблице.

Чтобы обеспечить безопасность передаваемых данных, все конечные точки назначения настроены для поддержки TLS 1.2.

Назначение Description
Рабочая область Log Analytics Метрики преобразуются в форму журнала. Этот параметр может быть недоступен для некоторых типов ресурсов. Отправив их в хранилище журналов Azure Monitor (которое доступно через Log Analytics), вы сможете интегрировать их в запросы, оповещения и визуализации с существующими данными журналов.
Учетная запись хранения Azure Архивация журналов и метрик в учетную запись хранения полезна для аудита, статического анализа или резервного копирования. По сравнению с использованием журналов Azure Monitor и рабочей области Log Analytics служба хранилища Azure предполагает меньше затрат, а журналы могут храниться в течение неопределенного срока.
Центры событий Azure Отправка журналов и метрик в Центры событий позволяет выполнять потоковую передачу данных во внешние системы, такие как сторонние решения SIEM и другие решения Log Analytics.
Партнерские решения по Azure Monitor Специализированные средства интеграции могут использоваться для интеграции Azure Monitor с платформами мониторинга сторонних производителей. Это удобно, если вы уже работаете с одним из наших партнеров.

Параметры журналов действий

В журнале действий используется параметр диагностики, но он имеет собственный пользовательский интерфейс, так как применяется ко всей подписке, а не к отдельным ресурсам. Информация о месте назначения, указанная ниже, остается в силе. Дополнительные сведения см. в разделе Журнал действий Azure.

Требования и ограничения

В этом разделе рассматриваются требования и ограничения.

Время перед получением данных телеметрии к назначению

После настройки параметра диагностики данные должны начинаться в выбранные назначения в течение 90 минут. При отправке журналов в рабочую область Log Analytics таблица создается автоматически, если она еще не существует. Таблица создается только при получении первых записей журнала. Если вы не получаете информацию в течение 24 часов, может возникнуть одна из следующих проблем:

  • Журналы не создаются.
  • Что-то неправильно в базовом механизме маршрутизации.

Если у вас возникла проблема, попробуйте отключить конфигурацию, а затем восстановить ее. Обратитесь поддержка Azure через портал Azure, если у вас по-прежнему возникли проблемы.

Метрики в качестве источника

Существуют определенные ограничения на экспорт метрик:

  • Отправка многомерных метрик с помощью параметров диагностики в настоящее время не поддерживается. Метрики с измерениями экспортируются как преобразованные в плоскую структуру одномерные метрики, агрегированные по значениям измерений. Например, метрику IOReadBytes на основе блокчейна можно исследовать и отображать на диаграмме на уровне каждого узла. Однако при экспорте с помощью параметров диагностики эта метрика отображается как общее количество считанных байтов для всех узлов.
  • Не все метрики экспортируются с параметрами диагностики. Из-за внутренних ограничений не все метрики можно экспортировать в журналы Azure Monitor или Log Analytics. Дополнительные сведения см. в столбце Экспортируемые в списке поддерживаемых метрик.

Чтобы изучить эти ограничения для конкретных метрик, вы можете вручную извлечь их из REST API метрик. Затем их можно импортировать в журналы Azure Monitor с помощью API сборщика данных Azure Monitor.

Ограничения по месту назначения

Перед созданием параметра диагностики необходимо создать для него все места назначения. Назначение не обязательно должно находиться в той же подписке, что и ресурс, отправляющий журналы, если пользователь, настраивающий параметр, обладает соответствующим доступом RBAC Azure к обеим подпискам. С помощью Azure Lighthouse также можно настроить параметры диагностики, отправленные в рабочую область, учетную запись хранения или концентратор событий в другом клиенте Microsoft Entra.

В следующей таблице приведены уникальные требования к каждому назначению, включая региональные ограничения:

Назначение Требования
Рабочая область Log Analytics Рабочая область не обязательно должна находиться в том же регионе, что и отслеживаемый ресурс.
Storage account Не используйте существующую учетную запись хранения с другими немониторингами данных, хранящихся в нем. Разделение типов данных позволяет лучше управлять доступом к данным. Если вы архивируете журнал действий и журналы ресурсов, то можете использовать одну и ту же учетную запись хранения для централизованного хранения всех данных мониторинга.

Чтобы предотвратить изменение данных, отправьте его в неизменяемое хранилище. Задайте неизменяемую политику для учетной записи хранения, как описано в разделе "Настройка политик неизменяемости" и управление ими для Хранилище BLOB-объектов Azure. Необходимо выполнить все действия, описанные в статье по ссылке выше, в том числе включить защищенные операции записи для добавления BLOB-объектов.

Учетная запись хранения должна находиться в том же регионе, что и отслеживаемый ресурс, если ресурс является региональным.

Параметры диагностики не могут получить доступ к учетным записям хранения при включении виртуальных сетей. Необходимо разрешить доверенным службы Майкрософт, чтобы обойти этот параметр брандмауэра в учетных записях хранения, чтобы служба параметров диагностики Azure Monitor получила доступ к учетной записи хранения.

Конечные точки зоны Azure DNS (предварительная версия) и учетные записи хранения Azure Premium LRS (локально избыточное хранилище) не поддерживаются в качестве назначения журнала или метрик.
Event Hubs Политика общего доступа для пространства имен определяет разрешения, предоставленные механизму потоковой передачи. Для потоковой передачи журналов в Центры событий нужны разрешения на управление, отправку и прослушивание. Чтобы обновить параметр диагностики для включения потоковой передачи, необходимо иметь разрешение ListKey для правила авторизации этих Центров событий.

Пространство имен концентратора событий должно находиться в том же регионе, что и отслеживаемый ресурс, если ресурс является региональным.

Параметры диагностики не могут получить доступ к ресурсам Центров событий, если включены виртуальные сети. Необходимо включить параметр Разрешить доверенным службам Майкрософт обходить этот брандмауэр в центре событий, чтобы служба Azure Monitor (параметры диагностики) получила доступ к ресурсам центров событий.
Решения партнеров Решения зависят от партнера. Дополнительные сведения см. в документации по службам ISV Azure native ISV.

Журналы диагностики для Application Insights

Если вы хотите хранить журналы диагностики для Application Insights в рабочей области Log Analytics, не отправляйте журналы в ту же рабочую область, на которую основан ресурс Application Insights. Эта конфигурация может привести к отображению повторяющихся данных телеметрии, так как Application Insights уже хранит эти данные. Отправьте журналы Application Insights в другую рабочую область Log Analytics.

При отправке журналов Application Insights в другую рабочую область следует учитывать, что Application Insights обращается к данным телеметрии между ресурсами Application Insights, включая несколько рабочих областей Log Analytics. Ограничить доступ пользователя Application Insights только к рабочей области Log Analytics, связанной с ресурсом Application Insights. Задайте для режима управления доступом значение "Требовать разрешения рабочей области" и управление разрешениями с помощью управления доступом на основе ролей Azure, чтобы убедиться, что Application Insights имеет доступ только к рабочей области Log Analytics, на основе ресурса Application Insights.

Управление затратами

Существует стоимость сбора данных в рабочей области Log Analytics, поэтому собираются только категории, необходимые для каждой службы. Объем данных для журналов ресурсов значительно зависит от служб.

Вы также можете не собирать метрики платформы из ресурсов Azure, поскольку эти данные уже собираются в метриках. Настраивайте данные диагностики для сбора метрик, только если вам нужны данные метрик в рабочей области для более сложного анализа с помощью запросов к журналам. Параметры диагностики не позволяют осуществлять детализированную фильтрацию журналов ресурсов.

Совет

Стратегии снижения затрат Azure Monitor см. в статье "Оптимизация затрат" и Azure Monitor.

Следующие шаги