Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce informazioni dettagliate sulla creazione e la configurazione delle impostazioni di diagnostica per inviare le metriche della piattaforma Azure, i log delle risorse e i log attività a destinazioni diverse.
Ogni risorsa di Azure richiede una propria impostazione di diagnostica, che definisce i criteri seguenti:
- Origini: tipo di dati delle metriche e dei log da inviare alle destinazioni definite nell'impostazione. I tipi disponibili variano in base al tipo di risorsa.
- Destinazioni: una o più destinazioni a cui inviare i dati.
Una singola impostazione di diagnostica può definire al massimo una destinazione di ogni tipo. Se si vogliono inviare i dati a più di un tipo di destinazione specifico (ad esempio, due aree di lavoro Log Analytics diverse), creare più impostazioni. Ogni risorsa può avere fino a cinque impostazioni di diagnostica.
Avvertimento
Se è necessario eliminare, rinominare o spostare una risorsa oppure eseguirne la migrazione tra gruppi di risorse o sottoscrizioni, eliminare innanzitutto le impostazioni di diagnostica. In caso contrario, se si ricrea questa risorsa, le impostazioni di diagnostica della risorsa eliminata potrebbero essere incluse nella nuova risorsa, a seconda della configurazione di ciascuna. Se le impostazioni di diagnostica sono incluse nella nuova risorsa, viene ripresa la raccolta dei log delle risorse come definito nell'impostazione di diagnostica e invia i dati delle metriche e dei log applicabili alla destinazione configurata in precedenza.
Inoltre, è consigliabile eliminare le impostazioni di diagnostica per una risorsa che si intende eliminare e non pianificarne di nuovo l'uso per mantenere pulito l'ambiente.
Il video seguente spiega come instradare i log della piattaforma di una risorsa con le impostazioni di diagnostica. Il video è stato realizzato in un momento precedente. Tenere presente le modifiche seguenti:
- Sono ora disponibili quattro destinazioni. È possibile inviare metriche e log della piattaforma a determinati partner di Monitoraggio di Azure.
- Una nuova funzionalità, denominata gruppi di categorie, è stata introdotta nel novembre 2021.
Le informazioni su queste funzionalità più recenti sono incluse in questo articolo.
Fonti
Esistono tre origini per le informazioni di diagnostica:
- Le metriche della piattaforma vengono inviate automaticamente alle metriche di Monitoraggio di Azure per impostazione predefinita, senza necessità di configurazione. Per altre informazioni sulle metriche supportate, vedere Metriche supportate con Monitoraggio di Azure
- I log della piattaforma offrono informazioni di diagnostica e controllo dettagliate per le risorse di Azure e la piattaforma Azure da cui dipendono.
- I log delle risorse non vengono raccolti finché non vengono indirizzati a una destinazione. Per altre informazioni sui log supportati, vedere Categorie di log delle risorse supportate per Monitoraggio di Azure
- Il log attività fornisce informazioni sulle risorse dall'esterno della risorsa, ad esempio su quando la risorsa è stata creata o eliminata. Le voci esistono autonomamente, ma possono essere instradate ad altre posizioni.
Metriche
L'impostazione AllMetrics instrada le metriche della piattaforma di una risorsa ad altre destinazioni. Questa opzione potrebbe non essere presente per tutti i provider di risorse.
Log delle risorse
Con i log delle risorse è possibile selezionare le categorie di log da instradare singolarmente o scegliere un gruppo di categorie.
Gruppi di categorie
Annotazioni
I gruppi di categorie non si applicano a tutti i provider di risorse delle metriche. Se un provider non prevede tali gruppi nelle impostazioni di diagnostica nel portale di Azure, non saranno disponibili nemmeno tramite i modelli di Azure Resource Manager.
È possibile usare i gruppi di categorie per raccogliere dinamicamente i log delle risorse in base a raggruppamenti predefiniti anziché selezionare singole categorie di log. Microsoft definisce i raggruppamenti per facilitare il monitoraggio di casi d'uso specifici per tutti i servizi di Azure. Nel corso del tempo, le categorie nel gruppo potrebbero essere aggiornate man mano che vengono implementati nuovi log o quando cambiano le valutazioni. Quando le categorie di log vengono aggiunte o rimosse da un gruppo di categorie, la raccolta di log viene modificata automaticamente, senza dover aggiornare le impostazioni di diagnostica.
Quando si usano i gruppi di categorie:
- Non è più possibile selezionare singolarmente i log delle risorse in base ai singoli tipi di categoria.
- Non è più possibile applicare le impostazioni di conservazione ai log inviati ad Archiviazione di Azure.
Attualmente sono disponibili due gruppi di categorie:
- Tutti: ogni log delle risorse offerto dalla risorsa.
- Audit: tutti i log delle risorse che registrano le interazioni dei clienti con i dati o le impostazioni del servizio. I log di controllo sono un tentativo da parte di ogni provider di risorse di fornire i dati di controllo più rilevanti, ma potrebbero non essere considerati sufficienti ai fini degli standard di controllo a seconda del caso d'uso. Come specificato in precedenza, i dati raccolti sono dinamici e Microsoft può modificarli nel tempo man mano che si rendono disponibili nuove categorie di log delle risorse.
Il gruppo di categorie "Audit" è un subset del gruppo di categorie "Tutti" sebbene il portale di Azure e l'API REST li considerano impostazioni separate. La selezione del gruppo di categorie "Tutti" raccoglie tutti i log di controllo anche nel caso sia selezionato il gruppo di categorie "Audit".
L'immagine seguente mostra i gruppi di categorie di log visualizzati nella pagina Aggiungi impostazioni di diagnostica.
Annotazioni
L'abilitazione della categoria Audit nelle impostazioni di diagnostica per il database SQL di Azure non attiva il controllo per il database. Per abilitare il controllo del database, è necessario abilitarlo dal pannello di controllo per Database di Azure.
Log attività
Vedere la sezione Impostazioni del log attività.
Destinazioni
È possibile inviare i log e le metriche della piattaforma alle destinazioni elencate nella tabella seguente.
Per garantire la sicurezza dei dati in transito, tutti gli endpoint di destinazione sono configurati per supportare TLS 1.2.
| Destinazione | Descrizione |
|---|---|
| Area di lavoro Log Analytics | Le metriche vengono convertite nel modulo di log. Questa opzione potrebbe non essere disponibile per tutti i tipi di risorse. L'invio di tali metriche all'archivio dei log di Monitoraggio di Azure(ricercabile tramite log Analitica) consente di integrarle in query, avvisi e visualizzazioni con i dati di log esistenti. |
| Account di archiviazione Azure | È utile archiviare i log e le metriche in un account di archiviazione a scopo di controllo, analisi statica o backup. Rispetto ai log di Monitoraggio di Azure e a un'area di lavoro Log Analytics, questa archiviazione è meno costosa e permette di conservare i log per un periodo illimitato. |
| Hub eventi di Azure | Quando si inviano i log e le metriche a Hub eventi, è possibile trasmettere i dati a sistemi esterni, ad esempio SIEM di terze parti e altre soluzioni di analisi dei log. |
| Monitoraggio Azure delle soluzioni dei partner | È possibile eseguire integrazioni specializzate tra Monitoraggio di Azure e altre piattaforme di monitoraggio non Microsoft. L'integrazione è utile quando si usa già uno dei partner. |
Impostazioni del log attività
Il log attività usa un'impostazione di diagnostica ma dispone una propria interfaccia utente perché si applica all'intera sottoscrizione anziché alle singole risorse. Le informazioni di destinazione elencate di seguito sono ancora valide. Per ulteriori informazioni, vedere il registro delle attività di Azure.
Requisiti e limitazioni
In questa sezione vengono illustrati i requisiti e le limitazioni.
Il tempo prima che i dati di telemetria arrivino alla destinazione
Dopo aver configurato un'impostazione di diagnostica, i dati devono iniziare a passare alle destinazioni selezionate entro 90 minuti. Quando si inviano log a un'area di lavoro Log Analytics, viene automaticamente creata la tabella se non esiste già. La tabella viene creata solo dopo la ricezione dei primi record del log. Se non si ottengono informazioni entro 24 ore, è possibile che si sia verificato uno dei problemi seguenti:
- Non vengono generati log.
- Si è verificato un errore nel meccanismo di routing sottostante.
Se si verifica un problema, è possibile provare a disabilitare la configurazione e poi riabilitarla. Se continuano a verificarsi problemi, contattare il supporto tecnico di Azure tramite il portale di Azure.
Metriche come fonte
Sono previste alcune limitazioni per l'esportazione delle metriche:
- L'invio di metriche multidimensionali tramite le impostazioni di diagnostica non è attualmente supportato. Le metriche con dimensioni vengono esportate come metriche a singola dimensione di tipo flat e aggregate tra i valori di dimensione. Ad esempio, la metrica IOReadBytes su una blockchain può essere esaminata e tracciata a livello di nodo. Tuttavia, quando la metrica viene esportata tramite le impostazioni di diagnostica, tale metrica mostra tutti i byte letti per tutti i nodi.
- Non è possibile esportare tutte le metriche con le impostazioni di diagnostica. A causa di limitazioni interne, non è possibile esportare tutte le metriche nei log di Monitoraggio di Azure o in Log Analytics. Per altre informazioni, vedere la colonna Esportabile nell'elenco delle metriche supportate.
Per aggirare queste limitazioni relative a metriche specifiche, è possibile estrarle manualmente usando l'API REST Metriche. È quindi possibile importarle nei log di Monitoraggio di Azure usando l'API dell'agente di raccolta dati di Monitoraggio di Azure.
Importante
Le impostazioni di diagnostica non supportano id risorsa con caratteri non ASCII, ad esempio Preproduccón. Per ulteriori informazioni, vedere Risoluzione dei problemi.
Limitazioni di destinazione
Prima di creare le impostazioni di diagnostica, è necessario creare tutte le destinazioni per l'impostazione di diagnostica. La destinazione non deve trovarsi nella stessa sottoscrizione della risorsa che invia i log se l’utente che configura l'impostazione ha un accesso basato su Controllo degli accessi in base al ruolo di Azure appropriato a entrambe le sottoscrizioni. Se si usa Azure Lighthouse, è anche possibile inviare le impostazioni di diagnostica a un'area di lavoro, un account di archiviazione o un Hub eventi in un altro tenant di Microsoft Entra.
La tabella seguente fornisce requisiti univoci per ogni destinazione, incluse eventuali restrizioni a livello di area.
| Destinazione | Requisiti |
|---|---|
| Area di lavoro di Log Analytics | L’area di lavoro non deve risiedere nella stessa area della risorsa monitorata. |
| Account di archiviazione | Non usare un account di archiviazione esistente con altri dati archiviati non monitorati. La suddivisione dei tipi di dati consente di controllare meglio l'accesso ai dati. Se si archiviano il log attività e i log delle risorse insieme, è possibile scegliere di usare lo stesso account di archiviazione per mantenere tutti i dati di monitoraggio in una posizione centrale. Per impedire la modifica dei dati, inviarli a una risorsa di archiviazione non modificabile. Impostare il criterio non modificabile per l'account di archiviazione come descritto in Impostare e gestire i criteri di immutabilità per Archiviazione BLOB di Azure. È necessario seguire tutti i passaggi descritti in questo articolo collegato, inclusa l'abilitazione delle scritture di BLOB di accodamento protetti. L'account di archiviazione deve risiedere nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli account di archiviazione quando le reti virtuali sono abilitate. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Gli endpoint della zona DNS di Azure (anteprima) e gli account di archiviazione Premium non sono supportati come destinazione di log o metrica. Tutti gli account di archiviazione Standard sono supportati. |
| Hub eventi | Il criterio di accesso condiviso per lo spazio dei nomi definisce le autorizzazioni per il meccanismo di trasmissione. Richiede le autorizzazioni Gestisci, Invia e Ascolta per lo streaming verso Event Hubs. Per aggiornare l’impostazione di diagnostica in modo da includere lo streaming, il client deve avere l'autorizzazione ListKey relativa alla regola di autorizzazione di Event Hubs. Il namespace dell'hub eventi deve essere nella stessa area geografica della risorsa monitorata se la risorsa è regionale. Le impostazioni di diagnostica non possono accedere alle risorse di Hub eventi quando sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli hub eventi in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso alle risorse di Hub eventi. |
| Soluzioni per i partner | Le soluzioni variano in base al partner. Per informazioni dettagliate, vedere la documentazione di Servizi ISV nativi di Azure. |
Log di diagnostica per Application Insights
Per archiviare i log di diagnostica per Application Insights in un'area di lavoro Log Analytics, non inviare i log alla stessa area di lavoro su cui si basa la risorsa di Application Insights. Questa configurazione può causare la visualizzazione di dati di telemetria duplicati perché questi dati vengono già archiviati da Application Insights. Inviare i log di Application Insights a un'area di lavoro Log Analytics diversa.
Quando si inviano i log di Application Insights a un'area di lavoro diversa, tenere presente che Application Insights accede ai dati di telemetria tra le risorse di Application Insights, che includono più aree di lavoro Log Analytics. Limitare l'accesso dell'utente di Application Insights solo all'area di lavoro Log Analytics collegata alla risorsa di Application Insights. Impostare la modalità di controllo degli accessi su Richiede le autorizzazioni dell'area di lavoro e gestire le autorizzazioni tramite il controllo degli accessi in base al ruolo per verificare che solo Application Insights abbia accesso all’area di lavoro Log Analytics su cui è basata la risorsa di Application Insights.
Controllo dei costi
È previsto un costo per la raccolta di dati in un'area di lavoro Log Analytics, quindi è consigliabile raccogliere solo le categorie necessarie per ogni servizio. Il volume di dati per i log delle risorse varia in modo significativo a seconda del servizio.
È anche possibile scegliere di non raccogliere le metriche della piattaforma dalle risorse di Azure perché questi dati vengono già raccolti in Metriche. Configurare i dati di diagnostica per raccogliere le metriche solo se sono necessari dati sulle metriche nell'area di lavoro per un'analisi più complessa con query di log. Le impostazioni di diagnostica non consentono il filtraggio granulare dei log delle risorse.
Suggerimento
Per le strategie per ridurre i costi di Monitoraggio di Azure, vedere Ottimizzazione dei costi e Monitoraggio di Azure.
Risoluzione dei problemi
Categoria di metriche non supportata
Quando si distribuisce un'impostazione di diagnostica, viene visualizzato un messaggio di errore simile al seguente, Categoria metriche 'xxxx' non supportata. È possibile che venga visualizzato questo errore anche se la distribuzione precedente è riuscita.
Il problema si verifica quando si usa un modello di Resource Manager, un'API REST, un'interfaccia della riga di comando di Azure o Azure PowerShell. Le impostazioni di diagnostica create tramite il portale di Azure non sono interessate perché vengono presentati solo i nomi di categoria supportati.
Le categorie di metriche diverse da AllMetrics non sono supportate, ad eccezione di un numero limitato di servizi di Azure. In precedenza altri nomi di categoria venivano ignorati durante la distribuzione di un'impostazione di diagnostica, reindirizzandoli a AllMetrics. A partire da febbraio 2021, la categoria di metriche fornita viene convalidata. Questa modifica ha causato l'esito negativo di alcune distribuzioni.
Per risolvere questo problema, aggiornare le distribuzioni per rimuovere qualsiasi nome di categoria delle metriche diverso da AllMetrics. Se la distribuzione aggiunge più categorie, usare una AllMetrics sola categoria. Se il problema persiste, contattare il supporto tecnico di Azure tramite il portale di Azure.
L'impostazione scompare a causa di caratteri non ASCII in resourceID
Le impostazioni di diagnostica non supportano id risorsa con caratteri non ASCII, ad esempio Preproduccón. Poiché non è possibile rinominare le risorse in Azure, è necessario creare una nuova risorsa senza i caratteri non ASCII. Se i caratteri si trovano in un gruppo di risorse, è possibile spostare le risorse in un nuovo gruppo.
Possibilità di dati duplicati o eliminati
Viene fatto il possibile per assicurare che tutti i dati di log vengano inviati correttamente alle vostre destinazioni, ma non è possibile garantire il trasferimento dati al 100% dei log tra endpoint. Per aggirare questi problemi e cercare di garantire che i dati di log arrivino all'endpoint, sono stati implementati nuovi tentativi e altri meccanismi.
Risorse inattive
Quando una risorsa è inattiva ed esporta metriche con valore zero, il meccanismo di esportazione delle impostazioni di diagnostica si riduce in modo incrementale per evitare i costi non necessari di esportazione e archiviazione dei valori zero. Il back-off può causare un ritardo nell'esportazione del valore successivo diverso da zero.
Se una risorsa rimane inattiva per un'ora, il meccanismo di esportazione si riduce a 15 minuti. Ciò significa che esiste una latenza potenziale fino a 15 minuti per l'esportazione del prossimo valore diverso da zero. Il tempo massimo di backoff di due ore viene raggiunto dopo sette giorni di inattività. Quando la risorsa inizia a esportare valori diversi da zero, il meccanismo di esportazione torna alla latenza di esportazione originale di tre minuti.
Questo comportamento si applica solo alle metriche esportate e non influisce sugli avvisi basati sulle metriche o sulla scalabilità automatica.