Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Monitoraggio di Azure gestisce in genere automaticamente l'archiviazione, ma alcuni scenari richiedono la configurazione di un account di archiviazione gestito dal cliente. Questo articolo descrive i casi d'uso, i requisiti e le procedure per la configurazione di un account di archiviazione gestito dal cliente a un'area di lavoro Log Analytics.
| Scenari che richiedono l'account di archiviazione gestito dal cliente |
|---|
| Collegamenti privati usati per l'ingestione di log personalizzati/IIS |
| Crittografia dei dati della chiave gestita dal cliente (CMK) delle query di avviso del log e delle query salvate |
Il contenuto del log personalizzato caricato negli account di archiviazione gestiti dal cliente potrebbe cambiare in formattazione o in altri modi imprevisti. Considerare attentamente le dipendenze da questo contenuto e comprendere le circostanze speciali per il caso d'uso.
Prerequisiti
Avvertimento
A partire dal 30 giugno 2025, la creazione o l'aggiornamento di log personalizzati e gli account di archiviazione collegati di IIS non saranno più disponibili. Gli account di archiviazione esistenti verranno scollegati entro il 1° novembre 2025. È consigliabile eseguire la migrazione a un agente di Monitoraggio di Azure per evitare di perdere dati. Per altre informazioni, vedere Panoramica dell'agente di Monitoraggio di Azure.
Avvertimento
A partire dal 31 agosto, le aree di lavoro Log Analytics devono avere un'identità gestita (MSI) assegnata per aggiungere o aggiornare gli account di archiviazione collegati per le query salvate e le query di avviso del log salvate. Per altre informazioni, vedere Collegare gli account di archiviazione all'area di lavoro Log Analytics.
| Azione | Autorizzazione richiesta |
|---|---|
| Gestire gli account di archiviazione collegati per un'area di lavoro | Microsoft.OperationalInsights/workspaces/write - Ambito dell'areadi lavoro, ad esempio, come specificato dal ruolo predefinito Collaboratore di Log Analytics. |
| Assegnare qualsiasi identità gestita a un'area di lavoro | Microsoft.OperationalInsights/workspaces/write - Ambito dell'areadi lavoro, ad esempio, come specificato dal ruolo predefinito Collaboratore di Log Analytics. |
| Gestire un'identità gestita assegnata dall'utente per un'area di lavoro | Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - Ambitodi identità, ad esempio, fornito dai ruoli predefiniti, Operatore identità gestita o Collaboratore identità gestita. |
| Autorizzazioni minime per l'identità gestita nell'account di archiviazione | Collaboratore ai dati della tabella di archiviazione. |
Inoltre, l'account di archiviazione collegato deve trovarsi nella stessa area dell'area di lavoro.
Collegamenti privati
Gli account di archiviazione gestiti dal cliente vengono usati per inserire log personalizzati quando vengono usati collegamenti privati per connettersi alle risorse di Monitoraggio di Azure. Il processo di inserimento di questi tipi di dati carica prima i log in un account di Archiviazione di Azure intermedio e li inserisce solo in un'area di lavoro.
Requisiti dell'area di lavoro
Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'agente di Monitoraggio di Azure può inviare i log solo alle aree di lavoro accessibili tramite un collegamento privato. Questo requisito significa che è necessario:
- Configurare un oggetto AMPLS (Private Link Scope) di Monitoraggio di Azure.
- Connettelo alle vostre aree di lavoro.
- Connettere l'AMPLS alla rete tramite un collegamento privato.
Per altre informazioni sulla procedura di configurazione AMPLS, vedere Usare il Collegamento privato di Azure per connettere in modo sicuro le reti a Monitoraggio di Azure.
Requisiti dell'account di archiviazione per il collegamento privato
Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'account di archiviazione deve essere accessibile tramite un collegamento privato. Questo requisito significa che dovresti: per consentire la connessione dell'account di archiviazione al collegamento privato, deve:
Trovarsi nella rete virtuale o in una rete con peering e connettersi alla rete virtuale tramite un collegamento privato.
Consentire ad Azure Monitor di accedere all'account di archiviazione. Per consentire solo a reti specifiche di accedere all'account di archiviazione, selezionare l'eccezione Consentire ai servizi Microsoft attendibili di accedere a questo account di archiviazione.
Se l'area di lavoro gestisce il traffico da altre reti, configurare l'account di archiviazione per consentire il traffico in ingresso proveniente dalle reti/Internet pertinenti.
Coordinare la versione TLS tra agenti e account di archiviazione. È consigliabile inviare dati a Log di Monitoraggio di Azure usando TLS 1.2 o versione successiva. Se necessario, configurare gli agenti per l'uso di TLS. Se non è possibile, configurare l'account di archiviazione per accettare TLS 1.2.
Crittografia dei dati con chiavi gestite dal cliente
Azure Storage crittografa tutti i dati a riposo in un account di archiviazione. Per impostazione predefinita, usa chiavi gestite da Microsoft per crittografare i dati. Azure Storage, tuttavia, consente anche di usare chiavi gestite dai clienti da Azure Key Vault per crittografare i dati archiviati. Importare chiavi personalizzate in Key Vault o usare le API di Key Vault per generare chiavi.
È necessario un account di archiviazione gestito dal cliente per:
- Crittografia delle query di avviso log con CMK.
- Crittografia delle query salvate con i CMK.
Configurare l'account di archiviazione per l'uso di CMK con Key Vault. Per altre informazioni, vedere Configurare chiavi gestite dal cliente per Archiviazione di Azure.
Considerazioni sull'archiviazione gestita dal cliente con CMK (Chiave Principale del Cliente)
L'account di archiviazione e il Key Vault devono trovarsi nella stessa area. Non è tuttavia necessario che provenissero dalla stessa sottoscrizione. Per altre informazioni, vedere Crittografia di Archiviazione di Azure per i dati inattivi.
| Caso speciale | Correzione |
|---|---|
| Quando un account di archiviazione è collegato per le query con CMK, le query e le funzioni salvate esistenti nell'area di lavoro vengono eliminate permanentemente per motivi di privacy. | Copiare le query salvate esistenti prima di configurare il collegamento di archiviazione. Ecco un esempio di uso di PowerShell. |
| Le query salvate nei Query Pack non vengono crittografate con la CMK. | Selezionare Salva come query legacy invece, durante il salvataggio delle query per proteggerle con CMK. |
| Le query salvate e gli avvisi di ricerca log non vengono crittografati nell'archiviazione gestita dal cliente per impostazione predefinita. | Crittografare l'account di archiviazione con la Chiave Gestita dal Cliente (CMK) al momento della creazione dell'account di archiviazione, anche se CMK è configurabile dopo. |
| Un singolo account di archiviazione StorageV2 può essere usato per tutti gli scopi: query, avvisi, log personalizzati e log IIS. | Il collegamento dell'archiviazione per i log personalizzati e i log IIS potrebbe richiedere più account di archiviazione (fino a 5 per area di lavoro) per la scalabilità, a seconda della velocità di inserimento e dei limiti di archiviazione. Tenere presente che tutte le risorse di archiviazione gestite dal cliente per i log personalizzati e i log IIS verranno scollegati il 1° novembre 2025. |
Collegare gli account di archiviazione all'area di lavoro di Log Analytics
I requisiti seguenti verranno applicati non prima del 31 agosto 2025.
| Requisito imminente | Descrizione |
|---|---|
| Identità gestita assegnata all'area di lavoro | La creazione di nuovi collegamenti agli account di archiviazione gestiti dal cliente quando non viene assegnata alcuna identità gestita verrà bloccata per tutte le aree di lavoro, incluso l'aggiornamento dei collegamenti esistenti. |
| Account di archiviazione configurato con assegnazione di ruoli per l'identità gestita | La creazione di nuovi collegamenti agli account di archiviazione gestiti dal cliente quando l'account di archiviazione non ha un'assegnazione di ruolo per l'identità gestita verrà bloccata per tutte le aree di lavoro, incluso l'aggiornamento dei collegamenti esistenti. |
Creare un'identità gestita
Preparati al cambiamento imminente dell'applicazione configurando l'area di lavoro con un'identità gestita.
Fino a quando l'imposizione non avviene, l'area di lavoro non utilizza l'identità gestita per l'autenticazione nell'archiviazione privata. Non rimuovere il metodo di autenticazione esistente fino a quando non viene annunciato che le identità gestite sono abilitate per l'autenticazione nell'archiviazione privata.
Creare o aggiornare l'area di lavoro con un'identità gestita usando uno di questi metodi:
- Impostazioni di identità delle aree di lavoro Log Analytics del portale di Azure
- Bicipite
- API REST.
- Interfaccia della riga di comando di Azure.
Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure?
Aggiungere un'assegnazione di ruolo
Dopo aver assegnato l'identità gestita all'area di lavoro, aggiornare l'account di archiviazione per consentire l'accesso all'identità gestita. Assegnare quella identità al ruolo Collaboratore dati della tabella di archiviazione nell'account di archiviazione in modo che l'area di lavoro possa accedere alle query salvate e alle query di avviso del log. Prendere nota delle autorizzazioni necessarie per assegnare identità gestite e gestire le identità assegnate dall'utente.
Aggiungere il collegamento
Nel portale di Azure aprire il menu dell'area di lavoro e selezionare Account di archiviazione collegati. L'account di archiviazione collegato viene visualizzato per ogni tipo.
Se si seleziona un tipo o l'icona di connessione, vengono aperti i dettagli del link dell'account di archiviazione per configurare o aggiornare l'account di archiviazione collegato per il tipo determinato. Usare lo stesso account di archiviazione per più tipi per ridurre la complessità.
Gestire gli account di archiviazione collegati
Seguire queste indicazioni per gestire gli account di archiviazione collegati.
Creare o modificare un collegamento
Quando si collega un account di archiviazione a un'area di lavoro, Log di Monitoraggio di Azure inizia a usarlo al posto dell'account di archiviazione di proprietà del servizio. È possibile:
- Registrare più account di archiviazione per distribuire il carico dei log tra di essi.
- Riutilizzare lo stesso account di archiviazione per più aree di lavoro.
Scollegare un account di archiviazione
Per interrompere l'uso di un account di archiviazione, scollegare l'archiviazione dall'area di lavoro. Quando si scollegano tutti gli account di archiviazione da uno spazio di lavoro, i log di Azure Monitor usano account di archiviazione gestiti dal servizio. Se la rete ha accesso limitato a Internet, questi account di archiviazione potrebbero non essere disponibili e qualsiasi scenario basato sull'archiviazione avrà esito negativo.
Sostituire un account di archiviazione
Per sostituire un account di archiviazione usato per l'inserimento:
- Creare un collegamento a un nuovo account di archiviazione. Gli agenti di registrazione ottengono la configurazione aggiornata e iniziano a inviare dati alla nuova risorsa di archiviazione. Il processo potrebbe richiedere alcuni minuti.
- Scollegare l'account di archiviazione precedente in modo che gli agenti smettano di scrivere nell'account rimosso. Il processo di inserimento continua a leggere i dati da questo account fino all'inserimento completo. Non eliminare l'account di archiviazione finché non vengono visualizzati tutti i log inseriti.
Gestire gli account di archiviazione
Seguire queste indicazioni per gestire gli account di archiviazione.
Gestire la conservazione dei log
Quando si usa il proprio account di archiviazione, la conservazione spetta all'utente. I log di Azure Monitor non eliminano i log archiviati nello spazio di archiviazione privato. È invece necessario configurare un criterio per gestire il carico in base alle preferenze.
Prendere in considerazione il carico
Gli account di archiviazione possono gestire un determinato carico di richieste di lettura e scrittura prima di avviare la limitazione delle richieste. Per altre informazioni, vedere Obiettivi di scalabilità e prestazioni per Archiviazione BLOB di Azure.
La limitazione influisce sul tempo necessario per inserire i log. Se l'account di archiviazione è sovraccaricato, registrare un altro account di archiviazione per distribuire il carico tra loro. Per monitorare la capacità e le prestazioni dell'account di archiviazione, esaminare le informazioni dettagliate nel portale di Azure.
Addebiti correlati
Vengono addebitati gli account di archiviazione in base al volume di dati archiviati, al tipo di archiviazione e al tipo di ridondanza. Per altre informazioni, vedere Prezzi dei BLOB in blocchi e Prezzi di archiviazione tabelle di Azure.
Passaggi successivi
- Ulteriori informazioni sull'uso del Private Link per connettere in modo sicuro le reti ad Azure Monitor.
- Informazioni sulle chiavi gestite dal cliente in Monitoraggio di Azure.