Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Monitoraggio di Azure gestisce in genere automaticamente l'archiviazione, ma alcuni scenari richiedono la configurazione di un account di archiviazione gestito dal cliente. Questo articolo descrive i casi d'uso, i requisiti e le procedure per la configurazione di un account di archiviazione gestito dal cliente a un'area di lavoro Log Analytics.
| Scenari che richiedono l'account di archiviazione gestito dal cliente |
|---|
| Collegamenti privati usati per l'inserimento di log personalizzato/IIS |
| Crittografia dei dati della chiave gestita dal cliente (CMK) delle query di avviso del log e delle query salvate |
Il contenuto del log personalizzato caricato negli account di archiviazione gestiti dal cliente potrebbe cambiare in formattazione o in altri modi imprevisti. Considerare attentamente le dipendenze da questo contenuto e comprendere le circostanze speciali per il caso d'uso.
Prerequisiti
Avvertimento
A partire dal 30 giugno 2025, la creazione o l'aggiornamento di log personalizzati e gli account di archiviazione collegati di IIS non saranno più disponibili. Gli account di archiviazione esistenti verranno scollegati entro il 1° novembre 2025. È consigliabile eseguire la migrazione a un agente di Monitoraggio di Azure per evitare di perdere dati. Per altre informazioni, vedere Panoramica dell'agente di Monitoraggio di Azure.
Avvertimento
A partire dal 31 agosto 2026, le aree di lavoro di Log Analytics devono disporre di un'identità gestita (MSI) assegnata per aggiungere o aggiornare gli account di archiviazione collegati per le query salvate e le query di avviso sui log salvate. Per altre informazioni, vedere Collegare gli account di archiviazione all'area di lavoro Log Analytics.
| Azione | Autorizzazione richiesta |
|---|---|
| Gestire gli account di archiviazione collegati per un'area di lavoro |
Microsoft.OperationalInsights/workspaces/write - Ambito dell'areadi lavoro, ad esempio, come specificato dal ruolo predefinito Collaboratore di Log Analytics. |
| Assegnare qualsiasi identità gestita a un'area di lavoro |
Microsoft.OperationalInsights/workspaces/write - Ambito dell'areadi lavoro, ad esempio, come specificato dal ruolo predefinito Collaboratore di Log Analytics. |
| Gestire un'identità gestita assegnata dall'utente per un'area di lavoro |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - Ambitodi identità, ad esempio, fornito dai ruoli predefiniti, Operatore identità gestita o Collaboratore identità gestita. |
| Autorizzazioni minime per l'identità gestita nell'account di archiviazione | Collaboratore ai dati della tabella di archiviazione. |
Inoltre, l'account di archiviazione collegato deve trovarsi nella stessa area dell'area di lavoro.
Collegamenti privati
Gli account di archiviazione gestiti dal cliente vengono usati per inserire log personalizzati quando vengono usati collegamenti privati per connettersi alle risorse di Monitoraggio di Azure. Il processo di inserimento di questi tipi di dati carica prima i log in un account di Archiviazione di Azure intermedio e li inserisce solo in un'area di lavoro.
Requisiti dell'area di lavoro
Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'agente di Monitoraggio di Azure può inviare i log solo alle aree di lavoro accessibili tramite un collegamento privato. Questo requisito significa che è necessario:
- Configurare un oggetto AMPLS (collegamento privato Scope) di Monitoraggio di Azure.
- Connettelo alle vostre aree di lavoro.
- Connettere l'AMPLS alla rete tramite un collegamento privato.
Per altre informazioni sulla procedura di configurazione AMPLS, vedere Usare il Collegamento privato di Azure per connettere in modo sicuro le reti a Monitoraggio di Azure.
Requisiti dell'account di archiviazione per il collegamento privato
Quando ci si connette a Monitoraggio di Azure tramite un collegamento privato, l'account di archiviazione deve essere accessibile tramite un collegamento privato. Questo requisito significa che è necessario: affinché l'account di archiviazione si connetta al collegamento privato, deve:
Trovarsi nella rete virtuale o in una rete con peering e connettersi alla rete virtuale tramite un collegamento privato.
Consentire ad Monitoraggio di Azure di accedere all'account di archiviazione. Per consentire solo a reti specifiche di accedere all'account di archiviazione, selezionare l'eccezione Consentire ai servizi Microsoft attendibili di accedere a questo account di archiviazione.
Se l'area di lavoro gestisce il traffico da altre reti, configurare l'account di archiviazione per consentire il traffico in ingresso proveniente dalle reti/Internet pertinenti.
Coordinare la versione TLS tra agenti e account di archiviazione. È consigliabile inviare dati a Log di Monitoraggio di Azure usando TLS 1.2 o versione successiva. Se necessario, configurare gli agenti per l'uso di TLS. Se non è possibile, configurare l'account di archiviazione per accettare TLS 1.2.
Crittografia dei dati con chiavi gestite dal cliente
Archiviazione di Azure crittografa tutti i dati a riposo in un account di archiviazione. Per impostazione predefinita, usa chiavi gestite da Microsoft per crittografare i dati. Archiviazione di Azure, tuttavia, consente anche di usare chiavi gestite dai clienti da Azure Key Vault per crittografare i dati archiviati. Importare chiavi personalizzate in Key Vault o usare le API di Key Vault per generare chiavi.
È necessario un account di archiviazione gestito dal cliente per:
- Crittografia delle query di avviso log con CMK.
- Crittografia delle query salvate con i CMK.
Configurare l'account di archiviazione per l'uso di CHIAVI con Key Vault. Per altre informazioni, vedere Configurare chiavi gestite dal cliente per Archiviazione di Azure.
Considerazioni sull'archiviazione gestita dal cliente con la chiave gestita dal cliente
Avvertimento
Quando si collega un account di archiviazione per le query, tutte le query e le funzioni vengono rimosse definitivamente dall'area di lavoro e archiviate in una tabella nell'account di archiviazione. Prima di avviare questa operazione, fare clic su Esporta modello in Automazione nell'area di lavoro per salvare le query e le funzioni.
L'account di archiviazione e il Key Vault devono trovarsi nella stessa area. Non è tuttavia necessario che provenissero dalla stessa sottoscrizione. Per altre informazioni, vedere Crittografia di Archiviazione di Azure per dati inattivi.
| Caso speciale | Correzione |
|---|---|
| Quando un account di archiviazione è collegato per le query, le query e le funzioni salvate esistenti nell'area di lavoro vengono eliminate in modo permanente per la privacy e spostate in una tabella nell'account di archiviazione. | Copiare le query salvate esistenti prima di configurare il collegamento di archiviazione. Ecco un esempio di uso di PowerShell. È possibile scollegare l'account di archiviazione per le query, per spostare le query e le funzioni salvate nell'area di lavoro. Aggiornare il browser se le query o le funzioni non salvate non vengono visualizzate nel portale di Azure dopo l'operazione. |
| Le query salvate nei Query Pack non vengono crittografate con la CMK. | Quando di salvano le query, selezionare Salva come query legacy per proteggerle con la chiave gestita dal cliente. |
| Le query salvate e gli avvisi di ricerca log non vengono crittografati nell'archiviazione gestita dal cliente per impostazione predefinita. | Crittografare l'account di archiviazione con la chiave gestita dal cliente al momento della creazione dell'account di archiviazione anche se cmk è configurabile dopo. |
| Un singolo account di archiviazione StorageV2 può essere usato per tutti gli scopi: query, avvisi, log personalizzati e log IIS. | Il collegamento dell'archiviazione per i log personalizzati e i log IIS potrebbe richiedere più account di archiviazione (fino a 5 per area di lavoro) per la scalabilità, a seconda della velocità di inserimento e dei limiti di archiviazione. Tenere presente che tutte le risorse di archiviazione gestite dal cliente per i log personalizzati e i log IIS verranno scollegati il 1° novembre 2025. |
Collegare gli account di archiviazione all'area di lavoro di Log Analytics
I requisiti seguenti verranno applicati non prima del 31 agosto 2026.
| Requisito imminente | Descrizione |
|---|---|
| Identità gestita assegnata all'area di lavoro | La creazione di nuovi collegamenti agli account di archiviazione gestiti dal cliente quando non viene assegnata alcuna identità gestita verrà bloccata per tutte le aree di lavoro, incluso l'aggiornamento dei collegamenti esistenti. |
| Account di archiviazione configurato con assegnazione di ruoli per l'identità gestita | La creazione di nuovi collegamenti agli account di archiviazione gestiti dal cliente quando l'account di archiviazione non ha un'assegnazione di ruolo per l'identità gestita verrà bloccata per tutte le aree di lavoro, incluso l'aggiornamento dei collegamenti esistenti. |
Creare un'identità gestita
Prepararsi per la modifica imminente dell'imposizione configurando l'area di lavoro con un'identità gestita.
Fino a quando tale imposizione, l'area di lavoro non usa l'identità gestita per l'autenticazione nell'archiviazione privata. Non rimuovere il metodo di autenticazione esistente fino a quando non viene annunciato che le identità gestite sono abilitate per l'autenticazione nell'archiviazione privata.
Creare o aggiornare l'area di lavoro con un'identità gestita usando uno di questi metodi:
- Impostazioni di identità delle aree di lavoro Log Analytics del portale di Azure
- Bicipite
- API REST.
- Interfaccia della riga di comando di Azure.
Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure?
Aggiungere un'assegnazione di ruolo
Dopo aver assegnato l'identità gestita all'area di lavoro, aggiornare l'account di archiviazione per consentire l'accesso all'identità gestita. Assegnare tale identità al ruolo Collaboratore dati tabella di archiviazione nell'account di archiviazione per consentire all'area di lavoro di accedere alle query salvate e alle query di avviso del log. Prendere nota delle autorizzazioni necessarie per assegnare identità gestite e gestire le identità assegnate dall'utente.
Aggiungere il collegamento
Nel portale di Azure aprire il menu dell'area di lavoro e selezionare Account di archiviazione collegati. L'account di archiviazione collegato viene visualizzato per ogni tipo.
Se si seleziona un tipo o l'icona di connessione, vengono aperti i dettagli del link dell'account di archiviazione per configurare o aggiornare l'account di archiviazione collegato per il tipo determinato. Usare lo stesso account di archiviazione per più tipi per ridurre la complessità.
Gestire gli account di archiviazione collegati
Seguire queste indicazioni per gestire gli account di archiviazione collegati.
Creare o modificare un collegamento
Quando si collega un account di archiviazione a un'area di lavoro, Log di Monitoraggio di Azure inizia a usarlo al posto dell'account di archiviazione di proprietà del servizio. È possibile:
- Registrare più account di archiviazione per distribuire il carico dei log tra di essi.
- Riutilizzare lo stesso account di archiviazione per più aree di lavoro.
Scollegare un account di archiviazione
Per interrompere l'uso di un account di archiviazione, scollegare l'archiviazione dall'area di lavoro. Quando si scollegano tutti gli account di archiviazione da uno spazio di lavoro, i log di Monitoraggio di Azure usano account di archiviazione gestiti dal servizio. Se la rete ha accesso limitato a Internet, questi account di archiviazione potrebbero non essere disponibili e qualsiasi scenario basato sull'archiviazione avrà esito negativo.
Sostituire un account di archiviazione
Per sostituire un account di archiviazione usato per l'inserimento:
- Creare un collegamento a un nuovo account di archiviazione. Gli agenti di registrazione ottengono la configurazione aggiornata e iniziano a inviare dati alla nuova risorsa di archiviazione. Il processo potrebbe richiedere alcuni minuti.
- Scollegare l'account di archiviazione precedente in modo che gli agenti smettano di scrivere nell'account rimosso. Il processo di inserimento continua a leggere i dati da questo account fino all'inserimento completo. Non eliminare l'account di archiviazione finché non vengono visualizzati tutti i log inseriti.
Gestire gli account di archiviazione
Seguire queste indicazioni per gestire gli account di archiviazione.
Gestire la conservazione dei log
Quando si usa il proprio account di archiviazione, la conservazione spetta all'utente. I log di Monitoraggio di Azure non eliminano i log archiviati nello spazio di archiviazione privato. È invece necessario configurare un criterio per gestire il carico in base alle preferenze.
Prendere in considerazione il carico
Gli account di archiviazione possono gestire un determinato carico di richieste di lettura e scrittura prima di avviare la limitazione delle richieste. Per altre informazioni, vedere Obiettivi di scalabilità e prestazioni per Archiviazione BLOB di Azure.
La limitazione influisce sul tempo necessario per inserire i log. Se l'account di archiviazione è sovraccaricato, registrare un altro account di archiviazione per distribuire il carico tra loro. Per monitorare la capacità e le prestazioni dell'account di archiviazione, esaminare le informazioni dettagliate nel portale di Azure.
Addebiti correlati
Vengono addebitati gli account di archiviazione in base al volume di dati archiviati, al tipo di archiviazione e al tipo di ridondanza. Per altre informazioni, vedere Prezzi dei BLOB in blocchi e Prezzi di archiviazione tabelle di Azure.
Passaggi successivi
- Ulteriori informazioni sull'uso del collegamento privato per connettere in modo sicuro le reti ad Monitoraggio di Azure.
- Informazioni sulle chiavi gestite dal cliente in Monitoraggio di Azure.