Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы Azure Monitor используют Azure Storage в различных сценариях. Azure Monitor обычно управляет этим типом хранилища автоматически, но в некоторых случаях требуется предоставить собственную учетную запись хранения и управлять ими, также называемой управляемой клиентом учетной записью хранения. В этой статье описываются варианты использования и требования к настройке управляемого клиентом хранилища для журналов Azure Monitor и объясняется, как связать учетную запись хранения с рабочей областью Log Analytics.
Примечание.
Мы рекомендуем не зависеть от содержимого, которое журналы Azure Monitor загружают в хранилище, управляемое клиентом, поскольку форматирование и содержание могут измениться.
Приватные ссылки
Учетные записи хранения, управляемые клиентом, используются для сбора пользовательских журналов при использовании частных ссылок для подключения к ресурсам Azure Monitor. Процесс приема этих типов данных подразумевает, что журналы сначала загружаются в промежуточную учетную запись Azure Storage, и только затем переносятся в рабочую область.
Требования к рабочей области
При подключении к Azure Monitor через приватный канал агент Azure Monitor может отправлять журналы только в рабочие области, доступные через приватный канал. Это требование означает, что вам следует:
- Настройте объект Область Приватного Межсетевого Соединения (AMPLS) в Azure Monitor.
- Подключите его к рабочим областям.
- Подключите AMPLS к своей сети по приватному каналу.
Дополнительные сведения о процедуре настройки AMPLS см. в разделе Безопасное подключение сетей к Azure Monitor с помощью приватного канала Azure.
Требования к учетной записи хранения
Для подключения учетной записи хранения к приватной ссылке необходимо:
Находиться в виртуальной сети или одноранговой сети и подключаться к виртуальной сети через приватный канал.
Находиться в том же регионе, что и связанная с ней рабочая область.
Разрешить Azure Monitor доступ к учетной записи хранения. Чтобы разрешить доступ к учетной записи хранения только определенным сетям, выберите исключение Разрешить доверенным службам Microsoft доступ к этой учетной записи хранения.
Если рабочая область обрабатывает трафик из других сетей, настройте учетную запись хранения, чтобы разрешить входящий трафик, поступающий из соответствующих сетей или Интернета.
Координирует версию TLS между агентами и учетной записью хранения. Рекомендуется отправлять данные в журналы Azure Monitor с помощью TLS 1.2 или более поздней версии. При необходимости настройте агенты для использования TLS. Если это невозможно, настройте учетную запись хранения, чтобы принять TLS 1.0.
Шифрование данных ключей, управляемых клиентом
Служба хранилища Azure шифрует все неактивные данные в учетной записи хранения. По умолчанию он использует управляемые Корпорацией Майкрософт ключи (MMKs) для шифрования данных. Однако служба хранилища Azure также позволяет использовать управляемые клиентом ключи (CMKs) из Azure Key Vault для шифрования данных хранилища. Вы можете импортировать собственные ключи в Key Vault или использовать API Key Vault для создания ключей.
Сценарии CMK, в которых требуется управляемая клиентом учетная запись хранения
Для учетной записи хранения, управляемой клиентом, требуется:
- Шифрование запросов генерации оповещений журнала с помощью CMK.
- Шифрование сохраненных запросов с помощью CMK.
Применение CMK к учетным записям хранения, управляемым клиентом
Следуйте этим рекомендациям, чтобы применить ключи шифрования, управляемые клиентом, к учетным записям хранилища, управляемым клиентами.
Требования к учетной записи хранения
Учетная запись хранения и хранилище ключей должны находиться в одном регионе, но они также могут находиться в разных подписках. Дополнительные сведения о шифровании и управлении ключами в службе хранилища Azure см. в статье Шифрование службы хранилища Azure для неактивных данных.
Примените CMK к вашим учетным записям хранения
Чтобы настроить учетную запись хранилища Azure для использования CMKs в Key Vault, используйте портал Azure, PowerShell или Azure CLI.
Примечание.
- При подключении учетной записи хранилища для выполнения запросов существующие сохраненные запросы в рабочей области удаляются навсегда из соображений конфиденциальности. Вы можете скопировать существующие сохраненные запросы перед ссылкой на хранилище с помощью PowerShell.
- Запросы, сохраненные в пакете запросов, не шифруются с помощью ключа, управляемого клиентом. Выберите " Сохранить как устаревший запрос " при сохранении запросов, чтобы защитить их с помощью ключа, управляемого клиентом.
- Сохраненные запросы хранятся в хранилище таблиц и шифруются с помощью ключа, управляемого клиентом, при настройке шифрования при создании учетной записи хранения.
- Оповещения поиска по журналам сохраняются в объектном хранилище, где шифрование с использованием ключей, управляемых клиентом, может быть настроено как при создании учетной записи хранения, так и позже.
- Вы можете использовать одну учетную запись хранения для всех целей, запросов, оповещений, пользовательских журналов и журналов IIS. Для подключения хранилища для пользовательских журналов и журналов IIS может потребоваться больше учетных записей для масштабирования хранилища в зависимости от скорости обработки данных и ограничений хранения. Вы можете связать до пяти учетных записей хранения с рабочей областью.
Связывание учетных записей хранения с рабочей областью Log Analytics
Использование портала Azure
В портале Azure откройте меню рабочей области и выберите учетные записи связанного хранилища. На панели показаны связанные учетные записи хранения для ранее упомянутых сценариев использования (приём данных через Private Link, применение CMKs к сохранённым запросам или к оповещению).
При выборе элемента в таблице открываются сведения о учетной записи хранения, где можно задать или обновить связанную учетную запись хранения для этого типа.
Вы можете использовать одну и ту же учетную запись в различных случаях использования, если вы предпочитаете.
Использование Azure CLI или REST API
Вы также можете связать учетную запись хранения со своей рабочей областью с помощью Azure CLI или REST API.
dataSourceType Применимые значения:
-
CustomLogs: чтобы использовать учетную запись хранения для пользовательских журналов и загрузки журналов IIS. -
Query: Используйте учетную запись хранения для сохранения запросов (необходимо для шифрования CMK). -
Alerts: Использовать учетную запись хранения для сохранения оповещений, основанных на журналах (это требуется для шифрования с использованием CMK).
Управление связанными учетными записями хранения
Следуйте инструкциям по управлению связанными учетными записями хранения.
Создание или изменение ссылки
При связывании учетной записи хранения с рабочей областью журналы Azure Monitor начинают использовать ее вместо учетной записи хранения, принадлежащей службе. Вы можете:
- Зарегистрируйте несколько учетных записей хранения, чтобы распространить нагрузку журналов между ними.
- Повторно используйте одну учетную запись хранения для нескольких рабочих областей.
Удаление привязки учетной записи хранения
Чтобы прекратить использование учетной записи хранения, отсоедините хранилище от рабочей области. Когда вы отвязываете все учетные записи хранения от рабочей области, журналы Azure Monitor используют управляемые службой учетные записи хранения. Если сеть имеет ограниченный доступ к Интернету, эти учетные записи хранения могут быть недоступны, и любой сценарий, основанный на хранении, завершится сбоем.
Замена учетной записи хранения
Чтобы заменить учетную запись хранения, используемую для приема:
- Создайте ссылку на новую учетную запись хранения. Агенты ведения журнала получат обновленную конфигурацию и начнут отправлять данные в новое хранилище. Процесс может занять несколько минут.
- Отмените связь со старой учетной записью хранения, чтобы агенты перестали записывать данные в удаленную учетную запись. Процесс загрузки данных постоянно считывает данные из этой учетной записи, пока все они не будут загружены. Не удаляйте учетную запись хранения, пока не удостоверитесь, что все журналы были обработаны.
Обслуживание учетных записей хранения
Следуйте этим инструкциям, чтобы сохранить учетные записи хранения.
Управление хранением журнала
При использовании собственной учетной записи хранения срок хранения предназначен для вас. Журналы Azure Monitor не удаляют журналы, хранящиеся в частном хранилище. Но вы должны настроить политику для обработки нагрузки в соответствии с вашими предпочтениями.
Учет нагрузки
Учетные записи хранения могут обрабатывать определенную нагрузку запросов на чтение и запись, прежде чем начать их ограничивать. Дополнительную информацию см. в разделе "Целевые показатели масштабируемости и производительности в хранилище BLOB-объектов Azure".
Регулирование влияет на время, затрачиваемое на прием журналов. Если ваша учетная запись хранения перегружена, зарегистрируйте другую учетную запись хранения, чтобы распространить нагрузку между ними. Чтобы отслеживать емкость и производительность аккаунта хранения, ознакомьтесь с его информацией в портале Azure.
Связанные расходы
Плата за хранилищные учетные записи взимается с учетом объема хранимых данных, типа хранилища и типа избыточности. Дополнительные сведения см. в разделах Цены на блочные BLOB-объекты и Цены на хранилище таблиц Azure.
Следующие шаги
- Узнайте об использовании Private Link для безопасного подключения сетей к Azure Monitor.
- Узнайте о ключах, управляемых клиентом Azure Monitor.