Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как поставщик услуг вы можете подключить клиентов к Azure Lighthouse. С помощью Azure Lighthouse поставщики услуг могут выполнять операции в масштабе нескольких клиентов одновременно, что делает задачи управления более эффективными.
В этой статье показано, как использовать журналы Azure Monitor в масштабируемом режиме для всех клиентов, которыми вы управляете. Хотя эта статья относится к поставщикам услуг и клиентам, это руководство также относится к предприятиям , использующим Azure Lighthouse для управления несколькими клиентами.
Примечание.
Убедитесь, что у пользователей в управляющем клиенте есть необходимые роли для управления рабочими областями Log Analytics в делегированных подписках ваших клиентов.
Создание рабочих областей Log Analytics
Для сбора данных необходимо создать рабочие области Log Analytics. Эти рабочие области являются уникальными средами для данных, собранных Azure Monitor. Каждая рабочая область имеет собственный репозиторий данных и конфигурацию. Вы настраиваете источники данных и решения для хранения данных в определенной рабочей области.
Мы рекомендуем создавать эти рабочие области непосредственно в арендаторах клиентов, чтобы их данные оставались в их арендаторах, а не экспортировались в ваши. При создании рабочих областей в клиентских тентах можно централизованно отслеживать ресурсы и службы, поддерживаемые Log Analytics. Этот подход обеспечивает большую гибкость в отношении типов отслеживаемых данных. Чтобы собирать сведения из параметров диагностики, рабочие области должны создаваться в арендаторах клиентов.
Совет
Любая учетная запись службы автоматизации, которая обращается к данным из рабочей области Log Analytics, должна быть создана в том же клиенте, что и рабочая область.
Вы можете создать рабочую область Log Analytics с помощью портала Azure, PowerShell, Azure CLI, Bicep или шаблонов ARM.
Внимание
Если вы создаете рабочие области только в клиентских арендаторах, необходимо также зарегистрировать поставщиков ресурсов Microsoft.Insights в подписке в управляющем арендаторе. Если у вашего управляющего арендодателя нет существующей подписки Azure, можно зарегистрировать поставщика услуг вручную с помощью следующих команд PowerShell:
$ManagingTenantId = "your-managing-Azure-AD-tenant-id"
# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId
# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor
Развертывание политик для записи данных в журнал
После создания рабочих областей Log Analytics используйте политику Azure в иерархиях клиентов для отправки диагностических данных в соответствующую рабочую область в каждом клиенте. Точные развернутые политики могут отличаться в зависимости от типов ресурсов, которые требуется отслеживать.
Дополнительные сведения о создании политик см. в руководстве по созданию политик и управлению ими для обеспечения соответствия требованиям. Чтобы скрипт помог вам создать политики для мониторинга определенных типов ресурсов, которые вы выбрали, попробуйте использовать это средство сообщества.
Определив, какие политики следует развернуть, разверните их в делегированных подписках в большом масштабе.
Анализ собранных данных
После развертывания политик рабочие области Log Analytics, созданные в каждом клиенте, начинают ведение журнала. Для получения аналитических сведений для всех управляемых клиентов используйте такие средства, как книги Azure , которые собирают и анализируют информацию из нескольких источников данных.
Запрос данных в рабочих областях клиентов
Используйте запросы журнала для получения данных в рабочих областях Log Analytics в разных клиентах-арендаторах, создав объединение, включающее несколько рабочих областей. Включив столбец TenantID, можно увидеть, какие результаты относятся к тем или иным клиентам.
В следующем примере запроса показано, как объединить данные в таблице AzureDiagnostics в рабочих областях в двух отдельных клиентах. В результатах будут отображаться столбцы Category, ResourceGroup и TenantID.
union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId
Дополнительные примеры запросов в нескольких рабочих областях Log Analytics см. в статье "Запрос данных" в рабочих областях, приложениях и ресурсах Log Analytics в Azure Monitor.
Внимание
Если вы используете учетную запись службы автоматизации для запроса данных из рабочей области Log Analytics, эта учетная запись автоматизации должна находиться в том же клиенте, что и рабочая область.
Просмотр оповещений для разных клиентов
Вы можете просматривать оповещения для делегированных подписок в клиентских арендаторах, которыми вы управляете. Из управляющего арендатора можно создавать, просматривать и управлять оповещениями журнала действий с помощью портала Azure или API-интерфейсов и средств управления.
Чтобы автоматически обновлять оповещения для нескольких клиентов, используйте запрос к Azure Resource Graph для фильтрации оповещений. Вы можете прикрепить запрос к панели инструментов и выбрать соответствующих клиентов и подписки.
Например, следующий запрос отображает оповещения с серьезностью 0 и 1, обновляя каждые 60 минут.
alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)
Следующие шаги
- Опробуйте журналы действий по доменам на сайте GitHub.
- Изучите этот образец рабочей книги, созданной с использованием MVP, которая отслеживает отчеты о соответствии установленным патчам путем выполнения запросов к данным Azure Update Manager в нескольких рабочих областях Log Analytics.
- Узнайте о других возможностях управления несколькими клиентами, включенными в Azure Lighthouse.