Мониторинг делегированных ресурсов в широком масштабе
Как поставщик услуг вы можете подключить несколько клиентов к Azure Lighthouse. Azure Lighthouse позволяет поставщикам служб выполнять операции одновременно в нескольких арендаторах, что делает задачи управления более эффективными.
В этом разделе показано, как использовать журналы Azure Monitor масштабируемым способом в разных клиентских арендаторах, которыми вы управляете. Хотя в этом разделе мы будем ссылаться на поставщиков услуг и клиентов, это руководство также применимо к предприятиям, где Azure Lighthouse используют для управления несколькими клиентами.
Примечание.
Убедитесь, что пользователям в управляющих арендаторах были предоставлены необходимые роли для управления рабочими областями Log Analytics в подписках делегированных клиентов.
Создание рабочих областей Log Analytics
Для получения данных необходимо создать рабочие области Log Analytics. Эти рабочие области Log Analytics являются уникальными средами для данных, которые собирает Azure Monitor. Каждая рабочая область имеет свои репозиторий данных и конфигурации, при этом источники данных и решения настроены для хранения данных в определенной рабочей области.
Рекомендуется создавать эти рабочие области непосредственно в клиентских арендаторах. Таким образом данные клиентов остаются в их арендаторах, а не экспортируются в ваши. Создание рабочих областей в клиентских арендаторах позволяет осуществлять централизованный мониторинг любых ресурсов или служб, поддерживаемых Log Analytics, обеспечивая большую гибкость в отношении отслеживаемых типов данных. Рабочие области, созданные в клиентских арендаторах, необходимы для получения сведений из параметров диагностики.
Совет
Любая учетная запись службы автоматизации, используемая для получения доступа к данным из рабочей области Log Analytics, должна быть создана в том же арендаторе, что и рабочая область.
Рабочую область Log Analytics можно создать с помощью портала Azure, шаблонов Azure Resource Manager или Azure PowerShell.
Внимание
Если все рабочие области созданы в клиентах заказчика, поставщик ресурсов Microsoft.Insights также должен быть зарегистрирован в подписке в управляющем клиенте. Если у вашего управляющего арендодателя нет существующей подписки Azure, можно зарегистрировать поставщика услуг вручную с помощью следующих команд PowerShell:
$ManagingTenantId = "your-managing-Azure-AD-tenant-id"
# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId
# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor
Развертывание политик для записи данных в журнал
После того как вы создали рабочие области Log Analytics, вы можете развернуть Политику Azure в иерархиях клиентов, чтобы диагностические данные отправлялись в соответствующую рабочую область каждого арендатора. Точные развертываемые политики могут различаться в зависимости от типов ресурсов, которые требуется отслеживать.
Дополнительные сведения о создании политик см. в статье Руководство. Создание и администрирование политик для обеспечения соответствия. Это средство сообщества предоставляет скрипт, помогающий создавать политики для мониторинга конкретных типов ресурсов, выбранных вами.
Когда вы определите, какие политики следует развернуть, разверните их в делегированных подписках в большом масштабе.
Анализ собранных данных
После развертывания политик данные будут регистрироваться в рабочих областях службы Log Analytics, созданных в каждом клиентском арендаторе. Для получения подробных сведений обо всех управляемых клиентах можно использовать такие инструменты, как Azure Monitor Workbooks, для сбора и анализа информации из нескольких источников данных.
Запрос данных в рабочих областях клиентов
Вы можете запускать запросы к журналам, чтобы извлекать данные из рабочих областей Log Analytics в разных клиентских арендаторах, создав объединение, включающее несколько рабочих областей. Включив столбец TenantID, можно увидеть, какие результаты относятся к тем или иным клиентам.
В следующем примере запроса показано, как объединить данные в таблице AzureDiagnostics в рабочих областях в двух отдельных клиентах. В результатах будут отображаться столбцы Category, ResourceGroup и TenantID.
union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId
Дополнительные примеры запросов по нескольким рабочим областям Log Analytics см. в разделе Создание запроса журнала по нескольким рабочим областям и приложениям в Azure Monitor.
Внимание
Если вы используете учетную запись автоматизации, применяемую для выполнения запросов к данным из рабочей области Log Analytics, необходимо создать эту учетную запись автоматизации в том же клиенте, в котором находится рабочая область.
Просмотр оповещений для разных клиентов
Вы можете просматривать оповещения для делегированных подписок в клиентских арендаторах, которыми вы управляете.
Из управляющего арендатора можно создавать, просматривать и управлять оповещениями журнала действий с помощью портала Azure или API-интерфейсов и средств управления.
Чтобы автоматически обновлять оповещения для нескольких клиентов, используйте запрос к Azure Resource Graph для фильтрации оповещений. Вы можете прикрепить запрос к панели инструментов и выбрать соответствующих клиентов и подписки. Например, приведенный ниже запрос будет отображать предупреждения уровня серьезности 0 и 1 с интервалом обновления в 60 минут.
alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)
Следующие шаги
- Опробуйте журналы действий по доменам на сайте GitHub.
- Изучите пример книги, созданной специалистом со статусом MVP. Эта книга отслеживает отчеты о соответствии требованиям к исправлениям, запрашивая журналы Управления обновлениями в разных рабочих областях Log Analytics.
- Узнайте о других интерфейсах управления для разных арендаторов.