Vytvoření a konfigurace sledovacího procesu databáze (Preview)

Platí pro: Azure SQL DatabaseAzure SQL Managed Instance

Tento článek obsahuje podrobný postup vytvoření, konfigurace a spuštění sledovacího modulu databáze na webu Azure Portal pro Azure SQL Database a spravovanou instanci Azure SQL.

Sledovací proces databáze nevyžaduje nasazení a údržbu agentů monitorování ani jiné infrastruktury monitorování. Podrobné monitorování prostředků Azure SQL můžete povolit za pár minut.

Zjednodušený podrobný příklad vytvoření a konfigurace sledovacího procesu databáze najdete v tématu Rychlý start: Vytvoření sledovacího procesu databáze pro monitorování Azure SQL.

Pokud chcete zjistit, jak můžete vytvořit a nakonfigurovat sledovací proces databáze pomocí Bicep nebo šablony ARM, přečtěte si ukázku kódu pro vytvoření sledovacího modulu databáze.

Informace o správě sledovacích procesů databází prostřednictvím kódu programu najdete v dokumentaci k rozhraní REST API sledovacího programu databáze.

Poznámka:

Sledovací proces databáze je aktuálně ve verzi Preview.

Požadavky

K použití sledovacího nástroje pro databáze jsou vyžadovány následující požadavky.

• Budete potřebovat aktivní předplatné Azure. Pokud žádné nemáte, vytvořte si bezplatný účet. Abyste mohli vytvářet prostředky, musíte být členem role přispěvatele nebo role Vlastník předplatného nebo skupiny prostředků.

• Ke konfiguraci a spuštění sledovacího modulu databáze budete potřebovat existující cíl SQL: databázi Azure SQL, elastický fond nebo spravovanou instanci SQL.

  • Pokud ještě nemáte vytvořenou databázi Azure SQL, přejděte na rychlý start: Vytvoření izolované databáze. Vyhledejte možnost použití vaší nabídky k vyzkoušení služby Azure SQL Database zdarma (Preview).
  • Alternativně vyzkoušejte službu Azure SQL Managed Instance zdarma (Preview).

• Poskytovatelé Microsoft.DatabaseWatcherprostředků a Microsoft.Kusto poskytovatelé Microsoft.Networkprostředků musí být zaregistrovaní ve vašem předplatném Azure.

  • Pokud chcete použít ověřování SQL pro připojení k prostředkům Azure SQL, Microsoft.KeyVault musí být také zaregistrovaný poskytovatel prostředků. Viz Další konfigurace pro použití ověřování SQL.

  Registrace poskytovatele prostředků je automatická, pokud máte členství role Vlastník nebo PřispěvatelRBAC na úrovni předplatného. V opačném případě musí uživatel v jedné z těchto rolí před vytvořením a konfigurací sledovacího procesu zaregistrovat poskytovatele prostředků. Další informace najdete v části Registrace poskytovatele prostředku.

• Uživatel, který vytváří a konfiguruje sledovací proces a prostředky clusteru Azure Data Exploreru, musí být členem role RBAC vlastníka nebo přispěvatele pro skupinu prostředků nebo předplatné, ve kterém se tyto prostředky vytvářejí.

  Pokud používáte ověřování SQL, musí být uživatel členem role Vlastník skupiny prostředků nebo členem role Vlastník nebo Správce přístupu uživatele pro trezor klíčů, který ukládá přihlašovací údaje ověřování SQL.

• Uživatel, který konfiguruje sledovací proces, musí mít přístup správce k cílům Azure SQL. Správce udělí sledovacímu nástroji omezený, specifický přístup k cílům monitorování SQL. Další informace najdete v tématu Udělení přístupu k cílům.

• Aby správce udělil sledovacímu procesu přístup k cíli SQL, musí spouštět skripty T-SQL pomocí aplikace SQL Server Management Studio (SSMS), Azure Data Studio nebo Visual Studio Code s rozšířením MSSQL SQL Serveru.

• Pokud chcete použít Azure Private Link pro privátní připojení k prostředkům Azure, musí být uživatel, který privátní koncový bod schválí, členem role RBAC vlastníka nebo musí mít požadovaná oprávnění RBAC. Další informace najdete v tématu Schválení RBAC pro privátní koncový bod.

Vytvoření služby Watcher

1. Na webu Azure Portal v navigační nabídce vyberte Všechny služby. Jako kategorii vyberte Monitorování a v části Monitorovací nástroje vyberte Sledovací nástroje databáze. Případně můžete do vyhledávacího pole v horní části stránky portálu zadat sledovací procesdatabáze a vybrat sledovací proces databáze.

   Jakmile se otevře zobrazení sledovacích procesů databáze, vyberte Vytvořit.

2. Na kartě Základy vyberte předplatné a skupinu prostředků pro sledovací proces, zadejte název sledovacího programu a vyberte oblast Azure.

   Tip

   Pokud ve vaší oblasti ještě není k dispozici sledovací proces databáze, můžete ho vytvořit v jiné oblasti. Další informace najdete v tématu Regionální dostupnost.

3. Na kartě Identita je ve výchozím nastavení povolená spravovaná identita sledovacího nástroje přiřazená systémem. Pokud chcete, aby sledovací proces místo toho používal spravovanou identitu přiřazenou uživatelem, vyberte tlačítko Přidat , vyhledejte identitu, kterou chcete použít, a vyberte tlačítko Přidat . Pokud chcete, aby identita přiřazená uživatelem byla pro sledovací proces efektivní, zakažte spravovanou identitu přiřazenou systémem.

   Další informace o spravovaných identitách ve sledovacím nástroji databáze naleznete v tématu Úprava identity sledovacího nástroje.

4. Zvolte úložiště dat pro sledovací proces.

   Ve výchozím nastavení vytvoří sledovací proces také cluster Azure Data Exploreru a přidá do daného clusteru databázi jako úložiště dat pro shromážděná data monitorování.

   • Ve výchozím nastavení nový cluster Azure Data Exploreru používá skladovou položku optimalizovanou pro extra malé výpočetní prostředky. Jedná se o nejekonomičtější skladovou položku, která stále poskytuje smlouvu o úrovni služeb (SLA). Podle potřeby můžete tento cluster škálovat později.

   • Nebo můžete použít databázi v existujícím clusteru Azure Data Exploreru, v bezplatném clusteru Azure Data Exploreru nebo v analýzách v reálném čase.

     1. Na kartě Úložiště dat zvolte možnost Vybrat úložiště dat a vyberte Přidat.
     2. Vyberte databázi Analýzy v reálném čase nebo cluster Azure Data Exploreru.
     3. Pokud používáte existující cluster Azure Data Exploreru, musíte povolit příjem dat streamování.
     4. Vytvořte novou databázi nebo použijte existující databázi.

     Poznámka:

     Každá existující databáze, kterou vyberete , musí být prázdná nebo musí být databáze, kterou jste dříve použili jako úložiště dat sledovacího nástroje databáze. Výběr databáze, která obsahuje žádné objekty, které nevytvořil sledovací proces databáze, není podporováno.

   • Nebo můžete v tuto chvíli přeskočit přidání úložiště dat a přidat ho později. Ke spuštění sledovacího prvku se vyžaduje úložiště dat.

5. Na kartě Cíle SQL přidejte jeden nebo více prostředků Azure SQL, které chcete monitorovat. Přidávání cílů SQL můžete přeskočit při vytváření sledovacího nástroje a přidat je později. Před spuštěním sledovacího procesu musíte přidat alespoň jeden cíl.

6. Na kartě Zkontrolovat a vytvořit zkontrolujte konfiguraci sledovacího nástroje a vyberte Vytvořit. Pokud vyberete výchozí možnost pro vytvoření nového clusteru Azure Data Exploreru, nasazení obvykle trvá 15 až 20 minut. Pokud vyberete databázi v existujícím clusteru Azure Data Exploreru, v bezplatném clusteru Azure Data Exploreru nebo v analýze v reálném čase, nasazení obvykle trvá až pět minut.

7. Po dokončení nasazení udělte sledovacímu modulu přístup k cílům SQL.

8. Možná budete také muset sledovacímu prostředí udělit přístup k úložišti dat.

   • Přístup k databázi v novém nebo existujícím clusteru Azure Data Exploreru se automaticky udělí, když se sledovací proces vytvoří, pokud je uživatel, který vytváří sledovací proces, členem role Vlastník RBAC pro cluster.
   • Pokud ale vyberete databázi, musíte udělit přístup k úložišti dat pomocí příkazu KQL:
     • Analýzy v reálném čase v Microsoft Fabric.
     • Bezplatný cluster Azure Data Exploreru.

9. Pokud chcete používat privátní připojení, vytvořte a schvalte spravované privátní koncové body.

   • Pokud je povolený veřejný přístup k vašim cílům SQL, úložiště dat a trezor klíčů a chcete použít veřejné připojení, ujistěte se, že jsou splněné všechny požadavky na veřejné připojení .

Spuštění a zastavení sledovacího prvku

Když je sledovací proces vytvořen, není spuštěn automaticky, protože může být vyžadována další konfigurace.

Pokud chcete spustit službu Watcher, musí mít:

• Úložiště dat.
• Alespoň jeden cíl.
• Přístup k úložišti dat a cílům
  • Přístup k trezoru klíčů se vyžaduje také v případě, že pro libovolný cíl bylo vybráno ověřování SQL.
• Privátní nebo veřejné připojení k cílům, trezoru klíčů (pokud používáte ověřování SQL) a úložiště dat.
  • Pokud chcete použít privátní připojení, vytvořte privátní koncové body.

Jakmile je sledovací proces plně nakonfigurovaný, spusťte shromažďování dat pomocí tlačítka Start na stránce Přehled . Během několika minut se nová data monitorování zobrazí v úložišti dat a na řídicích panelech. Pokud se nová data během pěti minut nezobrazují, přečtěte si téma Řešení potíží.

Sledovací proces můžete zastavit tlačítkem Zastavit , pokud už nějakou dobu nepotřebujete monitorovat prostředky Azure SQL.

Pokud chcete sledovací proces restartovat, zastavte ho a pak ho znovu spusťte.

Úprava sledovacího nástroje

Na webu Azure Portal můžete přidat nebo odebrat cíle, vytvořit nebo odstranit privátní koncové body, použít jiné úložiště dat pro existující sledovací proces nebo upravit spravovanou identitu sledovacího modulu.

Poznámka:

Pokud není uvedeno jinak, změny provedené v konfiguraci sledovacího nástroje se po zastavení a restartování sledovacího nástroje stanou efektivní.

Přidání cílů SQL do sledovacího nástroje

Pokud chcete povolit monitorování sledovacího modulu databáze Azure SQL pro databázi Azure SQL, elastický fond nebo spravovanou instanci SQL, musíte tento prostředek přidat jako cíl SQL.

1. Pokud chcete přidat cíl, vyberte na stránce Cíle SQL možnost Přidat.
2. Vyhledejte prostředek Azure SQL, který chcete monitorovat. Vyberte typ prostředku a předplatné a pak v seznamu prostředků vyberte cíl SQL. Cíl SQL může být v libovolném předplatném ve stejném tenantovi Microsoft Entra ID jako sledovací proces.
3. Pokud chcete monitorovat primární repliku a sekundární repliku sekundární repliky databáze, elastického fondu nebo spravované instance SQL, přidejte dva samostatné cíle SQL pro stejný prostředek a zaškrtněte políčko Číst pro jeden z nich. Podobně vytvořte dva samostatné cíle SQL pro geografickou repliku a sekundární repliku s vysokou dostupností( pokud existuje).
   • Zaškrtnutím políčka Záměr pro čtení nakonfigurujete cíl SQL pouze pro sekundární repliku s vysokou dostupností.
   • Pokud chcete monitorovat pouze primární repliku nebo jenom geografickou repliku, nebo pokud sekundární replika s vysokou dostupností pro tento prostředek neexistuje nebo pokud je funkce škálování na více instancí pro čtení zakázaná, nezaškrtáte políčko Záměr pro čtení.

Sledovací proces databáze ve výchozím nastavení používá ověřování Microsoft Entra při připojování k cílům SQL. Pokud chcete, aby sledovací proces používal ověřování SQL, zaškrtněte políčko Použít ověřování SQL a zadejte požadované podrobnosti. Další informace najdete v tématu Další konfigurace pro použití ověřování SQL.

Odebrání cílů SQL z sledovacího nástroje

Pokud chcete odebrat jeden nebo více cílů, otevřete stránku cílů SQL, vyberte v seznamu cíle, které chcete odebrat, a vyberte Odstranit.

Odebrání cíle zastaví monitorování prostředku Azure SQL po restartování sledovacího programu, ale neodstraní skutečný prostředek.

Pokud odstraníte prostředek Azure SQL monitorovaný sledovacím procesem databáze, měli byste odebrat i odpovídající cíl. Vzhledem k tomu, že existuje omezení počtu cílů SQL, které může sledovací proces mít, může být zachování zastaralých cílů blokované v přidávání nových cílů.

Vytvoření spravovaného privátního koncového bodu

Spravované privátní koncové body musíte vytvořit, pokud chcete pro shromažďování dat z cílů SQL použít privátní připojení , pro příjem dat do úložiště dat a pro připojení k trezorům klíčů. Pokud nevytvoříte privátní koncové body, použije sledovací proces databáze výchozí nastavení pro použití veřejného připojení.

Poznámka:

Sledovací proces databáze vyžaduje pro připojení k prostředkům Azure vlastní spravované privátní koncové body. Jakýkoli privátní koncový bod, který už může existovat pro logický server Azure SQL, spravovanou instanci SQL, cluster Azure Data Exploreru nebo trezor klíčů, nemůže sledovací proces použít.

Vytvoření spravovaného privátního koncového bodu pro sledovací proces:

1. Pokud u prostředku, skupiny prostředků nebo předplatného prostředku, pro který vytváříte spravovaný privátní koncový bod, existuje zámek jen pro čtení, odeberte zámek. Zámek můžete znovu přidat po úspěšném vytvoření privátního koncového bodu.

2. Přejděte na sledovací proces databáze na webu Azure Portal, otevřete stránku Spravované privátní koncové body a vyberte Přidat.

3. Zadejte název privátního koncového bodu.

4. Vyberte předplatné prostředku Azure, pro které chcete vytvořit privátní koncový bod.

5. V závislosti na typu prostředku, pro který chcete vytvořit privátní koncový bod, vyberte typ prostředku a cílový dílčí prostředek následujícím způsobem:

   Prostředek	Typ prostředku	Target sub-resource
   Logický server	Microsoft.Sql/servers	sqlServer
   Spravovaná instance SQL	Microsoft.Sql/managedInstances	managedInstance
   Cluster Azure Data Exploreru	Microsoft.Kusto/clusters	cluster
   Trezor klíčů	Microsoft.KeyVault/vaults	vault

6. Vyberte prostředek, pro který chcete vytvořit privátní koncový bod. Může to být logický server Azure SQL, spravovaná instance SQL, cluster Azure Data Exploreru nebo trezor klíčů.

   • Vytvoření privátního koncového bodu pro logický server Azure SQL Database umožňuje privátní připojení sledovacího procesu databáze pro všechny cíle databáze a elastického fondu na daném serveru.

7. Volitelně můžete zadat popis privátního koncového bodu. To může vlastníkovi prostředku pomoct žádost schválit.

8. Vyberte Vytvořit. Vytvoření privátního koncového bodu může trvat několik minut. Privátní koncový bod se vytvoří, jakmile se stav zřizování změní ze stavu Přijato nebo Spuštěno na Úspěšné. Aktualizujte zobrazení, abyste viděli aktuální stav zřizování.

   Důležité

   Privátní koncový bod se vytvoří ve stavu Čeká na vyřízení . Aby ji sledovací proces databáze mohl použít k připojení k prostředku, musí ho schválit vlastník prostředku.

   Aby vlastníci prostředků mohli řídit síťové připojení, privátní koncové body sledovacího procesu databáze se neschválejí automaticky.

9. Vlastník prostředku musí schválit žádost o privátní koncový bod.

   • Vlastník prostředku na webu Azure Portal může vyhledat Službu Private Link a otevřít centrum Private Linku. V části Čekající připojení vyhledejte privátní koncový bod, který jste vytvořili, potvrďte jeho popis a podrobnosti a vyberte Schválit.
   • Žádosti o privátní koncový bod můžete také schválit pomocí Azure CLI.

Pokud sledovací proces už běží, když je privátní koncový bod schválený, je potřeba ho restartovat, aby bylo možné začít používat privátní připojení.

Tip

Pokud je veřejné připojení clusteru clusteru Clusteru zakázané, musíte pro cluster Azure Data Exploreru vytvořit další privátní koncový bod. Další informace najdete v tématu Privátní připojení k úložišti dat.

Odstranění spravovaného privátního koncového bodu

1. Pokud je u prostředku, skupiny prostředků nebo předplatného prostředku, pro který odstraňujete spravovaný privátní koncový bod, zámek odstraňte, nebo zámek jen pro čtení. Zámek můžete znovu přidat po úspěšném odstranění privátního koncového bodu.
2. Na stránce webu Azure Portal pro sledovací proces databáze otevřete stránku Spravované privátní koncové body .
3. Vyberte privátní koncové body, které chcete odstranit.
4. Vyberte Odstranit.

Odstranění spravovaného privátního koncového bodu zastaví shromažďování dat z cílů SQL, které používají tento privátní koncový bod. Odstranění spravovaného privátního koncového bodu pro cluster Azure Data Explorer zastaví shromažďování dat pro všechny cíle. Pokud chcete obnovit shromažďování dat, znovu vytvořte privátní koncový bod nebo povolte veřejné připojení a restartujte sledovací proces.

Změna úložiště dat pro sledovací proces

Sledovací proces může mít pouze jedno úložiště dat.

Pokud chcete změnit aktuální úložiště dat, odeberte existující úložiště dat a přidejte nové úložiště dat.

• Pokud chcete odebrat aktuální úložiště dat, otevřete stránku Úložiště dat, vyberte úložiště dat v mřížce a vyberte Odstranit.

  • Odebrání úložiště dat neodstraní skutečnou databázi úložiště dat v clusteru Azure Data Exploreru ani v analýzách v reálném čase v Microsoft Fabric.
  • Pokud chcete zastavit shromažďování dat do odebraných úložiště dat, zastavte sledovací proces.
  • Pokud odeberete úložiště dat, musíte přidat nové úložiště dat, abyste mohli sledovací proces spustit znovu.

• Pokud chcete přidat úložiště dat, vyberte Přidat na stránce Úložiště dat a pak vyberte nebo vytvořte databázi v clusteru Azure Data Exploreru nebo v analýze v reálném čase.

  • Zvolená databáze musí být prázdná nebo musí být databáze, kterou jste dříve použili jako úložiště dat sledovacího nástroje databáze. Výběr databáze, která obsahuje žádné objekty, které nevytvořil sledovací proces databáze, není podporováno.
  • Jakmile přidáte úložiště dat, musíte sledovacímu nástroji udělit přístup, aby ho mohli používat. Další informace najdete v tématu Udělení přístupu k úložišti dat.
  • Jakmile se sledovací proces restartuje, začne používat nové úložiště dat.

Úprava identity sledovacího nástroje

Sledovací proces musí mít spravovanou identitu pro ověření cílů SQL, trezorů klíčů a úložiště dat. Můžete použít spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem. Další informace o spravovaných identitách v Azure najdete v tématu Co jsou spravované identity pro prostředky Azure?

Následující aspekty vám pomůžou zvolit typ spravované identity pro sledovací proces:

• Přiřazený systém

  • Při vytváření sledovacího prvku je ve výchozím nastavení povoleno.
  • Vždy spojené s jedním sledovacím procesem.
  • Vytvořili a odstranili ho sledovacím procesem.
  • Pokud zakážete identitu přiřazenou systémem pro sledovací proces, ztratí se veškerý přístup udělený této identitě. Opětovné povolení identity přiřazené systémem pro stejného sledovacího procesu vytvoří novou a odlišnou identitu s jiným ID objektu (objektu zabezpečení). Potřebujete udělit přístup k cílům SQL, trezoru klíčů a úložišti dat této nové identitě.

• Přiřazený uživatel

  • Platí jenom v případě, že je identita přiřazená systémem pro sledovací proces zakázaná.
  • Stejnou identitu přiřazenou uživatelem je možné přiřadit více sledovacím procesům, aby se zjednodušila správa přístupu, například při monitorování velkých aktiv Azure SQL. Místo udělení přístupu k identitám přiřazeným systémem více sledovacích procesů je možné udělit přístup k jedné identitě přiřazené uživatelem.
  • Kvůli podpoře oddělení povinností může být správa identit oddělená od správy sledovacích procesů. Identitu přiřazenou uživatelem může vytvořit a udělit jiný uživatel před vytvořením sledovacího prvku nebo po jeho vytvoření.
  • Naopak když se sledovací proces odstraní, identita přiřazená uživatelem a jeho přístup zůstanou beze změny. Stejnou identitu pak můžete použít pro nového sledovacího poradce.
  • Určení více než jedné identity přiřazené uživatelem pro sledovací proces není podporováno.

Pokud chcete upravit spravovanou identitu sledovacího nástroje, otevřete stránku Identita sledovacího nástroje.

• Pokud chcete použít identitu přiřazenou systémem, povolte přepínač identity přiřazené systémem.

• Pokud chcete použít identitu přiřazenou uživatelem, zakažte přepínač identity přiřazené systémem. Vyberte tlačítko Přidat a vyhledejte a přidejte existující identitu přiřazenou uživatelem.

  Pokud chcete vytvořit novou identitu přiřazenou uživatelem, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.

• Pokud chcete odebrat identitu přiřazenou uživatelem z sledovacího nástroje, vyberte ji v seznamu a vyberte Odebrat. Po odebrání identity přiřazené uživatelem musíte buď přidat jinou identitu přiřazenou uživatelem, nebo povolit identitu přiřazenou systémem.

  Odebraná identita přiřazená uživatelem se z tenanta Microsoft Entra ID neodstraní.

Výběrem tlačítka Uložit uložte změny identity. Změny identity nelze uložit, pokud by to vedlo k tomu, že sledovací proces nemá žádnou identitu. Sledovací proces bez platné spravované identity se nepodporuje.

Tip

Doporučujeme, aby zobrazovaný název spravované identity sledovacího nástroje byl jedinečný v rámci vašeho tenanta Microsoft Entra ID. Při vytváření identity přiřazené uživatelem pro sledovací uživatele můžete zvolit jedinečný název.

Zobrazovaný název identity přiřazené systémem je stejný jako název sledovacího nástroje. Pokud používáte identitu přiřazenou systémem, ujistěte se, že název sledovacího nástroje je jedinečný v rámci vašeho tenanta Microsoft Entra ID.

Pokud zobrazovaný název spravované identity není jedinečný, skript T-SQL, který sledovacímu uživateli udělí přístup k cílům SQL, selže s chybou duplicitního zobrazovaného názvu. Další informace a alternativní řešení najdete v tématu Přihlášení a uživatelé Microsoft Entra s neunique zobrazovanými jmény.

Krátce po uložení změn identity se sledovací proces znovu připojí k cílům SQL, trezorům klíčů (pokud se používá) a úložišti dat pomocí aktuální spravované identity.

Odstranění sledovacího prvku

Pokud na sledovacím programu existuje zámek jen pro čtení, jeho skupina prostředků nebo jeho předplatné, odeberte zámek. Zámek můžete znovu přidat po úspěšném odstranění sledovacího procesu.

Když odstraníte sledovací proces, který má povolenou spravovanou identitu přiřazenou systémem, odstraní se také identita. Tím se odebere veškerý přístup, který jste udělili této identitě. Pokud později sledovací proces znovu vytvoříte, budete muset udělit přístup ke spravované identitě přiřazené systémem nového sledovacího nástroje, aby se ověřil pro každý prostředek. Sem patří:

• Cíle
• Úložiště dat
• A trezor klíčů (pokud se používá)

Musíte udělit přístup k znovu vytvořeným sledovacím procesům, i když použijete stejný název sledovacího programu.

Když odstraníte sledovací proces, prostředky Azure, na které odkazují jeho cíle SQL, a úložiště dat se neodstraní. Shromážděná data monitorování SQL se uchovávají v úložišti dat a pokud později vytvoříte nový sledovací proces, můžete použít stejnou databázi Azure Data Exploreru nebo databáze Analýzy v reálném čase jako úložiště dat.

Udělení přístupu k cílům SQL

Pokud chcete sledovacímu modulu povolit shromažďování dat monitorování SQL, musíte spustit skript T-SQL, který udělí sledovacímu uživateli specifická omezená oprávnění SQL.

• Pokud chcete spustit skript ve službě Azure SQL Database, potřebujete přístup správce serveru k logickému serveru obsahujícímu databáze a elastické fondy, které chcete monitorovat.

  • Ve službě Azure SQL Database stačí spustit skript jenom jednou na logický server pro každý sledovací proces, který vytvoříte. Tím umožníte sledovacímu správci přístup ke všem existujícím a novým databázím a elastickým fondům na tomto serveru.

• Pokud chcete spustit skript ve službě Azure SQL Managed Instance, musíte být členem role serveru sysadmin nebo securityadmin mít CONTROL oprávnění serveru ke spravované instanci SQL.

  • Ve službě Azure SQL Managed Instance musíte skript spustit na každé instanci, kterou chcete monitorovat.

1. Přejděte na sledovací proces na webu Azure Portal, vyberte cíle SQL, vyberte jeden z odkazů Udělit přístup , otevřete skript T-SQL a zkopírujte skript. Nezapomeňte zvolit správný odkaz pro cílový typ a typ ověřování, který chcete použít.

   Důležité

   Ověřovací skript Microsoft Entra na webu Azure Portal je specifický pro sledovací proces, protože obsahuje název spravované identity sledovacího procesu. Obecná verze tohoto skriptu, kterou můžete přizpůsobit pro každého sledovacího modulu, najdete v tématu Udělení přístupu k cílům SQL pomocí skriptů T-SQL.

2. V aplikaci SQL Server Management Studio, Azure Data Studio nebo jiném klientském nástroji SQL otevřete nové okno dotazu a připojte ho k master databázi na logickém serveru Azure SQL obsahujícím cíl nebo k master databázi v cíli spravované instance SQL.

3. Vložte a spusťte skript T-SQL pro udělení přístupu ke sledovacímu modulu. Skript vytvoří přihlášení, které bude sledovací proces používat pro připojení a uděluje konkrétní omezená oprávnění ke shromažďování dat monitorování.

   1. Pokud používáte ověřovací skript Microsoft Entra a sledovací proces používá spravovanou identitu přiřazenou systémem, musí být sledovací proces již vytvořen při spuštění skriptu. Pokud sledovací proces použije spravovanou identitu přiřazenou uživatelem, můžete skript spustit před vytvořením sledovacího modulu nebo po jeho vytvoření.

   Při spouštění přístupových skriptů T-SQL, které udělují přístup ke spravované identitě, musíte být připojeni k ověřování Microsoft Entra.

Pokud později přidáte do sledovacího programu nové cíle, budete muset udělit přístup k těmto cílům podobným způsobem, pokud tyto cíle nejsou na logickém serveru, kde už byl udělen přístup.

Udělení přístupu k cílům SQL pomocí skriptů T-SQL

Existují různé skripty pro ověřování Microsoft Entra a ověřování SQL a pro cíle služby Azure SQL Database a Azure SQL Managed Instance.

Důležité

Vždy používejte poskytnuté skripty k udělení přístupu ke sledovacímu modulu databáze. Udělení přístupu jiným způsobem může blokovat shromažďování dat. Další informace najdete v tématu Autorizace Watcheru.

Před spuštěním skriptu nahraďte všechny instance zástupných symbolů, které můžou být ve skriptu přítomné, například login-name-placeholder skutečnými password-placeholder hodnotami.

Udělení přístupu k ověřeným sledovacím procesům Microsoft Entra

SQL Database

Tento skript vytvoří přihlašovací jméno ověřování Microsoft Entra (dříve označované jako Azure Active Directory) na logickém serveru ve službě Azure SQL Database. Přihlašovací jméno se vytvoří pro spravovanou identitu sledovacího prvku. Skript udělí sledovacímu správci potřebná a dostatečná oprávnění ke shromažďování dat monitorování ze všech databází a elastických fondů na logickém serveru.

Pokud sledovací proces používá spravovanou identitu přiřazenou systémem, musíte jako přihlašovací jméno použít sledovací jméno. Pokud sledovací proces používá spravovanou identitu přiřazenou uživatelem, musíte jako přihlašovací jméno použít zobrazovaný název identity.

Skript se musí spustit v master databázi na logickém serveru. Musíte být přihlášeni pomocí přihlašovacího jména Microsoft Entra, které je správcem serveru.

CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [identity-name-placeholder];

Spravovaná instance SQL

Tento skript vytvoří přihlašovací jméno ověřování Microsoft Entra (dříve označované jako Azure Active Directory) ve spravované instanci SQL. Přihlašovací jméno se vytvoří pro spravovanou identitu sledovacího prvku. Skript udělí sledovacímu procesi potřebná a dostatečná oprávnění ke shromažďování dat monitorování z instance.

Pokud sledovací proces používá spravovanou identitu přiřazenou systémem, musíte jako přihlašovací jméno použít sledovací jméno. Pokud sledovací proces používá spravovanou identitu přiřazenou uživatelem, musíte jako přihlašovací jméno použít zobrazovaný název identity.

Skript se musí spustit v master databázi ve spravované instanci. Musíte být přihlášeni pomocí přihlášení k ověřování Microsoft Entra, které je členem role serveru sysadmin nebo securityadmin má CONTROL oprávnění k serveru.

USE master;

CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [identity-name-placeholder];

USE msdb;

CREATE USER [identity-name-placeholder] FOR LOGIN [identity-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [identity-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [identity-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [identity-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupset TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [identity-name-placeholder];

Udělení přístupu k sledovacím procesům ověřeným SQL

Další kroky jsou vyžadovány při použití ověřování SQL, viz Další konfigurace pro použití ověřování SQL.

SQL Database

Tento skript vytvoří přihlašovací jméno ověřování SQL na logickém serveru ve službě Azure SQL Database. Udělí přihlášení potřebná a dostatečná oprávnění ke shromažďování dat monitorování ze všech databází a elastických fondů na daném logickém serveru.

Skript musí být spuštěn v master databázi na logickém serveru pomocí přihlášení, které je správcem logického serveru.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

Spravovaná instance SQL

Tento skript vytvoří přihlašovací jméno ověřování SQL ve spravované instanci SQL. Udělí přihlášení potřebná a dostatečná oprávnění ke shromažďování dat monitorování z instance.

Skript musí být spuštěn v master databázi v instanci pomocí přihlášení, které je členem sysadmin role serveru nebo securityadmin má CONTROL oprávnění k serveru.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Další konfigurace pro používání ověřování SQL

Pokud chcete bezpečně ukládat přihlašovací údaje pro ověřování, vyžaduje použití ověřování SQL ve sledovacím procesu databáze další konfiguraci.

Tip

Pro bezpečnější, jednodušší a méně náchylnou konfiguraci chyb doporučujeme povolit ověřování Microsoft Entra pro prostředky Azure SQL a místo ověřování SQL ho používat.

Pokud chcete nakonfigurovat sledovací proces databáze pro připojení k cíli pomocí ověřování SQL, postupujte takto:

1. Vytvořte trezor ve službě Azure Key Vault nebo identifikujte existující trezor, který můžete použít. Trezor musí používat model oprávnění RBAC. Model oprávnění RBAC je výchozím nastavením pro nové trezory. Pokud chcete použít existující trezor, ujistěte se, že není nakonfigurovaný tak, aby používal starší model zásad přístupu.

   Pokud chcete použít privátní připojení k trezoru, vytvořte privátní koncový bod na stránce Spravované privátní koncové body . Vyberte Microsoft.KeyVault/vaults jako typ prostředku a vault jako cílový dílčí prostředek. Před spuštěním sledovacího modulu se ujistěte, že je privátní koncový bod schválený.

   Pokud chcete použít veřejné připojení, musí trezor povolit veřejný přístup ze všech sítí. Omezení připojení veřejného trezoru ke konkrétním sítím se ve sledovacím procesu databáze nepodporuje.

2. Vytvořte přihlašovací jméno ověřování SQL na každém logickém serveru Azure SQL nebo spravované instanci, kterou chcete monitorovat, a udělte konkrétní omezená oprávnění pomocí zadaných přístupových skriptů. Ve skriptu nahraďte zástupné symboly přihlašovacího jména a hesla skutečnými hodnotami. Použijte silné heslo.

3. V trezoru vytvořte dva tajné kódy: tajný klíč pro přihlašovací jméno a samostatný tajný klíč pro heslo. Jako název tajného kódu použijte platné názvy a zadejte přihlašovací jméno a heslo, které jste použili ve skriptu T-SQL, jako hodnotu tajného kódu pro každý tajný klíč.

   Například názvy těchto dvou tajných kódů mohou být database-watcher-login-name a database-watcher-password. Tajné hodnoty by byly přihlašovací jméno a silné heslo.

   Abyste mohli vytvářet tajné kódy, musíte být členem role RBAC pro tajné kódy služby Key Vault.

4. Přidejte cíl SQL do sledovacího nástroje. Při přidávání cíle zaškrtněte políčko Použít ověřování SQL a vyberte trezor, ve kterém jsou uložené přihlašovací jméno a tajné kódy hesel. Do příslušných polí zadejte názvy tajných kódů pro přihlašovací jméno a heslo.

   Při přidávání cíle SQL nezadávejte skutečné přihlašovací jméno a heslo. V předchozím příkladu byste zadali názvy tajných kódů a database-watcher-login-name tajných database-watcher-password kódů.

5. Když na webu Azure Portal přidáte cíl SQL, udělí se spravovaná identita sledovacího procesu požadovaný přístup k tajným klíčům trezoru klíčů automaticky, pokud je aktuální uživatel členem role Vlastníci nebo role správce přístupu uživatele pro trezor klíčů. V opačném případě postupujte podle dalšího kroku a udělte požadovaný přístup ručně.

6. Na stránce Řízení přístupu (IAM) každého tajného kódu přidejte přiřazení role pro spravovanou identitu sledovacího procesu v roli RBAC pro tajné kódy služby Key Vault. Pokud chcete postupovat podle principu nejnižších oprávnění, přidejte toto přiřazení role pro každý tajný klíč, nikoli pro celý trezor. Stránka Řízení přístupu (IAM) se zobrazí jenom v případě, že je trezor nakonfigurovaný tak, aby používal model oprávnění RBAC .

Pokud chcete pro různé cíle SQL použít různé přihlašovací údaje pro ověřování SQL, musíte vytvořit několik párů tajných kódů. K uložení tajných kódů pro každý cíl SQL můžete použít stejný trezor nebo různé trezory.

Poznámka:

Pokud aktualizujete hodnotu tajného kódu pro přihlašovací jméno nebo heslo v trezoru klíčů v době, kdy je sledovací proces spuštěný, sledovací proces se během 15 minut znovu připojí k cílům pomocí nových přihlašovacích údajů pro ověřování SQL. Pokud chcete začít používat nové přihlašovací údaje hned, zastavte a restartujte sledovací proces.

Udělení přístupu k úložišti dat

K vytvoření a správě schématu databáze v úložišti dat a k ingestování dat monitorování vyžaduje sledovací proces databáze členství v roli RBAC správců v databázi úložiště dat v clusteru Azure Data Exploreru nebo v analýzách v reálném čase. Sledovací proces databáze nevyžaduje žádný přístup na úrovni clusteru ke clusteru Azure Data Exploreru ani žádný přístup k jiným databázím, které mohou existovat ve stejném clusteru.

Pokud jako úložiště dat používáte databázi v clusteru Azure Data Exploreru, udělí se tento přístup automaticky, pokud jste členem role RBAC vlastníka clusteru. V opačném případě musí být udělen přístup, jak je popsáno v této části.

Pokud používáte databázi v analýzách v reálném čase nebo v bezplatném clusteru Azure Data Exploreru, musíte udělit přístup pomocí KQL.

Udělení přístupu k databázi Azure Data Exploreru pomocí webu Azure Portal

Pomocí webu Azure Portal můžete udělit přístup k databázi v clusteru Azure Data Exploreru:

1. V případě databáze v clusteru Azure Data Exploreru v nabídce prostředků v části Zabezpečení a sítě vyberte Oprávnění. Nepoužívejte stránku Oprávnění clusteru.
2. Vyberte Přidat a vyberte Správce.
3. Na stránce Nové objekty zabezpečení vyberte Podnikové aplikace. Pokud sledovací proces používá spravovanou identitu přiřazenou systémem, zadejte do vyhledávacího pole název sledovacího procesu. Pokud sledovací proces používá spravovanou identitu přiřazenou uživatelem, zadejte do vyhledávacího pole zobrazovaný název této identity.
4. Vyberte podnikovou aplikaci pro spravovanou identitu sledovacího objektu.

Udělení přístupu k databázi Azure Data Exploreru pomocí KQL

Místo použití webu Azure Portal můžete také udělit přístup k databázi pomocí příkazu KQL. Pomocí této metody můžete udělit přístup k databázi v analýzách v reálném čase nebo v bezplatném clusteru Azure Data Exploreru.

1. Připojte se k databázi v clusteru Azure Data Exploreru pomocí Nástroje Kusto Explorer nebo webového uživatelského rozhraní Azure Data Exploreru.

2. V následujícím ukázkovém příkazu KQL nahraďte tři zástupné symboly, jak je uvedeno v tabulce:

   .add database [adx-database-name-placeholder] admins ('aadapp=identity-principal-id-placeholder;tenant-primary-domain-placeholder');
   

   Zástupný symbol	Náhrada
   adx-database-name-placeholder	Název databáze v clusteru Azure Data Exploreru nebo v analýze v reálném čase.
   identity-principal-id-placeholder	Hodnota ID objektu zabezpečení spravované identity (GUID), která se nachází na stránce Identita sledovacího procesu. Pokud je povolená identita přiřazená systémem, použijte její hodnotu ID objektu zabezpečení. V opačném případě použijte hodnotu ID objektu zabezpečení identity přiřazené uživatelem.
   tenant-primary-domain-placeholder	Název domény tenanta Microsoft Entra ID spravované identity sledovacího nástroje. Najděte to na stránce Přehled ID Microsoft Entra na webu Azure Portal. Místo primární domény tenanta je možné použít také hodnotu GUID ID Tato část příkazu se vyžaduje, pokud používáte databázi v analýzách v reálném čase nebo v bezplatném clusteru Azure Data Exploreru. Název domény nebo hodnota ID tenanta (a předchozí středník) je možné vynechat pro databázi v clusteru Azure Data Exploreru, protože cluster je vždy ve stejném tenantovi Microsoft Entra ID jako spravovaná identita sledovacího procesu.

   Příklad:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Další informace najdete v tématu Řízení přístupu na základě role Kusto.

Udělení přístupu uživatelům a skupinám k úložišti dat

Pomocí webu Azure Portal nebo příkazu KQL můžete uživatelům a skupinám udělit přístup k databázi v clusteru Azure Data Exploreru nebo v analýze v reálném čase. Pokud chcete udělit přístup, musíte být členem role RBAC správce v databázi.

Pomocí příkazu KQL udělte přístup k databázi v bezplatném clusteru Azure Data Exploreru nebo v analýzách v reálném čase. Pokud chcete dodržovat zásadu nejnižších oprávnění, doporučujeme, abyste ve výchozím nastavení nepřidávejte uživatele a skupiny do žádné jiné role RBAC, než je Prohlížeč .

Důležité

Pečlivě zvažte požadavky na ochranu osobních údajů a zabezpečení dat při udělování přístupu k zobrazení dat monitorování SQL shromážděných sledovacím procesem databáze.

I když sledovací proces databáze nemá možnost shromažďovat žádná data uložená v uživatelských tabulkách v databázích SQL, některé datové sady, jako jsou aktivní relace, metadata indexu, chybějící indexy, statistika modulu runtime dotazu, statistika čekání na dotazy, statistika čekání na relace a metadata tabulek můžou obsahovat potenciálně citlivá data, jako jsou názvy tabulek a indexů, text dotazu, hodnoty parametrů dotazu, přihlašovací jména atd.

Udělením přístupu k úložišti dat uživateli, který nemá přístup k zobrazení těchto dat v databázi SQL, můžete jim umožnit zobrazit citlivá data, která by jinak neviděl.

Udělení přístupu k úložišti dat pomocí webu Azure Portal

Pomocí webu Azure Portal můžete uživatelům a skupinám udělit přístup k databázi v clusteru Azure Data Exploreru:

1. V případě databáze v clusteru Azure Data Exploreru v nabídce prostředků v části Zabezpečení a sítě vyberte Oprávnění. Nepoužívejte stránku Oprávnění clusteru.
2. Vyberte Přidat a vyberte Čtenáři.
3. Na stránce Nové objekty zabezpečení zadejte do vyhledávacího pole jméno uživatele nebo skupiny.
4. Vyberte uživatele nebo skupinu.

Udělení přístupu k úložišti dat pomocí KQL

Místo webu Azure Portal můžete uživatelům a skupinám udělit přístup k databázi také pomocí příkazu KQL. Následující příklad příkazů KQL uděluje uživateli přístup ke mary@contoso.com čtení dat a SQLMonitoringUsers@contoso.com skupině v tenantovi Microsoft Entra ID s konkrétní hodnotou ID tenanta:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Další informace najdete v tématu Řízení přístupu na základě role Kusto.

Pokud chcete udělit přístup k úložišti dat uživatelům a skupinám z jiného tenanta, musíte povolit ověřování mezi tenanty v clusteru Azure Data Exploreru. Další informace najdete v tématu Povolení dotazů a příkazů mezi tenanty.

Tip

Aby bylo možné udělit přístup uživatelům a skupinám v tenantovi Microsoft Entra ID, je ověřování mezi tenanty povolené v analýzách v reálném čase a v bezplatných clusterech Azure Data Exploreru.

Správa úložiště dat

Tato část popisuje, jak můžete spravovat úložiště dat monitorování, včetně škálování, uchovávání dat a další konfigurace. Aspekty škálování clusteru v této části jsou relevantní, pokud používáte databázi v clusteru Azure Data Exploreru. Pokud používáte databázi v analýzách v reálném čase v prostředcích infrastruktury, škálování se spravuje automaticky.

Škálování clusteru Azure Data Exploreru

Cluster Azure Data Exploreru můžete podle potřeby škálovat. Pokud například není vyžadována smlouva o úrovni služeb (SLA), můžete vertikálně snížit kapacitu clusteru na extra malou skladovou položku pro vývoj/testování , a pokud výkon dotazů a dat zůstává přijatelný.

U mnoha nasazení sledovacích procesů databáze bude výchozí skladová položka clusteru s 2 instancemi optimalizovaná pro extra malé výpočetní prostředky dostatečná na neomezenou dobu. V některých případech může být v závislosti na konfiguraci a změnách úloh v průběhu času potřeba škálovat cluster, abyste zajistili odpovídající výkon dotazů a zachovali nízkou latenci příjmu dat.

Azure Data Explorer podporuje vertikální a horizontální škálování clusteru. Při vertikálním škálování změníte skladovou položku clusteru, která změní počet virtuálních procesorů, paměti a mezipaměti na instanci (uzel). S horizontálním škálováním zůstává skladová položka stejná, ale počet instancí v clusteru se zvýší nebo sníží.

Pokud si všimnete jednoho nebo více z následujících příznaků, potřebujete vertikálně navýšit nebo vertikálně navýšit kapacitu clusteru:

• Výkon dotazů řídicího panelu nebo ad hoc se stává příliš pomalým.
• V clusteru spouštíte řadu souběžných dotazů a sledujete chyby omezování.
• Latence příjmu dat je konzistentně vyšší, než je přijatelná.

Obecně platí, že cluster nemusíte škálovat, protože množství dat v úložišti dat se v průběhu času zvyšuje. Důvodem je to, že dotazy na řídicí panely a nejčastější analytické dotazy používají pouze nejnovější data, která jsou uložená v místním úložišti SSD na uzlech clusteru.

Pokud ale spustíte analytické dotazy, které pokrývají delší časové rozsahy, můžou být v průběhu času pomalejší, protože se zvyšuje celkové množství shromážděných dat a už se nevejde do místního úložiště SSD. Škálování clusteru může být potřeba k zajištění odpovídajícího výkonu dotazů v takovém případě.

• Pokud potřebujete škálovat cluster, doporučujeme ho horizontálně škálovat, abyste zvýšili počet instancí. Cluster tak bude během procesu škálování dostupný pro dotazy a příjem dat.

  • Optimalizované automatické škálování můžete povolit, aby se automaticky snížil nebo zvýšil počet instancí v reakci na změny úloh nebo sezónní trendy.

• Možná zjistíte, že i po horizontálním navýšení kapacity clusteru některé dotazy nefungují podle očekávání. K tomu může dojít v případě, že výkon dotazů souvisí s prostředky dostupnými v instanci (uzlu) clusteru. V takovém případě vertikálně navyšte kapacitu clusteru.

  • Vertikální škálování clusteru trvá několik minut. Během tohoto procesu dochází k výpadkům, které můžou zastavit shromažďování dat sledovacím procesem. Pokud k tomu dojde, po dokončení operace škálování zastavte a restartujte sledovací proces.

Bezplatný cluster Azure Data Exploreru

Bezplatný cluster Azure Data Exploreru má určité limity kapacity, včetně limitu kapacity úložiště u původních nekomprimovaných dat. Pokud chcete zvýšit výpočetní kapacitu nebo kapacitu úložiště, nemůžete škálovat bezplatný cluster Azure Data Exploreru. Když se cluster blíží dosažení kapacity úložiště nebo je v kapacitě, zobrazí se na stránce bezplatného clusteru zpráva s upozorněním.

Pokud dosáhnete kapacity úložiště, nová data monitorování se neingestují, ale stávající data zůstanou dostupná na řídicích panelech sledovacích procesů databáze a je možné je analyzovat pomocí dotazů KQL nebo SQL.

Pokud zjistíte, že specifikace bezplatného clusteru nejsou pro vaše požadavky dostatečné, můžete upgradovat na úplný cluster Azure Data Exploreru. Upgrade uchovává všechna shromážděná data.

Pokud chcete zajistit, aby sledovací proces po upgradu fungoval i nadále, musíte postupovat takto:

1. Zastavit pozorovatele.
2. Postupujte podle pokynů k upgradu na úplný cluster Azure Data Exploreru a počkejte na dokončení upgradu.
3. Změňte úložiště dat pro sledovací modul, vyberte upgradovaný cluster a databázi Azure Data Explorer.
4. Spusť sledovač.

Pokud chcete dál používat bezplatný cluster Azure Data Exploreru, spravujte uchovávání dat a odstraňte starší data automaticky a uvolněte místo pro nová data. Jakmile je k dispozici prostor úložiště, možná budete muset zastavit a restartovat sledovací proces, abyste mohli pokračovat v shromažďování dat.

Správa uchovávání dat

Pokud nepotřebujete starší data, můžete nakonfigurovat zásady uchovávání dat tak, aby je automaticky vyprazdňovaly. Ve výchozím nastavení je uchovávání dat nastavené na 365 dnů v nové databázi v clusteru Azure Data Explorer nebo v analýzách v reálném čase.

• Dobu uchovávání dat můžete snížit na úrovni databáze nebo pro jednotlivé tabulky v databázi.
• Uchovávání můžete zvýšit také v případě, že potřebujete ukládat data monitorování po dobu více než jednoho roku. Doba uchovávání dat není nijak omezena.
• Pokud nakonfigurujete různá období uchovávání dat pro různé tabulky, řídicí panely nemusí fungovat podle očekávání pro starší časové rozsahy . K tomu může dojít v případě, že data v některých tabulkách stále existují, ale už jsou v jiných tabulkách vyprázdněna po dobu stejného časového intervalu.

Množství dat monitorování SQL, která se ingestují v úložišti dat, závisí na úlohách SQL a velikosti vašich aktiv Azure SQL. Pomocí následujícího dotazu KQL můžete zobrazit průměrné množství přijatých dat za den, odhadnout spotřebu úložiště v průběhu času a spravovat zásady uchovávání dat.

.show database extents
| summarize OriginalSize = sum(OriginalSize),
            CompressedSize = sum(CompressedSize)
            by bin(MinCreatedOn, 1d)
| summarize DailyAverageOriginal = format_bytes(avg(OriginalSize)),
            DailyAverageCompressed = format_bytes(avg(CompressedSize));

Schéma a přístup ke změnám v úložišti dat sledovacího modulu databáze

Microsoft může v průběhu času zavést nové datové sady sledovacích procesů databáze nebo rozšířit stávající datové sady. To znamená, že nové tabulky v úložišti dat nebo nové sloupce v existujících tabulkách se můžou přidávat automaticky.

Aby to bylo možné, musí být aktuální spravovaná identita sledovacího procesu databáze členem role RBAC správců v úložišti dat. Odvolání tohoto členství role nebo jeho nahrazení členstvím v jakékoli jiné roli RBAC může mít vliv na shromažďování dat sledovacího procesu databáze a správu schématu a nepodporuje se.

Podobně se nepodporuje vytváření nových objektů, jako jsou tabulky, externí tabulky, materializovaná zobrazení, funkce atd. v úložišti dat sledovacího nástroje databáze. Dotazy mezi clustery a křížovými databázemi můžete použít k dotazování dat v úložišti dat z jiných clusterů Azure Data Exploreru nebo z jiných databází ve stejném clusteru.

Důležité

Pokud změníte přístup sledovacího modulu databáze ke svému úložišti dat nebo provedete jakékoli změny schématu nebo konfigurace databáze, které mají vliv na příjem dat, budete možná muset změnit úložiště dat pro tuto sledovací službu na novou prázdnou databázi a udělit sledovacímu nástroji přístup k této nové databázi, aby bylo možné obnovit shromažďování dat a vrátit se k podporované konfiguraci.

Zastavené clustery Azure Data Exploreru

Cluster Azure Data Exploreru je možné zastavit, například ušetřit náklady. Ve výchozím nastavení se cluster Azure Data Exploreru vytvořený na webu Azure Portal automaticky zastaví po několika dnech nečinnosti. K tomu může dojít například v případě, že sledovací proces zastavíte příjem dat do jediné databáze v clusteru a nespustíte v této databázi žádné dotazy.

Pokud při vytváření nového sledovacího nástroje použijete výchozí možnost k vytvoření nového clusteru Azure Data Exploreru, chování automatického zastavení je zakázané, aby se povolilo nepřerušované shromažďování dat.

Pokud je cluster zastavený, zastaví se také shromažďování dat sledovacího procesu databáze. Pokud chcete obnovit shromažďování dat, musíte cluster spustit. Po spuštění clusteru restartujte sledovací proces.

Chování automatického zastavení můžete zakázat, pokud chcete, aby cluster zůstal dostupný i v případě, že je neaktivní. To může zvýšit náklady na cluster.

Ingestování streamování

Sledovací proces databáze vyžaduje, aby cluster Azure Data Exploreru obsahující databázi úložiště dat byl povolený pro příjem dat streamování. Příjem dat streamování se automaticky povolí pro nový cluster Azure Data Exploreru vytvořený při vytváření nového sledovacího nástroje. Je také povolený v analýzách v reálném čase a v bezplatném clusteru Azure Data Exploreru.

Pokud chcete použít existující cluster Azure Data Exploreru, nezapomeňte nejprve povolit příjem dat streamování. To trvá několik minut a restartuje cluster.

Privátní připojení k úložišti dat

Pokud je veřejný přístup v clusteru Azure Data Exploreru zakázaný, musíte vytvořit privátní koncový bod pro připojení ke clusteru z prohlížeče a zobrazit data monitorování SQL na řídicích panelech nebo se na data dotazovat přímo. Tento privátní koncový bod je kromě spravovaného privátního koncového bodu vytvořeného tak, aby sledovací proces ingestovává data monitorování do databáze v clusteru Azure Data Exploreru.

• Pokud se připojujete ke clusteru Azure Data Exploreru z virtuálního počítače Azure, vytvořte privátní koncový bod pro cluster Azure Data Exploreru ve virtuální síti Azure, ve které je virtuální počítač Azure nasazený.

• Pokud se připojujete ke clusteru Azure Data Exploreru z místního počítače, můžete:

  1. K navázání privátního připojení z místní sítě k virtuální síti Azure použijte Azure VPN Gateway nebo Azure ExpressRoute .
  2. Vytvořte privátní koncový bod pro cluster Azure Data Exploreru ve virtuální síti Azure, kde se ukončí připojení VPN nebo ExpressRoute, nebo v jiné virtuální síti Azure dosažitelné provozem z místního počítače.
  3. Nakonfigurujte DNS pro tento privátní koncový bod.

Privátní připojení není dostupné pro bezplatné clustery Azure Data Exploreru ani pro analýzy v reálném čase v Microsoft Fabric.

Monitorování rozsáhlých aktiv

Pokud chcete monitorovat velké prostředky Azure SQL, budete možná muset vytvořit několik sledovacích procesů.

Každý sledovací proces vyžaduje databázi v clusteru Azure Data Exploreru nebo v analýzách v reálném čase jako úložiště dat. Správci, které vytvoříte, můžou jako společné úložiště dat použít jednu databázi nebo samostatné databáze jako samostatná úložiště dat. Následující aspekty vám můžou pomoct zajistit optimální volbu návrhu pro scénáře monitorování a požadavky.

Důležité informace o společném úložišti dat:

• K dispozici je jednoookenové zobrazení celého majetku Azure SQL.
• Řídicí panely všech sledovacích procesů zobrazují všechna data v úložišti dat, i když jsou data shromážděna jinými sledovacími uživateli.
• Uživatelé s přístupem k úložišti dat mají přístup k datům monitorování pro celá vaše aktiva Azure SQL.

Důležité informace o samostatných úložištích dat:

• Podmnožina vašich aktiv Azure SQL se monitoruje nezávisle. Řídicí panely sledovacích procesů databáze na webu Azure Portal vždy zobrazují data z jednoho úložiště dat.
• Uživatelé s přístupem k více úložištům dat můžou pomocí dotazů KQL napříč clustery nebo napříč databázemi přistupovat k datům monitorování ve více úložištích dat pomocí jednoho dotazu.
• Vzhledem k tomu, že přístup k datům v Azure Data Exploreru a v analýzách v reálném čase se spravuje pro každou databázi, můžete spravovat přístup k datům monitorování pro podmnožinu vašich aktiv podrobným způsobem.
• Do stejného clusteru Azure Data Exploreru můžete umístit více databází, abyste mohli sdílet prostředky clusteru a ušetřit náklady a přitom zachovat data izolovaná v každé databázi.
• Pokud potřebujete úplné oddělení prostředí, včetně síťového přístupu ke clusterům Azure Data Exploreru, můžete umístit různé databáze do různých clusterů.

Související obsah

• Rychlý start: Vytvoření sledovacího procesu databáze pro monitorování Azure SQL (Preview)
• Monitorování úloh Azure SQL pomocí sledovacího procesu databáze (Preview)
• Shromažďování dat a datové sady sledovacích procesů databáze (Preview)
• Analýza dat monitorování sledovacího procesu databáze (Preview)
• Nejčastější dotazy ke sledovacím procesům databáze