Monitorování delegovaných prostředků ve velkém měřítku
Jako poskytovatel služeb jste možná do služby Azure Lighthouse onboardovali tenanty několika zákazníků. Azure Lighthouse umožňuje poskytovatelům služeb provádět operace ve velkém měřítku v několika tenantech najednou, což usnadňuje úlohy správy.
V tomto tématu se dozvíte, jak škálovatelným způsobem používat protokoly služby Azure Monitor napříč tenanty zákazníků, které spravujete. I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, tyto pokyny platí také pro podniky, které používají Azure Lighthouse ke správě více tenantů.
Poznámka:
Ujistěte se, že uživatelům ve správě tenantů byly uděleny potřebné role pro správu pracovních prostorů služby Log Analytics v delegovaných zákaznických předplatných.
Vytvoření pracovních prostorů služby Log Analytics
Abyste mohli shromažďovat data, budete muset vytvořit pracovní prostory služby Log Analytics. Tyto pracovní prostory služby Log Analytics jsou jedinečná prostředí pro data shromážděná službou Azure Monitor. Každý pracovní prostor má své vlastní úložiště a konfiguraci dat a zdroje dat a řešení jsou nakonfigurovány tak, aby ukládaly data do konkrétního pracovního prostoru.
Doporučujeme vytvářet tyto pracovní prostory přímo v tenantech zákazníků. Díky tomu zůstanou jejich data ve svých tenantech, a ne exportují do vašich tenantů. Vytváření pracovních prostorů v tenantech zákazníků umožňuje centralizované monitorování všech prostředků nebo služeb podporovaných službou Log Analytics a poskytuje větší flexibilitu pro typy monitorovaných dat. Pracovní prostory vytvořené v tenantech zákazníků se vyžadují, aby bylo možné shromažďovat informace z nastavení diagnostiky.
Tip
Každý účet Automation, který se používá pro přístup k datům z pracovního prostoru služby Log Analytics, musí být vytvořen ve stejném tenantovi jako pracovní prostor.
Pracovní prostor služby Log Analytics můžete vytvořit pomocí webu Azure Portal, pomocí šablon Azure Resource Manageru nebo pomocí Azure PowerShellu.
Důležité
Pokud jsou všechny pracovní prostory vytvořené v tenantech zákazníků, musí být poskytovatelé prostředků Microsoft.Insights také zaregistrovaní v předplatném ve správě tenanta. Pokud váš správce tenanta nemá existující předplatné Azure, můžete poskytovatele prostředků zaregistrovat ručně pomocí následujících příkazů PowerShellu:
$ManagingTenantId = "your-managing-Azure-AD-tenant-id"
# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId
# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor
Nasazení zásad, které protokoluje data
Po vytvoření pracovních prostorů služby Log Analytics můžete Azure Policy nasadit napříč hierarchiemi zákazníků, aby se diagnostická data odesílala do příslušného pracovního prostoru v každém tenantovi. Přesné zásady, které nasazujete, se mohou lišit v závislosti na typech prostředků, které chcete monitorovat.
Další informace o vytváření zásad najdete v tématu Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů. Tento nástroj komunity poskytuje skript, který vám pomůže vytvořit zásady pro monitorování konkrétních typů prostředků, které zvolíte.
Když určíte, které zásady se mají nasadit, můžete je nasadit do delegovaných předplatných ve velkém měřítku.
Analýza shromážděných dat
Po nasazení zásad se data zaprotokolují do pracovních prostorů služby Log Analytics, které jste vytvořili v každém tenantovi zákazníka. Pokud chcete získat přehled o všech spravovaných zákaznících, můžete použít nástroje, jako jsou sešity služby Azure Monitor, ke shromažďování a analýze informací z více zdrojů dat.
Dotazování na data napříč pracovními prostory zákazníků
Dotazy na protokoly můžete spouštět a načítat data napříč pracovními prostory služby Log Analytics v různých tenantech zákazníků vytvořením sjednocení, které zahrnuje více pracovních prostorů. Když zahrnete sloupec TenantID, uvidíte, které výsledky patří do kterých tenantů.
Následující příklad dotazu vytvoří sjednocení v tabulce AzureDiagnostics napříč pracovními prostory ve dvou samostatných tenantech zákazníků. Výsledky zobrazují sloupce Category, ResourceGroup a TenantID.
union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId
Další příklady dotazů napříč několika pracovními prostory služby Log Analytics najdete v tématu Vytvoření dotazu protokolu napříč několika pracovními prostory a aplikacemi ve službě Azure Monitor.
Důležité
Pokud používáte účet Automation použitý k dotazování dat z pracovního prostoru služby Log Analytics, musí být tento účet Automation vytvořen ve stejném tenantovi jako pracovní prostor.
Zobrazení upozornění napříč zákazníky
Výstrahy pro delegovaná předplatná můžete zobrazit v tenantech zákazníků, které spravujete.
Ze svého spravovaného tenanta můžete vytvářet, zobrazovat a spravovat upozornění protokolu aktivit na webu Azure Portal nebo prostřednictvím rozhraní API a nástrojů pro správu.
Pokud chcete aktualizovat výstrahy automaticky napříč více zákazníky, použijte dotaz Azure Resource Graphu k filtrování výstrah. Dotaz můžete připnout na řídicí panel a vybrat všechny příslušné zákazníky a předplatná. Například následující dotaz zobrazí závažnost 0 a 1 výstrahy a aktualizuje se každých 60 minut.
alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)
Další kroky
- Vyzkoušejte protokoly aktivit podle doménového sešitu na GitHubu.
- Prozkoumejte tento ukázkový sešit vytvořený MVP, který sleduje vytváření sestav dodržování předpisů oprav dotazováním protokolů řešení Update Management v několika pracovních prostorech služby Log Analytics.
- Seznamte se s dalšími prostředími pro správu napříč tenanty.