Поделиться через

Настройка Azure Monitor во внешних клиентах (предварительная версия)

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Azure Monitor — это комплексное решение для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Параметры диагностики в отслеживаемом ресурсе указывают, какие данные следует отправлять и куда отправлять. Для Microsoft Entra варианты назначения включают служба хранилища Azure, Log Analytics и Центры событий Azure.

Схема потока Azure Monitor.

При планировании передачи журналов внешнего клиента в различные решения мониторинга или репозиторий следует учитывать, что журналы внешних клиентов содержат персональные данные. При обработке таких данных убедитесь, что вы используете соответствующие меры безопасности в отношении персональных данных. Они включают защиту от несанкционированной или незаконной обработки с использованием соответствующих технических или организационных мер.

Общие сведения о развертывании

Внешний клиент использует мониторинг Microsoft Entra. В отличие от клиентов Microsoft Entra, внешний клиент не может иметь с ним подписку. Поэтому необходимо выполнить дополнительные шаги, чтобы обеспечить интеграцию между внешним клиентом и Log Analytics, где мы отправляем журналы. Чтобы включить параметры диагностики в клиенте рабочей силы во внешнем клиенте, используйте Azure Lighthouse для делегирования ресурса, что позволяет внешнему клиенту (поставщику услуг) управлять ресурсом рабочей силы (клиент).

Совет

Azure Lighthouse обычно применяется для управления ресурсами для нескольких клиентов. Однако его также можно использовать для упрощения межтенантного администрирования в пределах предприятия с несколькими клиентами Microsoft Entra. В нашем случае мы используем его для делегирования управления одной группой ресурсов.

Выполнив действия, описанные в этой статье, вы создадите новую группу ресурсов с именем ExtIDMonitor в клиенте рабочей силы и получите доступ к той же группе ресурсов, содержащей рабочую область Log Analytics в внешнем клиенте. Вы также сможете передать журналы из внешнего клиента в рабочую область Log Analytics.

Во время этого развертывания вы авторизуете пользователя или группу во внешнем каталоге клиента, чтобы настроить экземпляр рабочей области Log Analytics в клиенте, который содержит подписку Azure. Чтобы создать авторизацию, разверните шаблон Azure Resource Manager в подписке, которая содержит рабочую область Log Analytics.

На следующей схеме показаны компоненты, которые вы настроите в клиенте и внешних клиентах рабочей силы.

Блок-диаграмма проекции группы ресурсов.

Во время этого развертывания вы настроите внешний клиент, где создаются журналы. Вы также настроите внешний клиент, где будет размещена рабочая область Log Analytics. Учетные записи внешнего клиента (например, учетная запись администратора) должны быть назначены роли глобального администратора во внешнем клиенте. Учетная запись, используемая для запуска развертывания во внешнем клиенте, должна быть назначена роль владельца в подписке Microsoft Entra. Также по мере выполнения каждого шага важно следить за тем, что вы вошли в правильный каталог.

В итоге вы будете использовать Azure Lighthouse, чтобы разрешить пользователю или группе во внешнем клиенте управлять группой ресурсов в подписке, связанной с другим клиентом (клиент рабочей силы). После завершения этой авторизации подписка и рабочая область log analytics можно выбрать в качестве целевого объекта в параметрах диагностики во внешнем клиенте.

Необходимые компоненты

  • Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.
  • Учетная запись Microsoft Entra с ролью владельца в подписке Microsoft Entra.
  • Учетная запись во внешнем клиенте, назначаемая роли глобального администратора .

Общие сведения о настройке

Чтобы выполнить действия по настройке в этой статье, рекомендуется открыть два отдельных окна браузера или вкладки: один для клиента рабочей силы и один для внешнего клиента. Эта настройка поможет вам переключиться между двумя клиентами по мере необходимости.

Шаг 1. Конфигурация клиента рабочей силы — создание группы ресурсов и рабочей области журналов

Создание или изменение группы ресурсов

Сначала создайте или выберите группу ресурсов, содержащую целевую рабочую область Log Analytics, которая будет получать данные из внешнего клиента. Имя группы ресурсов указывается при развертывании шаблона Azure Resource Manager.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .
  3. Создайте группу ресурсов или выберите существующую. В этом примере используется группа ресурсов с именем ExtIDMonitor.

Создание рабочей области Log Analytics

Рабочая область Log Analytics — это уникальная среда для данных журналов Azure Monitor. Вы будете использовать эту рабочую область Log Analytics для сбора данных из внешнего клиента, а затем визуализировать их с помощью запросов.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .
  3. Создание рабочей области Log Analytics. В этом примере используется рабочая область Log Analytics с именем ExtIDLogAnalytics в группе ресурсов с именем ExtIDMonitor.

Добавление microsoft.insights в качестве поставщика ресурсов

На этом шаге вы выбираете внешний клиент в качестве поставщика услуг. Вы также определяете разрешения, необходимые для назначения соответствующих встроенных ролей группам в клиенте Microsoft Entra. Чтобы просмотреть всех поставщиков ресурсов, а также состояние регистрации для подписки, сделайте следующее:

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .
  3. В меню "Портал Azure" найдите раздел Подписки.
  4. Выберите подписку, которую нужно просмотреть.
  5. В разделе Параметры выберите Поставщики ресурсов.
  6. Выберите поставщика ресурсов microsoft.insights и нажмите кнопку "Зарегистрировать".

Шаг 2. Конфигурация внешнего клиента — получение идентификатора внешнего клиента и создание группы для мониторинга внешних идентификаторов

Получение идентификатора внешнего клиента

Сначала получите идентификатор клиента внешнего клиента. Этот идентификатор потребуется для настройки внешнего клиента для отправки журналов в рабочую область Log Analytics в клиенте рабочей силы.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок.
  3. Выберите обзор клиента и выберите "Обзор".
  4. Запишите идентификатор клиента.

Создание группы для мониторинга внешних идентификаторов

Теперь создайте группу или пользователя, которому требуется предоставить разрешение на группу ресурсов, созданную ранее в каталоге, содержавшей подписку.

Чтобы упростить управление, рекомендуется использовать группы пользователей Microsoft Entra для каждой роли, позволяя добавлять или удалять отдельных пользователей в группу, а не назначать разрешения непосредственно этому пользователю. В этом пошаговом руководстве мы добавим группу безопасности.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок.
  3. Выберите группы и выберите группу. Если существующей группы нет, создайте группу безопасности, а затем добавьте участников. Дополнительные сведения см. в процедуре создания базовой группы и добавления участников с помощью клиента рабочей силы.
  4. Выберите "Обзор" и запишите идентификатор объекта группы.

Шаг 3. Настройка клиента рабочей силы — настройка Azure Lighthouse

Создание шаблона Azure Resource Manager

Чтобы создать настраиваемую авторизацию и делегирование в Azure Lighthouse, мы используем шаблон Azure Resource Manager. Этот шаблон предоставляет внешний клиент доступ к группе ресурсов Microsoft Entra, созданной ранее, например ExtIDMonitor. Разверните шаблон из примера GitHub с помощью кнопки развернуть в Azure, которая открывает портал Azure и позволяет настроить и развернуть шаблон непосредственно на портале. Для этих действий убедитесь, что вы вошли в клиент рабочей силы Microsoft Entra (а не внешний клиент).

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .

  3. Используйте кнопку Развернуть в Azure, чтобы открыть портал Azure и развернуть шаблон непосредственно на портале. Дополнительные сведения см. в разделе Создание шаблона Azure Resource Manager.

    Развернуть в Azure

  4. На странице Настраиваемое развертывание введите следующую информацию:

    Поле Определение
    Отток подписок Выберите каталог, содержащий подписку Azure, в которой была создана группа ресурсов ExtIDMonitor .
    Область/регион Выберите регион, в котором будет развернут ресурс.
    Имя предложения Msp Имя, описывающее это определение. Например, ExtIDMonitor. Это имя, которое будет отображаться в Azure Lighthouse. Имя предложения MSP должно быть уникальным в клиенте рабочей силы. Для мониторинга нескольких внешних клиентов используйте разные имена.
    Описание предложения Msp Краткое описание вашего предложения. Например, включите Azure Monitor во внешнем клиенте.
    Управляется идентификатором арендатора Идентификатор клиента внешнего клиента (также известный как идентификатор каталога).
    Авторизации Укажите массив объектов JSON, включающих клиент рабочей силы principalIdprincipalIdDisplayNameи AzureroleDefinitionId. Это principalId идентификатор объекта группы или пользователя, который будет иметь доступ к ресурсам в этой подписке Azure. В этом пошаговом руководстве укажите идентификатор объекта группы, записанный ранее во внешнем клиенте. Для roleDefinitionId используйте встроенное значение роли для роли участника b24988ac-6180-42a0-ab88-20f7382dd24c.
    Имя группы ресурсов Имя группы ресурсов, создаваемой ранее в клиенте рабочей силы. Например, ExtIDMonitor.

    В следующем примере показан массив авторизаций с одной группой безопасности.

    [
  {
    "principalId": "<Replace with group's OBJECT ID>",
    "principalIdDisplayName": "external tenant administrators",
    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
  }
]

После развертывания шаблона для завершения проецирования ресурсов может потребоваться несколько минут (обычно не более пяти). Вы можете проверить развертывание в клиенте =workforce и получить сведения о проекции ресурсов. Дополнительные сведения см. в статье Просмотр поставщиков служб и управление ими.

Шаг 4. Конфигурация внешнего клиента — выберите подписку

После развертывания шаблона и ожидания завершения проекции ресурсов выполните следующие действия, чтобы связать подписку с внешним клиентом.

Примечание.

Параметры портала | Страница каталогов и подписок убедитесь, что внешние и рабочие клиенты выбраны в разделе Current + делегированные каталоги.

Выберите свою подписку.

  1. Выйдите из портал Azure и выполните вход с помощью учетной записи администратора внешнего клиента. Эта учетная запись должна быть членом указанной ранее группы безопасности. Выход и повторный вход позволяет обновить учетные данные сеанса на следующем шаге.
  2. Щелкните значок "Параметры" на панели инструментов портала.
  3. Параметры портала | На странице каталогов и подписок в списке имен каталога найдите каталог клиента рабочей силы, содержащий подписку Azure и созданную группу ресурсов ExtIDMonitor, а затем нажмите кнопку Switch.
  4. Убедитесь, что выбран правильный каталог, а подписка Azure указана и выбрана в фильтре подписок по умолчанию.

Снимок экрана: фильтр подписки по умолчанию.

Настройка параметров диагностики

Параметры диагностики определяют, куда будут отправляться журналы и метрики для ресурса. Возможные места назначения

В этом примере рабочая область Log Analytics используется для создания панели мониторинга. Выполните действия, чтобы настроить параметры мониторинга для журналов действий внешнего клиента:

  1. Войдите в центр администрирования Microsoft Entra.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок. Эта учетная запись должна быть членом указанной ранее группы безопасности.

  3. Перейдите к параметрам диагностики, перейдя к мониторингу удостоверений и работоспособности>.

  4. Если для ресурса уже настроены параметры, здесь отобразится их список. Выберите Добавить параметр диагностики, чтобы добавить новый параметр, или Изменить параметры, чтобы изменить существующий параметр. Каждый параметр может иметь не более одного типа назначения.

    Снимок экрана: параметры диагностика.

  5. Присвойте параметру имя, если его еще нет.

  6. Выберите AuditLogs и SignInLogs.

  7. Выберите Отправка в рабочую область Log Analytics, а затем:

    1. В разделе Подписка выберите свою подписку.
    2. В разделе "Рабочая область Log Analytics" выберите имя созданной ранее рабочей области, например ExtIDLogAnalytics.

  8. Выберите Сохранить.

Примечание.

После создания события может пройти до 15 минут, пока оно отобразится в рабочей области Log Analytics. Пока вы ожидаете, может быть полезно выполнить некоторые действия для создания журналов. Например, вы можете следовать руководству по началу работы, чтобы создать некоторые конфигурации и зарегистрироваться пользователя.

Шаг 5. Конфигурация клиента рабочей силы — визуализация данных

Теперь вы можете настроить рабочую область Log Analytics для визуализации данных и настройки оповещений. Эти конфигурации можно сделать как в рабочей области, так и во внешнем клиенте.

Создание запроса

Запросы по журналам позволяют с пользой применить все данные, собранные в журналах Azure Monitor. Эффективный язык запросов позволяет объединять данные из нескольких таблиц, агрегировать большие наборы данных и выполнять сложные операции с применением минимального кода. Практически любой вопрос можно ответить и проанализировать до тех пор, пока собранные вспомогательные данные, и вы понимаете, как создать правильный запрос. Дополнительные сведения см. в статье Начало работы с запросами журнала в Azure Monitor.

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .

  3. В окне Рабочая область Log Analytics выберите Журналы

  4. В редакторе запросов вставьте следующий запрос, используя язык запросов Kusto. Этот запрос показывает использование политики по операциям за последние x дней. Период по умолчанию — 90 дней (90 д). Обратите внимание, что запрос ориентирован только на операцию, в которой маркер или код выдается политикой.

    AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last

  5. Выберите Выполнить. Результаты запроса отображаются в нижней части экрана.

  6. Для сохранения запроса с целью дальнейшего использования нажмите Сохранить.

Снимок экрана: редактор журнала Log Analytics.

  1. Укажите следующие сведения:

    • Имя. Введите имя вашего запроса.
    • Сохранить как. Выберите query.
    • Категория. Выберите Log.

  2. Выберите Сохранить.

Можно также изменить запрос для визуализации данных с помощью оператора Преобразовать для просмотра.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Снимок экрана: круговая диаграмма редактора журналов Log Analytics.

Изменение срока хранения данных

Журналы Azure Monitor предназначены для масштабирования и поддержки сбора, индексирования и хранения больших объемов данных в день из любого источника в вашей организации или в развертывании в Azure. По умолчанию журналы хранятся в течение 30 дней, но длительность хранения может быть увеличена до двух лет. Ознакомьтесь с информацией о том, как управлять использованием и затратами с помощью журналов Azure Monitor. После выбора ценовой категории можно изменить срок хранения данных.

Отключение сбора данных мониторинга

Чтобы прекратить сбор журналов в рабочую область Log Analytics, удалите созданные параметры диагностики. Вы продолжите взимать плату за хранение данных журнала, которые вы уже собрали в рабочую область. Если вам больше не нужны собранные данные мониторинга, вы можете удалить рабочую область Log Analytics и группу ресурсов, созданную для Azure Monitor. При удалении рабочей области Log Analytics удаляются все данные в рабочей области и вы не будете взимать дополнительные расходы на хранение данных.

Удаление рабочей области Log Analytics и группы ресурсов

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на клиент рабочей силы из меню каталогов и подписок .
  3. Выберите группу ресурсов, содержащую рабочую область Log Analytics. В этом примере используется группа ресурсов с именем ExtIDMonitor и рабочая область Log Analytics с именем ExtIDLogAnalytics.
  4. Удалите рабочую область Logs Analytics.
  5. Нажмите кнопку "Удалить", чтобы удалить группу ресурсов.

Связанный контент