在 Azure 監視器記錄中使用客戶自控儲存體帳戶
在許多情況下,Azure 監視器記錄依賴 Azure 儲存體。 一般而言,Azure 監視器會自動管理這類型的儲存體,但在某些情況下,您必須提供並管理自己的儲存體帳戶 (也稱為客戶自控儲存體帳戶)。 本文描述針對 Azure 監視器記錄設定客戶自控儲存體的使用案例和需求,並說明如何將儲存體帳戶連結至 Log Analytics 工作區。
注意
建議您不要依賴 Azure 監視器記錄上傳至客戶自控儲存體的內容,因為格式和內容可能會變更。
私人連結
使用私人連結連線至 Azure 監視器資源時,會使用客戶管理的儲存體帳戶來擷取自訂記錄。 這些資料類型的擷取程序會先將記錄上傳至中繼 Azure 儲存體帳戶,然後再將其擷取至工作區。
工作區需求
當您透過私人連結連線至 Azure 監視器,Azure 監視器代理程式只能將記錄傳送至可透過私人連結存取的工作區。 在此需求下,意味著您應:
- 設定 Azure 監視器私人連結範圍 (AMPLS) 物件。
- 將其連線至您的工作區。
- 透過私人連結將 AMPLS 連線至您的網路。
如需關於 AMPLS 設定程序的詳細資訊,請參閱使用 Azure Private Link 安全地將網路連線至 Azure 監視器。
儲存體帳戶需求
若要將儲存體帳戶連線至您的私人連結,該帳戶必須:
位於您的虛擬網路或同儕節點網路,並透過私人連結連線至您的虛擬網路。
必須位於與其所連結工作區相同的區域。
允許 Azure 監視器存取儲存體帳戶。 若要允許僅特定網路可以存取您的儲存體帳戶,請選取例外狀況:允許受信任的 Microsoft 服務存取此儲存體帳戶。
如果您的工作區處理來自其他網路的流量,請設定儲存體帳戶,以允許來自相關網路/網際網路的連入流量。
協調代理程式與儲存體帳戶之間的 TLS 版本。 建議您使用 TLS 1.2 或更新版本,將資料傳送至 Azure 監視器記錄。 檢閱平台特定的指引。 如需要,請將代理程式設定為使用 TLS。 如果無法這麼做,請將儲存體帳戶設定為接受 TLS 1.0。
客戶自控金鑰的資料加密
Azure 儲存體會加密儲存體帳戶中的所有待用資料。 預設使用 Microsoft 受控金鑰 (MMK) 來加密資料。 不過,Azure 儲存體也可讓您使用 Azure Key Vault 的客戶自控金鑰 (CMK),加密您的儲存體資料。 您可以將自己的金鑰匯入 Key Vault 中,也可以使用 Key Vault API 來產生金鑰。
需要客戶自控儲存體帳戶的 CMK 案例
需要客戶管理的儲存體帳戶,才能:
- 使用 CMK 加密記錄警示查詢。
- 使用 CMK 加密已儲存的查詢。
將 CMK 套用至客戶管理的儲存體帳戶
請遵循本指引,將 CMK 套用至客戶管理的儲存體帳戶。
儲存體帳戶需求
儲存體帳戶與金鑰保存庫必須位於相同區域,不過也可位於不同的訂閱中。 如需 Azure 儲存體加密和金鑰管理的詳細資訊,請參閱適用於待用資料的 Azure 儲存體加密。
將 CMK 套用至您的儲存體帳戶
若要將 Azure 儲存體帳戶設定為搭配使用 CMK 與 Key Vault,請使用 Azure 入口網站、PowerShell 或 Azure CLI。
注意
- 為保護隱私權,連結儲存體帳戶以進行查詢時,工作區中現有已儲存的查詢會永久刪除。 您可以使用 PowerShell,在連結儲存體之前,先複製現有已儲存的查詢。
- 已儲存在查詢套件中的查詢不會使用客戶自控金鑰加密。 請在儲存查詢時改為選取 [另存為舊版查詢],以使用客戶自控金鑰保護查詢。
- 若建立儲存體帳戶時已設定加密,已儲存的查詢會儲存在資料表儲存體,並使用客戶自控金鑰加密。
- 記錄搜尋警示儲存在 Blob 儲存體,其中的客戶自控金鑰加密可以在建立儲存體帳戶時設定,或是稍後再設定。
- 單一儲存體帳戶可以用於所有用途,查詢、警示、自訂記錄和 IIS 記錄等等。 視擷取速率和儲存體的限制,用於自訂記錄和 IIS 記錄的連結儲存體可能需要更多儲存體帳戶來進行調整。 您最多可以將五個儲存體帳戶連結至工作區。
將儲存體帳戶連結至您的 Log Analytics 工作區
使用 Azure 入口網站
在 Azure 入口網站上開啟工作區的功能表,然後選取 [連結的儲存體帳戶]。 窗格會顯示依上述的使用案例顯示連結的儲存體帳戶 (透過私人連結擷取,將 CMK 套用至已儲存的查詢或警示)。
選取資料表上的項目將會開啟其儲存體帳戶詳細資料,您可以在該處設定或更新此類型的連結儲存體帳戶。
使用 Azure CLI 或 REST API
您也可以透過 Azure CLI 或 REST API 將儲存體帳戶連結至您的工作區。
適用的 dataSourceType
值為:
CustomLogs
:將儲存體帳戶用於自訂記錄和 IIS 記錄擷取。Query
:使用儲存體帳戶來存放已儲存的查詢 (CMK 加密需要)。Alerts
:使用儲存體帳戶來儲存記錄型警示 (CMK 加密需要)。
管理連結的儲存體帳戶
請遵循本指引來管理連結的儲存體帳戶。
建立或修改連結
您將儲存體帳戶連結至工作區後,Azure 監視器記錄會開始使用連結的帳戶,而非服務所擁有的儲存體帳戶。 您可以:
- 註冊多個儲存體帳戶,以將記錄負載分散到其間。
- 將相同的儲存體帳戶重複用於多個工作區。
取消連結儲存體帳戶
若要停止使用儲存體帳戶,請將儲存體從工作區取消連結。 您從工作區取消連結所有儲存體帳戶之後,Azure 監視器記錄會使用服務管理的儲存體帳戶。 如果您的網路對網際網路的存取權有限,則這些儲存體帳戶可能無法使用,且任何依賴儲存體的案例都會失敗。
取代儲存體帳戶
若要取代用於擷取的儲存體帳戶:
- 建立新儲存體帳戶的連結。 記錄代理程式也會取得更新後的設定,並開始將資料傳送至新的儲存體。 此程序可能需要幾分鐘的時間。
- 將舊儲存體帳戶取消連結,以便讓代理程式停止寫入已移除的帳戶。 擷取程序會繼續讀取此帳戶的資料,直到全部擷取完畢為止。 除非您看到所有記錄都已擷取,否則請勿刪除儲存體帳戶。
維護儲存體帳戶
請遵循本指引來維護儲存體帳戶。
管理記錄保留
使用您自己的儲存體帳戶時,保留期由您決定。 Azure 監視器記錄不會刪除儲存在私人儲存體上的記錄。 您應設定原則,以根據您的喜好設定來處理負載。
考量負載
儲存體帳戶可以在開始要求節流之前,先處理特定的讀取和寫入要求負載。 如需詳細資訊,請參閱 Azure Blob 儲存體的延展性和效能目標。
節流會影響擷取記錄所需的時間。 如果您的儲存體帳戶超載,請註冊其他儲存體帳戶,並將負載分散到這些帳戶之間。 若要監視儲存體帳戶的容量和效能,請檢閱其在 Azure 入口網站中的見解。
相關費用
儲存體帳戶的計費方式依據儲存的資料量、儲存體類型和備援類型。 如需詳細資訊,請參閱區塊 Blob 定價和 Azure 資料表儲存體定價。
下一步
- 了解如何使用私人連結將網路安全地連線至 Azure 監視器。
- 了解 Azure 監視器客戶自控金鑰。