你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 通常会自动管理存储,但某些方案要求配置客户管理的存储帐户。 本文介绍设置客户管理的存储帐户链接到 Log Analytics 工作区的用例、要求和过程。
| 需要客户管理的存储帐户的方案 |
|---|
| 用于自定义/IIS日志导入的私有链接 |
| 客户管理密钥(CMK)用于加密日志警报查询和已保存查询的数据 |
上传到客户管理的存储帐户的自定义日志内容可能会出现格式更改或其他意外方式的更改。 请仔细考虑你对此内容的依赖项,并了解用例的特殊情况。
先决条件
警告
从 2025 年 6 月 30 日开始,创建或更新 自定义日志和 IIS 日志 链接存储帐户将不再可用。 现有存储帐户将于 2025 年 11 月 1 日取消链接。 强烈建议迁移到 Azure Monitor 代理以避免丢失数据。 有关详细信息,请参阅 Azure Monitor 代理概述。
警告
从 2025 年 8 月 31 日开始,Log Analytics 工作区必须为其分配托管标识(MSI),以便为保存的查询和保存的日志警报查询添加或更新链接存储帐户。 有关详细信息,请参阅 将存储帐户链接到 Log Analytics 工作区。
| 行动 | 所需权限 |
|---|---|
| 管理工作区的链接存储帐户 | Microsoft.OperationalInsights/workspaces/write - 工作区范围例如,由内置角色 Log Analytics 贡献者提供。 |
| 将任何托管标识分配到工作区 | Microsoft.OperationalInsights/workspaces/write - 工作区范围例如,由内置角色 Log Analytics 贡献者提供。 |
| 管理工作区的用户分配的托管标识 | Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - 标识范围例如,由内置角色、 托管标识操作员 或 托管标识贡献者提供。 |
| 存储帐户上托管标识的最低权限 | 存储表数据参与者。 |
此外,链接的存储帐户必须与工作区位于同一区域。
专用链接
当使用专用链接连接到 Azure Monitor 资源时,客户管理的存储帐户用于引入自定义日志。 这些数据类型的引入过程是首先将日志上传到中间 Azure 存储帐户,然后才将其引入到工作区。
工作区要求
通过专用链接连接到 Azure Monitor 时,Azure Monitor 代理只能将日志发送到可通过专用链接访问的工作区。 此要求意味着你应:
- 配置 Azure Monitor 专用链接范围 (AMPLS) 对象。
- 将其连接到工作区。
- 通过专用链接将 AMPLS 连接到网络。
有关 AMPLS 配置过程的详细信息,请参阅使用 Azure 专用链接安全地将网络连接到 Azure Monitor。
专用链接的存储帐户要求
通过专用链接连接到 Azure Monitor 时,必须通过专用链接访问存储帐户。 此要求意味着您应执行以下操作:要使存储帐户连接到您的专用链接,必须:
位于虚拟网络或对等互连网络上,并通过专用链接连接到虚拟网络。
允许 Azure Monitor 访问存储帐户。 若要仅允许特定网络访问你的存储帐户,请选择例外 -“允许受信任的 Microsoft 服务访问此存储帐户”。
如果工作区处理来自其他网络的流量,请将存储帐户配置为允许来自相关网络/Internet 的传入流量。
协调代理和存储帐户之间的 TLS 版本。 建议使用 TLS 1.2 或更高版本将数据发送到 Azure Monitor Logs。 如有必要,请将代理配置为使用 TLS。 如果不可能,请将存储帐户配置为接受 TLS 1.2。
客户管理的密钥数据加密
Azure 存储可对存储帐户中的所有数据进行静态加密。 默认情况下,它使用 Microsoft 管理的密钥 (MMK) 来加密数据。 但是,Azure 存储还允许使用 Azure Key Vault 中的客户管理的密钥数据加密 (CMK) 来加密存储数据。 将自己的密钥导入 Key Vault 或使用 Key Vault API 生成密钥。
以下情况需要客户管理的存储帐户:
- 使用 CMK 加密日志警报查询。
- 使用 CMK 加密保存的查询。
将存储帐户配置为将 CMK 与 Key Vault 配合使用。 有关详细信息,请参阅 为 Azure 存储配置客户管理的密钥。
对于使用 CMK 的客户管理的存储的注意事项
存储帐户和密钥保管库必须位于同一区域。 不过,它们不需要来自同一订阅。 有关详细信息,请参阅静态数据的 Azure 存储加密。
| 特例 | 补救措施 |
|---|---|
| 当存储帐户用于查询时,为了保护隐私,工作区中现有的已保存查询和函数将被永久删除并转移到存储帐户中的表中。 | 在配置存储链接之前复制现有已保存的查询。 下面是 使用 PowerShell 的示例。 可以取消链接查询的存储帐户,将保存的查询和函数移回工作区。 如果未保存的查询或函数在作后未显示在 Azure 门户中,请刷新浏览器。 |
| 在 查询包 中保存的查询不会使用 CMK 进行加密。 | 改为在保存查询时选择“ 另存为旧查询 ”,以使用 CMK 对其进行保护。 |
| 默认情况下,保存的查询和日志搜索警报不会在客户管理的存储中加密。 | 虽然存储帐户创建后也可配置 CMK,但请在创建存储帐户时使用 CMK 进行加密。 |
| 单个 StorageV2 存储帐户可用于所有目的 - 查询、警报、自定义日志和 IIS 日志。 | 链接自定义日志和 IIS 日志的存储可能需要更多存储帐户(每个工作区最多 5 个),以满足扩大规模的需求,具体情况取决于引入速率和存储限制。 请记住,自定义日志和 IIS 日志的所有客户管理的存储都将在 2025 年 11 月 1 日取消链接。 |
将存储帐户链接到 Log Analytics 工作区
以下要求将不早于 2025 年 8 月 31 日实施。
| 即将推出的要求 | DESCRIPTION |
|---|---|
| 分配给工作区的托管标识 | 如果未分配托管标识,则所有工作区将无法创建指向客户管理的存储账户的新链接,包括无法更新现有链接。 |
| 为托管标识配置了角色分配的存储帐户 | 当存储帐户没有托管标识的角色分配时,将阻止所有工作区的客户管理的存储帐户的新链接(包括更新现有链接)。 |
创建管理标识
使用托管标识配置工作区,为即将到来的强制更改做好准备。
在强制实施之前,工作区不会使用托管标识对专用存储进行身份验证。 在宣布启用托管标识以向专用存储进行身份验证之前,请勿删除现有身份验证方法。
使用以下方法之一使用托管标识创建或更新工作区:
有关详细信息,请参阅 什么是 Azure 资源的托管标识?。
添加角色分配
将托管标识分配到工作区后,更新存储帐户以允许访问托管标识。 将该标识分配给存储帐户上的“存储表数据参与者”角色,以允许工作区访问已保存的查询和日志警报查询。 请注意 分配托管标识 和管理 用户分配标识所需的权限。
添加链接
在 Azure 门户中打开工作区菜单,然后选择“链接的存储帐户”。 显示了每种类型的关联存储帐户。
选择 类型 或连接图标会打开存储帐户链接详细信息,以便为此类型设置或更新链接存储帐户。 对多种类型使用相同的存储帐户来降低复杂性。
管理链接的存储帐户
按照本指南管理链接的存储帐户。
创建或修改链接
将存储帐户链接到工作区后,Azure Monitor Logs 将开始使用该存储帐户,而不是使用服务所拥有的存储帐户。 您可以:
- 注册多个存储帐户,以在帐户之间分散日志负载。
- 为多个工作区重用同一个存储帐户。
取消存储帐户链接
若要停止使用存储帐户,请取消存储与工作区的链接。 当您取消将所有存储帐户与某个工作区的关联时,Azure Monitor Logs 将使用服务托管的存储帐户。 如果网络对 Internet 的访问权限有限,则这些存储帐户可能不可用,且任何依赖于存储的方案都将失败。
替换存储帐户
若要替换用于引入数据的存储帐户:
- 创建与新存储帐户的链接。 日志记录代理获取更新的配置并开始将数据发送到新存储。 此过程可能需要几分钟时间。
- 取消链接旧存储帐户,以便代理停止写入已删除的帐户。 数据摄取过程将持续从该帐户读取数据,直到所有数据被摄取完成。 在确保所有日志引入完之前,请不要删除存储帐户。
维护存储帐户
按照本指南维护存储帐户。
管理日志保留期
使用自己的存储帐户时,保留期取决于你。 Azure Monitor Logs 不会删除存储在专用存储上的日志。 但你应根据偏好设置策略来处理负载。
考虑负载
开始限制请求之前,存储帐户可以处理某些读取和写入请求。 有关详细信息,请参阅 Azure Blob 存储的可伸缩性和性能目标。
限制请求会延长引入日志所花费的时间。 如果存储帐户已超载,请再注册一个存储帐户,以在帐户之间分散负载。 若要监视存储帐户的容量和性能,请查看其在 Azure 门户中的见解。
相关费用
存储帐户的收费基于存储数据量、存储类型和冗余类型。 有关详细信息,请参阅块 Blob 定价和 Azure 表存储定价。
后续步骤
- 了解如何安全地使用专用链接将网络连接到 Azure Monitor。
- 了解 Azure Monitor 客户管理的密钥。