Azure Monitor 通常会自动管理存储,但某些方案要求配置客户管理的存储帐户。 本文介绍设置客户管理的存储帐户链接到 Log Analytics 工作区的用例、要求和过程。
警告
从 2025 年 6 月 30 日开始,创建或更新 自定义日志和 IIS 日志 链接存储帐户将不再可用。 现有存储帐户将于 2025 年 11 月 1 日取消链接。 强烈建议迁移到 Azure Monitor 代理以避免丢失数据。 有关详细信息,请参阅 Azure Monitor 代理概述。
上传到客户管理的存储帐户的自定义日志内容可能会更改格式或其他意外方式,因此请仔细考虑此内容的依赖项,并了解用例的特殊情况。
专用链接
当使用专用链接连接到 Azure Monitor 资源时,客户管理的存储帐户用于引入自定义日志。 这些数据类型的引入过程是首先将日志上传到中间 Azure 存储帐户,然后才将其引入到工作区。
工作区要求
通过专用链接连接到 Azure Monitor 时,Azure Monitor 代理只能将日志发送到可通过专用链接访问的工作区。 此要求意味着你应:
- 配置 Azure Monitor 专用链接范围 (AMPLS) 对象。
- 将其连接到工作区。
- 通过专用链接将 AMPLS 连接到网络。
有关 AMPLS 配置过程的详细信息,请参阅使用 Azure 专用链接安全地将网络连接到 Azure Monitor。
存储帐户要求
要使存储帐户连接到专用链接,该存储帐户必须:
位于虚拟网络或对等互连网络上,并通过专用链接连接到虚拟网络。
与其所链接到的工作区位于同一区域。
允许 Azure Monitor 访问存储帐户。 若要仅允许特定网络访问你的存储帐户,请选择例外 -“允许受信任的 Microsoft 服务访问此存储帐户”。
如果工作区处理来自其他网络的流量,请将存储帐户配置为允许来自相关网络/Internet 的传入流量。
协调代理和存储帐户之间的 TLS 版本。 建议使用 TLS 1.2 或更高版本将数据发送到 Azure Monitor Logs。 如有必要,请将代理配置为使用 TLS。 如果无法做到这一点,请将存储帐户配置为接受 TLS 1.0。
客户管理的密钥数据加密
Azure 存储可对存储帐户中的所有数据进行静态加密。 默认情况下,它使用 Microsoft 管理的密钥 (MMK) 来加密数据。 但是,Azure 存储还允许使用 Azure Key Vault 中的客户管理的密钥数据加密 (CMK) 来加密存储数据。 可将自己的密钥导入 Key Vault,也可使用 Key Vault API 生成密钥。
需要客户管理的存储帐户的 CMK 方案
以下情况需要客户管理的存储帐户:
- 使用 CMK 加密日志警报查询。
- 使用 CMK 加密保存的查询。
将 CMK 应用于客户管理的存储帐户
按照本指南将 CMK 应用于客户管理的存储帐户。
存储帐户要求
存储帐户和密钥保管库必须位于同一区域。 不过,它们不需要来自同一订阅。 有关详细信息,请参阅静态数据的 Azure 存储加密。
将 CMK 应用于存储帐户
将存储帐户配置为通过以下方式之一将 CMK 与 Key Vault 配合使用:
- Azure 门户
- PowerShell
- Azure CLI
注意
使用 CMK 配置客户托管存储时,请仔细考虑这些特殊情况。
| 特例 | 补救措施 |
|---|---|
| 链接存储帐户用于查询时,工作区中现有的已保存查询会被永久性删除,出于隐私考虑。 | 在配置存储链接之前复制现有已保存的查询。 下面是 使用 PowerShell 的示例。 |
| 在 查询包 中保存的查询不会使用 CMK 进行加密。 | 改为在保存查询时选择“ 另存为旧查询 ”,以使用 CMK 对其进行保护。 |
| 默认情况下,保存的查询和日志搜索警报不会在客户管理的存储中加密。 | 虽然存储帐户创建后也可配置 CMK,但请在创建存储帐户时使用 CMK 进行加密。 |
| 单个存储帐户可用于所有目的 - 查询、警报、自定义日志和 IIS 日志。 | 链接自定义日志和 IIS 日志的存储可能需要更多存储帐户(每个工作区最多 5 个),以满足扩大规模的需求,具体情况取决于引入速率和存储限制。 请记住,自定义日志和 IIS 日志的所有客户管理的存储都将在 2025 年 11 月 1 日取消链接。 |
将存储帐户链接到 Log Analytics 工作区
使用 Azure 门户
在 Azure 门户中打开工作区菜单,然后选择“链接的存储帐户”。 窗格显示了上述用例中链接的存储帐户(通过专用链接进行数据引入,将 CMK 应用到已保存的查询或警报)。
选择表上的一项将打开其存储帐户详细信息,可在其中设置或更新此类型的链接存储帐户。
如果愿意,可以将同一帐户用于不同的用例。
使用 Azure CLI 或 REST API
你也可以通过 Azure CLI 或 REST API 将存储帐户链接到工作区。
适用的 dataSourceType 值为:
CustomLogs:将存储帐户用于自定义日志和 IIS 日志引入。 请记住,自定义日志和 IIS 日志的所有客户管理的存储都将在 2025 年 11 月 1 日取消链接。Query:将存储帐户用于存储已保存的查询(CMK 加密所需)。Alerts:将存储帐户用于存储基于日志的警报(CMK 加密所需)。
管理链接的存储帐户
按照本指南管理链接的存储帐户。
创建或修改链接
将存储帐户链接到工作区后,Azure Monitor Logs 将开始使用该存储帐户,而不是使用服务所拥有的存储帐户。 您可以:
- 注册多个存储帐户,以在帐户之间分散日志负载。
- 为多个工作区重用同一个存储帐户。
取消存储帐户链接
若要停止使用存储帐户,请取消存储与工作区的链接。 当您取消将所有存储帐户与某个工作区的关联时,Azure Monitor Logs 将使用服务托管的存储帐户。 如果网络对 Internet 的访问权限有限,则这些存储帐户可能不可用,且任何依赖于存储的方案都将失败。
替换存储帐户
若要替换用于引入数据的存储帐户:
- 创建与新存储帐户的链接。 日志记录代理将获取更新的配置,并开始将数据发送到新的存储。 此过程可能需要几分钟时间。
- 取消与旧存储帐户的链接,以便代理停止写入已移除的帐户。 数据摄取过程将持续从该帐户读取数据,直到所有数据被摄取完成。 在确保所有日志引入完之前,请不要删除存储帐户。
维护存储帐户
按照本指南维护存储帐户。
管理日志保留期
使用自己的存储帐户时,保留期取决于你。 Azure Monitor Logs 不会删除存储在专用存储上的日志。 但你应根据偏好设置策略来处理负载。
考虑负载
开始限制请求之前,存储帐户可以处理某些读取和写入请求。 有关详细信息,请参阅 Azure Blob 存储的可伸缩性和性能目标。
限制请求会延长引入日志所花费的时间。 如果存储帐户已超载,请再注册一个存储帐户,以在帐户之间分散负载。 若要监视存储帐户的容量和性能,请查看其在 Azure 门户中的见解。
相关费用
存储帐户的收费基于存储数据量、存储类型和冗余类型。 有关详细信息,请参阅块 Blob 定价和 Azure 表存储定价。
后续步骤
- 了解如何安全地使用专用链接将网络连接到 Azure Monitor。
- 了解 Azure Monitor 客户管理的密钥。