共用方式為


在 Azure 監視器記錄中建立和管理專用叢集

Azure 監視器中的專用叢集可啟用進階安全性和控制功能,以及成本優化。 您可以將新的或現有的工作區連結至叢集,且不會中斷擷取和查詢作業。

進階功能

需要專用叢集的功能:

  • 客戶管理的金鑰 - 使用您提供的金鑰來加密數據。
  • Lockbox - 控制Microsoft支持工程師存取您的數據。
  • 雙重加密 - 數據的額外加密層。
  • 跨查詢優化 - 跨工作區查詢會在相同叢集上執行得更快。
  • 成本優化 - 將相同區域中的工作區連結至叢集,並享受從所有連結工作區擷取的數據承諾層折扣。
  • 可用性區域 - 使用不同實體位置的數據中心保護您的數據,並配備獨立電源、冷卻和網路功能。 Azure 監視器可用性區域涵蓋服務更廣泛的部分,而且一旦能在您的區域中使用,即可自動擴充您的 Azure 監視器復原能力。 根據預設,Azure 監視器會在支援的區域中建立已啟用可用性區域 (isAvailabilityZonesEnabled: 'true') 的專用叢集。 目前並非所有區域都支援專用叢集可用性區域
  • 從 Azure 事件中樞 擷取 - 可讓您直接從事件中樞內嵌數據到Log Analytics工作區。

叢集定價模式

Log Analytics 專用叢集會使用承諾層定價模型,從每天 100 GB 開始。 超過承諾層級層級的擷取會根據每 GB 費率收費。 承諾用量層級可以隨時增加,但有 31 天的承諾期間才能減少。 如需承諾層級的詳細數據,請參閱 Azure 監視器記錄定價詳細 數據。

有兩個 計費類型 值可決定內嵌數據的計費屬性:

  • 叢集 (預設) - 叢集的成本取決於叢集資源。
  • 工作區 - 叢集的成本取決於叢集中的工作區比例,如果當天的資料擷取量總計低於承諾用量層,就會將叢集資源的部分使用量列入計費。 若要深入了解叢集定價模式,請參閱 Log Analytics 專用叢集。

所需的權限

若要執行叢集相關動作,您需要下列權限:

動作 需要的權限或角色
建立專用叢集 例如,Log Analytics 參與者內建角色提供的 Microsoft.Resources/deployments/*Microsoft.OperationalInsights/clusters/write 權限
變更叢集屬性 例如,Log Analytics 參與者內建角色提供的 Microsoft.OperationalInsights/clusters/write 權限
將工作區連結至叢集 例如,Log Analytics 參與者內建角色提供的 Microsoft.OperationalInsights/clusters/writeMicrosoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/linkedservices/write 權限
檢查工作區連結狀態 例如,Log Analytics 讀者內建角色提供的工作區 Microsoft.OperationalInsights/workspaces/read 權限
取得叢集或檢查叢集的佈建狀態 例如,Log Analytics 讀者內建角色提供的 Microsoft.OperationalInsights/clusters/read 權限
更新叢集中的承諾用量層或 billingType 例如,Log Analytics 參與者內建角色提供的 Microsoft.OperationalInsights/clusters/write 權限
授與所需的權限 具有 */write 權限的擁有者或參與者角色,或具有 Microsoft.OperationalInsights/* 權限的 Log Analytics 參與者內建角色
取消工作區與叢集的連結 例如,Log Analytics 參與者內建角色提供的 Microsoft.OperationalInsights/workspaces/linkedServices/delete 權限
刪除專用叢集 例如,Log Analytics 參與者內建角色提供的 Microsoft.OperationalInsights/clusters/delete 權限

如需 Log Analytics 權限的詳細資訊,請參閱在 Azure 監視器中管理記錄資料和工作區的存取

Resource Manager 範本範例

此文章包括範例 Azure Resource Manager (ARM) 範本,可在 Azure 監視器中建立和設定 Log Analytics 叢集。 每個範例都包含範本檔案和參數檔案,且附有要提供給範本的範例值。

注意

如需 Azure 監視器的可用範例清單,以及在 Azure 訂用帳戶中的部署指引,請參閱 Azure Resource Manager 範例

範本參考

準備

不論數據擷取為何,叢集承諾層計費都會在建立之後開始,建議您在開始之前備妥下列專案。

  1. 建立叢集的訂用帳戶
  2. 擁有您想要連結至叢集的工作區清單。 它們必須與叢集位於相同的區域
  3. 結束計費類型和屬性,無論是叢集(預設值),還是按比例連結的工作區。
  4. 確認建立叢集和連結工作區的許可權

注意

  • 建立叢集和連結工作區是在異步操作中執行,可能需要數小時才能完成
  • 從叢集連結或取消連結工作區不會影響擷取或作業期間的查詢。

建立專用叢集

建立新的專用叢集時提供下列屬性:

  • ClusterName:針對資源群組必須是唯一的。
  • ResourceGroupName:使用中央 IT 資源群組,因為組織中的許多小組通常都會共用叢集。 如需更多設計考量,請檢閱設計 Log Analytics 工作區設定
  • 地點
  • SkuCapacity:您可以將承諾用量層設定為每天 100、200、300、400、500、1000、2000、5000、10000、25000、50000 GB。 CLI 中支援的最低承諾用量層目前為 500。 使用 REST 來設定最低 100 個承諾用量層。 如需叢集成本的詳細資訊,請參閱專用叢集
  • 受控識別:叢集支援兩種受控識別類型
    • 系統指派的受控識別 - 當身分識別 type 設定為 "SystemAssigned" 時,此受控識別會在叢集建立時自動產生。 此身分識別後續可用來授與對 Key Vault 的儲存體存取權,以進行包裝和解除包裝作業。

      叢集 REST 呼叫中的身分識別

      {
        "identity": {
          "type": "SystemAssigned"
          }
      }
      
    • 使用者指派的受控識別 - 可讓您在叢集建立時設定客戶自控金鑰 (若於叢集建立前在 Key Vault 中授與其權限)。

      叢集 REST 呼叫中的身分識別

      {
      "identity": {
        "type": "UserAssigned",
          "userAssignedIdentities": {
            "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
          }
        }  
      }
      

建立叢集資源之後,您可以編輯屬性,例如 sku、*keyVaultProperties 或 billingType。 請參閱下方詳細資訊。

刪除的叢集需要兩週的時間才能完全移除。 每個訂用帳戶和區域最多可有七個叢集:五個作用中叢集,以及兩個在過去兩週內刪除的叢集。

注意

建立叢集牽涉到多項資源和作業,通常會在兩小時內完成。 不論資料擷取量為何,專用叢集都會在佈建後開始計費,建議您做好部署準備,以加速叢集的佈建和工作區連結。 驗證下列項目:

  • 已識別要連結至叢集的初始工作區清單
  • 您有訂用帳戶的權限,可用於叢集和任何要連結的工作區

按一下 Azure 入口網站中 [Log Analytics 專用叢集] 功能表中的 [建立]。 系統會提示您輸入詳細資料,例如叢集名稱和承諾用量層。

在 Azure 入口網站中建立專用叢集的螢幕擷取畫面。

檢查叢集佈建狀態

Log Analytics 叢集的佈建需要一段時間才能完成。 請使用下列其中一種方法來檢查 ProvisioningState 屬性。 若正在佈建,該值為 ProvisioningAccount;若已完成,則為 Succeeded

入口網站會提供叢集佈建時的狀態。

注意

  • 只有在完成 Log Analytics 叢集佈建之後,才能執行工作區連結。
  • 將工作區連結至叢集,涉及同步多個後端元件和快取序列化,這可能會在兩個小時內完成。
  • 連結 Log Analytics 工作區時,工作區計費方案會變更為 LACluster,您應該移除工作區範本中的 SKU,以避免工作區部署期間發生衝突。
  • 除了叢集方案所控管的計費層面以外,所有工作區設定和查詢層面在連結期間和之後都會保持不變。

您需要工作區和叢集資源的「寫入」授權,才能進行工作區連結作業:

  • 在工作區中:Microsoft.OperationalInsights/workspaces/write
  • 在叢集資源中:Microsoft.OperationalInsights/clusters/write

一旦 Log Analytics 工作區連結至專用叢集時,傳送至工作區的新資料就會擷取至專用叢集,而先前擷取的資料仍會保留在 Log Analytics 叢集中。 連結工作區不會影響工作區作業,包括擷取和查詢體驗。 Log Analytics 查詢引擎會自動拼接來自新舊叢集的資料,因此查詢的結果是完整的。

叢集會依區域分隔,而且最多可以連結至 1,000 個工作區,這些工作區位於與叢集相同的區域中。 工作區一個月無法連結至叢集兩次以上,以防止資料分散。

連結的工作區可以位於與叢集所在的訂用帳戶不同的訂用帳戶中。 如果使用 Azure Lighthouse 將工作區和叢集對應至單一租用戶,則工作區和叢集可以位於不同的租用戶中。

使用客戶自控金鑰 (CMK) 設定專用叢集時,新擷取的資料會使用您的金鑰進行加密,而較舊的資料仍會使用 Microsoft 受控金鑰 (MMK) 進行加密。 金鑰設定由 Log Analytics 抽象化,且跨新舊資料加密的查詢無縫執行。

請使用下列步驟,將工作區連結至叢集。 您可以使用自動化,連結多個工作區:

從 Azure 入口網站中 [Log Analytics 專用叢集] 功能表選取您的叢集,然後按一下 [Linked workspaces],以檢視目前連結至專用叢集的所有工作區。 按一下 [Link workspaces] 以連結其他工作區。

在 Azure 入口網站中將工作區連結至專用叢集的螢幕擷取畫面。

此工作區連結作業最多可能需要 90 分鐘才能完成。 您可以在連結的工作區和叢集上檢查狀態。 完成時,工作區資源會在 features 下包含 clusterResourceId 屬性,而叢集會在 [associatedWorkspaces] 區段下包含連結的工作區。

使用客戶自控金鑰設定叢集時,連結作業完成之後擷取至工作區的資料會以您的金鑰進行加密儲存。

在專用叢集的 [概觀] 頁面上,選取 [JSON 檢視]。 [associatedWorkspaces] 區段會列出連結至叢集的工作區。

在 Azure 入口網站中檢視專用叢集相關聯工作區的螢幕擷取畫面。

變更叢集屬性

建立叢集資源並完全佈建之後,您可以使用 CLI、PowerShell 或 REST API 編輯叢集屬性。 您可以在佈建叢集之後設定的屬性包括:

  • keyVaultProperties - 包含 Azure Key Vault 中的金鑰和下列參數:KeyVaultUriKeyNameKeyVersion。 請參閱使用金鑰識別碼詳細資料更新叢集
  • 身分識別 - 用來向 Key Vault 進行驗證的身分識別。 這可以由系統指派或使用者指派。
  • billingType - 叢集資源及其資料的計費屬性。 包含下列值:
    • 叢集 (預設) - 叢集的成本取決於叢集資源。
    • 工作區 - 叢集的成本取決於叢集中的工作區比例,如果當天的資料擷取量總計低於承諾用量層,就會將叢集資源的部分使用量列入計費。 若要深入了解叢集定價模式,請參閱 Log Analytics 專用叢集

重要

叢集更新不應在相同作業中同時包括身分識別和金鑰識別碼詳細資料。 如果您需要更新這兩者,則更新應該在兩個連續作業中進行。

N/A

取得資源群組中的所有叢集

從 Azure 入口網站 [Log Analytics 專用叢集] 功能表中,選取 [資源群組] 篩選條件。

在 Azure 入口網站中檢視資源群組中所有專用叢集的螢幕擷取畫面。

取得訂用帳戶中的所有叢集

從 Azure 入口網站 [Log Analytics 專用叢集] 功能表中,選取 [訂用帳戶] 篩選條件。

在 Azure 入口網站中檢視訂用帳戶中所有專用叢集的螢幕擷取畫面。

更新叢集中的承諾用量層

當連結工作區的資料量隨著時間變更時,您可以適當地更新承諾用量層以最佳化成本。 承諾用量層是以 GB 為單位指定的,而且其值可以是每天 100、200、300、400、500、1000、2000、5000、10000、25000、50000 GB。 您不必提供完整的 REST 要求本文,但必須包含 SKU。

在承諾期期間,您可以變更為較高的定額層,這會重新開始 31 天的承諾期。 在完成承諾期之後,您無法回到隨用隨付或較低的定額層。

從 Azure 入口網站 [Log Analytics 專用叢集] 功能表中選取您的叢集,然後按一下 [承諾用量層] 旁 的 [變更]

在 Azure 入口網站中變更專用叢集承諾用量層的螢幕擷取畫面。

您可以隨時從叢集取消與工作區的連結。 工作區定價層會變更為每 GB、在取消連結作業保留在叢集中之前擷取至叢集的資料,而工作區的新資料會擷取至記錄分析。

警告

取消連結工作區並不會將工作區資料移出叢集。 連結至叢集時針對工作區收集的任何資料,都會在工作區中定義的保留期間內保留在叢集中,而且只要叢集未遭刪除,即可存取這些資料。

查詢在工作區取消連結時不會受到影響,且服務會無縫執行跨叢集查詢。 如果叢集是以客戶自控金鑰 (CMK) 設定,則在連結時擷取至工作區的資料仍會以您的金鑰進行加密並可供存取,而您的金鑰和 Key Vault 的權限仍維持不變。

注意

  • 一個月內特定工作區有兩個連結作業的限制,以防止跨叢集的資料散發。 如果您達到限制,請連絡支援人員。
  • 解除連結的工作區會移至隨用隨付定價層。

使用下列命令從叢集取消工作區連結:

從 Azure 入口網站中 [Log Analytics 專用叢集] 功能表選取您的叢集,然後按一下 [Linked workspaces],以檢視目前連結至專用叢集的所有工作區。 選取您要取消連結的任何工作區,然後按一下 [取消連結]

在 Azure 入口網站中取消工作區對於專用叢集連結的螢幕擷取畫面。

刪除叢集

您必須擁有叢集資源的寫入權限。

叢集刪除作業應該謹慎執行,因為此作業無法復原。 所有從連結工作區擷取至叢集的資料,都會永久刪除。

叢集的計費會在刪除叢集後停止,不論叢集中定義的 31 天承諾用量層為何。

如果您刪除一個具有連結工作區的叢集,工作區會自動解除與叢集的連結、工作區會移至隨用隨付定價層,而且工作區的新資料會改為擷取至 Log Analytics 叢集。 您可以查詢工作區在連結至叢集之前和取消連結之後的時間範圍,且服務會無縫執行跨叢集查詢。

注意

  • 每個訂用帳戶和區域有七個叢集的限制:五個作用中叢集,加上兩個在過去兩週內刪除的叢集。
  • 刪除之後,叢集的名稱會保留兩週,且無法用於建立新的叢集。

使用下列命令來刪除叢集:

從 Azure 入口網站 [Log Analytics 專用叢集] 功能表中選取您的叢集,然後按一下 [刪除]

在 Azure 入口網站中刪除專用叢集的螢幕擷取畫面。

變更受控識別類型

建立叢集之後,可以變更身分識別類型,且不會中斷擷取或具有下列考慮的查詢:

  • 更新 SystemAssigned 至 UserAssigned — 在 金鑰保存庫 中授與 UserAssign 身分識別,然後在叢集中更新身分識別類型
  • 更新 UserAssigned 至 SystemAssigned — 由於使用 SystemAssigned 更新叢集身分識別類型之後所建立的系統指派受控識別,因此必須遵循下列步驟
    1. 更新叢集並移除密鑰—使用值 「設定 keyVaultUri、keyName 和 keyVersion
    2. 將叢集身分識別類型更新為 SystemAssigned
    3. 更新 金鑰保存庫 並將許可權授與身分識別
    4. 更新叢集中的金鑰

限制和條件約束

  • 每個區域和訂用帳戶中最多可以建立五個作用中的叢集。

  • 允許每個訂用帳戶和區域最多可有七個叢集:五個作用中叢集,加上兩個在過去 2 週內刪除的叢集。

  • 最多可將 1,000 個 Log Analytics 工作區連結至叢集。

  • 在特定工作區上,最多允許在 30 天內執行兩個工作區連結作業。

  • 目前不支援將叢集移至另一個資源群組或訂用帳戶。

  • 不支援將叢集移至另一個區域。

  • 叢集更新不應在相同作業中同時包含身分識別和金鑰識別碼詳細資料。 如果您需要更新這兩者,則更新應該在兩個連續作業中進行。

  • 加密箱目前不適用於中國。

  • 加密箱目前無法套用至使用輔助方案的資料表。

  • 系統會自動針對自 2020 年 10 月在支援的區域中建立的叢集設定雙重加密。 您可以在叢集上傳送 GET 要求,並針對已啟用雙重加密的叢集,觀察 isDoubleEncryptionEnabled 值是否為 true,以驗證已將叢集設定為雙重加密。

    • 如果您建立叢集並收到錯誤:「region-name 不支援針對叢集使用雙重加密。」,您仍然可以透過在 REST 要求本文中新增 "properties": {"isDoubleEncryptionEnabled": false},來建立不含雙重加密的叢集。
    • 建立叢集之後,就無法變更雙重加密設定。
  • 連結至叢集時,允許刪除工作區。 如果您決定在虛刪除期間復原工作區,則工作區會回到先前的狀態,並維持與叢集的連結。

  • 在承諾期期間,您可以變更為較高的定額層,這會重新開始 31 天的承諾期。 在完成承諾期之後,您無法回到隨用隨付或較低的定額層。

疑難排解

  • 如果您在建立叢集時得到衝突錯誤,則該叢集可能在過去 2 週內已遭刪除,且仍在刪除過程中。 叢集名稱在 2 週刪除期間仍會保留,且您無法使用該名稱建立新叢集。

  • 如果您在叢集處於佈建或更新狀態時更新叢集,更新將會失敗。

  • 某些作業的時間很長,可能需要一些時間才能完成。 其中包括叢集建立叢集金鑰更新叢集刪除。 您可以將 GET 要求傳送至叢集或工作區,並觀察回應,以檢查作業狀態。 例如,未連結的工作區在features 下方不會有 clusterResourceId

  • 如果您嘗試連結已連結至另一個叢集的 Log Analytics 工作區,作業將會失敗。

錯誤訊息

叢集建立

  • 400--叢集名稱無效。 叢集名稱可以包含 a-z、A-Z、0-9 且長度為 3-63 的字元。
  • 400--要求本文為 Null 或格式不正確。
  • 400--SKU 名稱無效。 將 SKU 名稱設為 capacityReservation。
  • 400--已提供容量,但 SKU 不是 capacityReservation。 將 SKU 名稱設為 capacityReservation。
  • 400--SKU 中遺漏了容量。 將容量值設定為每天 100、200、300、400、500、1000、2000、5000、10000、25000、50000 GB。
  • 400--容量已鎖定 30 天。 允許在更新後的 30 天之後減少容量。
  • 400--未設定 SKU。 將 SKU 名稱設定為 capacityReservation,並將容量值設定為每天 100、200、300、400、500、1000、2000、5000、10000、25000、50000 GB。
  • 400--無法立即執行作業。 非同步作業處於非成功狀態。 叢集必須先完成其作業,然後才能執行任何更新作業。

叢集更新

  • 400 -- 叢集處於刪除狀態。 非同步作業正在進行中。 叢集必須先完成其作業,然後才能執行任何更新作業。
  • 400--KeyVaultProperties 並非空白,但格式不正確。 請參閱金鑰識別碼更新
  • 400 -- 無法在 Key Vault 中驗證金鑰。 可能是因為權限不足,或金鑰不存在時。 驗證您已在 Key Vault 中設定金鑰和存取原則
  • 400--金鑰無法復原。 Key Vault 必須設定為虛刪除和清除保護。 請參閱 Key Vault 文件
  • 400--無法立即執行作業。 請等候非同步作業完成,然後再試一次。
  • 400 -- 叢集處於刪除狀態。 請等候非同步作業完成,然後再試一次。

叢集取得

  • 404--找不到叢集,叢集可能已遭刪除。 如果您嘗試使用該名稱建立叢集,但發生衝突,表示該叢集正在刪除中。

叢集刪除

  • 409 -- 無法在處於佈建狀態時刪除叢集。 請等候非同步作業完成,然後再試一次。
  • 404 -- 找不到工作區。 您指定的工作區不存在或已刪除。
  • 409 -- 工作區連結或取消連結作業正在進行中。
  • 400 -- 找不到叢集,您指定的叢集不存在或已遭刪除。
  • 404 -- 找不到工作區。 您指定的工作區不存在或已刪除。
  • 409 -- 工作區連結或取消連結作業正在進行中。

下一步