大規模監視委派資源
身為服務提供者,您可能已將多個客戶租用戶上線至 Azure Lighthouse。 Azure Lighthouse 可讓服務提供者一次在多個租用戶之間執行大規模作業,讓管理工作更有效率。
本主題說明如何在您所管理的客戶租用戶之間,以可調整的方式使用 Azure 監視器記錄。 雖然我們在此主題中提及服務提供者和客戶,但本指南也適用於使用 Azure Lighthouse 來管理多個租用戶的企業。
注意
請確定您已授與管理租用戶中的使用者管理委派客戶訂用帳戶上 Log Analytics 工作區的必要角色。
建立 Log Analytics 工作區
您必須建立 Log Analytics 工作區以收集資料。 這些 Log Analytics 工作區是 Azure 監視器所收集資料的特殊環境。 每個工作區都有自己的資料存放庫與設定,而且資料來源和解決方案會設定為將其資料儲存在特定的工作區中。
建議您直接在客戶租用戶中建立這些工作區。 如此一來,客戶資料會保留在客戶的租用戶中,而不是匯出到您的租用戶中。 在客戶租使用者中建立工作區可讓您集中監視 Log Analytics 支援的任何資源或服務,針對所監視的資料類型提供您更多彈性。 需要客戶租用戶中建立的工作區,才能從診斷設定收集資訊。
提示
任何用來從 Log Analytics 工作區存取資料的自動化帳戶,都必須在與工作區相同的租用戶中建立。
您可以使用 Azure 入口網站、使用 Azure Resource Manager 範本或使用 Azure PowerShell 來建立 Log Analytics 工作區。
重要
如果在客戶租用戶中建立所有工作區,則 Microsoft.Insights 的資源提供者也必需在管理租用戶訂閱中註冊。 如果您的管理租用戶沒有的 Azure 訂用帳戶,您可以使用下列 PowerShell 命令手動註冊資源提供者:
$ManagingTenantId = "your-managing-Azure-AD-tenant-id"
# Authenticate as a user with admin rights on the managing tenant
Connect-AzAccount -Tenant $ManagingTenantId
# Register the Microsoft.Insights resource providers Application Ids
New-AzADServicePrincipal -ApplicationId 1215fb39-1d15-4c05-b2e3-d519ac3feab4 -Role Contributor
New-AzADServicePrincipal -ApplicationId 6da94f3c-0d67-4092-a408-bb5d1cb08d2d -Role Contributor
New-AzADServicePrincipal -ApplicationId ca7f3f0b-7d91-482c-8e09-c5d840d0eac5 -Role Contributor
將原則部署至該記錄資料
建立 Log Analytics 工作區後,您可以跨客戶階層部署 Azure 原則,以便將診斷資料傳送至每個租用戶中的適當工作區。 由您部署的確切原則可能會因您想監視的資源類型而有所不同。
如需建立原則的詳細資訊,請參閱教學課程:建立和管理強制執行合規性的原則。 此社群工具提供的指令碼可協助您建立原則來監視您選擇的特定資源類型。
判斷要部署的原則時,您可以大規模地部署到委派的訂用帳戶。
分析收集的資料
部署原則後,資料會記錄於您在每個客戶租用戶中建立的 Log Analytics 工作區中。 若要深入了解所有受控客戶,您可以使用 Azure 監視器活頁簿等工具,從多個資料來源收集及分析資訊。
跨客戶工作區查詢資料
您可以建立包含多個工作區的集合聯集,以執行記錄查詢來擷取不同客戶租用戶中 Log Analytics 工作區的資料。 藉由包含「TenantID」資料行,您可以看到哪些結果屬於哪些租用戶。
下列範例查詢會在兩個不同的客戶租用戶中,跨工作區在 AzureDiagnostics 資料表上建立集合聯集。 結果會顯示「Category」、「ResourceGroup」和「TenantID」資料行。
union AzureDiagnostics,
workspace("WS-customer-tenant-1").AzureDiagnostics,
workspace("WS-customer-tenant-2").AzureDiagnostics
| project Category, ResourceGroup, TenantId
如需跨多個 Log Analytics 工作區查詢的更多範例,請參閱在 Azure 監視器中跨多個工作區和應用程式建立記錄查詢。
重要
如果您使用查詢 Log Analytics 工作區資料的自動化帳戶,必須在與工作區相同的租用戶中建立該自動化帳戶。
檢視客戶之間的警示
您可以在您所管理的客戶租用戶中檢視委派訂用帳戶的警示。
您可以從從管理租用戶在 Azure 入口網站或透過 API 和管理工具建立、檢視及管理活動記錄警示。
若要在多個客戶之間自動重新整理警示,請使用 Azure Resource Graph 查詢來篩選警示。 您可以將查詢釘選到儀表板,並選取所有適當的客戶和訂用帳戶。 例如,下列查詢會顯示嚴重性 0 和 1 的警示,並每隔 60 分鐘重新整理一次。
alertsmanagementresources
| where type == "microsoft.alertsmanagement/alerts"
| where properties.essentials.severity =~ "Sev0" or properties.essentials.severity =~ "Sev1"
| where properties.essentials.monitorCondition == "Fired"
| where properties.essentials.startDateTime > ago(60m)
| project StartTime=properties.essentials.startDateTime,name,Description=properties.essentials.description, Severity=properties.essentials.severity, subscriptionId
| sort by tostring(StartTime)
下一步
- 在 GitHub 上試用依網域的活動記錄活頁簿。
- 探索此 MVP 建置的範例活頁簿,此活頁簿會跨多個 Log Analytics 工作區查詢更新管理記錄,以追蹤修補合規性報告。
- 了解其他跨租用戶管理體驗。