Paramètres de diagnostic dans Azure Monitor

Vous pouvez utiliser les paramètres de diagnostic dans Azure Monitor pour collecter des journaux de ressources et envoyer des métriques de plateforme et le journal d'activité à différentes destinations. Créez un paramètre de diagnostic distinct pour chaque ressource à partir de laquelle vous souhaitez collecter des données. Chaque paramètre définit les données de la ressource à collecter et les destinations auxquelles envoyer ces données. Cet article décrit les détails des paramètres de diagnostic, notamment comment les créer et les destinations disponibles pour l’envoi de données.

La vidéo suivante décrit le routage des journaux de plateforme de ressources avec les paramètres de diagnostic. Les modifications suivantes ont été apportées aux paramètres de diagnostic depuis l’enregistrement de la vidéo, mais ces rubriques sont abordées dans cet article.

partenaires Azure Monitor
Groupes de catégories

Warning

Supprimez les paramètres de diagnostic d’une ressource si vous supprimez ou renommez cette ressource, ou si vous la migrez entre des groupes de ressources ou des abonnements. Si le paramètre de diagnostic n’est pas supprimé et que cette ressource est recréée, tous les paramètres de diagnostic de la ressource supprimée peuvent être appliqués au nouveau. Pour certains types de ressources, cette situation reprendrait la collecte de journaux de ressources telle que définie dans le paramètre de diagnostic.

Sources

Les paramètres de diagnostic peuvent collecter des données à partir des sources dans le tableau suivant. Pour plus d’informations sur les données collectées par chaque source et son format dans chaque destination, consultez l’article lié.

Source de données	Description
Métriques de plateforme	Collecté automatiquement sans configuration. Utilisez un paramètre de diagnostic pour envoyer des métriques de plateforme à d’autres destinations.
Journal d’activité	Collecté automatiquement sans configuration. Utilisez un paramètre de diagnostic pour envoyer des entrées de journal d’activité à d’autres destinations.
Journaux des ressources	Ne sont pas collectés par défaut. Créer un paramètre de diagnostic pour collecter les journaux de ressources.

Une fois que vous avez configuré un paramètre de diagnostic, l’heure à laquelle chaque source de données sera disponible pour l’analyse varie. Pour obtenir la latence attendue pour les métriques de plateforme, les journaux d’activité et les journaux des ressources, consultez le temps d’ingestion des données de journal dans Azure Monitor.

Destinations

Les paramètres de diagnostic envoient des données aux destinations du tableau suivant. Pour garantir la sécurité des données en transit, tous les points de terminaison de destination sont configurés pour prendre en charge TLS 1.2.

Un paramètre de diagnostic unique ne peut pas définir plus d’un de chaque destination. Si vous souhaitez envoyer des données à plusieurs types de destination particuliers (par exemple, deux espaces de travail Log Analytics), créez plusieurs paramètres. Chaque ressource peut avoir jusqu’à cinq paramètres de diagnostic.

Toutes les destinations qu’un paramètre de diagnostic utilise doivent exister avant de pouvoir créer le paramètre. La destination n'a pas besoin d'être dans le même abonnement que la ressource qui envoie des journaux si l'utilisateur qui configure le paramètre dispose d'un accès approprié au contrôle d'accès basé sur les rôles (RBAC) Azure pour les deux abonnements. Utilisez Azure Lighthouse pour inclure des destinations dans un autre locataire Microsoft Entra.

Destination	Description	Requirements
espace de travail Log Analytics	Récupérez des données à l’aide de requêtes de journal et de classeurs. Utilisez des alertes de journal pour alerter de manière proactive sur les données. Pour connaître les tables utilisées par différentes ressources Azure, consultez la référence du journal des ressources Azure Monitor.	Toutes les tables d’un espace de travail Log Analytics sont créées automatiquement lorsque les premières données sont envoyées à l’espace de travail, de sorte que seul l’espace de travail lui-même doit exister.
compte Azure Storage	Stocker pour l’audit, l’analyse statique ou la sauvegarde. Le stockage peut être moins coûteux que d’autres options et peut être conservé indéfiniment. Envoyez des données à un stockage immuable pour empêcher sa modification. Définissez la stratégie immuable pour le compte de stockage, comme décrit dans Configurer les stratégies immuables pour les versions d’objets blob.	Les comptes de stockage doivent se trouver dans la même région que la ressource que vous surveillez si la ressource est régionale. Les paramètres de diagnostic ne peuvent pas accéder aux compte de stockage lorsque les réseaux virtuels sont activés. Vous devez activer Allow trusted Microsoft services pour contourner ce paramètre de pare-feu dans les comptes de stockage afin que le service des paramètres de diagnostic Azure Monitor soit autorisé à accéder à votre compte de stockage. Points de terminaison des zones DNS Azure (préversion) et les comptes de stockage Premium ne sont pas pris en charge en tant que destinations. Tous les comptes de stockage Standard sont pris en charge.
Azure Event Hubs	Diffusez en continu des données vers des systèmes externes tels que des solutions SIEM (Non-Microsoft Security Information and Event Management) et d’autres solutions Log Analytics.	Les hubs d’événements doivent se trouver dans la même région que la ressource que vous surveillez si la ressource est régionale. Vous ne pouvez pas utiliser un hub d'événements compétenté car il nécessite que le message ait une clé de partition, ce qui Azure Monitor n'inclut pas. Les paramètres de diagnostic ne peuvent pas accéder aux hubs d’événements lorsque les réseaux virtuels sont activés. Vous devez activer Allow trusted Microsoft Services pour contourner ce paramètre de pare-feu dans event Hubs afin que le service des paramètres de diagnostic Azure Monitor soit autorisé à accéder à vos ressources Event Hub. La stratégie d’accès partagé pour un espace de noms Event Hubs définit les autorisations dont dispose le mécanisme de diffusion en continu. La diffusion en continu vers Event Hubs nécessite `Manage`, `Send` et `Listen` des autorisations. Pour mettre à jour le paramètre de diagnostic pour inclure la diffusion en continu, vous devez disposer de l’autorisation `ListKey` sur cette règle d’autorisation Event Hubs.
Azure Monitor solutions partenaires	Les intégrations spécialisées sont possibles entre Azure Monitor et d’autres plateformes de supervision non-Microsoft. Les solutions varient selon le partenaire.	Pour plus d’informations, consultez la documentation des services ISV natifs sur Azure.

Méthodes de création d’un paramètre de diagnostic

Vous pouvez créer un paramètre de diagnostic à l’aide de l’une des méthodes suivantes.

Pour créer un paramètre de diagnostic pour le journal d’activité à l’aide du portail Azure, consultez Exporter le journal d’activité. Pour créer un paramètre de diagnostic pour un groupe d’administration, consultez Paramètres de diagnostic du groupe d’administration.

Procédez comme suit pour créer un paramètre de diagnostic ou modifier un paramètre existant dans le portail Azure :

Dans le menu d’une ressource, dans la section Surveillance , sélectionnez Paramètres de diagnostic. Ou, dans le menu Azure Monitor, sélectionnez Settings> ParamètresDiagnostic. Sélectionnez ensuite la ressource.
Sélectionnez Ajouter un paramètre de diagnostic pour ajouter un nouveau paramètre, ou sélectionnez Modifier le paramètre pour modifier un paramètre existant.

Vous aurez peut-être besoin de plusieurs paramètres de diagnostic pour une ressource si vous souhaitez envoyer à plusieurs destinations du même type. L’exemple suivant montre les paramètres d’une ressource key vault, mais l’écran est similaire pour d’autres ressources.
Donnez à votre paramètre un nom descriptif s’il n’en a pas déjà un.

Cette capture d’écran montre un exemple de coffre de clés. D’autres types de ressources ont différents ensembles de catégories.
Pour les journaux, choisissez un groupe de catégories ou cochez les cases individuelles pour chaque catégorie de données que vous souhaitez envoyer aux destinations. La liste des catégories varie pour chaque service Azure.
Pour les métriques, sélectionnez AllMetrics si vous souhaitez collecter des métriques de plateforme.
Pour plus d’informations sur la destination, cochez la case pour chaque destination que vous souhaitez inclure dans les paramètres de diagnostic. Fournissez ensuite les détails de chaque destination.

Si vous sélectionnez un espace de travail Log Analytics comme destination, vous devrez peut-être spécifier le mode collection. Pour plus d’informations, consultez le mode Collection.

Utilisez l’applet de commande New-AzDiagnosticSetting pour créer un paramètre de diagnostic via Azure PowerShell. Pour obtenir des descriptions des paramètres, consultez la documentation de cette applet de commande.

Important

Vous ne pouvez pas utiliser cette méthode pour un journal d’activité. Au lieu de cela, créez un modèle Azure Resource Manager et déployez-le à l’aide de PowerShell.

L’exemple de script PowerShell suivant crée un paramètre de diagnostic pour envoyer l’ensemble des journaux et métriques d’un coffre de clés vers un espace de travail Log Analytics :

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Utilisez la commande az monitor diagnostic-settings create pour créer un paramètre de diagnostic via le Azure CLI. Pour obtenir des descriptions des paramètres, consultez la documentation de cette commande.

Important

Vous ne pouvez pas utiliser cette méthode pour un journal d’activité. Au lieu de cela, créez un modèle Azure Resource Manager et déployez-le à l’aide du Azure CLI.

L’exemple de script suivant crée un paramètre de diagnostic qui envoie des données aux trois destinations. Pour spécifier le mode spécifique à la ressource si le service le prend en charge, ajoutez le paramètre export-to-resource-specific avec une valeur de true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

L’exemple de modèle suivant crée un paramètre de diagnostic pour envoyer tous les journaux d’audit à un espace de travail Log Analytics. La valeur apiVersion peut changer en fonction de la ressource dans la portée. Pour obtenir des exemples de modèles pour d’autres ressources, consultez Resource Manager exemples de modèles pour les paramètres de diagnostic dans Azure Monitor.

Fichier de modèle

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Fichier de paramètres

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Fichier de modèle

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Fichier de paramètres

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

Warning

Lorsque vous créez ou mettez à jour des paramètres de diagnostic pour un compte de stockage ou un espace de noms Event Hubs, vous ne pouvez pas sélectionner ce compte ou cet espace de noms une destination pour les données des journaux de ressources ou des métriques. Cette limitation est voulue. L’envoi de journaux de ressources ou de métriques d’une ressource à la même ressource génère une boucle infinie de génération et d’écriture de données.

Cette conception s’applique uniquement à la couche d’expérience utilisateur du portail Azure. S'il est vraiment nécessaire d'écrire des données dans la même ressource et que vous êtes prêt à accepter les risques associés, vous pouvez créer le paramètre de diagnostic à l'aide de Azure PowerShell, du Azure CLI, de l'API REST, d'un modèle Resource Manager ou d'un kit de développement logiciel (SDK) Microsoft pris en charge.

Groupes de catégories

Vous pouvez utiliser des groupes de catégories pour collecter les journaux de ressources en fonction des regroupements prédéfinis au lieu de sélectionner des catégories de journaux individuelles. Microsoft définit les regroupements pour surveiller les cas d’usage courants. Si les catégories du groupe sont mises à jour, votre collection de journalisation est modifiée automatiquement.

Tous les services Azure n’utilisent pas tous les groupes de catégories. Si les groupes de catégories ne sont pas disponibles pour une ressource particulière, l’option ne sera pas disponible lorsque vous créez le paramètre de diagnostic.

Si vous utilisez des groupes de catégories dans un paramètre de diagnostic, vous ne pouvez pas sélectionner de types de catégories individuels. Il existe actuellement deux groupes de catégories :

allLogs : toutes les catégories de la ressource.
audit: tous les journaux de ressources qui enregistrent les interactions client avec les données ou les paramètres du service. Vous n’avez pas besoin de sélectionner ce groupe de catégories si vous sélectionnez le allLogs groupe de catégories.

Note

L’activation de la catégorie audit dans les paramètres de diagnostic pour Azure SQL Database n’active pas l’audit pour la base de données. Pour activer l’audit de base de données, vous devez l’activer à partir du volet d’audit pour Azure SQL Database.

Limitations des métriques

Toutes les métriques ne peuvent pas être envoyées à un espace de travail Log Analytics avec les paramètres de diagnostic. Consultez la colonne Exportable dans la liste des métriques prises en charge.

Les paramètres de diagnostic ne prennent actuellement pas en charge les métriques multidimensionnelles. Les métriques avec dimensions sont exportées sous forme de métriques unidimensionnelles aplaties et agrégées sur les valeurs des dimensions. Par exemple, la IOReadBytes métrique sur une blockchain peut être explorée et tracée au niveau d’un nœud. Lorsque la métrique est exportée avec les paramètres de diagnostic, elle affiche tous les octets de lecture pour tous les nœuds.

Pour contourner les limitations des métriques spécifiques, vous pouvez les extraire manuellement à l’aide de l’API REST Metrics. Vous pouvez ensuite les importer dans un espace de travail Log Analytics à l’aide de l’API d’ingestion Logs.

Contrôle des coûts

Vous pouvez entraîner des coûts pour les données collectées par les paramètres de diagnostic. Le coût dépend de la destination que vous choisissez et du volume de données collectées. Pour plus d’informations, consultez la tarification d’Azure Monitor ou reportez-vous à la section Questions fréquentes.

Collectez uniquement les catégories dont vous avez besoin pour chaque service. Vous ne souhaiterez peut-être pas non plus collecter les métriques de plateforme à partir de ressources Azure, car les métriques collectent déjà ces données. Configurez vos données de diagnostic pour collecter des métriques uniquement si vous avez besoin de données de métriques dans l’espace de travail pour une analyse plus complexe à l’aide de requêtes de journal.

Les paramètres de diagnostic n’autorisent pas le filtrage granulaire dans une catégorie sélectionnée. Vous pouvez filtrer des données pour les tables prises en charge dans un espace de travail Log Analytics à l’aide de transformations. Pour plus d’informations, consultez Transformations dans Azure Monitor.

Heure avant que les données ne se rendent aux destinations

Après avoir créé un paramètre de diagnostic, les données doivent commencer à circuler vers vos destinations sélectionnées dans les 90 minutes. Lorsque vous envoyez des données à un espace de travail Log Analytics, la table est créée automatiquement s'il n'existe pas déjà. La table est créée uniquement lorsque les destinations reçoivent les premiers enregistrements de journal.

Si vous n’obtenez aucune information dans les 24 heures, vous rencontrerez peut-être l’un des problèmes suivants :

Aucun journal n’est généré.
Un problème se produit dans le mécanisme de routage sous-jacent.

Essayez de désactiver la configuration, puis de la réactiver. Si le problème persiste, contactez Azure support via le portail Azure.

Application Insights

Tenez compte des informations suivantes pour les paramètres de diagnostic pour les applications Application Insights :

La destination ne peut pas être la même Log Analytics espace de travail sur lequel repose votre ressource Application Insights.
L’utilisateur Application Insights ne peut pas avoir accès aux deux espaces de travail. Définissez le mode de contrôle d'accès de Log Analytics access control sur nécessite des autorisations d'espace de travail. Via Azure RBAC, vérifiez que l’utilisateur a accès uniquement à l’espace de travail Log Analytics sur lequel la ressource Application Insights est basée.

Ces étapes sont nécessaires, car Application Insights accède aux données entre les ressources pour fournir des opérations de transaction de bout en bout complètes et des mappages d’applications précis. Ces ressources incluent des espaces de travail Log Analytics. Étant donné que les journaux de diagnostic utilisent les mêmes noms de tables, les données en double peuvent apparaître si l’utilisateur a accès à plusieurs ressources qui contiennent les mêmes données.

Troubleshooting

La catégorie de métrique n’est pas prise en charge

Vous pouvez recevoir un message d'erreur similaire à « Métrique catégorie « xxxx » n'est pas pris en charge lorsque vous utilisez un modèle Resource Manager, l'API REST, le Azure CLI ou Azure PowerShell. Les catégories de métriques autres que AllMetrics ne sont pas prises en charge, à l'exception d'un nombre limité de services Azure. Supprimez les noms des catégories de métriques autres que AllMetrics et répétez votre déploiement.

Le paramètre disparaît en raison de caractères non ASCII dans un ID de ressource

Les paramètres de diagnostic ne prennent pas en charge les ID de ressource avec des caractères non ASCII (par exemple, Preproduccón). Comme vous ne pouvez pas renommer les ressources dans Azure, vous devez créer une ressource sans les caractères non ASCII. Si les personnages se trouvent dans un groupe de ressources, vous pouvez déplacer les ressources dans un nouveau groupe.

La ressource est inactive

Lorsqu’une ressource est inactive et exporte des métriques de valeur zéro, le mécanisme d’exportation des paramètres de diagnostic s’annule de façon incrémentielle pour éviter les coûts inutiles d’exportation et de stockage de valeurs zéro. Ce recul pourrait entraîner un retard dans l'exportation de la prochaine valeur non nulle. Ce comportement s’applique uniquement aux métriques exportées et n’affecte pas les alertes basées sur les métriques ou la mise à l’échelle automatique.

Lorsqu’une ressource est inactive pendant une heure, le mécanisme d’exportation s’interrompt pendant 15 minutes. Cette situation signifie qu’il existe une latence potentielle allant jusqu’à 15 minutes pour que la valeur différente de zéro suivante soit exportée. La ressource atteint le délai maximal d’interruption de deux heures après sept jours d’inactivité. Une fois que la ressource a commencé à exporter des valeurs non nulles, le mécanisme d’exportation revient à la latence d’exportation d’origine de trois minutes.

Pour connaître la latence attendue dans des conditions d’exploitation normales pour tous les types sources, consultez le temps d’ingestion des données de journal dans Azure Monitor.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-31