Diagnostikinställningar i Azure Monitor

2025-08-15

Med diagnostikinställningar i Azure Monitor kan du samla in resursloggar och skicka plattformsmått och aktivitetsloggen till olika mål. Skapa en separat diagnostikinställning för varje resurs som du vill samla in data från. Varje inställning definierar data från resursen som ska samlas in och de mål som data ska skickas till. Den här artikeln beskriver information om diagnostikinställningar, inklusive hur du skapar dem och de mål som är tillgängliga för att skicka data.

Följande video går igenom routning av resursplattformsloggar med diagnostikinställningar. Följande ändringar har gjorts i diagnostikinställningarna sedan videon spelades in, men de här avsnitten beskrivs i den här artikeln.

Azure Monitor-partner
Kategorigrupper

Warning

Ta bort eventuella diagnostikinställningar för en resurs om du tar bort eller byter namn på resursen, eller om du migrerar den mellan resursgrupper eller prenumerationer. Om diagnostikinställningen inte tas bort och den här resursen återskapas kan eventuella diagnostikinställningar för den borttagna resursen tillämpas på den nya. Detta skulle återuppta insamlingen av resursloggar enligt definitionen i diagnostikinställningen.

Sources

Diagnostikinställningar kan samla in data från källorna i följande tabell. Se varje länkad artikel för information om de data som samlas in av den källan och dess format i varje mål.

Datakälla	Description
Plattformsmetrik	Samlas in automatiskt utan konfiguration. Använd en diagnostikinställning för att skicka plattformsmått till andra mål.
Aktivitetslogg	Samlas in automatiskt utan konfiguration. Använd en diagnostikinställning för att skicka aktivitetsloggposter till andra mål.
Resursloggar	Samlas inte in som standard. Skapa en diagnostikinställning för att samla in resursloggar.

Destinations

Diagnostikinställningar skickar data till målen i följande tabell. För att säkerställa säkerheten för data under överföring är alla målslutpunkter konfigurerade för stöd för TLS 1.2.

En enda diagnostikinställning kan inte definiera fler än ett av vart och ett av målen. Om du vill skicka data till mer än en av en viss måltyp (till exempel två olika Log Analytics-arbetsytor) skapar du flera inställningar. Varje resurs kan ha upp till fem diagnostikinställningar.

Alla mål som används av diagnostikinställningen måste finnas innan inställningen kan skapas. Målet behöver inte finnas i samma prenumeration som resursen som skickar loggar, förutsatt att användaren som konfigurerar inställningen har lämplig Azure-rollbaserad åtkomstkontroll till båda prenumerationerna. Använd Azure Lighthouse för att inkludera mål i en annan Microsoft Entra-klientorganisation.

Destination	Description	Requirements
Log Analytics-arbetsyta	Hämta data med loggfrågor och arbetsböcker. Använd loggaviseringar för att proaktivt avisera om data. Se Resursloggreferens för Azure Monitor för tabeller som används av olika Azure-resurser.	Alla tabeller i en Log Analytics-arbetsyta skapas automatiskt när de första data skickas till arbetsytan, så endast själva arbetsytan måste finnas.
Azure-lagringskonto	Lagra för granskning, statisk analys eller säkerhetskopiering. Lagring kan vara billigare än andra alternativ och kan behållas på obestämd tid. Skicka data till oföränderlig lagring för att förhindra att de ändras. Ange den oföränderliga principen för lagringskontot enligt beskrivningen i Ange och hantera oföränderlighetsprinciper för Azure Blob Storage.	Lagringskonton måste finnas i samma region som den resurs som övervakas om resursen är regional. Diagnostikinställningar kan inte komma åt lagringskonton när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i lagringskonton så att tjänsten diagnostikinställningar för Azure Monitor beviljas åtkomst till ditt lagringskonto. Azure DNS-zonslutpunkter (förhandsversion) och premiumlagringskonton stöds inte som mål. Alla standardlagringskonton stöds.
Azure Event Hubs	Strömma data till externa system, till exempel SIEM från tredje part och andra Log Analytics-lösningar.	Händelsehubbar måste finnas i samma region som resursen som övervakas om resursen är regional. Diagnostikinställningar kan inte komma åt händelsehubbar när virtuella nätverk är aktiverade. Du måste aktivera Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen i lagringskonton så att tjänsten diagnostikinställningar för Azure Monitor beviljas åtkomst till ditt lagringskonto. Principen för delad åtkomst för händelsehubbens namnområde definierar de behörigheter som strömningsmekanismen har. Direktuppspelning till Event Hubs kräver `Manage`, `Send`och `Listen` behörigheter. Om du vill uppdatera diagnostikinställningen så att den inkluderar strömning måste du ha behörigheten `ListKey` för den händelsehubbens auktoriseringsregel.
Azure Monitor-partnerlösningar	Specialiserade integreringar kan göras mellan Azure Monitor och andra övervakningsplattformar som inte kommer från Microsoft. Lösningarna varierar beroende på partner.	Mer information finns i dokumentationen om Azure Native ISV Services .

Skapa en diagnostikinställning

Du kan skapa en diagnostikinställning med någon av följande metoder.

Note

Information om hur du skapar en diagnostikinställning för aktivitetsloggen finns i Exportera aktivitetslogg.

Använd följande steg för att skapa en ny diagnostikinställning eller redigera en befintlig i Azure-portalen.

Välj antingen Diagnostikinställningar under avsnittet Övervakning i en resurss meny eller välj Diagnostikinställningar under Inställningar på Azure Monitor-menyn och välj sedan resursen.
Välj Lägg till diagnostikinställning för att lägga till en ny inställning eller redigera inställning för att redigera en befintlig. Du kan behöva flera diagnostikinställningar för en resurs om du vill skicka till flera mål av samma typ. I följande exempel visas inställningarna för en nyckelvalvsresurs, men skärmen är liknande för andra resurser.
Ge inställningen ett beskrivande namn om den inte redan har ett.
Loggar och mått som ska dirigeras: För loggar väljer du antingen en kategorigrupp eller markerar de enskilda kryssrutorna för varje kategori av data som du vill skicka till de mål som anges senare. Listan över kategorier varierar för varje Azure-tjänst. Välj AllMetrics om du vill samla in plattformsmått.
Målinformation: Markera kryssrutan för varje mål som ska ingå i diagnostikinställningarna och ange sedan information för var och en. Om du väljer Log Analytics-arbetsyta som mål kan du behöva ange samlingsläget. Mer information finns i Samlingsläge .

Använd cmdleten New-AzDiagnosticSetting för att skapa en diagnostikinställning med Azure PowerShell. I dokumentationen för den här cmdleten finns beskrivningar av dess parametrar.

Important

Du kan inte använda den här metoden för en aktivitetslogg. Använd i stället Skapa diagnostikinställning i Azure Monitor med hjälp av en Azure Resource Manager-mall för att skapa en Resource Manager-mall och distribuera den med PowerShell.

I följande exempel skapar PowerShell-skript en diagnostikinställning för att skicka alla loggar och mått för ett nyckelvalv till en Log Analytics-arbetsyta.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Använd kommandot az monitor diagnostic-settings create för att skapa en diagnostikinställning med Azure CLI. I dokumentationen för det här kommandot finns beskrivningar av dess parametrar.

Important

Du kan inte använda den här metoden för en aktivitetslogg. Använd i stället Skapa diagnostikinställning i Azure Monitor med hjälp av en Resource Manager-mall för att skapa en Resource Manager-mall och distribuera den med Azure CLI.

I följande exempelskript skapas en diagnostikinställning som skickar data till alla tre mål. Om du vill ange resursspecifikt läge om tjänsten stöder det lägger du till parametern export-to-resource-specific med värdet true.'

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Följande exempelmall skapar en diagnostikinställning för att skicka alla granskningsloggar till en log analytics-arbetsyta. apiVersion Kan ändras beroende på resursen i omfånget. Se Resource Manager-mallexempel för diagnostikinställningar i Azure Monitor för exempelmallar för andra resurser.

Mallfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Kategorigrupper

Du kan använda kategorigrupper för att samla in resursloggar baserat på fördefinierade grupper i stället för att välja enskilda loggkategorier. Microsoft definierar grupperingarna för att övervaka vanliga användningsfall. Om kategorierna i gruppen uppdateras ändras loggsamlingen automatiskt. Alla Azure-tjänster använder inte kategorigrupper. Om kategorigrupper inte är tillgängliga för en viss resurs blir alternativet inte tillgängligt när du skapar diagnostikinställningen.

Om du använder kategorigrupper i en diagnostikinställning kan du inte välja enskilda kategorityper. För närvarande finns det två kategorigrupper:

allLogs: alla kategorier för resursen.
granskning: Alla resursloggar som registrerar kundinteraktioner med data eller tjänstens inställningar. Du behöver inte välja den här kategorigruppen om du väljer kategorigruppen allLogs .

Note

Om du aktiverar kategorin Granskning i diagnostikinställningarna för Azure SQL Database aktiveras inte granskning för databasen. Om du vill aktivera databasgranskning måste du aktivera den från granskningsbladet för Azure Database.

Måttbegränsningar

Alla mått kan inte skickas till en Log Analytics-arbetsyta med diagnostikinställningar. Se kolumnen Exporterbar i listan över mått som stöds.

Diagnostikinställningar stöder för närvarande inte flerdimensionella mått. Mått med dimensioner exporteras som utplattade endimensionella mått och aggregeras över dimensionsvärden. Måttet IOReadBytes i en blockkedja kan till exempel utforskas och kartläggas på nivån per nod. När det exporteras med diagnostikinställningar visar det exporterade måttet alla lästa byte för alla noder.

Om du vill kringgå begränsningarna för specifika mått kan du manuellt extrahera dem med hjälp av REST API för mått och sedan importera dem till en Log Analytics-arbetsyta med API:et för logginmatning.

Kontrollera kostnader

Det kan finnas en kostnad för data som samlas in av diagnostikinställningar. Kostnaden beror på vilket mål du väljer och mängden data som samlas in. Mer information finns i Prissättning för Azure Monitor.

Samla bara in de kategorier som du behöver för varje tjänst. Du kanske inte heller vill samla in plattformsmått från Azure-resurser eftersom dessa data redan samlas in i Mått. Konfigurera endast diagnostikdata för att samla in mått om du behöver måttdata på arbetsytan för mer komplex analys med loggfrågor.

Diagnostikinställningar tillåter inte detaljerad filtrering inom en vald kategori. Du kan filtrera data för tabeller som stöds på en Log Analytics-arbetsyta med hjälp av transformeringar. Mer information finns i Transformeringar i Azure Monitor .

Tid innan telemetrin kommer till målet

När du har skapat en diagnostikinställning bör data börja flöda till dina valda mål inom 90 minuter. När du skickar data till en Log Analytics-arbetsyta skapas tabellen automatiskt om den inte redan finns. Tabellen skapas bara när de första loggposterna tas emot. Om du inte får någon information inom 24 timmar kan det bero på något av följande problem:

Inga loggar genereras.
Något är fel i den underliggande routningsmekanismen.

Om du har problem inaktiverar du konfigurationen och kan sedan återanvända den. Kontakta Azure Support via Azure Portal om du fortsätter att ha problem.

Troubleshooting

Måttkategori stöds inte
Du kan få ett felmeddelande som liknar måttkategorin "xxxx" stöds inte när du använder en Resource Manager-mall, REST API, Azure CLI eller Azure PowerShell. Andra måttkategorier än AllMetrics stöds inte förutom ett begränsat antal Azure-tjänster. Ta bort andra måttkategorinamn än AllMetrics och upprepa distributionen.

Inställningen försvinner på grund av icke-ASCII-tecken i resourceID
Diagnostikinställningar stöder inte resurs-ID:t med icke-ASCII-tecken (till exempel Preproduccón). Eftersom du inte kan byta namn på resurser i Azure måste du skapa en ny resurs utan icke-ASCII-tecken. Om tecknen finns i en resursgrupp kan du flytta resurserna till en ny grupp.

Inaktiva resurser
När en resurs är inaktiv och exporterar nollvärdesmått backar exportmekanismen för diagnostikinställningar inkrementellt för att undvika onödiga kostnader för att exportera och lagra nollvärden. Den här tillbakadragningen kan leda till en fördröjning av exporten för nästa icke-nollvärde. Det här beteendet gäller endast exporterade mått och påverkar inte måttbaserade aviseringar eller autoskalning.

När en resurs är inaktiv i en timme backar exportmekanismen till 15 minuter. Det innebär att det finns en potentiell svarstid på upp till 15 minuter för att nästa icke-nollvärde ska exporteras. Den maximala backoff-tiden på två timmar uppnås efter sju dagars inaktivitet. När resursen börjar exportera icke-nollvärden återgår exportmekanismen till den ursprungliga exportfördröjningen på tre minuter.

Duplicera data för Application Insights
Diagnostikinställningar för arbetsytebaserade Application Insights-program samlar in samma data som själva Application Insights. Detta resulterar i att dubbletter av data samlas in om målet är samma Log Analytics-arbetsyta som programmet använder. Skapa en diagnostikinställning för Application Insights för att skicka data till en annan Log Analytics-arbetsyta eller ett annat mål.

Nästa steg

Feedback

Var den här sidan till hjälp?