Impostazioni diagnostiche di Azure Monitor

2025-08-12

Le impostazioni di diagnostica in Monitoraggio di Azure consentono di raccogliere i log delle risorse e di inviare metriche della piattaforma e il log attività a destinazioni diverse. Creare un'impostazione di diagnostica separata per ogni risorsa da cui raccogliere i dati. Ogni impostazione definisce i dati della risorsa a cui raccogliere e le destinazioni a cui inviare tali dati. Questo articolo descrive i dettagli delle impostazioni di diagnostica, tra cui come crearle e le destinazioni disponibili per l'invio di dati.

Il video seguente illustra i log della piattaforma delle risorse di routing con le impostazioni di diagnostica. Le modifiche seguenti sono state apportate alle impostazioni di diagnostica dal momento della registrazione del video, ma questi argomenti sono descritti in questo articolo.

Partner di Monitoraggio di Azure
Gruppi di categorie

Warning

Eliminare le impostazioni di diagnostica per una risorsa se si elimina o si rinomina tale risorsa oppure se la si esegue la migrazione tra gruppi di risorse o sottoscrizioni. Se l'impostazione di diagnostica non viene rimossa e questa risorsa viene ricreata, è possibile applicare le impostazioni di diagnostica per la risorsa eliminata a quella nuova. In questo modo verrà ripresa la raccolta di log delle risorse, come definito nell'impostazione di diagnostica.

Sources

Le impostazioni di diagnostica possono raccogliere dati dalle origini nella tabella seguente. Per informazioni dettagliate sui dati raccolti da tale origine e sul relativo formato in ogni destinazione, vedere ogni articolo collegato.

L'origine dei dati	Description
Metriche della piattaforma	Raccolta automatica senza configurazione. Usare un'impostazione di diagnostica per inviare le metriche della piattaforma ad altre destinazioni.
Registro delle attività	Raccolta automatica senza configurazione. Usare un'impostazione di diagnostica per inviare le voci del log attività ad altre destinazioni.
Log delle risorse	Non vengono raccolti per impostazione predefinita. Creare un'impostazione di diagnostica per raccogliere i log delle risorse.

Destinations

Le impostazioni di diagnostica inviano dati alle destinazioni nella tabella seguente. Per garantire la sicurezza dei dati in transito, tutti gli endpoint di destinazione sono configurati per supportare TLS 1.2.

Una singola impostazione di diagnostica può definire al massimo una destinazione di ogni tipo. Se si vogliono inviare i dati a più di un tipo di destinazione specifico (ad esempio, due aree di lavoro Log Analytics diverse), creare più impostazioni. Ogni risorsa può avere fino a cinque impostazioni di diagnostica.

Tutte le destinazioni usate dall'impostazione di diagnostica devono esistere prima di poter creare l'impostazione. La destinazione non deve trovarsi nella stessa sottoscrizione della risorsa che invia i log se l’utente che configura l'impostazione ha un accesso basato su Controllo degli accessi in base al ruolo di Azure appropriato a entrambe le sottoscrizioni. Usare Azure Lighthouse per includere le destinazioni in un altro tenant di Microsoft Entra.

Destination	Description	Requirements
Area di lavoro Log Analytics	Recuperare i dati usando query di log e cartelle di lavoro. Usare gli avvisi del log per inviare avvisi proattivi sui dati. Vedere Informazioni di riferimento sul log delle risorse di Monitoraggio di Azure per le tabelle usate da risorse di Azure diverse.	Tutte le tabelle in un'area di lavoro Log Analytics vengono create automaticamente quando i primi dati vengono inviati all'area di lavoro, quindi solo l'area di lavoro stessa deve esistere.
Account di archiviazione Azure	Archiviare per il controllo, l'analisi statica o il backup. L'archiviazione può essere meno costosa rispetto ad altre opzioni e può essere mantenuta a tempo indeterminato. Inviare dati a una risorsa di archiviazione non modificabile per impedirne la modifica. Impostare il criterio non modificabile per l'account di archiviazione come descritto in Impostare e gestire i criteri di immutabilità per Archiviazione BLOB di Azure.	Gli account di archiviazione devono trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli account di archiviazione quando le reti virtuali sono abilitate. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Gli endpoint della zona DNS di Azure (anteprima) e gli account di archiviazione Premium non sono supportati come destinazione. Tutti gli account di archiviazione Standard sono supportati.
Hub eventi di Azure	Trasmettere dati a sistemi esterni, ad esempio SIEM di terze parti e altre soluzioni di Log Analytics.	Gli hub eventi devono trovarsi nella stessa area della risorsa monitorata se la risorsa è a livello di area. Le impostazioni di diagnostica non possono accedere agli hub eventi quando sono abilitate le reti virtuali. È necessario abilitare Consenti ai servizi Microsoft attendibili di ignorare questa impostazione del firewall negli account di archiviazione in modo che al servizio Impostazioni di diagnostica di Monitoraggio di Azure venga concesso l'accesso all'account di archiviazione. Il criterio di accesso condiviso per lo spazio dei nomi hub eventi definisce le autorizzazioni per il meccanismo di trasmissione. Le operazioni di streaming verso Event Hubs richiedono le autorizzazioni `Manage`, `Send` e `Listen`. Per aggiornare l'impostazione di diagnostica per includere lo streaming, è necessario disporre dell'autorizzazione `ListKey` per tale regola di autorizzazione di Hub eventi.
Monitoraggio Azure delle soluzioni dei partner	È possibile eseguire integrazioni specializzate tra Monitoraggio di Azure e altre piattaforme di monitoraggio non Microsoft. Le soluzioni variano in base al partner.	Per informazioni dettagliate, vedere la documentazione di Servizi ISV nativi di Azure .

Creare un'impostazione di diagnostica

È possibile creare un'impostazione di diagnostica usando uno dei metodi seguenti.

Note

Per creare un'impostazione di diagnostica per il log attività, vedere Esportare il log attività.

Usare la procedura seguente per creare una nuova impostazione di diagnostica o modificarne una esistente nel portale di Azure.

Selezionare Impostazioni di diagnostica nella sezione Monitoraggio del menu di una risorsa oppure selezionare Impostazioni di diagnostica in Impostazioni nel menu Monitoraggio di Azure e quindi selezionare la risorsa.
Selezionare Aggiungi impostazione di diagnostica per aggiungere una nuova impostazione o Modifica per modificarne una esistente. Se si desidera inviare a più destinazioni dello stesso tipo, potrebbero essere necessarie più impostazioni di diagnostica per una risorsa. L'esempio seguente mostra le impostazioni per una risorsa Key Vault, ma la schermata è simile per altre risorse.
Assegnare all'impostazione un nome descrittivo se non ne ha già uno.

Note

Le categorie variano per i diversi tipi di risorse di Azure. Questo screenshot mostra un esempio di Key Vault. Altri tipi di risorse avranno un set diverso di categorie.
Log e metriche da instradare: per i log scegliere un gruppo di categorie o selezionare le singole caselle di controllo per ogni categoria di dati da inviare alle destinazioni specificate in un secondo momento. L'elenco delle categorie varia per ogni servizio di Azure. Selezionare AllMetrics se si desidera raccogliere le metriche della piattaforma.
Dettagli destinazione: selezionare la casella di controllo per ogni destinazione che deve essere inclusa nelle impostazioni di diagnostica e quindi specificare i dettagli per ogni destinazione. Se si seleziona l'area di lavoro Log Analytics come destinazione, potrebbe essere necessario specificare la modalità di raccolta. Per informazioni dettagliate, consultare Modalità raccolta.

Usare il cmdlet New-AzDiagnosticSetting per creare un'impostazione di diagnostica con Azure PowerShell. Per una descrizione dei parametri, vedere la documentazione di questo cmdlet.

Important

Non è possibile usare questo metodo per un log attività. In alternativa, usare Crea impostazione di diagnostica in Monitoraggio di Azure usando un modello di Azure Resource Manager per creare un modello di Resource Manager e distribuirlo con PowerShell.

Lo script di PowerShell di esempio seguente crea un'impostazione di diagnostica per inviare tutti i log e le metriche per un Key Vault a una workspace di Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Usare il comando az monitor diagnostic-settings create per creare un'impostazione di diagnostica con l'interfaccia della riga di comando di Azure. Vedere la documentazione per questo comando per le descrizioni dei relativi parametri.

Important

Lo script di esempio seguente crea un'impostazione di diagnostica che invia dati a tutte e tre le destinazioni. Per specificare la modalità specifica della risorsa se supportata dal servizio, aggiungere il export-to-resource-specificparametro con il valore true.`

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Il modello di esempio seguente crea un'impostazione di diagnostica per inviare tutti i log di controllo a un'area di lavoro Log Analytics. Il apiVersion può cambiare a seconda della risorsa nel contesto. Vedere Esempi di modelli di Resource Manager per le impostazioni di diagnostica in Monitoraggio di Azure per modelli di esempio per altre risorse.

Modello di file

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

File di parametri

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Gruppi di categorie

È possibile usare i gruppi di categorie per raccogliere i log delle risorse in base a raggruppamenti predefiniti anziché selezionare singole categorie di log. Microsoft definisce i raggruppamenti per monitorare i casi d'uso comuni. Se le categorie nel gruppo vengono aggiornate, la raccolta di log viene modificata automaticamente. Non tutti i servizi di Azure usano gruppi di categorie. Se i gruppi di categorie non sono disponibili per una determinata risorsa, l'opzione non sarà disponibile durante la creazione dell'impostazione di diagnostica.

Se si usano gruppi di categorie in un'impostazione di diagnostica, non è possibile selezionare singoli tipi di categoria. Attualmente sono disponibili due gruppi di categorie:

allLogs: tutte le categorie per la risorsa.
audit: tutti i log delle risorse che registrano le interazioni con i clienti con i dati o le impostazioni del servizio. Non è necessario selezionare questo gruppo di categorie se si seleziona il gruppo di categorie allLogs .

Note

L'abilitazione della categoria Audit nelle impostazioni di diagnostica per il database SQL di Azure non attiva il controllo per il database. Per abilitare il controllo del database, è necessario abilitarlo dal pannello di controllo per Database di Azure.

Limitazioni delle metriche

Non tutte le metriche possono essere inviate a un'area di lavoro Log Analytics con impostazioni di diagnostica. Vedere la colonna Esportabilenell'elenco delle metriche supportate.

Le impostazioni di diagnostica attualmente non supportano le metriche multidimensionali. Le metriche con dimensioni sono esportate come metriche a singola dimensione di tipo flat e aggregate a livello di valori di dimensione. Ad esempio, la metrica IOReadBytes su una blockchain può essere esaminata e tracciata a livello di nodo. Se esportato con le impostazioni di diagnostica, la metrica esportata mostra tutti i byte di lettura per tutti i nodi.

Per ovviare alle limitazioni per metriche specifiche, è possibile estrarli manualmente usando l'API REST Metrics e quindi importarli in un'area di lavoro Log Analytics con l'API di inserimento log.

Controllo dei costi

Potrebbe essere previsto un costo per i dati raccolti dalle impostazioni di diagnostica. Il costo dipende dalla destinazione scelta e dal volume di dati raccolti. Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Raccogliere solo le categorie necessarie per ogni servizio. È anche possibile scegliere di non raccogliere le metriche della piattaforma dalle risorse di Azure perché questi dati vengono già raccolti in Metriche. Configurare i dati di diagnostica per raccogliere le metriche solo se sono necessari dati sulle metriche nell'area di lavoro per un'analisi più complessa con query di log.

Le impostazioni di diagnostica non consentono filtri granulari all'interno di una categoria selezionata. È possibile filtrare i dati per le tabelle supportate in un'area di lavoro Log Analytics usando trasformazioni. Per informazioni dettagliate, vedere Trasformazioni in Monitoraggio di Azure .

Il tempo prima che i dati di telemetria arrivino alla destinazione

Dopo aver creato un'impostazione di diagnostica, i dati devono iniziare a passare alle destinazioni selezionate entro 90 minuti. Quando si inviano dati a un'area di lavoro Log Analytics, la tabella viene creata automaticamente se non esiste già. La tabella viene creata solo dopo la ricezione dei primi record del log. Se non si ottengono informazioni entro 24 ore, è possibile che si sia verificato uno dei problemi seguenti:

Non vengono generati log.
Si è verificato un errore nel meccanismo di routing sottostante.

Se si verifica un problema, disabilitare la configurazione e quindi riabilitarla. Se continuano a verificarsi problemi, contattare il supporto tecnico di Azure tramite il portale di Azure.

Troubleshooting

Categoria di metriche non supportata
È possibile che venga visualizzato un messaggio di errore simile alla categoria metrica 'xxxx' non supportato quando si usa un modello di Resource Manager, l'API REST, l'interfaccia della riga di comando di Azure o Azure PowerShell. Le categorie di metriche diverse da AllMetrics non sono supportate, ad eccezione di un numero limitato di servizi di Azure. Rimuovere qualsiasi nome di categoria delle metriche diverso da AllMetrics e ripetere la distribuzione.

L'impostazione scompare a causa di caratteri non ASCII in resourceID
Le impostazioni di diagnostica non supportano gli ID risorse con caratteri non ASCII, ad esempio Preproduccón. Poiché non è possibile rinominare le risorse in Azure, è necessario creare una nuova risorsa senza i caratteri non ASCII. Se i caratteri si trovano in un gruppo di risorse, è possibile spostare le risorse in un nuovo gruppo.

Risorse inattive
Quando una risorsa è inattiva ed esporta metriche con valore zero, il meccanismo di esportazione delle impostazioni di diagnostica si riduce in modo incrementale per evitare i costi non necessari di esportazione e archiviazione dei valori zero. Questo rallentamento può causare un ritardo nell'esportazione del prossimo valore non nullo. Questo comportamento si applica solo alle metriche esportate e non influisce sugli avvisi basati sulle metriche o sulla scalabilità automatica.

Se una risorsa rimane inattiva per un'ora, il meccanismo di esportazione si riduce a 15 minuti. Ciò significa che esiste una latenza potenziale fino a 15 minuti per l'esportazione del prossimo valore diverso da zero. Il tempo massimo di backoff di due ore viene raggiunto dopo sette giorni di inattività. Quando la risorsa inizia a esportare valori diversi da zero, il meccanismo di esportazione torna alla latenza di esportazione originale di tre minuti.

Duplicare i dati per Application Insights
Le impostazioni di diagnostica per le applicazioni Application Insights basate sull'area di lavoro raccolgono gli stessi dati di Application Insights. Ciò comporta la raccolta di dati duplicati se la destinazione è la stessa area di lavoro Log Analytics usata dall'applicazione. Creare un'impostazione di diagnostica per Application Insights per inviare dati a un'area di lavoro Log Analytics diversa o a un'altra destinazione.

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?