Diagnoseeinstellungen in Azure Monitor

2025-08-12

Mithilfe von Diagnoseeinstellungen in Azure Monitor können Sie Ressourcenprotokolle sammeln und Plattformmetriken und das Aktivitätsprotokoll an verschiedene Ziele senden. Erstellen Sie eine separate Diagnoseeinstellung für jede Ressource, aus der Sie Daten sammeln möchten. Jede Einstellung definiert die Daten aus der zu erfassenden Ressource und die Ziele, an die diese Daten gesendet werden sollen. In diesem Artikel werden die Details der Diagnoseeinstellungen beschrieben, einschließlich der Erstellung und der Ziele, die für das Senden von Daten verfügbar sind.

Das folgende Video führt Sie durch das Routing von Ressourcenplattformprotokollen mit Diagnoseeinstellungen. Die folgenden Änderungen wurden an den Diagnoseeinstellungen vorgenommen, seit das Video aufgezeichnet wurde, aber diese Themen werden in diesem Artikel behandelt.

Azure Monitor-Partner
Kategoriegruppen

Warning

Löschen Sie alle Diagnoseeinstellungen für eine Ressource, wenn Sie diese Ressource löschen oder umbenennen oder wenn Sie sie über Ressourcengruppen oder Abonnements migrieren. Wenn die Diagnoseeinstellung nicht entfernt wird und diese Ressource neu erstellt wird, können alle Diagnoseeinstellungen für die gelöschte Ressource auf die neue angewendet werden. Dadurch würde die Sammlung von Ressourcenprotokollen fortgesetzt, wie in der Diagnoseeinstellung definiert.

Sources

Diagnoseeinstellungen können Daten aus den Quellen in der folgenden Tabelle sammeln. In jedem verknüpften Artikel finden Sie Ausführliche Informationen zu den daten, die von dieser Quelle und ihrem Format in den einzelnen Zielorten gesammelt wurden.

Datenquelle	Description
Plattformmetriken	Automatisch ohne Konfiguration gesammelt. Verwenden Sie eine Diagnoseeinstellung, um Plattformmetriken an andere Ziele zu senden.
Aktivitätsprotokoll	Automatisch ohne Konfiguration gesammelt. Verwenden Sie eine Diagnoseeinstellung, um Aktivitätsprotokolleinträge an andere Ziele zu senden.
Ressourcenprotokolle	Werden standardmäßig nicht erfasst. Erstellen Sie eine Diagnoseeinstellung zum Sammeln von Ressourcenprotokollen.

Destinations

Diagnoseeinstellungen senden Daten an die Ziele in der folgenden Tabelle. Zur Gewährleistung der Datensicherheit während der Übertragung werden alle Zielendpunkte so konfiguriert, dass sie TLS 1.2 unterstützen.

Mit einer einzelnen Diagnoseeinstellung kann maximal eines der Ziele definiert werden. Wenn Sie Daten an mehrere Ziele eines bestimmten Typs senden möchten (z. B. zwei verschiedene Log Analytics-Arbeitsbereiche), erstellen Sie mehrere Einstellungen. Jede Ressource kann bis zu fünf Diagnoseeinstellungen haben.

Alle Ziele, die von der Diagnoseeinstellung verwendet werden, müssen vorhanden sein, bevor die Einstellung erstellt werden kann. Das Ziel muss sich nicht in demselben Abonnement befinden wie die Ressource, die die Protokolle sendet, wenn der Benutzer, der die Einstellung festlegt, über die entsprechende rollenbasierte Zugriffssteuerung von Azure Zugriff auf beide Abonnements hat. Verwenden Sie Azure Lighthouse, um Ziele in einen anderen Microsoft Entra-Mandanten einzuschließen.

Destination	Description	Requirements
Log Analytics-Arbeitsbereich	Abrufen von Daten mithilfe von Protokollabfragen und Arbeitsmappen. Verwenden Sie Protokollwarnungen , um proaktiv auf Daten hinzuweisen. Siehe Azure Monitor Resource Log-Referenz für die Tabellen, die von verschiedenen Azure-Ressourcen verwendet werden.	Alle Tabellen in einem Log Analytics-Arbeitsbereich werden automatisch erstellt, wenn die ersten Daten an den Arbeitsbereich gesendet werden, sodass nur der Arbeitsbereich selbst vorhanden sein muss.
Azure Storage-Konto	Speichern für Überwachung, statische Analyse oder Sicherung. Speicher kann weniger teuer sein als andere Optionen und kann unbegrenzt aufbewahrt werden. Senden Sie Daten an unveränderlichen Speicher, um ihre Änderung zu verhindern. Legen Sie die unveränderliche Richtlinie für das Speicherkonto fest, wie unter "Festlegen und Verwalten von Unveränderlichkeitsrichtlinien für Azure Blob Storage" beschrieben.	Speicherkonten müssen sich in derselben Region befinden, in der die Ressource überwacht wird, wenn die Ressource regional ist. Diagnoseeinstellungen können nicht auf Speicherkonten zugreifen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewalleinstellung in Speicherkonten umgehen können, damit dem Azure Monitor-Diagnoseeinstellungendienst Zugriff auf Ihr Speicherkonto gewährt wird. Azure DNS-Zonenendpunkte (Vorschau) und alle Premium-Speicherkonten werden nicht als Ziel unterstützt. Alle Standardspeicherkonten werden unterstützt.
Azure Event Hubs	Daten an externe Systeme wie SIEMs von Drittanbietern und andere Log Analytics-Lösungen streamen.	Ereignishubs müssen sich in derselben Region befinden wie die Ressource, die überwacht wird, wenn die Ressource regional ist. Diagnoseeinstellungen können nicht auf Ereignishubs zugreifen, wenn virtuelle Netzwerke aktiviert sind. Sie müssen zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewalleinstellung in Speicherkonten umgehen können, damit dem Azure Monitor-Diagnoseeinstellungendienst Zugriff auf Ihr Speicherkonto gewährt wird. Die Richtlinie für den freigegebenen Zugriff für den Event Hub-Namespace definiert die Berechtigungen, über die der Streamingmechanismus verfügt. Streaming auf Event Hubs erfordert `Manage`, `Send`und `Listen` Berechtigungen. Um die Diagnoseeinstellung so zu aktualisieren, dass streaming einbezogen wird, müssen Sie über die Berechtigung für diese `ListKey` Event Hubs-Autorisierungsregel verfügen.
Azure Monitor-Partnerlösungen	Es können spezielle Integrationen zwischen Azure Monitor und anderen Überwachungsplattformen, die nicht von Microsoft stammen, vorgenommen werden. Die Lösungen variieren je nach Partner.	Ausführliche Informationen finden Sie in der Dokumentation zu Azure Native ISV Services .

Erstellen einer Diagnoseeinstellung

Sie können eine Diagnoseeinstellung mit einer der folgenden Methoden erstellen.

Note

Informationen zum Erstellen einer Diagnoseeinstellung für das Aktivitätsprotokoll finden Sie unter Exportieren des Aktivitätsprotokolls.

Führen Sie die folgenden Schritte aus, um eine neue Diagnoseeinstellung zu erstellen oder eine vorhandene im Azure-Portal zu bearbeiten.

Wählen Sie entweder diagnoseeinstellungen im Abschnitt "Überwachung" des Menüs einer Ressource aus, oder wählen Sie "Diagnoseeinstellungen" im Menü "Azure Monitor" und dann die Ressource aus.
Wählen Sie "Diagnoseeinstellung hinzufügen " aus, um eine neue Einstellung oder Bearbeitungseinstellung hinzuzufügen, um eine vorhandene Einstellung zu bearbeiten. Möglicherweise benötigen Sie mehrere Diagnoseeinstellungen für eine Ressource, wenn Sie an mehrere Ziele desselben Typs senden möchten. Das folgende Beispiel zeigt die Einstellungen für eine Schlüsseltresor-Ressource, aber der Bildschirm ist für andere Ressourcen ähnlich.
Geben Sie Ihrer Einstellung einen aussagekräftigen Namen, wenn sie noch nicht vorhanden ist.
Protokolle und Metriken zum Weiterleiten: Wählen Sie für Protokolle entweder eine Kategoriegruppe aus, oder aktivieren Sie die einzelnen Kontrollkästchen für jede Datenkategorie, die Sie später an die angegebenen Ziele senden möchten. Die Liste der Kategorien unterscheidet sich je nach Azure-Dienst. Wählen Sie "AllMetrics" aus, wenn Sie Plattformmetriken sammeln möchten.
Zieldetails: Aktivieren Sie das Kontrollkästchen für jedes Ziel, das in den Diagnoseeinstellungen enthalten sein soll, und geben Sie dann die Details für jedes Ziel an. Wenn Sie den Log Analytics-Arbeitsbereich als Ziel auswählen, müssen Sie möglicherweise den Sammlungsmodus angeben. Details finden Sie im Sammlungsmodus .

Verwenden Sie das Cmdlet New-AzDiagnosticSetting, um eine Diagnoseeinstellung mit Azure PowerShell zu erstellen. Beschreibungen der zugehörigen Parameter finden Sie in der Dokumentation zu diesem Cmdlet.

Important

Sie können diese Methode nicht für ein Aktivitätsprotokoll verwenden. Gehen Sie stattdessen nach der Methode Erstellen von Diagnoseeinstellungen in Azure Monitor mithilfe einer Azure Resource Manager-Vorlage vor, um eine Resource Manager-Vorlage zu erstellen und mit PowerShell bereitzustellen.

Mit dem folgenden PowerShell-Beispielskript wird eine Diagnoseeinstellung erstellt, um alle Protokolle und Metriken für einen Schlüsseltresor an einen Log Analytics-Arbeitsbereich zu senden.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Verwenden Sie den Befehl az monitor diagnostic-settings create, um eine Diagnoseeinstellung mit der Azure CLI zu erstellen. Beschreibungen der zugehörigen Parameter finden Sie in der Dokumentation zu diesem Befehl.

Important

Sie können diese Methode nicht für ein Aktivitätsprotokoll verwenden. Gehen Sie stattdessen nach der Methode Erstellen von Diagnoseeinstellungen in Azure Monitor mithilfe einer Resource Manager-Vorlage vor, um eine Resource Manager-Vorlage zu erstellen und mit der Azure CLI bereitzustellen.

Das folgende Beispielskript erstellt eine Diagnoseeinstellung, die Daten an alle drei Ziele sendet. Um den ressourcenspezifischen Modus anzugeben, wenn der Dienst ihn unterstützt, fügen Sie den export-to-resource-specific Parameter mit dem Wert von true hinzu.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

Die folgende Beispielvorlage erstellt eine Diagnoseeinstellung, um alle Überwachungsprotokolle an einen Log Analytics-Arbeitsbereich zu senden. Der Wert für apiVersion kann sich je nach Ressource im Bereich ändern. Beispiele für Ressourcen-Manager-Vorlagen finden Sie unter Diagnoseeinstellungen in Azure Monitor für Beispielvorlagen für andere Ressourcen.

Vorlagendatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Parameterdatei

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Kategoriegruppen

Sie können Kategoriegruppen verwenden, um Ressourcenprotokolle basierend auf vordefinierten Gruppierungen zu sammeln, anstatt einzelne Protokollkategorien auszuwählen. Microsoft definiert die Gruppierungen, um häufige Anwendungsfälle zu überwachen. Wenn die Kategorien in der Gruppe aktualisiert werden, wird Ihre Protokollsammlung automatisch geändert. Nicht alle Azure-Dienste verwenden Kategoriegruppen. Wenn Kategoriegruppen für eine bestimmte Ressource nicht verfügbar sind, ist die Option beim Erstellen der Diagnoseeinstellung nicht verfügbar.

Wenn Sie Kategoriegruppen in einer Diagnoseeinstellung verwenden, können Sie keine einzelnen Kategorietypen auswählen. Derzeit gibt es zwei Gruppen von Kategorien:

allLogs: alle Kategorien für die Ressource.
audit: Alle Ressourcenprotokolle, die Kundeninteraktionen mit Daten oder den Einstellungen des Diensts aufzeichnen. Sie müssen diese Kategoriegruppe nicht auswählen, wenn Sie die Kategoriegruppe "allLogs " auswählen.

Note

Durch Aktivieren der Kategorie "Überwachung" in den Diagnoseeinstellungen für die Azure SQL-Datenbank wird die Überwachung für die Datenbank nicht aktiviert. Um die Datenbanküberwachung zu aktivieren, müssen Sie sie auf dem Überwachungsblatt für Azure-Datenbank aktivieren.

Metrikeinschränkungen

Nicht alle Metriken können mit Diagnoseeinstellungen an einen Log Analytics-Arbeitsbereich gesendet werden. Siehe die Spalte "Exportierbar " in der Liste der unterstützten Metriken.

Diagnoseeinstellungen unterstützen derzeit keine mehrdimensionalen Metriken. Metriken mit Dimensionen werden als flache eindimensionale Metriken exportiert und über Dimensionswerte aggregiert. Beispielsweise kann die IOReadBytes-Metrik auf einer Blockchain auf einer Knotenebene untersucht und diagrammiert werden. Beim Export mit Diagnoseeinstellungen zeigt die exportierte Metrik alle Lesebytes für alle Knoten an.

Um die Einschränkungen für bestimmte Metriken zu umgehen, können Sie sie mithilfe der REST-API für Metriken manuell extrahieren und dann in einen Log Analytics-Arbeitsbereich mit der Protokollaufnahme-API importieren.

Kontrolle von Kosten

Es können Kosten für durch Diagnoseeinstellungen gesammelte Daten entstehen. Die Kosten hängen vom gewählten Ziel und dem Umfang der gesammelten Daten ab. Weitere Informationen finden Sie unter Azure Monitor-Preise.

Sammeln Sie nur die Kategorien, die Sie für jeden Dienst benötigen. Sie sollten außerdem keine Plattformmetriken von Azure-Ressourcen sammeln, da diese Daten bereits in Metriken gesammelt werden. Konfigurieren Sie Ihre Diagnosedaten nur dann für die Sammlung von Metriken, wenn Sie Metrikdaten im Arbeitsbereich für komplexere Analysen mit Protokollabfragen benötigen.

Diagnoseeinstellungen lassen keine granulare Filterung innerhalb einer ausgewählten Kategorie zu. Mithilfe von Transformationen können Sie Daten nach unterstützten Tabellen in einem Log Analytics-Arbeitsbereich filtern. Details finden Sie unter Transformationen in Azure Monitor .

Zeit, bis die Telemetrie ans Ziel gelangt

Nachdem Sie eine Diagnoseeinstellung erstellt haben, sollten die Daten innerhalb von 90 Minuten mit dem Fluss zu den ausgewählten Zielen beginnen. Beim Senden von Daten an einen Log Analytics-Arbeitsbereich wird die Tabelle automatisch erstellt, wenn sie noch nicht vorhanden ist. Die Tabelle wird nur erstellt, wenn die ersten Protokolldatensätze empfangen werden. Wenn Sie innerhalb von 24 Stunden keine Informationen erhalten, liegt möglicherweise eines der folgenden Probleme vor:

Es werden keine Protokolle generiert.
Im zugrunde liegenden Routingmechanismus ist ein Fehler aufgetreten.

Wenn ein Problem auftritt, deaktivieren Sie die Konfiguration, und lassen Sie sie dann erneut ausführen. Wenn das Problem weiterhin besteht, wenden Sie sich über das Azure-Portal an den Azure-Support.

Troubleshooting

Die Metrikkategorie wird nicht unterstützt.
Möglicherweise erhalten Sie eine Fehlermeldung wie „Metrikkategorie 'xxxx' wird nicht unterstützt“, wenn Sie eine Resource Manager-Vorlage, die REST-API, Azure CLI oder Azure PowerShell verwenden. Andere Metrikkategorien als AllMetrics werden nicht unterstützt, mit Ausnahme einer begrenzten Anzahl von Azure-Diensten. Entfernen Sie alle Metrikkategorienamen außer AllMetrics und wiederholen Sie die Bereitstellung.

Die Einstellung verschwindet aufgrund von Nicht-ASCII-Zeichen in resourceID.
Diagnoseeinstellungen unterstützen keine Ressourcen-IDs mit Nicht-ASCII-Zeichen (z. B. Preproduccón). Da Sie Ressourcen in Azure nicht umbenennen können, müssen Sie eine neue Ressource ohne Nicht-ASCII-Zeichen erstellen. Wenn sich die Charaktere in einer Ressourcengruppe befinden, können Sie die Ressourcen in eine neue Gruppe verschieben.

Inaktive Ressourcen
Wenn eine Ressource inaktiv ist und Nullwertmetriken exportiert, wird für den Exportmechanismus der Diagnoseeinstellungen ein inkrementelles Backoff ausgeführt, um unnötige Kosten für das Exportieren und Speichern von Nullwerten zu vermeiden. Dieses Backoff kann zu einer Verzögerung beim Export des nächsten Werts ungleich Null führen. Dieses Verhalten gilt nur für exportierte Metriken und wirkt sich nicht auf metrikbasierte Warnungen oder automatische Skalierung aus.

Wenn eine Ressource eine Stunde lang inaktiv ist, wird für den Exportmechanismus ein Backoff auf 15 Minuten ausgeführt. Das bedeutet, dass es eine potenzielle Wartezeit von bis zu 15 Minuten gibt, bis der nächste Wert ungleich null exportiert wird. Die maximale Backoffzeit von zwei Stunden wird nach sieben Tagen Inaktivität erreicht. Sobald die Ressource mit dem Exportieren von Werten ungleich Null beginnt, wird der Exportmechanismus auf die ursprüngliche Exportwartezeit von drei Minuten zurückgesetzt.

Doppelte Daten für Application Insights
Diagnoseeinstellungen für arbeitsbereichbasierte Application Insights-Anwendungen sammeln dieselben Daten wie Anwendungserkenntnisse selbst. Dies führt dazu, dass doppelte Daten gesammelt werden, wenn das Ziel der gleichen Log Analytics-Arbeitsbereich ist, den die Anwendung verwendet. Erstellen Sie eine Diagnoseeinstellung für Anwendungserkenntnisse, um Daten an einen anderen Log Analytics-Arbeitsbereich oder ein anderes Ziel zu senden.