跳至主要内容

Workspace

設定用戶端自動收集監控資源、服務、與應用程式紀錄

準備工作:請洽經銷商技術顧問協助,此處需要 MCB Central Service Bus Send Only Connection String (MCB連線密語字串) 備用,然後進行下列步驟。

重要觀念 監控收集的服務或是資源,必須與 Log Analytics Workspace 在相同的 Location,例如:useast 與 japaneast 都有服務,在此處就需在個別 Location 建置 Log Analytics Workspace,各自在該 Location 下啟用診斷監測,收集到各自的 Log Analytics Workspace

1. 用戶登入Azure Portal,進行用戶端監控服務配置

執行下列建置前,請洽經銷商技術顧問協助取得 MCB Central Service Bus Send Only 連線密語字串,可參見官網介紹

  • 執行下列整合式部署,將自動新建收集診斷監測的工作區 Log Analytics Workspace 的所有相關資源與服務,並配置相關功能
  • Deploy to Azure
  • 自動堆疊部署下列資源:
    1. 新建 CmpSystemGroup 資源群組
    2. 新建收集診斷監測的工作區 Log Analytics Workspace 並配置相關功能
      • 設定 Log Analytics Workspace,此值為全域唯一
      • 新建 Log Analytics Workspace
      • 啟動 Workspace 診斷監測
      • 啟用 VMInsight Solution
    3. 啟用訂閱層工作區診斷監測 Monitor Diagnostic Setting
    4. 建立與 MCB 訊息服務中心的連線,建立兩個應用程式分別轉發 Azure Alert 與 MCB Monitor Portal Alert 告警訊息到 MCB Portal 事件中心,並啟用診斷監控
      • 需填入上述提及的 MCB Central Service Bus Send Only 連線密語字串
      • 建立 MCB-ServiceBusConnection 連接 MCB 訊息服務中心。
      • 建立 MCB-AzureAlertToServiceBus Logic App 並啟動診斷監控,轉發 Azure Alert 到 MCB 訊息服務中心。
      • 產生 ForwardToMCB-ActionGroup 讓 Azure Alert 設定驅動轉發。
      • 建立 MCB-RoutedIntoServiceBus Logic App 並啟動診斷監控
      • 重要回傳資訊,複製暫存,用於後續設定
        • actionGroupIdFromLinked: 整合自訂 Azure Alert 設定時,可指名加入此 ForwardToMCB-ActionGroup 為通知對象,即可整合傳送訊息到 MCB Portal 事件中心
        • logicAppUrlFromLinked: 整合 MCB Portal 監控服務通知功能時,所使用的 Azure Logic App 「MCB-RoutedIntoServiceBus」Web hook URL
        • deployment-output.png

2. 授權 MCB Monitor Portal 遠端讀取監控資料

開啟 Cloud Shell,進入 PowerShell Consol

若不知道 Cloud Shell 可參考官方設定教學

下載 AzureADApplication.ps1 填入欲執行的 Subscription Id,然後上載 Cloud Shell 執行 AzureADApplication.ps1

  • 另存檔案下載 AzureADApplication.ps1
  • 打開該檔,請先取代欲執行的 Subscription Id 的值 <replace-your-subscription-Id-in-here>
  • 然後上傳 AzureADApplication.ps1 到 Cloud Shell
  • cloudshell-1.png
  • 先執行 Connect-AzureAD 指令,連結 AD
  • 再執行 AzureADApplication.ps1
  • cloudshell-2.png
  • 自動完成下列的功能設定
    • 使用 Microsoft身分識別平台註冊 MCB Monitor 應用程式
      • 此功能是讓用戶端 Azure 與 MCB Monitor應用程式產生信任關係,方能進行遠端調用監控資訊 Reference from Azure Docs
    • 註冊 MCB Monitor Portal 應用程式
      • 註冊 MCB Monitor Portal 應用程式與租用戶的 Microsoft 身分識別平台之間建立信任關係。
      • 產生 MCB Monitor 應用程式用戶端ID、租用戶ID與密碼,請記錄留存
      • 設定 MCB Monitor 應用程式存取的資源與功能

執行完成產生一次性的資訊供後續設定使用

  • cloudshell-3.png
  • Directory (tenant) ID
  • Application (client) ID
  • Client secret 此值在您離開執行頁面後就「不會再次顯示」,若忘記,僅能重新產生 -->

故障排除

1. 忘記應用程式用戶端密碼,重新產生

  • 在 Azure 入口網站的「應用程式註冊」中,選取上述應用程式 mon.mcloud.cht.com.tw
  • 選取 Certificates & secrets.
  • 選取 Client secrets -> New client secret.
    • 新增用戶端密碼的描述 : mon.mcloud.cht.com.tw
    • 選取持續時間 : Never
    • 選取 「新增」
    • 記錄 Client secrets 產生的 Value (非ID) 稍後需用於 MCB 用戶端監視服務功能設定 - 此值在您離開此頁面後就「不會再次顯示」,若忘記,僅能重新產生

2.檢查 MCB Monitor 應用程式存取額外的資源與功能

  • 回到 [Azure Active Directory]
  • 在 「管理」下選取 「應用程式註冊」,在應用程式註冊 中,選取上述應用程式 mon-mcloud-cht-com-tw
  • 選取左列管理的 API permissions
  • 新增一個 permission 選 APIs my organization uses
  • 選擇下方 Log Analytics API 點擊進入設定
  • 選擇 Delegated permissions
    • 勾選 Data.Read / Read Log Analytics data as user
  • Add permissions 完成該項權限設定
  • 依照上列方法,可自行增加其他監控完權限設定,例如 Azure Stroage

3. 下一步,請洽經銷商技術顧問協助設定 MCB Monitor Portal

  • 經銷商技術顧問 (需具維運管理權限) 登入 MCB Monitor Portal,設定進階監控 Monitor 資料來源服務 由此處進入
  1. 上一節 logicAppUrlFromLinked : 整合 MCB Portal 監控服務通知功能時,所使用的 Azure Logic App 「MCB-RoutedIntoServiceBus」Web hook URL 請保存備用 -->
最後 更新