نظرة عامة على مساحة عمل Log Analytics
مساحة عمل Log Analytics هي بيئة فريدة لبيانات السجل من Azure Monitor وخدمات Azure الأخرى، مثل Microsoft Sentinel وMicrosoft Defender for Cloud. تحتوي كل مساحة عمل على مستودع بيانات وتكوين خاص بها، ولكنها قد تدمج البيانات من خدمات متعددة. تقدم هذه المقالة نظرة عامة على المفاهيم المتعلقة بمساحات عمل Log Analytics وتوفر روابط لوثائق أخرى لمزيد من التفاصيل بشأن كل منها.
هام
قد ترى المصطلح Microsoft Sentinel workspace المستخدم في وثائق Microsoft Sentinel. مساحة العمل هذه هي نفس مساحة عمل Log Analytics الموضحة في هذه المقالة، لكنها ممكّنة لـ Microsoft Sentinel. تخضع جميع البيانات الموجودة في مساحة العمل لأسعار Microsoft Sentinel كما هو موضح في قسم Cost.
يمكنك استخدام مساحة عمل واحدة لجميع عمليات جمع البيانات الخاصة بك. يمكنك أيضاً إنشاء مساحات عمل متعددة بناءً على متطلبات مثل:
- الموقع الجغرافي للبيانات.
- حقوق الوصول التي تحدد المستخدمين الذين يمكنهم الوصول إلى البيانات.
- إعدادات التكوين مثل مستويات الأسعار واستبقاء البيانات.
لإنشاء، راجع Create a Log Analytics workspace in the Azure portal. لاعتبارات تتعلق بإنشاء مساحات عمل متعددة، راجع تصميم تكوين مساحة عمل Log Analytics.
بنية البيانات
تحتوي كل مساحة عمل على جداول متعددة يتم تنظيمها في أعمدة منفصلة مع سجلات متعددة من البيانات. يتم تعريف كل جدول بواسطة مجموعة مميزة من الأعمدة. سجلات البيانات التي يوفرها مصدر بيانات مشاركة هذه الأعمدة. تحدد استعلامات السجل أعمدة البيانات لاسترداد وتقديم مخرجات لميزات مختلفة في Azure Monitor والخدمات الأخرى التي تستخدم مساحات العمل.
تحذير
يتم استخدام أسماء الجداول لأغراض الفوترة حتى لا تحتوي على معلومات حساسة.
التكلفة
لا توجد تكلفة مباشرة لإنشاء مساحة عمل أو صيانتها. يتم تحصيل رسوم منك مقابل البيانات المرسلة إليها، والتي تُعرف أيضاً باسم استيعاب البيانات. تتم محاسبتك على المدة التي يتم فيها تخزين هذه البيانات، والتي تُعرف باسم استبقاء البيانات. قد تختلف هذه التكاليف استنادا إلى خطة بيانات السجل لكل جدول، كما هو موضح في خطة بيانات السجل.
للحصول على معلومات بشأن الأسعار، راجع أسعار Azure Monitor. للحصول على إرشادات بشأن كيفية تقليل التكاليف، راجع أفضل ممارسات مراقبة Azure - إدارة التكلفة. إذا كنت تستخدم مساحة عمل Log Analytics الخاصة بك مع خدمات أخرى غير Azure Monitor، فراجع الوثائق الخاصة بهذه الخدمات للحصول على معلومات الأسعار.
تحويل مساحة عمل DCR
قواعد جمع البيانات (DCRs) التي تحدد البيانات الواردة إلى Azure Monitor قد تشمل عمليات تحويل تسمح لك بتصفية البيانات وتحويلها قبل إدخالها في مساحة العمل. نظرًا لأن جميع مصادر البيانات لا تدعم حتى الآن DCRs، يمكن أن تحتوي كل مساحة عمل على DCR لتحويل مساحة العمل.
يتم تعريف التحويلات في تحويل مساحة العمل DCR لكل جدول في مساحة عمل وتنطبق على جميع البيانات المرسلة إلى هذا الجدول، حتى إذا تم إرسالها من مصادر متعددة. لا تنطبق تحويلات وقت العرض إلا على مهام سير العمل التي لا تستخدم DCR بالفعل. على سبيل المثال، يستخدم عامل Azure Monitor DCR لتحديد البيانات التي تم جمعها من الأجهزة الظاهرية. لن تخضع هذه البيانات لأي تحويلات وقت استيعاب محددة في مساحة العمل.
على سبيل المثال، قد يكون لديك إعدادات التشخيص التي ترسل سجلات الموارد لموارد Azure المختلفة إلى مساحة عملك. يمكنك إنشاء تحويل للجدول الذي يجمع سجلات الموارد التي تقوم بتصفية هذه البيانات للسجلات التي تريدها فقط. توفر لك هذه الطريقة تكلفة الاستيعاب للسجلات التي لا تحتاج إليها. قد ترغب أيضاً في استخراج البيانات المهمة من أعمدة معينة وتخزينها في أعمدة أخرى في مساحة العمل لدعم استعلامات أبسط.
استبقاء بالبيانات وأرشفتها
يتم الاحتفاظ بالبيانات الموجودة في كل جدول في مساحة عمل Log Analytics لفترة زمنية محددة تتم بعدها إما إزالتها أو أرشفتها برسوم احتفاظ مخفضة. قم بتعيين وقت الاستبقاء لموازنة متطلباتك لتوفير البيانات مع تقليل تكلفة استبقاء البيانات.
للوصول إلى البيانات المؤرشفة، يجب عليك أولاً استرداد البيانات منها في جدول سجلات Analytics باستخدام إحدى الطرق التالية:
| الطريقة | الوصف |
|---|---|
| مهام البحث | استرجاع البيانات المطابقة لمعايير معينة. |
| استعاده | استرجاع البيانات من نطاق زمني معين. |
الأذونات
يتم تحديد إذن الوصول إلى البيانات في مساحة عمل Log Analytics من خلال وضع التحكم في الوصول، وهو إعداد في كل مساحة عمل. يمكنك منح المستخدمين وصولاً صريحاً إلى مساحة العمل باستخدام دور مضمن أو مخصص. أو يمكنك السماح بالوصول إلى البيانات التي تم جمعها لموارد Azure للمستخدمين الذين لديهم حق الوصول إلى هذه الموارد.
راجع إدارة الوصول إلى بيانات السجل ومساحات العمل في Azure Monitor للحصول على معلومات بشأن خيارات الأذونات المختلفة وكيفية تكوين الأذونات.
الخطوات التالية
- إنشاء مساحة عمل جديدة لبرنامج Log Analytics.
- راجع تصميم تكوين مساحة عمل Log Analytics لاعتبارات تتعلق بإنشاء مساحات عمل متعددة.
- تعرف على استعلامات السجل لاسترداد البيانات وتحليلها من مساحة عمل Log Analytics.