Přehled pracovního prostoru služby Log Analytics
Pracovní prostor služby Log Analytics je jedinečné prostředí pro data protokolů ze služby Azure Monitor a dalších služeb Azure, jako je Microsoft Sentinel a Microsoft Defender for Cloud. Každý pracovní prostor má vlastní úložiště dat a konfiguraci, ale může kombinovat data z více služeb. Tento článek obsahuje přehled konceptů souvisejících s pracovními prostory služby Log Analytics a obsahuje odkazy na další dokumentaci, kde najdete další podrobnosti o jednotlivých pracovních prostorech.
Důležité
V dokumentaci k Microsoft Sentinelu se může zobrazit termín Pracovní prostor Microsoft Sentinelu. Tento pracovní prostor je stejný pracovní prostor služby Log Analytics popsaný v tomto článku, ale je povolený pro Microsoft Sentinel. Všechna data v pracovním prostoru podléhají ceně Služby Microsoft Sentinel, jak je popsáno v části Náklady .
Pro všechna vaše shromažďování dat můžete použít jeden pracovní prostor. Můžete také vytvořit více pracovních prostorů na základě požadavků, jako jsou:
- Zeměpisné umístění dat.
- Přístupová práva, která definují, kteří uživatelé mají přístup k datům.
- Nastavení konfigurace, jako jsou cenové úrovně a uchovávání dat.
Pokud chcete vytvořit nový pracovní prostor, přečtěte si téma Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal. Důležité informace o vytváření více pracovních prostorů najdete v tématu Návrh konfigurace pracovního prostoru služby Log Analytics.
Struktura dat
Každý pracovní prostor obsahuje více tabulek uspořádaných do samostatných sloupců s více řádky dat. Každá tabulka je definována jedinečnou sadou sloupců. Řádky dat poskytnuté zdrojem dat sdílejí tyto sloupce. Dotazy protokolu definují sloupce dat pro načtení a poskytování výstupu různým funkcím služby Azure Monitor a dalším službám, které používají pracovní prostory.
Upozorňující
Názvy tabulek se používají pro účely fakturace, takže by neměly obsahovat citlivé informace.
Náklady
Pro vytvoření nebo údržbu pracovního prostoru nejsou žádné přímé náklady. Poplatky se vám účtují za data odeslaná do ní, což se označuje také jako příjem dat. Účtují se vám poplatky za dobu uložení dat, která se jinak označují jako uchovávání dat. Tyto náklady se můžou lišit v závislosti na datovém plánu protokolů každé tabulky, jak je popsáno v datovém plánu protokolu.
Informace o cenách najdete v tématu o cenách služby Azure Monitor. Pokyny ke snížení nákladů najdete v tématu Osvědčené postupy služby Azure Monitor – Správa nákladů. Pokud používáte pracovní prostor služby Log Analytics s jinými službami než Azure Monitor, přečtěte si dokumentaci k těmto službám s informacemi o cenách.
DcR transformace pracovního prostoru
Pravidla shromažďování dat (DCR), která definují data přicházející do služby Azure Monitor, můžou zahrnovat transformace, které umožňují filtrovat a transformovat data před jejich ingestování do pracovního prostoru. Vzhledem k tomu, že všechny zdroje dat zatím nepodporují řadiče domény, může mít každý pracovní prostor transformační řadič domény pracovního prostoru.
Transformace v dcR transformace pracovního prostoru jsou definovány pro každou tabulku v pracovním prostoru a vztahují se na všechna data odesílaná do této tabulky, i když se odesílají z více zdrojů. Tyto transformace platí jenom pro pracovní postupy, které ještě nepoužívají řadič domény. Například agent Azure Monitoru používá řadič domény k definování dat shromážděných z virtuálních počítačů. Tato data nebudou podléhat žádným transformacím v čase příjmu dat definovaným v pracovním prostoru.
Můžete mít například nastavení diagnostiky, která odesílají protokoly prostředků pro různé prostředky Azure do vašeho pracovního prostoru. Můžete vytvořit transformaci tabulky, která shromažďuje protokoly prostředků, které filtrují tato data pouze pro požadované záznamy. Tato metoda šetří náklady na příjem dat u záznamů, které nepotřebujete. Můžete také chtít extrahovat důležitá data z určitých sloupců a uložit je do jiných sloupců v pracovním prostoru, aby se podporovaly jednodušší dotazy.
Uchovávání a archivace dat
Data v každé tabulce v pracovním prostoru služby Log Analytics se uchovávají po určitou dobu, po kterou se buď odeberou, nebo archivují s nižším poplatkem za uchovávání informací. Nastavte dobu uchovávání dat, abyste měli k dispozici data a snížili tak náklady na uchovávání dat.
Pokud chcete získat přístup k archivovaným datům, musíte nejprve načíst data z tabulky analytických protokolů pomocí jedné z následujících metod:
| metoda | Popis |
|---|---|
| Úlohy hledání | Načtěte data odpovídající konkrétním kritériím. |
| Obnovení | Načítá data z určitého časového rozsahu. |
Oprávnění
Oprávnění pro přístup k datům v pracovním prostoru služby Log Analytics je definováno režimem řízení přístupu, což je nastavení pro každý pracovní prostor. Uživatelům můžete udělit explicitní přístup k pracovnímu prostoru pomocí předdefinované nebo vlastní role. Nebo můžete uživatelům s přístupem k těmto prostředkům povolit přístup k datům shromážděným pro prostředky Azure.
Informace o různých možnostech oprávnění a konfiguraci oprávnění najdete v tématu Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor .
Další kroky
- Vytvořte nový pracovní prostor služby Log Analytics.
- Informace o vytváření více pracovních prostorů najdete v tématu Návrh konfigurace pracovního prostoru služby Log Analytics.
- Seznamte se s dotazy na protokoly pro načítání a analýzu dat z pracovního prostoru služby Log Analytics.