Perspektiva azure Well-Architected Frameworku ve službě Log Analytics
funkce a výkon úloh Well-Architected Framework musí být monitorovány různými způsoby a z různých důvodů. Pracovní prostory Služby Azure Monitor Log Analytics jsou primární jímkou protokolů a metrik pro velkou část dat monitorování. Pracovní prostory podporují ve službě Azure Monitor několik funkcí, včetně dotazů ad hoc, vizualizací a upozornění. Obecné principy monitorování najdete v tématu Pokyny k monitorování a diagnostice. Pokyny představují obecné zásady monitorování. Identifikuje různé typy dat. Identifikuje požadovanou analýzu, kterou Azure Monitor podporuje, a také identifikuje data uložená v pracovním prostoru, která umožňují analýzu.
Tento článek předpokládá, že rozumíte principům návrhu systému. Potřebujete také funkční znalost pracovních prostorů a funkcí služby Log Analytics ve službě Azure Monitor, které naplní data provozních úloh. Další informace najdete v tématu Přehled pracovního prostoru služby Log Analytics.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu , který představuje oblasti zájmu o architekturu spolu se strategiemi návrhu lokalizovanými do oboru technologie.
Součástí jsou také doporučení týkající se technologických možností nebo topologií nasazení, která můžou pomoct tyto strategie materializovat. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro pracovní prostory služby Log Analytics a související prostředky služby Azure Monitor. Místo toho vypisují klíčová doporučení mapovaná na perspektivy návrhu. Využijte doporučení k vytvoření testování konceptu, návrhu prostředí pro monitorování úloh nebo optimalizaci stávajícího řešení monitorování úloh.
Rozsah technologie
Tato příručka se zaměřuje na vzájemně související rozhodnutí pro následující prostředky Azure.
- Pracovní prostory služby Log Analytics
- Data provozního protokolu úloh
- Nastavení diagnostiky prostředků Azure ve vaší úloze
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržité funkce tím, že se vytváří dostatečná odolnost a schopnost rychle se zotavit z selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu na vysoké úrovni, která se používá pro jednotlivé komponenty, systémové toky a systém jako celek.
Situace spolehlivosti, které je potřeba zvážit u pracovních prostorů služby Log Analytics, jsou:
- Dostupnost pracovního prostoru.
- Ochrana shromážděných dat ve výjimečných případech selhání datacentra Nebo oblasti Azure
V současné době neexistuje žádná standardní funkce pro převzetí služeb při selhání mezi pracovními prostory v různých oblastech, ale existují strategie, které je potřeba použít, pokud máte konkrétní požadavky na dostupnost nebo dodržování předpisů.
Kontrolní seznam návrhu pro spolehlivost
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost a určete její relevanci pro vaše obchodní požadavky a přitom mějte na paměti skladové položky a funkce virtuálních počítačů a jejich závislostí. Rozšiřte strategii tak, aby zahrnovala další přístupy podle potřeby.
- Zkontrolujte limity služeb pro pracovní prostory služby Log Analytics. Oddíl limity služeb vám pomůže porozumět omezením shromažďování a uchovávání dat a dalším aspektům služby. Tato omezení vám pomůžou určit, jak správně navrhnout strategii pozorovatelnosti úloh. Nezapomeňte si projít limity služby Azure Monitor , protože řada funkcí, které jsou v něm popsány, jako jsou dotazy, funguje s pracovními prostory služby Log Analytics.
- Naplánujte odolnost a obnovení pracovního prostoru. Pracovní prostory služby Log Analytics jsou regionální, bez integrované podpory redundance nebo replikace mezi oblastmi. Možnosti redundance zóny dostupnosti jsou také omezené. Proto byste měli určit požadavky na spolehlivost vašich pracovních prostorů a strategii pro splnění těchto cílů. Vaše požadavky můžou stanovit, že váš pracovní prostor musí být odolný vůči selháním datacentra nebo oblastním selháním, nebo že musíte být schopni obnovit data do nového pracovního prostoru v oblasti převzetí služeb při selhání. Každý z těchto scénářů vyžaduje, aby byly zavedeny další prostředky a procesy, aby byly úspěšné, a proto byste měli pečlivě zvážit vyvážení cílů spolehlivosti s náklady a složitostí.
- Zvolte správné oblasti nasazení, které splňují vaše požadavky na spolehlivost. Nasaďte pracovní prostor služby Log Analytics a koncové body shromažďování dat (DCE) umístěné společně se součástmi úloh, které generují provozní data. Vaše volba oblasti, ve které se má pracovní prostor a vaše řadiče domény nasadit, by měla být informována podle toho, kde úlohu nasazujete. Možná budete muset zvážit regionální dostupnost určitých funkcí Log Analytics, jako jsou vyhrazené clustery, s dalšími faktory, které jsou pro požadavky na spolehlivost, náklady a výkon úloh důležitější.
- Ujistěte se, že jsou vaše systémy pozorovatelnosti v pořádku. Stejně jako u jakékoli jiné součásti úlohy se ujistěte, že systémy monitorování a protokolování fungují správně. Chcete-li toho dosáhnout, povolte funkce, které odesílají signály dat o stavu vašim provozním týmům. Nastavte signály dat o stavu specifické pro pracovní prostory služby Log Analytics a přidružené prostředky.
Doporučení ke konfiguraci pro spolehlivost
| Doporučení | Výhoda |
|---|---|
| Nezahrnujte pracovní prostory služby Log Analytics do kritické cesty úlohy. Vaše pracovní prostory jsou pro funkční systém pozorovatelnosti důležité, ale funkce úloh by na nich neměla záviset. | Udržování pracovních prostorů a přidružených funkcí mimo kritickou cestu úlohy minimalizuje riziko problémů ovlivňujících systém pozorovatelnosti, které ovlivní provádění úloh za běhu. |
| Pokud chcete zajistit vysokou odolnost dat pracovního prostoru, nasaďte pracovní prostory služby Log Analytics do oblasti , která podporuje odolnost dat. Odolnost dat je možná pouze propojením pracovního prostoru s vyhrazeným clusterem ve stejné oblasti. | Když používáte vyhrazený cluster, umožňuje rozprostřít přidružené pracovní prostory mezi zóny dostupnosti, které nabízejí ochranu před výpadky datacentra. Pokud teď neshromáždíte dostatek dat k odůvodnění vyhrazeného clusteru, tato preemptivní regionální volba podporuje budoucí růst. |
| Zvolte nasazení pracovního prostoru na základě blízkosti k vaší úloze. Koncové body shromažďování dat (DCE) použijte ve stejné oblasti jako pracovní prostor služby Log Analytics. |
Nasaďte pracovní prostor ve stejné oblasti jako instance vaší úlohy. Když máte pracovní prostor a dce ve stejné oblasti jako vaše úloha, snižuje se riziko dopadů výpadků v jiných oblastech. Funkce DCE se používají agentem Azure Monitoru a rozhraním API pro příjem protokolů k odesílání provozních dat úloh do pracovního prostoru služby Log Analytics. Možná budete potřebovat více řadičů domény, i když vaše nasazení má jenom jeden pracovní prostor. Další informace o konfiguraci dce pro konkrétní prostředí najdete v tématu Nastavení koncových bodů shromažďování dat na základě vašeho nasazení.<Br Pokud je vaše úloha nasazená v návrhu aktivní-aktivní, zvažte použití více pracovních prostorů a dce rozložených napříč oblastmi, ve kterých je vaše úloha nasazená. Nasazení pracovních prostorů ve více oblastech zvyšuje složitost vašeho prostředí. Vyvažte kritéria podrobně popsaná v tématu Návrh architektury pracovního prostoru služby Log Analytics s vašimi požadavky na dostupnost. |
| Pokud požadujete, aby byl pracovní prostor dostupný v případě selhání oblasti nebo neshromažďujete dostatek dat pro vyhrazený cluster, nakonfigurujte shromažďování dat tak, aby se odesílala důležitá data do několika pracovních prostorů v různých oblastech. Tento postup se označuje také jako vícesměrové vysílání protokolů. Například nakonfigurujte dcrs pro více pracovních prostorů pro agenta Azure Monitoru běžícího na virtuálních počítačích. Nakonfigurujte několik nastavení diagnostiky pro shromažďování protokolů prostředků z prostředků Azure a odesílání protokolů do několika pracovních prostorů. |
|
| Tímto způsobem jsou provozní data úloh k dispozici v alternativním pracovním prostoru, pokud dojde k selhání oblasti. Ale vězte, že prostředky, které jsou závislé na datech, jako jsou výstrahy a sešity, by se do ostatních oblastí automaticky nereplikovaly. Zvažte uložení šablon Azure Resource Manager (ARM) pro kritické prostředky upozornění s konfigurací pro alternativní pracovní prostor nebo jejich nasazení ve všech oblastech, ale jejich zakázání, aby se zabránilo redundantním výstrahám. Obě možnosti podporují rychlé povolení při selhání oblasti. Kompromis: Výsledkem této konfigurace jsou duplicitní poplatky za příjem dat a uchovávání dat, takže je používejte jenom pro důležitá data. |
|
| Pokud vyžadujete ochranu dat v datovém centru nebo selhání oblasti, nakonfigurujte export dat z pracovního prostoru tak, aby se data ukládaly do alternativního umístění. Tato možnost se podobá předchozí možnosti vícesměrového vysílání dat do různých pracovních prostorů. Tato možnost ale stojí méně, protože další data se zapisuje do úložiště. Pomocí možností redundance služby Azure Storage, včetně geograficky redundantního úložiště (GRS) a geograficky zónově redundantního úložiště (GZRS), můžete tato data dále replikovat do jiných oblastí. Export dat neposkytuje odolnost proti incidentům ovlivňujícím místní kanál příjmu dat. |
I když data historického provozního protokolu nemusí být snadno dotazovatelná ve stavu exportu, zajišťuje, že data přežijí delší regionální výpadek a můžou být přístupná a uchována po delší dobu. Pokud vyžadujete export tabulek, které export dat nepodporuje, můžete k ochraně dat použít jiné metody exportu dat, včetně Logic Apps. Aby tato strategie fungovala jako životaschopný plán obnovení, musíte mít procesy pro překonfigurování nastavení diagnostiky pro vaše prostředky v Azure a pro všechny agenty, kteří poskytují data. Musíte také naplánovat ruční dosazování exportovaných dat do nového pracovního prostoru. Stejně jako u výše popsané možnosti je také potřeba definovat procesy pro prostředky, které jsou závislé na datech, jako jsou výstrahy a sešity. |
| V případě kritických úloh vyžadujících vysokou dostupnost zvažte implementaci modelu federovaných pracovních prostorů, který používá více pracovních prostorů, aby se zajistila vysoká dostupnost v případě selhání oblasti. | Klíčové informace poskytují doporučené osvědčené postupy pro navrhování vysoce spolehlivých aplikací v Azure. Metodologie návrhu zahrnuje model federovaného pracovního prostoru s několika pracovními prostory služby Log Analytics, který zajišťuje vysokou dostupnost v případě, že dojde k více selháním, včetně selhání oblasti Azure. Tato strategie eliminuje náklady na výchozí přenos dat napříč oblastmi a zůstane funkční i v případě selhání oblasti. Vyžaduje ale větší složitost, kterou musíte spravovat pomocí konfigurace a procesů popsaných v tématu Modelování stavu a pozorovatelnost důležitých úloh v Azure. |
| K nasazení a správě pracovních prostorů a přidružených funkcí použijte infrastrukturu jako kód (IaC). | Když automatizujete co nejvíce nasazení a mechanismy pro odolnost a obnovení, jak je to praktické, zajistí se spolehlivost těchto operací. Ušetříte kritický čas v provozních procesech a minimalizujete riziko lidské chyby. Ujistěte se, že funkce, jako jsou uložené dotazy na protokoly, jsou definované také prostřednictvím IaC, aby se v případě potřeby obnovení obnovily do nové oblasti. |
| Navrhujte pravidla DCR s jedním principem odpovědnosti, aby byla pravidla DCR jednoduchá. I když by jedno DCR mohlo být načteno se všemi vstupy, pravidly a cíli pro zdrojové systémy, je vhodnější navrhnout úzce zaměřená pravidla, která spoléhají na méně zdrojů dat. Pomocí složení přiřazení pravidel dosáhnete požadovaného rozsahu pozorovatelnosti pro logický cíl. Minimalizujte také transformace v dcr. |
Při použití úzce zaměřených dcr se minimalizuje riziko, že chybná konfigurace pravidla bude mít širší účinek. Omezuje účinek pouze na rozsah, pro který bylo dcr vytvořeno. Další informace najdete v tématu Osvědčené postupy pro vytváření a správu pravidel shromažďování dat ve službě Azure Monitor. I když transformace může být v některých situacích účinná a nezbytná, může být náročné otestovat a řešit potíže s prací, kterou provádíte v jazyce KQL (Keyword Query Language). Pokud je to možné, minimalizujte riziko ztráty dat tím, že ingestujte nezpracovaná data a v době dotazu zpracováváte následné transformace. |
| Při nastavování denního limitu nebo zásad uchovávání informací se ujistěte, že udržujete požadavky na spolehlivost tím, že ingestujete a uchováváte protokoly, které potřebujete. | Denní limit zastaví shromažďování dat pro pracovní prostor po dosažení zadaného množství, což vám pomůže udržet si kontrolu nad objemem příjmu dat. Tuto funkci ale používejte pouze po pečlivém plánování. Ujistěte se, že se denní limit nedosáží pravidelností. V takovém případě je limit nastavený příliš restriktivním způsobem. Musíte překonfigurovat denní limit, aby vám neunikly kritické signály přicházející z vaší úlohy. Stejně tak přistupte ke snížení zásad uchovávání dat pečlivě a uvyšlete, abyste zajistili, že nechtěně nepřijdete o důležitá data. |
| Přehledy pracovního prostoru služby Log Analytics můžete použít ke sledování objemu příjmu dat, přijatých dat a vašeho datového limitu, nereagujících zdrojů protokolů a neúspěšných dotazů a dalších dat. Vytvořte upozornění na stav , která vás budou proaktivně upozorňovat na nedostupnost pracovního prostoru kvůli selhání datacentra nebo oblasti. | Tato strategie zajišťuje, že budete moct úspěšně monitorovat stav pracovních prostorů a proaktivně reagovat v případě, že hrozí zhoršení stavu. Stejně jako u jakékoli jiné součásti vaší úlohy je důležité, abyste znali metriky stavu a mohli identifikovat trendy pro zlepšení spolehlivosti v průběhu času. |
Azure Policy
Azure nenabízí žádné zásady týkající se spolehlivosti pracovních prostorů služby Log Analytics. Můžete vytvořit vlastní zásady , které kolem nasazení pracovních prostorů vytvoří mantinely dodržování předpisů, jako je třeba zajištění přidružení pracovních prostorů k vyhrazenému clusteru.
I když to přímo nesouvisí se spolehlivostí pracovních prostorů služby Log Analytics, existují zásady Azure pro téměř každou dostupnou službu. Zásady zajišťují, že jsou nastavení diagnostiky pro danou službu povolená, a ověřují, že data protokolů služby proudí do pracovního prostoru služby Log Analytics. Všechny služby v architektuře úloh by měly odesílat data protokolů do pracovního prostoru služby Log Analytics pro své vlastní požadavky na spolehlivost a zásady by je mohly pomoct vynutit. Podobně existují zásady, které zajišťují, že platformy založené na agentech, jako jsou virtuální počítače a Kubernetes, mají agenta nainstalovaného.
Azure Advisor
Azure Advisor nenabízí žádná doporučení Azure Advisoru týkající se spolehlivosti pracovních prostorů služby Log Analytics.
Zabezpečení
Účelem pilíře Zabezpečení je poskytnout sadě funkcí záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů tím, že uplatňují přístupy k technickému návrhu kolem řešení monitorování a protokolování.
Kontrolní seznam návrhu pro zabezpečení
Začněte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro zabezpečení a identifikujte ohrožení zabezpečení a kontrolní mechanismy, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby zahrnovala více přístupů podle potřeby.
- Projděte si témata Standardní hodnoty zabezpečení služby Azure Monitor a Správa přístupu k pracovním prostorům služby Log Analytics. Tato témata obsahují pokyny k osvědčeným postupům zabezpečení.
- Nasaďte pracovní prostory se segmentací jako základním principem. Implementujte segmentaci na úrovni sítí, dat a přístupu. Segmentace pomáhá zajistit, aby vaše pracovní prostory byly v odpovídající míře izolované a byly lépe chráněny před neoprávněným přístupem na nejvyšší možnou úroveň, a přitom stále splňují vaše obchodní požadavky na spolehlivost, optimalizaci nákladů, efektivitu provozu a efektivitu výkonu.
- Ujistěte se, že můžete auditovat aktivity čtení a zápisu v pracovním prostoru a přidružené identity. Útočníci můžou těžit ze zobrazení provozních protokolů. Ohrožená identita může vést k útokům prostřednictvím injektáže protokolů. Povolte auditování operací spouštěných z webu Azure Portal nebo prostřednictvím interakcí s rozhraním API a přidružených uživatelů. Pokud nemáte nastavený audit pracovního prostoru, může být vaše organizace ohrožena porušením požadavků na dodržování předpisů.
- Implementace robustních síťových ovládacích prvků Pomáhá zabezpečit síťový přístup k pracovnímu prostoru a protokolům prostřednictvím funkcí brány firewall a izolace sítě. Nedostatečně nakonfigurované síťové ovládací prvky můžou ohrozit přístup neautorizovaných nebo škodlivých aktérů.
- Určete, jaké typy dat vyžadují neměnnost nebo dlouhodobé uchovávání. S daty protokolů by se mělo zacházet stejně přísně jako s daty úloh v produkčních systémech. Zahrňte data protokolů do postupů klasifikace dat, abyste měli jistotu, že se citlivá data protokolů úspěšně ukládají v souladu s požadavky na dodržování předpisů.
- Ochrana neaktivních uložených dat protokolu prostřednictvím šifrování Segmentace sama o sobě nechrání důvěrnost dat protokolů. Pokud dojde k neoprávněnému nezpracovaného přístupu, zašifrování neaktivních uložených dat protokolu pomáhá zabránit špatným účastníkům v používání těchto dat mimo váš pracovní prostor.
- Chraňte citlivá data protokolů pomocí obfuskace. Stejně jako data úloh umístěná v produkčních systémech musíte přijmout dodatečná opatření, která zajistí zachování důvěrnosti citlivých informací, které se můžou záměrně nebo neúmyslně vyskytovat v provozních protokolech. Když používáte metody obfuskace, pomůže vám to skrýt citlivá data protokolu před neoprávněnýma očima.
Doporučení ke konfiguraci zabezpečení
| Doporučení | Výhoda |
|---|---|
| Klíče spravované zákazníkem použijte, pokud k ochraně dat a uložených dotazů ve vašich pracovních prostorech potřebujete vlastní šifrovací klíč. Azure Monitor zajišťuje, že všechna neaktivní uložená data a dotazy se šifrují pomocí klíčů spravovaných Microsoftem (MMK). Pokud potřebujete vlastní šifrovací klíč a shromáždíte dostatek dat pro vyhrazený cluster, použijte klíč spravovaný zákazníkem. V Azure Key Vault můžete data šifrovat pomocí vlastního klíče, abyste měli kontrolu nad životním cyklem klíče a mohli odvolat přístup k datům. Pokud používáte službu Microsoft Sentinel, ujistěte se, že jste obeznámeni s důležitými informacemi v tématu Nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel. |
Tato strategie umožňuje šifrovat data pomocí vlastního klíče v Azure Key Vault, abyste měli kontrolu nad životním cyklem klíče a mohli odvolat přístup k datům. |
| Nakonfigurujte auditování dotazů protokolu, abyste mohli sledovat, kteří uživatelé spouštějí dotazy. Nakonfigurujte protokoly auditu pro každý pracovní prostor tak, aby se odesílaly do místního pracovního prostoru, nebo je konsolidujte ve vyhrazeném pracovním prostoru zabezpečení, pokud oddělíte provozní data a data zabezpečení. Tato data pravidelně kontrolujte pomocí přehledů pracovního prostoru služby Log Analytics . Zvažte vytvoření pravidel upozornění dotazů na protokol, která vás budou proaktivně upozorňovat na případné pokusy neoprávněných uživatelů o spuštění dotazů. |
Auditování dotazů protokolu zaznamenává podrobnosti o každém spuštění dotazu v pracovním prostoru. Zacházejte s daty auditu jako s daty zabezpečení a odpovídajícím způsobem zabezpečte tabulku LAQueryLogs . Tato strategie posiluje stav zabezpečení tím, že pomáhá zajistit, aby byl neoprávněný přístup okamžitě zachycen, pokud k němu vůbec dojde. |
| Pomozte zabezpečit pracovní prostor prostřednictvím privátních sítí a segmentačních opatření. Pomocí funkce private link můžete omezit komunikaci mezi zdroji protokolů a vašimi pracovními prostory na privátní sítě. |
Když používáte službu Private Link, umožňuje také řídit, které virtuální sítě mají přístup k danému pracovnímu prostoru, a dále tak posílit zabezpečení prostřednictvím segmentace. |
| Pro přístup k rozhraní API pracovního prostoru použijte Microsoft Entra ID místo klíčů rozhraní API, pokud je k dispozici. | Přístup k rozhraním API pro dotazy založený na klíči rozhraní API nezanechá záznam pro audit pro jednotlivé klienty. Použijte dostatečně vymezený přístup založený na ID Entra , abyste mohli správně auditovat programový přístup. |
| Nakonfigurujte přístup pro různé typy dat v pracovním prostoru požadovaném pro různé role ve vaší organizaci. Nastavte režim řízení přístupu pro pracovní prostor na Použít oprávnění prostředku nebo pracovního prostoru. Toto řízení přístupu umožňuje vlastníkům prostředků používat kontext prostředku pro přístup ke svým datům, aniž by jim byl udělen explicitní přístup k pracovnímu prostoru. RBAC na úrovni tabulky použijte pro uživatele, kteří vyžadují přístup k sadě tabulek napříč několika prostředky. |
Toto nastavení zjednodušuje konfiguraci pracovního prostoru a pomáhá zajistit, že uživatelé nebudou mít přístup k provozním datům, která by neměli. Přiřaďte příslušnou předdefinovanou roli a udělte oprávnění pracovního prostoru správcům na úrovni předplatného, skupiny prostředků nebo pracovního prostoru v závislosti na jejich rozsahu odpovědnosti. Uživatelé s oprávněními k tabulce mají přístup ke všem datům v tabulce bez ohledu na svá oprávnění k prostředkům. Podrobnosti o různých možnostech udělení přístupu k datům v pracovním prostoru najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics . |
| Exportujte protokoly, které vyžadují dlouhodobé uchovávání nebo neměnnost. Export dat použijte k odesílání dat do účtu služby Azure Storage se zásadami neměnnosti , které pomáhají chránit před manipulací s daty. Ne každý typ protokolu má stejný význam pro dodržování předpisů, auditování nebo zabezpečení, proto určete konkrétní typy dat, které se mají exportovat. |
V pracovním prostoru můžete shromažďovat data auditu, na která se vztahují předpisy vyžadující jejich dlouhodobé uchovávání. Data v pracovním prostoru služby Log Analytics není možné změnit, ale je možné je vymazat. Export kopie provozních dat pro účely uchovávání umožňuje vytvořit řešení, které splňuje vaše požadavky na dodržování předpisů. |
| Určete strategii pro filtrování nebo obfuskování citlivých dat ve vašem pracovním prostoru. Je možné, že shromažďujete data, která obsahují citlivé informace. Vyfiltrujte záznamy, které by se neměly shromažďovat, pomocí konfigurace pro konkrétní zdroj dat. Transformaci použijte, pokud se mají odebrat nebo zamlžovat pouze určité sloupce v datech. Pokud máte standardy, které vyžadují, aby původní data byla nezměněna, můžete pomocí literálu h v dotazech KQL obfuskovat výsledky dotazů zobrazené v sešitech. |
Obfuskování nebo odfiltrování citlivých dat ve vašem pracovním prostoru pomáhá zajistit zachování důvěrnosti citlivých informací. V mnoha případech požadavky na dodržování předpisů určují způsoby, jak můžete nakládat s citlivými informacemi. Tato strategie vám pomůže proaktivně dodržovat požadavky. |
Azure Policy
Azure nabízí zásady související se zabezpečením pracovních prostorů služby Log Analytics, které vám pomůžou vynutit požadovaný stav zabezpečení. Příklady takových zásad:
- Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem.
- Uložené dotazy ve službě Azure Monitor by se pro šifrování protokolů měly ukládat v účtu úložiště zákazníka.
- Pracovní prostory služby Log Analytics by měly blokovat příjem dat mimo Azure Active Directory
Azure také nabízí řadu zásad, které pomáhají vynucovat konfiguraci privátního propojení, například pracovní prostory služby Log Analytics by měly blokovat příjem protokolů a dotazování z veřejných sítí nebo dokonce nakonfigurovat řešení prostřednictvím zásad DINE, jako je konfigurace služby Azure Monitor Private Link Scope pro použití privátních zón DNS.
Azure Advisor
Azure nenabízí žádná doporučení Azure Advisoru související se zabezpečením pracovních prostorů služby Log Analytics.
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců útraty, stanovení priorit investic v důležitých oblastech a optimalizaci v ostatních oblastech tak, aby splňovaly rozpočet organizace a současně splňovaly obchodní požadavky.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto obchodních cílů. Podle potřeby vám také pomůžou zajistit kompromisy v technickém návrhu souvisejícím s vaším řešením monitorování a protokolování.
Další informace o výpočtu poplatků za data pro pracovní prostory služby Log Analytics najdete v tématu Výpočty a možnosti nákladů na protokoly služby Azure Monitor.
Kontrolní seznam návrhu pro optimalizaci nákladů
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice a vylaďte návrh tak, aby úloha odpovídala rozpočtu přidělenému pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
- Proveďte cvičení modelování nákladů. Tyto exercize vám pomůžou porozumět aktuálním nákladům na pracovní prostor a předpovídat náklady v poměru k růstu pracovního prostoru. Analyzujte trendy růstu ve vašich úlohách a ujistěte se, že rozumíte plánům rozšíření úloh, abyste mohli správně předpovídat budoucí provozní náklady na protokolování.
- Zvolte správný model fakturace. Pomocí nákladového modelu můžete určit nejvhodnější fakturační model pro váš scénář. To, jak aktuálně používáte pracovní prostory a jak je plánujete používat při vývoji úloh, určuje, jestli je pro váš scénář nejvhodnější model úrovně závazku nebo průběžné platby.
Nezapomeňte, že pro každý pracovní prostor můžete zvolit různé modely fakturace a v některých případech můžete náklady na pracovní prostor kombinovat, abyste mohli provádět podrobné analýzy a rozhodování. - Shromážděte správné množství dat protokolu. Proveďte pravidelně naplánovanou analýzu nastavení diagnostiky prostředků, konfigurace pravidel shromažďování dat a protokolování vlastního kódu aplikace, abyste měli jistotu, že neshromažďujete nepotřebná data protokolu.
- S neprodukčními prostředími zachází jinak než s produkčním prostředím. Zkontrolujte neprodukční prostředí a ujistěte se, že jste správně nakonfigurovali nastavení diagnostiky a zásady uchovávání informací. Ty můžou být často výrazně méně robustní než produkční prostředí, zejména v prostředích pro vývoj/testování nebo sandbox.
Doporučení ke konfiguraci pro optimalizaci nákladů
| Doporučení | Výhoda |
|---|---|
| Nakonfigurujte cenovou úroveň pro množství dat, která každý pracovní prostor služby Log Analytics obvykle shromažďuje. | Pracovní prostory služby Log Analytics ve výchozím nastavení používají ceny s průběžnými platbami bez minimálního objemu dat. Pokud shromáždíte dostatek dat, můžete výrazně snížit náklady pomocí vrstvy závazku, která vám umožní zavázat se k dennímu minimu shromažďovaných dat výměnou za nižší sazbu. Pokud shromáždíte dostatek dat napříč pracovními prostory v jedné oblasti, můžete je propojit s vyhrazeným clusterem a zkombinovat jejich shromážděný svazek pomocí cen clusteru. Další informace o úrovních závazku a pokyny k určení nejvhodnějších pro vaši úroveň využití najdete v tématu Výpočty a možnosti nákladů na protokoly služby Azure Monitor. Pokud chcete zobrazit odhadované náklady na využití na různých cenových úrovních, přečtěte si téma Využití a odhadované náklady. |
| Konfigurace uchovávání a archivace dat | Za uchovávání dat v pracovním prostoru služby Log Analytics nad rámec výchozích 31 dnů se účtuje poplatek. Pokud je v pracovním prostoru povolená služba Microsoft Sentinel, je to 90 dnů, a 90 dnů pro data Application Insights. Vezměte v úvahu vaše konkrétní požadavky na to, aby data byla pro dotazy protokolu snadno dostupná. Konfigurací archivovaných protokolů můžete výrazně snížit náklady. Archivované protokoly umožňují uchovávat data po dobu až sedmi let a stále k nim příležitostně přistupovat. K datům se dostanete pomocí úloh hledání nebo obnovením sady dat do pracovního prostoru. |
| Pokud k analýze protokolů zabezpečení používáte Microsoft Sentinel, zvažte použití samostatného pracovního prostoru pro ukládání těchto protokolů. | Pokud používáte vyhrazený pracovní prostor pro data protokolů, která používá váš SIEM, může vám to pomoct řídit náklady. Na pracovní prostory, které používá služba Microsoft Sentinel, se vztahují ceny služby Microsoft Sentinel. Vaše požadavky na zabezpečení určují typy protokolů, které je potřeba zahrnout do řešení SIEM. Možná budete moct vyloučit provozní protokoly, které by se účtovaly podle standardních cen služby Log Analytics, pokud jsou v samostatném pracovním prostoru. |
| Nakonfigurujte tabulky používané pro ladění, řešení potíží a auditování jako základní protokoly. | Tabulky v pracovním prostoru služby Log Analytics nakonfigurované pro základní protokoly mají nižší náklady na příjem dat výměnou za omezené funkce a poplatky za dotazy na protokoly. Pokud se na tyto tabulky dotazujete zřídka a nepoužíváte je k upozorňování, můžou být tyto náklady na dotaz více než kompenzovány nižšími náklady na příjem dat. |
| Omezení shromažďování dat ze zdrojů dat pro pracovní prostor | Primárním faktorem nákladů na Azure Monitor je množství dat, která shromažďujete v pracovním prostoru služby Log Analytics. Neshromažďujte více dat, než potřebujete k posouzení stavu a výkonu služeb a aplikací. Pro každý prostředek vyberte správné kategorie pro nastavení diagnostiky, které nakonfigurujete, aby poskytovaly potřebné množství provozních dat. Pomáhá úspěšně spravovat úlohy a ne spravovat ignorovaná data. Může dojít k kompromisu mezi náklady a vašimi požadavky na monitorování. Můžete například rychleji detekovat problém s výkonem s vysokou vzorkovací frekvencí, ale můžete chtít nižší vzorkovací frekvenci, abyste ušetřili náklady. Většina prostředí má více zdrojů dat s různými typy kolekcí, takže je potřeba vyvážit konkrétní požadavky a nákladové cíle pro každý z nich. Doporučení ke konfiguraci shromažďování pro různé zdroje dat najdete v tématu Optimalizace nákladů ve službě Azure Monitor . |
| Pravidelně analyzujte data o využití pracovního prostoru a identifikujte trendy a anomálie. Pomocí přehledů pracovního prostoru služby Log Analytics můžete pravidelně kontrolovat množství dat shromážděných v pracovním prostoru. Dále analyzujte shromažďování dat pomocí metod v tématu Analýza využití v pracovním prostoru služby Log Analytics a zjistěte, jestli existují další konfigurace, které můžou vaše využití dále snížit. |
Pomáhá pochopit množství dat shromažďovaných různými zdroji a identifikuje anomálie a vzestupné trendy při shromažďování dat, které by mohly vést k nadměrným nákladům. Tato skutečnost je důležitá, když do úlohy přidáte novou sadu zdrojů dat. Pokud například přidáte novou sadu virtuálních počítačů, povolte ve službě nová nastavení diagnostiky Azure nebo změňte úrovně protokolu ve vaší aplikaci. |
| Vytvořte upozornění, když je shromažďování dat vysoké. | Abyste se vyhnuli neočekávaným fakturám, měli byste být proaktivně upozorněni, kdykoli dojde k nadměrnému využití. Oznámení umožňuje vyřešit případné anomálie před koncem fakturačního období. |
| Zvažte denní limit jako preventivní opatření, abyste zajistili, že nepřekročíte určitý rozpočet. | Denní limit zakáže shromažďování dat v pracovním prostoru služby Log Analytics po zbytek dne po dosažení nakonfigurovaného limitu. Nepoužívejte tento postup jako metodu ke snížení nákladů, jak je popsáno v tématu Kdy použít denní limit, ale k zabránění neutíkanému příjmu dat kvůli chybné konfiguraci nebo zneužití. Pokud nastavíte denní limit, vytvořte upozornění na dosažení limitu. Nezapomeňte také vytvořit pravidlo upozornění při dosažení určitého procenta. Můžete například nastavit pravidlo upozornění pro dosažení 90% kapacity. Tato výstraha vám dává příležitost prozkoumat a vyřešit příčinu zvýšeného počtu dat předtím, než limit vypne shromažďování důležitých dat z vaší úlohy. |
Azure Policy
Azure nenabízí žádné zásady související s optimalizací nákladů na pracovní prostory služby Log Analytics. Můžete vytvořit vlastní zásady pro vytváření zábradlí dodržování předpisů kolem nasazení pracovních prostorů, například zajistit, aby vaše pracovní prostory obsahovaly správné nastavení uchovávání informací.
Azure Advisor
Azure Advisor doporučuje přesunout konkrétní tabulky v pracovním prostoru do nízkonákladového datového plánu Základní protokol pro tabulky, které přijímají relativně velký objem příjmu dat. Seznamte se s omezeními pomocí základních protokolů před přepnutím. Další informace najdete v tématu Kdy mám použít základní protokoly?. Azure Advisor může také doporučit změnu cenové úrovně závazku pro celý pracovní prostor na základě celkového objemu využití.
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy pro vývojové postupy, pozorovatelnost a správu verzí.
Principy návrhu provozní excelence poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů směrem k provozním požadavkům úlohy.
Kontrolní seznam návrhu pro zajištění efektivity provozu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro zajištění efektivity provozu pro definování procesů pro pozorovatelnost, testování a nasazení souvisejících s pracovními prostory služby Log Analytics.
- Používejte infrastrukturu jako kód (IaC) pro všechny funkce související s pracovními prostory služby Log Analytics vaší úlohy. Minimalizujte riziko lidských chyb, ke kterým může dojít při ruční správě a provozování funkcí shromažďování, příjmu, ukládání a dotazování protokolů, včetně uložených dotazů a balíčků dotazů, automatizací co největšího počtu těchto funkcí prostřednictvím kódu. Zahrňte také upozornění, která hlásí změny stavu, a konfiguraci nastavení diagnostiky pro prostředky, které v kódu IaC odesílají protokoly do vašich pracovních prostorů. Zahrňte kód do kódu souvisejícího s dalšími úlohami, abyste zajistili, že se pro správu vašich pracovních prostorů zachovávají vaše postupy bezpečného nasazení.
- Ujistěte se, že jsou vaše pracovní prostory v pořádku, a že budete upozorněni, když dojde k problémům. Stejně jako u jakékoli jiné součásti vaší úlohy můžou pracovní prostory narazit na problémy. Tyto problémy můžou stát drahocenný čas a zdroje pro řešení potíží a potenciálně váš tým nemusí vědět o stavu produkční úlohy. Možnost aktivně monitorovat pracovní prostory a zmírnit potenciální problémy pomáhá provozním týmům minimalizovat čas strávený řešením a opravou problémů.
- Oddělte produkční úlohy od neprodukčních úloh. Vyhněte se zbytečné složitosti, která může provoznímu týmu způsobit práci navíc, a to použitím jiných pracovních prostorů pro produkční prostředí, než jsou pracovní prostory používané v neprodukčních prostředích. Přicházející data mohou také vést k nejasnostem, protože testovací aktivity můžou vypadat jako události v produkčním prostředí.
- Upřednostnit integrované nástroje a funkce před řešeními od jiných společností než Microsoft Pomocí integrovaných nástrojů můžete rozšířit funkce systémů monitorování a protokolování. Možná budete muset nasadit další konfigurace, které podporují požadavky, jako je obnovitelnost nebo suverenita dat, které nejsou v pracovních prostorech služby Log Analytics k dispozici předem. V těchto případech používejte nativní nástroje Azure nebo Nástroje Microsoftu, aby byl počet nástrojů, které vaše organizace musí podporovat, co nejmenší.
- Zacházejte s pracovními prostory jako se statickými, nikoli s dočasnými komponentami . Stejně jako u jiných typů úložišť dat by se pracovní prostory neměly brát v úvahu mezi dočasnými komponentami vaší úlohy. Well-Architected Framework obecně upřednostňuje neměnnou infrastrukturu a možnost rychle a snadno nahradit prostředky v rámci úloh v rámci nasazení. Ztráta dat pracovního prostoru ale může být katastrofální a nevratná. Z tohoto důvodu ponechte pracovní prostory mimo balíčky nasazení, které během aktualizací nahrazují infrastrukturu, a proveďte pouze místní upgrady v pracovních prostorech.
- Ujistěte se, že provozní personál je vyškolený na dotazovací jazyk Kusto Vyškolit pracovníky tak, aby v případě potřeby vytvářeli nebo upravovali dotazy. Pokud operátoři nemůžou psát nebo upravovat dotazy, může to zpomalit kritické řešení potíží nebo jiné funkce, protože operátoři musí spoléhat na to, že za ně budou pracovat jiné týmy.
Doporučení ke konfiguraci pro efektivitu provozu
| Doporučení | Výhoda |
|---|---|
| Navrhněte strategii pracovního prostoru tak, aby splňovala vaše obchodní požadavky. Pokyny k návrhu strategie pro pracovní prostory služby Log Analytics najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics. Uveďte, kolik jich se má vytvořit a kam je umístit. Pokud požadujete, aby vaše úloha používala nabídku centralizovaného týmu platformy, ujistěte se, že jste nastavili veškerý nezbytný provozní přístup. Vytvořte také upozornění, která zajistí splnění požadavků na pozorovatelnost úloh. |
Jeden nebo alespoň minimální počet pracovních prostorů maximalizuje provozní efektivitu úloh. Omezuje distribuci vašich provozních a bezpečnostních dat, zvyšuje přehled o potenciálních problémech, usnadňuje identifikaci vzorů a minimalizuje požadavky na údržbu. Můžete mít požadavky na více pracovních prostorů, například na několik tenantů, nebo můžete potřebovat pracovní prostory v několika oblastech, které podporují vaše požadavky na dostupnost. Proto se ujistěte, že máte k dispozici vhodné procesy pro správu této zvýšené složitosti. |
| Používejte infrastrukturu jako kód (IaC) k nasazení a správě pracovních prostorů a přidružených funkcí. | K definování podrobností pracovních prostorů v šablonách ARM, Azure BICEP nebo Terraformu použijte infrastrukturu jako kód (IaC). Umožňuje použít stávající procesy DevOps k nasazení nových pracovních prostorů a Azure Policy k vynucení jejich konfigurace. Umístění veškerého kódu IaC společně s kódem aplikace pomáhá zajistit, aby byly postupy bezpečného nasazení zachovány pro všechna nasazení. |
| Pomocí přehledů pracovních prostorů služby Log Analytics můžete sledovat stav a výkon pracovních prostorů služby Log Analytics a vytvářet smysluplná upozornění s možností akce, abyste byli proaktivně informováni o provozních problémech. Přehledy pracovních prostorů služby Log Analytics poskytují jednotné zobrazení využití, výkonu, stavu, agentů, dotazů a protokolu změn pro všechny vaše pracovní prostory. Každý pracovní prostor má tabulku operací , která protokoluje důležité aktivity ovlivňující pracovní prostor. |
Pravidelně si projděte informace, které poskytují přehledy Log Analytics, abyste mohli sledovat stav a provoz jednotlivých pracovních prostorů. Když tyto informace použijete, umožní vám vytvářet snadno srozumitelné vizualizace, jako jsou řídicí panely nebo sestavy, které můžou provozní pracovníci a zúčastněné strany použít ke sledování stavu vašich pracovních prostorů. Vytvořte pravidla upozornění založená na této tabulce, abyste byli proaktivně informováni, když dojde k provoznímu problému. Pomocí doporučených upozornění pro pracovní prostor můžete zjednodušit vytváření nejdůležitějších pravidel upozornění. |
| Procvičujte si nepřetržité vylepšování tím, že často revidujte nastavení diagnostiky Azure pro vaše prostředky, pravidla shromažďování dat a úroveň podrobností protokolu aplikací. Ujistěte se, že optimalizujete strategii shromažďování protokolů prostřednictvím častých kontrol nastavení prostředků. Z provozního hlediska se zaměřte na to, jak omezit šum v protokolech tím, že se zaměříte na protokoly, které poskytují užitečné informace o stavu prostředku. |
Optimalizací tímto způsobem umožníte operátorům zkoumat a řešit problémy, když k nim dojde, nebo provádět jiné rutinní, improvizované nebo nouzové úlohy. Když jsou pro určitý typ prostředku zpřístupněny nové diagnostické kategorie, zkontrolujte typy protokolů, které se s touto kategorií generují, a zjistěte, jestli vám jejich povolení může pomoct optimalizovat strategii shromažďování. Nová kategorie může být například podmnožinou větší sady aktivit, které se zaznamenávají. Nová podmnožina vám umožní snížit objem příchozích protokolů tím, že se zaměříte na aktivity, které jsou důležité pro sledování vašich operací. |
Azure Policy a Azure Advisor
Azure nenabízí žádné zásady ani doporučení Azure Advisoru týkající se efektivity provozu pracovních prostorů služby Log Analytics.
Efektivita výkonu
Efektivita výkonu spočívá v zachování uživatelského prostředí, i když se zvýší zatížení , a to díky správě kapacity. Tato strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity oproti očekávanému využití.
Kontrolní seznam návrhu pro efektivitu výkonu
Začněte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro efektivitu výkonu pro definování směrného plánu pro pracovní prostory služby Log Analytics a přidružené funkce.
- Seznamte se se základy latence příjmu dat protokolů ve službě Azure Monitor. K latenci při ingestování protokolů do pracovních prostorů přispívá několik faktorů. Mnoho z těchto faktorů je pro platformu Azure Monitor inherentní. Pochopení faktorů a normálního chování latence vám může pomoct nastavit odpovídající očekávání v rámci provozního týmu úloh.
- Oddělte neprodukční a produkční úlohy. Pracovní prostory specifické pro produkční prostředí omezují režijní náklady, které by mohly přinést neprodukční systémy. Snižuje celkové nároky vašich pracovních prostorů a vyžaduje méně prostředků pro zpracování dat protokolu.
- Zvolte správné oblasti nasazení, které splňují vaše požadavky na výkon. Nasaďte pracovní prostor služby Log Analytics a koncové body shromažďování dat (DCE) blízko vaší úlohy. Informace o tom, kam úlohu nasadíte, byste měli informovat o tom, ve které oblasti se má pracovní prostor a vaše prostředí DCE nasadit. Pokud jste už úlohu nasadili do oblasti, která nepodporuje tyto požadavky na data protokolů, budete možná muset zvážit výhody nasazení pracovních prostorů a dce ve stejné oblasti, jako je vaše úloha, a to s požadavky na spolehlivost.
Doporučení ke konfiguraci pro efektivitu výkonu
| Doporučení | Výhoda |
|---|---|
| Nakonfigurujte auditování dotazů na protokoly a využijte přehledy pracovních prostorů služby Log Analytics k identifikaci pomalých a neefektivních dotazů. Auditování dotazů na protokol ukládá výpočetní čas potřebný ke spuštění jednotlivých dotazů a čas do vrácení výsledků. Přehledy pracovních prostorů služby Log Analytics používají tato data k výpisu potenciálně neefektivních dotazů ve vašem pracovním prostoru. Zvažte přepsání těchto dotazů, abyste zlepšili jejich výkon. Pokyny k optimalizaci dotazů na protokoly najdete v tématu Optimalizace dotazů na protokoly ve službě Azure Monitor . |
Optimalizované dotazy vrací výsledky rychleji a využívají méně prostředků na back-endu, což zefektivňuje i procesy, které se na tyto dotazy spoléhají. |
| Seznamte se s limity služeb pro pracovní prostory služby Log Analytics. V určitých implementacích s vysokým provozem můžete narazit na limity služeb, které mají vliv na výkon a návrh pracovního prostoru nebo úloh. Rozhraní API pro dotazy například omezuje počet záznamů a objem dat vrácených dotazem. Rozhraní API pro příjem protokolů omezuje velikost jednotlivých volání rozhraní API. Úplný seznam limitů a omezení pracovních prostorů Služby Azure Monitor a Log Analytics specifických pro samotný pracovní prostor najdete v tématu Limity služby Azure Monitor. |
Pochopení limitů, které můžou mít vliv na výkon vašeho pracovního prostoru, vám pomůže navrhnout je odpovídajícím způsobem a zmírnit je. Můžete se rozhodnout použít více pracovních prostorů, abyste se vyhnuli dosažení limitů spojených s jedním pracovním prostorem. Zvažte rozhodnutí o návrhu a zmírníte limity služeb oproti požadavkům a cílům pro ostatní pilíře. |
| Vytvořte dcr specifické pro typy zdrojů dat v jednom nebo více definovaných oborech pozorovatelnosti. Vytvořte samostatná dcr pro výkon a události, abyste optimalizovali využití výpočetních prostředků zpracování back-endu. | Když pro výkon a události používáte samostatná data dcr, pomáhá to zmírnit vyčerpání back-endových prostředků. Díky dcr, které kombinují události výkonu, vynutí každý přidružený virtuální počítač přenos, zpracování a spouštění konfigurací, které nemusí být podle nainstalovaného softwaru použitelné. Může dojít k nadměrné spotřebě výpočetních prostředků a chybám při zpracování konfigurace, což způsobí, že agent Azure Monitoru (AMA) přestane reagovat. |
Azure Policy a Azure Advisor
Azure nenabízí žádné zásady ani doporučení Azure Advisoru týkající se výkonu pracovních prostorů služby Log Analytics.
Další krok
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro