Návrh architektury pracovního prostoru služby Log Analytics
Jeden pracovní prostor služby Log Analytics může stačit pro mnoho prostředí, která používají Azure Monitor a Microsoft Sentinel. Mnoho organizací ale vytváří více pracovních prostorů pro optimalizaci nákladů a lepší splnění různých obchodních požadavků. Tento článek obsahuje sadu kritérií pro určení, jestli se má použít jeden pracovní prostor nebo více pracovních prostorů. Popisuje také konfiguraci a umístění těchto pracovních prostorů tak, aby splňovaly vaše požadavky při optimalizaci nákladů.
Poznámka:
Tento článek popisuje Službu Azure Monitor a Microsoft Sentinel, protože mnoho zákazníků musí zvážit obojí v návrhu. Většina rozhodovacích kritérií se vztahuje na obě služby. Pokud používáte pouze jednu z těchto služeb, můžete druhou službu ve vyhodnocení ignorovat.
Tady je video o základech protokolů služby Azure Monitor a osvědčených postupech a aspektech návrhu při návrhu nasazení protokolů služby Azure Monitor:
Strategie návrhu
Návrh by měl vždy začínat jedním pracovním prostorem, aby se snížila složitost správy více pracovních prostorů a dotazování dat z nich. Množství dat v pracovním prostoru nemá žádné omezení výkonu. Do stejného pracovního prostoru může odesílat více služeb a zdrojů dat. Při identifikaci kritérií pro vytvoření více pracovních prostorů by měl návrh použít k splnění vašich požadavků nejmenší počet pracovních prostorů.
Návrh konfigurace pracovního prostoru zahrnuje vyhodnocení více kritérií. Některá kritéria ale můžou být v konfliktu. Můžete například snížit poplatky za výchozí přenos dat vytvořením samostatného pracovního prostoru v každé oblasti Azure. Konsolidace do jednoho pracovního prostoru vám může umožnit snížit poplatky ještě více s úrovní závazku. Vyhodnoťte všechna kritéria nezávisle. Zvažte své požadavky a priority a určete, který návrh je pro vaše prostředí nejúčinnější.
Kritéria návrhu
Následující tabulka obsahuje kritéria, která je potřeba vzít v úvahu při návrhu architektury pracovního prostoru. Následující části popisují kritéria.
Kritéria | Popis |
---|---|
Provozní a bezpečnostní data | Můžete se rozhodnout kombinovat provozní data ze služby Azure Monitor ve stejném pracovním prostoru jako data zabezpečení z Microsoft Sentinelu nebo je oddělit do svého vlastního pracovního prostoru. Když je zkombinujete, získáte lepší přehled o všech datech, zatímco vaše standardy zabezpečení můžou vyžadovat oddělení, aby měl váš bezpečnostní tým vyhrazený pracovní prostor. Pro každou strategii můžete mít také vliv na náklady. |
Tenanti Azure | Pokud máte více tenantů Azure, obvykle v každém z nich vytvoříte pracovní prostor. Několik zdrojů dat může odesílat data monitorování jenom do pracovního prostoru ve stejném tenantovi Azure. |
Oblasti Azure | Každý pracovní prostor se nachází v konkrétní oblasti Azure. K ukládání dat v konkrétních umístěních můžete mít zákonné požadavky nebo požadavky na dodržování předpisů. |
Vlastnictví dat | Můžete se rozhodnout vytvořit samostatné pracovní prostory pro definování vlastnictví dat. Pracovní prostory můžete například vytvářet podle poboček nebo přidružených společností. |
Rozdělení fakturace | Umístěním pracovních prostorů do samostatných předplatných je možné je fakturovat různým stranám. |
Uchovávání dat | Pro každý pracovní prostor a každou tabulku v pracovním prostoru můžete nastavit různá nastavení uchovávání informací. Pokud pro různé prostředky, které odesílají data do stejných tabulek, potřebujete samostatný pracovní prostor. |
Úrovně závazku | Úrovně závazku umožňují snížit náklady na příjem dat tím, že se potvrdí minimální denní objem dat v jednom pracovním prostoru. |
Omezení starší verze agenta | Starší verze agentů virtuálních počítačů má omezení počtu pracovních prostorů, ke kterým se můžou připojit. |
Řízení přístupu k datům | Nakonfigurujte přístup k pracovnímu prostoru a k různým tabulkám a datům z různých prostředků. |
Pružnost | Pokud chcete zajistit dostupnost dat ve vašem pracovním prostoru v případě selhání oblasti, můžete ingestovat data do více pracovních prostorů v různých oblastech. |
Provozní a bezpečnostní data
Rozhodnutí o kombinování provozních dat ze služby Azure Monitor ve stejném pracovním prostoru jako data zabezpečení z Microsoft Sentinelu nebo jejich oddělení do vlastního pracovního prostoru závisí na vašich požadavcích na zabezpečení a potenciálních nákladech na vaše prostředí.
Vyhrazené pracovní prostory Vytváření vyhrazených pracovních prostorů pro Azure Monitor a Microsoft Sentinel vám umožní oddělit vlastnictví dat mezi provozními a bezpečnostními týmy. Tento přístup může také pomoct optimalizovat náklady, protože když je služba Microsoft Sentinel povolená v pracovním prostoru, všechna data v tomto pracovním prostoru podléhají cenám Microsoft Sentinelu, i když jsou provozní data shromážděná službou Azure Monitor.
Pracovní prostor se službou Microsoft Sentinel získá tři měsíce bezplatného uchovávání dat místo 31 dnů. Tento scénář obvykle vede k vyšším nákladům na provozní data v pracovním prostoru bez Microsoft Sentinelu. projděte si podrobnosti o cenách protokolů služby Azure Monitor.
Kombinovaný pracovní prostor Kombinování dat z Azure Monitoru a Microsoft Sentinelu ve stejném pracovním prostoru vám umožňuje lepší přehled o všech datech, takže můžete snadno kombinovat dotazy i sešity. Pokud by přístup k datům zabezpečení měl být omezený na konkrétní tým, můžete pomocí řízení přístupu na úrovni tabulky blokovat konkrétní uživatele z tabulek s daty zabezpečení nebo omezit uživatele na přístup k pracovnímu prostoru pomocí kontextu prostředku.
Tato konfigurace může vést k úsporám nákladů, pokud vám pomůže dosáhnout úrovně závazku, která poskytuje slevu na poplatky za příjem dat. Představte si například organizaci, která má provozní data a bezpečnostní data, která každý ingestuje přibližně 50 GB za den. Kombinace dat ve stejném pracovním prostoru by umožňovala vrstvu závazku na 100 GB za den. Tento scénář by poskytoval 15% slevu za Azure Monitor a 50% slevu za Microsoft Sentinel.
Pokud vytváříte samostatné pracovní prostory pro jiná kritéria, obvykle vytvoříte více dvojic pracovních prostorů. Pokud máte například dva tenanty Azure, můžete v každém tenantovi vytvořit čtyři pracovní prostory s pracovním prostorem provozu a zabezpečení.
- Pokud používáte Azure Monitor i Microsoft Sentinel: V případě potřeby týmu zabezpečení zvažte oddělení jednotlivých pracovních prostorů nebo úsporu nákladů. Zvažte zkombinování těchto dvou možností pro lepší viditelnost sloučených dat monitorování nebo pokud vám to pomůže dosáhnout úrovně závazku.
- Pokud používáte Microsoft Sentinel i Microsoft Defender pro cloud: Zvažte použití stejného pracovního prostoru pro obě řešení, aby data zabezpečení zůstala na jednom místě.
Tenanti Azure
Většina prostředků může odesílat data monitorování jenom do pracovního prostoru ve stejném tenantovi Azure. Virtuální počítače, které používají agenta Azure Monitoru nebo agenty Log Analytics, můžou odesílat data do pracovních prostorů v samostatných tenantech Azure. Tento scénář můžete považovat za poskytovatele služeb.
- Pokud máte jednoho tenanta Azure: Vytvořte pro daného tenanta jeden pracovní prostor.
- Pokud máte více tenantů Azure: Vytvořte pro každého tenanta pracovní prostor. Další možnosti, včetně strategií pro poskytovatele služeb, najdete v tématu Více strategií tenantů.
Oblasti Azure
Každý pracovní prostor služby Log Analytics se nachází v konkrétní oblasti Azure. Pro uchovávání dat v konkrétní oblasti můžete mít zákonné účely nebo účely dodržování předpisů. Například mezinárodní společnost může najít pracovní prostor v každé hlavní geografické oblasti, jako je USA a Evropa.
- Pokud máte požadavky na uchovávání dat v konkrétní geografické oblasti: Vytvořte samostatný pracovní prostor pro každou oblast s těmito požadavky.
- Pokud nemáte požadavky na uchovávání dat v konkrétní geografické oblasti: Použijte jeden pracovní prostor pro všechny oblasti.
- Pokud odesíláte data do zeměpisné oblasti nebo oblasti mimo oblast vašeho pracovního prostoru, ať už se odesílající prostředek nachází v Azure, zvažte použití pracovního prostoru ve stejné zeměpisné oblasti nebo oblasti jako data.
Zvažte také potenciální poplatky za šířku pásma, které se můžou vztahovat při odesílání dat do pracovního prostoru z prostředku v jiné oblasti. Tyto poplatky jsou obvykle menší vzhledem k nákladům na příjem dat pro většinu zákazníků. Tyto poplatky obvykle vyplývají z odesílání dat do pracovního prostoru z virtuálního počítače. Monitorování dat z jiných prostředků Azure pomocí nastavení diagnostiky neúčtují poplatky za výchozí přenos dat.
Pomocí cenové kalkulačky Azure můžete odhadnout náklady a určit, které oblasti potřebujete. Pokud jsou poplatky za šířku pásma významné, zvažte pracovní prostory ve více oblastech.
- Pokud jsou poplatky za šířku pásma dostatečně významné, aby to ospravedlňovalo další složitost: Vytvořte samostatný pracovní prostor pro každou oblast s virtuálními počítači.
- Pokud poplatky za šířku pásma nejsou dostatečně významné, aby ospravedlňovaly další složitost: Použijte jeden pracovní prostor pro všechny oblasti.
Vlastnictví dat
Možná budete muset oddělit data nebo definovat hranice na základě vlastnictví. Můžete mít například různé pobočky nebo přidružené společnosti, které vyžadují vymezení dat monitorování.
- Pokud požadujete oddělení dat: Pro každého vlastníka dat použijte samostatný pracovní prostor.
- Pokud nevyžadujete oddělení dat: Použijte jeden pracovní prostor pro všechny vlastníky dat.
Rozdělená fakturace
Možná budete muset rozdělit fakturaci mezi různé strany nebo provést platbu zpět zákazníkovi nebo interní organizační jednotce. Pomocí služby Azure Cost Management a fakturace můžete zobrazit poplatky podle pracovního prostoru. Dotaz protokolu můžete použít také k zobrazení fakturovatelného objemu dat podle prostředků Azure, skupiny prostředků nebo předplatného. Tento přístup může stačit pro vaše požadavky na fakturaci.
- Pokud nepotřebujete rozdělit fakturaci nebo provést vrácení poplatků: Použijte jeden pracovní prostor pro všechny vlastníky nákladů.
- Pokud potřebujete rozdělit fakturaci nebo provést vrácení poplatků: Zvažte, jestli Azure Cost Management + Billing nebo dotaz protokolu poskytuje sestavy nákladů dostatečně podrobné pro vaše požadavky. Pokud ne, použijte pro každého vlastníka nákladů samostatný pracovní prostor.
Uchovávání dat
Můžete nakonfigurovat výchozí nastavení uchovávání dat pro pracovní prostor nebo nakonfigurovat různá nastavení pro každou tabulku. Pro různé sady dat v konkrétní tabulce můžete vyžadovat různá nastavení. Pokud ano, musíte tato data oddělit do různých pracovních prostorů, z nichž každá má jedinečná nastavení uchovávání informací.
- Pokud můžete použít stejné nastavení uchovávání informací pro všechna data v každé tabulce: Pro všechny prostředky použijte jeden pracovní prostor.
- Pokud požadujete různá nastavení uchovávání informací pro různé prostředky ve stejné tabulce: Pro různé prostředky použijte samostatný pracovní prostor.
Vrstvy závazku
Úrovně závazku poskytují slevu na náklady na příjem dat pracovního prostoru, když se potvrdíte k určitému množství denních dat. Můžete se rozhodnout konsolidovat data v jednom pracovním prostoru, abyste dosáhli úrovně konkrétní úrovně. Stejný objem dat rozložených do více pracovních prostorů by neměl nárok na stejnou úroveň, pokud nemáte vyhrazený cluster.
Pokud se můžete potvrdit k dennímu příjmu dat nejméně 100 GB za den, měli byste implementovat vyhrazený cluster , který poskytuje další funkce a výkon. Vyhrazené clustery také umožňují kombinovat data z více pracovních prostorů v clusteru, abyste dosáhli úrovně závazku.
- Pokud budete ingestovat alespoň 100 GB za den ve všech prostředcích: Vytvořte vyhrazený cluster a nastavte odpovídající úroveň závazku.
- Pokud budete ingestovat alespoň 100 GB za den napříč prostředky: Zvažte jejich kombinování do jednoho pracovního prostoru, abyste mohli využít výhod úrovně závazku.
Omezení starší verze agenta
Duplicitní data byste se měli vyhnout odesílání duplicitních dat do více pracovních prostorů z důvodu dalších poplatků, ale můžete mít virtuální počítače připojené k více pracovním prostorům. Nejběžnějším scénářem je agent připojený k samostatným pracovním prostorům pro Azure Monitor a Microsoft Sentinel.
Agent Azure Monitoru a agent Log Analytics pro Windows se můžou připojit k více pracovním prostorům. Agent Log Analytics pro Linux se může připojit jenom k jednomu pracovnímu prostoru.
- Pokud používáte agenta Log Analytics pro Linux: Proveďte migraci na agenta služby Azure Monitor nebo se ujistěte, že vaše počítače s Linuxem vyžadují přístup pouze k jednomu pracovnímu prostoru.
Řízení přístupu k datům
Když uživateli udělíte přístup k pracovnímu prostoru, má uživatel přístup ke všem datům v daném pracovním prostoru. Tento přístup je vhodný pro člena centrální správy nebo týmu zabezpečení, který musí přistupovat k datům pro všechny prostředky. Přístup k pracovnímu prostoru je také určen řízením přístupu na základě role na základě prostředků (RBAC) a řízením přístupu na úrovni tabulky.
Řízení přístupu na základě role v kontextu prostředků: Pokud má uživatel přístup ke čtení k prostředku Azure, dědí oprávnění ke všem datům monitorování daného prostředku odesílaným do pracovního prostoru. Tato úroveň přístupu umožňuje uživatelům přístup k informacím o prostředcích, které spravují, aniž by jim byl udělen explicitní přístup k pracovnímu prostoru. Pokud potřebujete tento přístup zablokovat, můžete změnit režim řízení přístupu tak, aby vyžadoval explicitní oprávnění pracovního prostoru.
- Pokud chcete, aby uživatelé měli přístup k datům pro své prostředky: Ponechte výchozí režim řízení přístupu oprávnění Použít prostředek nebo pracovní prostor.
- Pokud chcete explicitně přiřadit oprávnění všem uživatelům: Změňte režim řízení přístupu na Vyžadovat oprávnění pracovního prostoru.
Řízení přístupu na úrovni tabulky: Pomocí řízení přístupu na úrovni tabulky můžete udělit nebo odepřít přístup ke konkrétním tabulkám v pracovním prostoru. Tímto způsobem můžete implementovat podrobná oprávnění požadovaná pro konkrétní situace ve vašem prostředí.
Můžete například udělit přístup jenom ke konkrétním tabulkám shromážděným službou Microsoft Sentinel internímu týmu auditování. Nebo můžete zakázat přístup k tabulkám souvisejícím se zabezpečením vlastníkům prostředků, kteří potřebují provozní data související s jejich prostředky.
- Pokud nepotřebujete podrobné řízení přístupu podle tabulky: Udělte provozním a bezpečnostnímu týmu přístup k prostředkům a umožněte vlastníkům prostředků používat řízení přístupu na základě kontextu prostředků pro prostředky.
- Pokud požadujete podrobné řízení přístupu podle tabulky: Udělte nebo odepřete přístup ke konkrétním tabulkám pomocí řízení přístupu na úrovni tabulky.
Další informace najdete v tématu Správa přístupu k datům Microsoft Sentinelu podle prostředků.
Odolnost
Pokud chcete zajistit, aby byla v případě selhání oblasti dostupná důležitá data ve vašem pracovním prostoru, můžete některá nebo všechna data ingestovat do více pracovních prostorů v různých oblastech.
Tato možnost vyžaduje správu integrace s jinými službami a produkty samostatně pro každý pracovní prostor. I když budou data dostupná v alternativním pracovním prostoru v případě selhání, prostředky, které spoléhají na data, jako jsou upozornění a sešity, nebudou vědět, že se mají přepnout na alternativní pracovní prostor. Zvažte uložení šablon ARM pro důležité prostředky s konfigurací pro alternativní pracovní prostor v Azure DevOps nebo jako zakázané zásady, které je možné rychle povolit ve scénáři převzetí služeb při selhání.
Práce s více pracovními prostory
Mnoho návrhů zahrnuje více pracovních prostorů. Například tým centrálního provozu zabezpečení může ke správě centralizovaných artefaktů, jako jsou analytická pravidla nebo sešity, používat vlastní pracovní prostory Microsoft Sentinelu.
Azure Monitor i Microsoft Sentinel zahrnují funkce, které vám pomůžou analyzovat tato data napříč pracovními prostory. Další informace naleznete v tématu:
- Vytvoření dotazu protokolu napříč několika pracovními prostory a aplikacemi ve službě Azure Monitor
- Rozšíření služby Microsoft Sentinel mezi pracovní prostory a tenanty
Při pojmenování jednotlivých pracovních prostorů doporučujeme do názvu zahrnout smysluplný indikátor, abyste mohli snadno určit účel každého pracovního prostoru.
Několik strategií tenantů
Prostředí s několika tenanty Azure, včetně poskytovatelů služeb Microsoftu, nezávislých dodavatelů softwaru (ISV) a velkých podniků, často vyžadují strategii, kdy má tým centrální správy přístup ke správě pracovních prostorů umístěných v jiných tenantech. Každý z tenantů může představovat samostatné zákazníky nebo různé obchodní jednotky.
Poznámka:
Pro partnery a poskytovatele služeb, kteří jsou součástí programu Cloud Solution Provider (CSP), je Log Analytics ve službě Azure Monitor jednou ze služeb Azure dostupných v předplatných Azure CSP.
Dvě základní strategie pro tuto funkci jsou popsány v následujících částech.
Distribuovaná architektura
V distribuované architektuře se v každém tenantovi Azure vytvoří pracovní prostor služby Log Analytics. Tato možnost je jediná, kterou můžete použít, pokud monitorujete jiné služby Azure než virtuální počítače.
Existují dvě možnosti, jak správcům poskytovatele služeb povolit přístup k pracovním prostorům v tenantech zákazníka:
- Pro přístup ke každému tenantovi zákazníka použijte Azure Lighthouse . Správci poskytovatele služeb jsou součástí skupiny uživatelů Microsoft Entra v tenantovi poskytovatele služeb. Tato skupina má udělený přístup během procesu onboardingu pro každého zákazníka. Správci pak můžou přistupovat k pracovním prostorům každého zákazníka z vlastního tenanta poskytovatele služeb a nemusí se k tenantovi každého zákazníka přihlašovat jednotlivě. Další informace najdete v tématu Monitorování zákaznických prostředků ve velkém měřítku.
- Přidejte jednotlivé uživatele z poskytovatele služeb jako uživatele typu host Microsoft Entra (B2B). Správci tenanta zákazníka spravují individuální přístup pro každého správce poskytovatele služeb. Aby mohli získat přístup k těmto pracovním prostorům, musí se správci poskytovatele služeb přihlásit k adresáři pro každého tenanta na webu Azure Portal.
Výhody této strategie:
- Protokoly je možné shromažďovat ze všech typů prostředků.
- Zákazník může potvrdit konkrétní úrovně oprávnění s delegovanou správou prostředků Azure. Zákazník může také spravovat přístup k protokolům pomocí vlastního Azure RBAC.
- Každý zákazník může mít pro svůj pracovní prostor různá nastavení, jako je uchovávání dat a limit dat.
- Izolace mezi zákazníky pro dodržování právních předpisů a dodržování předpisů.
- Poplatky za každý pracovní prostor jsou zahrnuté na faktuře za předplatné zákazníka.
Nevýhody této strategie:
- Centrální vizualizace a analýza dat napříč tenanty zákazníků pomocí nástrojů, jako jsou sešity azure Monitoru, můžou mít za následek pomalejší prostředí. To platí zejména při analýze dat ve více než 50 pracovních prostorech.
- Pokud zákazníci nejsou onboardovaní pro delegovanou správu prostředků Azure, musí být správci poskytovatelů služeb zřízeni v adresáři zákazníka. Díky tomuto požadavku může poskytovatel služeb spravovat mnoho tenantů zákazníků najednou.
Centralizovaný
V předplatném poskytovatele služeb se vytvoří jeden pracovní prostor. Tato možnost může shromažďovat pouze data z virtuálních počítačů zákazníků. Agenti nainstalovaní na virtuálních počítačích jsou nakonfigurovaní tak, aby odesílali protokoly do tohoto centrálního pracovního prostoru.
Výhody této strategie:
- Je snadné spravovat mnoho zákazníků.
- Poskytovatel služeb má úplné vlastnictví protokolů a různých artefaktů, jako jsou funkce a uložené dotazy.
- Poskytovatel služeb může provádět analýzy napříč všemi svými zákazníky.
Nevýhody této strategie:
- Protokoly je možné shromažďovat pouze z virtuálních počítačů s agentem. Nebude fungovat se zdroji dat PaaS, SaaS ani Azure Service Fabric.
- Může být obtížné oddělit data mezi zákazníky, protože jejich data sdílejí jeden pracovní prostor. Dotazy musí používat plně kvalifikovaný název domény počítače nebo ID předplatného Azure.
- Všechna data od všech zákazníků budou uložena ve stejné oblasti s jednou fakturou a stejným nastavením uchovávání a konfigurace.
Hybridní
V hybridním modelu má každý tenant svůj vlastní pracovní prostor. Mechanismus se používá k načtení dat do centrálního umístění pro vytváření sestav a analýzy. Tato data můžou zahrnovat malý počet datových typů nebo souhrn aktivity, jako jsou denní statistiky.
V centrálním umístění se dají implementovat protokoly dvěma způsoby:
- Centrální pracovní prostor: Poskytovatel služeb vytvoří pracovní prostor ve svém tenantovi a použije skript, který používá rozhraní API pro dotazy s rozhraním API pro příjem protokolů k přenesení dat z pracovních prostorů tenanta do tohoto centrálního umístění. Další možností je použití Azure Logic Apps ke kopírování dat do centrálního pracovního prostoru.
- Power BI: Pracovní prostory tenantů exportují data do Power BI pomocí integrace mezi pracovním prostorem Služby Log Analytics a Power BI.
Další kroky
- Přečtěte si další informace o návrhu a konfiguraci přístupu k datům v pracovním prostoru.
- Získejte ukázkové architektury pracovních prostorů pro Microsoft Sentinel.
- Tady je video o návrhu správné struktury pracovního prostoru služby Log Analytics: ITOps Talk:Log Analytics – podrobný přehled návrhu pracovního prostoru služby Log Analytics