Teilen über


Best Practices für Azure Monitor-Protokolle

Dieser Artikel enthält architektonische bewährte Methoden für Azure Monitor-Protokolle. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz, die unter Azure Well-Architected Framework beschrieben werden.

Zuverlässigkeit

Zuverlässigkeit: Bezieht sich auf die Möglichkeit, ein System nach einem Ausfall wiederherstellen und weiterverwenden zu können. Das Ziel besteht darin, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um Fehler Ihrer Log Analytics-Arbeitsbereiche zu minimieren und die von ihnen gesammelten Daten zu schützen.

Log Analytics-Arbeitsbereiche bieten ein hohes Maß an Zuverlässigkeit. Die Erfassungspipeline, die gesammelte Daten an den Log Analytics-Arbeitsbereich sendet, überprüft, ob der Log Analytics-Arbeitsbereich jeden Protokolldatensatz erfolgreich verarbeitet, bevor sie den Datensatz aus der Pipe entfernt. Wenn die Erfassungspipeline nicht verfügbar ist, werden die Agents, die Daten senden, gepuffert und wiederholen viele Stunden lang den Sendevorgang für die Protokolle.

Features für Azure Monitor-Protokolle zur Verbesserung der Resilienz

Azure Monitor-Protokolle bieten verschiedene Features, die die Resilienz von Arbeitsbereichen bei unterschiedlichen Arten von Problemen verbessern. Sie können diese Features je nach Ihren Anforderungen einzeln oder in Kombination verwenden.

Dieses Video bietet eine Übersicht über Zuverlässigkeits- und Resilienzoptionen für Log Analytics-Arbeitsbereiche:

Regionsinterner Schutz mithilfe von Verfügbarkeitszonen

Jede Azure-Region, die Verfügbarkeitszonen unterstützt, enthält mehrere Rechenzentren, deren Stromversorgung, Kühlung und Netzwerkinfrastruktur unabhängig funktionieren.

Verfügbarkeitszonen für Azure Monitor-Protokolle sind redundant. Dies bedeutet, dass Microsoft Dienstanforderungen verteilt und Daten in verschiedenen Zonen in unterstützten Regionen repliziert. Wenn sich ein Vorfall auf eine Zone auswirkt, verwendet Microsoft stattdessen automatisch eine andere Verfügbarkeitszone in der Region. Sie müssen keine Maßnahmen ergreifen, da der Wechsel zwischen Zonen nahtlos erfolgt.

In den meisten Regionen unterstützen Verfügbarkeitszonen von Azure Monitor-Protokollen Datenresilienz. Das bedeutet, dass Ihre gespeicherten Daten vor Datenverlust im Zusammenhang mit Zonenausfällen geschützt sind, aber Dienstvorgänge können weiterhin von regionalen Vorfällen betroffen sein. Wenn der Dienst keine Abfragen ausführen kann, können Sie die Protokolle erst anzeigen, wenn das Problem behoben wurde.

Eine Teilmenge der Verfügbarkeitszonen, die Dienstresilienz unterstützen, können zudem Dienstresilienz unterstützen. Das bedeutet, dass Dienstvorgänge der Azure Monitor-Protokolle (z. B. Protokollerfassung, Abfragen und Warnungen) im Falle eines Zonenausfalls fortgesetzt werden können.

Verfügbarkeitszonen schützen vor Vorfällen im Zusammenhang mit der Infrastruktur, z. B. vor Speicherfehlern. Sie schützen nicht vor Problemen auf Anwendungsebene, z. B. fehlerhafte Codebereitstellungen oder Zertifikatfehler, die sich auf die gesamte Region auswirken.

Sicherung von Daten aus bestimmten Tabellen mithilfe des fortlaufenden Exports

Sie können Daten, die an bestimmte Tabellen in Ihrem Log Analytics-Arbeitsbereich gesendet werden, kontinuierlich in Azure-Speicherkonten exportieren.

Das Speicherkonto, aus dem Sie Daten exportieren, muss sich in derselben Region wie der Log Analytics-Arbeitsbereich befinden. Auch wenn die Arbeitsbereichsregion ausgefallen ist, verwenden Sie zum Schutz und für den Zugriff auf Ihre erfassten Protokolle ein georedundantes Speicherkonto, wie unter Konfigurationsempfehlungen erläutert.

Der Exportmechanismus bietet keinen Schutz vor Vorfällen, die sich auf die Erfassungspipeline oder den Exportprozess selbst auswirken.

Hinweis

Sie können über Azure Monitor-Protokolle auf Daten in einem Speicherkonto zugreifen, indem Sie den externaldata-Operator verwenden. Die exportierten Daten werden jedoch in Blobs von fünf Minuten gespeichert, und die Analyse von Daten, die mehrere Blobs umfassen, kann umständlich sein. Daher ist das Exportieren von Daten in ein Speicherkonto ein guter Datensicherungsmechanismus. Die Sicherung von Daten in einem Speicherkonto ist allerdings nicht ideal, wenn Sie sie für die Analyse in Azure Monitor-Protokollen benötigen. Sie können große Mengen von Blobdaten mithilfe von Azure Data Explorer, Azure Data Factory oder eines beliebigen anderen Speicherzugriffstools abfragen.

Datenschutz und Dienstresilienz über Regionen hinweg mithilfe der Arbeitsbereichsreplikation (Vorschau)

Die Arbeitsbereichsreplikation (Vorschau) ist die umfassendste Resilienzlösung, da sie den Log Analytics-Arbeitsbereich und eingehende Protokolle in einer anderen Region repliziert.

Die Arbeitsbereichsreplikation schützt sowohl Ihre Protokolle als auch die Dienstvorgänge und ermöglicht es Ihnen, Ihre Systeme im Falle von regionsweiten Infrastruktur- oder Anwendungsvorfällen weiterhin zu überwachen.

Im Gegensatz zu Verfügbarkeitszonen, für die Microsoft die End-to-End-Verwaltung übernimmt, müssen Sie die Integrität Ihres primären Arbeitsbereichs überwachen und entscheiden, wann zum Arbeitsbereich in der sekundären Region und wieder zurück gewechselt werden soll.

Prüfliste für den Entwurf

  • Aktivieren Sie die Arbeitsbereichsreplikation, um Dienst- und Datenresilienz für regionsweite Vorfälle sicherzustellen.
  • Erstellen Sie Ihren Arbeitsbereich in einer Region, die Verfügbarkeitszonen unterstützt, um regionsinternen Schutz vor Rechenzentrumsfehlern zu gewährleisten.
  • Verwenden Sie für die regionsübergreifende Sicherung von Daten in bestimmten Tabellen das Feature für den fortlaufenden Export, um Daten an ein georepliziertes Speicherkonto zu senden.
  • Überwachen Sie die Integrität Ihrer Log Analytics-Arbeitsbereiche.

Konfigurationsempfehlungen

Empfehlung Vorteil
Aktivieren Sie die Arbeitsbereichsreplikation, um den größten Grad an Resilienz sicherzustellen. Regionsübergreifende Resilienz für Arbeitsbereichsdaten und Dienstvorgänge

Arbeitsbereichsreplikation (Vorschau) stellt Hochverfügbarkeit sicher, indem eine sekundäre Instanz Ihres Arbeitsbereichs in einer anderen Region erstellt wird und Ihre Protokolle in beiden Arbeitsbereichen erfasst werden.

Wechseln Sie bei Bedarf zu Ihrem sekundären Arbeitsbereich, bis die Probleme behoben wurden, die sich auf den primären Arbeitsbereich auswirken. Sie können weiterhin Protokolle erfassen, Daten abfragen und Dashboards, Warnungen und Sentinel in Ihrem sekundären Arbeitsbereich verwenden. Sie haben außerdem Zugriff auf Protokolle, die vor dem Regionswechsel erfasst wurden.

Dies ist ein kostenpflichtiges Feature. Überlegen Sie daher, ob Sie alle eingehenden Protokolle oder nur einige Datenströme replizieren möchten.
Erstellen Sie nach Möglichkeit Ihren Arbeitsbereich in einer Region, die die Dienstresilienz von Azure Monitor unterstützt. Regionsinterne Resilienz von Arbeitsbereichsdaten- und Dienstvorgängen im Falle von Rechenzentrumsproblemen

Verfügbarkeitszonen, die die Dienstresilienz unterstützen, unterstützen auch die Datenresilienz. Das bedeutet Folgendes: Selbst wenn ein gesamtes Rechenzentrum ausfällt, ermöglicht die Redundanz zwischen Zonen, dass Azure Monitor-Dienstvorgänge wie Erfassung und Abfrage weiterhin funktionieren, und Ihre erfassten Protokolle bleiben verfügbar.

Verfügbarkeitszonen bieten regionsinternen Schutz, schützen aber nicht vor Problemen, die sich auf die gesamte Region auswirken.

Informationen dazu, welche Regionen die Datenresilienz unterstützen, finden Sie unter Verbessern der Daten- und Dienstresilienz in Azure Monitor-Protokollen mit Verfügbarkeitszonen.
Erstellen Sie Ihren Arbeitsbereich in einer Region, die Datenresilienz unterstützt. Regionsinterner Schutz vor dem Verlust der Protokolle in Ihrem Arbeitsbereich im Falle von Rechenzentrumsproblemen

Das Erstellen Ihres Arbeitsbereichs in einer Region, die Datenresilienz unterstützt, bedeutet, dass ihre erfassten Protokolle auch dann sicher sind, wenn das gesamte Rechenzentrum ausfällt.
Wenn der Dienst keine Abfragen ausführen kann, können Sie die Protokolle erst anzeigen, wenn das Problem behoben wurde.

Informationen dazu, welche Regionen die Datenresilienz unterstützen, finden Sie unter Verbessern der Daten- und Dienstresilienz in Azure Monitor-Protokollen mit Verfügbarkeitszonen.
Konfigurieren Sie den Datenexport aus bestimmten Tabellen in ein Speicherkonto, das in allen Regionen repliziert wird. Verwalten einer Sicherungskopie Ihrer Protokolldaten in einer anderen Region

Mit dem Datenexportfeature von Azure Monitor können Sie Daten, die an bestimmte Tabellen gesendet werden, kontinuierlich zu Azure Storage exportieren, wo sie über einen längeren Zeitraum aufbewahrt werden können. Verwenden Sie ein GRS-Konto (georedundantes Speicherkonto) oder ein GZRS-Konto (geozonenredundanter Speicher), um Ihre Daten zu schützen, auch wenn eine gesamte Region ausfällt. Damit Ihre Daten aus den anderen Regionen lesbar sind, konfigurieren Sie Ihr Speicherkonto für den Lesezugriff auf die sekundäre Region. Weitere Informationen finden Sie unter Azure Storage-Redundanz in einer sekundären Region und Azure Storage-Lesezugriff auf Daten in der sekundären Region.

Für Tabellen, die den fortlaufenden Datenexport nicht unterstützen, können Sie andere Methoden zum Exportieren von Daten verwenden, einschließlich Logic Apps, um Ihre Daten zu schützen. Dies ist in erster Linie eine Lösung, um die Compliance für die Datenaufbewahrung zu erfüllen, da es schwierig sein kann, die Daten zu analysieren und im Arbeitsbereich wiederherzustellen.

Der Datenexport ist anfällig für regionale Vorfälle, da er auf der Stabilität der Azure Monitor-Aufnahmepipeline in Ihrer Region basiert. Er bietet keine Resilienz gegen Vorfälle, die sich auf die regionale Aufnahmepipeline auswirken.
Überwachen Sie die Integrität Ihrer Log Analytics-Arbeitsbereiche. Nutzen Sie Erkenntnisse zum Log Analytics-Arbeitsbereich, um nicht erfolgreiche Abfragen nachzuverfolgen und eine Integritätsstatuswarnung zu erstellen, damit Sie proaktiv benachrichtigt werden, wenn ein Arbeitsbereich aufgrund eines Rechenzentrums- oder Regionsausfalls nicht mehr verfügbar ist.

Vergleich der Resilizenfeatures von Azure Monitor-Protokollen

Funktion Dienstresilienz Datensicherung Hochverfügbarkeit Schutzumfang Einrichten Kosten
Arbeitsbereichsreplikation Regionsübergreifender Schutz vor regionsweiten Vorfällen Aktivieren sie die Replikation des Arbeitsbereichs und zugehöriger Datensammlungsregeln. Wechseln Sie nach Bedarf zwischen Regionen. Basierend auf der Anzahl der replizierten GBs und der Region
Verfügbarkeitszonen
In unterstützten Regionen
Regionsinterner Schutz vor Rechenzentrumsproblemen In unterstützten Regionen automatisch aktiviert Kostenlos
Kontinuierlicher Datenexport Schutz vor Datenverlust aufgrund eines regionalen Ausfalls 1 Pro Tabelle aktivieren. Kosten für den Datenexport + Speicher-BLOB oder Event Hubs

1 Der Datenexport bietet regionsübergreifenden Schutz, wenn Sie Protokolle in ein georepliziertes Speicherkonto exportieren. Im Falle eines Vorfalls werden zuvor exportierte Daten gesichert und sofort verfügbar; je nach Art des Vorfalls kann jedoch ein weiterer Export fehlschlagen.

Sicherheit

Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Azure Monitor bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgreifende Abwehr eingesetzt werden können. Verwenden Sie die folgenden Informationen, um die Sicherheit Ihrer Log Analytics-Arbeitsbereiche zu maximieren und sicherzustellen, dass nur autorisierte Benutzer auf die gesammelten Daten zugreifen.

Prüfliste für den Entwurf

  • Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen.
  • Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind.
  • Erwägen Sie die Verwendung Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen.
  • Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen.
  • Exportieren Sie Überwachungsdaten zur langfristigen Aufbewahrung oder Unveränderlichkeit.
  • Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen.
  • Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich.
  • Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden.
  • Aktivieren Sie Kunden-Lockbox für Microsoft Azure, Um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen.

Konfigurationsempfehlungen

Empfehlung Vorteil
Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen. Ihre Entscheidung, ob diese Daten kombiniert werden sollen, hängt von Ihren speziellen Sicherheitsanforderungen ab. Wenn Sie diese in einem einzelnen Arbeitsbereich kombinieren, erhalten Sie einen besseren Einblick in alle Ihre Daten, auch wenn Ihr Sicherheitsteam möglicherweise einen dedizierten Arbeitsbereich benötigt. Unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.

Nachteil: Die Aktivierung von Sentinel in Ihrem Arbeitsbereich wirkt sich unter Umständen auf die Kosten aus. Ausführliche Informationen finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur.
Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind. Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf Ressourcen- oder Arbeitsbereichsberechtigungen verwenden fest, um Ressourcenbesitzern die Verwendung des Ressourcenkontexts für den Zugriff auf ihre Daten zu ermöglichen, ohne expliziten Zugriff auf den Arbeitsbereich zu erhalten. Dies vereinfacht Ihre Arbeitsbereichskonfiguration und hilft sicherzustellen, dass Benutzer nicht auf Daten zugreifen können, auf die sie keinen Zugriff haben.

Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen.

Nutzen Sie RBAC auf Tabellenebene für Benutzer, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen hinweg benötigen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen.

Details über die verschiedenen Optionen zum Gewähren des Zugriffs auf Daten im Arbeitsbereich finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.
Erwägen Sie die Verwendung Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen. Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ressourcen das Herstellen einer Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Informationen zum Bestimmen der besten Netzwerk- und DNS-Topologie für Ihre Umgebung finden Sie unter Entwerfen Ihres Azure Private Link-Setups.
Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen. Mit Azure Monitor wird sichergestellt, dass alle Daten und gespeicherten Abfragen im Ruhezustand mit von Microsoft verwalteten Schlüsseln (MMK) verschlüsselt werden. Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind.
Exportieren Sie Überwachungsdaten zur langfristigen Aufbewahrung oder Unveränderlichkeit. Möglicherweise haben Sie Überwachungsdaten in Ihrem Arbeitsbereich gesammelt, die Vorschriften bezüglich einer langfristigen Aufbewahrung unterliegen. Daten in einem Log Analytics-Arbeitsbereich können nicht geändert, aber gelöscht werden. Verwenden Sie den Datenexport , um Daten an ein Azure-Speicherkonto zu senden, mit Unveränderbarkeitsrichtlinien zum Schutz vor Datenmanipulation. Nicht jede Art von Protokollen hat die gleiche Relevanz hinsichtlich Compliance, Überwachung oder Sicherheit, legen Sie daher die spezifischen Datentypen fest, die exportiert werden sollen.
Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen. Die Protokollabfrageüberwachung zeichnet die Details jeder Abfrage auf, die in einem Arbeitsbereich ausgeführt wird. Behandeln Sie diese Überwachungsdaten als Sicherheitsdaten, und sichern Sie die LAQueryLogs-Tabelle entsprechen. Konfigurieren Sie die Überwachungsprotokolle für jeden Arbeitsbereich, um sie an den lokalen Arbeitsbereich zu senden, oder konsolidieren Sie diese in einem dedizierten Sicherheitsarbeitsbereich, wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen. Verwenden Sie Erkenntnisse des Log Analytics-Arbeitsbereichs, um diese Daten regelmäßig zu überprüfen, und erwägen Sie die Erstellung von Warnungsregeln für die Protokollsuche, damit Sie proaktiv benachrichtigt werden, wenn nicht autorisierte Benutzer oder Benutzerinnen versuchen, Abfragen auszuführen.
Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich. Möglicherweise sammeln Sie Daten, die vertrauliche Informationen enthalten. Filtern Sie Datensätze, die nicht gesammelt werden sollten, mittels der Konfiguration für die jeweilige Datenquelle. Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen.

Wenn Sie über Standards verfügen, die eine Unveränderbarkeit der ursprünglichen Daten erfordern, können Sie das „h“-Literal in KQL-Abfragen verwenden, um Abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden.
Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden. Überprüfen Sie in regelmäßigen Abständen, ob in Ihrem Arbeitsbereich versehentlich private Daten gesammelt wurden, und verwenden Sie die Datenlöschung, um sie zu entfernen.
Aktivieren Sie Kunden-Lockbox für Microsoft Azure, Um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen. Kunden-Lockbox für Microsoft Azure bietet Ihnen eine Schnittstelle, über die Sie Anfragen zum Zugriff auf Kundendaten überprüfen und genehmigen oder ablehnen können. Es wird in Fällen verwendet, in denen ein Microsoft-Techniker auf Kundendaten zugreifen muss, sei es wegen eines vom Kunden initiierten Supporttickets oder eines von Microsoft identifizierten Problems. Um Kunden-Lockbox zu aktivieren, benötigen Sie einen dedizierten Cluster.
Lockbox kann derzeit nicht auf Tabellen mit dem Hilfsplan angewendet werden.

Kostenoptimierung

Kostenoptimierung bezieht sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Sie können Ihre Kosten für Azure Monitor erheblich reduzieren, indem Sie Ihre verschiedenen Konfigurationsoptionen und Möglichkeiten kennen, um so die Menge der gesammelten Daten zu reduzieren. Lesen Sie Azure Monitor-Kosten und -Verbrauch, um die verschiedenen Arten der Abrechnung von Azure Monitor zu verstehen und um zu erfahren, wie Sie Ihre monatliche Rechnung anzeigen können.

Hinweis

Empfehlungen zur Kostenoptimierung für alle Features von Azure Monitor finden Sie unter Optimieren von Kosten in Azure Monitor .

Prüfliste für den Entwurf

  • Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen.
  • Konfigurieren Sie den Tarif für die Datenmenge, die jeder Log Analytics-Arbeitsbereich normalerweise sammelt.
  • Konfigurieren Sie die Aufbewahrung und Archivierung von Daten.
  • Konfigurieren Sie Tabellen, die für das Debuggen, die Problembehandlung und die Überwachung verwendet werden, als Standardprotokolle.
  • Beschränken Sie die Datensammlung aus Datenquellen für den Arbeitsbereich.
  • Analysieren Sie die gesammelten Daten regelmäßig, um Trends und Anomalien zu identifizieren.
  • Erstellen einer Warnung, wenn die Datensammlung hoch ist.
  • Ziehen Sie eine tägliche Obergrenze als vorbeugende Maßnahme in Betracht, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten.
  • Richten Sie Benachrichtigungen für Azure Advisor-Kostenempfehlungen für Log Analytics-Arbeitsbereiche ein.

Konfigurationsempfehlungen

Empfehlung Vorteil
Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen. Da alle Daten in einem Log Analytics-Arbeitsbereich den Microsoft Sentinel-Preisen unterliegen, wenn Sentinel aktiviert ist, kann das Kombinieren dieser Daten Kosten verursachen. Unter Entwerfen einer Log Analytics-Arbeitsbereichsstrategie finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.
Konfigurieren Sie den Tarif für die Datenmenge, die jeder Log Analytics-Arbeitsbereich normalerweise sammelt. Standardmäßig verwenden Log Analytics-Arbeitsbereiche einen Tarif mit nutzungsbasierter Bezahlung ohne Mindestdatenvolumen. Wenn Sie genügend Daten sammeln, können Sie eine Mindestabnahme verwenden, bei der Sie sich zu einer täglichen Mindestmenge an gesammelten Daten verpflichten und dafür einen niedrigeren Tarif erhalten. Wenn Sie genügend Daten über Arbeitsbereiche in einer einzelnen Region hinweg sammeln, können Sie diese mit einem dedizierten Cluster verknüpfen und ihre gesammelte Volumen mithilfe der Clusterpreise kombinieren.

Weitere Informationen zu Mindestabnahmen und Anleitungen zur Bestimmung der am besten geeigneten Nutzungsstufe finden Sie unter Azure Monitor-Protokolle: Preise. Informationen zu geschätzten Kosten für Ihre Nutzung in unterschiedlichen Tarifen finden Sie unter Nutzung und geschätzte Kosten.
Konfigurieren Sie interaktive und langfristige Datenaufbewahrung. Es fallen Gebühren für die Aufbewahrung von Daten in einem Log Analytics-Arbeitsbereich an, die über den Standardwert von 31 Tagen hinausgehen (90 Tage, wenn Sentinel für den Arbeitsbereich aktiviert ist, und 90 Tage für Application Insights-Daten). Berücksichtigen Sie Ihre besonderen Anforderungen an die Verfügbarkeit von Daten für Protokollabfragen. Sie können Ihre Kosten erheblich reduzieren, indem Sie Langzeitaufbewahrung konfigurieren, sodass Sie Daten bis zu 12 Jahre lang aufbewahren und dennoch gelegentlich mithilfe von Suchaufträgen oder der Wiederherstellung einer Menge von Daten im Arbeitsbereich darauf zugreifen können.
Konfigurieren Sie Tabellen, die für das Debuggen, die Problembehandlung und die Überwachung verwendet werden, als Standardprotokolle. Tabellen in einem Log Analytics-Arbeitsbereich, der für Standardprotokolle konfiguriert ist, weisen geringere Erfassungskosten bei eingeschränkten Funktionen und einer Gebühr für Protokollabfragen auf. Wenn Sie diese Tabellen selten abfragen und nicht für Warnmeldungen verwenden, können diese Abfragekosten durch die verringerten Erfassungskosten mehr als ausgeglichen werden.
Beschränken Sie die Datensammlung aus Datenquellen für den Arbeitsbereich. Der Hauptfaktor für die Kosten von Azure Monitor ist die Menge an Daten, die Sie in Ihrem Log Analytics-Arbeitsbereich sammeln. Stellen Sie daher sicher, dass Sie nur so viele Daten sammeln, wie Sie benötigen, um die Integrität und Leistung Ihrer Dienste und Anwendungen bewerten zu können. Unter Entwerfen einer Log-Analytics-Arbeitsbereichsarchitektur finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.

Nachteil: Es muss möglicherweise ein Kompromiss zwischen den Kosten und Ihren Überwachungsanforderungen gefunden werden. So können Sie beispielsweise Leistungsprobleme mit einer hohen Samplingrate ggf. schneller erkennen. Eine niedrigere Samplingrate würde aber weniger Kosten verursachen. Die meisten Umgebungen verfügen über mehrere Datenquellen mit unterschiedlichen Sammlungstypen. Daher müssen Sie Ihre speziellen Anforderungen jeweils mit Ihren Kostenzielen abstimmen. Empfehlungen zum Konfigurieren der Sammlung für verschiedene Datenquellen finden Sie unter Kostenoptimierung in Azure Monitor.
Analysieren Sie die gesammelten Daten regelmäßig, um Trends und Anomalien zu identifizieren. Verwenden Sie Erkenntnisse in Log Analytics-Arbeitsbereiche, um die Menge der in Ihrem Arbeitsbereich gesammelten Daten regelmäßig zu überprüfen. Dies hilft Ihnen nicht nur dabei, die Menge der von verschiedenen Quellen gesammelten Daten zu verstehen, sondern identifiziert auch Anomalien und Aufwärtstrends bei der Datensammlung, die zu übermäßigen Kosten führen könnten. Analysieren Sie die Datensammlung mithilfe von Methoden in Analysieren des Verbrauchs im Log Analytics-Arbeitsbereich weiter, um zu ermitteln, ob Sie den Verbrauch durch zusätzliche Konfigurationseinstellungen verringern können. Dies ist besonders wichtig, wenn Sie eine neue Gruppe von Datenquellen hinzufügen, z. B. einen neuen Satz virtueller Computer oder das Onboarding eines neuen Diensts durchführen.
Erstellen einer Warnung, wenn die Datensammlung hoch ist. Um unerwartete Rechnungen zu vermeiden, sollten Sie sich bei übermäßigem Verbrauch proaktiv benachrichtigen lassen. Durch die Benachrichtigung können Sie potenzielle Anomalien vor dem Ende Ihres Abrechnungszeitraums beheben.
Ziehen Sie eine tägliche Obergrenze als vorbeugende Maßnahme in Betracht, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten. Eine tägliche Obergrenze deaktiviert die Datensammlung in einem Log Analytics-Arbeitsbereich für den Rest des Tages, sobald Ihr konfigurierter Grenzwert erreicht ist. Dies sollte nicht als Methode verwendet werden, um Kosten zu senken, wie unter Verwendung einer täglichen Obergrenze beschrieben.

Wenn Sie eine tägliche Obergrenze festlegen, stellen Sie zusätzlich zum Erstellen einer Warnung bei Erreichen der Obergrenze sicher, dass Sie auch eine Warnungsregel erstellen, um benachrichtigt zu werden, wenn ein bestimmter Prozentsatz erreicht wurde (z. B. 90 Prozent). Dies bietet Ihnen die Möglichkeit, die Ursache der erhöhten Datenmengen zu untersuchen und zu beheben, bevor die Datensammlung durch die Obergrenze angehalten wird.
Richten Sie Benachrichtigungen für Azure Advisor-Kostenempfehlungen für Log Analytics-Arbeitsbereiche ein. Azure Advisor-Empfehlungen für Log Analytics-Arbeitsbereiche benachrichtigen Sie proaktiv, wenn es eine Möglichkeit gibt, Ihre Kosten zu optimieren. Erstellen Sie Azure Advisor-Warnungen für diese Kostenempfehlungen:
  • Erwägen Sie die Konfiguration des kostenwirksamen Basisprotokollplans für ausgewählte Tabellen – Wir haben die Aufnahme von mehr als 1 GB pro Monat in Tabellen identifiziert, die für den Einfachen Protokolldatenplan berechtigt sind. Der Basic-Protokollplan bietet Ihnen Abfragefunktionen zum Debuggen und zur Problembehandlung zu geringeren Kosten.
  • Untersuchen Sie basierend auf Ihrem aktuellen Nutzungsvolumen die Änderung Ihres Tarifs (Mindestabnahme), um einen Rabatt zu erhalten und die Kosten zu senken.
  • Erwägen Sie das Entfernen nicht verwendeter wiederhergestellter Tabellen – Sie haben eine oder mehrere Tabellen mit wiederhergestellten Daten, die in Ihrem Arbeitsbereich aktiv sind. Wenn Sie keine wiederhergestellten Daten mehr verwenden, löschen Sie die Tabelle, um unnötige Gebühren zu vermeiden.
  • Anomalien bei der Erfassung von Daten – Wir haben eine viel höhere Aufnahmerate in der letzten Woche identifiziert, basierend auf Ihrer Aufnahme in den drei vorherigen Wochen. Notieren Sie sich diese Änderung und die erwartete Änderung Ihrer Kosten.
Sie können automatisch generierte Empfehlung auch anzeigen, indem Sie im Ressourcenmenü Ihres Log Analytics-Arbeitsbereichs Übersicht>Empfehlungen oder Advisor-Empfehlungen auswählen.

Optimaler Betrieb

Erstklassige Betriebsprozesse bezieht sich auf Betriebsprozesse, die erforderlich sind, um einen Dienst zuverlässig in der Produktion zu betreiben. Verwenden Sie die folgenden Informationen, um die betrieblichen Anforderungen für die Unterstützung von Log Analytics-Arbeitsbereichen zu minimieren.

Prüfliste für den Entwurf

  • Entwerfen Sie eine Arbeitsbereichsarchitektur mit der minimalen Anzahl von Arbeitsbereichen, um Ihre geschäftlichen Anforderungen zu erfüllen.
  • Verwenden Sie Infrastructure-as-Code (IaC), wenn Sie mehrere Arbeitsbereiche verwalten.
  • Verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um die Integrität und Leistung Ihrer Log Analytics-Arbeitsbereiche nachzuverfolgen.
  • Erstellen Sie Warnungsregeln, um proaktiv über betriebliche Probleme im Arbeitsbereich benachrichtigt zu werden.
  • Stellen Sie sicher, dass Sie über einen klar definierten Betriebsprozess für die Datentrennung verfügen.

Konfigurationsempfehlungen

Empfehlung Vorteil
Entwerfen Sie eine Arbeitsbereichsstrategie, um Ihre geschäftlichen Anforderungen zu erfüllen. Anleitungen zum Entwerfen einer Strategie für Ihre Log Analytics-Arbeitsbereiche finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur. Dort erfahren Sie unter anderem, wie viele erstellt und wo sie platziert werden sollten.

Ein einzelner Arbeitsbereich oder zumindest eine minimale Anzahl von Arbeitsbereichen maximiert Ihre betriebliche Effizienz, da dadurch die Verteilung Ihrer Betriebs- und Sicherheitsdaten eingeschränkt wird, wodurch Sie einen verbesserten Einblick in potenzielle Probleme erhalten sowie Muster leichter erkennen und Ihre Wartungsanforderungen minimieren können.

Möglicherweise benötigen Sie mehrere Arbeitsbereiche (z. B. mehrere Mandanten), oder Sie benötigen Arbeitsbereiche in mehreren Regionen, um Ihre Verfügbarkeitsanforderungen zu unterstützen. Stellen Sie in diesen Fällen sicher, dass Sie über geeignete Prozesse verfügen, um diese erhöhte Komplexität zu bewältigen.
Verwenden Sie Infrastructure-as-Code (IaC), wenn Sie mehrere Arbeitsbereiche verwalten. Verwenden Sie Infrastructure-as-Code (IaC), um die Details Ihrer Arbeitsbereiche in ARM, BICEP oder Terraform zu definieren. Dadurch können Sie Ihre bereits vorhandenen DevOps-Prozesse nutzen, um neue Arbeitsbereiche bereitzustellen, und deren Konfiguration mithilfe von Azure Policy erzwingen.
Verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um die Integrität und Leistung Ihrer Log Analytics-Arbeitsbereiche nachzuverfolgen. Erkenntnisse für Log Analytics-Arbeitsbereiche bieten eine einheitliche Ansicht des Verbrauchs, der Leistung, der Integrität, des Agents, der Abfragen und der Änderungsprotokolle für alle Ihre Arbeitsbereiche. Überprüfen Sie diese Informationen regelmäßig, um die Integrität und den Betrieb jedes Ihrer Arbeitsbereiche nachzuverfolgen.
Erstellen Sie Warnungsregeln, um proaktiv über betriebliche Probleme im Arbeitsbereich benachrichtigt zu werden. Jeder Arbeitsbereich verfügt über eine Vorgangstabelle, in der wichtige Aktivitäten protokolliert werden, die sich auf den Arbeitsbereich auswirken. Erstellen Sie Warnungsregeln basierend auf dieser Tabelle, um proaktiv benachrichtigt zu werden, wenn ein Betriebsproblem auftritt. Sie können empfohlene Warnungen für den Arbeitsbereich verwenden, um die Erstellung der kritischsten Warnungsregeln zu vereinfachen.
Stellen Sie sicher, dass Sie über einen klar definierten Betriebsprozess für die Datentrennung verfügen. Möglicherweise haben Sie unterschiedliche Anforderungen für unterschiedliche Datentypen, die in Ihrem Arbeitsbereich gespeichert sind. Machen Sie sich sorgfältig mit den Anforderungen wie Datenaufbewahrung und Sicherheit vertraut, wenn Sie Ihre Arbeitsbereichsstrategie entwerfen und Einstellungen wie Berechtigungen und Langzeitaufbewahrung konfigurieren. Außerdem sollten Sie über einen klar definierten Prozess für das gelegentliche Löschen von Daten mit personenbezogenen Informationen verfügen, die versehentlich gesammelt wurden.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Verwenden Sie die folgenden Informationen, um sicherzustellen, dass Ihre Log Analytics-Arbeitsbereiche und Protokollabfragen für maximale Leistung konfiguriert sind.

Prüfliste für den Entwurf

  • Konfigurieren Sie die Protokollabfrageüberwachung, und verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um langsame und ineffiziente Abfragen zu identifizieren.

Konfigurationsempfehlungen

Empfehlung Vorteil
Konfigurieren Sie die Protokollabfrageüberwachung, und verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um langsame und ineffiziente Abfragen zu identifizieren. Die Protokollabfrageüberwachung speichert die Computezeit, die zum Ausführen jeder Abfrage erforderlich ist, und die Zeit, bis Ergebnisse zurückgegeben werden. Erkenntnisse für Log Analytics-Arbeitsbereiche verwendet diese Daten, um potenziell ineffiziente Abfragen in Ihrem Arbeitsbereich aufzulisten. Erwägen Sie, diese Abfragen neu zu schreiben, um ihre Leistung zu verbessern. Anleitungen zur Optimierung Ihrer Protokollabfragen finden Sie unter Optimieren von Protokollabfragen in Azure Monitor .

Nächster Schritt