Teilen über


Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur

Für viele Umgebungen, in denen Azure Monitor und Microsoft Sentinel verwendet wird, dürfte ein einzelner Log Analytics-Arbeitsbereich ausreichend sein. Viele Unternehmen richten jedoch mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und den verschiedenen Geschäftsanforderungen besser gerecht zu werden. In diesem Artikel werden verschiedene Kriterien vorgestellt, anhand derer Sie entscheiden können, ob Sie einen einzelnen Arbeitsbereich oder mehrere Arbeitsbereiche verwenden sollten. Außerdem wird die Konfiguration und Platzierung dieser Arbeitsbereiche erläutert, um Ihre Anforderungen zu erfüllen und gleichzeitig die Kosten zu optimieren.

Hinweis

In diesem Artikel werden Azure Monitor und Microsoft Sentinel beschrieben, da viele Kunden beide Dienste in ihre Entwurfsüberlegungen einbeziehen müssen. Die meisten Entscheidungskriterien gelten für beide Dienste. Wenn Sie nur einen dieser Dienste verwenden, können Sie den anderen in Ihrer Auswertung einfach ignorieren.

In diesem Video werden die Grundlagen von Azure Monitor-Protokollen, bewährte Methoden und Entwurfsüberlegungen zum Entwickeln einer Bereitstellung der Azure Monitor-Protokolle behandelt:

Designstrategie

Sie sollten Ihren Entwurf immer mit einem einzelnen Arbeitsbereich beginnen, da sich die Verwaltung mehrerer Arbeitsbereiche und die Datenabfrage von diesen Bereichen so weniger komplex gestaltet. Hinsichtlich der Datenmenge in Ihrem Arbeitsbereich bestehen keine Leistungseinschränkungen. Mehrere Dienste und Datenquellen können Daten an denselben Arbeitsbereich senden. Wenn Kriterien für das Erstellen zusätzlicher Arbeitsbereiche sprechen, sollte Ihr Entwurf von der geringsten Anzahl von Arbeitsbereichen ausgehen, die zur Erfüllung Ihrer Anforderungen ausreicht.

Beim Entwerfen einer Arbeitsbereichskonfiguration müssen mehrere Kriterien berücksichtigt werden. Einige Kriterien können jedoch miteinander in Konflikt stehen. Beispielsweise können Sie Gebühren für ausgehenden Datenverkehr reduzieren, indem Sie in jeder Azure-Region einen separaten Arbeitsbereich erstellen. Durch die Konsolidierung in einem einzelnen Arbeitsbereich können Sie die Gebühren durch eine Mindestabnahme möglicherweise noch weiter senken. Sie sollten alle Kriterien unabhängig voneinander bewerten. Berücksichtigen Sie Ihre Anforderungen und Prioritäten, um festzustellen, welcher Entwurf für Ihre Umgebung am effektivsten ist.

Designkriterien

Die folgende Tabelle enthält Kriterien, die beim Entwerfen ihrer Arbeitsbereichsarchitektur berücksichtigt werden sollten. In den nachfolgenden Abschnitten werden die Kriterien beschrieben.

Kriterien BESCHREIBUNG
Operative und sicherheitsrelevante Daten Sie können operative Daten aus Azure Monitor in einem Arbeitsbereich mit den sicherheitsbezogenen Daten aus Microsoft Sentinel kombinieren oder sie jeweils in einem eigenen Arbeitsbereich speichern. Durch eine Kombination der beiden Datentypen erhalten Sie einen besseren Überblick über sämtliche Daten, aber Ihre Sicherheitsstandards sehen möglicherweise eine Trennung vor, damit Ihr Sicherheitsteam über einen dedizierten Arbeitsbereich verfügt. Außerdem könnten Kostenfaktoren für die jeweilige Strategie eine Rolle spielen.
Azure-Mandanten Wenn Sie über mehrere Azure-Mandanten verfügen, erstellen Sie normalerweise einen Arbeitsbereich für jeden Mandanten. Einige Datenquellen können nur Überwachungsdaten an einen Arbeitsbereich in demselben Azure-Mandanten senden.
Azure-Regionen Jeder Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise gibt es gesetzliche Vorschriften oder Complianceanforderungen, die die Speicherung von Daten an bestimmten Orten regeln.
Datenbesitz Sie können separate Arbeitsbereiche erstellen, um den Datenbesitz zu definieren. Beispielsweise können Sie Arbeitsbereiche nach Tochtergesellschaften oder verbundenen Unternehmen erstellen.
Getrennte Abrechnung Durch die Zuordnung von Arbeitsbereichen zu separaten Abonnements können diese verschiedenen Parteien in Rechnung gestellt werden.
Datenaufbewahrung Sie können für jeden Arbeitsbereich und jede Tabelle in einem Arbeitsbereich unterschiedliche Aufbewahrungseinstellungen festlegen. Wenn Sie verschiedene Aufbewahrungseinstellungen für unterschiedliche Ressourcen benötigen, aus denen Daten an dieselben Tabellen gesendet werden, benötigen Sie einen separaten Arbeitsbereich.
Mindestabnahmen Mithilfe von Mindestabnahmen können Sie Ihre Erfassungskosten reduzieren, indem Sie sich zur Abnahme einer Mindestmenge an täglichen Daten in einem einzigen Arbeitsbereich verpflichten.
Einschränkungen des Legacy-Agents Bei älteren virtuellen Computer-Agents gibt es Einschränkungen hinsichtlich der Anzahl der Arbeitsbereiche, zu denen sie eine Verbindung herstellen können.
Zugriffssteuerung für Daten Konfigurieren Sie den Zugriff auf den Arbeitsbereich und auf verschiedene Tabellen und Daten aus unterschiedlichen Ressourcen.
Resilienz Um sicherzustellen, dass Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen.

Operative und sicherheitsrelevante Daten

Die Entscheidung, ob Sie die operativen Daten aus Azure Monitor im selben Arbeitsbereich wie die sicherheitsrelevanten Daten aus Microsoft Sentinel kombinieren oder jeweils einen eigenen Arbeitsbereich einrichten, hängt von Ihren Sicherheitsanforderungen und den potenziellen Kosten für Ihre Umgebung ab.

Dedizierte Arbeitsbereiche: Die Einrichtung dedizierter Arbeitsbereiche für Azure Monitor und Microsoft Sentinel ermöglicht es Ihnen, die Verantwortung für die Daten auf das Betriebs- und das Sicherheitsteam aufzuteilen. Dieser Ansatz kann auch dazu beitragen, die Kosten zu optimieren: Wenn Microsoft Sentinel in einem Arbeitsbereich aktiviert ist, unterliegen alle Daten in diesem Arbeitsbereich den Microsoft Sentinel-Preisen – selbst dann, wenn es sich um operative Daten handelt, die mit Azure Monitor erfasst wurden.

Ein Arbeitsbereich mit Microsoft Sentinel erhält drei Monate kostenlose Datenaufbewahrung anstelle von 31 Tagen. Dieses Szenario führt in der Regel zu höheren Kosten für operative Daten in einem Arbeitsbereich ohne Microsoft Sentinel. Siehe Azure Monitor-Protokolle: Preisdetails.

Kombinierter Arbeitsbereich: Wenn Sie Ihre Daten aus Azure Monitor und Microsoft Sentinel im selben Arbeitsbereich zusammenfassen, erhalten Sie einen besseren Überblick über alle Ihre Daten und können beide Datentypen in Abfragen und Arbeitsmappen problemlos kombinieren. Wenn der Zugriff auf sicherheitsrelevante Daten auf ein bestimmtes Team beschränkt werden soll, können Sie mithilfe von RBAC auf Tabellenebene bestimmte Benutzer*innen für Tabellen mit sicherheitsrelevanten Daten sperren oder über den Ressourcenkontext den Zugriff von Benutzer*innen auf den Arbeitsbereich beschränken.

Diese Konfiguration kann zu Kosteneinsparungen führen, wenn Sie eine Mindestabnahme erreichen, die einen Rabatt für Ihre Datenerfassungsgebühren bietet. Schauen Sie sich beispielsweise eine Organisation an, die operative Daten und Sicherheitsdaten hat, von denen jeweils etwa 50 GB pro Tag erfasst werden. Die Kombination der Daten im selben Arbeitsbereich würde eine Mindestabnahme von 100 GB pro Tag ermöglichen. In diesem Szenario würde ein Rabatt von 15 % für Azure Monitor und ein Rabatt von 50 % für Microsoft Sentinel angeboten.

Wenn Sie separate Arbeitsbereiche nach anderen Kriterien erstellen, richten Sie in der Regel weitere Arbeitsbereichspaare ein. Wenn Sie z. B. über zwei Azure-Mandanten verfügen, können Sie vier Arbeitsbereiche erstellen, wobei jeder Mandant einen Arbeitsbereich für operative und Daten und einen Arbeitsbereich für sicherheitsrelevante Daten enthält.

  • Wenn Sie sowohl Azure Monitor als auch Microsoft Sentinel verwenden: Ziehen Sie eine Trennung der beiden Datentypen in jeweils einem eigenen Arbeitsbereich in Betracht, wenn dies für Ihr Sicherheitsteam erforderlich ist oder zu Kosteneinsparungen führt. Erwägen Sie die Kombination der beiden Datentypen, um einen besseren Überblick über Ihre kombinierten Überwachungsdaten zu erhalten oder um eine bestimmte Mindestabnahme zu erzielen.
  • Wenn Sie sowohl Microsoft Sentinel als auch Microsoft Defender for Cloud verwenden, sollten Sie denselben Arbeitsbereich für beide Lösungen verwenden, damit sicherheitsrelevante Daten am selben Ort gespeichert werden.

Azure-Mandanten

Die meisten Ressourcen können nur Überwachungsdaten an einen Arbeitsbereich in demselben Azure-Mandanten senden. Virtuelle Computer, die den Azure Monitor-Agent oder die Log Analytics-Agents verwenden, können Daten an Arbeitsbereiche in separaten Azure-Mandanten senden. Sie können dieses Szenario als Dienstanbieter in Betracht ziehen.

  • Wenn Sie über einen einzelnen Azure-Mandanten verfügen, erstellen Sie einen einzelnen Arbeitsbereich für diesen Mandanten.
  • Wenn Sie über mehrere Azure-Mandanten verfügen, erstellen Sie einen Arbeitsbereich für jeden Mandanten. Weitere Optionen, z. B. Strategien für Dienstanbieter, finden Sie unter Strategien für mehrere Mandanten.

Azure-Regionen

Jeder Log Analytics-Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise müssen Daten aufgrund von gesetzlichen Vorschriften oder Complianceanforderungen in einer bestimmten Region gespeichert werden. Ein internationales Unternehmen könnte z. B. einen Arbeitsbereich in jeder großen geografischen Region wie etwa den USA und Europa einrichten.

  • Wenn Sie Anforderungen für die Aufbewahrung von Daten in einer bestimmten Region erfüllen müssen, erstellen Sie für jede Region mit diesen Anforderungen einen separaten Arbeitsbereich.
  • Wenn keine Anforderungen für die Aufbewahrung von Daten in einer bestimmten Region gelten, verwenden Sie einen einzelnen Arbeitsbereich für alle Regionen.
  • Wenn Sie Daten an eine Region senden, die sich außerhalb der Region Ihres Arbeitsbereichs befindet, unabhängig davon, ob sich die sendende Ressource in Azure befindet: Erwägen Sie die Verwendung eines Arbeitsbereichs in derselben Region wie Ihre Daten.

Sie sollten auch potenzielle Bandbreitengebühren berücksichtigen, die anfallen können, wenn Sie Daten von einer Ressource in einer anderen Region an einen Arbeitsbereich senden. Für die meisten Kunden sind diese Gebühren im Vergleich zu den Kosten für die Datenerfassung gering. Die Gebühren entstehen in der Regel durch die Übermittlung von Daten von einem virtuellen Computer an den Arbeitsbereich. Durch die Überwachung von Daten von anderen Azure-Ressourcen mithilfe von Diagnoseeinstellungen entstehen keine Gebühren für ausgehenden Datenverkehr.

Verwenden Sie den Azure-Preisrechner, um die Kosten zu schätzen und zu entscheiden, welche Regionen Sie benötigen. Ziehen Sie Arbeitsbereiche in mehreren Regionen in Betracht, wenn die Bandbreitengebühren erheblich sind.

  • Wenn Bandbreitengebühren hoch genug sind, um die zusätzliche Komplexität zu rechtfertigen, erstellen Sie einen separaten Arbeitsbereich für jede Region mit virtuellen Computern.
  • Wenn Bandbreitengebühren nicht hoch genug sind, um die zusätzliche Komplexität zu rechtfertigen, verwenden Sie einen einzigen Arbeitsbereich für alle Regionen.

Datenbesitz

Möglicherweise müssen Sie je nach Besitzverhältnissen Daten trennen oder Grenzen definieren. Beispielsweise könnten Sie über unterschiedliche Tochtergesellschaften oder verbundene Unternehmen verfügen, die eine Abgrenzung ihrer Überwachungsdaten erforderlich machen.

  • Wenn eine Datentrennung erforderlich ist, verwenden Sie für jeden Datenbesitzer einen separaten Arbeitsbereich.
  • Wenn keine Datentrennung erforderlich ist, verwenden Sie für alle Datenbesitzer einen einzigen Arbeitsbereich.

Getrennte Abrechnung

Möglicherweise müssen Sie die Abrechnung auf verschiedene Parteien aufteilen oder eine Rückbuchung an einen Kunden oder eine interne Geschäftseinheit durchführen. Mit Azure Cost Management + Billing können Sie Gebühren nach Arbeitsbereich einsehen. Sie können auch eine Protokollabfrage verwenden, um abrechenbare Datenmengen nach Azure-Ressource, -Ressourcengruppe oder -Abonnement anzuzeigen. Dieser Ansatz reicht für Ihre Abrechnungsanforderungen möglicherweise aus.

  • Wenn Sie keine Abrechnung aufteilen oder keine Gebühr rückbuchen müssen, verwenden Sie einen einzigen Arbeitsbereich für alle Kostenträger.
  • Wenn Sie die Abrechnung aufteilen oder eine Gebühr rückbuchen müssen, überlegen Sie, ob Azure Cost Management + Billing oder eine Protokollabfrage eine Kostenberichterstattung bieten, die für Ihre Anforderungen präzise genug ist. Ist dies nicht der Fall, verwenden Sie einen separaten Arbeitsbereich für jeden Kostenträger.

Beibehaltung von Daten

Sie können Standardeinstellungen für die Datenaufbewahrung für einen Arbeitsbereich oder verschiedene Einstellungen für jede Tabelle konfigurieren. Möglicherweise benötigen Sie unterschiedliche Einstellungen für verschiedene Datasets in einer bestimmten Tabelle. In diesem Fall müssen Sie diese Daten auf verschiedene Arbeitsbereiche aufteilen, und zwar jeweils mit eindeutigen Aufbewahrungseinstellungen.

  • Wenn Sie dieselben Aufbewahrungseinstellungen für alle Daten in jeder Tabelle verwenden können, verwenden Sie einen einzigen Arbeitsbereich für alle Ressourcen.
  • Wenn Sie unterschiedliche Aufbewahrungseinstellungen für verschiedene Ressourcen in derselben Tabelle benötigen, verwenden Sie einen separaten Arbeitsbereich für die unterschiedlichen Ressourcen.

Mindestabnahmen

Mindestabnahmen sorgen für einen Rabatt auf Ihre Arbeitsbereichserfassungskosten, wenn Sie sich für eine bestimmte Menge an täglichen Daten verpflichten. Sie können Daten in einem einzelnen Arbeitsbereich konsolidieren, um eine bestimmten Abnahmestufe zu erreichen. Wenn dieselbe Datenmenge auf mehrere Arbeitsbereiche aufgeteilt ist, würden sie nicht für dieselbe Stufe infrage kommen, es sei denn, Sie verfügen über einen dedizierten Cluster.

Wenn Sie sich zur Erfassung von mindestens 100 GB pro Tag verpflichten können, sollten Sie einen dedizierten Cluster implementieren, der zusätzliche Funktionen und Leistung bietet. Dedizierte Cluster ermöglichen es Ihnen auch, die Daten aus mehreren Arbeitsbereichen im Cluster zu kombinieren, um eine bestimmte Mindestabnahmestufe zu erreichen.

  • Wenn Sie mindestens 100 GB pro Tag über alle Ressourcen hinweg erfassen, erstellen Sie einen dedizierten Cluster, und legen Sie die geeignete Mindestabnahme fest.
  • Wenn Sie mindestens 100 GB pro Tag über alle Ressourcen hinweg erfassen, sollten Sie diese in einem einzigen Arbeitsbereich kombinieren, um von einer Mindestabnahme zu profitieren.

Einschränkungen des Legacy-Agents

Auch wenn Sie es aufgrund der zusätzlichen Gebühren vermeiden sollten, doppelte Daten an mehrere Arbeitsbereiche zu senden, sind virtuelle Computer möglicherweise mit mehreren Arbeitsbereichen verbunden. Das häufigste Szenario ist ein Agent, der mit separaten Arbeitsbereichen für Azure Monitor und Microsoft Sentinel verbunden ist.

Der Azure Monitor-Agent und der Log Analytics-Agent für Windows können eine Verbindung mit mehreren Arbeitsbereichen herstellen. Der Log Analytics-Agent für Linux kann nur eine Verbindung mit einem einzigen Arbeitsbereich herstellen.

  • Wenn Sie den Log Analytics-Agent für Linux verwenden, migrieren Sie zum Azure Monitor-Agent, oder stellen Sie sicher, dass Ihre Linux-Computer nur Zugriff auf einen einzigen Arbeitsbereich benötigen.

Zugriffssteuerung für Daten

Wenn Sie einem Benutzer Zugriff auf einen Arbeitsbereich gewähren, hat er Zugriff auf alle Daten in diesem Arbeitsbereich. Diese Zugriffsart ist für Mitglieder einer zentralen Verwaltung oder eines Sicherheitsteams geeignet, die auf Daten für alle Ressourcen zugreifen müssen. Der Zugriff auf den Arbeitsbereich wird auch durch RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) nach Ressourcenkontext und RBAC auf Tabellenebene bestimmt.

RBAC nach Ressourcenkontext: Wenn ein Benutzer Lesezugriff auf eine Azure-Ressource hat, erbt er standardmäßig die Zugriffsberechtigungen für alle Überwachungsdaten dieser Ressource, die an den Arbeitsbereich gesendet wurden. Durch diese Zugriffsebene können Benutzer auf Informationen zu Ressourcen zugreifen, die sie verwalten, ohne dass sie explizit Zugriff auf den Arbeitsbereich erhalten. Wenn Sie diesen Zugriff blockieren müssen, können Sie den Zugriffssteuerungsmodus ändern, um explizite Arbeitsbereichsberechtigungen anzufordern.

  • Wenn Sie möchten, dass Benutzer auf Daten für ihre Ressourcen zugreifen können, behalten Sie den standardmäßigen Zugriffssteuerungsmodus für die Verwendung von Ressourcen- oder Arbeitsbereichsberechtigungen bei.
  • Wenn Sie allen Benutzern explizit Zugriffsberechtigungen zuweisen möchten, ändern Sie den Zugriffssteuerungsmodus in Arbeitsbereichsberechtigungen erforderlich.

RBAC auf Tabellenebene: Mit RBAC auf Tabellenebene können Sie Zugriffsberechtigungen für bestimmte Tabellen im Arbeitsbereich gewähren oder verweigern. Auf diese Weise können Sie präzise Berechtigungen implementieren, die für bestimmte Situationen in Ihrer Umgebung erforderlich sind.

Beispielsweise können Sie nur Zugriff auf bestimmte Tabellen gewähren, die von Microsoft Sentinel für ein internes Überwachungsteam erfasst wurden. Alternativ können Sie Ressourcenbesitzern, die operative Daten im Zusammenhang mit ihren Ressourcen benötigen, den Zugriff auf sicherheitsrelevante Tabellen verweigern.

  • Wenn Sie keine präzise Zugriffssteuerung auf Tabellenebene benötigen, gewähren Sie dem operativen Team und dem Sicherheitsteam Zugriff auf ihre Ressourcen, und ermöglichen Sie den Ressourcenbesitzern die Verwendung von RBAC nach Ressourcenkontext für ihre Ressourcen.
  • Wenn Sie eine präzise Zugriffssteuerung auf Tabellenebene benötigen, gewähren oder verweigern Sie den Zugriff auf bestimmte Tabellen mithilfe von RBAC auf Tabellenebene.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.

Resilienz

Um sicherzustellen, dass wichtige Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie einige oder alle Ihre Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen.

Diese Option erfordert die Verwaltung der Integration mit anderen Diensten und Produkten separat für jeden Arbeitsbereich. Obwohl die Daten im Falle eines Fehlers im alternativen Arbeitsbereich verfügbar sind, wechseln Ressourcen, die auf die Daten angewiesen sind, z. B. auf Warnungen und Arbeitsmappen, nicht automatisch zu diesem alternativen Arbeitsbereich. Erwägen Sie das Speichern von ARM-Vorlagen für kritische Ressourcen mit einer Konfiguration für den alternativen Arbeitsbereich in Azure DevOps oder als deaktivierte Richtlinien, die in einem Failoverszenario schnell aktiviert werden können.

Arbeiten mit mehreren Arbeitsbereichen

Viele Entwürfe umfassen mehrere Arbeitsbereiche. Ein zentrales SecOps-Team kann beispielsweise eigene Microsoft Sentinel-Arbeitsbereiche verwenden, um zentralisierte Artefakte wie Analyseregeln oder Arbeitsmappen zu verwalten.

Azure Monitor und Microsoft Sentinel enthalten Features, mit denen Sie diese Daten arbeitsbereichsübergreifend analysieren können. Weitere Informationen finden Sie unter:

Beim Benennen der einzelnen Arbeitsbereiche wird empfohlen, einen aussagekräftigen Indikator in den Namen einzuschließen, damit Sie den Zweck der einzelnen Arbeitsbereiche leicht identifizieren können.

Strategien für mehrere Mandanten

Umgebungen mit mehreren Azure-Mandanten, einschließlich Anbietern von Microsoft-Diensten (MSPs), unabhängigen Softwareanbietern (ISVs) und großen Unternehmen, erfordern häufig eine Strategie, in der ein zentrales Administratorteam auf Arbeitsbereiche in anderen Mandanten zugreifen und diese verwalten kann. Jeder der Mandanten kann für separate Kunden oder unterschiedliche Geschäftseinheiten stehen.

Hinweis

Für Partner und Dienstanbieter, die Teil des Cloud Solution Provider-(CSP-)Programms sind, ist Log Analytics in Azure Monitor einer der Azure-Dienste, die in Azure CSP-Abonnements zur Verfügung stehen.

In den folgenden Abschnitten werden zwei grundlegende Strategien für diese Funktionalität beschrieben.

Verteilte Architektur

In einer verteilten Architektur wird in jedem Azure-Mandanten ein Log Analytics-Arbeitsbereich erstellt. Dies ist die einzige Option, die Sie nutzen können, wenn Sie andere Azure-Dienste als virtuelle Computer überwachen.

Es gibt zwei Optionen, mit denen Dienstanbieteradministratoren auf die Arbeitsbereiche in den Kundenmandanten zugreifen können.

  • Mit Azure Lighthouse können Sie auf jeden Kundenmandanten zuzugreifen. Die Dienstanbieteradministratoren sind in einer Microsoft Entra im Mandanten des Dienstanbieters enthalten. Dieser Gruppe wird während des Onboardingprozesses für jeden Kunden Zugriff gewährt. Die Administratoren können dann über ihren Mandanten des Dienstanbieters auf die Arbeitsbereiche jedes Kunden zugreifen und müssen sich nicht beim Mandanten jedes einzelnen Kunden anmelden. Weitere Informationen finden Sie unter Überwachen von Kundenressourcen in großem Umfang.
  • Fügen Sie einzelne Benutzer des Dienstanbieters als Microsoft Entra-Gastbenutzer (B2B) hinzu. Die Kundenmandantenadministratoren verwalten den individuellen Zugriff für jeden Dienstanbieteradministrator. Die Dienstanbieteradministratoren müssen sich im Azure-Portal beim Verzeichnis jedes Mandanten anmelden, um auf diese Arbeitsbereiche zuzugreifen.

Vorteile dieser Strategie:

  • Protokolle können von Ressourcen jeder Art erfasst werden.
  • Der Kunde kann bestimmte Berechtigungsstufen mit der delegierten Azure-Ressourcenverwaltung bestätigen. Alternativ kann der Kunde den Zugriff auf die Protokolle mithilfe eines eigenen Azure RBAC steuern.
  • Jeder Kunde kann andere Einstellungen für seinen Arbeitsbereich verwenden, etwa hinsichtlich Aufbewahrungsdauer und Datenobergrenze.
  • Isolation zwischen Kunden im Hinblick auf behördliche Bestimmungen und Compliance.
  • Die Gebühr für jeden Arbeitsbereich ist in der Rechnung für das Abonnement des Kunden enthalten.

Nachteile dieser Strategie:

  • Durch die zentrale Visualisierung und Analyse von Daten mehrerer Kundenmandanten mithilfe von Tools wie z. B. Azure Monitor-Arbeitsmappen können sich Vorgänge verlangsamen. Dies ist insbesondere der Fall, wenn Daten in mehr als 50 Arbeitsbereichen analysiert werden.
  • Wenn für Kunden kein Onboarding für die delegierte Azure-Ressourcenverwaltung durchgeführt wird, müssen Dienstanbieteradministratoren im Kundenverzeichnis bereitgestellt werden. Durch diese Anforderung gestaltet es sich für den Dienstanbieter schwieriger, viele Kundenmandanten auf einmal zu verwalten.

Zentralisiert

Ein einzelner Arbeitsbereich wird im Abonnement des Dienstanbieters erstellt. Bei dieser Option können lediglich Daten von virtuellen Kundencomputern gesammelt werden. Agents, die auf den virtuellen Computern installiert sind, werden so konfiguriert, dass ihre Protokolle an diesen zentralen Arbeitsbereich gesendet werden.

Vorteile dieser Strategie:

  • Es ist einfach, viele Kunden zu verwalten.
  • Der Dienstanbieter ist im vollständigen Besitz der Protokolle und der verschiedenen Artefakte, wie etwa Funktionen und gespeicherte Abfragen.
  • Ein Dienstanbieter kann übergreifende Analysen für alle seine Kunden ausführen.

Nachteile dieser Strategie:

  • Protokolle können nur mithilfe eines Agenten von virtuellen Computern erfasst werden. Sie funktioniert nicht mit PaaS-, SaaS- oder Azure Service Fabric-Datenquellen.
  • Es kann schwierig sein, Daten der einzelnen Kunden voneinander zu trennen, da ihre Daten in einem einzigen Arbeitsbereich enthalten sind. Bei Abfragen muss der voll qualifizierte Domänenname des Computers oder die Azure-Abonnement-ID verwendet werden.
  • Sämtliche Daten aller Kunden werden in derselben Region mit nur einer Rechnung und denselben Aufbewahrungs- und Konfigurationseinstellungen gespeichert.

Hybrid

In einem Hybridmodell verfügt jeder Mandant über einen eigenen Arbeitsbereich. Zum Erstellen von Berichten und Analysen wird ein Mechanismus verwendet, mit dem Daten an einen zentralen Speicherort gepullt werden. Diese Daten könnten wenige Datentypen oder eine Zusammenfassung der Aktivitäten enthalten, wie z. B. eine tägliche Statistik.

Es bestehen zwei Optionen zum Implementieren von Protokollen an einem zentralen Speicherort:

  • Zentraler Arbeitsbereich: Der Dienstanbieter erstellt einen Arbeitsbereich in seinem Mandanten und verwendet ein Skript, das die Abfrage-API in Kombination mit der Protokollerfassungs-API nutzt, um die Daten aus den Mandantenarbeitsbereichen an diesen zentralen Speicherort zu übertragen. Eine weitere Möglichkeit besteht darin, Azure Logic-Apps zum Kopieren von Daten in den zentralen Arbeitsbereich zu verwenden.
  • Power BI: Mithilfe der Integration zwischen dem Log Analytics-Arbeitsbereich und Power BI werden Daten aus den Mandantenarbeitsbereichen nach Power BI exportiert.

Nächste Schritte