Share via

Best Practices für Azure Monitor-Protokolle

  • Artikel

Dieser Artikel enthält architektonische bewährte Methoden für Azure Monitor-Protokolle. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz, die unter Azure Well-Architected Framework beschrieben werden.

Zuverlässigkeit

Zuverlässigkeit: Bezieht sich auf die Möglichkeit, ein System nach einem Ausfall wiederherstellen und weiterverwenden zu können. Es geht nicht darum, Fehler in der Cloud vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um Fehler Ihrer Log Analytics-Arbeitsbereiche zu minimieren und die von ihnen gesammelten Daten zu schützen.

Log Analytics-Arbeitsbereiche bieten ein hohes Maß an Zuverlässigkeit. Bedingungen, bei denen ein temporärer Zugriff auf den Arbeitsbereich zu einem Datenverlust führen kann, werden häufig durch Features wie Datenpufferung mit dem Azure Monitor Agent und Schutzmechanismen abgemildert, die in die Aufnahmepipeline integriert sind.

Die in diesem Abschnitt beschriebenen Resilienzfeatures können zusätzlichen Schutz vor Datenverlust und Geschäftskontinuität bieten. Einige Lösungen in der Region und andere bieten länderübergreifende Redundanz; einige werden automatisch angewendet, und andere erfordern manuelles Auslösen. In der folgenden Tabelle werden diese Features zusammengefasst und verglichen.

Einige Verfügbarkeitsfeatures erfordern einen dedizierten Cluster, der derzeit eine Abnahme von mindestens 100 GB pro Tag von allen Arbeitsbereichen erfordert, die mit diesem Cluster verknüpft sind (aggregiert).

Prüfliste für den Entwurf

  • Wenn Sie genügend Daten für einen dedizierten Cluster sammeln, erstellen Sie einen dedizierten Cluster in einer Verfügbarkeitszone.
  • Wenn der Arbeitsbereich auch bei einem Ausfall einer Region verfügbar sein muss, oder wenn Sie nicht genügend Daten für einen dedizierten Cluster sammeln, konfigurieren Sie die Datensammlung so, dass kritische Daten an mehrere Arbeitsbereiche in verschiedenen Regionen gesendet werden.
  • Wenn Daten im Falle eines Ausfalls eines Rechenzentrums oder einer Region geschützt werden müssen, konfigurieren Sie den Datenexport aus dem Arbeitsbereich, um Daten an einem alternativen Speicherort zu speichern.
  • Für unternehmenskritische Workloads, die eine hohe Verfügbarkeit erfordern, empfiehlt sich ggf. die Implementierung eines Verbundarbeitsbereichsmodells.
  • Überwachen Sie die Integrität Ihrer Log Analytics-Arbeitsbereiche.

Konfigurationsempfehlungen

Empfehlung Vorteil
Wenn Sie genügend Daten sammeln, erstellen Sie einen dedizierten Cluster in einer Region, die Verfügbarkeitszonen unterstützt. Arbeitsbereiche, die mit einem dedizierten Cluster in einer Region verknüpft sind, die Verfügbarkeitszonen unterstützt, bleiben verfügbar, wenn ein Rechenzentrum ausfällt.

Ein dedizierter Cluster erfordert eine Mindestabnahme von 100 GB pro Tag aus allen Arbeitsbereichen in derselben Region. Wenn Sie nicht so viele Daten sammeln, müssen Sie die Kosten für diese Mindestabnahme gegen die von ihr bereitgestellten Zuverlässigkeitsfeatures abwägen.
Wenn Daten in Ihrem Arbeitsbereich für den Fall eines Regionsausfalls verfügbar sein müssen, senden Sie kritische Daten an mehrere Arbeitsbereiche in verschiedenen Regionen. Senden von Daten an mehrere Arbeitsbereiche in verschiedenen Regionen. Konfigurieren Sie z. B. DCRs so, dass Daten an mehrere Arbeitsbereiche von Azure Monitor Agent gesendet werden, der auf virtuellen Computern ausgeführt wird, und konfigurieren Sie mehrere Diagnoseeinstellungen, um Ressourcenprotokolle aus Azure-Ressourcen in mehreren Arbeitsbereichen zu sammeln.

Obwohl die Daten im Falle eines Fehlers im alternativen Arbeitsbereich verfügbar sind, können Ressourcen, die auf die Daten angewiesen sind, z. B. auf Warnungen und Arbeitsmappen, diesen alternativen Arbeitsbereich nicht verwenden. Erwägen Sie das Speichern von ARM-Vorlagen für kritische Ressourcen mit einer Konfiguration für den alternativen Arbeitsbereich in Azure DevOps oder als deaktivierte Richtlinien, die in einem Failoverszenario schnell aktiviert werden können.

Nachteil: Diese Konfiguration führt zu doppelten Erfassungs- und Aufbewahrungsgebühren und sollte daher nur für kritische Daten verwendet werden.
Für unternehmenskritische Workloads, die Hochverfügbarkeit erfordern, empfiehlt sich die Implementierung eines Verbundarbeitsbereichsmodells, das mehrere Arbeitsbereiche verwendet, um im Falle eines regionalen Ausfalls Hochverfügbarkeit zu gewährleisten. Unternehmenskritisch stellt empfohlene bewährte Methoden für die Erstellung von Anwendungen mit hoher Zuverlässigkeit in Azure bereit. Die Entwurfsmethodik beinhaltet ein Verbundarbeitsbereichsmodell mit mehreren Log Analytics-Arbeitsbereichen, um im Falle mehrerer Fehler Hochverfügbarkeit zu gewährleisten (auch bei einem Ausfall einer Azure-Region).

Diese Strategie vermeidet regionsübergreifend Kosten für ausgehende Daten und bewahrt die Betriebsbereitschaft im Falle eines Regionsausfalls, geht jedoch mit zusätzlicher Komplexität einher, die Sie mit der Konfiguration und den Prozessen, die unter Integritätsmodellierung und Einblick für unternehmenskritische Workloads in Azure beschrieben sind, verwalten müssen.
Wenn Daten im Falle eines Ausfalls eines Rechenzentrums oder einer Region geschützt werden müssen, konfigurieren Sie den Datenexport aus dem Arbeitsbereich, um Daten an einem alternativen Speicherort zu speichern. Mit dem Datenexportfeature von Azure Monitor können Sie Daten, die an bestimmte Tabellen gesendet werden, kontinuierlich zu Azure Storage exportieren, wo sie über einen längeren Zeitraum aufbewahrt werden können. Verwenden Sie Azure Storage-Redundanzoptionen, einschließlich GRS und GZRS, um diese Daten in andere Regionen zu replizieren. Wenn Sie Tabellen, die nicht vom Datenexport unterstützt werden, exportieren müssen, können Sie andere Methoden zum Exportieren von Daten verwenden, einschließlich Logik-Apps, um Ihre Daten zu schützen. Dies ist in erster Linie eine Lösung, um die Compliance für die Datenaufbewahrung zu erfüllen, da es schwierig sein kann, die Daten zu analysieren und im Arbeitsbereich wiederherzustellen.

Diese Option ähnelt der vorherigen Option für das Multicasting von Daten in verschiedenen Arbeitsbereichen. Die Kosten sind jedoch geringer, weil die zusätzlichen Daten in den Speicher geschrieben werden.

Der Datenexport ist anfällig für regionale Vorfälle, da er auf der Stabilität der Azure Monitor-Aufnahmepipeline in Ihrer Region basiert. Er bietet keine Resilienz gegen Vorfälle, die sich auf die regionale Aufnahmepipeline auswirken.
Überwachen Sie die Integrität Ihrer Log Analytics-Arbeitsbereiche. Nutzen Sie Erkenntnisse zum Log Analytics-Arbeitsbereich, um nicht erfolgreiche Abfragen nachzuverfolgen und eine Integritätsstatuswarnung zu erstellen, damit Sie proaktiv benachrichtigt werden, wenn ein Arbeitsbereich aufgrund eines Rechenzentrums- oder Regionsausfalls nicht mehr verfügbar ist.

Vergleich der Resilienzfeatures und -funktionen

Funktion Dienstresilienz Datensicherung Hochverfügbarkeit Schutzumfang Einrichten „Cost“ (Kosten)
Verfügbarkeitszonen
In unterstützten Regionen		 In der Region Automatisch auf dedizierten Clustern in unterstützten Regionen aktiviert. Kostenlos
Kontinuierlicher Datenexport Schutz vor regionalem Fehler 1 Pro Tabelle aktivieren. Kosten für den Datenexport + Speicher-BLOB oder Event Hubs
Duale Datenerfassung Schutz vor regionalem Ausfall Pro überwachter Ressource aktivieren. Bis zu zweimal die Kosten für die Aufbewahrung (je nachdem, wie viel Daten Sie doppelt erfassen) + Übergabegebühren.

1 Datenexport bietet regionsübergreifenden Schutz, wenn Sie Protokolle in eine andere Region exportieren. Im Falle eines Vorfalls werden zuvor exportierte Daten gesichert und sofort verfügbar; je nach Art des Vorfalls kann jedoch ein weiterer Export fehlschlagen.

Sicherheit

Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Azure Monitor bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgreifende Abwehr eingesetzt werden können. Verwenden Sie die folgenden Informationen, um die Sicherheit Ihrer Log Analytics-Arbeitsbereiche zu maximieren und sicherzustellen, dass nur autorisierte Benutzer auf die gesammelten Daten zugreifen.

Prüfliste für den Entwurf

  • Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen.
  • Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind.
  • Erwägen Sie die Verwendung Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen.
  • Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen.
  • Exportieren Sie Überwachungsdaten zur langfristigen Aufbewahrung oder Unveränderlichkeit.
  • Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen.
  • Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich.
  • Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden.
  • Aktivieren Sie Kunden-Lockbox für Microsoft Azure, Um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen.

Konfigurationsempfehlungen

Empfehlung Vorteil
Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen. Ihre Entscheidung, ob diese Daten kombiniert werden sollen, hängt von Ihren speziellen Sicherheitsanforderungen ab. Wenn Sie diese in einem einzelnen Arbeitsbereich kombinieren, erhalten Sie einen besseren Einblick in alle Ihre Daten, auch wenn Ihr Sicherheitsteam möglicherweise einen dedizierten Arbeitsbereich benötigt. Unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.

Nachteil: Die Aktivierung von Sentinel in Ihrem Arbeitsbereich wirkt sich unter Umständen auf die Kosten aus. Ausführliche Informationen finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur.
Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind. Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf Ressourcen- oder Arbeitsbereichsberechtigungen verwenden fest, um Ressourcenbesitzern die Verwendung des Ressourcenkontexts für den Zugriff auf ihre Daten zu ermöglichen, ohne expliziten Zugriff auf den Arbeitsbereich zu erhalten. Dies vereinfacht Ihre Arbeitsbereichskonfiguration und hilft sicherzustellen, dass Benutzer nicht auf Daten zugreifen können, auf die sie keinen Zugriff haben.

Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen.

Nutzen Sie RBAC auf Tabellenebene für Benutzer, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen hinweg benötigen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen.

Details über die verschiedenen Optionen zum Gewähren des Zugriffs auf Daten im Arbeitsbereich finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.
Erwägen Sie die Verwendung Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen. Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ressourcen das Herstellen einer Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Informationen zum Bestimmen der besten Netzwerk- und DNS-Topologie für Ihre Umgebung finden Sie unter Entwerfen Ihres Azure Private Link-Setups.
Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen. Mit Azure Monitor wird sichergestellt, dass alle Daten und gespeicherten Abfragen im Ruhezustand mit von Microsoft verwalteten Schlüsseln (MMK) verschlüsselt werden. Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind.
Exportieren Sie Überwachungsdaten zur langfristigen Aufbewahrung oder Unveränderlichkeit. Möglicherweise haben Sie Überwachungsdaten in Ihrem Arbeitsbereich gesammelt, die Vorschriften bezüglich einer langfristigen Aufbewahrung unterliegen. Daten in einem Log Analytics-Arbeitsbereich können nicht geändert, aber gelöscht werden. Verwenden Sie den Datenexport , um Daten an ein Azure-Speicherkonto zu senden, mit Unveränderbarkeitsrichtlinien zum Schutz vor Datenmanipulation. Nicht jede Art von Protokollen hat die gleiche Relevanz hinsichtlich Compliance, Überwachung oder Sicherheit, legen Sie daher die spezifischen Datentypen fest, die exportiert werden sollen.
Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen. Die Protokollabfrageüberwachung zeichnet die Details jeder Abfrage auf, die in einem Arbeitsbereich ausgeführt wird. Behandeln Sie diese Überwachungsdaten als Sicherheitsdaten, und sichern Sie die LAQueryLogs-Tabelle entsprechen. Konfigurieren Sie die Überwachungsprotokolle für jeden Arbeitsbereich, um sie an den lokalen Arbeitsbereich zu senden, oder konsolidieren Sie diese in einem dedizierten Sicherheitsarbeitsbereich, wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen. Verwenden Sie Erkenntnisse des Log Analytics-Arbeitsbereichs, um diese Daten regelmäßig zu überprüfen, und erwägen Sie die Erstellung von Warnungsregeln für die Protokollsuche, damit Sie proaktiv benachrichtigt werden, wenn nicht autorisierte Benutzer oder Benutzerinnen versuchen, Abfragen auszuführen.
Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich. Möglicherweise sammeln Sie Daten, die vertrauliche Informationen enthalten. Filtern Sie Datensätze, die nicht gesammelt werden sollten, mittels der Konfiguration für die jeweilige Datenquelle. Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen.

Wenn Sie über Standards verfügen, die eine Unveränderbarkeit der ursprünglichen Daten erfordern, können Sie das „h“-Literal in KQL-Abfragen verwenden, um Abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden.
Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden. Überprüfen Sie in regelmäßigen Abständen, ob in Ihrem Arbeitsbereich versehentlich private Daten gesammelt wurden, und verwenden Sie die Datenlöschung, um sie zu entfernen.
Aktivieren Sie Kunden-Lockbox für Microsoft Azure, Um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen. Kunden-Lockbox für Microsoft Azure bietet Ihnen eine Schnittstelle, über die Sie Anfragen zum Zugriff auf Kundendaten überprüfen und genehmigen oder ablehnen können. Es wird in Fällen verwendet, in denen ein Microsoft-Techniker auf Kundendaten zugreifen muss, sei es wegen eines vom Kunden initiierten Supporttickets oder eines von Microsoft identifizierten Problems. Um Kunden-Lockbox zu aktivieren, benötigen Sie einen dedizierten Cluster.

Kostenoptimierung

Kostenoptimierung bezieht sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Sie können Ihre Kosten für Azure Monitor erheblich reduzieren, indem Sie Ihre verschiedenen Konfigurationsoptionen und Möglichkeiten kennen, um so die Menge der gesammelten Daten zu reduzieren. Lesen Sie Azure Monitor-Kosten und -Verbrauch, um die verschiedenen Arten der Abrechnung von Azure Monitor zu verstehen und um zu erfahren, wie Sie Ihre monatliche Rechnung anzeigen können.

Hinweis

Empfehlungen zur Kostenoptimierung für alle Features von Azure Monitor finden Sie unter Optimieren von Kosten in Azure Monitor .

Prüfliste für den Entwurf

  • Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen.
  • Konfigurieren Sie den Tarif für die Datenmenge, die jeder Log Analytics-Arbeitsbereich normalerweise sammelt.
  • Konfigurieren Sie die Aufbewahrung und Archivierung von Daten.
  • Konfigurieren Sie Tabellen, die für das Debuggen, die Problembehandlung und die Überwachung verwendet werden, als Standardprotokolle.
  • Beschränken Sie die Datensammlung aus Datenquellen für den Arbeitsbereich.
  • Analysieren Sie die gesammelten Daten regelmäßig, um Trends und Anomalien zu identifizieren.
  • Erstellen einer Warnung, wenn die Datensammlung hoch ist.
  • Ziehen Sie eine tägliche Obergrenze als vorbeugende Maßnahme in Betracht, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten.
  • Richten Sie Benachrichtigungen für Azure Advisor-Kostenempfehlungen für Log Analytics-Arbeitsbereiche ein.

Konfigurationsempfehlungen

Empfehlung Vorteil
Bestimmen Sie, ob Sie Ihre Betriebsdaten und Ihre Sicherheitsdaten im selben Log Analytics-Arbeitsbereich kombinieren wollen. Da alle Daten in einem Log Analytics-Arbeitsbereich den Microsoft Sentinel-Preisen unterliegen, wenn Sentinel aktiviert ist, kann das Kombinieren dieser Daten Kosten verursachen. Unter Entwerfen einer Log Analytics-Arbeitsbereichsstrategie finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.
Konfigurieren Sie den Tarif für die Datenmenge, die jeder Log Analytics-Arbeitsbereich normalerweise sammelt. Standardmäßig verwenden Log Analytics-Arbeitsbereiche einen Tarif mit nutzungsbasierter Bezahlung ohne Mindestdatenvolumen. Wenn Sie genügend Daten sammeln, können Sie eine Mindestabnahme verwenden, bei der Sie sich zu einer täglichen Mindestmenge an gesammelten Daten verpflichten und dafür einen niedrigeren Tarif erhalten. Wenn Sie genügend Daten über Arbeitsbereiche in einer einzelnen Region hinweg sammeln, können Sie diese mit einem dedizierten Cluster verknüpfen und ihre gesammelte Volumen mithilfe der Clusterpreise kombinieren.

Weitere Informationen zu Mindestabnahmen und Anleitungen zur Bestimmung der am besten geeigneten Nutzungsstufe finden Sie unter Azure Monitor-Protokolle: Preise. Informationen zu geschätzten Kosten für Ihre Nutzung in unterschiedlichen Tarifen finden Sie unter Nutzung und geschätzte Kosten.
Konfigurieren Sie die Aufbewahrung und Archivierung von Daten. Es fallen Gebühren für die Aufbewahrung von Daten in einem Log Analytics-Arbeitsbereich an, die über den Standardwert von 31 Tagen hinausgehen (90 Tage, wenn Sentinel für den Arbeitsbereich aktiviert ist, und 90 Tage für Application Insights-Daten). Berücksichtigen Sie Ihre besonderen Anforderungen an die Verfügbarkeit von Daten für Protokollabfragen. Sie können Ihre Kosten erheblich reduzieren, indem Sie archivierte Protokolle konfigurieren, sodass Sie Daten bis zu sieben Jahre lang aufbewahren und dennoch gelegentlich mithilfe von Suchaufträgen oder der Wiederherstellung einer Menge von Daten im Arbeitsbereich darauf zugreifen können.
Konfigurieren Sie Tabellen, die für das Debuggen, die Problembehandlung und die Überwachung verwendet werden, als Standardprotokolle. Tabellen in einem Log Analytics-Arbeitsbereich, der für Standardprotokolle konfiguriert ist, weisen geringere Erfassungskosten bei eingeschränkten Funktionen und einer Gebühr für Protokollabfragen auf. Wenn Sie diese Tabellen selten abfragen und nicht für Warnmeldungen verwenden, können diese Abfragekosten durch die verringerten Erfassungskosten mehr als ausgeglichen werden.
Beschränken Sie die Datensammlung aus Datenquellen für den Arbeitsbereich. Der Hauptfaktor für die Kosten von Azure Monitor ist die Menge an Daten, die Sie in Ihrem Log Analytics-Arbeitsbereich sammeln. Stellen Sie daher sicher, dass Sie nur so viele Daten sammeln, wie Sie benötigen, um die Integrität und Leistung Ihrer Dienste und Anwendungen bewerten zu können. Unter Entwerfen einer Log-Analytics-Arbeitsbereichsarchitektur finden Sie Details dazu, wie Sie diese Entscheidung für Ihre Umgebung treffen und mit den Kriterien der anderen Säulen abgleichen können.

Nachteil: Es muss möglicherweise ein Kompromiss zwischen den Kosten und Ihren Überwachungsanforderungen gefunden werden. So können Sie beispielsweise Leistungsprobleme mit einer hohen Samplingrate ggf. schneller erkennen. Eine niedrigere Samplingrate würde aber weniger Kosten verursachen. Die meisten Umgebungen verfügen über mehrere Datenquellen mit unterschiedlichen Sammlungstypen. Daher müssen Sie Ihre speziellen Anforderungen jeweils mit Ihren Kostenzielen abstimmen. Empfehlungen zum Konfigurieren der Sammlung für verschiedene Datenquellen finden Sie unter Kostenoptimierung in Azure Monitor.
Analysieren Sie die gesammelten Daten regelmäßig, um Trends und Anomalien zu identifizieren. Verwenden Sie Erkenntnisse in Log Analytics-Arbeitsbereiche, um die Menge der in Ihrem Arbeitsbereich gesammelten Daten regelmäßig zu überprüfen. Dies hilft Ihnen nicht nur dabei, die Menge der von verschiedenen Quellen gesammelten Daten zu verstehen, sondern identifiziert auch Anomalien und Aufwärtstrends bei der Datensammlung, die zu übermäßigen Kosten führen könnten. Analysieren Sie die Datensammlung mithilfe von Methoden in Analysieren des Verbrauchs im Log Analytics-Arbeitsbereich weiter, um zu ermitteln, ob Sie den Verbrauch durch zusätzliche Konfigurationseinstellungen verringern können. Dies ist besonders wichtig, wenn Sie eine neue Gruppe von Datenquellen hinzufügen, z. B. einen neuen Satz virtueller Computer oder das Onboarding eines neuen Diensts durchführen.
Erstellen einer Warnung, wenn die Datensammlung hoch ist. Um unerwartete Rechnungen zu vermeiden, sollten Sie sich bei übermäßigem Verbrauch proaktiv benachrichtigen lassen. Durch die Benachrichtigung können Sie potenzielle Anomalien vor dem Ende Ihres Abrechnungszeitraums beheben.
Ziehen Sie eine tägliche Obergrenze als vorbeugende Maßnahme in Betracht, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten. Eine tägliche Obergrenze deaktiviert die Datensammlung in einem Log Analytics-Arbeitsbereich für den Rest des Tages, sobald Ihr konfigurierter Grenzwert erreicht ist. Dies sollte nicht als Methode verwendet werden, um Kosten zu senken, wie unter Verwendung einer täglichen Obergrenze beschrieben.

Wenn Sie eine tägliche Obergrenze festlegen, stellen Sie zusätzlich zum Erstellen einer Warnung bei Erreichen der Obergrenze sicher, dass Sie auch eine Warnungsregel erstellen, um benachrichtigt zu werden, wenn ein bestimmter Prozentsatz erreicht wurde (z. B. 90 Prozent). Dies bietet Ihnen die Möglichkeit, die Ursache der erhöhten Datenmengen zu untersuchen und zu beheben, bevor die Datensammlung durch die Obergrenze angehalten wird.
Richten Sie Benachrichtigungen für Azure Advisor-Kostenempfehlungen für Log Analytics-Arbeitsbereiche ein. Azure Advisor-Empfehlungen für Log Analytics-Arbeitsbereiche benachrichtigen Sie proaktiv, wenn es eine Möglichkeit gibt, Ihre Kosten zu optimieren. Erstellen Sie Azure Advisor-Warnungen für diese Kostenempfehlungen:
  • Erwägen Sie die Konfiguration des kostenwirksamen Basisprotokollplans für ausgewählte Tabellen – Wir haben die Aufnahme von mehr als 1 GB pro Monat in Tabellen identifiziert, die für den Einfachen Protokolldatenplan berechtigt sind. Der Standardprotokollplan bietet Ihnen Suchfunktionen zum Debuggen und zur Problembehandlung zu geringeren Kosten.
  • Untersuchen Sie basierend auf Ihrem aktuellen Nutzungsvolumen die Änderung Ihres Tarifs (Mindestabnahme), um einen Rabatt zu erhalten und die Kosten zu senken.
  • Erwägen Sie das Entfernen nicht verwendeter wiederhergestellter Tabellen – Sie haben eine oder mehrere Tabellen mit wiederhergestellten Daten, die in Ihrem Arbeitsbereich aktiv sind. Wenn Sie keine wiederhergestellten Daten mehr verwenden, löschen Sie die Tabelle, um unnötige Gebühren zu vermeiden.
  • Anomalien bei der Erfassung von Daten – Wir haben eine viel höhere Aufnahmerate in der letzten Woche identifiziert, basierend auf Ihrer Aufnahme in den drei vorherigen Wochen. Notieren Sie sich diese Änderung und die erwartete Änderung Ihrer Kosten.
Sie können automatisch generierte Empfehlung auch anzeigen, indem Sie im Ressourcenmenü Ihres Log Analytics-Arbeitsbereichs Übersicht>Empfehlungen oder Advisor-Empfehlungen auswählen.

Optimaler Betrieb

Erstklassige Betriebsprozesse bezieht sich auf Betriebsprozesse, die erforderlich sind, um einen Dienst zuverlässig in der Produktion zu betreiben. Verwenden Sie die folgenden Informationen, um die betrieblichen Anforderungen für die Unterstützung von Log Analytics-Arbeitsbereichen zu minimieren.

Prüfliste für den Entwurf

  • Entwerfen Sie eine Arbeitsbereichsarchitektur mit der minimalen Anzahl von Arbeitsbereichen, um Ihre geschäftlichen Anforderungen zu erfüllen.
  • Verwenden Sie Infrastructure-as-Code (IaC), wenn Sie mehrere Arbeitsbereiche verwalten.
  • Verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um die Integrität und Leistung Ihrer Log Analytics-Arbeitsbereiche nachzuverfolgen.
  • Erstellen Sie Warnungsregeln, um proaktiv über betriebliche Probleme im Arbeitsbereich benachrichtigt zu werden.
  • Stellen Sie sicher, dass Sie über einen klar definierten Betriebsprozess für die Datentrennung verfügen.

Konfigurationsempfehlungen

Empfehlung Vorteil
Entwerfen Sie eine Arbeitsbereichsstrategie, um Ihre geschäftlichen Anforderungen zu erfüllen. Anleitungen zum Entwerfen einer Strategie für Ihre Log Analytics-Arbeitsbereiche finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur. Dort erfahren Sie unter anderem, wie viele erstellt und wo sie platziert werden sollten.

Ein einzelner Arbeitsbereich oder zumindest eine minimale Anzahl von Arbeitsbereichen maximiert Ihre betriebliche Effizienz, da dadurch die Verteilung Ihrer Betriebs- und Sicherheitsdaten eingeschränkt wird, wodurch Sie einen verbesserten Einblick in potenzielle Probleme erhalten sowie Muster leichter erkennen und Ihre Wartungsanforderungen minimieren können.

Möglicherweise benötigen Sie mehrere Arbeitsbereiche (z. B. mehrere Mandanten), oder Sie benötigen Arbeitsbereiche in mehreren Regionen, um Ihre Verfügbarkeitsanforderungen zu unterstützen. Stellen Sie in diesen Fällen sicher, dass Sie über geeignete Prozesse verfügen, um diese erhöhte Komplexität zu bewältigen.
Verwenden Sie Infrastructure-as-Code (IaC), wenn Sie mehrere Arbeitsbereiche verwalten. Verwenden Sie Infrastructure-as-Code (IaC), um die Details Ihrer Arbeitsbereiche in ARM, BICEP oder Terraform zu definieren. Dadurch können Sie Ihre bereits vorhandenen DevOps-Prozesse nutzen, um neue Arbeitsbereiche bereitzustellen, und deren Konfiguration mithilfe von Azure Policy erzwingen.
Verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um die Integrität und Leistung Ihrer Log Analytics-Arbeitsbereiche nachzuverfolgen. Erkenntnisse für Log Analytics-Arbeitsbereiche bieten eine einheitliche Ansicht des Verbrauchs, der Leistung, der Integrität, des Agents, der Abfragen und der Änderungsprotokolle für alle Ihre Arbeitsbereiche. Überprüfen Sie diese Informationen regelmäßig, um die Integrität und den Betrieb jedes Ihrer Arbeitsbereiche nachzuverfolgen.
Erstellen Sie Warnungsregeln, um proaktiv über betriebliche Probleme im Arbeitsbereich benachrichtigt zu werden. Jeder Arbeitsbereich verfügt über eine Vorgangstabelle, in der wichtige Aktivitäten protokolliert werden, die sich auf den Arbeitsbereich auswirken. Erstellen Sie Warnungsregeln basierend auf dieser Tabelle, um proaktiv benachrichtigt zu werden, wenn ein Betriebsproblem auftritt. Sie können empfohlene Warnungen für den Arbeitsbereich verwenden, um die Erstellung der kritischsten Warnungsregeln zu vereinfachen.
Stellen Sie sicher, dass Sie über einen klar definierten Betriebsprozess für die Datentrennung verfügen. Möglicherweise haben Sie unterschiedliche Anforderungen für unterschiedliche Datentypen, die in Ihrem Arbeitsbereich gespeichert sind. Machen Sie sich sorgfältig mit den Anforderungen wie Datenaufbewahrung und Sicherheit vertraut, wenn Sie Ihre Arbeitsbereichsstrategie entwerfen und Einstellungen wie Berechtigungen und Archivierung konfigurieren. Außerdem sollten Sie über einen klar definierten Prozess für das gelegentliche Löschen von Daten mit personenbezogenen Informationen verfügen, die versehentlich gesammelt wurden.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Verwenden Sie die folgenden Informationen, um sicherzustellen, dass Ihre Log Analytics-Arbeitsbereiche und Protokollabfragen für maximale Leistung konfiguriert sind.

Prüfliste für den Entwurf

  • Konfigurieren Sie die Protokollabfrageüberwachung, und verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um langsame und ineffiziente Abfragen zu identifizieren.

Konfigurationsempfehlungen

Empfehlung Vorteil
Konfigurieren Sie die Protokollabfrageüberwachung, und verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um langsame und ineffiziente Abfragen zu identifizieren. Die Protokollabfrageüberwachung speichert die Computezeit, die zum Ausführen jeder Abfrage erforderlich ist, und die Zeit, bis Ergebnisse zurückgegeben werden. Erkenntnisse für Log Analytics-Arbeitsbereiche verwendet diese Daten, um potenziell ineffiziente Abfragen in Ihrem Arbeitsbereich aufzulisten. Erwägen Sie, diese Abfragen neu zu schreiben, um ihre Leistung zu verbessern. Anleitungen zur Optimierung Ihrer Protokollabfragen finden Sie unter Optimieren von Protokollabfragen in Azure Monitor .

Nächster Schritt