Übersicht über Azure Monitor-Protokolle
Azure Monitor Logs ist eine zentralisierte Software-as-a-Service (SaaS)-Plattform zum Sammeln, Analysieren und Verarbeiten von Telemetriedaten, die von Azure- und Nicht-Azure-Ressourcen und -Anwendungen erzeugt werden.
Sie können in einem Log Analytics-Arbeitsbereich, der primären Azure Monitor Logs-Ressource, Protokolle sammeln, Protokolldaten und Kosten verwalten und verschiedene Datentypen nutzen. Dies bedeutet, dass Sie niemals Daten verschieben oder andere Speicher verwalten müssen, und Sie können unterschiedliche Datentypen so lange oder so kurz wie nötig aufbewahren.
Dieser Artikel enthält eine Übersicht über die Funktionsweise von Azure Monitor-Protokollen und erläutert, wie die Anforderungen und Fähigkeiten verschiedener Personas in einer Organisation behandelt werden.
Hinweis
Azure Monitor-Protokolle sind die eine Hälfte der Datenplattform, die Azure Monitor unterstützt. Die andere Hälfte sind Azure Monitor-Metriken, die numerische Daten in einer Zeitreihendatenbank speichern.
Funktionsweise von Azure Monitor Logs
Azure Monitor Logs bieten Ihnen Tools für die folgenden Zwecke:
- Sammeln Sie beliebige Daten mithilfe der Datensammlungsmethoden von Azure Monitor. Transformieren Sie Daten je nach Ihren Anforderungen, um Kosten zu optimieren, entfernen Sie personenbezogene Daten usw. und leiten Sie Daten an Tabellen in Ihrem Log Analytics-Arbeitsbereich weiter.
- Verwalten und optimieren Sie Protokolldaten und Kosten, indem Sie Ihren Log Analytics-Arbeitsbereich und Protokolltabellen konfigurieren, wie Tabellenschemas, Tabellenpläne, Datenaufbewahrung, Datenaggregation, Protokollkosten und welche Personen Zugriff auf welche Daten haben.
- Rufen Sie Daten fast in Echtzeit ab, indem Sie die Kusto Query Language (KQL) oder KQL-basierte Tools und Features verwenden, die keine KQL-Kenntnisse erfordern, z. B. der einfache Modus in der Log Analytics-Benutzeroberfläche, vorgefertigte kuratierte Überwachungsumgebungen namens „Erkenntnisse“ (Insights) und vordefinierte Abfragen.
- Verwenden Sie Daten flexibel für eine Reihe von Anwendungsfällen, darunter Datenanalyse, Problembehandlung, Warnungen, Dashboards und Berichte, benutzerdefinierte Anwendungen und andere Azure- oder Nicht-Azure-Dienste.
Sammeln, Weiterleiten und Transformieren von Daten
Mit den Datensammlungsfunktionen von Azure Monitor können Sie Daten aus allen Anwendungen und Ressourcen sammeln, die in Azure, anderen Clouds und lokal ausgeführt werden. Eine leistungsstarke Erfassungspipeline ermöglicht das Filtern, Transformieren und Weiterleiten von Daten in Zieltabellen in Ihrem Log Analytics-Arbeitsbereich, um Kosten, Analysefunktionen und Abfrageleistung zu optimieren.
Weitere Informationen zum Sammeln und Transformieren von Daten finden Sie unter Azure Monitor-Datenquellen und Datensammlungsmethoden sowie Transformationen von Datensammlungen in Azure Monitor.
Log Analytics-Arbeitsbereich
Ein Log Analytics-Arbeitsbereich ist ein Datenspeicher, in dem Tabellen gespeichert sind, in denen Sie Daten sammeln.
Um die Anforderungen an die Datenspeicherung und den Verbrauch verschiedener Personas zu erfüllen, die einen Log Analytics-Arbeitsbereich verwenden, können Sie:
- Tabellenpläne definieren, die auf Ihren Anforderungen an den Datenverbrauch und die Kostenverwaltung basieren.
- Kostengünstige Langzeitaufbewahrung und interaktive Aufbewahrung für jede Tabelle verwalten.
- Den Zugriff für den Arbeitsbereich und für bestimmte Tabellen verwalten.
- Zusammenfassungsregeln verwenden, um kritische Daten in Zusammenfassungstabellen zu aggregieren. Auf diese Weise können Sie Daten für eine einfache Nutzung und umsetzbare Erkenntnisse optimieren und Rohdaten in einer Tabelle mit einem kostengünstigen Tabellenplan so lange wie nötig speichern.
- Erstellen Sie sofort einsatzbereite gespeicherte Abfragen, Visualisierungen und Warnungen, die speziell auf bestimmte Personas zugeschnitten sind.
Sie können auch die Netzwerkisolation konfigurieren, Ihren Arbeitsbereich über Regionen replizieren und eine Arbeitsbereichsarchitektur basierend auf Ihren geschäftlichen Anforderungen entwerfen.
Tabellenpläne
Sie können einen Log Analytics-Arbeitsbereich verwenden, um den für einen beliebigen Zweck erforderlichen Protokolltyp zu speichern. Zum Beispiel:
- Ausführliche Daten mit hohem Volumen, die günstigen Langzeitspeicher für Audit- und Compliance erfordern
- App- und Ressourcendaten für die Problembehandlung durch Entwickler
- Wichtige Ereignis- und Leistungsdaten zur Skalierung und Warnung, um fortlaufende betriebliche Exzellenz und Sicherheit zu gewährleisten
- Aggregierte langfristige Datentrends für erweiterte Analysen und maschinelles Lernen
Mithilfe von Tabellenplänen können Sie Datenkosten basierend auf der Häufigkeit der Verwendung der Daten in einer Tabelle und dem Analysetyp verwalten, für den Sie die Daten benötigen.
Dieses Video zeigt eine Übersicht darüber, wie Tabellenpläne die Protokollierung auf mehreren Ebenen in Azure Monitor-Protokollen ermöglichen:
Das Diagramm und die Tabelle unten vergleichen die Analytics-, Basic- und Hilfstabellenpläne. Weitere Informationen zur interaktiven und Langzeitaufbewahrung finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich. Informationen zum Auswählen oder Ändern eines Tabellenplans finden Sie unter Auswählen eines Tabellenplans.
| Features | Analyse | Grundlegend | Hilfstabelle (Vorschau) |
|---|---|---|---|
| Am besten geeignet für | Hochwertige Daten, die für eine kontinuierliche Überwachung, Echtzeiterkennung und Leistungsanalyse verwendet werden. | Gelegentlich abgerufene Daten, die für die Problembehandlung und die Reaktion auf Vorfälle benötigt werden. | Selten abgerufene Daten, z. B. ausführliche Protokolle und Daten, die für die Überwachung und Compliance erforderlich sind. |
| Unterstützte Tabellentypen | Alle Tabellentypen | Azure-Tabellen, die Standardprotokolle und DCR-basierte benutzerdefinierte Tabellen unterstützen | DCR-basierte benutzerdefinierte Tabellen |
| Erfassungskosten | Standard | Reduziert | Mindestens |
| Abfragepreis inbegriffen | ✅ | ❌ | ❌ |
| Optimierte Abfrageleistung | ✅ | ✅ | ❌ Langsamere Abfragen. Gut für Überwachung Nicht für Echtzeitanalysen optimiert. |
| Abfragemöglichkeiten | Vollständige Abfragefunktionen. | Vollständige Kusto Query Language (KQL) in einer einzelnen Tabelle, die Sie mithilfe von Lookup mit Daten aus einer Analysetabelle erweitern können. | Vollständige KQL in einer einzelnen Tabelle, die Sie mithilfe von Lookup mit Daten aus einer Analysetabelle erweitern können. |
| Warnungen | ✅ | ❌ | ❌ |
| Erkenntnisse | ✅ | ❌ | ❌ |
| Dashboards | ✅ | ✅ Kosten pro Abfrage für Dashboardaktualisierungen nicht enthalten. | Möglich, aber langsame Aktualisierung, Kosten pro Abfrage für Dashboardaktualisierungen nicht enthalten. |
| Datenexport | ✅ | ✅ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| Suchaufträge | ✅ | ✅ | ✅ |
| Zusammenfassungsregeln | ✅ | ✅ KQL beschränkt auf eine einzelne Tabelle | ✅ KQL beschränkt auf eine einzelne Tabelle |
| Wiederherstellen | ✅ | ✅ | ❌ |
| Interaktive Aufbewahrung | 30 Tage (90 Tage für Microsoft Sentinel und Application Insights). Kann auf bis zu zwei Jahre bei einer anteiligen monatlichen Gebühr für Langzeitaufbewahrung verlängert werden. |
30 Tage | 30 Tage |
| Gesamtaufbewahrungszeitraum | Bis zu 12 Jahre | Bis zu 12 Jahre | Bis zu 12 Jahre* *Einschränkung der öffentlichen Vorschau: Die Gesamtaufbewahrung des Hilfsplans wird derzeit auf 365 Tage festgelegt. |
Hinweis
Der Hilfstabellenplan befindet sich in der öffentlichen Vorschau. Aktuelle Einschränkungen und unterstützte Regionen finden Sie unter Einschränkungen der öffentlichen Vorschau.
Der Basic- und Hilfstabellenplan ist für Arbeitsbereiche in Legacytarifen nicht verfügbar.
Kusto Query Language (KQL) und Log Analytics
Sie rufen Daten mit einer KQL-Abfrage (Kusto Query Language, Kusto-Abfragesprache) aus einem Log Analytics-Arbeitsbereich abgerufen. Hierbei handelt es sich um eine schreibgeschützte Anforderung zum Verarbeiten von Daten und Zurückgeben von Ergebnissen. KQL ist ein leistungsfähiges Tool, mit dem Millionen von Datensätzen schnell analysiert werden können. Verwenden Sie KQL, um Ihre Protokolle zu untersuchen, Daten zu transformieren und zu aggregieren, Muster zu ermitteln, Anomalien und Ausreißer zu identifizieren und vieles mehr.
Log Analytics ist ein Tool im Azure-Portal zum Ausführen von Protokollabfragen und zum Analysieren ihrer Ergebnisse. der einfachen Log Analytics-Modus lässt jeden Benutzer, unabhängig von seinen KQL-Kenntnissen, Daten aus einer oder mehreren Tabellen mit nur einem Klick abrufen. Mit einer Reihe von Steuerelementen können Sie die abgerufenen Daten mithilfe der am häufigsten verwendeten Azure Monitor-Protokollfunktionalität in einer intuitiven, tabellenähnlichen Oberfläche erkunden und analysieren.
Wenn Sie mit KQL vertraut sind, können Sie den KQL-Modus für Log Analytics verwenden, um Abfragen zu bearbeiten und zu erstellen, die Sie dann in Azure Monitor-Funktionen wie Benachrichtigungen und Arbeitsmappen verwenden oder für andere Benutzer freigeben können.
Weitere Informationen zu Log Analytics finden Sie in der Übersicht über Log Analytics in Azure Monitor.
Integrierte Einblicke und benutzerdefinierte Dashboards, Arbeitsmappen und Berichte
Viele der einsatzbereiten, kuratierten Insights-Erfahrungen von Azure Monitor speichern Daten in Azure Monitor-Protokollen und stellen diese Daten intuitiv dar, sodass Sie die Leistung und Verfügbarkeit Ihrer Cloud- und Hybridanwendungen und deren unterstützende Komponenten überwachen können.
Sie können auch eigene Visualisierungen und Berichte mithilfe von Arbeitsmappen, Dashboards und Power BI erstellen.
Anwendungsfälle
In dieser Tabelle werden einige der Möglichkeiten beschrieben, wie Sie die in Azure Monitor Logs gesammelten Daten verwenden können, um betrieblichen und geschäftlichen Wert zu erzielen.
| Funktion | BESCHREIBUNG |
|---|---|
| Analysieren | Verwenden von Log Analytics im Azure-Portal zum Schreiben von Protokollabfragen und interaktives Analysieren von Protokolldaten mithilfe einer leistungsstarken Analyse-Engine. |
| Aggregat | Verwenden Sie Zusammenfassungsregeln, um Informationen, die Sie für Benachrichtigungen und Analysen benötigen, aus den erfassten rohen Protokolldaten zu aggregieren. Auf diese Weise können Sie Ihre Kosten, Analysefunktionen und die Abfrageleistung optimieren. |
| Erkennen und Analysieren von Anomalien | Verwenden Sie integrierte oder benutzerdefinierte Algorithmen für die Anomalieerkennung, um ungewöhnliche Muster oder Verhaltensweisen in Ihren Protokolldaten zu identifizieren. Dies kann dazu beitragen, potenzielle Probleme schon frühzeitig zu erkennen. |
| Warnung | Konfigurieren Sie eine Benachrichtigungsregel für die Protokollsuche oder eine Metrikbenachrichtigung für Protokolle, um eine Benachrichtigung zu senden oder eine automatisierte Aktion auszuführen, wenn eine bestimmte Bedingung auftritt. |
| Visualisieren | Anheften der als Tabellen oder Diagramme gerenderten Abfrageergebnisse an ein Azure-Dashboard. Erstellen einer Arbeitsmappe, um mehrere Sätze von Daten in einem interaktiven Bericht zu kombinieren. Exportieren Sie die Ergebnisse einer Abfrage nach Power BI, um verschiedene Visualisierungen zu verwenden und sie mit Personen außerhalb von Azure zu teilen. Exportieren der Ergebnisse einer Abfrage nach Grafana, um dessen Dashboards zu nutzen und die Daten mit anderen Quellen zu kombinieren. |
| Einblicke erhalten | Erkenntnisse bieten eine benutzerdefinierte Überwachungsumgebung für bestimmte Ressourcen und Dienste. |
| Gerätehandle | Zugreifen auf Ergebnisse von Protokollabfragen über:
|
| Importieren | Laden Sie Protokolle aus einer benutzerdefinierten App über die REST-API oder die Clientbibliothek für .NET, Go, Java, JavaScript oder Python herunter. |
| Exportieren | Konfigurieren des automatisierten Exports von Protokolldaten in ein Azure Storage-Konto oder in Azure Event Hubs. Erstellen eines Workflows zum Abrufen von Protokolldaten und Kopieren der Daten an einen externen Speicherort mithilfe von Azure Logic Apps. |
| Bring Your Own Analysis | Analysieren Sie Daten in Azure Monitor-Protokollen mithilfe eines Notebooks, um optimierte, mehrstufige Prozesse zu erstellen, die Sie in Azure Monitor-Protokollen sammeln. Dies ist besonders nützlich für Zwecke wie das Erstellen und Ausführen von Machine Learning-Pipelines, die erweiterte Analyse und einen Leitfaden zur Problembehandlung (TSGs) für Supportanforderungen. |
| Aufbewahren von Daten für Überwachung und Compliance | Senden Sie Daten mit dem Hilfsplan direkt an eine Tabelle, und verlängern Sie die Aufbewahrung der Daten in jeder Tabelle, um Daten zu Überwachungs- und Compliance-Zwecken bis zu 12 Jahre aufzubewahren. Der kostengünstige Hilfstabellenplan und die langfristige Aufbewahrung im Arbeitsbereich ermöglichen es Ihnen, Kosten zu senken und Ihre Daten schnell und einfach zu verwenden, wenn Sie sie benötigen. |
Arbeiten mit Microsoft Sentinel als auch Microsoft Defender for Cloud
Microsoft Sentinel und Microsoft Defender for Cloud führen Sicherheitsüberwachung in Azure durch.
Diese Dienste speichern ihre Daten in den Azure Monitor-Protokollen, damit sie zusammen mit anderen von Azure Monitor erfassten Protokolldaten analysiert werden können.
Weitere Informationen
Nächste Schritte
- Erfahren Sie mehr über Protokollabfragen zum Abrufen und Analysieren von Daten aus einem Log Analytics-Arbeitsbereich.
- Informieren Sie sich über Metriken in Azure Monitor.
- Erfahren Sie mehr über die für verschiedene Ressourcen in Azure verfügbaren Überwachungsdaten.