Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan mejores prácticas de arquitectura para Azure Monitor Logs. La guía se basa en los cinco pilares de excelencia de la arquitectura descritos en Azure Well-Architected Framework.
Fiabilidad
Reliability hace referencia a la capacidad de un sistema para recuperarse de errores y seguir funcionando. El objetivo es minimizar los efectos de un único componente con errores. Use la siguiente información para minimizar los errores de las áreas de trabajo de Log Analytics y para proteger los datos que recopilan.
Las áreas de trabajo de Log Analytics ofrecen un alto grado de confiabilidad. La canalización de ingesta, que envía datos recopilados al área de trabajo de Log Analytics, valida que el área de trabajo de Log Analytics procese correctamente cada registro de log antes de quitar el registro de la canalización. Si la canalización de ingesta no está disponible, los agentes que envían los datos almacenan en búfer y vuelven a intentar enviar los registros durante muchas horas.
Funciones de Registros de Azure Monitor que permiten mejorar la resiliencia
Azure Monitor Logs ofrece varias características que mejoran la resiliencia de los espacios de trabajo frente a varios tipos de problemas. Puede usar estas características individualmente o en combinación, en función de sus necesidades. Para obtener una guía completa que abarque las consideraciones regionales, la recuperación ante desastres y estas características en profundidad, consulte Reliability in Azure Monitor Logs.
En este vídeo se proporciona información general sobre las opciones de confiabilidad y resistencia disponibles para las áreas de trabajo de Log Analytics:
Protección dentro de la región mediante zonas de disponibilidad
Cada Azure región que admite availability zones tiene un conjunto de centros de datos equipados con energía, refrigeración e infraestructura de red independientes.
Las zonas de disponibilidad de Azure Monitor Logs son redundantes, lo cual significa que Microsoft distribuye solicitudes de servicio y replica datos en diferentes zonas de regiones admitidas. Si un incidente afecta a una zona, Microsoft usa una zona de disponibilidad diferente en la región en su lugar, automáticamente. No es necesario realizar ninguna acción, ya que el cambio de zona se realiza de forma sencilla.
En la mayoría de las regiones, las zonas de disponibilidad de Azure Monitor Logs admiten resiliencia de datos, lo que significa que los datos almacenados están protegidos contra la pérdida de datos debido a fallos zonales, pero los servicios podrían verse afectados por incidentes regionales. Si el servicio no puede ejecutar consultas, no podrá ver los registros hasta que se resuelva el problema.
Un subconjunto de las zonas de disponibilidad que admiten la resistencia de los datos también admite la resiliencia de servicios, lo que significa que las operaciones del servicio Registros de Azure Monitor (por ejemplo, la ingesta de registros, las consultas y las alertas) pueden continuar en el caso de que se produzca algún error de zona.
Zonas de disponibilidad protegen contra incidentes relacionados con la infraestructura, como fallos de almacenamiento. No protegen contra problemas de nivel de aplicación, como implementaciones de código defectuosos o errores de certificado, lo que afecta a toda la región.
Copia de seguridad de datos de tablas específicas mediante la exportación continua
Puede exportar de manera continua los datos enviados a tablas específicas del área de trabajo de Log Analytics a cuentas de almacenamiento de Azure.
La cuenta de storage a la que exporta los datos debe estar en la misma región que el área de trabajo de Log Analytics. Para proteger y tener acceso a los registros ingeridos, incluso si la región del área de trabajo está inactiva, use una cuenta de almacenamiento georredundante, como se explica en Recomendaciones de configuración.
El mecanismo de exportación no proporciona protección contra incidentes que afectan a la canalización de ingesta o al propio proceso de exportación.
Nota:
Puede acceder a los datos en una cuenta de almacenamiento desde registros de Azure Monitor mediante el operador externaldata. Sin embargo, los datos exportados se almacenan en blobs de cinco minutos y el análisis de datos que abarcan varios blobs puede ser complicado. Por lo tanto, exportar datos a una cuenta de almacenamiento es un buen mecanismo de copia de seguridad de datos, pero tener los datos respaldados en una cuenta de almacenamiento no es ideal si los necesita para su análisis en Azure Monitor Logs. Puede consultar grandes volúmenes de datos de blobs mediante Azure Data Explorer, Azure Data Factory o cualquier otra herramienta de acceso al almacenamiento.
Resistencia de servicio y protección de datos entre regiones mediante la replicación del área de trabajo
La replicación del área de trabajo es la solución de resistencia más extensa, ya que replica el área de trabajo de Log Analytics y los registros entrantes en otra región.
La replicación del área de trabajo protege los registros y las operaciones de servicio, y le permite seguir supervisando los sistemas en caso de incidentes relacionados con la infraestructura o la aplicación en toda la región.
A diferencia de las zonas de disponibilidad, que Microsoft administra de un extremo a otro, debe supervisar el estado del área de trabajo principal y decidir cuándo cambiar al área de trabajo en la región secundaria y volver.
Lista de comprobación de diseño
- Para garantizar la resistencia del servicio y los datos a incidentes de toda la región, habilite la replicación del área de trabajo.
- Para garantizar la protección regional frente a fallas del centro de datos, cree el área de trabajo en una región que admita zonas de disponibilidad.
- Para la copia de seguridad entre regiones de datos en tablas específicas, use la característica de exportación continua para enviar datos a una cuenta de storage replicada geográficamente.
- Supervise el estado de las áreas de trabajo de Log Analytics.
Recomendaciones de configuración
| Recomendación | Ventajas |
|---|---|
| Para garantizar el mayor grado de resistencia, habilite la replicación del área de trabajo. |
Resistencia entre regiones para las operaciones de servicio y datos del área de trabajo. La Replicación del área de trabajo garantiza una alta disponibilidad mediante la creación de una instancia secundaria del área de trabajo en otra región e ingesta de los registros en ambas áreas de trabajo. Cuando sea necesario, cambie al área de trabajo secundaria hasta que se resuelvan los problemas que afectan al área de trabajo principal. Puede seguir ingiriendo registros, consultando datos, utilizando paneles, alertas y Sentinel en su espacio de trabajo secundario. También tiene acceso a los registros ingeridos antes del cambio de región. Se trata de una característica de pago, por lo que debe tener en cuenta si desea replicar todos los registros entrantes o solo algunos flujos de datos. |
| Si es posible, cree el área de trabajo en una región que admita la resiliencia de servicio de Azure Monitor. |
Resistencia en la región de las operaciones de servicio y datos del área de trabajo en caso de problemas del centro de datos. Zonas de disponibilidad que soportan la resiliencia del servicio también soportan la resiliencia de los datos. Esto significa que incluso si un centro de datos completo deja de estar disponible, la redundancia entre las zonas permite que las operaciones del servicio de Azure Monitor, como la ingesta y la consulta, sigan funcionando, y que los registros ingeridos permanezcan disponibles. Zonas de disponibilidad proporcionan protección en la región, pero no protegen contra problemas que afectan a toda la región. Para obtener información sobre qué regiones admiten la resiliencia de datos, consulte Mejorar la resiliencia de los datos y servicios en Azure Monitor Logs con zonas de disponibilidad. |
| Crear su área de trabajo en una región que admita la resiliencia de los datos. |
Protección en la región contra la pérdida de los registros del área de trabajo en caso de problemas del centro de datos. La creación de su área de trabajo en una región que permita la resistencia de datos significa que, incluso si todo el centro de datos deja de estar disponible, sus registros almacenados estarán seguros. Si el servicio no puede ejecutar consultas, no podrá ver los registros hasta que se resuelva el problema. Para obtener información sobre qué regiones admiten la resiliencia de datos, consulte Mejorar la resiliencia de los datos y servicios en Azure Monitor Logs con zonas de disponibilidad. |
| Configure la exportación de datos de tablas específicas a una cuenta de storage replicada entre regiones. |
Mantenga una copia de seguridad de los datos de registro en otra región. La característica de exportación data de Azure Monitor permite exportar continuamente los datos enviados a tablas específicas para Azure storage donde se puede conservar durante períodos prolongados. Use una cuenta de storage con redundancia geográfica (GRS) o una cuenta de storage con redundancia geográfica (GZRS) para mantener los datos seguros incluso si una región completa deja de estar disponible. Para que los datos sean legibles desde otras regiones, configure su cuenta de almacenamiento para el acceso de lectura en la región secundaria. Para obtener más información, consulte Redundancia de Azure Storage en una región secundaria y Acceso de lectura de Azure Storage a datos de la región secundaria. Para tablas que no admiten la exportación continua de datos, puede usar otros métodos de exportación de datos, incluido Logic Apps, para proteger los datos. Esta es principalmente una solución para cumplir el cumplimiento de la retención de datos, ya que los datos pueden ser difíciles de analizar y restaurar en el área de trabajo. La exportación de datos es susceptible a incidentes regionales porque se basa en la estabilidad de la canalización de ingesta de Azure Monitor en su región. No proporciona resistencia frente a incidentes que afectan a la canalización de ingesta regional. |
| Supervise el estado de las áreas de trabajo de Log Analytics. | Use la Información del área de trabajo de Log Analytics para realizar un seguimiento de las consultas con errores y crear una alerta de estado de mantenimiento para notificarle de forma proactiva si un área de trabajo deja de estar disponible debido a un error regional o de un centro de datos. |
Comparación de las características de resistencia de registros de Azure Monitor
| Característica | Resistencia del servicio | Copia de seguridad de datos | Alta disponibilidad | Ámbito de protección | Configuración | Costos |
|---|---|---|---|---|---|---|
| Replicación del área de trabajo | ✅ | ✅ | ✅ | Protección entre regiones frente a incidentes en toda la región | Habilite la replicación del área de trabajo y las reglas de recopilación de datos relacionadas. Cambie entre regiones según sea necesario. | En función del número de GB replicados y de la región. |
| Zonas de disponibilidad | ✅ En las regiones admitidas |
✅ | ✅ | Protección en la región frente a problemas del centro de datos | Habilitado automáticamente en regiones admitidas. | Sin costo |
| Exportación de datos continua | ✅ | Protección contra la pérdida de datos debido a un error regional 1 | Habilite por tabla. | Costo de exportación de datos + Storage blob o Event Hubs |
1 La exportación de datos proporciona protección entre regiones si exporta registros a una cuenta de storage replicada geográficamente. En caso de incidente, se realiza una copia de seguridad de los datos exportados previamente y están disponibles fácilmente; sin embargo, puede producirse un error en la exportación adicional, en función de la naturaleza del incidente.
Seguridad
Security es uno de los aspectos más importantes de cualquier arquitectura. Azure Monitor proporciona características para emplear tanto el principio de privilegios mínimos como la defensa en profundidad. Use la siguiente información para maximizar la seguridad de las áreas de trabajo de Log Analytics y asegurarse de que solo los usuarios autorizados access los datos recopilados.
Conceder acceso a los datos del espacio de trabajo basado en la necesidad
- Establezca el modo de control de acceso del área de trabajo en Usar permisos de recursos o áreas de trabajo para permitir que los propietarios de recursos usen el contexto del recurso para acceder a sus datos sin conceder accesos explícitos al área de trabajo. Esto simplifica la configuración del área de trabajo y ayuda a garantizar que los usuarios solo tengan access a los datos que necesitan.
Instructions: Administrar acceso a espacios de trabajo de Log Analytics - Asigne el rol integrado adecuado para conceder permisos de área de trabajo a los administradores en el nivel de suscripción, grupo de recursos o área de trabajo en función de su ámbito de responsabilidades.
Instructions: Administrar acceso a espacios de trabajo de Log Analytics - Aplique RBAC de nivel de tabla para los usuarios que requieren acceso a un conjunto de tablas en múltiples recursos. Los usuarios con permisos de tabla tienen access a todos los datos de la tabla, independientemente de sus permisos de recursos.
Instructions: Administrar acceso a espacios de trabajo de Log Analytics
Protección de los datos de registros en tránsito
Si usa agentes, conectores o las API de registros para consultar o enviar datos al área de trabajo, use Seguridad de la capa de transporte (TLS) 1.2 o posterior para garantizar la seguridad de los datos en tránsito. Las versiones anteriores de TLS y la Capa de Sockets Seguros (SSL) tienen vulnerabilidades y, aunque todavía podrían funcionar para asegurar la compatibilidad retroactiva, no se recomiendan y la industria ha avanzado rápidamente para abandonar el soporte de estos protocolos más antiguos.
El Consejo de Estándares de Seguridad de PCI establece una fecha límite del 30 de junio de 2018 para deshabilitar las versiones anteriores de TLS/SSL y actualizar a protocolos más seguros. Una vez que Azure retire el soporte heredado, los clientes que no se comuniquen por completo mediante TLS 1.2 o una versión superior no podrán enviar ni consultar datos a Azure Monitor Logs.
No configure explícitamente los agentes, conectores de datos ni aplicaciones de API para que solo usen TLS 1.2 a menos que sea necesario. Se recomienda permitirles detectar, negociar y aprovechar las ventajas de los estándares de seguridad futuros. De lo contrario, podría perderse la seguridad adicional de los estándares más recientes y posiblemente experimentar problemas si TLS 1.2 alguna vez deja de usarse y da paso a esos estándares más recientes.
Importante
En consonancia con la Retirada de TLS heredada de Toda Azure, el protocolo TLS 1.0/1.1 se bloqueará por completo para los registros de Azure Monitor según las fechas de la tabla siguiente. Para proporcionar el mejor cifrado en la clase, Azure Monitor Logs ya usa TLS 1.2/1.3 como mecanismos de cifrado que prefiera.
| Fecha de cumplimiento | Consulta de puntos de conexión de API | Versión del protocolo TLS |
|---|---|---|
| 1 de julio de 2025 | Puntos finales de la API de consultas de registros | TLS 1.2 o superior |
| 1 de marzo de 2026 | Punto de conexión de ingesta de registros | TLS 1.2 o superior |
Acción recomendada
Para evitar posibles interrupciones del servicio, confirme que los recursos que interactúan con los puntos de conexión de la API de registros no tienen dependencias en los protocolos TLS 1.0 o 1.1 y admiten totalmente TLS 1.2.
- General
- Identificación de máquinas virtuales que carecen de TLS 1.2+
- Identificación de máquinas virtuales que podrían admitir TSL 1.2+
Para preguntas generales sobre el problema de TLS heredado o cómo probar conjuntos de cifrado admitidos, consulte Solución de problemas de TLS y Compatibilidad con TLS de Azure Resource Manager.
Configurar la auditoría de consultas de registros
- Configure la auditoría de consultas de registro para registrar los detalles de cada consulta que se ejecuta en un área de trabajo.
Instrucciones: Consultas de auditoría en los registros de Azure Monitor - Trate los datos de auditoría de consultas de registro como datos de seguridad y asegure el acceso a la tabla LAQueryLogs adecuadamente.
Instrucciones: Configure el acceso a los datos del área de trabajo según sea necesario. - Si separa los datos operativos y de seguridad, envíe los registros de auditoría de cada área de trabajo al área de trabajo local o consolide en un área de trabajo de seguridad dedicada.
Instrucciones: Configure el acceso a los datos del área de trabajo según sea necesario. - Use información del área de trabajo de Log Analytics para revisar periódicamente los datos de auditoría de consultas de registro.
Instrucciones: Información del área de trabajo de Log Analytics. - Cree reglas de alertas de búsqueda de registros para notificarle si los usuarios no autorizados intentan ejecutar consultas.
Instrucciones: Reglas de alerta para la búsqueda de registros.
Garantizar la inmutabilidad de los datos de auditoría
Azure Monitor es una plataforma de datos de solo anexión, pero incluye disposiciones para eliminar datos con fines de cumplimiento. Para proteger los datos de auditoría:
Establezca un bloqueo en el área de trabajo de Log Analytics para bloquear todas las actividades que podrían eliminar datos, como purga, eliminación de tablas y cambios de retención de datos de nivel de área de trabajo o tabla. Sin embargo, tenga en cuenta que este bloqueo se puede quitar.
Instrucciones: Bloquee sus recursos para proteger su infraestructuraSi necesita una solución completamente a prueba de alteraciones, le recomendamos que exporte sus datos a una solución de almacenamiento inmutable.
- Determine los tipos de datos específicos que se deben exportar. No todos los tipos de registro tienen la misma relevancia para el cumplimiento, la auditoría o la seguridad.
- Use data export para enviar datos a una cuenta de Azure storage.
Instrucciones: Exportación de datos del espacio de trabajo de Log Analytics en Azure Monitor - Establezca directivas de inmutabilidad para protegerse contra la manipulación de datos.
Instrucciones: Configuración de las directivas de inmutabilidad para las versiones de blobs
Filtrar o ofuscar datos confidenciales en el área de trabajo
Si los datos de registro incluyen información confidencial:
- Filtre los registros que no se deben recopilar mediante la configuración del origen de datos determinado.
- Use una transformación si solo se deben quitar o ofuscar columnas concretas de los datos.
Instructions: Transformations en Azure Monitor - Si tiene estándares que requieren que los datos originales permanezcan sin modificaciones, use el literal "h" en las consultas KQL para enmascarar los resultados de consultas mostrados en los libros de trabajo.
Instructions: Literales de cadenas ofuscadas
Purgar datos confidenciales recopilados accidentalmente
- Compruebe periódicamente si hay datos privados que podrían recopilarse accidentalmente en el área de trabajo.
- Use la purga de datos para quitar datos no deseados. Tenga en cuenta que los datos de las tablas con el plan auxiliar no se pueden purgar actualmente.
Instructions: Administrar datos personales en registros de Azure Monitor y Application Insights
Vinculación del área de trabajo a un clúster dedicado para mejorar la seguridad
Azure Monitor cifra todos los datos en reposo y las consultas guardadas mediante claves administradas por Microsoft (MMK). Si recopila suficientes datos para un clúster dedicado, vincule el área de trabajo a un clúster dedicado para obtener características de seguridad mejoradas, entre las que se incluyen:
- Claves administradas por el cliente para mayor flexibilidad y control del ciclo de vida de las claves. Si usa Microsoft Sentinel, asegúrese de que está familiarizado con las consideraciones al configurar la clave administrada por el cliente en Microsoft Sentinel.
- Customer Lockbox for Microsoft Azure para revisar y aprobar o rechazar las solicitudes de acceso a datos del cliente. Customer Lockbox se usa cuando un ingeniero de Microsoft necesita acceder a los datos de los clientes, ya sea en respuesta a un problema de soporte técnico iniciado por el cliente o a un problema identificado por Microsoft. Lockbox no se puede aplicar actualmente a tablas con el Plan auxiliar.
Instructions: Crear y administrar un clúster dedicado en registros de Azure Monitor
Bloquear el acceso al área de trabajo desde redes públicas mediante Azure Private Link
Microsoft protege las conexiones a puntos de conexión públicos con cifrado de un extremo a otro. Si necesita un punto de conexión privado, use Azure private link para permitir que los recursos se conecten al área de trabajo de Log Analytics a través de redes privadas autorizadas. Asimismo, se puede usar Private Link para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o mediante una VPN.
Instrucciones: Diseñe su configuración de Azure Private Link
Optimización de costos
Optimización de costos hace referencia a formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Puede reducir significativamente el costo de Azure Monitor mediante la comprensión de las diferentes opciones de configuración y oportunidades para reducir la cantidad de datos que recopila. Consulte Azure Monitor el costo y el uso para comprender las distintas formas en que Azure Monitor aplica cargos y cómo ver su factura mensual.
Nota:
Consulte Optimización de costos en Azure Monitor para obtener recomendaciones de optimización de costos en todas las características de Azure Monitor.
Lista de comprobación de diseño
- Determine si desea combinar sus datos operativos y sus datos de seguridad en la misma área de trabajo de Log Analytics.
- Configure el plan de tarifa para la cantidad de datos que cada área de trabajo de Log Analytics suele recopilar.
- Configurar la retención y el archivado de datos.
- Configurar las tablas usadas para la depuración, la solución de problemas y la auditoría como registros básicos.
- Limite la recopilación de datos de orígenes de datos para el área de trabajo.
- Analice regularmente los datos recopilados para identificar tendencias y anomalías.
- Creación de una alerta cuando la recopilación de datos es mayor.
- Considerar un límite diario como medida preventiva para asegurarse de que no se excede un presupuesto determinado.
- Configura alertas en las recomendaciones de costos de Azure Advisor para las áreas de trabajo de Log Analytics.
Recomendaciones de configuración
| Recomendación | Ventajas |
|---|---|
| Determine si desea combinar sus datos operativos y sus datos de seguridad en la misma área de trabajo de Log Analytics. | Como todos los datos de un área de trabajo de Log Analytics están sujetos a los precios de Microsoft Sentinel, si se habilita, la combinación de estos datos podría tener implicaciones económicas. Vea Diseño de una estrategia de área de trabajo de Log Analytics para obtener más información sobre cómo tomar esta decisión para el entorno y equilibrarla con los criterios de otros pilares. |
| Configure el plan de tarifa para la cantidad de datos que cada área de trabajo de Log Analytics suele recopilar. | De forma predeterminada, las áreas de trabajo de Log Analytics usarán el precio de pago por uso sin un volumen mínimo de datos. Si recopila suficientes datos, puede reducir significativamente el costo mediante un nivel de compromiso, lo que le permite comprometerse a un mínimo diario de datos recopilados a cambio de una tasa inferior. Si recopila suficientes datos en áreas de trabajo de una misma región, puede vincularlos a un clúster dedicado y combinar su volumen recopilado mediante precios de clúster. Consulte Calcular costos y opciones en Azure Monitor Logs para obtener más información sobre los niveles de suscripción y orientación sobre cómo determinar cuál es más adecuado para su nivel de uso. Consulte Uso y costos estimados para ver los costos estimados de su uso en diferentes niveles de precios. |
| Configure la retención de datos interactiva y a largo plazo. | La conservación de datos en un área de trabajo de Log Analytics más allá del período predeterminado de 31 días (90 días si Sentinel está activado en el área de trabajo y 90 días para los datos de Application Insights) conlleva un costo. Tenga en cuenta sus requisitos particulares para disponer de datos fácilmente disponibles para consultas de registros. Puede reducir significativamente el costo configurando retención a largo plazo, lo que le permite conservar datos durante hasta doce años y seguir accediendo a ellos ocasionalmente mediante trabajos de búsqueda o restaurar un conjunto de datos en el área de trabajo. |
| Configurar las tablas usadas para la depuración, la solución de problemas y la auditoría como registros básicos. | Las tablas de un área de trabajo de Log Analytics configuradas para Basic Logs tienen un menor costo de ingesta a cambio de contar con características limitadas y un cargo por las consultas de registro. Si consulta estas tablas con poca frecuencia y no las usa para alertas, este costo de consulta puede ser más que compensado por el costo reducido de ingestión. |
| Limite la recopilación de datos de orígenes de datos para el área de trabajo. | El factor principal del costo de Azure Monitor es la cantidad de datos que recopila en el área de trabajo de Log Analytics, por lo que debe asegurarse de que no recopile más datos que necesite para evaluar el estado y el rendimiento de los servicios y las aplicaciones. Consulte Diseño de una arquitectura de área de trabajo de Log Analytics para obtener más información sobre cómo tomar esta decisión para su entorno y equilibrarla con los criterios de otros pilares. Compensación: puede haber una compensación entre los costos y los requisitos de supervisión. Por ejemplo, es posible que pueda detectar un problema de rendimiento más rápidamente con una frecuencia de muestreo alta, pero podría preferir una tasa de muestreo más baja para ahorrar costos. La mayoría de los entornos tienen varios orígenes de datos con diferentes tipos de recopilación, por lo que debes equilibrar los requisitos concretos con los objetivos de costo de cada uno. Consulte Optimización de costos en Azure Monitor para obtener recomendaciones sobre cómo configurar la recopilación para distintos orígenes de datos. |
| Analice regularmente los datos recopilados para identificar tendencias y anomalías. | Use la información sobre el área de trabajo de Log Analytics para revisar periódicamente la cantidad de datos recopilados en su área de trabajo. Además de ayudarle a comprender la cantidad de datos recopilados por las distintas fuentes, identificará anomalías y tendencias al alza en la recopilación de datos que podrían suponer un costo excesivo. Analice más a fondo la recopilación de datos mediante los métodos de Analizar el uso en el área de trabajo de Log Analytics para determinar si hay alguna configuración adicional que pueda reducir aún más su uso. Esto es especialmente importante al agregar un nuevo conjunto de orígenes de datos, como un nuevo conjunto de virtual machines o incorporar un nuevo servicio. |
| Creación de una alerta cuando la recopilación de datos es mayor. | Para evitar facturas inesperadas, debería recibir una notificación proactiva cada vez que experimente un uso excesivo. La notificación le permite abordar cualquier posible anomalía antes de que finalice el periodo de facturación. |
| Considerar un límite diario como medida preventiva para asegurarse de que no se excede un presupuesto determinado. | Un límite diario desactiva la recopilación de datos en un área de trabajo de Log Analytics durante el resto del día después de alcanzar el límite configurado. No se debe usar como método para reducir los costos, como se describe en Cuándo usar un límite diario. Si establece un límite diario, además de crear una alerta cuando se alcance el límite, asegúrese de crear también una regla de alertas para que se le notifique cuando se alcance un porcentaje determinado (90 %, por ejemplo). Esto le da la oportunidad de investigar y solucionar la causa del aumento de datos antes de que el límite interrumpa la recopilación de datos. |
| Configura alertas en las recomendaciones de costos de Azure Advisor para las áreas de trabajo de Log Analytics. | Azure Advisor recomendaciones para las áreas de trabajo de Log Analytics le avisan de forma proactiva cuando hay una oportunidad de optimizar los costos.
Crear alertas de Azure Advisor para estas recomendaciones de costos:
|
Excelencia operativa
Excelencia operativa hace referencia a los procesos de operaciones necesarios para mantener un servicio en ejecución confiable en producción. Use la siguiente información para minimizar los requisitos operativos para admitir áreas de trabajo de Log Analytics.
Lista de comprobación de diseño
- Diseñe una arquitectura de área de trabajo con el número mínimo de áreas de trabajo para satisfacer los requisitos empresariales.
- Use infraestructura como código (IaC) al administrar varias áreas de trabajo.
- Use la información sobre el área de trabajo de Log Analytics para realizar un seguimiento del estado y el rendimiento de las áreas de trabajo de Log Analytics.
- Cree reglas de alerta para recibir notificaciones proactivas de problemas operativos en el área de trabajo.
- Asegúrese de que tiene un proceso operativo bien definido para la segregación de datos.
Recomendaciones de configuración
| Recomendación | Ventajas |
|---|---|
| Diseñe una estrategia de área de trabajo para satisfacer sus requisitos empresariales. | Consulte Diseño de una arquitectura de área de trabajo de Log Analytics para obtener instrucciones sobre cómo diseñar una estrategia para las áreas de trabajo de Log Analytics, incluido cuántas crear y dónde colocarlas. Una única área de trabajo (o, al menos, un número mínimo) maximizará la eficacia operativa, ya que limita la distribución de los datos operativos y de seguridad, lo que aumenta la visibilidad de los posibles problemas, lo que facilita la identificación de patrones y minimiza los requisitos de mantenimiento. Es posible que tenga requisitos para varias áreas de trabajo, como varios inquilinos, o que necesite áreas de trabajo en varias regiones para admitir los requisitos de disponibilidad. En estos casos, asegúrese de que tiene los procesos adecuados para administrar esta mayor complejidad. |
| Use infraestructura como código (IaC) al administrar varias áreas de trabajo. | Use infraestructura como código (IaC) para definir los detalles de las áreas de trabajo en ARM, BICEP o Terraform. Esto le permite aprovechar los procesos existentes de DevOps para implementar nuevas áreas de trabajo y Azure Policy para aplicar su configuración. |
| Use la información sobre el área de trabajo de Log Analytics para realizar un seguimiento del estado y el rendimiento de las áreas de trabajo de Log Analytics. | En el artículo Información sobre el área de trabajo de Log Analytics se proporciona una vista unificada del uso, el rendimiento, el estado, los agentes, las consultas y los registros de cambios de todas las áreas de trabajo. Revise esta información periódicamente para realizar un seguimiento del estado y el funcionamiento de cada una de las áreas de trabajo. |
| Cree reglas de alerta para recibir notificaciones proactivas de problemas operativos en el área de trabajo. | Cada área de trabajo tiene una tabla de operaciones que registra actividades importantes que afectan al área de trabajo. Cree reglas de alertas basadas en esta tabla para recibir notificaciones proactivas cuando se produzca un problema operativo. Puede usar alertas recomendadas para el área de trabajo para simplificar la creación de las reglas de alertas más críticas. |
| Asegúrese de que tiene un proceso operativo bien definido para la segregación de datos. | Es posible que tenga requisitos diferentes para distintos tipos de datos almacenados en el área de trabajo. Asegúrese de que comprende claramente estos requisitos, como la retención de datos y la seguridad al diseñar la estrategia del área de trabajo y configurar opciones, como permisos y retención a largo plazo. También debe tener un proceso claramente definido para purgar ocasionalmente los datos con información personal que se recopila accidentalmente. |
Eficiencia del rendimiento
Eficiencia de rendimiento consiste en un uso eficaz de los recursos de carga de trabajo. Use la siguiente información para asegurarse de que las áreas de trabajo de Log Analytics y las consultas de registro están configuradas para obtener el máximo rendimiento.
La optimización del rendimiento comienza con consultas
Azure Monitor Logs es un servicio de escalado en la nube totalmente administrado diseñado para controlar automáticamente la ingesta, la indexación y la consulta en cargas de trabajo grandes y fluctuantes. Su motor subyacente emplea mecanismos integrados que optimizan la ejecución de consultas, distribuyen el procesamiento y escalan automáticamente los recursos sin problemas sin intervención del usuario. Al igual que con cualquier sistema analítico grande, la ejecución de consultas en conjuntos de datos muy grandes requiere recursos de proceso adicionales y podría afectar al rendimiento de las consultas. Use las estrategias siguientes para optimizar el rendimiento, especialmente con grandes conjuntos de datos y consultas a lo largo de intervalos de tiempo.
Lista de comprobación de diseño
- Optimice las consultas de registro.
- Configurar la auditoría de consultas de registro.
- Use la información del área de trabajo de Log Analytics para identificar consultas lentas e ineficaces.
- Considere si el escenario es adecuado para las reglas de resumen.
Recomendaciones de configuración
| Recomendación | Ventajas |
|---|---|
| Optimice las consultas de registro siguiendo las instrucciones de Optimize log queries in Azure Monitor. | Las consultas optimizadas se ejecutan más rápido y consumen menos recursos, lo que proporciona información sobre los datos más rápidamente y es menos probable que se limiten o rechacen. Siga los procedimientos recomendados para escribir consultas eficaces del lenguaje de consulta kusto (KQL) para mejorar el rendimiento. |
| Configurar la auditoría de consultas de registro. | La auditoría de consultas de registro almacena el tiempo de proceso necesario para ejecutar cada consulta y el tiempo hasta que se devuelven los resultados. |
| Use la información del área de trabajo de Log Analytics para identificar consultas lentas e ineficaces. | La Información sobre el área de trabajo de Log Analytics usa estos datos para enumerar consultas potencialmente ineficaces en el área de trabajo. |
| Considere si el escenario es adecuado para reglas de resumen, como paneles o informes mensuales en intervalos de tiempo prolongados. | Las reglas de resumen vuelven a ingerir datos resumidos de grandes conjuntos de datos después de un retraso determinado, creando tablas de resumen. Las tablas de resumen se consultan de forma más eficaz que los datos sin procesar originales. Considere las reglas de resumen para crear y administrar tablas de resumen en el área de trabajo de Log Analytics. |
Paso siguiente
- Obtenga más información sobre cómo empezar con Azure Monitor.