Información general del área de trabajo de Log Analytics
Un área de trabajo de Log Analytics es un entorno único para los datos de registro de Azure Monitor y otros servicios de Azure, como Microsoft Sentinel y Microsoft Defender for Cloud. Cada área de trabajo tiene su propio repositorio de datos y configuración, pero puede combinar datos de varios servicios. En este artículo se proporciona información general sobre los conceptos relacionados con las áreas de trabajo de Log Analytics y se facilitan vínculos a otra documentación para obtener más detalles sobre cada una.
Importante
Es posible que vea el término área de trabajo de Microsoft Sentinel que se usa en la documentación de Microsoft Sentinel. Esta es la misma área de trabajo de Log Analytics que se describe en este artículo, pero habilitada para Microsoft Sentinel. Todos los datos del área de trabajo están sujetos a los precios de Microsoft Sentinel, tal como se describe en la sección Costos.
Puede usar una sola área de trabajo para la recopilación de datos. También puede crear varias áreas de trabajo en función de los requisitos, como:
- La ubicación geográfica de los datos.
- Los derechos de acceso que definen qué usuarios pueden acceder a los datos.
- Opciones de configuración como planes de tarifa y retención de datos.
Para crear una nueva área de trabajo, consulte Creación de un área de trabajo de Log Analytics en Azure Portal. Para consideraciones sobre cómo crear varias áreas de trabajo, consulte Diseño de una configuración de área de trabajo de Log Analytics.
Estructura de los datos
Cada área de trabajo contiene varias tablas que están organizadas en columnas independientes con varias filas de datos. Cada tabla se define mediante un conjunto único de columnas. Las filas de datos proporcionadas por el origen de datos comparten esas columnas. Las consultas de registro definen columnas de datos para recuperar y proporcionar salida a diferentes características de Azure Monitor y otros servicios que usan áreas de trabajo.
Advertencia
Los nombres de la tabla se usan con fines de facturación, por lo que no deben contener información confidencial.
Coste
No hay ningún costo directo por crear o mantener un área de trabajo. Se le cobrará por los datos enviados (esto también se conoce como ingesta de datos). Se le cobrará según el tiempo que almacene los datos (esto se conoce como retención de datos). Estos costos pueden variar en función del plan de datos de registros de cada tabla, como se describe en Planes de datos de registro .
Para obtener más información sobre los precios, consulte Precios de Azure Monitor. Para obtener instrucciones sobre cómo reducir los costos, consulte Procedimientos recomendados de Azure Monitor: Administración de costos. Si usa el área de trabajo de Log Analytics con servicios distintos de Azure Monitor, consulte la documentación de esos servicios para obtener información sobre los precios.
DCR de transformación del área de trabajo
Las reglas de recopilación de datos (DCR) que definen los datos que llegan a Azure Monitor pueden incluir transformaciones que le permiten filtrar y transformar los datos antes de que se ingieran en el área de trabajo. Dado que aún hay orígenes de datos que no admiten reglas de recopilación de datos (DCR), cada área de trabajo puede tener una DCR de transformación del área de trabajo.
En la DCR de transformación del área de trabajo, se definen transformaciones para cada tabla del área de trabajo y se aplican a todos los datos enviados a esa tabla, incluso si se envían desde varios orígenes. Estas transformaciones solo se aplican a los flujos de trabajo que aún no usan una DCR. Por ejemplo, el agente de Azure Monitor usa una regla de recopilación de datos para definir los datos recopilados de las máquinas virtuales. Estos datos no estarán sujetos a ninguna transformación en tiempo de ingesta definida en el área de trabajo.
Por ejemplo, puede tener una configuración de diagnóstico que envíe registros de recursos para distintos recursos de Azure al área de trabajo. Puede crear una transformación para la tabla que recopile los registros de recursos que filtran estos datos solo para los registros que quiera. Este método le ahorrará el costo de ingesta de los registros que no necesite. También puede extraer datos importantes de determinadas columnas y almacenarlos en otras columnas en el área de trabajo para admitir consultas más sencillas.
Retención y archivado de datos
Los datos de cada tabla de un área de trabajo de Log Analytics se conservan durante un período de tiempo especificado después del cual se quitan o archivan por una tarifa de retención reducida. Establezca el tiempo de retención para equilibrar sus requisitos de tener datos disponibles con la reducción del costo de la retención de datos.
Para acceder a los datos archivados, primero debe recuperar datos de ellos en una tabla de registros de análisis mediante algunos de los métodos siguientes:
| Método | Descripción |
|---|---|
| Trabajos de búsqueda | Recuperar datos que coincidan con criterios concretos. |
| Restauración | Recuperar datos de un intervalo de tiempo determinado. |
Permisos
El permiso de acceso a los datos de un área de trabajo de Log Analytics se define mediante el modo de control de acceso, que es una opción de configuración de cada área de trabajo. Puede conceder a los usuarios acceso explícito al área de trabajo mediante un rol integrado o personalizado. O bien, puede permitir el acceso a los datos recopilados para los recursos de Azure a los usuarios con acceso a esos recursos.
Consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor para obtener más información sobre las opciones de permisos y sobre la configuración de permisos.
Pasos siguientes
- Cree un área de trabajo de Log Analytics.
- Para obtener consideraciones sobre cómo crear varias áreas de trabajo, consulte Diseño de una configuración de área de trabajo de Log Analytics.
- Obtenga información sobre las consultas de registros para recuperar y analizar datos provenientes de un área de trabajo de Log Analytics.