Partekatu honen bidez:


Información general del área de trabajo de Log Analytics

Un área de trabajo de Log Analytics es un almacén de datos en el que puede recopilar cualquier tipo de datos de registro de todos los recursos y aplicaciones de Azure y que no son de Azure. Las opciones de configuración del área de trabajo permiten administrar todos los datos de registro en un área de trabajo para satisfacer las necesidades relacionadas con las operaciones, el análisis y la auditoría de diferentes personas de su organización mediante lo siguiente:

En este artículo se proporciona información general sobre los conceptos relacionados con las áreas de trabajo de Log Analytics.

Importante

En la documentación de Microsoft Sentinel, se usa el término área de trabajo de Microsoft Sentinel. Esta es la misma área de trabajo de Log Analytics que se describe en este artículo, pero habilitada para Microsoft Sentinel. Todos los datos del área de trabajo están sujetos a los precios de Microsoft Sentinel.

Tablas de registro

Cada área de trabajo de Log Analytics contiene varias tablas en las que los registros de Azure Monitor almacenan los datos que se recopilan.

Los registros de Azure Monitor crean automáticamente las tablas necesarias para almacenar los datos de supervisión que recopila de su entorno de Azure. Puede crear tablas personalizadas para almacenar los datos que recopila de aplicaciones y recursos que no son de Azure, en función del modelo de datos de los datos de registro que recopila y de cómo desea almacenar y usar los datos.

La configuración de administración de tablas permite controlar el acceso a tablas específicas y administrar el modelo de datos, la retención y el costo de los datos de cada tabla. Para obtener más información, consulte Administración de tablas en un área de trabajo de Log Analytics.

Diagrama que muestra la estructura de los registros de Azure Monitor.

Retención de datos

Un área de trabajo de Log Analytics conserva los datos en dos estados: retención interactiva y retención a largo plazo.

Durante el período de retención interactivo, se recuperan los datos de la tabla a través de consultas y los datos están disponibles para visualizaciones, alertas y otras características y servicios, en función del plan de tabla.

Cada tabla del área de trabajo de Log Analytics le permite conservar los datos hasta 12 años en la retención a largo plazo y de bajo costo. Recupere datos específicos que necesita de la retención a largo plazo para la retención interactiva mediante un trabajo de búsqueda. Esto significa que administra los datos de registro en un solo lugar, sin mover datos al almacenamiento externo, y obtiene las funcionalidades de análisis completas de Azure Monitor en los datos más antiguos, cuando lo necesite.

Para obtener más información, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

Acceso a datos

El permiso de acceso a los datos de un área de trabajo de Log Analytics se define mediante la opción de configuración modo de control de acceso de cada área de trabajo. Puede conceder a los usuarios acceso explícito al área de trabajo mediante un rol integrado o personalizado. O bien, puede permitir el acceso a los datos recopilados para los recursos de Azure a los usuarios con acceso a esos recursos.

Para más información, consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor.

Visualización de conclusiones del área de trabajo de Log Analytics

Las conclusiones del área de trabajo de Log Analytics le ayudan a administrar y optimizar las áreas de trabajo de Log Analytics con una vista completa del uso, el rendimiento, el estado, la ingesta, las consultas y el registro de cambios.

Captura de pantalla que muestra la pestaña de información general de conclusiones del área de trabajo de Log Analytics.

Transformación de los datos que ingiere en el área de trabajo de Log Analytics

Las reglas de recopilación de datos (DCR) que definen los datos que llegan a Azure Monitor pueden incluir transformaciones que le permiten filtrar y transformar los datos antes de que se ingieran en el área de trabajo. Dado que aún hay orígenes de datos que no admiten reglas de recopilación de datos (DCR), cada área de trabajo puede tener una DCR de transformación del área de trabajo.

En la DCR de transformación del área de trabajo, se definen transformaciones para cada tabla del área de trabajo y se aplican a todos los datos enviados a esa tabla, incluso si se envían desde varios orígenes. Estas transformaciones solo se aplican a los flujos de trabajo que aún no usan una DCR. Por ejemplo, el agente de Azure Monitor usa una regla de recopilación de datos para definir los datos recopilados de las máquinas virtuales. Estos datos no estarán sujetos a ninguna transformación en tiempo de ingesta definida en el área de trabajo.

Por ejemplo, puede tener una configuración de diagnóstico que envíe registros de recursos para distintos recursos de Azure al área de trabajo. Puede crear una transformación para la tabla que recopile los registros de recursos que filtran estos datos solo para los registros que quiera. Este método le ahorrará el costo de ingesta de los registros que no necesite. También puede extraer datos importantes de determinadas columnas y almacenarlos en otras columnas en el área de trabajo para admitir consultas más sencillas.

Costos

No hay ningún costo directo por crear o mantener un área de trabajo. Se le cobra por los datos que ingiere en el área de trabajo y por la retención de datos, en función del plan de tabla de cada tabla.

Para obtener más información sobre los precios, consulte Precios de Azure Monitor. Para obtener instrucciones sobre cómo reducir los costos, consulte Procedimientos recomendados de Azure Monitor: Administración de costos. Si usa el área de trabajo de Log Analytics con servicios distintos de Azure Monitor, consulte la documentación de esos servicios para obtener información sobre los precios.

Diseño de una arquitectura de área de trabajo de Log Analytics para satisfacer necesidades empresariales específicas

Puede usar una sola área de trabajo para la recopilación de datos. Sin embargo, también puede crear varias áreas de trabajo basadas en requisitos empresariales específicos, como requisitos normativos o de cumplimiento, para almacenar datos en ubicaciones específicas, dividir la facturación y la resistencia.

Para consultar consideraciones relacionadas con la creación de varias áreas de trabajo, consulte Diseño de una configuración de área de trabajo de Log Analytics.

Pasos siguientes