Vue d’ensemble de l’espace de travail Log Analytics
Un espace de travail Log Analytics constitue un environnement unique pour les données de journaux provenant d’Azure Monitor et d’autres services Azure, comme Microsoft Sentinel et Microsoft Defender pour le cloud. Chaque espace de travail possède son propre référentiel de données et sa propre configuration, mais peut combiner des données provenant de plusieurs services. Cet article donne une vue d’ensemble des concepts relatifs aux espaces de travail Log Analytics et fournit des liens vers une documentation détaillée sur chacun d’eux.
Important
Le terme Espace de travail Microsoft Sentinel est parfois utilisé dans la documentation de Microsoft Sentinel. Il s’agit du même espace de travail que l’espace de travail Log Analytics décrit dans cet article, mais il est activé pour Microsoft Sentinel. Toutes les données de l’espace de travail sont soumises à la tarification de Microsoft Sentinel, comme décrit dans la section Coût.
Vous pouvez utiliser un seul espace de travail pour toute votre collecte de données. Vous pouvez également créer plusieurs espaces de travail en fonction des exigences telles que :
- Emplacement géographique des données.
- Droits d’accès qui définissent les utilisateurs pouvant accéder aux données.
- Paramètres de configuration tels que les niveaux tarifaires et la rétention des données.
Pour créer un espace de travail, consultez Créer un espace de travail Log Analytics dans le portail Azure. Pour plus d’informations sur la création de plusieurs espaces de travail, consultez Concevoir une architecture d’espace de travail Log Analytics.
Structure de données
Chaque espace de travail contient plusieurs tables qui sont organisées en colonnes distinctes avec plusieurs lignes de données. Chaque table est définie par un ensemble unique de colonnes. Les lignes de données fournies par la source de données partagent ces colonnes. Les requêtes de journal définissent les colonnes de données à récupérer et fournissent une sortie aux différentes fonctionnalités d’Azure Monitor et d’autres services qui utilisent des espaces de travail.
Avertissement
Les noms de table sont utilisés à des fins de facturation et ne doivent donc pas contenir d’informations sensibles.
Coût
Aucun coût direct n’est associé à la création ni à la gestion d’un espace de travail. Vous êtes facturé pour les données envoyées, également appelées ingestion de données. Vous êtes facturé pour la durée pendant laquelle ces données sont stockées, autrement appelée conservation des données. Ces coûts peuvent varier en fonction du plan de journal de données de chaque table (cf. section Plans de données de journal).
Pour plus d’informations sur la tarification, consultez Tarification Azure Monitor. Pour obtenir des conseils sur la façon de réduire vos coûts, consultez les Meilleures pratiques d’Azure Monitor - Gestion des coûts. Si vous utilisez votre espace de travail Log Analytics avec des services autres qu’Azure Monitor, consultez la documentation de ces services pour obtenir des informations tarifaires.
DCR de transformation de l’espace de travail
Les règles de collecte de données définissent les données qui entrent dans Azure Monitor. Elles comprennent des transformations permettant de filtrer et de transformer des données avant que celles-ci ne soient ingérées dans l’espace de travail. Étant donné que toutes les sources de données ne prennent pas encore en charge les contrôleurs de domaine, chaque espace de travail peut avoir un DCR de transformation d’espace de travail.
Les transformations dans le DCR de transformation de l’espace de travail au moment de l’ingestion sont définies pour chaque table d’un espace de travail. Elles s’appliquent à toutes les données envoyées à cette table, même si elles sont envoyées à partir de plusieurs sources. Ces transformations ne concernent que les flux de travail qui n’utilisent pas déjà une règle de collecte de données. Par exemple, l’agent Azure Monitor utilise une règle de collecte de données pour définir les données collectées à partir des machines virtuelles. Ces données ne sont soumises à aucune transformation au moment de l’ingestion définie dans l’espace de travail.
Supposons par exemple que vous ayez des paramètres de diagnostic qui envoient à votre espace de travail des journaux de ressources relatifs à différentes ressources Azure. Vous pouvez créer une transformation pour la table qui collecte les journaux de ressources afin de filtrer ces données sur les enregistrements de votre choix. Cette méthode vous permet d’économiser le coût d’ingestion des enregistrements dont vous n’avez pas besoin. Vous avez également la possibilité d’extraire des données importantes de certaines colonnes et de les stocker dans d’autres colonnes de l’espace de travail pour simplifier les requêtes.
Conservation des données et archivage
Les données de chaque table d’un espace de travail log Analytics sont conservées pendant une période de temps spécifiée, à l’issue de laquelle elles sont supprimées ou archivées avec des frais de conservation réduits. Définissez la durée de conservation de façon à trouver l’équilibre entre votre exigence de disponibilité des données et la réduction de vos coûts de conservation des données.
Pour accéder aux données archivées, vous devez d’abord y récupérer les données dans une table Journaux d’analytique à l’aide de l’une des méthodes suivantes :
| Méthode | Description |
|---|---|
| Tâches de recherche | Récupérez les données correspondant à des critères particuliers. |
| Restauration | Récupérez les données d’une certaine plage de temps. |
Autorisations
L’autorisation d’accès aux données d’un espace de travail Log Analytics est définie par le mode de contrôle d’accès. Il s’agit d’un paramètre disponible sur chaque espace de travail. Vous pouvez accorder aux utilisateurs un accès explicite à l’espace de travail à l’aide d’un rôle intégré ou personnalisé. Ou bien, vous pouvez autoriser l’accès aux données collectées pour les ressources Azure aux utilisateurs ayant accès à ces ressources.
Consultez Gestion de l’accès aux données de journal et aux espaces de travail dans Azure Monitor, pour plus d’informations sur les différentes options d’autorisation et sur la façon de configurer les autorisations.
Étapes suivantes
- Créez un espace de travail Log Analytics.
- Consultez Concevoir une architecture d’espace de travail Log Analytics, pour plus d’informations sur la création de plusieurs espaces de travail.
- Découvrez les requêtes de journal pour récupérer et analyser les données d’un espace de travail Log Analytics.