Perspective d’Azure Well-Architected Framework sur Log Analytics
Les fonctionnalités et les performances de la charge de travail Well-Architected Framework doivent être surveillées de différentes manières et pour diverses raisons. Les espaces de travail Log Analytics Azure Monitor sont le principal récepteur de journaux et de métriques pour une grande partie des données de supervision. Les espaces de travail prennent en charge plusieurs fonctionnalités dans Azure Monitor, notamment les requêtes ad hoc, les visualisations et les alertes. Pour connaître les principes généraux de la supervision, consultez Conseils sur la supervision et la diagnostics. Les conseils présentent les principes généraux de surveillance. Il identifie les différents types de données. Il identifie l’analyse requise prise en charge par Azure Monitor et il identifie également les données stockées dans l’espace de travail qui active l’analyse.
Cet article part du principe que vous comprenez les principes de conception du système. Vous avez également besoin d’une connaissance pratique des espaces de travail et des fonctionnalités Log Analytics dans Azure Monitor qui remplissent les données de charge de travail opérationnelles. Pour plus d’informations, consultez Vue d’ensemble de l’espace de travail Log Analytics.
Important
Comment utiliser ce guide
Chaque section a une liste de contrôle de conception qui présente les domaines d’intérêt architecturaux ainsi que les stratégies de conception localisées en fonction de l’étendue de la technologie.
Vous trouverez également des recommandations sur les fonctionnalités technologiques ou les topologies de déploiement qui peuvent aider à matérialiser ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour les espaces de travail Log Analytics et ses ressources Azure Monitor associées. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour créer votre preuve de concept, concevoir votre environnement de supervision de charge de travail ou optimiser votre solution de supervision de charge de travail existante.
Étendue de la technologie
Ce guide se concentre sur les décisions interdépendantes pour les ressources Azure suivantes.
- Espaces de travail Log Analytics
- Données du journal des opérations de charge de travail
- Paramètres de diagnostic sur les ressources Azure de votre charge de travail
Fiabilité
L’objectif du pilier Fiabilité est de fournir des fonctionnalités continues en créant suffisamment de résilience et la possibilité de récupérer rapidement après des défaillances.
Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée pour des composants individuels, des flux système et le système dans son ensemble.
Les situations de fiabilité à prendre en compte pour les espaces de travail Log Analytics sont les suivantes :
- Disponibilité de l’espace de travail.
- Protection des données collectées dans les rares cas de défaillance d’un centre de données ou d’une région Azure.
Il n’existe actuellement aucune fonctionnalité standard pour le basculement entre des espaces de travail dans différentes régions, mais il existe des stratégies à utiliser si vous avez des exigences particulières en matière de disponibilité ou de conformité.
Liste de contrôle de conception pour la fiabilité
Démarrez votre stratégie de conception basée sur la liste de vérification de la révision de la conception pour la fiabilité et déterminez sa pertinence par rapport aux besoins de votre entreprise tout en gardant à l’esprit les références SKU et les fonctionnalités des machines virtuelles et leurs dépendances. Étendez la stratégie pour inclure d’autres approches en fonction des besoins.
- Passez en revue les limites de service pour les espaces de travail Log Analytics. La section Limites de service vous aide à comprendre les restrictions relatives à la collecte et à la conservation des données, ainsi que d’autres aspects du service. Ces limites vous aident à déterminer comment concevoir correctement votre stratégie d’observabilité de charge de travail. Veillez à passer en revue les limites du service Azure Monitor , car la plupart des fonctions décrites ici, telles que les requêtes, fonctionnent main dans la main avec les espaces de travail Log Analytics.
- Planifiez la résilience et la récupération de l’espace de travail. Les espaces de travail Log Analytics sont régionaux, sans prise en charge intégrée de la redondance ou de la réplication inter-régionales. En outre, les options de redondance de zone de disponibilité sont limitées. Par conséquent, vous devez déterminer les exigences de fiabilité de vos espaces de travail et élaborer une stratégie pour atteindre ces objectifs. Vos exigences peuvent stipuler que votre espace de travail doit être résilient aux défaillances du centre de données ou aux défaillances régionales, ou que vous devez être en mesure de récupérer vos données dans un nouvel espace de travail dans une région de basculement. Chacun de ces scénarios nécessite la mise en place de ressources et de processus supplémentaires pour réussir. L’équilibrage de vos objectifs de fiabilité avec le coût et la complexité doit donc être soigneusement pris en compte.
- Choisissez les régions de déploiement appropriées pour répondre à vos exigences de fiabilité. Déployez votre espace de travail Log Analytics et vos points de terminaison de collecte de données (DC) colocalisés avec les composants de charge de travail qui émettent des données opérationnelles. Votre choix de la région appropriée dans laquelle déployer votre espace de travail et vos DSEE doit être informé par l’endroit où vous déployez votre charge de travail. Vous devrez peut-être évaluer la disponibilité régionale de certaines fonctionnalités Log Analytics, comme les clusters dédiés, par rapport à d’autres facteurs plus importants pour les exigences de fiabilité, de coût et de performances de votre charge de travail.
- Assurez-vous que vos systèmes d’observabilité sont sains. Comme tout autre composant de votre charge de travail, assurez-vous que vos systèmes de surveillance et de journalisation fonctionnent correctement. Pour ce faire, activez des fonctionnalités qui envoient des signaux de données d’intégrité à vos équipes d’exploitation. Configurez des signaux de données d’intégrité spécifiques à vos espaces de travail Log Analytics et aux ressources associées.
Recommandations de configuration pour la fiabilité
| Recommandation | Avantage |
|---|---|
| N’incluez pas vos espaces de travail Log Analytics dans le chemin critique de votre charge de travail. Vos espaces de travail sont importants pour un système d’observabilité fonctionnel, mais les fonctionnalités de votre charge de travail ne doivent pas en dépendre. | Le fait de garder vos espaces de travail et les fonctions associées hors du chemin critique de votre charge de travail réduit le risque de problèmes affectant votre système d’observabilité d’affecter l’exécution de votre charge de travail. |
| Pour prendre en charge une durabilité élevée des données de l’espace de travail, déployez des espaces de travail Log Analytics dans une région qui prend en charge la résilience des données. La résilience des données n’est possible qu’en liant l’espace de travail à un cluster dédié dans la même région. | Lorsque vous utilisez un cluster dédié, il vous permet de répartir les espaces de travail associés entre les zones de disponibilité, qui offrent une protection contre les pannes du centre de données. Si vous ne collectez pas suffisamment de données pour justifier un cluster dédié, ce choix régional préemptif prend en charge la croissance future. |
| Choisissez votre déploiement d’espace de travail en fonction de la proximité de votre charge de travail. Utilisez des points de terminaison de collecte de données (DCE) dans la même région que l’espace de travail Log Analytics. |
Déployez votre espace de travail dans la même région que les instances de votre charge de travail. Le fait d’avoir votre espace de travail et vos DME dans la même région que votre charge de travail atténue le risque d’impacts liés aux pannes dans d’autres régions. Les contrôleurs de domaine sont utilisés par l’agent Azure Monitor et l’API Ingestion des journaux pour envoyer des données opérationnelles de charge de travail à un espace de travail Log Analytics. Vous pouvez avoir besoin de plusieurs DME même si votre déploiement n’a qu’un seul espace de travail. Pour plus d’informations sur la configuration des contrôleurs de domaine pour votre environnement particulier, consultez Comment configurer des points de terminaison de collecte de données en fonction de votre déploiement.<Br Si votre charge de travail est déployée dans une conception active-active, envisagez d’utiliser plusieurs espaces de travail et contrôleurs de domaine répartis dans les régions dans lesquelles votre charge de travail est déployée. Le déploiement d’espaces de travail dans plusieurs régions ajoute de la complexité à votre environnement. Équilibrez les critères détaillés dans Concevoir une architecture d’espace de travail Log Analytics avec vos exigences de disponibilité. |
| Si vous avez besoin que l’espace de travail soit disponible en cas d’échec d’une région ou si vous ne collectez pas suffisamment de données pour un cluster dédié, configurez la collecte de données pour envoyer des données critiques à plusieurs espaces de travail dans différentes régions. Cette pratique est également appelée multidiffusion de journal. Par exemple, configurez des DCR pour plusieurs espaces de travail pour l’agent Azure Monitor s’exécutant sur des machines virtuelles. Configurez plusieurs paramètres de diagnostic pour collecter des journaux de ressources à partir de ressources Azure et envoyer les journaux à plusieurs espaces de travail. |
|
| De cette façon, les données opérationnelles de charge de travail sont disponibles dans l’autre espace de travail en cas de défaillance régionale. Mais sachez que les ressources qui s’appuient sur les données telles que les alertes et les classeurs ne seraient pas répliquées automatiquement dans les autres régions. Envisagez de stocker des modèles Azure Resource Manager (ARM) pour les ressources d’alerte critiques avec la configuration de l’autre espace de travail ou de les déployer dans toutes les régions, mais de les désactiver pour éviter les alertes redondantes. Les deux options prennent en charge l’activation rapide en cas de défaillance régionale. Compromis : cette configuration entraîne des frais d’ingestion et de rétention dupliqués, donc utilisez-les uniquement pour les données critiques. |
|
| Si vous avez besoin que les données soient protégées en cas d’échec d’un centre de données ou d’une région, configurez l’exportation des données à partir de l’espace de travail pour enregistrer les données dans un autre emplacement. Cette option est similaire à l’option précédente de multidiffusion des données dans différents espaces de travail. Mais cette option coûte moins cher, car les données supplémentaires sont écrites dans le stockage. Utilisez les options de redondance du stockage Azure, notamment le stockage géoredondant (GRS) et le stockage géoredondant interzone (GZRS), pour répliquer davantage ces données dans d’autres régions. L’exportation de données ne fournit pas de résilience contre les incidents affectant le pipeline d’ingestion régional. |
Bien que les données du journal des opérations historiques ne puissent pas être facilement interrogeables dans l’état exporté, cela garantit que les données survivent à une panne régionale prolongée et sont accessibles et conservées pendant une période prolongée. Si vous avez besoin de l’exportation de tables non prises en charge par l’exportation de données, vous pouvez utiliser d’autres méthodes d’exportation de données, notamment Logic Apps, pour protéger vos données. Pour que cette stratégie fonctionne comme un plan de récupération viable, vous devez disposer de processus en place pour reconfigurer les paramètres de diagnostic de vos ressources dans Azure et sur tous les agents qui fournissent des données. Vous devez également planifier la réalimentation manuelle de vos données exportées dans un nouvel espace de travail. Comme avec l’option décrite précédemment, vous devez également définir des processus pour les ressources qui s’appuient sur les données telles que les alertes et les classeurs. |
| Pour les charges de travail stratégiques nécessitant une haute disponibilité, envisagez d’implémenter un modèle d’espace de travail fédéré qui utilise plusieurs espaces de travail pour fournir une haute disponibilité en cas de défaillance régionale. | Stratégique fournit des conseils de bonnes pratiques prescriptives pour la conception d’applications hautement fiables sur Azure. La méthodologie de conception inclut un modèle d’espace de travail fédéré avec plusieurs espaces de travail Log Analytics pour fournir une haute disponibilité en cas de plusieurs défaillances, y compris la défaillance d’une région Azure. Cette stratégie élimine les coûts de sortie entre les régions et reste opérationnelle en cas de défaillance de la région. Toutefois, cela nécessite plus de complexité que vous devez gérer avec la configuration et les processus décrits dans Modélisation de l’intégrité et observabilité des charges de travail stratégiques sur Azure. |
| Utilisez l’infrastructure en tant que code (IaC) pour déployer et gérer vos espaces de travail et les fonctions associées. | Quand vous automatisez autant de vos déploiements que possible et de vos mécanismes de résilience et de récupération, cela garantit que ces opérations sont fiables. Vous gagnez du temps critique dans vos processus opérationnels et réduisez le risque d’erreur humaine. Assurez-vous que des fonctions telles que les requêtes de journal enregistrées sont également définies via votre IaC pour les récupérer dans une nouvelle région si la récupération est nécessaire. |
| Concevez des DDR avec un principe de responsabilité unique pour simplifier les règles DCR. Bien qu’un DCR puisse être chargé avec toutes les entrées, règles et destinations pour les systèmes sources, il est préférable de concevoir des règles étroitement ciblées qui s’appuient sur moins de sources de données. Utilisez la composition des affectations de règles pour atteindre l’étendue d’observabilité souhaitée pour la cible logique. En outre, réduire la transformation dans les contrôleurs de domaine |
Lorsque vous utilisez des DDR étroitement ciblés, cela réduit le risque d’une mauvaise configuration de règle ayant un effet plus large. Elle limite l’effet uniquement à l’étendue pour laquelle la DCR a été créée. Pour plus d’informations, consultez Bonnes pratiques pour la création et la gestion des règles de collecte de données dans Azure Monitor. Bien que la transformation puisse être puissante et nécessaire dans certaines situations, il peut être difficile de tester et de résoudre les problèmes du travail en langage de requête mot clé (KQL) en cours d’exécution. Lorsque cela est possible, réduisez le risque de perte de données en ingérant les données brutes et en gérant les transformations en aval au moment de la requête. |
| Lorsque vous définissez une limite quotidienne ou une stratégie de rétention, veillez à maintenir vos exigences de fiabilité en ingérant et en conservant les journaux dont vous avez besoin. | Une limite quotidienne arrête la collecte de données pour un espace de travail une fois qu’une quantité spécifiée est atteinte, ce qui vous aide à maintenir le contrôle sur votre volume d’ingestion. Mais utilisez cette fonctionnalité uniquement après une planification minutieuse. Assurez-vous que votre limite quotidienne n’est pas atteinte avec la régularité. Si cela se produit, votre limite est définie de manière trop restrictive. Vous devez reconfigurer la limite quotidienne afin de ne pas manquer les signaux critiques provenant de votre charge de travail. De même, veillez à aborder soigneusement et soigneusement l’abaissement de votre stratégie de rétention des données pour vous assurer que vous ne perdez pas de données critiques par inadvertance. |
| Utilisez les insights de l’espace de travail Log Analytics pour suivre le volume d’ingestion, les données ingérées par rapport à votre limite de données, les sources de journaux qui ne répondent pas et les requêtes ayant échoué parmi d’autres données. Créez des alertes de status d’intégrité pour vous avertir de manière proactive si un espace de travail devient indisponible en raison d’une défaillance d’un centre de données ou d’une région. | Cette stratégie garantit que vous êtes en mesure de surveiller correctement l’intégrité de vos espaces de travail et d’agir de manière proactive si l’intégrité risque de se dégrader. Comme tout autre composant de votre charge de travail, il est essentiel que vous connaissiez les métriques d’intégrité et que vous puissiez identifier les tendances pour améliorer votre fiabilité au fil du temps. |
Azure Policy
Azure ne propose aucune stratégie liée à la fiabilité des espaces de travail Log Analytics. Vous pouvez créer des stratégies personnalisées pour créer des garde-fous de conformité autour des déploiements de votre espace de travail, par exemple vous assurer que les espaces de travail sont associés à un cluster dédié.
Bien qu’il ne soit pas directement lié à la fiabilité des espaces de travail Log Analytics, il existe des stratégies Azure pour presque tous les services disponibles. Les stratégies garantissent que les paramètres diagnostics sont activés pour ce service et vérifient que les données de journal du service circulent dans un espace de travail Log Analytics. Tous les services de l’architecture de charge de travail doivent envoyer leurs données de journal à un espace de travail Log Analytics pour leurs propres besoins de fiabilité, et les stratégies peuvent aider à les appliquer. De même, des stratégies existent pour s’assurer que l’agent est installé sur les plateformes basées sur un agent, telles que les machines virtuelles et Kubernetes.
Azure Advisor
Azure n’offre aucune recommandation Azure Advisor concernant la fiabilité des espaces de travail Log Analytics.
Sécurité
L’objectif du pilier Sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.
Les principes de conception de la sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique autour de votre solution de surveillance et de journalisation.
Liste de contrôle de conception pour la sécurité
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de conception pour Sécurité et identifiez les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure d’autres approches si nécessaire.
- Passez en revue les rubriques Base de référence de sécurité Azure Monitor et Gérer l’accès aux espaces de travail Log Analytics. Ces rubriques fournissent des conseils sur les meilleures pratiques de sécurité.
- Déployez vos espaces de travail avec la segmentation comme principe fondamental. Implémentez la segmentation aux niveaux de mise en réseau, de données et d’accès. La segmentation permet de garantir que vos espaces de travail sont isolés au degré approprié et qu’ils sont mieux protégés contre les accès non autorisés, tout en répondant aux exigences de votre entreprise en matière de fiabilité, d’optimisation des coûts, d’excellence opérationnelle et d’efficacité des performances.
- Assurez-vous que vous pouvez auditer les activités de lecture et d’écriture de l’espace de travail et les identités associées. Les attaquants peuvent tirer parti de l’affichage des journaux opérationnels. Une identité compromise peut entraîner des attaques par injection de journal. Activez l’audit des opérations exécutées à partir du portail Azure ou via les interactions d’API et les utilisateurs associés. Si vous n’êtes pas configuré pour auditer votre espace de travail, vous risquez peut-être de mettre votre organization au risque d’être en violation des exigences de conformité.
- Implémentez des contrôles réseau robustes. Permet de sécuriser votre accès réseau à votre espace de travail et à vos journaux par le biais de fonctions d’isolation réseau et de pare-feu. Les contrôles réseau insuffisamment configurés peuvent vous exposer à un risque d’accès par des acteurs non autorisés ou malveillants.
- Déterminez les types de données qui nécessitent l’immuabilité ou la rétention à long terme. Vos données de journal doivent être traitées avec la même rigueur que les données de charge de travail à l’intérieur des systèmes de production. Incluez des données de journal dans vos pratiques de classification des données pour vous assurer que vous stockez correctement les données de journal sensibles en fonction de ses exigences de conformité.
- Protégez les données de journal au repos via le chiffrement. La segmentation seule ne protège pas complètement la confidentialité de vos données de journal. Si un accès brut non autorisé se produit, le fait d’avoir les données de journal chiffrées au repos permet d’empêcher les acteurs malveillants d’utiliser ces données en dehors de votre espace de travail.
- Protégez les données de journal sensibles par l’obfuscation. Tout comme les données de charge de travail résidant dans les systèmes de production, vous devez prendre des mesures supplémentaires pour garantir la confidentialité des informations sensibles qui peuvent être intentionnellement ou involontairement présentes dans les journaux opérationnels. Lorsque vous utilisez des méthodes d’obfuscation, cela vous aide à masquer les données de journal sensibles des yeux non autorisés.
Recommandations de configuration pour la sécurité
| Recommandation | Avantage |
|---|---|
| Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez une clé gérée par le client. Vous pouvez chiffrer des données à l’aide de votre propre clé dans Azure Key Vault, pour contrôler le cycle de vie de la clé et la possibilité de révoquer l’accès à vos données. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les considérations à prendre en compte dans Configurer la clé gérée par le client Microsoft Sentinel. |
Cette stratégie vous permet de chiffrer des données à l’aide de votre propre clé dans Azure Key Vault, pour contrôler le cycle de vie des clés et la possibilité de révoquer l’accès à vos données. |
| Configurez l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes. Configurez les journaux d’audit de chaque espace de travail à envoyer à l’espace de travail local ou consolidez dans un espace de travail de sécurité dédié si vous séparez vos données opérationnelles et de sécurité. Utilisez les insights de l’espace de travail Log Analytics pour passer régulièrement en revue ces données. Envisagez de créer des règles d’alerte de requête de journal pour vous avertir de manière proactive si des utilisateurs non autorisés tentent d’exécuter des requêtes. |
L’audit des requêtes de journal enregistre les détails de chaque exécution de requête dans un espace de travail. Traitez ces données d’audit comme des données de sécurité et sécurisez la table LAQueryLogs de manière appropriée. Cette stratégie renforce votre posture de sécurité en vous assurant que l’accès non autorisé est intercepté immédiatement, le cas échéant. |
| Sécurisez votre espace de travail grâce à des mesures de mise en réseau privée et de segmentation. Utilisez la fonctionnalité de liaison privée pour limiter les communications entre les sources de journaux et vos espaces de travail à un réseau privé. |
Lorsque vous utilisez une liaison privée, elle vous permet également de contrôler les réseaux virtuels qui peuvent accéder à un espace de travail donné, renforçant ainsi votre sécurité grâce à la segmentation. |
| Utilisez Microsoft Entra ID plutôt que des clés API pour l’accès à l’API de l’espace de travail, le cas échéant. | L’accès basé sur une clé API aux API de requête ne laisse pas de piste d’audit par client. Utilisez un accès basé sur l’ID Entra suffisamment étendu pour pouvoir auditer correctement l’accès par programme. |
| Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation. Définissez le mode de contrôle d’accès pour l’espace de travail sur Utiliser les autorisations de ressource ou d’espace de travail. Ce contrôle d’accès permet aux propriétaires de ressources d’utiliser le contexte des ressources pour accéder à leurs données sans bénéficier d’un accès explicite à l’espace de travail. Utilisez le RBAC au niveau de la table pour les utilisateurs qui ont besoin d’accéder à un ensemble de tables sur plusieurs ressources. |
Ce paramètre simplifie la configuration de votre espace de travail et permet de garantir que les utilisateurs ne peuvent pas accéder aux données opérationnelles qu’ils ne devraient pas. Attribuez le rôle intégré approprié pour accorder des autorisations d’espace de travail aux administrateurs au niveau de l’abonnement, du groupe de ressources ou de l’espace de travail en fonction de l’étendue de leurs responsabilités. Les utilisateurs avec des autorisations de table ont accès à toutes les données de la table, quelles que soient leurs autorisations de ressource. Pour plus d’informations sur les différentes options permettant d’accorder l’accès aux données dans l’espace de travail, consultez Gérer l’accès aux espaces de travail Log Analytics. |
| Exportez les journaux qui nécessitent une rétention ou une immuabilité à long terme. Utilisez l’exportation de données pour envoyer des données à un compte stockage Azure avec des stratégies d’immuabilité pour vous protéger contre la falsification des données. Chaque type de journal n’a pas la même pertinence pour la conformité, l’audit ou la sécurité. Déterminez donc les types de données spécifiques qui doivent être exportés. |
Vous pouvez collecter des données d’audit dans votre espace de travail soumis à des réglementations exigeant leur conservation à long terme. Les données d’un espace de travail Log Analytics ne peuvent pas être modifiées, mais elles peuvent être purgées. L’exportation d’une copie des données opérationnelles à des fins de rétention vous permet de créer une solution qui répond à vos exigences de conformité. |
| Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail. Vous collectez peut-être des données qui incluent des informations sensibles. Filtrez les enregistrements qui ne doivent pas être collectés à l’aide de la configuration de la source de données particulière. Utilisez une transformation si seules des colonnes particulières dans les données doivent être supprimées ou obfusquées. Si vous avez des normes qui nécessitent que les données d’origine ne soient pas modifiées, vous pouvez utiliser le littéral « h » dans les requêtes KQL pour masquer les résultats de requête affichés dans les classeurs. |
Le fait d’obfusquer ou de filtrer les données sensibles dans votre espace de travail vous permet de garantir la confidentialité des informations sensibles. Dans de nombreux cas, les exigences de conformité dictent la façon dont vous pouvez gérer les informations sensibles. Cette stratégie vous aide à vous conformer aux exigences de manière proactive. |
Azure Policy
Azure propose des stratégies liées à la sécurité des espaces de travail Log Analytics pour vous aider à appliquer la posture de sécurité souhaitée. Voici quelques exemples de ces stratégies :
- Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client
- Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux
- Les espaces de travail Log Analytics doivent bloquer l’ingestion non basée sur Azure Active Directory
Azure propose également de nombreuses stratégies pour faciliter l’application de la configuration des liaisons privées, comme les espaces de travail Log Analytics qui doivent bloquer l’ingestion et l’interrogation des journaux à partir de réseaux publics ou même la configuration de la solution via des stratégies DINE telles que Configurer Azure Monitor Private Link Scope pour utiliser des zones DNS privées.
Azure Advisor
Azure n’offre aucune recommandation Azure Advisor relative à la sécurité des espaces de travail Log Analytics.
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépenses, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organization tout en répondant aux besoins de l’entreprise.
Les principes de conception de l’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs métier. Ils vous aident également à faire des compromis si nécessaire dans la conception technique liée à votre solution de surveillance et de journalisation.
Pour plus d’informations sur la façon dont les frais de données sont calculés pour vos espaces de travail Log Analytics, consultez Calculs et options des coûts des journaux Azure Monitor.
Liste de contrôle de conception pour l’optimisation des coûts
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de la conception pour l’optimisation des coûts pour les investissements et ajustez la conception afin que la charge de travail soit alignée sur le budget alloué à la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
- Effectuez des exercices de modélisation des coûts. Ces exercizes vous aident à comprendre les coûts actuels de votre espace de travail et à prévoir vos coûts par rapport à la croissance de l’espace de travail. Analysez les tendances de croissance de votre charge de travail et vérifiez que vous comprenez les plans d’expansion de la charge de travail afin de prévoir correctement vos futurs coûts de journalisation opérationnelle.
- Choisissez le modèle de facturation approprié. Utilisez votre modèle de coût pour déterminer le meilleur modèle de facturation pour votre scénario. La façon dont vous utilisez vos espaces de travail actuellement et la façon dont vous prévoyez de les utiliser à mesure que votre charge de travail évolue détermine si un modèle de paiement à l’utilisation ou de niveau d’engagement est le mieux adapté à votre scénario.
N’oubliez pas que vous pouvez choisir différents modèles de facturation pour chaque espace de travail et que vous pouvez combiner les coûts de l’espace de travail dans certains cas, ce qui vous permet d’être granulaire dans votre analyse et votre prise de décision. - Collectez juste la bonne quantité de données de journal. Effectuez régulièrement une analyse planifiée de vos paramètres de diagnostic sur vos ressources, la configuration des règles de collecte de données et la journalisation du code d’application personnalisée pour vous assurer que vous ne collectez pas de données de journal inutiles.
- Traiter les environnements de non-production différemment de la production. Passez en revue vos environnements de non-production pour vous assurer que vous avez correctement configuré vos paramètres de diagnostic et vos stratégies de rétention. Celles-ci peuvent souvent être beaucoup moins robustes que la production, en particulier pour les environnements de développement/test ou de bac à sable.
Recommandations de configuration pour l’optimisation des coûts
| Recommandation | Avantage |
|---|---|
| Configurez le niveau tarifaire pour la quantité de données que chaque espace de travail Log Analytics collecte généralement. | Par défaut, les espaces de travail Log Analytics utilisent des tarifs de paiement à l’utilisation sans volume de données minimal. Si vous collectez suffisamment de données, vous pouvez réduire considérablement vos coûts à l’aide d’un niveau d’engagement, ce qui vous permet de vous engager sur un minimum quotidien de données collectées en échange d’un taux inférieur. Si vous collectez suffisamment de données entre les espaces de travail d’une seule région, vous pouvez les lier à un cluster dédié et combiner leur volume collecté à l’aide de la tarification du cluster. Pour plus d’informations sur les niveaux d’engagement et des conseils sur la détermination de ce qui convient le mieux à votre niveau d’utilisation, consultez Calculs et options des coûts des journaux Azure Monitor. Pour afficher les coûts estimés de votre utilisation à différents niveaux tarifaires, consultez Utilisation et estimation des coûts. |
| Configurer la rétention et l’archivage des données. | La conservation des données dans un espace de travail Log Analytics est facturée au-delà de la valeur par défaut de 31 jours. Il s’agit de 90 jours si Microsoft Sentinel est activé sur l’espace de travail et de 90 jours pour les données Application Insights. Tenez compte de vos besoins particuliers concernant la disponibilité des données pour les requêtes de journal. Vous pouvez réduire considérablement vos coûts en configurant les journaux archivés. Les journaux archivés vous permettent de conserver les données jusqu’à sept ans et d’y accéder occasionnellement. Vous accédez aux données en utilisant des travaux de recherche ou en restaurant un ensemble de données dans l’espace de travail. |
| Si vous utilisez Microsoft Sentinel pour analyser les journaux de sécurité, envisagez d’utiliser un espace de travail distinct pour stocker ces journaux. | Lorsque vous utilisez un espace de travail dédié pour les données de journal utilisées par votre SIEM, cela peut vous aider à contrôler les coûts. Les espaces de travail que Microsoft Sentinel utilise sont soumis à la tarification de Microsoft Sentinel. Vos exigences de sécurité dictent les types de journaux qui doivent être inclus dans votre solution SIEM. Vous pouvez peut-être exclure les journaux d’activité des opérations, qui seraient facturés à la tarification Standard de Log Analytics s’ils se trouveraient dans un espace de travail distinct. |
| Configurez les tables utilisées pour le débogage, la résolution des problèmes et l’audit en tant que journaux de base. | Les tables d’un espace de travail Log Analytics configuré pour les journaux de base ont un coût d’ingestion inférieur en échange de fonctionnalités limitées et de frais pour les requêtes de journal. Si vous interrogez ces tables rarement et que vous ne les utilisez pas pour les alertes, ce coût de requête peut être plus que compensé par la réduction du coût d’ingestion. |
| Limitez la collecte de données à partir de sources de données pour l’espace de travail. | Le principal facteur du coût d’Azure Monitor est la quantité de données que vous collectez dans votre espace de travail Log Analytics. Veillez à ne pas collecter plus de données que nécessaire pour évaluer l’intégrité et les performances de vos services et applications. Pour chaque ressource, sélectionnez les catégories appropriées pour les paramètres de diagnostic que vous configurez afin de fournir la quantité de données opérationnelles dont vous avez besoin. Il vous permet de gérer correctement votre charge de travail et de ne pas gérer les données ignorées. Il peut y avoir un compromis entre le coût et vos exigences de surveillance. Par exemple, vous pouvez détecter un problème de performances plus rapidement avec un taux d’échantillonnage élevé, mais vous souhaiterez peut-être un taux d’échantillonnage inférieur pour réduire les coûts. La plupart des environnements ont plusieurs sources de données avec différents types de collecte. Vous devez donc équilibrer vos besoins particuliers avec vos objectifs de coût pour chacun d’eux. Consultez Optimisation des coûts dans Azure Monitor pour obtenir des recommandations sur la configuration de la collecte pour différentes sources de données. |
| Analysez régulièrement les données d’utilisation de l’espace de travail pour identifier les tendances et les anomalies. Utilisez les insights d’espace de travail Log Analytics pour passer en revue régulièrement la quantité de données collectées dans votre espace de travail. Analysez plus en détail la collecte de données à l’aide de méthodes dans Analyser l’utilisation dans l’espace de travail Log Analytics pour déterminer s’il existe d’autres configurations qui peuvent réduire davantage votre utilisation. |
En vous aidant à comprendre la quantité de données collectées par différentes sources, il identifie les anomalies et les tendances à la hausse dans la collecte de données qui peuvent entraîner un dépassement de coût. Cette considération est importante lorsque vous ajoutez un nouvel ensemble de sources de données à votre charge de travail. Par exemple, si vous ajoutez un nouvel ensemble de machines virtuelles, activez les nouveaux paramètres de diagnostics Azure sur un service ou modifiez les niveaux de journalisation dans votre application. |
| Créez une alerte quand la collecte de données est importante. | Pour une meilleure maîtrise de vos factures, vous devez être averti de manière proactive et à tout moment en cas d’utilisation excessive. La notification vous permet de résoudre les anomalies potentielles avant la fin de votre période de facturation. |
| Considérez un plafond quotidien en tant que mesure préventive pour vous assurer que vous ne dépassez pas un budget spécifique. | Un plafond quotidien désactive la collecte de données dans un espace de travail Log Analytics pour le reste de la journée une fois la limite configurée atteinte. N’utilisez pas cette pratique comme méthode pour réduire les coûts comme décrit dans Quand utiliser un plafond quotidien, mais plutôt pour empêcher l’ingestion d’un état d’emballement dû à une mauvaise configuration ou à des abus. Si vous définissez une limite quotidienne, créez une alerte lorsque la limite est atteinte. Veillez également à créer une règle d’alerte quand un pourcentage est atteint. Par exemple, vous pouvez définir une règle d’alerte lorsque 90 % de la capacité est atteinte. Cette alerte vous donne la possibilité d’examiner et de traiter la cause de l’augmentation des données avant que la limite arrête la collecte de données critiques de votre charge de travail. |
Azure Policy
Azure n’offre aucune stratégie liée à l’optimisation des coûts des espaces de travail Log Analytics. Vous pouvez créer des stratégies personnalisées pour créer des garde-fous de conformité autour de vos déploiements d’espace de travail, par exemple en vous assurant que vos espaces de travail contiennent les paramètres de rétention appropriés.
Azure Advisor
Azure Advisor fait des recommandations pour déplacer des tables spécifiques d’un espace de travail vers le plan de données de journal de base à faible coût pour les tables qui reçoivent un volume d’ingestion relativement élevé. Comprenez les limitations en utilisant des journaux de base avant de basculer. Pour plus d’informations, consultez Quand utiliser les journaux de base ?. Azure Advisor peut également recommander de modifier le niveau d’engagement tarifaire pour l’ensemble de l’espace de travail en fonction du volume d’utilisation globale.
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures pour les pratiques de développement, l’observabilité et la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en fonction des exigences opérationnelles de la charge de travail.
Liste de contrôle de conception pour l’excellence opérationnelle
Démarrez votre stratégie de conception basée sur la liste de contrôle de révision de conception pour l’excellence opérationnelle pour la définition de processus d’observabilité, de test et de déploiement liés aux espaces de travail Log Analytics.
- Utilisez l’infrastructure en tant que code (IaC) pour toutes les fonctions liées aux espaces de travail Log Analytics de votre charge de travail. Réduisez le risque d’erreur humaine qui peut se produire lors de l’administration et du fonctionnement manuel de vos fonctions de collecte de journaux, d’ingestion, de stockage et d’interrogation, y compris les requêtes enregistrées et les packs de requêtes, en automatisant autant de ces fonctions que possible via du code. Incluez également des alertes qui signalent des modifications d’intégrité status et la configuration des paramètres de diagnostic pour les ressources qui envoient des journaux à vos espaces de travail dans votre code IaC. Incluez le code avec votre autre code lié à la charge de travail pour vous assurer que vos pratiques de déploiement sécurisées sont conservées pour la gestion de vos espaces de travail.
- Assurez-vous que vos espaces de travail sont sains et que vous êtes averti lorsque des problèmes surviennent. Comme tout autre composant de votre charge de travail, vos espaces de travail peuvent rencontrer des problèmes. Ces problèmes peuvent coûter beaucoup de temps et de ressources pour résoudre les problèmes et les résoudre, et potentiellement laisser votre équipe au courant de la charge de travail de production status. Le fait de pouvoir surveiller de manière proactive les espaces de travail et d’atténuer les problèmes potentiels aide vos équipes opérationnelles à réduire le temps passé à résoudre les problèmes et à les résoudre.
- Séparez votre production des charges de travail de non-production. Évitez une complexité inutile qui peut entraîner un travail supplémentaire pour une équipe d’opérations en utilisant des espaces de travail différents pour votre environnement de production que ceux utilisés par les environnements de non-production. Les données venues peuvent également entraîner une confusion, car les activités de test peuvent sembler être des événements en production.
- Préférer les fonctions et les outils intégrés aux solutions non-Microsoft Utilisez des outils intégrés pour étendre les fonctionnalités de vos systèmes de surveillance et de journalisation. Vous devrez peut-être mettre en place des configurations supplémentaires pour prendre en charge des exigences telles que la récupération ou la souveraineté des données qui ne sont pas disponibles prêtes à l’emploi avec les espaces de travail Log Analytics. Dans ce cas, chaque fois que cela est possible, utilisez des outils Azure ou Microsoft natifs pour limiter au minimum le nombre d’outils que votre organization doit prendre en charge.
- Traiter vos espaces de travail comme des composants statiques plutôt qu’éphémères Comme d’autres types de magasins de données, les espaces de travail ne doivent pas être pris en compte parmi les composants éphémères de votre charge de travail. Le Well-Architected Framework favorise généralement l’infrastructure immuable et la possibilité de remplacer rapidement et facilement des ressources au sein de votre charge de travail dans le cadre de vos déploiements. Mais la perte de données d’espace de travail peut être catastrophique et irréversible. Pour cette raison, laissez les espaces de travail hors des packages de déploiement qui remplacent l’infrastructure pendant les mises à jour et effectuez uniquement des mises à niveau sur place sur les espaces de travail.
- Assurez-vous que le personnel des opérations est formé sur Langage de requête Kusto Former le personnel pour créer ou modifier des requêtes si nécessaire. Si les opérateurs ne peuvent pas écrire ou modifier des requêtes, cela peut ralentir la résolution des problèmes critiques ou d’autres fonctions, car les opérateurs doivent s’appuyer sur d’autres équipes pour effectuer ce travail pour eux.
Recommandations de configuration pour l’excellence opérationnelle
| Recommandation | Avantage |
|---|---|
| Concevez une stratégie d’espace de travail pour répondre aux besoins de votre entreprise. Consultez Concevoir une architecture d’espace de travail Log Analytics pour obtenir des conseils sur la conception d’une stratégie pour vos espaces de travail Log Analytics. Indiquez combien créer et où les placer. Si vous avez besoin que votre charge de travail utilise une offre d’équipe de plateforme centralisée, assurez-vous de définir tous les accès opérationnels nécessaires. En outre, créez des alertes pour garantir que les besoins d’observabilité de la charge de travail sont satisfaits. |
Un nombre unique ou minimal d’espaces de travail optimise l’efficacité opérationnelle de votre charge de travail. Il limite la distribution de vos données opérationnelles et de sécurité, augmente la visibilité sur les problèmes potentiels, facilite l’identification des modèles et réduit vos besoins de maintenance. Vous pouvez avoir des exigences pour plusieurs espaces de travail, tels que plusieurs locataires, ou vous pouvez avoir besoin d’espaces de travail dans plusieurs régions pour prendre en charge vos besoins de disponibilité. Par conséquent, assurez-vous que vous avez mis en place des processus appropriés pour gérer cette complexité accrue. |
| Utilisez l’infrastructure en tant que code (IaC) pour déployer et gérer vos espaces de travail et les fonctions associées. | Utilisez l’infrastructure en tant que code (IaC) pour définir les détails de vos espaces de travail dans des modèles ARM, Azure BICEP ou Terraform. Il vous permet d’utiliser vos processus DevOps existants pour déployer de nouveaux espaces de travail et Azure Policy afin d’appliquer leur configuration. La colocalision de tout votre code IaC avec votre code d’application permet de garantir que vos pratiques de déploiement sécurisées sont maintenues pour tous les déploiements. |
| Utilisez Les insights de l’espace de travail Log Analytics pour suivre l’intégrité et les performances de vos espaces de travail Log Analytics et créer des alertes significatives et exploitables pour être avertis de manière proactive des problèmes opérationnels. Les insights d’espace de travail Log Analytics fournissent une vue unifiée de l’utilisation, des performances, de l’intégrité, des agents, des requêtes et du journal de modification de tous vos espaces de travail. Chaque espace de travail a une table d’opération qui journalise les activités importantes affectant l’espace de travail. |
Passez en revue les informations fournies régulièrement par Log Analytics Insights pour suivre l’intégrité et le fonctionnement de chacun de vos espaces de travail. Lorsque vous utilisez ces informations, elles vous permettent de créer des visualisations faciles à comprendre comme des tableaux de bord ou des rapports que les opérations et les parties prenantes peuvent utiliser pour suivre l’intégrité de vos espaces de travail. Créez des règles d’alerte basées sur cette table pour être averti de manière proactive quand un problème opérationnel se produit. Vous pouvez utiliser les alertes recommandées pour l’espace de travail pour simplifier la création des règles d’alerte les plus critiques. |
| Pratiquez l’amélioration continue en revisitant fréquemment les paramètres de diagnostic Azure sur vos ressources, les règles de collecte de données et le détail du journal des applications. Assurez-vous d’optimiser votre stratégie de collecte de journaux grâce à des révisions fréquentes de vos paramètres de ressources. Du point de vue opérationnel, cherchez à réduire le bruit dans vos journaux en vous concentrant sur les journaux qui fournissent des informations utiles sur l’intégrité d’une ressource status. |
En optimisant de cette façon, vous permettez aux opérateurs d’examiner et de résoudre les problèmes lorsqu’ils se produisent, ou d’effectuer d’autres tâches de routine, improvisées ou d’urgence. Lorsque de nouvelles catégories de diagnostic sont rendues disponibles pour un type de ressource, passez en revue les types de journaux émis avec cette catégorie pour déterminer si leur activation peut vous aider à optimiser votre stratégie de collecte. Par exemple, une nouvelle catégorie peut être un sous-ensemble d’un ensemble plus important d’activités capturées. Le nouveau sous-ensemble peut vous permettre de réduire le volume des journaux entrants en vous concentrant sur les activités qui sont importantes pour le suivi de vos opérations. |
Azure Policy et Azure Advisor
Azure n’offre aucune stratégie ni recommandations Azure Advisor relatives à l’excellence opérationnelle des espaces de travail Log Analytics.
Efficacité des performances
L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie comprend la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation pour des performances maximales.
Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Liste de contrôle de conception pour l’efficacité des performances
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de la conception pour Performance Efficiency pour définir une base de référence pour vos espaces de travail Log Analytics et les fonctions associées.
- Familiarisez-vous avec les principes de base de la latence d’ingestion des données de journal dans Azure Monitor. Plusieurs facteurs contribuent à la latence lors de l’ingestion de journaux dans vos espaces de travail. Bon nombre de ces facteurs sont inhérents à la plateforme Azure Monitor. La compréhension des facteurs et du comportement de latence normal peut vous aider à définir les attentes appropriées au sein de vos équipes d’opérations de charge de travail.
- Séparez vos charges de travail de non-production et de production. Les espaces de travail spécifiques à la production atténuent toute surcharge que les systèmes de non-production peuvent introduire. Il réduit l’encombrement global de vos espaces de travail, nécessitant moins de ressources pour gérer le traitement des données de journal.
- Choisissez les régions de déploiement appropriées pour répondre à vos besoins de performances. Déployez votre espace de travail Log Analytics et vos points de terminaison de collecte de données près de votre charge de travail. Votre choix de la région appropriée dans laquelle déployer votre espace de travail et vos contrôleurs de domaine doit être informé de l’emplacement où vous déployez la charge de travail. Vous devrez peut-être évaluer les avantages en matière de performances du déploiement de vos espaces de travail et des contrôleurs de domaine dans la même région que votre charge de travail par rapport à vos exigences de fiabilité si vous avez déjà déployé votre charge de travail dans une région qui ne peut pas prendre en charge ces exigences pour vos données de journal.
Recommandations de configuration pour l’efficacité des performances
| Recommandation | Avantage |
|---|---|
| Configurer l’audit des requêtes de journal et utiliser les insights d’espace de travail Log Analytics pour identifier les requêtes lentes et inefficaces. L’audit des requêtes de journal stocke le temps de calcul nécessaire à l’exécution de chaque requête et le délai d’attente des résultats. Les insights d’espace de travail Log Analytics utilisent ces données pour lister les requêtes potentiellement inefficaces dans votre espace de travail. Réécrivez ces requêtes pour améliorer leurs performances. Pour obtenir des conseils sur l’optimisation de vos requêtes de journal, consultez Optimiser les requêtes de journal dans Azure Monitor. |
Les requêtes optimisées retournent des résultats plus rapidement et utilisent moins de ressources sur le back-end, ce qui rend les processus qui s’appuient sur ces requêtes plus efficaces. |
| Comprendre les limites de service pour les espaces de travail Log Analytics. Dans certaines implémentations à trafic élevé, vous pouvez vous trouver dans des limites de service qui affectent vos performances et la conception de votre espace de travail ou de votre charge de travail. Par exemple, l’API de requête limite le nombre d’enregistrements et le volume de données retournés par une requête. L’API d’ingestion des journaux limite la taille de chaque appel d’API. Pour obtenir la liste complète des limites et limites des espaces de travail Azure Monitor et Log Analytics spécifiques à l’espace de travail lui-même, consultez Limites du service Azure Monitor. |
Comprendre les limites qui peuvent affecter les performances de votre espace de travail vous aide à concevoir de manière appropriée pour les atténuer. Vous pouvez décider d’utiliser plusieurs espaces de travail pour éviter d’atteindre les limites associées à un seul espace de travail. Évaluez les décisions de conception pour atténuer les limites de service par rapport aux exigences et aux objectifs pour d’autres piliers. |
| Créez des contrôleurs de domaine spécifiques aux types de sources de données à l’intérieur d’une ou plusieurs étendues d’observabilité définies. Créez des contrôleurs de domaine distincts pour les performances et les événements afin d’optimiser l’utilisation du calcul de traitement back-end. | Lorsque vous utilisez des contrôleurs de domaine distincts pour les performances et les événements, cela permet d’atténuer l’épuisement des ressources back-end. En ayant des contrôleurs de domaine qui combinent des événements de performances, il force chaque machine virtuelle associée à transférer, traiter et exécuter des configurations qui peuvent ne pas être applicables en fonction du logiciel installé. Une consommation excessive des ressources de calcul et des erreurs dans le traitement d’une configuration peuvent se produire et entraîner la non-réponse de l’agent Azure Monitor (AMA). |
Azure Policy et Azure Advisor
Azure n’offre aucune stratégie ni recommandation Azure Advisor concernant les performances des espaces de travail Log Analytics.
Étape suivante
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour