Vue d’ensemble de l’espace de travail Log Analytics

Un espace de travail log Analytique est un magasin de données dans lequel vous pouvez collecter n’importe quel type de données de journal à partir de toutes vos ressources et applications Azure et non-Azure. Les options de configuration de l’espace de travail vous permettent de gérer toutes vos données de journal dans un espace de travail pour répondre aux besoins d’opérations, d’analyse et d’audit de différentes personnes de votre organisation via :

• Fonctionnalités d’Azure Monitor, telles que les expériences d’insights intégrées , les alertes et les actions automatiques
• Autres services Azure, tels que Microsoft Sentinel, Microsoft Defender pour cloud et Logic Apps
• Outils Microsoft, tels que Power BI et Excel
• Intégration avec des applications personnalisées et tierces

Cet article fournit une vue d’ensemble des concepts liés aux espaces de travail Log Analytique.

Important

La documentation Microsoft Sentinel utilise le terme espace de travail Microsoft Sentinel. Il s’agit du même espace de travail que l’espace de travail Log Analytics décrit dans cet article, mais il est activé pour Microsoft Sentinel. Toutes les données de l’espace de travail sont soumises à la tarification de Microsoft Sentinel.

Tables de journal

Chaque espace de travail Log Analytique contient plusieurs tables dans lesquelles les journaux Azure Monitor stockent les données que vous collectez.

Les journaux Azure Monitor créent automatiquement des tables nécessaires pour stocker les données de surveillance que vous collectez à partir de votre environnement Azure. Vous créez des tables personnalisées pour stocker les données que vous collectez à partir de ressources et d’applications non Azure, en fonction du modèle de données des journaux que vous collectez et de la façon dont vous souhaitez stocker et utiliser les données.

Les paramètres de gestion des tables vous permettent de contrôler l’accès à des tables spécifiques et de gérer le modèle de données, la rétention et le coût des données dans chaque table. Pour plus d’informations, consultez Gérer les tables dans un espace de travail Log Analytics.

Conservation des données

Un espace de travail log Analytique conserve les données dans deux états : la rétention interactive et la rétention à long terme.

Pendant la période de rétention interactive, vous pouvez récupérer les données de la table via des requêtes, et les données sont disponibles pour les visualisations, les alertes et d’autres fonctionnalités et services, en fonction du plan de table.

Chaque table de votre espace de travail Log Analytique vous permet de conserver les données jusqu’à 12 ans en rétention à faible coût et à long terme. Récupérez des données spécifiques dont vous avez besoin depuis la rétention à long terme jusqu’à la rétention interactive à l’aide d’un travail de recherche. Cela signifie que vous gérez vos données de journal en un seul endroit, sans déplacer de données vers un stockage externe, et que vous obtenez les fonctionnalités complètes d’analytique d’Azure Monitor sur les données plus anciennes, quand vous en avez besoin.

Pour plus d’informations, consultez Gérer la conservation des données dans un espace de travail log Analytique.

Accès aux données

L'autorisation d'accéder aux données d'un espace de travail Log Analytics est définie par le paramètre du mode de contrôle d'accès de chaque espace de travail. Vous pouvez accorder aux utilisateurs un accès explicite à l’espace de travail à l’aide d’un rôle intégré ou personnalisé. Ou bien, vous pouvez autoriser l’accès aux données collectées pour les ressources Azure aux utilisateurs ayant accès à ces ressources.

Pour plus d’informations, consultez Gérer l’accès aux données du journal et aux espaces de travail dans Azure Monitor.

Voir les informations de l'espace de travail Log Analytics

Log Analytique Workspace Insights vous permet de gérer et d’optimiser vos espaces de travail log Analytique avec une vue complète de l’utilisation, des performances, de l’intégrité, de l’ingestion, des requêtes et du journal des modifications de votre espace de travail.

Transformer les données que vous ingérer dans votre espace de travail Log Analytique

Les règles de collecte de données définissent les données qui entrent dans Azure Monitor. Elles comprennent des transformations permettant de filtrer et de transformer des données avant que celles-ci ne soient ingérées dans l’espace de travail. Étant donné que toutes les sources de données ne prennent pas encore en charge les contrôleurs de domaine, chaque espace de travail peut avoir un DCR de transformation d’espace de travail.

Les transformations dans le DCR de transformation de l’espace de travail au moment de l’ingestion sont définies pour chaque table d’un espace de travail. Elles s’appliquent à toutes les données envoyées à cette table, même si elles sont envoyées à partir de plusieurs sources. Ces transformations ne concernent que les flux de travail qui n’utilisent pas déjà une règle de collecte de données. Par exemple, l’agent Azure Monitor utilise une règle de collecte de données pour définir les données collectées à partir des machines virtuelles. Ces données ne sont soumises à aucune transformation au moment de l’ingestion définie dans l’espace de travail.

Supposons par exemple que vous ayez des paramètres de diagnostic qui envoient à votre espace de travail des journaux de ressources relatifs à différentes ressources Azure. Vous pouvez créer une transformation pour la table qui collecte les journaux de ressources afin de filtrer ces données sur les enregistrements de votre choix. Cette méthode vous permet d’économiser le coût d’ingestion des enregistrements dont vous n’avez pas besoin. Vous avez également la possibilité d’extraire des données importantes de certaines colonnes et de les stocker dans d’autres colonnes de l’espace de travail pour simplifier les requêtes.

Cost

Aucun coût direct n’est associé à la création ni à la gestion d’un espace de travail. Vous êtes facturé pour les données que vous ingérez dans l’espace de travail et pour la conservation des données, en fonction du plan de table de chaque table.

Pour plus d’informations sur la tarification, consultez Tarification Azure Monitor. Pour obtenir des conseils sur la façon de réduire vos coûts, consultez les Meilleures pratiques d’Azure Monitor - Gestion des coûts. Si vous utilisez votre espace de travail Log Analytics avec des services autres qu’Azure Monitor, consultez la documentation de ces services pour obtenir des informations tarifaires.

Concevoir une architecture d’espace de travail log Analytique pour répondre aux besoins spécifiques de l’entreprise

Vous pouvez utiliser un seul espace de travail pour toute votre collecte de données. Toutefois, vous pouvez également créer plusieurs espaces de travail en fonction des exigences métier spécifiques telles que les exigences réglementaires ou de conformité pour stocker des données dans des emplacements spécifiques, fractionner la facturation et la résilience.

Pour les considérations relatives à la création de plusieurs espaces de travail, consultez Concevoir une architecture d’espace de travail Log Analytics.

Étapes suivantes

• Créez un espace de travail Log Analytics.
• Consultez Concevoir une architecture d’espace de travail Log Analytics, pour plus d’informations sur la création de plusieurs espaces de travail.
• Découvrez les requêtes de journal pour récupérer et analyser les données d’un espace de travail Log Analytics.