Partager via

Bonnes pratiques pour les journaux Azure Monitor

  • Article

Cet article fournit les bonnes pratiques architecturales pour les journaux Azure Monitor. Les conseils sont basés sur les cinq piliers d’excellence de l’architecture décrits dans Azure Well-Architected Framework.

Fiabilité

La fiabilité est la capacité d’un système à récupérer après des défaillances et à continuer de fonctionner. L’objectif est de minimiser les effets d’un composant défaillant unique. Utilisez les informations suivantes pour limiter les défaillances de vos espaces de travail Log Analytics et protéger les données qu’ils collectent.

Les espaces de travail Log Analytics fournissent un degré élevé de fiabilité. Le pipeline d’ingestion, qui envoie des données collectées à l’espace de travail Log Analytics, valide que l’espace de travail Log Analytics traite correctement chaque enregistrement de journal avant de supprimer l’enregistrement du canal. Si le pipeline d’ingestion n’est pas disponible, les agents qui envoient la mémoire tampon de données et réessayent d’envoyer les journaux pendant de nombreuses heures.

Fonctionnalités des journaux Azure Monitor qui améliorent la résilience

Les journaux Azure Monitor offrent plusieurs fonctionnalités qui améliorent la résilience des espaces de travail à différents types de problèmes. Vous pouvez utiliser ces fonctionnalités individuellement ou en combinaison, en fonction de vos besoins.

Cette vidéo fournit une vue d’ensemble des options de fiabilité et de résilience disponibles pour les espaces de travail Log Analytics :

Protection dans une région à l’aide de zones de disponibilité

Chaque région Azure qui prend en charge les zones de disponibilité dispose d’un ensemble de centres de données équipés d’une alimentation indépendante, d’un refroidissement et d’une infrastructure réseau.

Les zones de disponibilité des journaux Azure Monitor sont redondantes, ce qui signifie que Microsoft répartit les demandes de service et réplique les données entre différentes zones dans les régions prises en charge. Si un incident affecte une zone, Microsoft utilise une autre zone de disponibilité dans la région, automatiquement. Vous n’avez pas besoin d’effectuer une action, car le basculement entre les zones est transparent.

Dans la plupart des régions, les zones de disponibilité des journaux Azure Monitor prennent en charge la résilience des données, ce qui signifie que vos données stockées sont protégées contre la perte de données liée aux défaillances zonales, mais les opérations de service peuvent toujours être affectées par des incidents régionaux. Si le service ne peut pas exécuter de requêtes, vous ne pouvez pas afficher les journaux tant que le problème n’est pas résolu.

Un sous-ensemble des zones de disponibilité qui prennent en charge la résilience des données prend également en charge la résilience des services, ce qui signifie que les opérations de service Journaux Azure Monitor (par exemple, l’ingestion de journal, les requêtes et les alertes) peuvent continuer en cas de défaillance de zone.

Les zones de disponibilité protègent contre les incidents liés à l’infrastructure, tels que les défaillances de stockage. Elles ne protègent pas contre les problèmes au niveau de l’application, tels que les déploiements de code défectueux ou les échecs de certificat, qui ont un impact sur l’ensemble de la région.

Sauvegarde des données à partir de tables spécifiques à l’aide de l’exportation continue

Vous pouvez exporter en continu les données envoyées à des tables spécifiques de votre espace de travail Log Analytics vers des comptes de stockage Azure.

Le compte de stockage vers lequel vous exportez des données doit se trouver dans la même région que votre espace de travail Log Analytics. Pour protéger et accéder à vos journaux ingérés, même si la région de l’espace de travail est en panne, utilisez un compte de stockage géoredondant, comme expliqué dans les Recommandations de configuration.

Le mécanisme d’exportation ne fournit pas de protection contre les incidents impactant le pipeline d’ingestion ou le processus d’exportation lui-même.

Remarque

Vous pouvez accéder aux données d’un compte de stockage à partir des journaux Azure Monitor à l’aide de l’opérateur externaldata. Toutefois, les données exportées sont stockées dans des objets blob de cinq minutes et l’analyse des données couvrant plusieurs objets blob peut être fastidieuse. Par conséquent, l’exportation de données vers un compte de stockage est un bon mécanisme de sauvegarde des données, mais le fait d’avoir les données sauvegardées dans un compte de stockage n’est pas idéal si vous en avez besoin pour l’analyse dans les journaux Azure Monitor. Vous pouvez interroger de grands volumes de données blob à l’aide d’Azure Data Explorer, d’Azure Data Factory ou d’un autre outil d’accès au stockage.

Protection des données et résilience des services interrégions à l’aide de la réplication de l’espace de travail (préversion)

La réplication de l’espace de travail (préversion) est la solution de résilience la plus étendue, car elle réplique l’espace de travail Log Analytics et les journaux entrants dans une autre région.

La réplication de l’espace de travail protège à la fois vos journaux et les opérations de service et vous permet de continuer à superviser vos systèmes en cas d’incidents à l’échelle de l’infrastructure ou de l’application.

Contrairement aux zones de disponibilité, que Microsoft gère de bout en bout, vous devez superviser l’intégrité de votre espace de travail principal et décider quand basculer vers l’espace de travail dans la région secondaire et rebasculer dans l’espace de travail principal.

Check-list pour la conception

  • Pour garantir la résilience des services et des données aux incidents à l’échelle de la région, activez la réplication de l’espace de travail.
  • Pour garantir la protection dans la région contre les défaillances de centre de données, créez votre espace de travail dans une région qui prend en charge les zones de disponibilité.
  • Pour la sauvegarde interrégion des données dans des tables spécifiques, utilisez la fonctionnalité d’exportation continue pour envoyer des données à un compte de stockage géorépliqué.
  • Superviser l’intégrité de vos espaces de travail Log Analytics.

Recommandations relatives à la configuration

Recommandation Avantage
Pour garantir le plus grand degré de résilience, activez la réplication de l’espace de travail. Résilience interrégion pour les opérations de service et de données d’espace de travail.

La réplication de l’espace de travail (préversion) garantit une haute disponibilité en créant une instance secondaire de votre espace de travail dans une autre région et en ingérant vos journaux dans les deux espaces de travail.

Si nécessaire, basculez vers votre espace de travail secondaire jusqu’à ce que les problèmes ayant un impact sur votre espace de travail principal soient résolus. Vous pouvez continuer à ingérer des journaux, interroger des données et utiliser les tableaux de bord, les alertes et Sentinel dans votre espace de travail secondaire. Vous avez également accès aux journaux ingérés avant le changement de région.

Il s’agit d’une fonctionnalité payante. Pensez donc à répliquer tous vos journaux entrants ou seulement certains flux de données.
Si possible, créez votre espace de travail dans une région qui prend en charge la résilience des services Azure Monitor. Résilience dans la région des opérations de service et de données d’espace de travail en cas de problèmes de centre de données.

Les zones de disponibilité qui prennent en charge la résilience des services prennent également en charge la résilience des données. Cela signifie que même si un centre de données entier devient indisponible, la redondance entre les zones permet aux opérations de service Azure Monitor, telles que l’ingestion et l’interrogation, de continuer à fonctionner, et vos journaux d’activité ingérés restent disponibles.

Les zones de disponibilité fournissent une protection dans la région, mais ne protègent pas contre les problèmes qui affectent l’ensemble de la région.

Pour plus d’informations sur les régions qui prennent en charge la résilience des données, consultez Améliorer la résilience des données et des services dans les journaux Azure Monitor avec des zones de disponibilité.
Créez votre espace de travail dans une région qui prend en charge la résilience des données. Protection dans la région contre la perte des journaux d’activité dans votre espace de travail en cas de problèmes de centre de données.

La création de votre espace de travail dans une région prenant en charge la résilience des données signifie que même si l’ensemble du centre de données devient indisponible, vos journaux ingérés sont sécurisés.
Si le service ne peut pas exécuter de requêtes, vous ne pouvez pas afficher les journaux tant que le problème n’est pas résolu.

Pour plus d’informations sur les régions qui prennent en charge la résilience des données, consultez Améliorer la résilience des données et des services dans les journaux Azure Monitor avec des zones de disponibilité.
Configurez l’exportation de données à partir de tables spécifiques vers un compte de stockage répliqué entre les régions. Conservez une copie de sauvegarde de vos données de journal dans une autre région.

La fonctionnalité d’exportation de données d’Azure Monitor vous permet d’exporter en continu les données envoyées à des tables spécifiques vers le stockage Azure, où elles peuvent être conservées pendant de longues périodes. Utilisez un compte de stockage géoredondant (GRS) ou de stockage géoredondant interzone (GZRS) pour sécuriser vos données même si une région entière devient indisponible. Pour rendre vos données lisibles à partir des autres régions, configurez votre compte de stockage pour l’accès en lecture à la région secondaire. Pour plus d’informations, consultez Redondance du Stockage Azure sur une région secondaire et Accès en lecture au Stockage Azure aux données de la région secondaire.

Pour les tables qui n’ont pas pris en charge l’exportation continue des données, vous pouvez utiliser d’autres méthodes d’exportation de données, notamment Logic Apps, pour protéger vos données. Il s’agit principalement d’une solution de conformité pour la conservation des données, car les données peuvent être difficiles à analyser et à restaurer dans l’espace de travail.

L’exportation de données est susceptible d’entraîner des incidents régionaux, car elle s’appuie sur la stabilité du pipeline d’ingestion Azure Monitor dans votre région. Elle ne fournit pas de résilience contre les incidents ayant un impact sur le pipeline d’ingestion régional.
Superviser l’intégrité de vos espaces de travail Log Analytics. Utilisez les insights d’espace de travail Log Analytics pour suivre les requêtes qui ont échoué et créer une alerte d’état d’intégrité pour vous avertir de manière proactive si un espace de travail est indisponible en raison de la défaillance d’un centre de données ou d’une région.

Comparer les fonctionnalités de résilience des journaux Azure Monitor

Fonctionnalité Résilience de service Sauvegarde de données Haute disponibilité Étendue de la protection Paramétrage Cost
Réplication de l’espace de travail Protection interrégion contre les incidents à l’échelle de la région Activez la réplication de l’espace de travail et des règles de collecte de données associées. Passez d’une région à une autre en fonction des besoins. En fonction du nombre de gigaoctets et de régions répliqués.
Zones de disponibilité
Dans les régions prises en charge		 Protection dans la région contre les problèmes liés au centre de données Activé automatiquement dans les régions prises en charge. Aucun coût
Exportation de données continue Protection contre la perte de données en raison d’une défaillance régionale 1 Activer par table. Coût de l’exportation de données + Objet blob de stockage ou Event Hubs

1 L’exportation de données offre une protection interrégion si vous exportez des journaux vers un compte de stockage géorépliqué. En cas d’incident, les données précédemment exportées sont sauvegardées et facilement disponibles ; toutefois, une exportation supplémentaire peut échouer, en fonction de la nature de l’incident.

Sécurité

La sécurité est l’un des aspects les plus importants de toute architecture. Azure Monitor fournit des fonctionnalités pour utiliser à la fois les principes du moindre privilège et de la défense en profondeur. Utilisez les informations suivantes pour optimiser la sécurité de vos espaces de travail Log Analytics et garantir que seuls les utilisateurs autorisés accèdent aux données collectées.

Check-list pour la conception

  • Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics.
  • Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation.
  • Utiliser Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail.
  • Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail.
  • Exporter les données d’audit pour la conservation à long terme ou l’immuabilité.
  • Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes.
  • Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail.
  • Supprimer définitivement les données sensibles collectées accidentellement.
  • Activez Customer Lockbox for Microsoft Azure pour approuver ou rejeter les demandes d'accès aux données Microsoft.

Recommandations relatives à la configuration

Recommandation Avantage
Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics. Votre décision de combiner ces données dépend de vos exigences de sécurité particulières. Les combiner dans un même espace de travail vous offre une meilleure visibilité sur l’ensemble de vos données, même si votre équipe de sécurité pourrait nécessiter un espace de travail dédié. Consultez Concevoir une stratégie d’espace de travail Log Analytics pour plus d’informations sur cette prise de décision pour votre environnement en trouvant un équilibre avec les critères des autres piliers.

Compromis : il existe des implications potentielles sur les coûts pour activer Sentinel dans votre espace de travail. Pour plus de détails, consultez Concevoir une architecture d’espace de travail Log Analytics.
Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation. Définissez le mode de contrôle d’accès de l’espace de travail sur Utiliser les autorisations de ressource ou d’espace de travail pour permettre aux propriétaires de ressource d’utiliser le contexte de ressource afin d’accéder à leurs données sans avoir été autorisé explicitement à accéder à l’espace de travail. Cela simplifie la configuration de votre espace de travail et permet de garantir que les utilisateurs n’ont pas accès aux données qu’ils ne sont pas censés utiliser.

Attribuez le rôle intégré approprié pour accorder des autorisations d’espace de travail aux administrateurs au niveau de l’abonnement, du groupe de ressources ou de l’espace de travail en fonction de l’étendue de leurs responsabilités.

Tirez parti du RBAC au niveau de la table pour les utilisateurs qui ont besoin d’accéder à un ensemble de tables sur plusieurs ressources. Les utilisateurs avec des autorisations de table ont accès à toutes les données de la table, quelles que soient leurs autorisations de ressource.

Pour plus d’informations sur les différentes options permettant d’accorder l’accès aux données dans l’espace de travail, consultez Gérer l’accès aux espaces de travail Log Analytics.
Utiliser Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail. Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour autoriser les ressources à se connecter à votre espace de travail Log Analytics sur des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Concevoir votre configuration Azure Private Link pour déterminer la meilleure topologie de réseau et DNS pour votre environnement.
Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez une clé gérée par le client pour plus de flexibilité et de contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel.
Exporter les données d’audit pour la conservation à long terme ou l’immuabilité. Vous pourriez avoir collecté des données d’audit dans votre espace de travail qui sont soumises à des réglementations exigeant leur conservation à long terme. Les données d’un espace de travail Log Analytics ne peuvent pas être modifiées, mais elles peuvent être supprimées définitivement. Utilisez l’exportation de données pour envoyer des données à un compte de stockage Azure avec des stratégies d’immuabilité afin de les protéger contre la falsification. Les types de journaux n’ont pas tous la même pertinence pour la conformité, l’audit ou la sécurité. Déterminez les types de données spécifiques qui doivent être exportés.
Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes. L’audit des requêtes de journal enregistre les détails de chaque requête exécutée dans un espace de travail. Traitez ces données d’audit comme des données de sécurité et sécurisez la table LAQueryLogs de manière appropriée. Configurez les journaux d’audit de chaque espace de travail pour qu’ils soient envoyés à l’espace de travail local, ou rassemblez-les dans un espace de travail de sécurité dédié si vous séparez vos données opérationnelles et de sécurité. Utilisez les Insights d’espace de travail Log Analytics pour examiner régulièrement ces données et envisagez de créer des règles d’alerte pour la recherche dans les journaux afin de vous avertir de manière proactive si des utilisateurs non autorisés tentent d’exécuter des requêtes.
Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail. Vous pourriez collecter des données qui comprennent des informations sensibles. Filtrez les enregistrements qui ne doivent pas être collectés en utilisant la configuration de la source de données particulière. Utilisez une transformation si seules des colonnes particulières dans les données doivent être supprimées ou obfusquées.

Si vous avez des standards qui impliquent que les données d’origine ne soient pas modifiées, vous pouvez utiliser le littéral « h » dans les requêtes KQL pour obfusquer les résultats de requête affichés dans les workbooks.
Supprimer définitivement les données sensibles collectées accidentellement. Vérifiez régulièrement les données privées qui pourraient avoir été collectées accidentellement dans votre espace de travail et utilisez la suppression définitive des données pour les supprimer.
Activez Customer Lockbox for Microsoft Azure pour approuver ou rejeter les demandes d'accès aux données Microsoft. Customer Lockbox pour Microsoft Azure fournit une interface permettant de vérifier et d'approuver ou refuser les demandes d'accès aux données client. Elle est utilisée dans les cas où un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft. Pour activer Customer Lockbox, vous avez besoin d’un cluster dédié.
Lockbox ne peut pas actuellement être appliqué aux tables avec le plan auxiliaire.

Optimisation des coûts

L’optimisation des coûts fait référence aux moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Vous pouvez réduire considérablement votre coût pour Azure Monitor en comprenant vos différentes options de configuration et les possibilités de réduire la quantité de données collectées. Consultez Utilisation et coût d’Azure Monitor pour comprendre les différents coûts Azure Monitor et comment voir votre facture mensuelle.

Notes

Consultez Optimiser les coûts dans Azure Monitor pour obtenir des recommandations d’optimisation des coûts pour toutes les fonctionnalités d’Azure Monitor.

Check-list pour la conception

  • Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics.
  • Configurez le niveau tarifaire selon la quantité de données que chaque espace de travail Log Analytics collecte généralement.
  • Configurer la rétention et l’archivage des données.
  • Configurez les tables utilisées pour le débogage, la résolution des problèmes et l’audit en tant que journaux de base.
  • Limitez la collecte de données à partir de sources de données pour l’espace de travail.
  • Analysez régulièrement les données collectées pour identifier les tendances et les anomalies.
  • Créez une alerte quand la collecte de données est importante.
  • Considérez un plafond quotidien en tant que mesure préventive pour vous assurer que vous ne dépassez pas un budget spécifique.
  • Configurez des alertes sur les suggestions de coût Azure Advisor pour les espaces de travail Log Analytics.

Recommandations relatives à la configuration

Recommandation Avantage
Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics. Comme toutes les données d’un espace de travail Log Analytics sont soumises au tarif de Microsoft Sentinel si Sentinel est activé, la combinaison de ces données pourrait avoir des implications financières. Consultez Concevoir une stratégie d’espace de travail Log Analytics pour plus d’informations sur cette prise de décision pour votre environnement en trouvant un équilibre avec les critères des autres piliers.
Configurez le niveau tarifaire selon la quantité de données que chaque espace de travail Log Analytics collecte généralement. Par défaut, les espaces de travail Log Analytics utilisent la tarification avec paiement à l’utilisation sans volume de données minimal. Si vous collectez suffisamment de données, vous pouvez réduire considérablement votre coût en utilisant un niveau d’engagement, ce qui vous permet de vous engager sur un minimum quotidien de données collectées en échange d’un prix inférieur. Si vous collectez suffisamment de données dans l’ensemble des espaces de travail d’une seule région, vous pouvez les lier à un cluster dédié et combiner leur volume collecté en utilisant les tarifs de cluster.

Pour plus d’informations sur les niveaux d’engagement ainsi que des conseils afin de déterminer ce qui convient le mieux à votre niveau d’utilisation, consultez Calculs et options des coûts des journaux Azure Monitor. Pour afficher les coûts estimés de votre utilisation à différents niveaux tarifaires, consultez Utilisation et estimation des coûts.
Configurer la conservation des données interactive et à long terme. Des frais sont facturés pour la conservation des données dans un espace de travail Log Analytics au-delà de la durée par défaut de 31 jours (90 jours si Sentinel est activé sur l’espace de travail et 90 jours pour les données Application Insights). Tenez compte de vos besoins particuliers concernant la disponibilité des données pour les requêtes de journal. Vous pouvez considérablement réduire vos coûts en configurant une conservation à long terme, ce qui vous permet de conserver les données jusqu’à douze ans et d’y accéder à l’occasion en utilisant des travaux de recherche ou en restaurant un jeu de données dans l’espace de travail.
Configurez les tables utilisées pour le débogage, la résolution des problèmes et l’audit en tant que journaux de base. Les tables d’un espace de travail Log Analytics configuré pour les journaux de base ont un coût d’ingestion inférieur en échange de fonctionnalités limitées et de frais pour les requêtes de journal. Si vous interrogez ces tables rarement et que vous ne les utilisez pas pour les alertes, ce coût de requête peut être plus que compensé par la réduction du coût d’ingestion.
Limitez la collecte de données à partir de sources de données pour l’espace de travail. Le principal facteur de coût d’Azure Monitor est la quantité de données que vous collectez dans votre espace de travail Log Analytics. Vous devez donc vous assurer de ne pas collecter plus de données que nécessaire pour évaluer l’intégrité et les performances de vos services et applications. Consultez Concevoir une architecture d’espace de travail Log Analytics pour plus d’informations sur cette prise de décision pour votre environnement en trouvant un équilibre avec les critères des autres piliers.

Compromis : il peut y avoir un compromis entre les coûts et vos exigences d’analyse. Par exemple, vous pourriez détecter plus rapidement un problème de performances avec un taux d’échantillonnage élevé, mais préférez un taux d’échantillonnage plus bas pour réaliser des économies. La plupart des environnements ont plusieurs sources de données avec différents types de collecte. Vous devez donc équilibrer vos exigences particulières avec vos objectifs de coût pour chacun. Consultez Optimisation des coûts dans Azure Monitor pour obtenir des recommandations sur la configuration de la collecte pour différentes sources de données.
Analysez régulièrement les données collectées pour identifier les tendances et les anomalies. Utilisez les insights d’espace de travail Log Analytics pour passer en revue régulièrement la quantité de données collectées dans votre espace de travail. En plus de vous aider à comprendre la quantité de données collectées par différentes sources, ils permettent d’identifier les anomalies et les tendances à la hausse dans la collecte de données susceptibles d’entraîner des coûts excédentaires. Analysez la collecte de données avec les méthodes décrites dans Analyser l’utilisation dans l’espace de travail Log Analytics pour déterminer s’il existe une configuration supplémentaire susceptible de réduire davantage votre utilisation. Cela est particulièrement important lorsque vous ajoutez un nouvel ensemble de sources de données, tels qu’un nouvel ensemble de machines virtuelles ou l’intégration d’un nouveau service.
Créez une alerte quand la collecte de données est importante. Pour une meilleure maîtrise de vos factures, vous devez être averti de manière proactive et à tout moment en cas d’utilisation excessive. Une notification vous permet de remédier à toute anomalie potentielle avant la fin de votre période de facturation.
Considérez un plafond quotidien en tant que mesure préventive pour vous assurer que vous ne dépassez pas un budget spécifique. Un plafond quotidien désactive la collecte de données dans un espace de travail Log Analytics pour le reste de la journée une fois la limite configurée atteinte. Cela ne doit pas être utilisé comme méthode pour réduire les coûts, comme décrit dans Quand utiliser un plafond quotidien.

Si vous définissez une limite quotidienne, en plus de créer une alerte quand la limite est atteinte, veillez à créer également une règle d’alerte pour être averti quand un pourcentage a été atteint (90 %, par exemple). Cela vous donne l’occasion d’investiguer et de traiter la cause de l’augmentation des données avant que la limite n’arrête la collecte de données.
Configurez des alertes sur les suggestions de coût Azure Advisor pour les espaces de travail Log Analytics. Les suggestions d'Azure Advisor pour les espaces de travail Log Analytics vous alertent de manière proactive lorsqu’il existe une possibilité d’optimiser vos coûts. Créez des alertes Azure Advisor pour ces recommandations de coût :
  • Envisagez de configurer le plan Journaux d’activité De base rentable sur les tables sélectionnées : nous avons identifié l’ingestion de plus de 1 Go par mois aux tables éligibles au plan de données Journal d’activité basique peu coûteux. Le plan de journaux Essentiel vous offre des fonctionnalités d’interrogation pour le débogage et la résolution des problèmes à moindre coût.
  • Envisagez de changer le niveau tarifaire : en fonction de votre volume d’utilisation actuel, examinez la modification de votre niveau tarifaire (Engagement) pour obtenir une remise et réduire vos coûts.
  • Envisagez de supprimer des tables restaurées inutilisées : vous avez une ou plusieurs tables avec des données restaurées actives dans votre espace de travail. Si vous n’utilisez plus de données restaurées, supprimez la table pour éviter des frais inutiles.
  • Une anomalie d’ingestion des données a été détectée : nous avons identifié un taux d’ingestion beaucoup plus élevé au cours de la semaine dernière, comparé à votre ingestion des trois semaines précédentes. Prenez note de ce changement et de l'évolution attendue de vos coûts.
Vous pouvez également afficher automatiquement la suggestion générée en sélectionnant Vue d’ensemble>Suggestions ou Suggestions Advisor dans le menu des ressources de l’espace de travail Log Analytics.

Excellence opérationnelle

L’excellence opérationnelle fait référence aux processus opérationnels nécessaires pour qu’un service en production s’exécute toujours de manière fiable. Utilisez les informations suivantes afin de réduire les exigences opérationnelles pour prendre en charge des espaces de travail Log Analytics.

Check-list pour la conception

  • Concevoir une architecture d’espace de travail avec le moins d’espaces de travail possible pour répondre aux besoins de votre entreprise.
  • Utilisez l’Infrastructure en tant que code (IaC) lors de la gestion de plusieurs espaces de travail.
  • Utiliser les insights d’espace de travail Log Analytics pour suivre l’intégrité et les performances de vos espaces de travail Log Analytics.
  • Créer des règles d’alerte pour être averti de manière proactive des problèmes opérationnels dans l’espace de travail.
  • Assurez-vous que vous disposez d’un processus opérationnel bien défini pour la séparation des données.

Recommandations relatives à la configuration

Recommandation Avantage
Concevez une stratégie d’espace de travail pour répondre aux exigences de votre entreprise. Consultez Concevoir une architecture d’espace de travail Log Analytics pour obtenir des conseils sur la conception d’une stratégie pour vos espaces de travail Log Analytics, y compris sur le nombre d’espaces de travail à créer et où les placer.

Un seul ou un nombre minimal d’espaces de travail permet d’optimiser votre efficacité opérationnelle, car cela limite la distribution de vos données opérationnelles et de sécurité, ce qui augmente votre visibilité des problèmes potentiels, facilite l’identification des modèles et réduit les besoins de maintenance.

Vous pourriez nécessiter plusieurs espaces de travail, tels que plusieurs locataires, ou avoir besoin d’espaces de travail dans plusieurs régions pour prendre en charge vos exigences de disponibilité. Dans ce cas, assurez-vous de disposer de processus appropriés pour gérer cette complexité accrue.
Utilisez l’Infrastructure en tant que code (IaC) lors de la gestion de plusieurs espaces de travail. Utilisez l’Infrastructure en tant que code (IaC) pour définir les détails de vos espaces de travail dans ARM, BICEP ou Terraform. Cela vous permet de tirer parti de vos processus DevOps existants pour déployer de nouveaux espaces de travail et Azure Policy pour appliquer leur configuration.
Utiliser les insights d’espace de travail Log Analytics pour suivre l’intégrité et les performances de vos espaces de travail Log Analytics. Les insights d’espace de travail Log Analytics fournissent une vue unifiée de l’utilisation, des performances, de l’intégrité, des agents, des requêtes et du journal de modification de tous vos espaces de travail. Passez régulièrement en revue ces informations pour suivre l’intégrité et le fonctionnement de chacun de vos espaces de travail.
Créer des règles d’alerte pour être averti de manière proactive des problèmes opérationnels dans l’espace de travail. Chaque espace de travail a une table d’opération qui journalise les activités importantes affectant l’espace de travail. Créez des règles d’alerte basées sur cette table pour être averti de manière proactive quand un problème opérationnel se produit. Vous pouvez utiliser les alertes recommandées pour l’espace de travail afin de simplifier la création des règles d’alerte les plus critiques.
Assurez-vous que vous disposez d’un processus opérationnel bien défini pour la séparation des données. Vous pourriez avoir des exigences différentes pour différents types de données stockés dans votre espace de travail. Assurez-vous que vous comprenez clairement les exigences en matière de sécurité et de conservation des données lorsque vous concevez votre stratégie d’espace de travail et configurez des paramètres tels que les autorisations et la conservation à long terme. Vous devez également disposer d’un processus clairement établi pour purger occasionnellement les données contenant des informations personnelles collectées accidentellement.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Utilisez les informations suivantes pour que vos espaces de travail Log Analytics et vos requêtes de journal soient configurés pour des performances maximales.

Check-list pour la conception

  • Configurer l’audit des requêtes de journal et utiliser les insights d’espace de travail Log Analytics pour identifier les requêtes lentes et inefficaces.

Recommandations relatives à la configuration

Recommandation Avantage
Configurer l’audit des requêtes de journal et utiliser les insights d’espace de travail Log Analytics pour identifier les requêtes lentes et inefficaces. L’audit des requêtes de journal stocke le temps de calcul nécessaire à l’exécution de chaque requête et le délai d’attente des résultats. Les insights d’espace de travail Log Analytics utilisent ces données pour lister les requêtes potentiellement inefficaces dans votre espace de travail. Réécrivez ces requêtes pour améliorer leurs performances. Pour obtenir des conseils sur l’optimisation de vos requêtes de journal, consultez Optimiser les requêtes de journal dans Azure Monitor.

Étape suivante