Vue d’ensemble de Journaux d’activité Azure Monitor
Journaux Azure Monitor est une plateforme SaaS (Software as a Service) centralisée qui permet de collecter, d’analyser et d’agir sur les données de télémétrie générées par les ressources et les applications Azure et non Azure.
Vous pouvez collecter des journaux, gérer des modèles de données et des coûts, et consommer différents types de données dans un espace de travail Log Analytics, la principale ressource des journaux Azure Monitor. Cela signifie que vous n’avez jamais besoin de déplacer des données ou de gérer d’autres stockages, et que vous pouvez conserver différents types de données tant que cela est nécessaire.
Cet article fournit une vue d’ensemble du fonctionnement des journaux Azure Monitor, et explique comment ils répondent aux besoins et compétences de différents personnages d’une organisation.
Remarque
Les journaux Azure Monitor représentent la moitié de la plateforme de données qui prend en charge Azure Monitor. L’autre moitié, constituée des métriques Azure Monitor, stocke les données numériques dans une base de données de série chronologique.
Espace de travail Log Analytics
Un espace de travail Log Analytics est un magasin de données qui contient des tables dans lesquelles vous collectez des données.
Pour répondre aux besoins de stockage et de consommation des données de différents personnages qui utilisent un espace de travail Log Analytics, vous pouvez :
- Définir des plans de table en fonction de vos besoins en matière de consommation de données et de gestion des coûts.
- Gérer la conservation à long terme à faible coût et la conservation interactive pour chaque table.
- Gérer l’accès à l’espace de travail et à des tables spécifiques.
- Utiliser des règles récapitulatives pour agréger les données critiques dans des tables récapitulatives. Cela vous permet d’optimiser les données pour faciliter l’utilisation et bénéficier d’insights actionnables, et de stocker des données brutes dans une table avec un plan de table à faible coût pendant aussi longtemps que vous en avez besoin.
- Créer des requêtes enregistrées, des visualisations et des alertes prêtes à l’exécution, adaptées à des personnages spécifiques.
Vous pouvez également configurer l’isolement réseau, répliquer votre espace de travail dans différentes régions, et concevoir une architecture d’espace de travail en fonction des besoins de votre entreprise.
Langage de requête Kusto (KQL) et Log Analytics
Vous récupérez les données à partir d’un espace de travail Log Analytics à l’aide d’une requête KQL (Langage de requête Kusto), qui est une requête en lecture seule ayant pour but de traiter des données et de retourner des résultats. KQL est un outil puissant qui peut analyser rapidement des millions d’enregistrements. Utilisez KQL pour explorer vos journaux, transformer et agréger des données, découvrir des modèles, identifier des anomalies et des valeurs hors norme, etc.
Log Analytics est un outil du portail Azure qui permet d’exécuter des requêtes de journal et d’analyser leurs résultats. Le mode Simple Log Analytics permet à n’importe quel utilisateur, quelle que soit sa connaissance de KQL, de récupérer des données à partir d’une ou plusieurs tables en un seul clic. Un ensemble de contrôles vous permet d’explorer et d’analyser les données récupérées à l’aide des fonctionnalités de journaux Azure Monitor les plus populaires dans une expérience intuitive de type feuille de calcul.
Les utilisateurs familiarisés avec KQL peuvent utiliser le mode KQL Log Analytics pour modifier et créer des requêtes, qu’ils peuvent ensuite utiliser dans des fonctionnalités Azure Monitor telles que des alertes et des classeurs, ou partager avec d’autres utilisateurs.
Pour obtenir une description de Log Analytics, consultez Présentation de Log Analytics dans Azure Monitor. Pour parcourir les fonctionnalités de Log Analytics afin de créer une requête de journal simple et d’analyser les résultats, consultez Tutoriel Log Analytics.
Insights intégrés et tableaux de bord, classeurs et rapports personnalisés
La plupart des expériences Insights prêtes à l’emploi d’Azure Monitor stockent des données dans les journaux Azure Monitor, et présentent ces données de manière intuitive afin de surveiller les performances et la disponibilité de vos applications cloud et hybrides et de leurs composants de prise en charge.
Vous pouvez également créer vos propres visualisations et rapports à l’aide de classeurs, de tableaux de bord et de Power BI.
Plans de table
Vous pouvez utiliser un espace de travail Log Analytics pour stocker n’importe quel type de journal requis, dans n’importe quel but. Par exemple :
- Données détaillées volumineuses nécessitant un stockage à long terme bon marché pour l’audit et la conformité
- Données d’application et de ressources pour la résolution des problèmes par les développeurs
- Données clés sur les événements et les performances pour la mise à l’échelle et le déclenchement d’alertes, afin de garantir une excellence opérationnelle et une sécurité continues
- Tendances de données à long terme agrégées pour l’analytique avancée et le Machine Learning
Les plans de table vous permettent de gérer les coûts des données en fonction de la fréquence à laquelle vous utilisez les données d’une table et du type d’analyse pour lequel vous avez besoin des données.
Le diagramme et le tableau ci-dessous comparent les plans de table Analytique, De base et Auxiliaire. Pour plus d’informations sur la conservation interactive et à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics. Pour plus d’informations sur la sélection ou la modification d’un plan de table, consultez Sélectionner un plan de table.
| Analyse | De base | Auxiliaire (préversion) | |
|---|---|---|---|
| Idéal pour | Données à valeur élevée utilisées pour la supervision continue, la détection en temps réel et l’analytique des performances. | Données à valeur moyenne nécessaires pour la résolution des problèmes et la réponse aux incidents. | Données à valeur moindre, telles que les journaux détaillés et les données requises pour l’audit et la conformité. |
| Types de tables pris en charge | Tous les types de tables | Tables Azure qui prennent en charge les journaux de base et tables personnalisées basées sur DCR | Tables personnalisées basées sur DCR |
| Requêtes de journal | Fonctionnalités de requête complètes. | Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. | Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. |
| Performances des requêtes | Rapide | Rapide | Plus lent Bon pour l’audit. Non optimisé pour l’analyse en temps réel. |
| Alertes | ✅ | ❌ | ❌ |
| Insights | ✅ | ❌ | ❌ |
| Tableaux de bord | ✅ | ✅ Coût par requête pour les actualisations du tableau de bord non inclus. | Possible, mais actualisation lente, coût par requête pour les actualisations du tableau de bord non inclus. |
| Exportation des données | ✅ | ❌ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| Tâches de recherche | ✅ | ✅ | ✅ |
| Règles de résumé | ✅ | ✅ KQL limité à une seule table | ✅ KQL limité à une seule table |
| Restauration | ✅ | ✅ | ❌ |
| Prix de requête inclus | ✅ | ❌ | ❌ |
| Coût d’ingestion | Standard | Réduction | Minimal |
| Rétention interactive | 30 jours (90 jours pour Microsoft Sentinel et Application Insights). Peut être prolongés jusqu’à deux ans, au prorata des frais de conservation à long terme. |
30 jours | 30 jours |
| Conservation totale | Jusqu’à 12 ans | Jusqu’à 12 ans | Jusqu’à 12 ans* *Limitation de la préversion publique : la conservation totale du plan Auxiliaire est actuellement fixée à 365 jours. |
Remarque
Le plan de table Auxiliaire est en préversion publique. Pour connaître les limitations actuelles et les régions prises en charge, consultez Limitations de la préversion publique.
Les plans de table De base et Auxiliaire ne sont pas disponibles pour les espaces de travail dans les niveaux tarifaires hérités.
Collecte de données
Pour collecter des données à partir d’une ressource vers votre espace de travail Log Analytics :
- Configurez l’outil de collecte de données approprié en fonction du tableau ci-dessous.
- Déterminez les données à collecter sur la ressource.
- Utilisez les transformations pour supprimer les données sensibles, enrichir les données, ou effectuer des calculs et masquer les données dont vous n’avez pas besoin afin de réduire les coûts.
Ce tableau liste les outils qu’Azure Monitor fournit pour collecter des données à partir de différents types de ressource.
| Type de ressource | Outil de collecte de données | Données collectées |
|---|---|---|
| Microsoft Azure | Paramètres de diagnostic | Locataire Azure : les journaux d’audit Microsoft Entra fournissent l’historique des activités de connexion et la piste d’audit des changements effectués au sein d’un locataire. Ressources Azure : journaux et compteurs de performances. Abonnement Azure : enregistrements concernant l’intégrité du service et enregistrements concernant les changements de configuration effectués sur les ressources de votre abonnement Azure. |
| Application | Application Insights | Données de monitoring des performances d’application. |
| Conteneur | Container Insights | Données de performances de conteneur. |
| Machine virtuelle | Règles de collecte de données | Monitoring des données à partir du système d’exploitation invité des machines virtuelles Azure et non-Azure. |
| Source non-Azure | API d’ingestion des journaux | Journaux basés sur des fichiers et toutes les données que vous collectez à partir d’une ressource supervisée. |
Important
Pour la plupart des collectes de données dans les journaux, vous encourez des coûts d’ingestion et de conservation des données. Consultez Tarification Azure Monitor avant d’activer une collecte de données.
Utilisation de Microsoft Sentinel et Microsoft Defender pour le cloud
Microsoft Sentinel et Microsoft Defender pour le cloud assurent la surveillance de la sécurité dans Azure.
Ces services stockent leurs données dans les journaux d'Azure Monitor afin qu'elles puissent être analysées avec les autres données de journal collectées par Azure Monitor.
En savoir plus
Étapes suivantes
- Découvrez les requêtes de journal pour récupérer et analyser les données d’un espace de travail Log Analytics.
- Découvrez les métriques dans Azure Monitor.
- Découvrez les données de surveillance disponibles pour différentes ressources dans Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour