Partager via


Vue d’ensemble de Journaux d’activité Azure Monitor

Journaux Azure Monitor est une plateforme SaaS (Software as a Service) centralisée qui permet de collecter, d’analyser et d’agir sur les données de télémétrie générées par les ressources et les applications Azure et non Azure.

Vous pouvez collecter des journaux, gérer des modèles de données et des coûts, et consommer différents types de données dans un espace de travail Log Analytics, la principale ressource des journaux Azure Monitor. Cela signifie que vous n’avez jamais besoin de déplacer des données ou de gérer d’autres stockages, et que vous pouvez conserver différents types de données tant que cela est nécessaire.

Cet article fournit une vue d’ensemble du fonctionnement des journaux Azure Monitor, et explique comment ils répondent aux besoins et compétences de différents personnages d’une organisation.

Remarque

Les journaux Azure Monitor représentent la moitié de la plateforme de données qui prend en charge Azure Monitor. L’autre moitié, constituée des métriques Azure Monitor, stocke les données numériques dans une base de données de série chronologique.

Espace de travail Log Analytics

Un espace de travail Log Analytics est un magasin de données qui contient des tables dans lesquelles vous collectez des données.

Pour répondre aux besoins de stockage et de consommation des données de différents personnages qui utilisent un espace de travail Log Analytics, vous pouvez :

Capture d’écran d’un espace de travail Log Analytics sur le Portail Azure.

Vous pouvez également configurer l’isolement réseau, répliquer votre espace de travail dans différentes régions, et concevoir une architecture d’espace de travail en fonction des besoins de votre entreprise.

Langage de requête Kusto (KQL) et Log Analytics

Vous récupérez les données à partir d’un espace de travail Log Analytics à l’aide d’une requête KQL (Langage de requête Kusto), qui est une requête en lecture seule ayant pour but de traiter des données et de retourner des résultats. KQL est un outil puissant qui peut analyser rapidement des millions d’enregistrements. Utilisez KQL pour explorer vos journaux, transformer et agréger des données, découvrir des modèles, identifier des anomalies et des valeurs hors norme, etc.

Log Analytics est un outil du portail Azure qui permet d’exécuter des requêtes de journal et d’analyser leurs résultats. Le mode Simple Log Analytics permet à n’importe quel utilisateur, quelle que soit sa connaissance de KQL, de récupérer des données à partir d’une ou plusieurs tables en un seul clic. Un ensemble de contrôles vous permet d’explorer et d’analyser les données récupérées à l’aide des fonctionnalités de journaux Azure Monitor les plus populaires dans une expérience intuitive de type feuille de calcul.

Capture d’écran montrant le mode Simple Log Analytics.

Les utilisateurs familiarisés avec KQL peuvent utiliser le mode KQL Log Analytics pour modifier et créer des requêtes, qu’ils peuvent ensuite utiliser dans des fonctionnalités Azure Monitor telles que des alertes et des classeurs, ou partager avec d’autres utilisateurs.

Pour obtenir une description de Log Analytics, consultez Présentation de Log Analytics dans Azure Monitor. Pour parcourir les fonctionnalités de Log Analytics afin de créer une requête de journal simple et d’analyser les résultats, consultez Tutoriel Log Analytics.

Insights intégrés et tableaux de bord, classeurs et rapports personnalisés

La plupart des expériences Insights prêtes à l’emploi d’Azure Monitor stockent des données dans les journaux Azure Monitor, et présentent ces données de manière intuitive afin de surveiller les performances et la disponibilité de vos applications cloud et hybrides et de leurs composants de prise en charge.

Capture d’écran montrant l’expérience de supervision Container Insights intégrée dans Azure Monitor.

Vous pouvez également créer vos propres visualisations et rapports à l’aide de classeurs, de tableaux de bord et de Power BI.

Plans de table

Vous pouvez utiliser un espace de travail Log Analytics pour stocker n’importe quel type de journal requis, dans n’importe quel but. Par exemple :

  • Données détaillées volumineuses nécessitant un stockage à long terme bon marché pour l’audit et la conformité
  • Données d’application et de ressources pour la résolution des problèmes par les développeurs
  • Données clés sur les événements et les performances pour la mise à l’échelle et le déclenchement d’alertes, afin de garantir une excellence opérationnelle et une sécurité continues
  • Tendances de données à long terme agrégées pour l’analytique avancée et le Machine Learning

Les plans de table vous permettent de gérer les coûts des données en fonction de la fréquence à laquelle vous utilisez les données d’une table et du type d’analyse pour lequel vous avez besoin des données.

Le diagramme et le tableau ci-dessous comparent les plans de table Analytique, De base et Auxiliaire. Pour plus d’informations sur la conservation interactive et à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics. Pour plus d’informations sur la sélection ou la modification d’un plan de table, consultez Sélectionner un plan de table.

Diagramme qui présente une vue d’ensemble des fonctionnalités fournies par les plans de table Analytique, De base et Auxiliaire.

Analyse De base Auxiliaire (préversion)
Idéal pour Données à valeur élevée utilisées pour la supervision continue, la détection en temps réel et l’analytique des performances. Données à valeur moyenne nécessaires pour la résolution des problèmes et la réponse aux incidents. Données à valeur moindre, telles que les journaux détaillés et les données requises pour l’audit et la conformité.
Types de tables pris en charge Tous les types de tables Tables Azure qui prennent en charge les journaux de base et tables personnalisées basées sur DCR Tables personnalisées basées sur DCR
Requêtes de journal Fonctionnalités de requête complètes. Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche.
Performances des requêtes Rapide Rapide Plus lent
Bon pour l’audit. Non optimisé pour l’analyse en temps réel.
Alertes
Insights
Tableaux de bord ✅ Coût par requête pour les actualisations du tableau de bord non inclus. Possible, mais actualisation lente, coût par requête pour les actualisations du tableau de bord non inclus.
Exportation des données
Microsoft Sentinel
Tâches de recherche
Règles de résumé ✅ KQL limité à une seule table ✅ KQL limité à une seule table
Restauration
Prix de requête inclus
Coût d’ingestion Standard Réduction Minimal
Rétention interactive 30 jours (90 jours pour Microsoft Sentinel et Application Insights).
Peut être prolongés jusqu’à deux ans, au prorata des frais de conservation à long terme.
30 jours 30 jours
Conservation totale Jusqu’à 12 ans Jusqu’à 12 ans Jusqu’à 12 ans*
*Limitation de la préversion publique : la conservation totale du plan Auxiliaire est actuellement fixée à 365 jours.

Remarque

Le plan de table Auxiliaire est en préversion publique. Pour connaître les limitations actuelles et les régions prises en charge, consultez Limitations de la préversion publique.
Les plans de table De base et Auxiliaire ne sont pas disponibles pour les espaces de travail dans les niveaux tarifaires hérités.

Collecte de données

Pour collecter des données à partir d’une ressource vers votre espace de travail Log Analytics :

  1. Configurez l’outil de collecte de données approprié en fonction du tableau ci-dessous.
  2. Déterminez les données à collecter sur la ressource.
  3. Utilisez les transformations pour supprimer les données sensibles, enrichir les données, ou effectuer des calculs et masquer les données dont vous n’avez pas besoin afin de réduire les coûts.

Ce tableau liste les outils qu’Azure Monitor fournit pour collecter des données à partir de différents types de ressource.

Type de ressource Outil de collecte de données Données collectées
Microsoft Azure Paramètres de diagnostic Locataire Azure : les journaux d’audit Microsoft Entra fournissent l’historique des activités de connexion et la piste d’audit des changements effectués au sein d’un locataire.
Ressources Azure : journaux et compteurs de performances.
Abonnement Azure : enregistrements concernant l’intégrité du service et enregistrements concernant les changements de configuration effectués sur les ressources de votre abonnement Azure.
Application Application Insights Données de monitoring des performances d’application.
Conteneur Container Insights Données de performances de conteneur.
Machine virtuelle Règles de collecte de données Monitoring des données à partir du système d’exploitation invité des machines virtuelles Azure et non-Azure.
Source non-Azure API d’ingestion des journaux Journaux basés sur des fichiers et toutes les données que vous collectez à partir d’une ressource supervisée.

Important

Pour la plupart des collectes de données dans les journaux, vous encourez des coûts d’ingestion et de conservation des données. Consultez Tarification Azure Monitor avant d’activer une collecte de données.

Utilisation de Microsoft Sentinel et Microsoft Defender pour le cloud

Microsoft Sentinel et Microsoft Defender pour le cloud assurent la surveillance de la sécurité dans Azure.

Ces services stockent leurs données dans les journaux d'Azure Monitor afin qu'elles puissent être analysées avec les autres données de journal collectées par Azure Monitor.

En savoir plus

Service Plus d’informations
Microsoft Sentinel
Microsoft Defender pour le cloud

Étapes suivantes