Conception des espaces de travail Journaux Azure Monitor (Log Analytics)
Azure Monitor stocke les données de journal dans un espace de travail Journaux Azure Monitor (Log Analytics). Un espace de travail est une ressource Azure qui sert de limite administrative ou d’emplacement géographique pour le stockage des données. L’espace de travail est également un conteneur où vous collectez et agrégez des données.
Même si vous pouvez déployer un ou plusieurs espaces de travail dans votre abonnement Azure, vous devrez vous assurer que votre déploiement initial suit les instructions Microsoft. L’espace de travail doit fournir un déploiement économique, gérable et scalable qui répond aux besoins de votre organisation.
Choses à savoir sur les espaces de travail Journaux Azure Monitor
Passez en revue les caractéristiques des espaces de travail Journaux Azure Monitor afin de voir comment elles peuvent contribuer à votre solution de monitoring pour Tailwind Traders.
Dans un espace de travail, vous pouvez isoler les données en accordant différents droits d’accès aux utilisateurs et en suivant les stratégies de conception recommandées par Microsoft.
Les données d’un espace de travail Journaux Azure Monitor sont organisées en tables. Chaque table stocke différents genres de données et a son propre ensemble de propriétés qui varient en fonction de la ressource qui génère les données. La plupart des sources de données écrivent les données dans leurs propres tables dans un espace de travail Journaux Azure Monitor.
Un espace de travail vous permet de configurer des paramètres tels que le niveau tarifaire, la durée de conservation et la limitation des données en fonction des limites administratives ou des emplacements géographiques.
Avec le contrôle d’accès en fonction du rôle Azure (Azure RBAC), vous pouvez accorder aux utilisateurs et aux groupes uniquement le type d’accès dont ils ont besoin pour travailler avec les données de surveillance dans un espace de travail. Vous pouvez aligner le contrôle d’accès utilisateur sur le modèle d’exploitation de votre service informatique en utilisant un espace de travail unique pour stocker les données collectées qui sont activées dans toutes les ressources.
Les espaces de travail sont hébergés sur des clusters physiques. Par défaut, le système crée et gère ces clusters. Si votre système ingère plus de 500 Go de données par jour, créez vos propres clusters dédiés pour vos espaces de travail afin d’avoir un plus grand contrôle et un taux d’ingestion plus élevé.
Réflexions nécessaires lors de l’utilisation d’espaces de travail Journaux Azure Monitor
Vous êtes maintenant prêt à passer en revue les considérations relatives à la conception à l’aide d’espaces de travail Journaux Azure Monitor dans l’architecture Tailwind Traders.
Réfléchissez à votre stratégie de contrôle d’accès. Lorsque vous planifiez le nombre d’espaces de travail à utiliser dans l’organisation Tailwind Traders, tenez compte des exigences potentielles suivantes :
- Votre organisation est-elle une entreprise internationale ? Avez-vous besoin de stocker les données de journal dans des régions spécifiques pour des raisons de souveraineté ou de conformité des données ?
- Votre architecture utilise-t-elle Azure ? Souhaitez-vous éviter les frais liés au transfert de données sortantes en configurant un espace de travail dans la même région que les ressources Azure qu’il gère ?
- Le système prend-il en charge plusieurs services ou groupes d’entreprises ? Chaque groupe doit accéder à ses données, mais pas à celles des autres. De plus, votre entreprise n’a pas besoin d’une vue centralisée des services ou des groupes d’entreprises.
Réfléchissez aux options de modèles de déploiement. La plupart des entreprises d’informatique utilisent un modèle centralisé, décentralisé ou hybride pour leur architecture. Étudiez ces modèles courants de déploiement d’espace de travail pour voir lesquels sont les mieux adaptés à l’organisation Tailwind Traders :
Déploiement Description Centralisé Tous les journaux sont stockés dans un espace de travail central et administrés par une seule équipe. Azure Monitor fournit un accès différencié par équipe. Dans ce scénario, il est facile de réaliser des opérations de gestion, de recherche dans les ressources et de corrélation entre les journaux. L’espace de travail peut croître considérablement en fonction de la quantité de données qui est collectée à partir de plusieurs ressources de votre abonnement. Une surcharge administrative supplémentaire est nécessaire afin de maintenir le contrôle d’accès pour différents utilisateurs. Ce modèle est appelé Hub-and-spoke. Décentralisé Chaque équipe a son propre espace de travail créé dans un groupe de ressources qu’elle possède et gère. Les données de journalisation sont séparées par ressource. Dans ce scénario, l’espace de travail peut rester sécurisé et le contrôle d’accès est cohérent avec l’accès aux ressources. Toutefois, il est difficile d’effectuer des corrélations entre les journaux. Les utilisateurs qui ont besoin d’une vue étendue de nombreuses ressources ne peuvent pas analyser les données de manière utile. Hybride Une approche hybride peut être compliquée en raison des exigences de conformité de l’audit de sécurité. De nombreuses organisations implémentent les deux modèles de déploiement en parallèle. Cette conception hybride aboutit généralement à une configuration complexe, coûteuse et difficile à gérer, avec des lacunes dans la couverture des journaux. Réfléchissez au mode d’accès. Planifiez la façon dont vos utilisateurs peuvent accéder aux espaces de travail Journaux Azure Monitor et définissez l’étendue des données auxquelles ils peuvent accéder. Les utilisateurs de Tailwind Traders ont deux options pour accéder à leurs données :
Mode d’accès Description Contexte d’espace de travail Ils peuvent consulter tous les journaux de l’espace de travail auquel ils sont autorisés à accéder. L’étendue des requêtes englobe toutes les données de toutes les tables de l’espace de travail. Ils peuvent accéder aux journaux dans le cadre de l’espace de travail en sélectionnant Journaux dans le menu Azure Monitor sur le portail Azure. Contexte d’espace de ressource Les utilisateurs accèdent à l’espace de travail pour une ressource, un groupe de ressources ou un abonnement spécifique. En sélectionnant Journaux dans un menu de ressources sur le portail Azure, ils peuvent afficher uniquement les journaux des ressources qui se trouvent dans les tables auxquelles ils ont accès. Les requêtes sont étendues aux seules données associées à la ressource en question. Ce mode autorise également le contrôle d’accès en fonction du rôle Azure (Azure RBAC) granulaire. Réfléchissez à Azure RBAC et aux espaces de travail. Contrôlez les utilisateurs qui ont accès aux ressources en fonction de leur association à l’espace de travail. Vous pouvez accorder l’accès à l’équipe responsable des services d’infrastructure Tailwind Traders qui sont hébergés sur les machines virtuelles azure. Vous pouvez autoriser l’équipe à accéder uniquement aux journaux qui sont générés par les machines virtuelles. Cette approche suit le nouveau modèle de journal de contexte de ressource. Ce modèle est basé sur l’idée que chaque enregistrement de journal émis par une ressource Azure est automatiquement associé à cette ressource. Les journaux sont transférés vers un espace de travail central qui respecte la délimitation et Azure RBAC, en fonction des ressources.
Réfléchissez à l’échelle et au débit maximal du volume d’ingestion. Azure Monitor est un service de données à grande échelle servant des milliers de clients envoyant des pétaoctets de données chaque mois à un rythme croissant. Les espaces de travail ne sont pas limités dans leur espace de stockage, et peuvent croître jusqu’à plusieurs pétaoctets de données. Il n’est pas nécessaire de fractionner les espaces de travail en raison de leur échelle.
Recommandations
Lorsque vous réfléchissez aux options d’implémentation des espaces de travail Journaux Azure Monitor et du contrôle d’accès dans votre solution de monitoring et de journalisation, lisez ces recommandations. Ce scénario montre une conception recommandée pour un espace de travail unique situé dans l’abonnement de votre service informatique.
L’espace de travail n’est pas limité par la souveraineté des données ni par la conformité réglementaire. Il n’est pas nécessaire d’effectuer un mappage vers les régions où vos ressources sont déployées. Les équipes de sécurité et d’administration informatique de votre organisation peuvent tirer parti de l’intégration améliorée à la gestion des accès Azure ainsi que d’un contrôle d’accès plus sécurisé.
L’ensemble des ressources, des solutions de monitoring et des insights, comme Application Insights et les insights de machine virtuelle, sont configurés pour transférer leurs données de journal collectées vers l’espace de travail partagé centralisé du service informatique. Les données de journal provenant de l’infrastructure et des applications de prise en charge gérées par différentes équipes sont également envoyées vers l’espace de travail partagé centralisé.
Les utilisateurs de chaque équipe sont autorisés à accéder aux journaux des ressources auxquelles ils ont accès.
Une fois que vous avez déployé l’architecture de votre espace de travail, vous devez appliquer ce même modèle sur les ressources Azure avec Azure Policy. Vous pouvez définir des stratégies et garantir la conformité avec vos ressources Azure afin d’envoyer tous leurs journaux de ressources vers un espace de travail en particulier. Avec des machines virtuelles Azure ou des groupes de machines virtuelles identiques, vous pouvez utiliser des stratégies existantes qui évaluent la conformité des espaces de travail et les résultats des rapports, ou personnalisent en cas de non-conformité.