Log Analytics-munkaterület architektúrájának megtervezése

Egyetlen Log Analytics-munkaterület elegendő lehet az Azure Monitort és a Microsoft Sentinelt használó számos környezethez. Számos szervezet azonban több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb teljesítése érdekében. Ez a cikk egy feltételkészletet mutat be annak meghatározásához, hogy egyetlen vagy több munkaterületet használ-e. Emellett a munkaterületek konfigurálását és elhelyezését is ismerteti, hogy megfeleljenek a követelményeknek a költségek optimalizálása mellett.

Megjegyzés

Ez a cikk az Azure Monitort és a Microsoft Sentinelt ismerteti, mivel sok ügyfélnek mindkettőt figyelembe kell vennie a tervezés során. A legtöbb döntési feltétel mindkét szolgáltatásra vonatkozik. Ha csak az egyik szolgáltatást használja, figyelmen kívül hagyhatja a másikat a kiértékelés során.

Tervezési stratégia

A tervezésnek mindig egyetlen munkaterülettel kell kezdődnie, hogy csökkentse a több munkaterület kezelésének és az adatok lekérdezésének összetettségét. A munkaterületen lévő adatok mennyisége nem korlátoz teljesítménybeli korlátozásokat. Több szolgáltatás és adatforrás is küldhet adatokat ugyanarra a munkaterületre. A további munkaterületek létrehozásának feltételeinek meghatározásakor a tervnek a lehető legkevesebb olyan számot kell használnia, amely megfelel a követelményeknek.

A munkaterület-konfiguráció megtervezése több feltétel kiértékelését is magában foglalja. A feltételek némelyike azonban ütközhet. Előfordulhat például, hogy csökkenteni tudja a kimenő forgalom költségeit, ha külön munkaterületet hoz létre az egyes Azure-régiókban. Az egyetlen munkaterületre való összevonással még jobban csökkentheti a díjakat egy kötelezettségvállalási szinttel. Értékelje ki az egyes feltételeket egymástól függetlenül. Vegye figyelembe a követelményeket és a prioritásokat annak meghatározásához, hogy melyik kialakítás lesz a leghatékonyabb a környezet számára.

Tervezési feltételek

Az alábbi táblázat a munkaterület architektúrájának tervezésekor figyelembe veendő feltételeket mutatja be. Az alábbi szakaszok ismertetik a feltételeket.

Feltételek	Description
Működési és biztonsági adatok elkülönítése	Számos ügyfél külön munkaterületeket hoz létre az adatok tulajdonjoga és a Microsoft Sentinel többletköltsége érdekében a működési és biztonsági adataikhoz. Bizonyos esetekben költségmegtakarítást érhet el, ha egyetlen munkaterületre összesíti a kötelezettségvállalási szintre való jogosultságot.
Azure-bérlők	Ha több Azure-bérlővel rendelkezik, általában mindegyikben létre fog hozni egy munkaterületet. Több adatforrás csak ugyanabban az Azure-bérlőben lévő munkaterületre küldhet monitorozási adatokat.
Azure-régiók	Minden munkaterület egy adott Azure-régióban található. Előfordulhat, hogy szabályozási vagy megfelelőségi követelmények vonatkoznak az adatok adott helyeken való tárolására.
Az adatok tulajdonjoga	Dönthet úgy, hogy külön munkaterületeket hoz létre az adatok tulajdonjogának meghatározásához. Létrehozhat például munkaterületeket leányvállalatok vagy társvállalatok szerint.
Felosztott számlázás	Ha a munkaterületeket külön előfizetésekbe helyezi, azok különböző feleknek számlázhatók.
Adatmegőrzés és archiválás	A munkaterületek minden táblájának különböző adatmegőrzési beállításait állíthatja be. Külön munkaterületre van szükség, ha különböző adatmegőrzési beállításokat kell megadnia a különböző erőforrásokhoz, amelyek adatokat küldenek ugyanarra a táblára.
Kötelezettségvállalási szintek	A kötelezettségvállalási szintek lehetővé teszik a betöltési költségek csökkentését azáltal, hogy egy munkaterületen minimális napi adatokra véglegesíti a kötelezettséget.
Örökölt ügynökkorlátozások	A régi virtuálisgép-ügynökök korlátozásokkal rendelkeznek azoknak a munkaterületeknek a számára vonatkozóan, amelyekhez csatlakozhatnak.
Adatok hozzáférésének vezérlése	Konfigurálja a munkaterülethez való hozzáférést, valamint a különböző erőforrásokból származó különböző táblákhoz és adatokhoz való hozzáférést.

Működési és biztonsági adatok elkülönítése

Az Azure Monitort és a Microsoft Sentinelt egyaránt használó ügyfelek többsége külön munkaterületet hoz létre mindegyikhez, hogy elkülönítse az adatok tulajdonjogát az operatív és a biztonsági csapatok között. Ez a megközelítés a költségek optimalizálásában is segít. Ha a Microsoft Sentinel engedélyezve van egy munkaterületen, a munkaterületen lévő összes adatra a Microsoft Sentinel díjszabása vonatkozik, még akkor is, ha azOkat az Azure Monitor gyűjti.

A Microsoft Sentinelrel rendelkező munkaterületek 31 nap helyett három hónapig ingyenes adatmegőrzést kapnak. Ez a forgatókönyv általában magasabb költségeket eredményez a Microsoft Sentinel nélküli munkaterületek üzemeltetési adataihoz. Lásd: Az Azure Monitor-naplók díjszabásának részletei.

A kivétel az, ha az ugyanazon munkaterületen lévő adatok kombinálásával elér egy kötelezettségvállalási szintet, amely kedvezményt biztosít a betöltési díjakra. Vegyük például azt a szervezetet, amely napi 50 GB-ot betölt működési adatokkal és biztonsági adatokkal. Ha ugyanazon a munkaterületen egyesíti az adatokat, az napi 100 GB-os kötelezettségvállalási szintet tenne lehetővé. Ez a forgatókönyv 15%-os kedvezményt adna az Azure Monitorhoz, és 50%-os kedvezményt a Microsoft Sentinelhez.

Ha más feltételekhez külön munkaterületeket hoz létre, általában több munkaterületpárt hoz létre. Ha például két Azure-bérlővel rendelkezik, akkor négy munkaterületet hozhat létre, amelyek mindegyik bérlőben rendelkeznek műveleti és biztonsági munkaterülettel.

• Ha az Azure Monitort és a Microsoft Sentinelt is használja: Mindegyikhez hozzon létre egy külön munkaterületet. Fontolja meg a kettő kombinálását, ha segít elérni a kötelezettségvállalási szintet.
• Ha a Microsoft Sentinelt és a felhőhöz készült Microsoft Defender is használja: Fontolja meg ugyanazt a munkaterületet mindkét megoldáshoz, hogy a biztonsági adatok egy helyen legyenek tárolva.

Azure-bérlők

A legtöbb erőforrás csak ugyanabban az Azure-bérlőben lévő munkaterületre tud monitorozási adatokat küldeni. Az Azure Monitor-ügynököt vagy a Log Analytics-ügynököket használó virtuális gépek külön Azure-bérlők munkaterületeibe küldhetnek adatokat. Ezt a forgatókönyvet szolgáltatóként tekintheti.

• Ha egyetlen Azure-bérlővel rendelkezik: Hozzon létre egyetlen munkaterületet a bérlőhöz.
• Ha több Azure-bérlője van: Hozzon létre egy munkaterületet minden bérlőhöz. A szolgáltatókra vonatkozó stratégiákkal kapcsolatos egyéb lehetőségekért lásd: Több bérlői stratégia.

Azure-régiók

Minden Log Analytics-munkaterület egy adott Azure-régióban található. Előfordulhat, hogy szabályozási vagy megfelelőségi céljai vannak az adatok adott régióban való megőrzésére. Egy nemzetközi vállalat például minden nagyobb földrajzi régióban, például a Egyesült Államok és Európa területén talál munkaterületet.

• Ha az adatok egy adott földrajzi helyen való megőrzésére vonatkozó követelményekkel rendelkezik: Hozzon létre egy külön munkaterületet minden régióhoz ilyen követelményekkel.
• Ha nem rendelkezik az adatok adott földrajzi helyen való megőrzésére vonatkozó követelményekkel: Használjon egyetlen munkaterületet az összes régióhoz.

Vegye figyelembe az esetleges sávszélesség-díjakat is, amelyek akkor merülhetnek fel, ha egy másik régióban lévő erőforrásból küld adatokat egy munkaterületre. Ezek a díjak általában kisebbek a legtöbb ügyfél adatbetöltési költségeihez képest. Ezek a díjak általában abból erednek, hogy adatokat küldenek a munkaterületre egy virtuális gépről. A más Azure-erőforrásokból származó adatok diagnosztikai beállítások használatával történő monitorozása nem jár kimenő költségekkel.

Az Azure díjkalkulátorával megbecsülheti a költségeket, és meghatározhatja, hogy mely régiókra van szüksége. Fontolja meg a több régióban lévő munkaterületek használatát, ha a sávszélesség-díjak jelentősek.

• Ha a sávszélesség díjai elég jelentősek a további összetettség igazolásához: Hozzon létre egy külön munkaterületet minden régióhoz virtuális gépekkel.
• Ha a sávszélesség-díjak nem elég jelentősek a további összetettség igazolásához: Használjon egyetlen munkaterületet az összes régióhoz.

Az adatok tulajdonjoga

Előfordulhat, hogy az adatok elkülönítésére vagy a tulajdonjog alapján határok meghatározására van szükség. Előfordulhat például, hogy különböző leányvállalatai vagy kapcsolt vállalatai vannak, amelyek a monitorozási adataik elválasztását igénylik.

• Ha adatelk szegregációra van szükség: Minden adattulajdonoshoz használjon külön munkaterületet.
• Ha nem igényel adatelk szegregációt: Használjon egyetlen munkaterületet az összes adattulajdonos számára.

Felosztott számlázás

Előfordulhat, hogy fel kell osztania a számlázást a különböző felek között, vagy vissza kell fizetnie egy ügyfélnek vagy egy belső üzleti egységnek. Az Azure Cost Management + Billing használatával munkaterület szerint tekintheti meg a díjakat. Napló lekérdezéssel is megtekintheti a számlázható adatmennyiséget Azure-erőforrás, erőforráscsoport vagy előfizetés szerint. Ez a megközelítés elegendő lehet a számlázási követelményekhez.

• Ha nem kell felosztania a számlázást, vagy nem kell visszatérítenie a díjakat: Használjon egyetlen munkaterületet az összes költségtulajdonos számára.
• Ha fel kell osztania a számlázást, vagy vissza kell fizetnie a díjakat: Fontolja meg, hogy az Azure Cost Management + Számlázás vagy egy napló lekérdezés olyan költségjelentést nyújt-e, amely elég részletes a követelményekhez. Ha nem, minden költségtulajdonoshoz használjon külön munkaterületet.

Adatmegőrzés és archiválás

Konfigurálhatja a munkaterületek alapértelmezett adatmegőrzési és archív beállításait , vagy konfigurálhat különböző beállításokat az egyes táblákhoz. Előfordulhat, hogy különböző beállításokra van szükség egy adott tábla különböző adatkészleteihez. Ha igen, az adatokat különböző munkaterületekre kell szétválasztania, amelyek mindegyike egyedi adatmegőrzési beállításokkal van elosztva.

• Ha minden táblában ugyanazokat az adatmegőrzési és archiválási beállításokat használhatja: Használjon egyetlen munkaterületet az összes erőforráshoz.
• Ha eltérő adatmegőrzési és archiválási beállításokra van szüksége ugyanazon a táblában található különböző erőforrásokon: Használjon külön munkaterületet a különböző erőforrásokhoz.

Kötelezettségvállalási szintek

A kötelezettségvállalási szintek kedvezményt biztosítanak a munkaterület betöltési költségeire, ha meghatározott mennyiségű napi adatra véglegesíti a kötelezettséget. Dönthet úgy, hogy egyetlen munkaterületen összesíti az adatokat, hogy elérje az adott szint szintjét. Ez a több munkaterületre kiterjedő adatmennyiség csak akkor jogosult ugyanarra a szintre, ha dedikált fürttel rendelkezik.

Ha napi legalább 500 GB napi betöltésre képes, akkor egy dedikált fürtöt kell implementálnia, amely további funkciókat és teljesítményt nyújt. A dedikált fürtök lehetővé teszik a fürt több munkaterületének adatait is, hogy elérjék a kötelezettségvállalási szint szintjét.

• Ha naponta legalább 500 GB-ot fog betölteni az összes erőforrásra: Hozzon létre egy dedikált fürtöt, és állítsa be a megfelelő kötelezettségvállalási szintet.
• Ha naponta legalább 100 GB-ot fog betölteni az erőforrások között: A kötelezettségvállalási szint előnyeinek kihasználásához érdemes lehet egyetlen munkaterületbe egyesíteni őket.

Örökölt ügynökkorlátozások

A többletköltségek miatt ne küldjön ismétlődő adatokat több munkaterületre, de előfordulhat, hogy több munkaterülethez csatlakoznak virtuális gépek. A leggyakoribb forgatókönyv egy ügynök, amely különálló munkaterületekhez csatlakozik az Azure Monitorhoz és a Microsoft Sentinelhez.

Az Azure Monitor Agent és a WindowsHoz készült Log Analytics-ügynök több munkaterülethez is csatlakozhat. A Linuxhoz készült Log Analytics-ügynök csak egyetlen munkaterülethez tud csatlakozni.

• Ha a Log Analytics-ügynököt Linuxhoz használja: Migráljon az Azure Monitor-ügynökbe , vagy győződjön meg arról, hogy a Linux-gépek csak egyetlen munkaterülethez igényelnek hozzáférést.

Adatok hozzáférésének vezérlése

Amikor hozzáférést ad egy felhasználónak egy munkaterülethez, a felhasználónak hozzáférése van az adott munkaterület összes adatához. Ez a hozzáférés egy központi adminisztráció vagy biztonsági csapat egy tagjának megfelelő, akinek minden erőforráshoz hozzá kell férnie az adatokhoz. A munkaterülethez való hozzáférést az erőforrás-környezet szerepköralapú hozzáférés-vezérlése (RBAC) és a táblaszintű RBAC is meghatározza.

Erőforrás-környezet RBAC: Alapértelmezés szerint, ha egy felhasználó olvasási hozzáféréssel rendelkezik egy Azure-erőforráshoz, akkor az adott erőforrás munkaterületre küldött figyelési adataihoz örökli az engedélyeket. Ez a hozzáférési szint lehetővé teszi, hogy a felhasználók anélkül férhessenek hozzá az általuk kezelt erőforrásokra vonatkozó információkhoz, hogy explicit hozzáférést kapnának a munkaterülethez. Ha le kell tiltania ezt a hozzáférést, módosíthatja a hozzáférés-vezérlési módot , hogy explicit munkaterületi engedélyeket igényeljen.

• Ha azt szeretné, hogy a felhasználók hozzáférhessenek az erőforrásaik adataihoz: Tartsa meg az erőforrás- vagy munkaterület-engedélyek használata alapértelmezett hozzáférés-vezérlési módját.
• Ha explicit módon szeretne engedélyeket hozzárendelni az összes felhasználóhoz: Módosítsa a hozzáférés-vezérlési módot munkaterületi engedélyek megkövetelése beállításra.

Táblaszintű RBAC: A táblaszintű RBAC-vel hozzáférést adhat vagy megtagadhat a munkaterület adott tábláihoz. Ily módon a környezet adott helyzetéhez szükséges részletes engedélyeket valósíthat meg.

Előfordulhat például, hogy csak a Microsoft Sentinel által gyűjtött konkrét táblákhoz ad hozzáférést egy belső naplózási csapatnak. Vagy megtagadhatja a biztonsággal kapcsolatos táblákhoz való hozzáférést azoknak az erőforrás-tulajdonosoknak, akiknek az erőforrásaikhoz kapcsolódó üzemeltetési adatokra van szükségük.

• Ha nincs szüksége részletes hozzáférés-vezérlésre tábla szerint: Adjon hozzáférést a műveleti és biztonsági csapatnak az erőforrásaikhoz, és engedélyezze az erőforrás-tulajdonosok számára, hogy erőforrás-környezet RBAC-t használjanak az erőforrásaikhoz.
• Ha részletes hozzáférés-vezérlést igényel táblázat szerint: Adott táblákhoz való hozzáférés biztosítása vagy megtagadása táblaszintű RBAC használatával.

Több munkaterület kezelése

Számos terv több munkaterületet is tartalmaz, így az Azure Monitor és a Microsoft Sentinel olyan funkciókat is tartalmaz, amelyek segítenek az adatok munkaterületek közötti elemzésében. További információkért lásd:

• Napló lekérdezés létrehozása több munkaterületen és alkalmazáson keresztül az Azure Monitorban
• A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre

Több bérlői stratégia

A több Azure-bérlővel rendelkező környezetek, köztük a Microsoft-szolgáltatók (MSP-k), a független szoftverszállítók (ISV-k) és a nagyvállalatok gyakran olyan stratégiát igényelnek, amelyben a központi felügyeleti csapatnak hozzáférése van a más bérlőkben található munkaterületek felügyeletéhez. A bérlők mindegyike különálló ügyfeleket vagy különböző üzleti egységeket jelölhet.

Megjegyzés

A Felhőszolgáltató (CSP) program részét képező partnerek és szolgáltatók számára a Log Analytics az Azure Monitorban az Azure CSP-előfizetésekben elérhető Azure-szolgáltatások egyike.

Ennek a funkciónak két alapstratégiát a következő szakaszokban ismertetünk.

Elosztott architektúra

Elosztott architektúrában minden Azure-bérlőben létrejön egy Log Analytics-munkaterület. Ez az egyetlen lehetőség, amelyet akkor használhat, ha a virtuális gépeken kívül más Azure-szolgáltatásokat is figyel.

A szolgáltatói rendszergazdák kétféleképpen férhetnek hozzá az ügyfélbérlők munkaterületeihez:

• Az Azure Lighthouse használatával minden ügyfélbérlőhöz hozzáférhet. A szolgáltató rendszergazdái a szolgáltató bérlőjében található Azure Active Directory (Azure AD) felhasználói csoport részét képezik. Ez a csoport minden ügyfél számára hozzáférést kap az előkészítési folyamat során. A rendszergazdák ezután hozzáférhetnek az egyes ügyfelek munkaterületeihez a saját szolgáltatói bérlőjükből ahelyett, hogy egyenként kellene bejelentkezniük az egyes ügyfelek bérlőibe. További információ: Ügyfélerőforrások monitorozása nagy léptékben.
• Egyéni felhasználók hozzáadása a szolgáltatótól Azure AD vendégfelhasználóként (B2B). Az ügyfélbérlő rendszergazdái az egyes szolgáltatói rendszergazdák egyéni hozzáférését kezelik. A szolgáltató rendszergazdáinak be kell jelentkezniük a címtárba a Azure Portal minden bérlőjéhez, hogy elérhessék ezeket a munkaterületeket.

A stratégia előnyei:

• A naplók minden típusú erőforrásból gyűjthetők.
• Az ügyfél az Azure delegált erőforrás-kezelésével megerősítheti az engedélyek adott szintjeinek szintjét. Vagy az ügyfél kezelheti a naplókhoz való hozzáférést a saját Azure RBAC-jük használatával.
• Minden ügyfél különböző beállításokkal rendelkezhet a munkaterületéhez, például az adatmegőrzéshez és az adatkorláthoz.
• Az ügyfelek elkülönítése a szabályozás és a megfelelőség érdekében.
• Az egyes munkaterületek díjtétele az ügyfél előfizetésének számlájában szerepel.

A stratégia hátrányai:

• Az ügyfélbérlők adatainak központi vizualizációja és elemzése olyan eszközökkel, mint az Azure Monitor-munkafüzetek, lassabb élményt eredményezhetnek. Ez különösen akkor fordul fenn, ha több mint 50 munkaterületen elemez adatokat.
• Ha az ügyfelek nincsenek előkészítve az Azure-beli delegált erőforrás-kezeléshez, a szolgáltatói rendszergazdákat az ügyfélkönyvtárban kell kiépíteni. Ez a követelmény megnehezíti a szolgáltató számára, hogy egyszerre több ügyfélbérlőt kezeljen.

Központosított

Egyetlen munkaterület jön létre a szolgáltató előfizetésében. Ez a beállítás csak az ügyfél virtuális gépeiről gyűjthet adatokat. A virtuális gépekre telepített ügynökök úgy vannak konfigurálva, hogy a naplóikat erre a központi munkaterületre küldjék.

A stratégia előnyei:

• Sok ügyfelet könnyű kezelni.
• A szolgáltató teljes körű tulajdonosi jogokkal rendelkezik a naplók és a különböző összetevők, például a függvények és a mentett lekérdezések felett.
• A szolgáltató az összes ügyfele számára képes elemzéseket végezni.

A stratégia hátrányai:

• A naplók csak ügynökkel rendelkező virtuális gépekről gyűjthetők. Nem működik PaaS-, SaaS- vagy Azure Service Fabric-adatforrásokkal.
• Előfordulhat, hogy nehéz elkülöníteni az adatokat az ügyfelek között, mert az adataik egyetlen munkaterületet osztanak meg. A lekérdezésekhez a számítógép teljes tartománynevét vagy az Azure-előfizetés azonosítóját kell használniuk.
• Az összes ügyféltől származó összes adat ugyanabban a régióban lesz tárolva egyetlen számlával és ugyanazokkal a megőrzési és konfigurációs beállításokkal.

Hibrid

Hibrid modellben minden bérlőnek saját munkaterülete van. Egy mechanizmussal adatokat lehet lekérni egy központi helyre jelentéskészítés és elemzés céljából. Ezek az adatok tartalmazhatnak kis számú adattípust vagy a tevékenység összegzését, például napi statisztikákat.

A naplók központi helyen történő implementálásának két lehetősége van:

• Központi munkaterület: A szolgáltató létrehoz egy munkaterületet a bérlőjében, és egy olyan szkriptet használ, amely a Query API-t és a naplóbetöltési API-t használja a bérlői munkaterületek adatainak ebbe a központi helyre való eljuttatásához. Másik lehetőségként az Azure Logic Apps használatával másolhat adatokat a központi munkaterületre.
• Power BI: A bérlői munkaterületek a Log Analytics-munkaterület és a Power BI integrációjával exportálják az adatokat a Power BI-ba.

Következő lépések

• További információ az adathozzáférés munkaterületen történő tervezéséről és konfigurálásáról.
• Minta-munkaterület-architektúrák lekérése a Microsoft Sentinelhez.