Ringkasan ruang kerja Log Analytics

Ruang kerja Analitik Log adalah lingkungan unik untuk data log dari Azure Monitor dan layanan Azure lainnya seperti Microsoft Sentinel dan Microsoft Defender untuk Cloud. Setiap ruang kerja memiliki repositori dan konfigurasi datanya sendiri tetapi dapat menggabungkan data dari beberapa layanan. Artikel ini memberikan gambaran umum tentang konsep yang terkait dengan ruang kerja Log Analytics dan menyediakan tautan ke dokumentasi lain untuk detail lebih lanjut tentang setiap konsep.

Penting

Anda mungkin melihat istilah ruang kerja Microsoft Sentinel yang digunakan dalam dokumentasi Microsoft Sentinel. Ruang kerja ini adalah ruang kerja Analitik Log yang sama yang dijelaskan dalam artikel ini tetapi diaktifkan untuk Microsoft Sentinel. Semua data di ruang kerja dikenakan harga Microsoft Azure Sentinel seperti yang dijelaskan di bagian Biaya.

Anda dapat menggunakan ruang kerja tunggal untuk semua pengumpulan data Anda. Anda juga dapat membuat beberapa ruang kerja berdasarkan persyaratan seperti:

  • Lokasi geografis data.
  • Hak akses yang menentukan pengguna mana yang dapat mengakses data.
  • Pengaturan konfigurasi seperti tingkat harga dan retensi data.

Untuk membuat ruang kerja baru, lihat Membuat ruang kerja Log Analytics di portal Microsoft Azure. Sebagai pertimbangan saat membuat beberapa ruang kerja, baca Mendesain konfigurasi ruang kerja Analitik Log.

Struktur data

Setiap ruang kerja berisi beberapa tabel yang disusun menjadi kolom terpisah dengan beberapa baris data. Setiap tabel didefinisikan oleh set kolom yang unik. Baris data yang disediakan oleh sumber data berbagi kolom tersebut. Kueri log menentukan kolom data untuk mengambil dan menyediakan output ke berbagai fitur Azure Monitor dan layanan lain yang menggunakan ruang kerja.

Diagram yang memperlihatkan struktur Azure Monitor Logs.

Peringatan

Nama tabel digunakan dengan tujuan terkait tagihan sehingga tidak boleh berisi informasi sensitif.

Biaya

Tidak ada biaya langsung untuk membuat atau memelihara ruang kerja. Anda dikenakan biaya atas data yang dikirim ke data tersebut, yang juga dikenal sebagai penyerapan data. Anda dikenakan biaya atas berapa lama data tersebut disimpan, yang dikenal sebagai retensi data. Biaya ini mungkin bervariasi berdasarkan paket data log setiap tabel, seperti yang dijelaskan dalam Paket data log.

Untuk informasi harga, lihat Harga Azure Monitor. Untuk panduan tentang cara mengurangi biaya Anda, lihat Praktik terbaik Azure Monitor - Manajemen biaya. Jika Anda menggunakan ruang kerja Analitik Log dengan layanan selain Azure Monitor, lihat dokumentasi untuk layanan tersebut untuk informasi harga.

Transformasi ruang kerja DCR

Aturan pengumpulan data (DCR) yang menentukan data yang masuk ke Azure Monitor dapat mencakup transformasi yang memungkinkan Anda memfilter dan mengubah data sebelum dicerna ke ruang kerja. Karena semua sumber data belum mendukung DCR, setiap ruang kerja dapat memiliki DCR transformasi ruang kerja.

Transformasi dalam DCR transformasi ruang kerja ditentukan untuk setiap tabel di ruang kerja dan berlaku untuk semua data yang dikirim ke tabel tersebut, meskipun dikirim dari beberapa sumber. Transformasi ini hanya berlaku untuk alur kerja yang belum menggunakan DCR. Misalnya, agen Azure Monitor menggunakan DCR untuk menentukan data yang dikumpulkan dari mesin virtual. Data ini tidak akan dikenakan transformasi waktu penyerapan yang ditentukan di ruang kerja.

Misalnya, Anda mungkin memiliki pengaturan diagnostik yang mengirim log sumber daya untuk sumber daya Azure yang berbeda ke ruang kerja Anda. Anda dapat membuat transformasi untuk tabel yang mengumpulkan log sumber daya yang memfilter data ini hanya untuk catatan yang Anda inginkan. Metode ini menghemat biaya penyerapan untuk catatan yang tidak Anda butuhkan. Anda mungkin juga ingin mengekstrak data penting dari kolom tertentu dan menyimpannya di kolom lain di ruang kerja untuk mendukung kueri yang lebih sederhana.

Retensi data dan arsip

Data di setiap tabel di ruang kerja Log Analytics disimpan untuk jangka waktu tertentu setelah dihapus atau diarsipkan dengan biaya retensi yang dikurangi. Atur waktu retensi untuk menyeimbangkan kebutuhan Anda agar data tersedia dengan mengurangi biaya untuk retensi data.

Untuk mengakses data yang diarsipkan, Anda harus terlebih dahulu mengambil data dari arsip dalam tabel Analitik Log menggunakan salah satu metode berikut:

Metode Deskripsi
Pekerjaan pencarian Ambil data yang cocok dengan kriteria tertentu.
Memulihkan Ambil data dari rentang waktu tertentu.

Diagram yang menampilkan ringkasan arsip dan paket data.

Izin

Izin untuk data di ruang kerja Analitik Log ditentukan oleh mode kontrol akses, yang menjadi pengaturan pada setiap ruang kerja. Anda dapat memberi pengguna akses eksplisit ke ruang kerja dengan menggunakan peran bawaan atau kustom. Atau, Anda dapat mengizinkan akses ke data yang dikumpulkan untuk sumber daya Azure kepada pengguna yang memiliki akses ke sumber daya tersebut.

Lihat Mengelola akses ke data log dan ruang kerja di Azure Monitor untuk informasi tentang opsi izin yang berbeda dan tentang cara mengonfigurasi izin.

Langkah berikutnya