Bagikan melalui


Mendesain arsitektur ruang kerja Analitik Log

Satu ruang kerja Analitik Log mungkin cukup untuk banyak lingkungan yang menggunakan Azure Monitor dan Microsoft Sentinel. Tetapi banyak organisasi akan membuat beberapa ruang kerja untuk mengoptimalkan biaya dan memenuhi persyaratan bisnis yang berbeda dengan lebih baik. Artikel ini menyajikan serangkaian kriteria untuk menentukan apakah akan menggunakan satu ruang kerja atau beberapa ruang kerja. Ini juga membahas konfigurasi dan penempatan ruang kerja tersebut untuk memenuhi kebutuhan Anda sambil mengoptimalkan biaya Anda.

Catatan

Artikel ini membahas Azure Monitor dan Microsoft Sentinel karena banyak pelanggan perlu mempertimbangkan keduanya dalam desain mereka. Sebagian besar kriteria keputusan berlaku untuk kedua layanan. Jika Anda hanya menggunakan salah satu layanan ini, Anda dapat mengabaikan yang lain dalam evaluasi Anda.

Berikut adalah video tentang dasar-dasar Log Azure Monitor dan praktik terbaik dan pertimbangan desain untuk merancang penyebaran Log Azure Monitor Anda:

Strategi desain

Desain Anda harus selalu dimulai dengan satu ruang kerja untuk mengurangi kompleksitas pengelolaan beberapa ruang kerja dan dalam mengkueri data dari ruang kerja tersebut. Tidak ada batasan performa dari jumlah data di ruang kerja Anda. Beberapa layanan dan sumber data dapat mengirim data ke ruang kerja yang sama. Saat Anda mengidentifikasi kriteria untuk membuat lebih banyak ruang kerja, desain Anda harus menggunakan jumlah terkecil yang sesuai dengan kebutuhan Anda.

Merancang konfigurasi ruang kerja mencakup evaluasi beberapa kriteria. Tetapi beberapa kriteria mungkin bertentangan. Misalnya, Anda mungkin dapat mengurangi biaya keluar dengan membuat ruang kerja terpisah di setiap wilayah Azure. Mengonsolidasikan ke dalam satu ruang kerja mungkin memungkinkan Anda mengurangi biaya lebih banyak lagi dengan tingkat komitmen. Evaluasi masing-masing kriteria secara independen. Pertimbangkan kebutuhan dan prioritas Anda untuk menentukan desain mana yang paling efektif untuk lingkungan Anda.

Kriteria desain

Tabel berikut ini menyajikan kriteria yang perlu dipertimbangkan saat Anda mendesain arsitektur ruang kerja Anda. Bagian yang mengikuti menjelaskan kriteria.

Kriteria Deskripsi
Data operasional dan keamanan Anda dapat memilih untuk menggabungkan data operasional dari Azure Monitor di ruang kerja yang sama dengan data keamanan dari Microsoft Azure Sentinel atau memisahkan masing-masing ke ruang kerja mereka sendiri. Menggabungkannya memberi Anda visibilitas yang lebih baik di semua data Anda, sementara standar keamanan Anda mungkin perlu memisahkannya sehingga tim keamanan Anda memiliki ruang kerja khusus. Anda mungkin juga memiliki implikasi biaya pada setiap strategi.
Penyewa Azure Jika Anda memiliki beberapa penyewa Azure, Anda biasanya akan membuat ruang kerja di masing-masing penyewa. Beberapa sumber data hanya dapat mengirim data pemantauan ke ruang kerja di penyewa Azure yang sama.
Wilayah Azure Setiap ruang kerja berada di wilayah Azure tertentu. Anda mungkin memiliki persyaratan peraturan atau kepatuhan untuk menyimpan data di lokasi tertentu.
Kepemilikan data Anda dapat memilih untuk membuat ruang kerja terpisah untuk menentukan kepemilikan data. Misalnya, Anda dapat membuat ruang kerja oleh anak perusahaan atau perusahaan afiliasi.
Memisahkan penagihan Dengan menempatkan ruang kerja di langganan terpisah, mereka dapat ditagih ke pihak yang berbeda.
Retensi dan arsip data Anda dapat mengatur pengaturan retensi yang berbeda untuk setiap ruang kerja dan setiap tabel di ruang kerja. Anda memerlukan ruang kerja terpisah jika Anda memerlukan pengaturan retensi yang berbeda untuk sumber daya berbeda yang mengirim data ke tabel yang sama.
Tingkat komitmen Tingkat komitmen memungkinkan Anda mengurangi biaya penyerapan dengan berkomitmen pada jumlah minimum data harian dalam satu ruang kerja.
Batasan agen warisan Agen mesin virtual warisan memiliki batasan jumlah ruang kerja tempat untuk tersambung.
Kontrol akses data Konfigurasikan akses ke ruang kerja dan ke tabel dan data yang berbeda dari sumber daya yang berbeda.
Ketahanan Untuk memastikan bahwa data di ruang kerja Anda tersedia jika terjadi kegagalan wilayah, Anda dapat menyerap data ke beberapa ruang kerja di berbagai wilayah.

Data operasional dan keamanan

Keputusan apakah akan menggabungkan data operasional Anda dari Azure Monitor di ruang kerja yang sama dengan data keamanan dari Microsoft Azure Sentinel atau memisahkan masing-masing ke ruang kerja mereka sendiri tergantung pada persyaratan keamanan Anda dan implikasi biaya potensial untuk lingkungan Anda.

Ruang kerja khusus Membuat ruang kerja khusus untuk Azure Monitor dan Microsoft Sentinel akan memungkinkan Anda memisahkan kepemilikan data antara tim operasional dan keamanan. Pendekatan ini juga dapat membantu mengoptimalkan biaya karena ketika Microsoft Azure Sentinel diaktifkan di ruang kerja, semua data di ruang kerja tersebut tunduk pada harga Microsoft Azure Sentinel meskipun data operasional yang dikumpulkan oleh Azure Monitor.

Ruang kerja dengan Microsoft Azure Sentinel mendapatkan retensi data gratis selama tiga bulan, bukan 31 hari. Skenario ini biasanya menghasilkan biaya yang lebih tinggi untuk data operasional di ruang kerja tanpa Microsoft Azure Sentinel. Lihat Detail harga Log Azure Monitor.

Ruang kerja gabungan Menggabungkan data Anda dari Azure Monitor dan Microsoft Sentinel di ruang kerja yang sama memberi Anda visibilitas yang lebih baik di semua data yang memungkinkan Anda menggabungkan kueri dan buku kerja dengan mudah. Jika akses ke data keamanan harus dibatasi untuk tim tertentu, Anda dapat menggunakan RBAC tingkat tabel untuk memblokir pengguna tertentu dari tabel dengan data keamanan atau membatasi pengguna untuk mengakses ruang kerja menggunakan konteks sumber daya.

Konfigurasi ini dapat mengakibatkan penghematan biaya jika membantu Anda mencapai tingkat komitmen, yang memberikan diskon untuk biaya penyerapan Anda. Misalnya, pertimbangkan organisasi yang memiliki data operasional dan data keamanan yang masing-masing menyerap sekitar 50 GB per hari. Menggabungkan data di ruang kerja yang sama akan memungkinkan tingkat komitmen pada 100 GB per hari. Skenario tersebut akan memberikan diskon 15% untuk Azure Monitor dan diskon 50% untuk Microsoft Sentinel.

Jika Anda membuat ruang kerja terpisah untuk kriteria lain, Anda biasanya akan membuat lebih banyak pasangan ruang kerja. Misalnya, jika Anda memiliki dua penyewa Azure, Anda mungkin membuat empat ruang kerja dengan ruang kerja operasional dan keamanan di setiap penyewa.

  • Jika Anda menggunakan Azure Monitor dan Microsoft Sentinel: Pertimbangkan untuk memisahkan masing-masing di ruang kerja khusus jika diperlukan oleh tim keamanan Anda atau jika menghasilkan penghematan biaya. Pertimbangkan untuk menggabungkan keduanya untuk visibilitas data pemantauan gabungan yang lebih baik atau jika membantu Anda mencapai tingkat komitmen.
  • Jika Anda menggunakan Microsoft Azure Sentinel dan Microsoft Defender untuk Cloud: Pertimbangkan untuk menggunakan ruang kerja yang sama untuk kedua solusi guna menyimpan data keamanan di satu tempat.

Penyewa Azure

Sebagian besar sumber daya hanya dapat mengirim data pemantauan ke ruang kerja di penyewa Azure yang sama. Komputer virtual yang menggunakan Agen Azure Monitor atau agen Analitik Log dapat mengirim data ke ruang kerja di penyewa Azure terpisah. Anda mungkin mempertimbangkan skenario ini sebagai penyedia layanan.

  • Jika Anda memiliki satu penyewa Azure: Buat satu ruang kerja untuk penyewa tersebut.
  • Jika Anda memiliki beberapa penyewa Azure: Buat ruang kerja untuk setiap penyewa. Untuk opsi lain termasuk strategi untuk penyedia layanan, lihat Beberapa strategi penyewa.

Wilayah Azure

Setiap ruang kerja Analitik Log berada di wilayah Azure tertentu. Anda mungkin memiliki tujuan peraturan atau kepatuhan untuk menyimpan data di wilayah tertentu. Misalnya, perusahaan internasional mungkin menemukan ruang kerja di setiap wilayah geografis utama, seperti Amerika Serikat dan Eropa.

  • Jika Anda memiliki persyaratan untuk menyimpan data dalam geografi tertentu: Buat ruang kerja terpisah untuk setiap wilayah dengan persyaratan tersebut.
  • Jika Anda tidak memiliki persyaratan untuk menyimpan data dalam geografi tertentu: Gunakan satu ruang kerja untuk semua wilayah.

Pertimbangkan juga potensi biaya bandwidth yang mungkin berlaku saat Anda mengirim data ke ruang kerja dari sumber daya di wilayah lain. Biaya ini biasanya kecil relatif terhadap biaya penyerapan data untuk sebagian besar pelanggan. Biaya ini biasanya disebabkan oleh pengiriman data ke ruang kerja dari komputer virtual. Memantau data dari sumber daya Azure lainnya dengan menggunakan pengaturan diagnostik tidak dikenakan biaya keluar.

Gunakan kalkulator harga Azure untuk memperkirakan biaya dan menentukan wilayah mana yang Anda butuhkan. Pertimbangkan ruang kerja di beberapa wilayah jika biaya bandwidth signifikan.

  • Jika biaya bandwidth cukup signifikan untuk membenarkan kompleksitas ekstra: Buat ruang kerja terpisah untuk setiap wilayah dengan komputer virtual.
  • Jika biaya bandwidth tidak cukup signifikan untuk membenarkan kompleksitas ekstra: Gunakan satu ruang kerja untuk semua wilayah.

Kepemilikan data

Anda mungkin memiliki persyaratan untuk memisahkan data atau menentukan batas berdasarkan kepemilikan. Misalnya, Anda mungkin memiliki anak perusahaan atau perusahaan afiliasi yang berbeda yang memerlukan delineasi data pemantauan mereka.

  • Jika Anda memerlukan pemisahan data: Gunakan ruang kerja terpisah untuk setiap pemilik data.
  • Jika Anda tidak memerlukan pemisahan data: Gunakan satu ruang kerja untuk semua pemilik data.

Memisahkan tagihan

Anda mungkin perlu membagi penagihan antara pihak yang berbeda atau melakukan penagihan kembali ke pelanggan atau unit bisnis internal. Anda dapat menggunakan Azure Cost Management + Billing untuk melihat biaya berdasarkan ruang kerja. Anda juga bisa menggunakan kueri log untuk melihat volume data yang dapat ditagih berdasarkan sumber daya Azure, grup sumber daya, atau langganan. Pendekatan ini mungkin cukup untuk persyaratan penagihan Anda.

  • Jika Anda tidak perlu membagi tagihan atau melakukan penagihan kembali: Gunakan satu ruang kerja untuk semua pemilik biaya.
  • Jika Anda perlu membagi tagihan atau melakukan penagihan balik: Pertimbangkan apakah Azure Cost Management + Billing atau kueri log menyediakan pelaporan biaya yang cukup terperinci untuk kebutuhan Anda. Jika tidak, gunakan ruang kerja terpisah untuk setiap pemilik biaya.

Retensi data dan arsip

Anda dapat mengonfigurasi pengaturan retensi dan arsip data default untuk ruang kerja atau mengonfigurasi pengaturan yang berbeda untuk setiap tabel. Anda mungkin memerlukan pengaturan yang berbeda untuk kumpulan data yang berbeda dalam tabel tertentu. Jika demikian, Anda perlu memisahkan data tersebut ke dalam ruang kerja yang berbeda, masing-masing dengan pengaturan retensi unik.

  • Jika Anda dapat menggunakan pengaturan retensi dan arsip yang sama untuk semua data di setiap tabel: Gunakan satu ruang kerja untuk semua sumber daya.
  • Jika Anda memerlukan pengaturan retensi dan arsip yang berbeda untuk sumber daya yang berbeda dalam tabel yang sama: Gunakan ruang kerja terpisah untuk sumber daya yang berbeda.

Tingkat komitmen

Tingkat komitmen memberikan diskon untuk biaya penyerapan ruang kerja Anda saat Anda berkomitmen pada sejumlah data harian tertentu. Anda dapat memilih untuk mengonsolidasikan data dalam satu ruang kerja untuk mencapai tingkat tingkat tertentu. Volume data yang sama yang tersebar di beberapa ruang kerja ini tidak akan memenuhi syarat untuk tingkat yang sama, kecuali Anda memiliki kluster khusus.

Jika Anda dapat berkomitmen untuk konsumsi harian setidaknya 100 GB per hari, Anda harus menerapkan kluster khusus yang menyediakan fungsionalitas dan performa tambahan. Kluster khusus juga memungkinkan Anda menggabungkan data dari beberapa ruang kerja di kluster untuk mencapai tingkat komitmen.

  • Jika Anda akan menyerap setidaknya 100 GB per hari di semua sumber daya: Buat kluster khusus dan atur tingkat komitmen yang sesuai.
  • Jika Anda akan menyerap setidaknya 100 GB per hari di seluruh sumber daya: Pertimbangkan untuk menggabungkannya ke dalam satu ruang kerja untuk memanfaatkan tingkat komitmen.

Batasan agen warisan

Anda harus menghindari pengiriman data duplikat ke beberapa ruang kerja karena biaya tambahan, tetapi Anda mungkin memiliki komputer virtual yang terhubung ke beberapa ruang kerja. Skenario yang paling umum adalah agen yang tersambung ke ruang kerja terpisah untuk Azure Monitor dan Microsoft Sentinel.

Agen Azure Monitor dan agen Analitik Log untuk Windows dapat tersambung ke beberapa ruang kerja. Agen Analitik Log untuk Linux hanya dapat terhubung ke satu ruang kerja.

  • Jika Anda menggunakan agen Analitik Log untuk Linux: Bermigrasi ke Agen Azure Monitor atau memastikan bahwa komputer Linux Anda hanya memerlukan akses ke satu ruang kerja.

Kontrol akses data

Saat Anda memberikan akses pengguna ke ruang kerja, pengguna memiliki akses ke semua data di ruang kerja tersebut. Akses ini sesuai untuk anggota administrasi pusat atau tim keamanan yang harus mengakses data untuk semua sumber daya. Akses ke ruang kerja juga ditentukan oleh kontrol akses berbasis peran konteks sumber daya (RBAC) dan RBAC tingkat tabel.

RBAC konteks sumber daya: Secara default, jika pengguna memiliki akses baca ke sumber daya Azure, mereka mewarisi izin ke salah satu data pemantauan sumber daya yang dikirim ke ruang kerja. Tingkat akses ini memungkinkan pengguna untuk mengakses informasi tentang sumber daya yang mereka kelola tanpa diberikan akses eksplisit ke ruang kerja. Jika perlu memblokir akses ini, Anda dapat mengubah mode kontrol akses untuk memerlukan izin ruang kerja eksplisit.

  • Jika Anda ingin pengguna dapat mengakses data untuk sumber daya mereka: Pertahankan mode kontrol akses default Gunakan izin sumber daya atau ruang kerja.
  • Jika Anda ingin secara eksplisit menetapkan izin untuk semua pengguna: Ubah mode kontrol akses ke Memerlukan izin ruang kerja.

RBAC tingkat tabel: Dengan RBAC tingkat tabel, Anda dapat memberikan atau menolak akses ke tabel tertentu di ruang kerja. Dengan cara ini, Anda dapat menerapkan izin terperinci yang diperlukan untuk situasi tertentu di lingkungan Anda.

Misalnya, Anda mungkin memberikan akses hanya ke tabel tertentu yang dikumpulkan oleh Microsoft Sentinel ke tim audit internal. Atau Anda mungkin menolak akses ke tabel terkait keamanan kepada pemilik sumber daya yang memerlukan data operasional yang terkait dengan sumber daya mereka.

  • Jika Anda tidak memerlukan kontrol akses terperinci menurut tabel: Berikan akses tim operasi dan keamanan ke sumber daya mereka dan izinkan pemilik sumber daya menggunakan RBAC konteks sumber daya untuk sumber daya mereka.
  • Jika Anda memerlukan kontrol akses terperinci menurut tabel: Berikan atau tolak akses ke tabel tertentu dengan menggunakan RBAC tingkat tabel.

Ketahanan

Untuk memastikan bahwa data penting di ruang kerja Anda tersedia jika terjadi kegagalan wilayah, Anda dapat menyerap beberapa atau semua data Anda ke beberapa ruang kerja di berbagai wilayah.

Opsi ini memerlukan pengelolaan integrasi dengan layanan dan produk lain secara terpisah untuk setiap ruang kerja. Meskipun data akan tersedia di ruang kerja alternatif jika terjadi kegagalan, sumber daya yang mengandalkan data, seperti pemberitahuan dan buku kerja, tidak akan tahu untuk beralih ke ruang kerja alternatif. Pertimbangkan untuk menyimpan templat ARM untuk sumber daya penting dengan konfigurasi untuk ruang kerja alternatif di Azure DevOps, atau sebagai kebijakan yang dinonaktifkan yang dapat dengan cepat diaktifkan dalam skenario failover.

Bekerja dengan beberapa ruang kerja

Banyak desain akan mencakup beberapa ruang kerja, sehingga Azure Monitor dan Microsoft Sentinel menyertakan fitur untuk membantu Anda menganalisis data ini di seluruh ruang kerja. Untuk informasi selengkapnya, lihat:

Beberapa strategi penyewa

Lingkungan dengan beberapa penyewa Azure, termasuk penyedia layanan Microsoft (MSP), vendor perangkat lunak independen (ISV), dan perusahaan besar, sering kali memerlukan strategi di mana tim administrasi pusat memiliki akses ke mengelola ruang kerja yang terletak di penyewa lain. Setiap penyewa mungkin mewakili pelanggan terpisah atau unit bisnis yang berbeda.

Catatan

Untuk mitra dan penyedia layanan yang merupakan bagian dari program Cloud Solution Provider (CSP), Analitik Log di Azure Monitor adalah salah satu layanan Azure yang tersedia dalam langganan Azure CSP.

Dua strategi dasar untuk fungsionalitas ini dijelaskan di bagian berikut.

Arsitektur terdistribusi

Dalam arsitektur terdistribusi, ruang kerja Analitik Log dibuat di setiap penyewa Azure. Opsi ini adalah satu-satunya yang dapat Anda gunakan jika Anda memantau layanan Azure selain komputer virtual.

Ada dua opsi untuk memungkinkan administrator penyedia layanan mengakses ruang kerja di penyewa pelanggan:

  • Gunakan Azure Lighthouse untuk mengakses setiap penyewa pelanggan. Administrator penyedia layanan disertakan dalam grup pengguna Microsoft Entra di penyewa penyedia layanan. Grup ini diberikan akses selama proses onboarding untuk setiap pelanggan. Administrator kemudian dapat mengakses ruang kerja setiap pelanggan dari dalam penyewa penyedia layanan mereka sendiri alih-alih harus masuk ke penyewa setiap pelanggan satu per satu. Untuk mengetahui informasi selengkapnya, lihat Memantau sumber daya pelanggan dalam skala besar.
  • Tambahkan pengguna individual dari penyedia layanan sebagai pengguna tamu Microsoft Entra (B2B). Administrator penyewa pelanggan mengelola akses individual untuk setiap administrator penyedia layanan. Administrator penyedia layanan harus masuk ke direktori untuk setiap penyewa di portal Azure untuk mengakses ruang kerja ini.

Keuntungan dari strategi ini:

  • Log dapat dikumpulkan dari semua jenis sumber daya.
  • Pelanggan dapat mengonfirmasi tingkat izin tertentu dengan manajemen sumber daya yang didelegasikan Azure. Atau pelanggan dapat mengelola akses ke log dengan menggunakan Azure RBAC mereka sendiri.
  • Setiap pelanggan dapat memiliki pengaturan yang berbeda untuk ruang kerja mereka, seperti retensi dan batas data.
  • Isolasi antara pelanggan untuk peraturan dan kepatuhan.
  • Biaya untuk setiap ruang kerja disertakan dalam tagihan untuk langganan pelanggan.

Kerugian dari strategi ini:

  • Memvisualisasikan dan menganalisis data secara terpusat di seluruh penyewa pelanggan dengan alat seperti buku kerja Azure Monitor dapat menghasilkan pengalaman yang lebih lambat. Ini adalah kasus terutama ketika menganalisis data di lebih dari 50 ruang kerja.
  • Jika pelanggan tidak onboarding untuk manajemen sumber daya yang didelegasikan Azure, administrator penyedia layanan harus disediakan di direktori pelanggan. Persyaratan ini menyulitkan penyedia layanan untuk mengelola banyak penyewa pelanggan sekaligus.

Terpusat

Satu ruang kerja dibuat dalam langganan penyedia layanan. Opsi ini hanya dapat mengumpulkan data dari mesin virtual pelanggan. Agen yang diinstal pada mesin virtual dikonfigurasi untuk mengirim log ke ruang kerja pusat ini.

Keuntungan dari strategi ini:

  • Sangat mudah untuk mengelola banyak pelanggan.
  • Penyedia layanan memiliki kepemilikan penuh atas log dan berbagai artefak, seperti fungsi dan kueri yang disimpan.
  • Penyedia layanan dapat melakukan analitik di semua pelanggannya.

Kerugian dari strategi ini:

  • Log hanya dapat dikumpulkan dari mesin virtual dengan agen. Ini tidak akan berfungsi dengan sumber data PaaS, SaaS, atau Azure Service Fabric.
  • Mungkin sulit untuk memisahkan data antara pelanggan karena data mereka berbagi satu ruang kerja. Kueri perlu menggunakan nama domain komputer yang sepenuhnya memenuhi syarat atau ID langganan Azure.
  • Semua data dari semua pelanggan akan disimpan di wilayah yang sama dengan satu tagihan dan pengaturan retensi dan konfigurasi yang sama.

Hibrid

Dalam model hibrid, setiap penyewa memiliki ruang kerjanya sendiri. Mekanisme digunakan untuk menarik data ke lokasi pusat untuk pelaporan dan analitik. Data ini dapat mencakup sejumlah kecil jenis data atau ringkasan aktivitas, seperti statistik harian.

Ada dua opsi untuk mengimplementasikan log di lokasi pusat:

  • Ruang kerja pusat: Penyedia layanan membuat ruang kerja di penyewanya dan menggunakan skrip yang menggunakan API Kueri dengan API penyerapan log untuk membawa data dari ruang kerja penyewa ke lokasi pusat ini. Opsi lain adalah menggunakan Azure Logic Apps untuk menyalin data ke ruang kerja pusat.
  • Power BI: Ruang kerja penyewa mengekspor data ke Power BI dengan menggunakan integrasi antara ruang kerja Analitik Log dan Power BI.

Langkah berikutnya