Progettare per le aree di lavoro Log di Monitoraggio di Azure (Log Analytics)

  • 6 minuti

Monitoraggio di Azure archivia i dati di log in un'area di lavoro Log di Monitoraggio di Azure (Log Analytics). Un'area di lavoro è una risorsa di Azure che funge da limite amministrativo o posizione geografica per l'archiviazione dei dati. L'area di lavoro è anche un contenitore in cui vengono raccolti e aggregati i dati.

Sebbene sia possibile distribuire una o più aree di lavoro nella sottoscrizione di Azure, è necessario tenere presenti diverse considerazioni per assicurarsi che la distribuzione iniziale segua le linee guida Microsoft. L'area di lavoro deve fornire una distribuzione conveniente, gestibile e scalabile che soddisfi le esigenze dell'organizzazione.

Informazioni utili sulle aree di lavoro Log di Monitoraggio di Azure

Esaminare queste caratteristiche delle aree di lavoro Log di Monitoraggio di Azure e valutarne il contributo potenziale per la soluzione di monitoraggio per Tailwind Traders.

  • In un'area di lavoro è possibile isolare i dati concedendo diritti di accesso utente diversi seguendo le strategie di progettazione consigliate da Microsoft.

  • I dati in un'area di lavoro Log di Monitoraggio di Azure sono organizzati in tabelle. Ogni tabella archivia diversi tipi di dati e ha un proprio set univoco di proprietà in base alla risorsa che genera i dati. La maggior parte delle origini dati scrive nelle proprie tabelle in un'area di lavoro Log di Monitoraggio di Azure.

  • Un'area di lavoro consente di configurare impostazioni come piano tariffario, conservazione e limitazione dei dati in base ai limiti amministrativi o alle posizioni geografiche.

  • Con il controllo degli accessi in base al ruolo di Azure, è possibile concedere a utenti e gruppi solo il livello di accesso necessario per usare i dati di monitoraggio in un'area di lavoro. È possibile allineare il controllo di accesso degli utenti al modello operativo dell'organizzazione IT usando un'unica area di lavoro per archiviare i dati raccolti per tutte le risorse.

  • Le aree di lavoro sono ospitate in cluster fisici. Per impostazione predefinita, il sistema crea e gestisce questi cluster. Se nel sistema vengono inseriti più di 500 GB di dati al giorno, si creano cluster dedicati personalizzati per le aree di lavoro in modo da supportare un maggiore controllo e una maggiore frequenza di inserimento.

Aspetti da considerare per l'uso di aree di lavoro Log di Monitoraggio di Azure

È ora possibile esaminare alcune considerazioni per la progettazione con le aree di lavoro Log di Monitoraggio di Azure nell'architettura di Tailwind Traders.

  • Prendere in considerazione la strategia di controllo di accesso. Durante la pianificazione del numero di aree di lavoro da usare nell'organizzazione Tailwind Traders, prendere in considerazione questi potenziali requisiti:

    • L'organizzazione è un'azienda globale? È necessario che i dati di log siano archiviati in aree specifiche per motivi di sovranità o conformità?
    • L'architettura usa Azure? Si vogliono evitare costi di trasferimento dei dati in uscita tramite un'area di lavoro nella stessa area delle risorse di Azure da essa gestite?
    • Il sistema supporta più reparti o gruppi aziendali? Ogni gruppo deve accedere ai propri dati e non a quelli degli altri. Inoltre, non esiste alcun requisito aziendale per una visualizzazione consolidata tra reparti o gruppi aziendali.

  • Considerare le opzioni per il modello di distribuzione. La maggior parte delle organizzazioni IT usa un modello centralizzato, decentralizzato o ibrido per l'architettura. Considerare questi modelli comuni di distribuzione dell'area di lavoro e come possono funzionare per l'organizzazione Tailwind Traders:

    Distribuzione Descrizione
    Centralizzato Tutti i log vengono archiviati in un'area di lavoro centrale e amministrati da un singolo team. Monitoraggio di Azure offre l'accesso differenziato in base al team. In questo scenario è facile gestire, eseguire ricerche tra risorse e creare una correlazione incrociata dei log. L'area di lavoro può aumentare significativamente a seconda della quantità di dati raccolti da più risorse nella sottoscrizione. È richiesto un sovraccarico amministrativo aggiuntivo per gestire il controllo di accesso per utenti diversi. Questo modello è noto come hub-spoke.
    Decentralizzato Ogni team ha una propria area di lavoro creata in un gruppo di risorse di proprietà e gestito dal team. I dati di log sono suddivisi per risorsa. In questo scenario è possibile preservare la sicurezza dell'area di lavoro e il controllo di accesso è coerente con l'accesso alle risorse. Uno svantaggio di questo modulo è che la correlazione incrociata dei log può risultare difficile. Gli utenti che hanno bisogno di una visione ampia su molte risorse non possono analizzare i dati in modo significativo.
    Ibrido Un approccio ibrido può essere complicato dai requisiti di conformità dei controlli di sicurezza. Molte organizzazioni implementano entrambi i modelli di distribuzione in parallelo. Il risultato della progettazione ibrida è in genere una configurazione complessa, costosa e difficile da gestire, con lacune in termini di copertura dei log.

  • Considerare la modalità di accesso. Pianificare il modo in cui gli utenti possono accedere alle aree di lavoro Log di Monitoraggio di Azure e definire l'ambito dei dati a cui possono accedere. Gli utenti di Tailwind Traders hanno a disposizione due opzioni per accedere ai propri dati:

    Modalità di accesso Descrizione
    Contesto dell'area di lavoro Un utente può esaminare tutti i log nell'area di lavoro per cui ha l'autorizzazione. L'ambito delle query include tutti i dati di tutte le tabelle dell'area di lavoro. L'ambito di accesso ai log è l'area di lavoro selezionando Log dal menu Monitoraggio di Azure nel portale di Azure.
    Contesto delle risorse Un utente accede all'area di lavoro per una risorsa, un gruppo di risorse o una sottoscrizione specifici. Selezionando Log da un menu delle risorse nel portale di Azure è possibile visualizzare i log solo per le risorse in tutte le tabelle a cui ha accesso. L'ambito delle query è limitato ai dati associati alla risorsa specifica. Questa modalità consente anche un controllo degli accessi in base al ruolo di Azure granulare.

  • Considerare il controllo degli accessi in base al ruolo di Azure e le aree di lavoro. Controllare quali utenti hanno accesso a quali risorse in base alle rispettive associazioni di aree di lavoro. È possibile concedere l'accesso al team responsabile dei servizi di infrastruttura di Tailwind Traders ospitati in Macchine virtuali di Azure. È possibile concedere al team l'accesso solo ai log generati da Macchine virtuali. Questo approccio segue il nuovo modello di log nel contesto delle risorse. La base di questo modello è che ogni record di log generato da una risorsa di Azure viene automaticamente associato a questa risorsa. I log vengono inoltrati a un'area di lavoro centrale che rispetta l'ambito e il controllo degli accessi in base al ruolo di Azure a seconda delle risorse.

  • Considerare scalabilità e limite di velocità del volume di inserimento. Monitoraggio di Azure è un servizio dati su larga scala usato da migliaia di clienti che inviano diversi terabyte di dati ogni mese a un ritmo crescente. Le aree di lavoro non prevedono limiti per lo spazio di archiviazione e le dimensioni possono aumentare fino a diversi petabyte di dati. Non è necessario suddividere le aree di lavoro a causa delle dimensioni.

Consigli

Quando si considerano le opzioni per implementare aree di lavoro Log di Monitoraggio di Azure e il controllo di accesso nella soluzione di monitoraggio e registrazione, esaminare queste raccomandazioni. Questo scenario mostra una progettazione consigliata per una singola area di lavoro nella sottoscrizione dell'organizzazione IT.

Diagram that shows how to design an Azure Monitor Logs deployment.

L'area di lavoro non è vincolata dalla sovranità dei dati o dalla conformità alle normative. Non è necessario eseguire il mapping alle aree in cui vengono distribuite le risorse. I team di sicurezza e di amministrazione IT dell'organizzazione possono sfruttare l'integrazione migliorata con la gestione degli accessi di Azure e un controllo di accesso più sicuro.

Tutte le risorse, le soluzioni di monitoraggio e le informazioni dettagliate, come Application Insights e le informazioni dettagliate delle macchine virtuali, sono configurate per inoltrare i dati di log raccolti all'area di lavoro condivisa centralizzata dell'organizzazione IT. Anche i dati di log dall'infrastruttura di supporto e dalle app gestite da team diversi vengono inviati all'area di lavoro condivisa centralizzata.

Agli utenti di ogni team viene concesso l'accesso ai log per le risorse per cui sono autorizzati ad accedere.

Dopo aver distribuito l'architettura dell'area di lavoro, è possibile applicare lo stesso modello alle risorse di Azure con Criteri di Azure. È possibile definire criteri e garantire la conformità alle risorse di Azure, in modo che inviino tutti i log delle risorse a una determinata area di lavoro. Con Macchine virtuali di Azure o set di scalabilità di macchine virtuali di Azure è possibile usare criteri esistenti che valutano la conformità dell'area di lavoro e i risultati dei report o applicare personalizzazioni di correzione in caso di non conformità.