Log Analytics ワークスペースの概要
Log Analytics ワークスペースは、Azure Monitor、および Microsoft Sentinel や Microsoft Defender for Cloud などの他の Azure サービスからのログ データ用の固有の環境です。 各ワークスペースには専用のデータ リポジトリと構成がありますが、複数のサービスのデータを結合できます。 この記事では、Log Analytics ワークスペースに関連する概念の概要と、各ワークスペースの詳細が記載された他のドキュメントへのリンクを提供します。
重要
Microsoft Sentinel のドキュメントで、"Microsoft Sentinel ワークスペース" という用語が使用されることがあります。 このワークスペースは、この記事で説明されている Log Analytics ワークスペースと同じですが、Microsoft Sentinel で使用できるようになっています。 ワークスペース内のすべてのデータは、「コスト」セクションで説明されている Microsoft Sentinel の価格設定に従います。
すべてのデータ収集のために 1 つのワークスペースを使用できます。 また、次のような要件に基づいて複数のワークスペースを作成することもできます。
- データの地理的な場所。
- データにアクセスできるユーザーを定義するアクセス権。
- 価格レベルやデータ保持などの構成設定。
新しいワークスペースを作成するには、「Azure portal で Log Analytics ワークスペースを作成する」を参照してください。 複数のワークスペースの作成に関する考慮事項については、「Log Analytics ワークスペース構成の設計」を参照してください。
データ構造
各ワークスペースには、複数のデータ行を含む別々の列に編成された複数のテーブルが含まれています。 各テーブルは、一意の列セットによって定義されます。 データ ソースによって提供されるデータ行では、これらの列を共有します。 ログ クエリでは、取得するデータの列を定義し、Azure Monitor のさまざまな機能やワークスペースを使用する他のサービスに出力を提供します。
警告
テーブル名は課金目的で使用されるため、機密情報を含めないようにします。
コスト
ワークスペースの作成または維持にかかる直接的なコストはありません。 そこに送信されたデータが課金の対象となります。これはデータの取り込みとも呼ばれます。 データが格納された期間も課金の対象となります。これはデータ保持とも呼ばれます。 これらのコストは、「ログ データ プラン」で説明されているように、各テーブルのログ データ プランによって異なる場合があります。
価格について詳しくは、「Azure Monitor の価格」を参照してください。 コストを削減する方法のガイダンスについては、「Azure Monitor のベスト プラクティス - コスト管理」を参照してください。 Log Analytics ワークスペースを Azure Monitor 以外のサービスで使用する場合、それらのサービスのドキュメントで価格情報を確認してください。
ワークスペース変換 DCR
Azure Monitor に取り込まれるデータを定義するデータ収集ルール (DCR) には、ワークスペースに取り込まれる前にデータをフィルター処理および変換できる変換を含めることができます。 すべてのデータ ソースがまだ DCR をサポートしているわけではないため、各ワークスペースはワークスペース変換 DCR を使用できます。
ワークスペース変換 DCR 内の変換は、ワークスペース内のテーブルごとに定義され、複数のソースから送信された場合でも、そのテーブルに送信されるすべてのデータに適用されます。 これらの変換は、DCR をまだ使用していないワークフローにのみ適用されます。 たとえば、Azure Monitor エージェントでは、DCR を使用して、仮想マシンから収集するデータが定義されます。 このデータは、ワークスペースで定義されている取り込み時の変換の対象にはなりません。
たとえば、さまざまな Azure リソースのリソース ログをワークスペースに送信する診断設定を使用する場合があります。 リソース ログを収集するテーブルの変換を作成して、必要なレコードだけになるようにこのデータをフィルター処理できます。 この方法により、不要なレコードの取り込みコストを節約できます。 また、より単純なクエリをサポートするために、特定の列から重要なデータを抽出し、それをワークスペース内の他の列に格納することもできます。
データ保持とアーカイブ
Log Analytics ワークスペース内の各テーブルのデータは、指定された期間保持され、その後は、削除されるか、より少ない保持料金でアーカイブされます。 データを使用可能にしておく要件と、データ保持コストの削減とのバランスが取れるようなリテンション期間を設定します。
アーカイブされたデータにアクセスするには、まず次のいずれかの方法を使用して、アーカイブから Analytics Logs テーブルにデータを取得する必要があります。
| 方法 | 説明 |
|---|---|
| 検索ジョブ | 特定の条件に一致するデータを取得します。 |
| 復元 | 特定の時間範囲からデータを取得します。 |
アクセス許可
Log Analytics ワークスペース内のデータにアクセスするためのアクセス許可は、各ワークスペースに設定されるアクセス制御モードによって定義されます。 組み込みまたはカスタムのロールを使用して、ワークスペースへの明示的なアクセス権をユーザーに付与できます。 また、Azure リソースについて収集されたデータへのアクセスを、それらのリソースへのアクセス権を持つユーザーに許可できます。
各種のアクセス許可オプションについて、およびアクセス許可の構成方法について詳しくは、「Azure Monitor でログ データとワークスペースへのアクセスを管理する」を参照してください。
次の手順
- 新しい Log Analytics ワークスペースを作成する。
- 複数のワークスペースを作成する場合の考慮事項については、「Log Analytics ワークスペース構成の設計」を参照してください。
- Log Analytics ワークスペースからデータを取得して分析するログ クエリについて学習する。