Рекомендации по журналам Azure Monitor
В этой статье приведены рекомендации по архитектуре журналов Azure Monitor. Руководство основано на пяти основных принципах архитектуры, описанных в Azure Well-Architected Framework.
Надежность
Надежность относится к способности системы восстановиться после сбоев и продолжать функционировать. Цель заключается в том, чтобы свести к минимуму последствия одного сбоя компонента. Используйте следующие сведения, чтобы свести к минимуму сбой рабочих областей Log Analytics и защитить собранные данные.
Рабочие области Log Analytics обеспечивают высокую степень надежности. Конвейер приема, который отправляет собранные данные в рабочую область Log Analytics, проверяет, успешно ли рабочая область Log Analytics обрабатывает каждую запись журнала перед удалением записи из канала. Если конвейер приема недоступен, агенты, отправляющие буфер данных и повторяющие отправку журналов в течение многих часов.
Функции журналов Azure Monitor, повышающие устойчивость
Журналы Azure Monitor предлагают несколько функций, которые повышают устойчивость рабочих областей к различным типам проблем. Эти функции можно использовать по отдельности или в сочетании в зависимости от ваших потребностей.
В этом видео представлен обзор параметров надежности и устойчивости, доступных для рабочих областей Log Analytics:
Защита в регионе с помощью зон доступности
Каждый регион Azure, поддерживающий зоны доступности, имеет набор центров обработки данных, оснащенных независимой мощностью, охлаждением и сетевой инфраструктурой.
Зоны доступности журналов Azure Monitor являются избыточными, что означает, что корпорация Майкрософт распространяет запросы на обслуживание и реплицирует данные в разных зонах в поддерживаемых регионах. Если инцидент влияет на одну зону, корпорация Майкрософт использует другую зону доступности в регионе автоматически. Вам не нужно предпринимать никаких действий, так как переключение между зонами является простым.
В большинстве регионов зоны доступности журналов Azure Monitor поддерживают устойчивость данных, что означает, что сохраненные данные защищены от потери данных, связанных с зональными сбоями, но операции службы могут по-прежнему влиять на региональные инциденты. Если службе не удается выполнить запросы, вы не сможете просматривать журналы, пока проблема не будет устранена.
Подмножество зон доступности, поддерживающих устойчивость данных, также поддерживает устойчивость службы, что означает, что операции службы журналов Azure Monitor ( например, прием журналов, запросы и оповещения) могут продолжаться в случае сбоя зоны.
Зоны доступности защищаются от инцидентов, связанных с инфраструктурой, таких как сбои хранилища. Они не защищаются от проблем на уровне приложения, таких как неисправные развертывания кода или сбои сертификатов, которые влияют на весь регион.
Резервное копирование данных из определенных таблиц с помощью непрерывного экспорта
Вы можете непрерывно экспортировать данные, отправленные в определенные таблицы в рабочей области Log Analytics, в учетные записи хранения Azure.
Учетная запись хранения, в который экспортируются данные, должна находиться в том же регионе, что и рабочая область Log Analytics. Чтобы защитить и получить доступ к журналам приема, даже если регион рабочей области отключен, используйте геоизбыточная учетная запись хранения, как описано в рекомендациях по настройке.
Механизм экспорта не обеспечивает защиту от инцидентов, влияющих на конвейер приема или сам процесс экспорта.
Примечание.
Доступ к данным в учетной записи хранения можно получить из журналов Azure Monitor с помощью оператора externaldata. Однако экспортированные данные хранятся в пятиминутных больших двоичных объектах и анализ данных, охватывающих несколько больших двоичных объектов, может быть громоздким. Таким образом, экспорт данных в учетную запись хранения является хорошим механизмом резервного копирования данных, но наличие резервных копий данных в учетной записи хранения не идеально подходит, если требуется для анализа в журналах Azure Monitor. Вы можете запрашивать большие объемы данных BLOB-объектов с помощью Azure Data Explorer, Фабрика данных Azure или любого другого средства доступа к хранилищу.
Защита данных между регионами и устойчивость служб с помощью репликации рабочей области (предварительная версия)
Репликация рабочей области (предварительная версия) — это наиболее обширное решение для обеспечения устойчивости, так как оно реплицирует рабочую область Log Analytics и входящие журналы в другой регион.
Репликация рабочей области защищает журналы и операции службы, а также позволяет продолжать мониторинг систем в случае инцидентов инфраструктуры или приложений, связанных с регионами.
В отличие от зон доступности, которыми корпорация Майкрософт управляет сквозной средой, необходимо отслеживать работоспособность основной рабочей области и решать, когда переключиться на рабочую область в дополнительном регионе и обратно.
Контрольный список проектирования
- Чтобы обеспечить устойчивость служб и данных к инцидентам на уровне региона, включите репликацию рабочей области.
- Чтобы обеспечить защиту от сбоя центра обработки данных в регионе, создайте рабочую область в регионе, поддерживающем зоны доступности.
- Для межрегиональное резервное копирование данных в определенных таблицах используйте функцию непрерывного экспорта для отправки данных в геореплицированную учетную запись хранения.
- Отслеживайте работоспособность рабочих областей Log Analytics.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Чтобы обеспечить максимальную степень устойчивости, включите репликацию рабочей области. | Устойчивость между регионами для операций с данными рабочей области и службами. Репликация рабочей области (предварительная версия) обеспечивает высокий уровень доступности, создавая дополнительный экземпляр рабочей области в другом регионе и выполняя прием журналов в обоих рабочих областях. При необходимости переключитесь на вторичную рабочую область, пока не будут устранены проблемы, влияющие на основную рабочую область. Вы можете продолжать прием журналов, запрашивать данные, использовать панели мониторинга, оповещения и Sentinel в дополнительной рабочей области. Кроме того, перед переключением региона у вас есть доступ к журналам. Это платная функция, поэтому следует ли реплицировать все входящие журналы или только некоторые потоки данных. |
| По возможности создайте рабочую область в регионе, поддерживающем устойчивость службы Azure Monitor. | Устойчивость данных рабочей области и операций служб в регионе в случае проблем с центром обработки данных. Зоны доступности, поддерживающие устойчивость служб, также поддерживают устойчивость данных. Это означает, что даже если весь центр обработки данных становится недоступным, избыточность между зонами позволяет службам Azure Monitor выполнять такие операции, как прием и запросы, продолжать работать, и ваши приемные журналы будут оставаться доступными. Зоны доступности обеспечивают защиту в регионе, но не защищают от проблем, влияющих на весь регион. Сведения о том, какие регионы поддерживают устойчивость данных, см. в статье "Повышение устойчивости данных и служб" в журналах Azure Monitor с помощью зон доступности. |
| Создайте рабочую область в регионе, поддерживающем устойчивость данных. | Защита от потери журналов в рабочей области в случае проблем с центром обработки данных. Создание рабочей области в регионе, поддерживающем устойчивость данных, означает, что даже если весь центр обработки данных становится недоступным, ваши приемные журналы безопасны. Если службе не удается выполнить запросы, вы не сможете просматривать журналы, пока проблема не будет устранена. Сведения о том, какие регионы поддерживают устойчивость данных, см. в статье "Повышение устойчивости данных и служб" в журналах Azure Monitor с помощью зон доступности. |
| Настройте экспорт данных из определенных таблиц в учетную запись хранения, реплицируемую в разных регионах. | Сохраняйте резервную копию данных журнала в другом регионе. Функция экспорта данных Azure Monitor позволяет непрерывно экспортировать данные, отправленные в определенные таблицы в хранилище Azure, где его можно хранить в течение длительного периода. Используйте геоизбыточное хранилище (GRS) или геоизбыточное хранилище (GZRS), чтобы обеспечить безопасность данных даже в том случае, если весь регион становится недоступным. Чтобы сделать данные доступными для чтения из других регионов, настройте учетную запись хранения для доступа на чтение к дополнительному региону. Дополнительные сведения см. в разделе служба хранилища Azure избыточности в дополнительном регионе и служба хранилища Azure доступ на чтение к данным в дополнительном регионе. Для таблиц, которые не поддерживают непрерывный экспорт данных, можно использовать другие методы экспорта данных, включая Logic Apps, для защиты данных. Это в основном решение для обеспечения соответствия требованиям к хранению данных, так как данные могут быть трудно анализировать и восстанавливать в рабочей области. Экспорт данных подвержен региональным инцидентам, так как он зависит от стабильности конвейера приема Azure Monitor в вашем регионе. Это не обеспечивает устойчивость к инцидентам, влияющим на региональный конвейер приема. |
| Отслеживайте работоспособность рабочих областей Log Analytics. | Используйте аналитику рабочей области Log Analytics, чтобы отслеживать неудачные запросы и создавать оповещение о состоянии работоспособности, чтобы заранее уведомить вас о недоступности рабочей области из-за сбоя центра обработки данных или регионального сбоя. |
Сравнение функций устойчивости журналов Azure Monitor
| Функция | Устойчивость службы | Резервное копирование данных | Высокая доступность | Область защиты | Настройка | Себестоимость |
|---|---|---|---|---|---|---|
| Репликация рабочей области | ✅ | ✅ | ✅ | Защита между регионами от инцидентов на уровне региона | Включите репликацию рабочих областей и связанных правил сбора данных. Переключение между регионами по мере необходимости. | На основе количества реплицированных ГБ и региона. |
| Зоны доступности | ✅ В поддерживаемых регионах |
✅ | ✅ | Защита от проблем центра обработки данных в регионе | Автоматическое включение в поддерживаемых регионах. | Бесплатны. |
| Экспорт непрерывных данных | ✅ | Защита от потери данных из-за регионального сбоя 1 | Включите каждую таблицу. | Стоимость экспорта данных и больших двоичных объектов хранилища или Центров событий |
1 Экспорт данных обеспечивает защиту между регионами при экспорте журналов в геореплицированную учетную запись хранения. В случае инцидента ранее экспортированные данные резервируются и легко доступны; однако дальнейший экспорт может завершиться ошибкой в зависимости от характера инцидента.
Безопасность
Безопасность является одним из наиболее важных аспектов любой архитектуры. Azure Monitor предоставляет функции, которые используют как принцип минимальной привилегии, так и глубокой защиты. Используйте следующие сведения, чтобы повысить безопасность рабочих областей Log Analytics и обеспечить доступ только авторизованных пользователей к собранным данным.
Контрольный список проектирования
- Определите, следует ли объединять операционные данные и данные безопасности в одной рабочей области Log Analytics.
- Настройте доступ к различным типам данных в рабочей области, необходимой для разных ролей в организации.
- Рассмотрите возможность использования приватного канала Azure для удаления доступа к рабочей области из общедоступных сетей.
- Используйте управляемые клиентом ключи, если требуется собственный ключ шифрования для защиты данных и сохраненных запросов в рабочих областях.
- Экспортируйте данные аудита для долгосрочного хранения или неизменяемости.
- Настройте аудит запросов журнала для отслеживания того, какие пользователи выполняют запросы.
- Определите стратегию фильтрации или маскировки конфиденциальных данных в рабочей области.
- Очистка конфиденциальных данных, случайно собранных.
- Включите блокировку клиента для Microsoft Azure, чтобы утвердить или отклонить запросы на доступ к данным Майкрософт.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Определите, следует ли объединять операционные данные и данные безопасности в одной рабочей области Log Analytics. | Ваше решение о том, следует ли объединить эти данные, зависит от конкретных требований к безопасности. Объединение их в одной рабочей области обеспечивает более высокую видимость во всех данных, хотя для вашей команды безопасности может потребоваться выделенная рабочая область. См . статью "Разработка стратегии рабочей области Log Analytics", чтобы получить подробные сведения о принятии этого решения для балансировки среды с помощью критериев в других основных аспектах. Компромисс. Возможные последствия для включения Sentinel в рабочей области. Дополнительные сведения см. в статье "Проектирование архитектуры рабочей области Log Analytics". |
| Настройте доступ к различным типам данных в рабочей области, необходимой для разных ролей в организации. | Задайте режим управления доступом для рабочей области, чтобы использовать разрешения ресурса или рабочей области, чтобы позволить владельцам ресурсов использовать контекст ресурсов для доступа к их данным без предоставления явного доступа к рабочей области. Это упрощает настройку рабочей области и помогает гарантировать, что пользователи не смогут получать доступ к данным, которые они не должны. Назначьте соответствующую встроенную роль , чтобы предоставить администраторам разрешения рабочей области на уровне подписки, группы ресурсов или рабочей области в зависимости от их области обязанностей. Используйте RBAC уровня таблицы для пользователей, которым требуется доступ к набору таблиц в нескольких ресурсах. Пользователи с разрешениями на таблицу имеют доступ ко всем данным в таблице независимо от их разрешений ресурса. Сведения о различных вариантах предоставления доступа к данным в рабочей области Log Analytics см. в статье "Управление доступом к рабочим областям Log Analytics". |
| Рассмотрите возможность использования приватного канала Azure для удаления доступа к рабочей области из общедоступных сетей. | Подключения к общедоступным конечным точкам защищены с помощью сквозного шифрования. Если требуется частная конечная точка, можно использовать приватный канал Azure, чтобы разрешить ресурсам подключаться к рабочей области Log Analytics через авторизованные частные сети. Приватный канал также можно использовать для принудительного приема данных рабочей области через ExpressRoute или VPN. Ознакомьтесь с Приватный канал Azure настройкой Приватный канал Azure, чтобы определить оптимальную топологию сети и DNS для вашей среды. |
| Используйте управляемые клиентом ключи, если требуется собственный ключ шифрования для защиты данных и сохраненных запросов в рабочих областях. | Azure Monitor обеспечивает шифрование всех неактивных данных и сохраненных запросов с помощью управляемых Майкрософт ключей (MMK). Если требуется собственный ключ шифрования и сбор достаточно данных для выделенного кластера, используйте управляемый клиентом ключ для повышения гибкости и управления жизненным циклом ключей. Если вы используете Microsoft Sentinel, убедитесь, что вы знакомы с рекомендациями по настройке управляемого клиентом ключа Microsoft Sentinel. |
| Экспортируйте данные аудита для долгосрочного хранения или неизменяемости. | Возможно, вы собрали данные аудита в рабочей области, которые применяются к нормативным требованиям, требующим долгосрочного хранения. Данные в рабочей области Log Analytics не могут быть изменены, но их можно очистить. Используйте экспорт данных для отправки данных в учетную запись хранения Azure с политиками неизменяемости для защиты от изменения данных. Не каждый тип журналов имеет одинаковую релевантность для соответствия, аудита или безопасности, поэтому определите конкретные типы данных, которые следует экспортировать. |
| Настройте аудит запросов журнала для отслеживания того, какие пользователи выполняют запросы. | Аудит запросов журнала записывает сведения о каждом запросе, выполняемом в рабочей области. Эти данные аудита обрабатываются как данные безопасности и защищают таблицу LAQueryLogs соответствующим образом. Настройте журналы аудита для каждой рабочей области, отправляемой в локальную рабочую область, или консолидируйте в выделенной рабочей области безопасности, если вы отделяете данные операционной и безопасности. Используйте аналитику рабочей области Log Analytics для периодической проверки этих данных и рекомендуется создавать правила генерации оповещений поиска журналов, чтобы заранее уведомить вас о попытке несанкционированных пользователей выполнять запросы. |
| Определите стратегию фильтрации или маскировки конфиденциальных данных в рабочей области. | Возможно, вы собираете данные, которые включают конфиденциальную информацию. Фильтрация записей, которые не должны собираться с помощью конфигурации для конкретного источника данных. Используйте преобразование, если следует удалить или запутать только определенные столбцы в данных. Если у вас есть стандарты, требующие, чтобы исходные данные были не изменены, можно использовать литерал H в запросах KQL для маскировки результатов запросов, отображаемых в книгах. |
| Очистка конфиденциальных данных, случайно собранных. | Периодически проверяйте частные данные, которые, возможно, были случайно собраны в рабочей области и используют очистку данных для его удаления. |
| Включите блокировку клиента для Microsoft Azure, чтобы утвердить или отклонить запросы на доступ к данным Майкрософт. | Блокировка клиента для Microsoft Azure предоставляет интерфейс для проверки и утверждения или отклонения запросов на доступ к данным клиента. Оно используется в тех случаях, когда инженеру Майкрософт необходимо получить доступ к данным клиента, для обработки инициированного клиентом запроса в службу поддержки или для решения проблемы, выявленной корпорацией Майкрософт. Чтобы включить блокировку клиента, вам потребуется выделенный кластер. В настоящее время блокировка не может применяться к таблицам с вспомогательным планом. |
Оптимизация затрат
Оптимизация затрат — это способы сокращения ненужных расходов и повышения эффективности работы. Вы можете значительно сократить затраты на Azure Monitor, понимая различные параметры конфигурации и возможности для уменьшения объема собираемых данных. Ознакомьтесь с затратами и использованием Azure Monitor, чтобы понять различные способы оплаты Azure Monitor и как просмотреть ежемесячный счет.
Примечание.
Ознакомьтесь с рекомендациями по оптимизации затрат в Azure Monitor для всех функций Azure Monitor.
Контрольный список проектирования
- Определите, следует ли объединять операционные данные и данные безопасности в одной рабочей области Log Analytics.
- Настройте ценовую категорию для объема данных, собираемых каждой рабочей областью Log Analytics.
- Настройте хранение и архивацию данных.
- Настройте таблицы, используемые для отладки, устранения неполадок и аудита в качестве базовых журналов.
- Ограничение сбора данных из источников данных для рабочей области.
- Регулярно анализируйте собранные данные для выявления тенденций и аномалий.
- Создайте оповещение, когда сбор данных высок.
- Рассмотрите ежедневное ограничение в качестве профилактической меры, чтобы убедиться, что вы не превышаете определенный бюджет.
- Настройте оповещения в рекомендациях по затратам Помощника Azure для рабочих областей Log Analytics.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Определите, следует ли объединять операционные данные и данные безопасности в одной рабочей области Log Analytics. | Так как все данные в рабочей области Log Analytics применяются к ценам Microsoft Sentinel при включении Sentinel, могут возникнуть затраты на объединение этих данных. См . статью "Разработка стратегии рабочей области Log Analytics", чтобы получить подробные сведения о принятии этого решения для балансировки среды с помощью критериев в других основных аспектах. |
| Настройте ценовую категорию для объема данных, собираемых каждой рабочей областью Log Analytics. | По умолчанию рабочие области Log Analytics будут использовать цены по мере использования без минимального объема данных. Если вы собираете достаточно данных, вы можете значительно уменьшить затраты с помощью уровня обязательств, что позволяет зафиксировать ежедневный минимум данных, собранных в обмен на более низкую ставку. Если вы собираете достаточно данных в разных рабочих областях в одном регионе, вы можете связать их с выделенным кластером и объединить собранный объем с использованием цен на кластер. Сведения о уровнях обязательств и рекомендациях по определению наиболее подходящего уровня использования см . в расчетах затрат и вариантах использования журналов Azure Monitor. См. статью Данные об использовании и предполагаемые расходы для получения сведений о предполагаемых расходах на использование в разных ценовых категориях. |
| Настройте интерактивное и долгосрочное хранение данных. | Плата за хранение данных в рабочей области Log Analytics превышает 31 дней (90 дней, если Sentinel включен в рабочей области и 90 дней для данных Application Insights). Учитывайте конкретные требования к доступности данных для запросов журналов. Вы можете значительно сократить затраты, настроив долгосрочное хранение, что позволяет хранить данные до двенадцати лет и по-прежнему получать доступ к нему иногда с помощью заданий поиска или восстановления набора данных в рабочей области. |
| Настройте таблицы, используемые для отладки, устранения неполадок и аудита в качестве базовых журналов. | Таблицы в рабочей области Log Analytics, настроенной для базовых журналов , имеют более низкую стоимость приема в обмен на ограниченные функции и плату за запросы журналов. Если вы запрашиваете эти таблицы редко и не используете их для оповещения, стоимость этого запроса может быть больше, чем смещение по сниженной стоимости приема. |
| Ограничение сбора данных из источников данных для рабочей области. | Основным фактором стоимости Azure Monitor является объем данных, собираемых в рабочей области Log Analytics, поэтому необходимо убедиться, что вы не собираете больше данных, необходимых для оценки работоспособности и производительности служб и приложений. Дополнительные сведения об принятии этого решения для балансировки среды с помощью критериев в других компонентах см. в статье "Разработка архитектуры рабочей области Log Analytics". Компромисс. Может быть компромисс между затратами и требованиями к мониторингу. Например, вы можете быстро обнаружить проблему производительности с высокой скоростью выборки, но может потребоваться более низкая скорость выборки для экономии затрат. Большинство сред имеют несколько источников данных с различными типами сбора, поэтому необходимо сбалансировать определенные требования с целевыми показателями затрат для каждого из них. Сведения о настройке сбора для различных источников данных см. в статье "Оптимизация затрат" в Azure Monitor . |
| Регулярно анализируйте собранные данные для выявления тенденций и аномалий. | Используйте аналитические сведения о рабочей области Log Analytics, чтобы периодически просматривать объем данных, собранных в рабочей области. Помимо понимания объема данных, собранных различными источниками, он будет определять аномалии и тенденции повышения в сборе данных, которые могут привести к превышению затрат. Дальнейший анализ сбора данных с помощью методов анализа использования в рабочей области Log Analytics позволяет определить, есть ли дополнительная конфигурация, которая может уменьшить использование. Это особенно важно при добавлении нового набора источников данных, например, нового набора виртуальных машин или подключения новой службы. |
| Создайте оповещение, когда сбор данных высок. | Чтобы избежать непредвиденных счетов, вы должны быть заранее уведомлены в любое время, когда вы испытываете чрезмерное использование. Уведомление позволит устранить любые потенциальные аномалии до окончания периода выставления счетов. |
| Рассмотрите ежедневное ограничение в качестве профилактической меры, чтобы убедиться, что вы не превышаете определенный бюджет. | Ежедневное ограничение отключает сбор данных в рабочей области Log Analytics в течение остального дня после достижения настроенного значения ограничения. Это не следует использовать в качестве метода для снижения затрат, как описано в разделе "Когда использовать ежедневное ограничение". Если вы устанавливаете ежедневное ограничение, помимо создания оповещения при достижении ограничения, убедитесь, что вы также создадите правило генерации оповещений, чтобы получать уведомления о достижении определенного процента (например, 90 %. Это дает возможность исследовать и устранять причину увеличения данных, прежде чем ограничение отключает сбор данных. |
| Настройте оповещения в рекомендациях по затратам Помощника Azure для рабочих областей Log Analytics. | Рекомендации помощника по Azure для рабочих областей Log Analytics заранее предупреждают вас, когда есть возможность оптимизировать затраты. Создание оповещений Помощника по Azure для этих рекомендаций по затратам:
|
Эффективность работы
Операционное превосходство относится к процессам операций, необходимым для обеспечения надежной работы службы в рабочей среде. Используйте следующие сведения, чтобы свести к минимуму операционные требования для поддержки рабочих областей Log Analytics.
Контрольный список проектирования
- Разработка архитектуры рабочей области с минимальным количеством рабочих областей в соответствии с вашими бизнес-требованиями.
- Используйте инфраструктуру как код (IaC) при управлении несколькими рабочими областями.
- Используйте аналитику рабочей области Log Analytics для отслеживания работоспособности и производительности рабочих областей Log Analytics.
- Создайте правила генерации оповещений для упреждающего уведомления о операционных проблемах в рабочей области.
- Убедитесь, что у вас есть четко определенный рабочий процесс для разделения данных.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Разработайте стратегию рабочей области для удовлетворения бизнес-требований. | См . руководство по проектированию архитектуры рабочей области Log Analytics для рабочих областей Log Analytics, включая количество создаваемых и мест их размещения. Одно или по крайней мере минимальное количество рабочих областей обеспечит максимальную эффективность работы, так как она ограничивает распределение данных о работе и безопасности, повышая видимость потенциальных проблем, что упрощает определение шаблонов и минимизирует требования к обслуживанию. У вас могут быть требования для нескольких рабочих областей, таких как несколько клиентов, или может потребоваться рабочие области в нескольких регионах для поддержки требований к доступности. В этих случаях убедитесь, что у вас есть соответствующие процессы для управления этой повышенной сложностью. |
| Используйте инфраструктуру как код (IaC) при управлении несколькими рабочими областями. | Используйте инфраструктуру как код (IaC), чтобы определить сведения о рабочих областях в ARM, BICEP или Terraform. Это позволяет использовать существующие процессы DevOps для развертывания новых рабочих областей и Политика Azure для применения их конфигурации. |
| Используйте аналитику рабочей области Log Analytics для отслеживания работоспособности и производительности рабочих областей Log Analytics. | Аналитика рабочей области Log Analytics предоставляет единое представление об использовании, производительности, работоспособности, агентах, запросах и журналах изменений для всех рабочих областей. Просмотрите эти сведения регулярно, чтобы отслеживать работоспособность и работу каждой рабочей области. |
| Создайте правила генерации оповещений для упреждающего уведомления о операционных проблемах в рабочей области. | Каждая рабочая область содержит таблицу операций, которая регистрирует важные действия, влияющие на рабочую область. Создайте правила генерации оповещений на основе этой таблицы, чтобы заранее получать уведомления при возникновении операционной проблемы. Чтобы упростить создание наиболее критически важных правил генерации оповещений, можно использовать рекомендуемые оповещения для рабочей области . |
| Убедитесь, что у вас есть четко определенный рабочий процесс для разделения данных. | У вас могут быть разные требования к различным типам данных, хранящимся в рабочей области. Убедитесь, что вы четко понимаете такие требования, как хранение данных и безопасность при разработке стратегии рабочей области и настройке параметров, таких как разрешения и долгосрочное хранение. Вы также должны иметь четко определенный процесс для иногда очистки данных с персональными данными, которые случайно собираются. |
Оптимизация производительности
Уровень производительности — это способность вашей рабочей нагрузки эффективно масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями. Используйте следующие сведения, чтобы убедиться, что рабочие области Log Analytics и запросы журналов настроены для максимальной производительности.
Контрольный список проектирования
- Настройте аудит запросов журнала и используйте аналитику рабочей области Log Analytics для выявления медленных и неэффективных запросов.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Настройте аудит запросов журнала и используйте аналитику рабочей области Log Analytics для выявления медленных и неэффективных запросов. | Аудит запросов журнала сохраняет время вычислений, необходимое для выполнения каждого запроса, и время, пока результаты не будут возвращены. Аналитика рабочей области Log Analytics использует эти данные для перечисления потенциально неэффективных запросов в рабочей области. Рекомендуется переписать эти запросы, чтобы повысить их производительность. Сведения об оптимизации запросов журналов в Azure Monitor см. в руководстве по оптимизации запросов к журналам. |