Overzicht van Log Analytics-werkruimte
Een Log Analytics-werkruimte is een unieke omgeving voor logboekgegevens van Azure Monitor en andere Azure-services, zoals Microsoft Sentinel en Microsoft Defender voor Cloud. Elke werkruimte heeft een eigen gegevensopslagplaats en -configuratie, maar kan gegevens uit meerdere services combineren. In dit artikel vindt u een overzicht van concepten met betrekking tot Log Analytics-werkruimten en vindt u koppelingen naar andere documentatie voor meer informatie over elke werkruimte.
Belangrijk
Mogelijk ziet u de term Microsoft Sentinel-werkruimte die wordt gebruikt in microsoft Sentinel-documentatie . Deze werkruimte is dezelfde Log Analytics-werkruimte die in dit artikel wordt beschreven, maar deze is ingeschakeld voor Microsoft Sentinel. Alle gegevens in de werkruimte zijn onderhevig aan prijzen van Microsoft Sentinel, zoals beschreven in de sectie Kosten .
U kunt één werkruimte gebruiken voor al uw gegevensverzameling. U kunt ook meerdere werkruimten maken op basis van vereisten zoals:
- De geografische locatie van de gegevens.
- Toegangsrechten die bepalen welke gebruikers toegang hebben tot gegevens.
- Configuratie-instellingen, zoals prijscategorieën en gegevensretentie.
Zie Een Log Analytics-werkruimte maken in Azure Portal om een nieuwe werkruimte te maken. Zie Een Log Analytics-werkruimteconfiguratie ontwerpen voor overwegingen bij het maken van meerdere werkruimten.
Gegevensstructuur
Elke werkruimte bevat meerdere tabellen die zijn ingedeeld in afzonderlijke kolommen met meerdere rijen met gegevens. Elke tabel wordt gedefinieerd door een unieke set kolommen. Rijen met gegevens die door de gegevensbron worden geleverd, delen deze kolommen. Logboekquery's definiëren kolommen met gegevens voor het ophalen en leveren van uitvoer aan verschillende functies van Azure Monitor en andere services die gebruikmaken van werkruimten.
Waarschuwing
Tabelnamen worden gebruikt voor factureringsdoeleinden, zodat ze geen gevoelige informatie mogen bevatten.
Kosten
Er zijn geen directe kosten voor het maken of onderhouden van een werkruimte. Er worden kosten in rekening gebracht voor de gegevens die ernaar worden verzonden. Dit wordt ook wel gegevensopname genoemd. Er worden kosten in rekening gebracht voor hoe lang die gegevens worden opgeslagen. Dit wordt ook wel gegevensretentie genoemd. Deze kosten kunnen variëren op basis van het logboekgegevensplan van elke tabel, zoals beschreven in het logboekgegevensplan.
Zie Prijzen van Azure Monitor voor meer informatie over prijzen. Zie de best practices van Azure Monitor : Kostenbeheer voor hulp bij het verlagen van uw kosten. Als u uw Log Analytics-werkruimte gebruikt met andere services dan Azure Monitor, raadpleegt u de documentatie voor deze services voor prijsinformatie.
DCR voor werkruimtetransformatie
Regels voor gegevensverzameling (DCR's) die definiëren welke gegevens in Azure Monitor binnenkomen, kunnen transformaties bevatten waarmee u gegevens kunt filteren en transformeren voordat ze worden opgenomen in de werkruimte. Omdat alle gegevensbronnen nog geen DCR ondersteunen, kan elke werkruimte een DCR voor werkruimtetransformatie hebben.
Transformaties in de DCR voor werkruimtetransformatie worden gedefinieerd voor elke tabel in een werkruimte en zijn van toepassing op alle gegevens die naar die tabel worden verzonden , zelfs als ze vanuit meerdere bronnen worden verzonden. Deze transformaties zijn alleen van toepassing op werkstromen die nog geen DCR gebruiken. Azure Monitor-agent gebruikt bijvoorbeeld een DCR om gegevens te definiëren die zijn verzameld van virtuele machines. Deze gegevens zijn niet onderhevig aan opnametijdtransformaties die zijn gedefinieerd in de werkruimte.
U hebt bijvoorbeeld diagnostische instellingen waarmee resourcelogboeken voor verschillende Azure-resources naar uw werkruimte worden verzonden. U kunt een transformatie maken voor de tabel die de resourcelogboeken verzamelt waarmee deze gegevens worden gefilterd voor alleen records die u wilt. Met deze methode worden de opnamekosten voor records die u niet nodig hebt, opgeslagen. U kunt ook belangrijke gegevens uit bepaalde kolommen extraheren en opslaan in andere kolommen in de werkruimte om eenvoudigere query's te ondersteunen.
Gegevensretentie en -archief
Gegevens in elke tabel in een Log Analytics-werkruimte worden gedurende een opgegeven periode bewaard, waarna deze worden verwijderd of gearchiveerd met een gereduceerde bewaarkosten. Stel de bewaartijd in om uw behoeften te verdelen over het beschikbaar maken van gegevens met het verlagen van uw kosten voor het bewaren van gegevens.
Als u toegang wilt krijgen tot gearchiveerde gegevens, moet u er eerst gegevens uit ophalen in een tabel Analytics-logboeken met behulp van een van de volgende methoden:
| Wijze | Description |
|---|---|
| Zoektaken | Gegevens ophalen die overeenkomen met bepaalde criteria. |
| Herstellen | Gegevens ophalen uit een bepaald tijdsbereik. |
Machtigingen
De machtiging voor toegang tot gegevens in een Log Analytics-werkruimte wordt gedefinieerd door de toegangsbeheermodus. Dit is een instelling voor elke werkruimte. U kunt gebruikers expliciet toegang geven tot de werkruimte met behulp van een ingebouwde of aangepaste rol. U kunt ook toegang verlenen tot gegevens die zijn verzameld voor Azure-resources voor gebruikers met toegang tot deze resources.
Zie Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor informatie over de verschillende machtigingsopties en het configureren van machtigingen.
Volgende stappen
- Maak een nieuwe Log Analytics-werkruimte.
- Zie Een Log Analytics-werkruimteconfiguratie ontwerpen voor overwegingen bij het maken van meerdere werkruimten.
- Meer informatie over logboekquery's voor het ophalen en analyseren van gegevens uit een Log Analytics-werkruimte.