Delen via

Aanbevolen procedures voor Azure Monitor-logboeken

  • Artikel

Dit artikel bevat aanbevolen procedures voor architectuur voor Azure Monitor-logboeken. De richtlijnen zijn gebaseerd op de vijf pijlers van hoogwaardige architectuur die worden beschreven in Azure Well-Architected Framework.

Betrouwbaarheid

Betrouwbaarheid verwijst naar de mogelijkheid van een systeem om te herstellen van fouten en te blijven functioneren. Het doel is om de effecten van één mislukt onderdeel te minimaliseren. Gebruik de volgende informatie om het mislukken van uw Log Analytics-werkruimten te minimaliseren en de gegevens te beveiligen die ze verzamelen.

Log Analytics-werkruimten bieden een hoge mate van betrouwbaarheid. De opnamepijplijn, die verzamelde gegevens naar de Log Analytics-werkruimte verzendt, controleert of de Log Analytics-werkruimte elke logboekrecord heeft verwerkt voordat de record uit de pijp wordt verwijderd. Als de opnamepijplijn niet beschikbaar is, verzenden de agents die de gegevensbuffer verzenden en probeer de logboeken gedurende vele uren opnieuw te verzenden.

Azure Monitor-logboekfuncties die de tolerantie verbeteren

Azure Monitor-logboeken bieden verschillende functies die de flexibiliteit van werkruimten verbeteren voor verschillende soorten problemen. U kunt deze functies afzonderlijk of in combinatie gebruiken, afhankelijk van uw behoeften.

Deze video biedt een overzicht van de betrouwbaarheids- en tolerantieopties die beschikbaar zijn voor Log Analytics-werkruimten:

Beveiliging in regio's met behulp van beschikbaarheidszones

Elke Azure-regio die beschikbaarheidszones ondersteunt, heeft een set datacenters die zijn uitgerust met onafhankelijke energie-, koelings- en netwerkinfrastructuur.

Beschikbaarheidszones voor Azure Monitor-logboeken zijn redundant, wat betekent dat Microsoft serviceaanvragen verspreidt en gegevens repliceert over verschillende zones in ondersteunde regio's. Als een incident van invloed is op één zone, gebruikt Microsoft in plaats daarvan automatisch een andere beschikbaarheidszone in de regio. U hoeft geen actie te ondernemen omdat het schakelen tussen zones naadloos is.

In de meeste regio's bieden Azure Monitor-logboeken ondersteuning voor gegevenstolerantie. Dit betekent dat uw opgeslagen gegevens worden beschermd tegen gegevensverlies met betrekking tot zonegebonden fouten, maar servicebewerkingen kunnen nog steeds worden beïnvloed door regionale incidenten. Als de service geen query's kan uitvoeren, kunt u de logboeken pas weergeven als het probleem is opgelost.

Een subset van de beschikbaarheidszones die ondersteuning bieden voor gegevenstolerantie, bieden ook ondersteuning voor servicetolerantie. Dit betekent dat servicebewerkingen van Azure Monitor Logs- bijvoorbeeld logboekopname, query's en waarschuwingen kunnen worden voortgezet in het geval van een zonefout.

Beschikbaarheidszones beschermen tegen infrastructuurgerelateerde incidenten, zoals opslagfouten. Ze beschermen niet tegen problemen op toepassingsniveau, zoals foutieve code-implementaties of certificaatfouten, die van invloed zijn op de hele regio.

Back-up van gegevens uit specifieke tabellen met behulp van continue export

U kunt continu gegevens exporteren die naar specifieke tabellen in uw Log Analytics-werkruimte worden verzonden naar Azure-opslagaccounts.

Het opslagaccount waarnaar u gegevens exporteert, moet zich in dezelfde regio bevinden als uw Log Analytics-werkruimte. Als u wilt beveiligen en toegang wilt hebben tot uw opgenomen logboeken, zelfs als de werkruimteregio niet beschikbaar is, gebruikt u een geografisch redundant opslagaccount, zoals wordt uitgelegd in configuratieaanbeveling.

Het exportmechanisme biedt geen bescherming tegen incidenten die van invloed zijn op de opnamepijplijn of het exportproces zelf.

Notitie

U kunt toegang krijgen tot gegevens in een opslagaccount vanuit Azure Monitor-logboeken met behulp van de operator externaldata. De geëxporteerde gegevens worden echter opgeslagen in blobs van vijf minuten en het analyseren van gegevens die meerdere blobs omvatten, kan lastig zijn. Daarom is het exporteren van gegevens naar een opslagaccount een goed mechanisme voor gegevensback-up, maar het maken van een back-up van gegevens in een opslagaccount is niet ideaal als u deze nodig hebt voor analyse in Azure Monitor-logboeken. U kunt query's uitvoeren op grote hoeveelheden blobgegevens met behulp van Azure Data Explorer, Azure Data Factory of een ander hulpprogramma voor opslagtoegang.

Cross-regional data protection and service resilience using workspace replication (preview)

Replicatie van werkruimten (preview) is de meest uitgebreide tolerantieoplossing omdat de Log Analytics-werkruimte en binnenkomende logboeken naar een andere regio worden gerepliceerd.

Werkruimtereplicatie beveiligt zowel uw logboeken als de servicebewerkingen en stelt u in staat om uw systemen te blijven bewaken in het geval van infrastructuur- of toepassingsgerelateerde incidenten in de hele regio.

In tegenstelling tot beschikbaarheidszones die Microsoft end-to-end beheert, moet u de status van uw primaire werkruimte bewaken en bepalen wanneer u wilt overschakelen naar de werkruimte in de secundaire regio en terug.

Controlelijst voor ontwerp

  • Schakel werkruimtereplicatie in om service- en gegevenstolerantie voor incidenten in de hele regio te garanderen.
  • Maak uw werkruimte in een regio die ondersteuning biedt voor beschikbaarheidszones om beveiliging in regio's te garanderen tegen storingen in datacenters.
  • Voor regionale back-ups van gegevens in specifieke tabellen gebruikt u de functie voor continue export om gegevens te verzenden naar een geografisch gerepliceerd opslagaccount.
  • Controleer de status van uw Log Analytics-werkruimten.

Aanbevelingen voor configuratie

Aanbeveling Voordeel
Schakel werkruimtereplicatie in om de grootste mate van tolerantie te garanderen. Regionale tolerantie voor werkruimtegegevens en servicebewerkingen.

Werkruimtereplicatie (preview) zorgt voor hoge beschikbaarheid door een secundair exemplaar van uw werkruimte in een andere regio te maken en uw logboeken op te nemen in beide werkruimten.

Schakel zo nodig over naar uw secundaire werkruimte totdat de problemen die van invloed zijn op uw primaire werkruimte, zijn opgelost. U kunt doorgaan met het opnemen van logboeken, het opvragen van gegevens, het gebruik van dashboards, waarschuwingen en Sentinel in uw secundaire werkruimte. U hebt ook toegang tot logboeken die zijn opgenomen vóór de regioswitch.

Dit is een betaalde functie, dus overweeg of u al uw binnenkomende logboeken of slechts enkele gegevensstromen wilt repliceren.
Maak indien mogelijk uw werkruimte in een regio die azure Monitor-servicetolerantie ondersteunt. In-regio tolerantie van werkruimtegegevens en servicebewerkingen in het geval van problemen met datacenters.

Beschikbaarheidszones die ondersteuning bieden voor servicetolerantie bieden ook ondersteuning voor gegevenstolerantie. Dit betekent dat zelfs als een volledig datacenter niet beschikbaar is, de redundantie tussen zones azure Monitor-servicebewerkingen, zoals opname en query's, toestaat om te blijven werken en dat uw opgenomen logboeken beschikbaar blijven.

Beschikbaarheidszones bieden in-regiobeveiliging, maar bieden geen bescherming tegen problemen die van invloed zijn op de hele regio.

Zie Gegevens- en servicetolerantie verbeteren in Azure Monitor-logboeken met beschikbaarheidszones voor informatie over welke regio's gegevenstolerantie ondersteunen.
Maak uw werkruimte in een regio die ondersteuning biedt voor gegevenstolerantie. In-regiobeveiliging tegen verlies van de logboeken in uw werkruimte in het geval van problemen met datacenters.

Het maken van uw werkruimte in een regio die gegevenstolerantie ondersteunt, betekent dat zelfs als het hele datacenter niet beschikbaar is, uw opgenomen logboeken veilig zijn.
Als de service geen query's kan uitvoeren, kunt u de logboeken pas weergeven als het probleem is opgelost.

Zie Gegevens- en servicetolerantie verbeteren in Azure Monitor-logboeken met beschikbaarheidszones voor informatie over welke regio's gegevenstolerantie ondersteunen.
Configureer gegevensexport van specifieke tabellen naar een opslagaccount dat wordt gerepliceerd in verschillende regio's. Een back-up van uw logboekgegevens in een andere regio onderhouden.

Met de functie voor gegevensexport van Azure Monitor kunt u continu gegevens exporteren die naar specifieke tabellen naar Azure Storage worden verzonden, waar deze gedurende langere perioden kunnen worden bewaard. Gebruik een geografisch redundante opslag (GRS) of geografisch zone-redundante opslagaccount (GZRS) om uw gegevens veilig te houden, zelfs als een hele regio niet beschikbaar is. Als u uw gegevens leesbaar wilt maken vanuit de andere regio's, configureert u uw opslagaccount voor leestoegang tot de secundaire regio. Zie Azure Storage-redundantie voor een secundaire regio en leestoegang tot gegevens in de secundaire regio voor meer informatie.

Voor tabellen die continue gegevensexport niet ondersteunen, kunt u andere methoden gebruiken voor het exporteren van gegevens, waaronder Logic Apps, om uw gegevens te beveiligen. Dit is voornamelijk een oplossing om te voldoen aan naleving voor gegevensretentie, omdat de gegevens moeilijk te analyseren en te herstellen naar de werkruimte kunnen zijn.

Gegevensexport is vatbaar voor regionale incidenten, omdat deze afhankelijk is van de stabiliteit van de Azure Monitor-opnamepijplijn in uw regio. Het biedt geen tolerantie tegen incidenten die van invloed zijn op de regionale opnamepijplijn.
Controleer de status van uw Log Analytics-werkruimten. Gebruik Inzichten in Log Analytics-werkruimten om mislukte query's bij te houden en een statuswaarschuwing te maken om u proactief op de hoogte te stellen als een werkruimte niet beschikbaar is vanwege een datacenter of regionale storing.

Tolerantiefuncties voor Azure Monitor-logboeken vergelijken

Functie Servicetolerantie Back-up van gegevens Hoge beschikbaarheid Bereik van beveiliging Instellingen Kosten
Werkruimtereplicatie Bescherming tussen regio's tegen regiobrede incidenten Schakel replicatie van de werkruimte en gerelateerde regels voor gegevensverzameling in. Schakelen tussen regio's indien nodig. Op basis van het aantal gerepliceerde GB's en regio's.
Beschikbaarheidszones
In ondersteunde regio's		 In-regio-beveiliging tegen problemen met datacenters Automatisch ingeschakeld in ondersteunde regio's. Geen kosten
Continue gegevensexport Bescherming tegen gegevensverlies vanwege een regionale fout 1 Inschakelen per tabel. Kosten van gegevensexport + Storage-blob of Event Hubs

1 Gegevensexport biedt beveiliging tussen regio's als u logboeken exporteert naar een geografisch gerepliceerd opslagaccount. In het geval van een incident wordt een back-up gemaakt van eerder geëxporteerde gegevens en is er direct een back-up van de gegevens beschikbaar; verdere export kan echter mislukken, afhankelijk van de aard van het incident.

Beveiliging

Beveiliging is een van de belangrijkste aspecten van elke architectuur. Azure Monitor biedt functies om zowel het principe van minimale bevoegdheden als diepgaande verdediging te gebruiken. Gebruik de volgende informatie om de beveiliging van uw Log Analytics-werkruimten te maximaliseren en ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot verzamelde gegevens.

Controlelijst voor ontwerp

  • Bepaal of u uw operationele gegevens en uw beveiligingsgegevens in dezelfde Log Analytics-werkruimte wilt combineren.
  • Configureer de toegang voor verschillende typen gegevens in de werkruimte die vereist is voor verschillende rollen in uw organisatie.
  • Overweeg om azure Private Link te gebruiken om de toegang tot uw werkruimte uit openbare netwerken te verwijderen.
  • Gebruik door de klant beheerde sleutels als u uw eigen versleutelingssleutel nodig hebt om gegevens en opgeslagen query's in uw werkruimten te beveiligen.
  • Controlegegevens exporteren voor langetermijnretentie of onveranderbaarheid.
  • Configureer controle van logboekquery's om bij te houden welke gebruikers query's uitvoeren.
  • Bepaal een strategie om gevoelige gegevens in uw werkruimte te filteren of te verdoezelen.
  • Gevoelige gegevens opschonen die per ongeluk zijn verzameld.
  • Schakel Customer Lockbox voor Microsoft Azure in om Microsoft-aanvragen voor gegevenstoegang goed te keuren of af te wijzen.

Aanbevelingen voor configuratie

Aanbeveling Voordeel
Bepaal of u uw operationele gegevens en uw beveiligingsgegevens in dezelfde Log Analytics-werkruimte wilt combineren. Uw beslissing of u deze gegevens wilt combineren, is afhankelijk van uw specifieke beveiligingsvereisten. Als u ze in één werkruimte combineert, krijgt u meer inzicht in al uw gegevens, hoewel uw beveiligingsteam mogelijk een toegewezen werkruimte nodig heeft. Zie Een Log Analytics-werkruimtestrategie ontwerpen voor meer informatie over het nemen van deze beslissing voor uw omgeving, waarbij deze wordt afgestemd op criteria in andere pijlers.

Compromis: Er zijn mogelijke kosteneffecten voor het inschakelen van Sentinel in uw werkruimte. Zie de details in Een Log Analytics-werkruimtearchitectuur ontwerpen.
Configureer de toegang voor verschillende typen gegevens in de werkruimte die vereist is voor verschillende rollen in uw organisatie. Stel de toegangsbeheermodus in voor de werkruimte om resource- of werkruimtemachtigingen te gebruiken, zodat resource-eigenaren resourcecontext kunnen gebruiken voor toegang tot hun gegevens zonder expliciete toegang tot de werkruimte te krijgen. Dit vereenvoudigt de configuratie van uw werkruimte en zorgt ervoor dat gebruikers geen toegang hebben tot gegevens die ze niet mogen gebruiken.

Wijs de juiste ingebouwde rol toe om werkruimtemachtigingen te verlenen aan beheerders op abonnements-, resourcegroep- of werkruimteniveau, afhankelijk van hun bereik van verantwoordelijkheden.

Maak gebruik van RBAC op tabelniveau voor gebruikers die toegang nodig hebben tot een set tabellen in meerdere resources. Gebruikers met tabelmachtigingen hebben toegang tot alle gegevens in de tabel, ongeacht hun resourcemachtigingen.

Zie Toegang tot Log Analytics-werkruimten beheren voor meer informatie over de verschillende opties voor het verlenen van toegang tot gegevens in de werkruimte.
Overweeg om azure Private Link te gebruiken om de toegang tot uw werkruimte uit openbare netwerken te verwijderen. Verbindingen met openbare eindpunten worden beveiligd met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, kunt u azure Private Link gebruiken om resources verbinding te laten maken met uw Log Analytics-werkruimte via geautoriseerde privénetwerken. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN. Zie Ontwerp uw Azure Private Link-installatie om de beste netwerk- en DNS-topologie voor uw omgeving te bepalen.
Gebruik door de klant beheerde sleutels als u uw eigen versleutelingssleutel nodig hebt om gegevens en opgeslagen query's in uw werkruimten te beveiligen. Azure Monitor zorgt ervoor dat alle gegevens en opgeslagen query's at rest worden versleuteld met behulp van door Microsoft beheerde sleutels (MMK). Als u uw eigen versleutelingssleutel nodig hebt en voldoende gegevens voor een toegewezen cluster verzamelt, gebruikt u de door de klant beheerde sleutel voor meer flexibiliteit en levenscyclusbeheer voor sleutels. Als u Microsoft Sentinel gebruikt, moet u ervoor zorgen dat u bekend bent met de overwegingen bij het instellen van de door de klant beheerde sleutel van Microsoft Sentinel.
Controlegegevens exporteren voor langetermijnretentie of onveranderbaarheid. Mogelijk hebt u controlegegevens verzameld in uw werkruimte die onderhevig zijn aan regelgeving waarvoor langetermijnretentie is vereist. Gegevens in een Log Analytics-werkruimte kunnen niet worden gewijzigd, maar kunnen worden opgeschoond. Gebruik gegevensexport om gegevens te verzenden naar een Azure-opslagaccount met onveranderbaarheidsbeleid om gegevens te beschermen tegen manipulatie van gegevens. Niet elk type logboek heeft dezelfde relevantie voor naleving, controle of beveiliging, dus bepaal de specifieke gegevenstypen die moeten worden geëxporteerd.
Configureer controle van logboekquery's om bij te houden welke gebruikers query's uitvoeren. Controle van logboekquery's registreert de details voor elke query die wordt uitgevoerd in een werkruimte. Behandel deze controlegegevens als beveiligingsgegevens en beveilig de LAQueryLogs-tabel op de juiste manier. Configureer de auditlogboeken voor elke werkruimte die naar de lokale werkruimte moet worden verzonden of voeg deze samen in een toegewezen beveiligingswerkruimte als u uw operationele en beveiligingsgegevens scheidt. Gebruik Inzichten in Log Analytics-werkruimten om deze gegevens periodiek te controleren en overweeg waarschuwingsregels voor zoeken in logboeken te maken om u proactief op de hoogte te stellen als onbevoegde gebruikers query's proberen uit te voeren.
Bepaal een strategie om gevoelige gegevens in uw werkruimte te filteren of te verdoezelen. Mogelijk verzamelt u gegevens die gevoelige informatie bevatten. Filter records die niet moeten worden verzameld met behulp van de configuratie voor de specifieke gegevensbron. Gebruik een transformatie als alleen bepaalde kolommen in de gegevens moeten worden verwijderd of verborgen.

Als u standaarden hebt waarvoor de oorspronkelijke gegevens moeten worden gewijzigd, kunt u de letterlijke letterlijke h in KQL-query's gebruiken om queryresultaten die worden weergegeven in werkmappen te verbergen.
Gevoelige gegevens opschonen die per ongeluk zijn verzameld. Controleer regelmatig op persoonlijke gegevens die mogelijk per ongeluk zijn verzameld in uw werkruimte en gebruik gegevens opschonen om deze te verwijderen.
Schakel Customer Lockbox voor Microsoft Azure in om Microsoft-aanvragen voor gegevenstoegang goed te keuren of af te wijzen. Customer Lockbox voor Microsoft Azure biedt u een interface voor het controleren en goedkeuren of afwijzen van aanvragen voor toegang tot klantgegevens. Het wordt gebruikt in gevallen waarin een Microsoft-technicus toegang nodig heeft tot klantgegevens, of dit nu is als reactie op een door de klant geïnitieerd ondersteuningsticket of een door Microsoft vastgesteld probleem. Als u Customer Lockbox wilt inschakelen, hebt u een toegewezen cluster nodig.
Lockbox kan momenteel niet worden toegepast op tabellen met het hulpplan.

Kostenoptimalisatie

Kostenoptimalisatie verwijst naar manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. U kunt uw kosten voor Azure Monitor aanzienlijk verlagen door inzicht te krijgen in uw verschillende configuratieopties en mogelijkheden om de hoeveelheid gegevens te verminderen die door azure Monitor worden verzameld. Zie Azure Monitor-kosten en -gebruik om inzicht te hebben in de verschillende manieren waarop Azure Monitor-kosten in rekening worden gebracht en hoe u uw maandelijkse factuur kunt bekijken.

Notitie

Zie Kosten optimaliseren in Azure Monitor voor aanbevelingen voor kostenoptimalisatie voor alle functies van Azure Monitor.

Controlelijst voor ontwerp

  • Bepaal of u uw operationele gegevens en uw beveiligingsgegevens in dezelfde Log Analytics-werkruimte wilt combineren.
  • Configureer de prijscategorie voor de hoeveelheid gegevens die elke Log Analytics-werkruimte doorgaans verzamelt.
  • Gegevensretentie en archivering configureren.
  • Configureer tabellen die worden gebruikt voor foutopsporing, probleemoplossing en controle als basislogboeken.
  • Beperk het verzamelen van gegevens uit gegevensbronnen voor de werkruimte.
  • Analyseer regelmatig verzamelde gegevens om trends en afwijkingen te identificeren.
  • Maak een waarschuwing wanneer het verzamelen van gegevens hoog is.
  • Overweeg een dagelijkse limiet als preventieve meting om ervoor te zorgen dat u een bepaald budget niet overschrijdt.
  • Waarschuwingen instellen voor aanbevelingen voor kosten van Azure Advisor voor Log Analytics-werkruimten.

Aanbevelingen voor configuratie

Aanbeveling Voordeel
Bepaal of u uw operationele gegevens en uw beveiligingsgegevens in dezelfde Log Analytics-werkruimte wilt combineren. Omdat alle gegevens in een Log Analytics-werkruimte onderhevig zijn aan prijzen van Microsoft Sentinel als Sentinel is ingeschakeld, kunnen er kosteneffecten zijn voor het combineren van deze gegevens. Zie Een Log Analytics-werkruimtestrategie ontwerpen voor meer informatie over het nemen van deze beslissing voor uw omgeving, waarbij deze wordt afgestemd op criteria in andere pijlers.
Configureer de prijscategorie voor de hoeveelheid gegevens die elke Log Analytics-werkruimte doorgaans verzamelt. Log Analytics-werkruimten gebruiken standaard prijzen voor betalen per gebruik zonder minimale gegevensvolumes. Als u voldoende gegevens verzamelt, kunt u uw kosten aanzienlijk verlagen met behulp van een toezeggingslaag, zodat u zich kunt doorvoeren naar een dagelijks minimum aan gegevens die worden verzameld in ruil voor een lager tarief. Als u voldoende gegevens in werkruimten in één regio verzamelt, kunt u deze koppelen aan een toegewezen cluster en het verzamelde volume combineren met behulp van clusterprijzen.

Zie Kostenberekeningen en opties voor Azure Monitor-logboeken voor meer informatie over toezeggingslagen en richtlijnen voor het bepalen welke het meest geschikt is voor uw gebruiksniveau. Zie Gebruik en geschatte kosten om geschatte kosten voor uw gebruik in verschillende prijscategorieën weer te geven.
Configureer interactieve en langetermijnretentie van gegevens. Er worden kosten in rekening gebracht voor het bewaren van gegevens in een Log Analytics-werkruimte buiten de standaardwaarde van 31 dagen (90 dagen als Sentinel is ingeschakeld voor de werkruimte en 90 dagen voor Application Insights-gegevens). Houd rekening met uw specifieke vereisten voor het direct beschikbaar maken van gegevens voor logboekquery's. U kunt uw kosten aanzienlijk verlagen door langetermijnretentie te configureren, zodat u gegevens maximaal twaalf jaar kunt bewaren en deze nog steeds af en toe kunt openen met behulp van zoektaken of een set gegevens herstelt naar de werkruimte.
Configureer tabellen die worden gebruikt voor foutopsporing, probleemoplossing en controle als basislogboeken. Tabellen in een Log Analytics-werkruimte die zijn geconfigureerd voor basislogboeken , hebben een lagere opnamekosten in ruil voor beperkte functies en kosten voor logboekquery's. Als u deze tabellen onregelmatig opvraagt en deze niet gebruikt voor waarschuwingen, kunnen deze querykosten meer dan worden gecompenseerd door de gereduceerde opnamekosten.
Beperk het verzamelen van gegevens uit gegevensbronnen voor de werkruimte. De belangrijkste factor voor de kosten van Azure Monitor is de hoeveelheid gegevens die u verzamelt in uw Log Analytics-werkruimte. Zorg er dus voor dat u geen gegevens meer verzamelt die u nodig hebt om de status en prestaties van uw services en toepassingen te beoordelen. Zie Een Log Analytics-werkruimtearchitectuur ontwerpen voor meer informatie over het nemen van deze beslissing voor uw omgeving, waarbij deze wordt afgestemd op criteria in andere pijlers.

Compromis: Er is mogelijk een compromis tussen kosten en uw bewakingsvereisten. U kunt bijvoorbeeld sneller een prestatieprobleem detecteren met een hoge samplefrequentie, maar mogelijk wilt u een lagere samplefrequentie gebruiken om kosten te besparen. De meeste omgevingen hebben meerdere gegevensbronnen met verschillende soorten verzamelingen, dus u moet uw specifieke vereisten in balans houden met uw kostendoelen voor elk. Zie Kostenoptimalisatie in Azure Monitor voor aanbevelingen voor het configureren van verzamelingen voor verschillende gegevensbronnen.
Analyseer regelmatig verzamelde gegevens om trends en afwijkingen te identificeren. Gebruik Inzichten in Log Analytics-werkruimten om periodiek de hoeveelheid gegevens te bekijken die in uw werkruimte worden verzameld. Naast inzicht in de hoeveelheid gegevens die door verschillende bronnen wordt verzameld, worden afwijkingen en opwaartse trends in gegevensverzameling geïdentificeerd die kunnen leiden tot overtollige kosten. Analyseer gegevensverzameling verder met behulp van methoden in De werkruimte Analyseren in Log Analytics om te bepalen of er extra configuratie is die uw gebruik verder kan verminderen. Dit is met name belangrijk wanneer u een nieuwe set gegevensbronnen toevoegt, zoals een nieuwe set virtuele machines of het onboarden van een nieuwe service.
Maak een waarschuwing wanneer het verzamelen van gegevens hoog is. Als u onverwachte facturen wilt voorkomen, moet u proactief op de hoogte worden gesteld wanneer u overmatig gebruik ondervindt. Met een melding kunt u mogelijke afwijkingen vóór het einde van uw factureringsperiode aanpakken.
Overweeg een dagelijkse limiet als preventieve meting om ervoor te zorgen dat u een bepaald budget niet overschrijdt. Met een dagelijkse limiet wordt het verzamelen van gegevens in een Log Analytics-werkruimte voor de rest van de dag uitgeschakeld nadat de geconfigureerde limiet is bereikt. Dit mag niet worden gebruikt als een methode om de kosten te verlagen, zoals beschreven in Wanneer een daglimiet moet worden gebruikt.

Als u een dagelijkse limiet instelt, moet u, naast het maken van een waarschuwing wanneer de limiet is bereikt, ook een waarschuwingsregel maken om een melding te ontvangen wanneer een bepaald percentage is bereikt (bijvoorbeeld 90%). Dit geeft u de mogelijkheid om de oorzaak van de toegenomen gegevens te onderzoeken en aan te pakken voordat de cap gegevensverzameling afsluit.
Waarschuwingen instellen voor aanbevelingen voor kosten van Azure Advisor voor Log Analytics-werkruimten. Azure Advisor-aanbevelingen voor Log Analytics-werkruimten waarschuwen u proactief wanneer er een mogelijkheid is om uw kosten te optimaliseren. Azure Advisor-waarschuwingen maken voor deze aanbevelingen voor kosten:
  • Overweeg om het kostenefficiënte basislogboekplan voor geselecteerde tabellen te configureren. We hebben vastgesteld dat de opname van meer dan 1 GB per maand is vastgesteld voor tabellen die in aanmerking komen voor het basislogboekgegevensabonnement met lage kosten. Het basislogboekplan biedt u querymogelijkheden voor foutopsporing en probleemoplossing tegen lagere kosten.
  • Overweeg om de prijscategorie te wijzigen. Op basis van uw huidige gebruiksvolume kunt u het wijzigen van uw prijscategorie (Toezegging) onderzoeken om korting te krijgen en de kosten te verlagen.
  • Overweeg ongebruikte herstelde tabellen te verwijderen: u hebt een of meer tabellen met herstelde gegevens die actief zijn in uw werkruimte. Als u geen herstelde gegevens meer gebruikt, verwijdert u de tabel om onnodige kosten te voorkomen.
  • Anomalie van gegevensopname is gedetecteerd: we hebben de afgelopen week een veel hogere opnamesnelheid geïdentificeerd, op basis van uw opname in de drie vorige weken. Noteer deze wijziging en de verwachte wijziging in uw kosten.
U kunt ook automatisch gegenereerde aanbevelingen bekijken door Overzichtsaanaanveling> of Advisor-aanbevelingen te selecteren in het resourcemenu van uw Log Analytics-werkruimte.

Operationele uitmuntendheid

Operationele uitmuntendheid verwijst naar operationele processen die vereist zijn om een service betrouwbaar in productie te houden. Gebruik de volgende informatie om de operationele vereisten voor het ondersteunen van Log Analytics-werkruimten te minimaliseren.

Controlelijst voor ontwerp

  • Ontwerp een werkruimtearchitectuur met het minimale aantal werkruimten om te voldoen aan uw zakelijke vereisten.
  • Gebruik Infrastructure as Code (IaC) bij het beheren van meerdere werkruimten.
  • Gebruik Inzichten in Log Analytics-werkruimten om de status en prestaties van uw Log Analytics-werkruimten bij te houden.
  • Maak waarschuwingsregels om proactief op de hoogte te worden gesteld van operationele problemen in de werkruimte.
  • Zorg ervoor dat u een goed gedefinieerd operationeel proces hebt voor gegevensscheiding.

Aanbevelingen voor configuratie

Aanbeveling Voordeel
Ontwerp een werkruimtestrategie om te voldoen aan uw zakelijke vereisten. Zie Een Log Analytics-werkruimtearchitectuur ontwerpen voor hulp bij het ontwerpen van een strategie voor uw Log Analytics-werkruimten, inclusief het aantal dat u moet maken en waar u deze kunt plaatsen.

Eén of ten minste minimaal aantal werkruimten maximaliseert uw operationele efficiëntie, omdat hiermee de distributie van uw operationele en beveiligingsgegevens wordt beperkt, waardoor u meer inzicht krijgt in potentiële problemen, waardoor patronen gemakkelijker te identificeren en uw onderhoudsvereisten worden geminimaliseerd.

Mogelijk hebt u vereisten voor meerdere werkruimten, zoals meerdere tenants, of hebt u werkruimten in meerdere regio's nodig om uw beschikbaarheidsvereisten te ondersteunen. In deze gevallen moet u ervoor zorgen dat u de juiste processen hebt om deze verhoogde complexiteit te beheren.
Gebruik Infrastructure as Code (IaC) bij het beheren van meerdere werkruimten. Gebruik Infrastructure as Code (IaC) om de details van uw werkruimten in ARM, BICEP of Terraform te definiëren. Hiermee kunt u uw bestaande DevOps-processen gebruiken om nieuwe werkruimten en Azure Policy te implementeren om hun configuratie af te dwingen.
Gebruik Inzichten in Log Analytics-werkruimten om de status en prestaties van uw Log Analytics-werkruimten bij te houden. Inzichten in Log Analytics-werkruimten bieden een uniforme weergave van het gebruik, de prestaties, de status, agents, query's en het wijzigingslogboek voor al uw werkruimten. Bekijk deze informatie regelmatig om de status en werking van elk van uw werkruimten bij te houden.
Maak waarschuwingsregels om proactief op de hoogte te worden gesteld van operationele problemen in de werkruimte. Elke werkruimte heeft een bewerkingstabel die belangrijke activiteiten registreert die van invloed zijn op de werkruimte. Maak waarschuwingsregels op basis van deze tabel om proactief op de hoogte te worden gesteld wanneer er een operationeel probleem optreedt. U kunt aanbevolen waarschuwingen voor de werkruimte gebruiken om het maken van de meest kritieke waarschuwingsregels te vereenvoudigen.
Zorg ervoor dat u een goed gedefinieerd operationeel proces hebt voor gegevensscheiding. Mogelijk hebt u verschillende vereisten voor verschillende typen gegevens die zijn opgeslagen in uw werkruimte. Zorg ervoor dat u de vereisten voor gegevensretentie en beveiliging duidelijk begrijpt bij het ontwerpen van uw werkruimtestrategie en het configureren van instellingen, zoals machtigingen en langetermijnretentie. U moet ook een duidelijk gedefinieerd proces hebben voor het af en toe opschonen van gegevens met persoonlijke gegevens die per ongeluk worden verzameld.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid van uw workload om te schalen om te voldoen aan de vereisten die gebruikers op een efficiënte manier stellen. Gebruik de volgende informatie om ervoor te zorgen dat uw Log Analytics-werkruimten en logboekquery's zijn geconfigureerd voor maximale prestaties.

Controlelijst voor ontwerp

  • Configureer logboekquerycontrole en gebruik Inzichten in Log Analytics-werkruimten om trage en inefficiënte query's te identificeren.

Aanbevelingen voor configuratie

Aanbeveling Voordeel
Configureer logboekquerycontrole en gebruik Inzichten in Log Analytics-werkruimten om trage en inefficiënte query's te identificeren. Bij controle van logboekquery's wordt de rekentijd opgeslagen die nodig is om elke query uit te voeren en de tijd totdat de resultaten worden geretourneerd. Inzichten in Log Analytics-werkruimten gebruiken deze gegevens om mogelijk inefficiënte query's in uw werkruimte weer te geven. U kunt deze query's herschrijven om hun prestaties te verbeteren. Raadpleeg Logboekquery's optimaliseren in Azure Monitor voor hulp bij het optimaliseren van uw logboekquery's.

Volgende stap