Delen via


Een Log Analytics-werkruimtearchitectuur ontwerpen

Een enkele Log Analytics-werkruimte is mogelijk voldoende voor veel omgevingen die gebruikmaken van Azure Monitor en Microsoft Sentinel. Maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende zakelijke vereisten. In dit artikel vindt u een reeks criteria voor het bepalen of u één werkruimte of meerdere werkruimten wilt gebruiken. Ook wordt de configuratie en plaatsing van deze werkruimten besproken om te voldoen aan uw vereisten en tegelijkertijd uw kosten te optimaliseren.

Notitie

In dit artikel worden Azure Monitor en Microsoft Sentinel besproken, omdat veel klanten beide in hun ontwerp moeten overwegen. De meeste beslissingscriteria zijn van toepassing op beide services. Als u slechts één van deze services gebruikt, kunt u de andere in uw evaluatie negeren.

Hier volgt een video over de basisprincipes van Azure Monitor-logboeken en aanbevolen procedures en ontwerpoverwegingen voor het ontwerpen van uw Implementatie van Azure Monitor-logboeken:

Ontwerpstrategie

Uw ontwerp moet altijd beginnen met één werkruimte om de complexiteit van het beheren van meerdere werkruimten te verminderen en gegevens uit deze werkruimten op te vragen. Er zijn geen prestatiebeperkingen ten laste van de hoeveelheid gegevens in uw werkruimte. Meerdere services en gegevensbronnen kunnen gegevens naar dezelfde werkruimte verzenden. Wanneer u criteria identificeert om meer werkruimten te maken, moet uw ontwerp het minste aantal werkruimten gebruiken om aan uw vereisten te voldoen.

Het ontwerpen van een werkruimteconfiguratie omvat evaluatie van meerdere criteria. Maar sommige van de criteria kunnen conflicteren. U kunt bijvoorbeeld de kosten voor uitgaand verkeer verlagen door een afzonderlijke werkruimte te maken in elke Azure-regio. Door samen te consolidatie in één werkruimte kunt u mogelijk nog meer kosten verlagen met een toezeggingslaag. Evalueer elk van de criteria onafhankelijk. Houd rekening met uw vereisten en prioriteiten om te bepalen welk ontwerp het meest effectief is voor uw omgeving.

Ontwerpcriteria

De volgende tabel bevat criteria die u moet overwegen bij het ontwerpen van uw werkruimtearchitectuur. In de volgende secties worden de criteria beschreven.

Criteria Beschrijving
Operationele en beveiligingsgegevens U kunt ervoor kiezen om operationele gegevens uit Azure Monitor te combineren in dezelfde werkruimte als beveiligingsgegevens van Microsoft Sentinel of om ze te scheiden in hun eigen werkruimte. Als u ze combineert, krijgt u meer inzicht in al uw gegevens, terwijl uw beveiligingsstandaarden ze mogelijk moeten scheiden, zodat uw beveiligingsteam een toegewezen werkruimte heeft. Mogelijk hebt u ook gevolgen voor de kosten voor elke strategie.
Azure-tenants Als u meerdere Azure-tenants hebt, maakt u meestal een werkruimte in elke tenant. Verschillende gegevensbronnen kunnen alleen bewakingsgegevens verzenden naar een werkruimte in dezelfde Azure-tenant.
Azure-regio's Elke werkruimte bevindt zich in een bepaalde Azure-regio. Mogelijk hebt u wettelijke of nalevingsvereisten voor het opslaan van gegevens op specifieke locaties.
Eigendom van gegevens U kunt ervoor kiezen om afzonderlijke werkruimten te maken om het eigendom van gegevens te definiëren. U kunt bijvoorbeeld werkruimten maken door dochterondernemingen of gelieerde bedrijven.
Facturering splitsen Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen.
Gegevensretentie U kunt verschillende bewaarinstellingen instellen voor elke werkruimte en elke tabel in een werkruimte. U hebt een afzonderlijke werkruimte nodig als u verschillende bewaarinstellingen nodig hebt voor verschillende resources die gegevens naar dezelfde tabellen verzenden.
Toezeggingslagen Met toezeggingslagen kunt u de opnamekosten verlagen door een minimale hoeveelheid dagelijkse gegevens in één werkruimte vast te leggen.
Beperkingen van verouderde agent Verouderde vm-agents hebben beperkingen voor het aantal werkruimten waarmee ze verbinding kunnen maken.
Toegangsbeheer voor gegevens Configureer de toegang tot de werkruimte en naar verschillende tabellen en gegevens van verschillende resources.
Veerkracht Als u ervoor wilt zorgen dat gegevens in uw werkruimte beschikbaar zijn in het geval van een storing in de regio, kunt u gegevens opnemen in meerdere werkruimten in verschillende regio's.

Operationele en beveiligingsgegevens

De beslissing of u uw operationele gegevens uit Azure Monitor in dezelfde werkruimte wilt combineren als beveiligingsgegevens van Microsoft Sentinel of elk afzonderlijk wilt combineren in hun eigen werkruimte, is afhankelijk van uw beveiligingsvereisten en de mogelijke gevolgen voor de kosten voor uw omgeving.

Met toegewezen werkruimten die toegewezen werkruimten maken voor Azure Monitor en Microsoft Sentinel, kunt u het eigendom van gegevens scheiden tussen operationele en beveiligingsteams. Deze aanpak kan ook helpen bij het optimaliseren van kosten, omdat Microsoft Sentinel is ingeschakeld in een werkruimte, alle gegevens in die werkruimte onderhevig zijn aan prijzen van Microsoft Sentinel, zelfs als het operationele gegevens zijn die worden verzameld door Azure Monitor.

Een werkruimte met Microsoft Sentinel krijgt drie maanden gratis gegevensretentie in plaats van 31 dagen. Dit scenario leidt doorgaans tot hogere kosten voor operationele gegevens in een werkruimte zonder Microsoft Sentinel. Zie Prijsgegevens voor Azure Monitor-logboeken.

Gecombineerde werkruimte die uw gegevens uit Azure Monitor en Microsoft Sentinel in dezelfde werkruimte combineert, biedt u een betere zichtbaarheid van al uw gegevens, zodat u zowel in query's als werkmappen eenvoudig kunt combineren. Als de toegang tot de beveiligingsgegevens moet worden beperkt tot een bepaald team, kunt u RBAC op tabelniveau gebruiken om bepaalde gebruikers te blokkeren uit tabellen met beveiligingsgegevens of gebruikers te beperken tot toegang tot de werkruimte met behulp van resourcecontext.

Deze configuratie kan leiden tot kostenbesparingen als u hiermee een toezeggingslaag kunt bereiken, waardoor u korting krijgt op uw opnamekosten. Denk bijvoorbeeld aan een organisatie met operationele gegevens en beveiligingsgegevens die elk ongeveer 50 GB per dag opnemen. Als u de gegevens in dezelfde werkruimte combineert, kan er een toezeggingslaag van 100 GB per dag worden gebruikt. Dit scenario biedt een korting van 15% voor Azure Monitor en een korting van 50% voor Microsoft Sentinel.

Als u afzonderlijke werkruimten maakt voor andere criteria, maakt u meestal meer werkruimteparen. Als u bijvoorbeeld twee Azure-tenants hebt, kunt u vier werkruimten maken met een operationele en beveiligingswerkruimte in elke tenant.

  • Als u zowel Azure Monitor als Microsoft Sentinel gebruikt: Overweeg deze te scheiden in een toegewezen werkruimte, indien nodig door uw beveiligingsteam of als dit tot kostenbesparingen leidt. Overweeg de twee te combineren voor een betere zichtbaarheid van uw gecombineerde bewakingsgegevens of als u hiermee een toezeggingslaag kunt bereiken.
  • Als u zowel Microsoft Sentinel als Microsoft Defender voor Cloud gebruikt: Overweeg om dezelfde werkruimte te gebruiken voor beide oplossingen om beveiligingsgegevens op één plaats te bewaren.

Azure-tenants

De meeste resources kunnen alleen bewakingsgegevens verzenden naar een werkruimte in dezelfde Azure-tenant. Virtuele machines die gebruikmaken van Azure Monitor Agent of de Log Analytics-agents kunnen gegevens verzenden naar werkruimten in afzonderlijke Azure-tenants. U kunt dit scenario overwegen als serviceprovider.

Azure-regio's

Elke Log Analytics-werkruimte bevindt zich in een bepaalde Azure-regio. Mogelijk hebt u wettelijke of nalevingsdoeleinden voor het bewaren van gegevens in een bepaalde regio. Een internationaal bedrijf kan bijvoorbeeld een werkruimte vinden in elke belangrijke geografische regio, zoals de Verenigde Staten en Europa.

  • Als u vereisten hebt voor het bewaren van gegevens in een bepaalde geografie: Maak een afzonderlijke werkruimte voor elke regio met dergelijke vereisten.
  • Als u geen vereisten hebt voor het bewaren van gegevens in een bepaalde geografie: gebruik één werkruimte voor alle regio's.
  • Als u gegevens verzendt naar een geografie of regio buiten de regio van uw werkruimte, ongeacht of de verzendende resource zich in Azure bevindt: U kunt een werkruimte gebruiken in dezelfde geografie of regio als uw gegevens.

Houd ook rekening met mogelijke bandbreedtekosten die van toepassing kunnen zijn wanneer u gegevens vanuit een resource in een andere regio naar een werkruimte verzendt. Deze kosten zijn meestal gering ten opzichte van de kosten voor gegevensopname voor de meeste klanten. Deze kosten zijn meestal het gevolg van het verzenden van gegevens naar de werkruimte vanaf een virtuele machine. Voor het bewaken van gegevens van andere Azure-resources met behulp van diagnostische instellingen worden geen kosten in rekening gebracht voor uitgaand verkeer.

Gebruik de Azure-prijscalculator om de kosten te schatten en te bepalen welke regio's u nodig hebt. Overweeg werkruimten in meerdere regio's als de bandbreedtekosten aanzienlijk zijn.

  • Als de bandbreedtekosten aanzienlijk genoeg zijn om de extra complexiteit te rechtvaardigen: maak een afzonderlijke werkruimte voor elke regio met virtuele machines.
  • Als de bandbreedtekosten niet significant genoeg zijn om de extra complexiteit te rechtvaardigen: gebruik één werkruimte voor alle regio's.

Eigendom van gegevens

Mogelijk hebt u een vereiste om gegevens te scheiden of grenzen te definiëren op basis van eigendom. U kunt bijvoorbeeld verschillende dochterondernemingen of gelieerde bedrijven hebben die de afbakening van hun bewakingsgegevens vereisen.

  • Als u gegevensscheiding nodig hebt: gebruik een afzonderlijke werkruimte voor elke gegevenseigenaar.
  • Als u geen gegevensscheiding nodig hebt: gebruik één werkruimte voor alle gegevenseigenaren.

Gesplitste facturering

Mogelijk moet u facturering splitsen tussen verschillende partijen of kosten terugbrengen naar een klant of interne bedrijfseenheid. U kunt Azure Cost Management + Billing gebruiken om kosten per werkruimte weer te geven. U kunt ook een logboekquery gebruiken om factureerbare gegevensvolume per Azure-resource, resourcegroep of abonnement weer te geven. Deze benadering is mogelijk voldoende voor uw factureringsvereisten.

  • Als u geen facturering hoeft te splitsen of kosten wilt terugstorten: gebruik één werkruimte voor alle kosteneigenaren.
  • Als u facturering wilt splitsen of kosten wilt terugstorten: Overweeg of Azure Cost Management + Billing of een logboekquery kostenrapportage biedt die gedetailleerd genoeg is voor uw vereisten. Als dat niet het is, gebruikt u een afzonderlijke werkruimte voor elke eigenaar van de kosten.

Gegevensretentie

U kunt standaardinstellingen voor gegevensretentie voor een werkruimte configureren of verschillende instellingen voor elke tabel configureren. Mogelijk hebt u verschillende instellingen nodig voor verschillende gegevenssets in een bepaalde tabel. Zo ja, dan moet u die gegevens scheiden in verschillende werkruimten, elk met unieke bewaarinstellingen.

  • Als u dezelfde bewaarinstellingen voor alle gegevens in elke tabel kunt gebruiken: gebruik één werkruimte voor alle resources.
  • Als u verschillende bewaarinstellingen voor verschillende resources in dezelfde tabel nodig hebt: gebruik een afzonderlijke werkruimte voor verschillende resources.

Toezeggingsniveaus

Toezeggingslagen bieden een korting op de opnamekosten van uw werkruimte wanneer u zich doorvoert voor een specifieke hoeveelheid dagelijkse gegevens. U kunt ervoor kiezen om gegevens in één werkruimte samen te voegen om het niveau van een bepaalde laag te bereiken. Hetzelfde volume aan gegevens verspreid over meerdere werkruimten komt niet in aanmerking voor dezelfde laag, tenzij u een toegewezen cluster hebt.

Als u zich kunt doorvoeren voor dagelijkse opname van ten minste 100 GB per dag, moet u een toegewezen cluster implementeren dat extra functionaliteit en prestaties biedt. Met toegewezen clusters kunt u ook de gegevens uit meerdere werkruimten in het cluster combineren om het niveau van een toezeggingslaag te bereiken.

  • Als u ten minste 100 GB per dag opneemt voor alle resources: maak een toegewezen cluster en stel de juiste toezeggingslaag in.
  • Als u ten minste 100 GB per dag opneemt voor resources: overweeg deze te combineren in één werkruimte om te profiteren van een toezeggingslaag.

Beperkingen van verouderde agent

U moet voorkomen dat dubbele gegevens naar meerdere werkruimten worden verzonden vanwege de extra kosten, maar er zijn mogelijk virtuele machines verbonden met meerdere werkruimten. Het meest voorkomende scenario is een agent die is verbonden met afzonderlijke werkruimten voor Azure Monitor en Microsoft Sentinel.

Azure Monitor Agent en de Log Analytics-agent voor Windows kunnen verbinding maken met meerdere werkruimten. De Log Analytics-agent voor Linux kan slechts verbinding maken met één werkruimte.

  • Als u de Log Analytics-agent voor Linux gebruikt: migreren naar Azure Monitor Agent of ervoor zorgen dat uw Linux-machines alleen toegang nodig hebben tot één werkruimte.

Toegangsbeheer voor gegevens

Wanneer u een gebruiker toegang verleent tot een werkruimte, heeft de gebruiker toegang tot alle gegevens in die werkruimte. Deze toegang is geschikt voor een lid van een centraal beheer- of beveiligingsteam dat toegang moet hebben tot gegevens voor alle resources. Toegang tot de werkruimte wordt ook bepaald door op rollen gebaseerd toegangsbeheer (RBAC) van resourcecontext en RBAC op tabelniveau.

Resourcecontext RBAC: als een gebruiker standaard leestoegang heeft tot een Azure-resource, nemen ze machtigingen over voor de bewakingsgegevens van die resource die naar de werkruimte worden verzonden. Met dit toegangsniveau kunnen gebruikers toegang krijgen tot informatie over resources die ze beheren zonder expliciete toegang tot de werkruimte te krijgen. Als u deze toegang wilt blokkeren, kunt u de toegangsbeheermodus wijzigen om expliciete werkruimtemachtigingen te vereisen.

  • Als u wilt dat gebruikers toegang hebben tot gegevens voor hun resources: behoud de standaardmodus voor toegangsbeheer van resource- of werkruimtemachtigingen.
  • Als u expliciet machtigingen wilt toewijzen voor alle gebruikers: wijzig de toegangsbeheermodus in Werkruimtemachtigingen vereisen.

RBAC op tabelniveau: Met RBAC op tabelniveau kunt u toegang verlenen of weigeren tot specifieke tabellen in de werkruimte. Op deze manier kunt u gedetailleerde machtigingen implementeren die vereist zijn voor specifieke situaties in uw omgeving.

U kunt bijvoorbeeld alleen toegang verlenen tot specifieke tabellen die door Microsoft Sentinel zijn verzameld aan een intern controleteam. Of u kunt de toegang tot beveiligingsgerelateerde tabellen weigeren aan resource-eigenaren die operationele gegevens nodig hebben met betrekking tot hun resources.

  • Als u geen gedetailleerd toegangsbeheer per tabel nodig hebt: ververleent de bewerkingen en het beveiligingsteam toegang tot hun resources en staat resource-eigenaren toe om RBAC voor hun resources te gebruiken in resourcecontext.
  • Als u gedetailleerd toegangsbeheer per tabel nodig hebt: toegang tot specifieke tabellen verlenen of weigeren met behulp van RBAC op tabelniveau.

Zie Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.

Flexibiliteit

Om ervoor te zorgen dat kritieke gegevens in uw werkruimte beschikbaar zijn in het geval van een storing in de regio, kunt u sommige of al uw gegevens opnemen in meerdere werkruimten in verschillende regio's.

Voor deze optie moet u de integratie met andere services en producten afzonderlijk beheren voor elke werkruimte. Hoewel de gegevens beschikbaar zijn in de alternatieve werkruimte in geval van fouten, weten resources die afhankelijk zijn van de gegevens, zoals waarschuwingen en werkmappen, niet om over te schakelen naar de alternatieve werkruimte. Overweeg ARM-sjablonen op te slaan voor kritieke resources met configuratie voor de alternatieve werkruimte in Azure DevOps of als uitgeschakeld beleid dat snel kan worden ingeschakeld in een failoverscenario.

Werken met meerdere werkruimten

Veel ontwerpen bevatten meerdere werkruimten. Een centraal beveiligingsteam kan bijvoorbeeld zijn eigen Microsoft Sentinel-werkruimten gebruiken om gecentraliseerde artefacten, zoals analyseregels of werkmappen, te beheren.

Zowel Azure Monitor als Microsoft Sentinel bevatten functies om u te helpen bij het analyseren van deze gegevens in werkruimten. Zie voor meer informatie:

Bij het benoemen van elke werkruimte raden we u aan een zinvolle indicator in de naam op te geven, zodat u eenvoudig het doel van elke werkruimte kunt identiëren.

Meerdere tenantstrategieën

Omgevingen met meerdere Azure-tenants, waaronder Microsoft-serviceproviders (MSP's), onafhankelijke softwareleveranciers (ISV's) en grote ondernemingen, vereisen vaak een strategie waarbij een centraal beheerteam toegang heeft tot het beheren van werkruimten in andere tenants. Elk van de tenants kan afzonderlijke klanten of verschillende bedrijfseenheden vertegenwoordigen.

Notitie

Voor partners en serviceproviders die deel uitmaken van het CSP-programma (Cloud Solution Provider), is Log Analytics in Azure Monitor een van de Azure-services die beschikbaar zijn in Azure CSP-abonnementen.

In de volgende secties worden twee basisstrategieën voor deze functionaliteit beschreven.

Gedistribueerde architectuur

In een gedistribueerde architectuur wordt een Log Analytics-werkruimte gemaakt in elke Azure-tenant. Deze optie is de enige die u kunt gebruiken als u andere Azure-services dan virtuele machines bewaakt.

Er zijn twee opties waarmee serviceproviderbeheerders toegang hebben tot de werkruimten in de tenants van de klant:

  • Gebruik Azure Lighthouse om toegang te krijgen tot elke klanttenant. De serviceproviderbeheerders zijn opgenomen in een Microsoft Entra-gebruikersgroep in de tenant van de serviceprovider. Deze groep krijgt toegang tijdens het onboardingproces voor elke klant. De beheerders hebben vervolgens toegang tot de werkruimten van elke klant vanuit hun eigen tenant van de serviceprovider in plaats van zich afzonderlijk aan te melden bij de tenant van elke klant. Zie Klantresources op schaal bewaken voor meer informatie.
  • Voeg afzonderlijke gebruikers van de serviceprovider toe als Gastgebruikers van Microsoft Entra (B2B). De tenantbeheerders van de klant beheren afzonderlijke toegang voor elke serviceproviderbeheerder. De beheerders van serviceproviders moeten zich aanmelden bij de map voor elke tenant in Azure Portal om toegang te krijgen tot deze werkruimten.

Voordelen van deze strategie:

  • Logboeken kunnen worden verzameld van alle typen resources.
  • De klant kan specifieke machtigingsniveaus bevestigen met gedelegeerd resourcebeheer van Azure. Of de klant kan de toegang tot de logboeken beheren met behulp van hun eigen Azure RBAC.
  • Elke klant kan verschillende instellingen voor hun werkruimte hebben, zoals retentie en gegevenslimiet.
  • Isolatie tussen klanten voor regelgeving en naleving.
  • De kosten voor elke werkruimte zijn opgenomen in de factuur voor het abonnement van de klant.

Nadelen van deze strategie:

  • Het centraal visualiseren en analyseren van gegevens in tenants van klanten met hulpprogramma's zoals Azure Monitor-werkmappen kan leiden tot tragere ervaringen. Dit is vooral het geval bij het analyseren van gegevens in meer dan 50 werkruimten.
  • Als klanten niet worden voorbereid voor gedelegeerd resourcebeheer van Azure, moeten serviceproviderbeheerders worden ingericht in de directory van de klant. Deze vereiste maakt het moeilijker voor de serviceprovider om veel klanttenants tegelijk te beheren.

Gecentraliseerd

Er wordt één werkruimte gemaakt in het abonnement van de serviceprovider. Met deze optie kunnen alleen gegevens worden verzameld van virtuele machines van klanten. Agents die op de virtuele machines zijn geïnstalleerd, worden geconfigureerd om hun logboeken naar deze centrale werkruimte te verzenden.

Voordelen van deze strategie:

  • Het is eenvoudig om veel klanten te beheren.
  • De serviceprovider heeft volledig eigendom van de logboeken en de verschillende artefacten, zoals functies en opgeslagen query's.
  • Een serviceprovider kan analyses uitvoeren voor al zijn klanten.

Nadelen van deze strategie:

  • Logboeken kunnen alleen worden verzameld van virtuele machines met een agent. Het werkt niet met PaaS-, SaaS- of Azure Service Fabric-gegevensbronnen.
  • Het kan lastig zijn om gegevens tussen klanten te scheiden, omdat hun gegevens één werkruimte delen. Query's moeten de volledig gekwalificeerde domeinnaam van de computer of de Azure-abonnements-id van de computer gebruiken.
  • Alle gegevens van alle klanten worden opgeslagen in dezelfde regio met één factuur en dezelfde bewaar- en configuratie-instellingen.

Hybride

In een hybride model heeft elke tenant een eigen werkruimte. Een mechanisme wordt gebruikt om gegevens op te halen naar een centrale locatie voor rapportage en analyse. Deze gegevens kunnen een klein aantal gegevenstypen of een samenvatting van de activiteit bevatten, zoals dagelijkse statistieken.

Er zijn twee opties voor het implementeren van logboeken op een centrale locatie:

  • Centrale werkruimte: de serviceprovider maakt een werkruimte in de tenant en gebruikt een script dat gebruikmaakt van de Query-API met de api voor logboekopname om de gegevens van de tenantwerkruimten naar deze centrale locatie te brengen. Een andere optie is om Azure Logic Apps te gebruiken om gegevens naar de centrale werkruimte te kopiëren.
  • Power BI: De tenantwerkruimten exporteren gegevens naar Power BI met behulp van de integratie tussen de Log Analytics-werkruimte en Power BI.

Volgende stappen