Delen via


Overzicht van Log Analytics-werkruimte

Een Log Analytics-werkruimte is een gegevensarchief waarin u elk type logboekgegevens van al uw Azure- en niet-Azure-resources en -toepassingen kunt verzamelen. Met configuratieopties voor werkruimten kunt u al uw logboekgegevens in één werkruimte beheren om te voldoen aan de behoeften van verschillende persona's in uw organisatie, met behulp van:

Dit artikel bevat een overzicht van concepten met betrekking tot Log Analytics-werkruimten.

Belangrijk

Microsoft Sentinel-documentatie maakt gebruik van de term Microsoft Sentinel-werkruimte. Deze werkruimte is dezelfde Log Analytics-werkruimte die in dit artikel wordt beschreven, maar deze is ingeschakeld voor Microsoft Sentinel. Alle gegevens in de werkruimte zijn onderhevig aan prijzen van Microsoft Sentinel.

Logboektabellen

Elke Log Analytics-werkruimte bevat meerdere tabellen waarin Azure Monitor-logboeken gegevens opslaan die u verzamelt.

Met Azure Monitor-logboeken worden automatisch tabellen gemaakt die vereist zijn voor het opslaan van bewakingsgegevens die u verzamelt vanuit uw Azure-omgeving. U maakt aangepaste tabellen om gegevens op te slaan die u verzamelt van niet-Azure-resources en -toepassingen, op basis van het gegevensmodel van de logboekgegevens die u verzamelt en hoe u de gegevens wilt opslaan en gebruiken.

Met instellingen voor tabelbeheer kunt u de toegang tot specifieke tabellen beheren en het gegevensmodel, de retentie en de kosten van gegevens in elke tabel beheren. Zie Tabellen beheren in een Log Analytics-werkruimte voor meer informatie.

Diagram met de structuur van de Azure Monitor-logboeken.

Gegevensretentie

Een Log Analytics-werkruimte bewaart gegevens in twee statussen: interactieve retentie en langetermijnretentie.

Tijdens de interactieve bewaarperiode haalt u de gegevens uit de tabel op via query's en zijn de gegevens beschikbaar voor visualisaties, waarschuwingen en andere functies en services, op basis van het tabelplan.

Met elke tabel in uw Log Analytics-werkruimte kunt u gegevens tot 12 jaar bewaren in voordelige, langetermijnretentie. Haal specifieke gegevens op die u nodig hebt van langetermijnretentie tot interactieve retentie met behulp van een zoektaak. Dit betekent dat u uw logboekgegevens op één plaats beheert, zonder gegevens naar externe opslag te verplaatsen en dat u de volledige analysemogelijkheden van Azure Monitor op oudere gegevens krijgt wanneer u deze nodig hebt.

Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie.

Toegang tot gegevens

De machtiging voor toegang tot gegevens in een Log Analytics-werkruimte wordt gedefinieerd door de instelling voor de toegangsbeheermodus voor elke werkruimte. U kunt gebruikers expliciet toegang geven tot de werkruimte met behulp van een ingebouwde of aangepaste rol. U kunt ook toegang verlenen tot gegevens die zijn verzameld voor Azure-resources voor gebruikers met toegang tot deze resources.

Zie Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie.

Inzichten in Log Analytics-werkruimte weergeven

Met Log Analytics Workspace Insights kunt u uw Log Analytics-werkruimten beheren en optimaliseren met een uitgebreide weergave van uw werkruimtegebruik, prestaties, status, opname, query's en wijzigingslogboeken.

Schermopname van het overzichtstabblad Log Analytics Workspace Insights.

Gegevens transformeren die u opneemt in uw Log Analytics-werkruimte

Regels voor gegevensverzameling (DCR's) die definiëren welke gegevens in Azure Monitor binnenkomen, kunnen transformaties bevatten waarmee u gegevens kunt filteren en transformeren voordat ze worden opgenomen in de werkruimte. Omdat alle gegevensbronnen nog geen DCR ondersteunen, kan elke werkruimte een DCR voor werkruimtetransformatie hebben.

Transformaties in de DCR voor werkruimtetransformatie worden gedefinieerd voor elke tabel in een werkruimte en zijn van toepassing op alle gegevens die naar die tabel worden verzonden , zelfs als ze vanuit meerdere bronnen worden verzonden. Deze transformaties zijn alleen van toepassing op werkstromen die nog geen DCR gebruiken. Azure Monitor-agent gebruikt bijvoorbeeld een DCR om gegevens te definiëren die zijn verzameld van virtuele machines. Deze gegevens zijn niet onderhevig aan opnametijdtransformaties die zijn gedefinieerd in de werkruimte.

U hebt bijvoorbeeld diagnostische instellingen waarmee resourcelogboeken voor verschillende Azure-resources naar uw werkruimte worden verzonden. U kunt een transformatie maken voor de tabel die de resourcelogboeken verzamelt waarmee deze gegevens worden gefilterd voor alleen records die u wilt. Met deze methode worden de opnamekosten voor records die u niet nodig hebt, opgeslagen. U kunt ook belangrijke gegevens uit bepaalde kolommen extraheren en opslaan in andere kolommen in de werkruimte om eenvoudigere query's te ondersteunen.

Kosten

Er zijn geen directe kosten voor het maken of onderhouden van een werkruimte. Er worden kosten in rekening gebracht voor de gegevens die u in de werkruimte opneemt en voor gegevensretentie, op basis van het tabelplan van elke tabel.

Zie Prijzen van Azure Monitor voor meer informatie over prijzen. Zie de best practices van Azure Monitor : Kostenbeheer voor hulp bij het verlagen van uw kosten. Als u uw Log Analytics-werkruimte gebruikt met andere services dan Azure Monitor, raadpleegt u de documentatie voor deze services voor prijsinformatie.

Een Log Analytics-werkruimtearchitectuur ontwerpen om te voldoen aan specifieke bedrijfsbehoeften

U kunt één werkruimte gebruiken voor al uw gegevensverzameling. U kunt echter ook meerdere werkruimten maken op basis van specifieke zakelijke vereisten, zoals wettelijke of nalevingsvereisten voor het opslaan van gegevens op specifieke locaties, facturering splitsen en tolerantie.

Zie Een Log Analytics-werkruimteconfiguratie ontwerpen voor overwegingen met betrekking tot het maken van meerdere werkruimten.

Volgende stappen