gebeurtenis
17 mrt, 21 - 21 mrt, 10
Neem deel aan de meetup-serie om schaalbare AI-oplossingen te bouwen op basis van praktijkgebruiksvoorbeelden met collega-ontwikkelaars en experts.
Nu registrerenDeze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Een enkele Log Analytics-werkruimte is mogelijk voldoende voor veel omgevingen die gebruikmaken van Azure Monitor en Microsoft Sentinel. Maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende zakelijke vereisten. In dit artikel vindt u een reeks criteria voor het bepalen of u één werkruimte of meerdere werkruimten wilt gebruiken. Ook wordt de configuratie en plaatsing van deze werkruimten besproken om te voldoen aan uw vereisten en tegelijkertijd uw kosten te optimaliseren.
Notitie
In dit artikel worden Azure Monitor en Microsoft Sentinel besproken, omdat veel klanten beide in hun ontwerp moeten overwegen. De meeste beslissingscriteria zijn van toepassing op beide services. Als u slechts één van deze services gebruikt, kunt u de andere in uw evaluatie negeren.
Hier volgt een video over de basisprincipes van Azure Monitor-logboeken en aanbevolen procedures en ontwerpoverwegingen voor het ontwerpen van uw Implementatie van Azure Monitor-logboeken:
Uw ontwerp moet altijd beginnen met één werkruimte om de complexiteit van het beheren van meerdere werkruimten te verminderen en gegevens uit deze werkruimten op te vragen. Er zijn geen prestatiebeperkingen ten laste van de hoeveelheid gegevens in uw werkruimte. Meerdere services en gegevensbronnen kunnen gegevens naar dezelfde werkruimte verzenden. Wanneer u criteria identificeert om meer werkruimten te maken, moet uw ontwerp het minste aantal werkruimten gebruiken om aan uw vereisten te voldoen.
Het ontwerpen van een werkruimteconfiguratie omvat evaluatie van meerdere criteria. Maar sommige van de criteria kunnen conflicteren. U kunt bijvoorbeeld de kosten voor uitgaand verkeer verlagen door een afzonderlijke werkruimte te maken in elke Azure-regio. Door samen te consolidatie in één werkruimte kunt u mogelijk nog meer kosten verlagen met een toezeggingslaag. Evalueer elk van de criteria onafhankelijk. Houd rekening met uw vereisten en prioriteiten om te bepalen welk ontwerp het meest effectief is voor uw omgeving.
De volgende tabel bevat criteria die u moet overwegen bij het ontwerpen van uw werkruimtearchitectuur. In de volgende secties worden de criteria beschreven.
Criteria | Beschrijving |
---|---|
Operationele en beveiligingsgegevens | U kunt ervoor kiezen om operationele gegevens uit Azure Monitor te combineren in dezelfde werkruimte als beveiligingsgegevens van Microsoft Sentinel of om ze te scheiden in hun eigen werkruimte. Als u ze combineert, krijgt u meer inzicht in al uw gegevens, terwijl uw beveiligingsstandaarden ze mogelijk moeten scheiden, zodat uw beveiligingsteam een toegewezen werkruimte heeft. Mogelijk hebt u ook gevolgen voor de kosten voor elke strategie. |
Azure-tenants | Als u meerdere Azure-tenants hebt, maakt u meestal een werkruimte in elke tenant. Verschillende gegevensbronnen kunnen alleen bewakingsgegevens verzenden naar een werkruimte in dezelfde Azure-tenant. |
Azure-regio's | Elke werkruimte bevindt zich in een bepaalde Azure-regio. Mogelijk hebt u wettelijke of nalevingsvereisten voor het opslaan van gegevens op specifieke locaties. |
Eigendom van gegevens | U kunt ervoor kiezen om afzonderlijke werkruimten te maken om het eigendom van gegevens te definiëren. U kunt bijvoorbeeld werkruimten maken door dochterondernemingen of gelieerde bedrijven. |
Facturering splitsen | Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. |
Gegevensretentie | U kunt verschillende bewaarinstellingen instellen voor elke werkruimte en elke tabel in een werkruimte. U hebt een afzonderlijke werkruimte nodig als u verschillende bewaarinstellingen nodig hebt voor verschillende resources die gegevens naar dezelfde tabellen verzenden. |
Toezeggingslagen | Met toezeggingslagen kunt u de opnamekosten verlagen door een minimale hoeveelheid dagelijkse gegevens in één werkruimte vast te leggen. |
Beperkingen van verouderde agent | Verouderde vm-agents hebben beperkingen voor het aantal werkruimten waarmee ze verbinding kunnen maken. |
Toegangsbeheer voor gegevens | Configureer de toegang tot de werkruimte en naar verschillende tabellen en gegevens van verschillende resources. |
Veerkracht | Als u ervoor wilt zorgen dat gegevens in uw werkruimte beschikbaar zijn in het geval van een storing in de regio, kunt u gegevens opnemen in meerdere werkruimten in verschillende regio's. |
De beslissing of u uw operationele gegevens uit Azure Monitor in dezelfde werkruimte wilt combineren als beveiligingsgegevens van Microsoft Sentinel of elk afzonderlijk wilt combineren in hun eigen werkruimte, is afhankelijk van uw beveiligingsvereisten en de mogelijke gevolgen voor de kosten voor uw omgeving.
Met toegewezen werkruimten die toegewezen werkruimten maken voor Azure Monitor en Microsoft Sentinel, kunt u het eigendom van gegevens scheiden tussen operationele en beveiligingsteams. Deze aanpak kan ook helpen bij het optimaliseren van kosten, omdat Microsoft Sentinel is ingeschakeld in een werkruimte, alle gegevens in die werkruimte onderhevig zijn aan prijzen van Microsoft Sentinel, zelfs als het operationele gegevens zijn die worden verzameld door Azure Monitor.
Een werkruimte met Microsoft Sentinel krijgt drie maanden gratis gegevensretentie in plaats van 31 dagen. Dit scenario leidt doorgaans tot hogere kosten voor operationele gegevens in een werkruimte zonder Microsoft Sentinel. Zie Prijsgegevens voor Azure Monitor-logboeken.
Gecombineerde werkruimte die uw gegevens uit Azure Monitor en Microsoft Sentinel in dezelfde werkruimte combineert, biedt u een betere zichtbaarheid van al uw gegevens, zodat u zowel in query's als werkmappen eenvoudig kunt combineren. Als de toegang tot de beveiligingsgegevens moet worden beperkt tot een bepaald team, kunt u RBAC op tabelniveau gebruiken om bepaalde gebruikers te blokkeren uit tabellen met beveiligingsgegevens of gebruikers te beperken tot toegang tot de werkruimte met behulp van resourcecontext.
Deze configuratie kan leiden tot kostenbesparingen als u hiermee een toezeggingslaag kunt bereiken, waardoor u korting krijgt op uw opnamekosten. Denk bijvoorbeeld aan een organisatie met operationele gegevens en beveiligingsgegevens die elk ongeveer 50 GB per dag opnemen. Als u de gegevens in dezelfde werkruimte combineert, kan er een toezeggingslaag van 100 GB per dag worden gebruikt. Dit scenario biedt een korting van 15% voor Azure Monitor en een korting van 50% voor Microsoft Sentinel.
Als u afzonderlijke werkruimten maakt voor andere criteria, maakt u meestal meer werkruimteparen. Als u bijvoorbeeld twee Azure-tenants hebt, kunt u vier werkruimten maken met een operationele en beveiligingswerkruimte in elke tenant.
De meeste resources kunnen alleen bewakingsgegevens verzenden naar een werkruimte in dezelfde Azure-tenant. Virtuele machines die gebruikmaken van Azure Monitor Agent of de Log Analytics-agents kunnen gegevens verzenden naar werkruimten in afzonderlijke Azure-tenants. U kunt dit scenario overwegen als serviceprovider.
Elke Log Analytics-werkruimte bevindt zich in een bepaalde Azure-regio. Mogelijk hebt u wettelijke of nalevingsdoeleinden voor het bewaren van gegevens in een bepaalde regio. Een internationaal bedrijf kan bijvoorbeeld een werkruimte vinden in elke belangrijke geografische regio, zoals de Verenigde Staten en Europa.
Houd ook rekening met mogelijke bandbreedtekosten die van toepassing kunnen zijn wanneer u gegevens vanuit een resource in een andere regio naar een werkruimte verzendt. Deze kosten zijn meestal gering ten opzichte van de kosten voor gegevensopname voor de meeste klanten. Deze kosten zijn meestal het gevolg van het verzenden van gegevens naar de werkruimte vanaf een virtuele machine. Voor het bewaken van gegevens van andere Azure-resources met behulp van diagnostische instellingen worden geen kosten in rekening gebracht voor uitgaand verkeer.
Gebruik de Azure-prijscalculator om de kosten te schatten en te bepalen welke regio's u nodig hebt. Overweeg werkruimten in meerdere regio's als de bandbreedtekosten aanzienlijk zijn.
Mogelijk hebt u een vereiste om gegevens te scheiden of grenzen te definiëren op basis van eigendom. U kunt bijvoorbeeld verschillende dochterondernemingen of gelieerde bedrijven hebben die de afbakening van hun bewakingsgegevens vereisen.
Mogelijk moet u facturering splitsen tussen verschillende partijen of kosten terugbrengen naar een klant of interne bedrijfseenheid. U kunt Azure Cost Management + Billing gebruiken om kosten per werkruimte weer te geven. U kunt ook een logboekquery gebruiken om factureerbare gegevensvolume per Azure-resource, resourcegroep of abonnement weer te geven. Deze benadering is mogelijk voldoende voor uw factureringsvereisten.
U kunt standaardinstellingen voor gegevensretentie voor een werkruimte configureren of verschillende instellingen voor elke tabel configureren. Mogelijk hebt u verschillende instellingen nodig voor verschillende gegevenssets in een bepaalde tabel. Zo ja, dan moet u die gegevens scheiden in verschillende werkruimten, elk met unieke bewaarinstellingen.
Toezeggingslagen bieden een korting op de opnamekosten van uw werkruimte wanneer u zich doorvoert voor een specifieke hoeveelheid dagelijkse gegevens. U kunt ervoor kiezen om gegevens in één werkruimte samen te voegen om het niveau van een bepaalde laag te bereiken. Hetzelfde volume aan gegevens verspreid over meerdere werkruimten komt niet in aanmerking voor dezelfde laag, tenzij u een toegewezen cluster hebt.
Als u zich kunt doorvoeren voor dagelijkse opname van ten minste 100 GB per dag, moet u een toegewezen cluster implementeren dat extra functionaliteit en prestaties biedt. Met toegewezen clusters kunt u ook de gegevens uit meerdere werkruimten in het cluster combineren om het niveau van een toezeggingslaag te bereiken.
U moet voorkomen dat dubbele gegevens naar meerdere werkruimten worden verzonden vanwege de extra kosten, maar er zijn mogelijk virtuele machines verbonden met meerdere werkruimten. Het meest voorkomende scenario is een agent die is verbonden met afzonderlijke werkruimten voor Azure Monitor en Microsoft Sentinel.
Azure Monitor Agent en de Log Analytics-agent voor Windows kunnen verbinding maken met meerdere werkruimten. De Log Analytics-agent voor Linux kan slechts verbinding maken met één werkruimte.
Wanneer u een gebruiker toegang verleent tot een werkruimte, heeft de gebruiker toegang tot alle gegevens in die werkruimte. Deze toegang is geschikt voor een lid van een centraal beheer- of beveiligingsteam dat toegang moet hebben tot gegevens voor alle resources. Toegang tot de werkruimte wordt ook bepaald door op rollen gebaseerd toegangsbeheer (RBAC) van resourcecontext en RBAC op tabelniveau.
Resourcecontext RBAC: als een gebruiker standaard leestoegang heeft tot een Azure-resource, nemen ze machtigingen over voor de bewakingsgegevens van die resource die naar de werkruimte worden verzonden. Met dit toegangsniveau kunnen gebruikers toegang krijgen tot informatie over resources die ze beheren zonder expliciete toegang tot de werkruimte te krijgen. Als u deze toegang wilt blokkeren, kunt u de toegangsbeheermodus wijzigen om expliciete werkruimtemachtigingen te vereisen.
RBAC op tabelniveau: Met RBAC op tabelniveau kunt u toegang verlenen of weigeren tot specifieke tabellen in de werkruimte. Op deze manier kunt u gedetailleerde machtigingen implementeren die vereist zijn voor specifieke situaties in uw omgeving.
U kunt bijvoorbeeld alleen toegang verlenen tot specifieke tabellen die door Microsoft Sentinel zijn verzameld aan een intern controleteam. Of u kunt de toegang tot beveiligingsgerelateerde tabellen weigeren aan resource-eigenaren die operationele gegevens nodig hebben met betrekking tot hun resources.
Zie Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.
Om ervoor te zorgen dat kritieke gegevens in uw werkruimte beschikbaar zijn in het geval van een storing in de regio, kunt u sommige of al uw gegevens opnemen in meerdere werkruimten in verschillende regio's.
Voor deze optie moet u de integratie met andere services en producten afzonderlijk beheren voor elke werkruimte. Hoewel de gegevens beschikbaar zijn in de alternatieve werkruimte in geval van fouten, weten resources die afhankelijk zijn van de gegevens, zoals waarschuwingen en werkmappen, niet om over te schakelen naar de alternatieve werkruimte. Overweeg ARM-sjablonen op te slaan voor kritieke resources met configuratie voor de alternatieve werkruimte in Azure DevOps of als uitgeschakeld beleid dat snel kan worden ingeschakeld in een failoverscenario.
Veel ontwerpen bevatten meerdere werkruimten. Een centraal beveiligingsteam kan bijvoorbeeld zijn eigen Microsoft Sentinel-werkruimten gebruiken om gecentraliseerde artefacten, zoals analyseregels of werkmappen, te beheren.
Zowel Azure Monitor als Microsoft Sentinel bevatten functies om u te helpen bij het analyseren van deze gegevens in werkruimten. Zie voor meer informatie:
Bij het benoemen van elke werkruimte raden we u aan een zinvolle indicator in de naam op te geven, zodat u eenvoudig het doel van elke werkruimte kunt identiëren.
Omgevingen met meerdere Azure-tenants, waaronder Microsoft-serviceproviders (MSP's), onafhankelijke softwareleveranciers (ISV's) en grote ondernemingen, vereisen vaak een strategie waarbij een centraal beheerteam toegang heeft tot het beheren van werkruimten in andere tenants. Elk van de tenants kan afzonderlijke klanten of verschillende bedrijfseenheden vertegenwoordigen.
Notitie
Voor partners en serviceproviders die deel uitmaken van het CSP-programma (Cloud Solution Provider), is Log Analytics in Azure Monitor een van de Azure-services die beschikbaar zijn in Azure CSP-abonnementen.
In de volgende secties worden twee basisstrategieën voor deze functionaliteit beschreven.
In een gedistribueerde architectuur wordt een Log Analytics-werkruimte gemaakt in elke Azure-tenant. Deze optie is de enige die u kunt gebruiken als u andere Azure-services dan virtuele machines bewaakt.
Er zijn twee opties waarmee serviceproviderbeheerders toegang hebben tot de werkruimten in de tenants van de klant:
Voordelen van deze strategie:
Nadelen van deze strategie:
Er wordt één werkruimte gemaakt in het abonnement van de serviceprovider. Met deze optie kunt u gegevens verzamelen van virtuele machines van klanten en Azure PaaS-services op basis van diagnostische instellingen. Agents die op de virtuele machines en PaaS-services zijn geïnstalleerd, kunnen worden geconfigureerd om hun logboeken naar deze centrale werkruimte te verzenden.
Voordelen van deze strategie:
Nadelen van deze strategie:
In een hybride model heeft elke tenant een eigen werkruimte. Een mechanisme wordt gebruikt om gegevens op te halen naar een centrale locatie voor rapportage en analyse. Deze gegevens kunnen een klein aantal gegevenstypen of een samenvatting van de activiteit bevatten, zoals dagelijkse statistieken.
Er zijn verschillende opties voor het implementeren van logboeken op een centrale locatie:
gebeurtenis
17 mrt, 21 - 21 mrt, 10
Neem deel aan de meetup-serie om schaalbare AI-oplossingen te bouwen op basis van praktijkgebruiksvoorbeelden met collega-ontwikkelaars en experts.
Nu registrerenTraining
Module
Een Log Analytics-werkruimte maken - Training
Leer hoe u een Log Analytics-werkruimte maakt in Azure Portal, zodat u robuuste gegevensverzameling en -analyse kunt inschakelen voor Microsoft Defender voor Cloud om uw beveiligingspostuur te verbeteren.
Certificering
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Plan, lever, beheer en bewaak ervaringen met virtuele bureaubladen en externe apps op Microsoft Azure voor elk apparaat.