Omówienie obszaru roboczego usługi Log Analytics

Obszar roboczy usługi Log Analytics to unikatowe środowisko do rejestrowania danych z usługi Azure Monitor i innych usług platformy Azure, takich jak Microsoft Sentinel i Microsoft Defender for Cloud. Każdy obszar roboczy ma własne repozytorium danych i konfigurację, ale może łączyć dane z wielu usług. Ten artykuł zawiera omówienie pojęć związanych z obszarami roboczymi usługi Log Analytics i zawiera linki do innej dokumentacji, aby uzyskać więcej informacji na temat poszczególnych obszarów roboczych.

Ważne

W dokumentacji usługi Microsoft Sentinel może zostać wyświetlony termin Microsoft obszar roboczy usługi Sentinel. Ten obszar roboczy jest tym samym obszarem roboczym usługi Log Analytics opisanym w tym artykule, ale jest włączony dla usługi Microsoft Sentinel. Wszystkie dane w obszarze roboczym podlegają Microsoft cenniku usługi Sentinel zgodnie z opisem w sekcji Koszt.

Możesz użyć jednego obszaru roboczego dla całej kolekcji danych. Można również utworzyć wiele obszarów roboczych na podstawie wymagań, takich jak:

  • Lokalizacja geograficzna danych.
  • Prawa dostępu definiujące, do których użytkowników mogą uzyskiwać dostęp do danych.
  • Ustawienia konfiguracji, takie jak warstwy cenowe i przechowywanie danych.

Aby utworzyć nowy obszar roboczy, zobacz Tworzenie obszaru roboczego usługi Log Analytics w Azure Portal. Aby zapoznać się z zagadnieniami dotyczącymi tworzenia wielu obszarów roboczych, zobacz Projektowanie konfiguracji obszaru roboczego usługi Log Analytics.

Struktura danych

Każdy obszar roboczy zawiera wiele tabel zorganizowanych w oddzielne kolumny z wieloma wierszami danych. Każda tabela jest definiowana przez unikatowy zestaw kolumn. Wiersze danych udostępniane przez źródło danych współużytkują te kolumny. Zapytania dzienników definiują kolumny danych do pobierania i dostarczania danych wyjściowych do różnych funkcji usługi Azure Monitor i innych usług korzystających z obszarów roboczych.

Diagram przedstawiający strukturę dzienników usługi Azure Monitor.

Ostrzeżenie

Nazwy tabel są używane do celów rozliczeniowych, więc nie powinny zawierać informacji poufnych.

Koszty

Nie ma bezpośrednich kosztów tworzenia lub obsługi obszaru roboczego. Opłaty są naliczane za wysłane do niego dane, które są również nazywane pozyskiwaniem danych. Opłaty są naliczane za czas przechowywania danych, co jest inaczej nazywane przechowywaniem danych. Te koszty mogą się różnić w zależności od planu danych dziennika każdej tabeli, zgodnie z opisem w temacie Plan danych dziennika.

Aby uzyskać informacje na temat cen, zobacz Cennik usługi Azure Monitor. Aby uzyskać wskazówki dotyczące zmniejszenia kosztów, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami. Jeśli używasz obszaru roboczego usługi Log Analytics z usługami innymi niż Azure Monitor, zapoznaj się z dokumentacją dla tych usług, aby uzyskać informacje o cenach.

Przekształcanie obszaru roboczego DCR

Reguły zbierania danych (DCR), które definiują dane przychodzące do usługi Azure Monitor, mogą obejmować przekształcenia, które umożliwiają filtrowanie i przekształcanie danych przed ich pozyskiwaniem do obszaru roboczego. Ponieważ wszystkie źródła danych nie obsługują jeszcze kontrolerów dcR, każdy obszar roboczy może mieć przekształcenie obszaru roboczego DCR.

Przekształcenia w przekształceniu obszaru roboczego dcR są definiowane dla każdej tabeli w obszarze roboczym i mają zastosowanie do wszystkich danych wysyłanych do tej tabeli, nawet jeśli są wysyłane z wielu źródeł. Te przekształcenia mają zastosowanie tylko do przepływów pracy, które nie używają jeszcze kontrolera DCR. Na przykład agent usługi Azure Monitor używa kontrolera DCR do definiowania danych zebranych z maszyn wirtualnych. Te dane nie będą podlegać żadnym przekształceniom czasu pozyskiwania zdefiniowanym w obszarze roboczym.

Możesz na przykład mieć ustawienia diagnostyczne , które wysyłają dzienniki zasobów dla różnych zasobów platformy Azure do obszaru roboczego. Możesz utworzyć przekształcenie dla tabeli, która zbiera dzienniki zasobów, które filtruje te dane tylko dla żądanych rekordów. Ta metoda pozwala zaoszczędzić koszt pozyskiwania rekordów, których nie potrzebujesz. Możesz również wyodrębnić ważne dane z określonych kolumn i przechowywać je w innych kolumnach w obszarze roboczym w celu obsługi prostszych zapytań.

Przechowywanie i archiwizowanie danych

Dane w każdej tabeli w obszarze roboczym usługi Log Analytics są przechowywane przez określony okres czasu, po którym zostaną usunięte lub zarchiwizowane z obniżoną opłatą za przechowywanie. Ustaw czas przechowywania, aby zrównoważyć wymagania dotyczące udostępniania danych przy zmniejszeniu kosztów przechowywania danych.

Aby uzyskać dostęp do zarchiwizowanych danych, musisz najpierw pobrać z niej dane w tabeli Dzienniki analizy przy użyciu jednej z następujących metod:

Metoda Opis
Zadania wyszukiwania Pobieranie danych spełniających określone kryteria.
Przywracanie Pobieranie danych z określonego zakresu czasu.

Diagram przedstawiający przegląd planów danych i archiwum.

Uprawnienia

Uprawnienie dostępu do danych w obszarze roboczym usługi Log Analytics jest definiowane przez tryb kontroli dostępu, który jest ustawieniem w każdym obszarze roboczym. Możesz przyznać użytkownikom jawny dostęp do obszaru roboczego przy użyciu wbudowanej lub niestandardowej roli. Możesz również zezwolić na dostęp do danych zebranych dla zasobów platformy Azure użytkownikom z dostępem do tych zasobów.

Aby uzyskać informacje o różnych opcjach uprawnień i sposobie konfigurowania uprawnień, zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor .

Następne kroki