Projektowanie architektury obszaru roboczego usługi Log Analytics

Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk korzystających z usług Azure Monitor i Microsoft Sentinel. Jednak wiele organizacji utworzy wiele obszarów roboczych, aby zoptymalizować koszty i lepiej spełnić różne wymagania biznesowe. W tym artykule przedstawiono zestaw kryteriów określania, czy używać jednego obszaru roboczego, czy wielu obszarów roboczych. Omówiono również konfigurację i umieszczanie tych obszarów roboczych w celu spełnienia wymagań podczas optymalizowania kosztów.

Uwaga

W tym artykule omówiono usługi Azure Monitor i Microsoft Sentinel, ponieważ wielu klientów musi wziąć pod uwagę zarówno projekt. Większość kryteriów decyzyjnych ma zastosowanie do obu usług. Jeśli używasz tylko jednej z tych usług, możesz zignorować drugą w ocenie.

Strategia projektowania

Projekt powinien zawsze rozpoczynać się od jednego obszaru roboczego, aby zmniejszyć złożoność zarządzania wieloma obszarami roboczymi i wykonywać zapytania dotyczące danych z nich. Brak ograniczeń wydajności dotyczących ilości danych w obszarze roboczym. Wiele usług i źródeł danych może wysyłać dane do tego samego obszaru roboczego. Podczas identyfikowania kryteriów tworzenia większej liczby obszarów roboczych projekt powinien używać najmniejszej liczby, która będzie zgodna z wymaganiami.

Projektowanie konfiguracji obszaru roboczego obejmuje ocenę wielu kryteriów. Ale niektóre kryteria mogą być w konflikcie. Na przykład możesz zmniejszyć opłaty za ruch wychodzący, tworząc oddzielny obszar roboczy w każdym regionie świadczenia usługi Azure. Konsolidowanie w jednym obszarze roboczym może pozwolić zmniejszyć opłaty jeszcze bardziej dzięki warstwie zobowiązania. Oceń każdą z kryteriów niezależnie. Zastanów się nad wymaganiami i priorytetami, aby określić, który projekt będzie najbardziej efektywny dla danego środowiska.

Kryteria projektowania

W poniższej tabeli przedstawiono kryteria, które należy wziąć pod uwagę podczas projektowania architektury obszaru roboczego. W poniższych sekcjach opisano kryteria.

Kryteria Opis
Segregowanie danych operacyjnych i danych zabezpieczeń Wielu klientów utworzy oddzielne obszary robocze dla danych operacyjnych i zabezpieczających dla własności danych oraz dodatkowe koszty z usługi Microsoft Sentinel. W niektórych przypadkach możesz zaoszczędzić koszty, konsolidując się w jednym obszarze roboczym, aby kwalifikować się do warstwy zobowiązania.
Dzierżawy platformy Azure Jeśli masz wiele dzierżaw platformy Azure, zwykle utworzysz obszar roboczy w każdym z nich. Kilka źródeł danych może wysyłać dane monitorowania tylko do obszaru roboczego w tej samej dzierżawie platformy Azure.
Regiony platformy Azure Każdy obszar roboczy znajduje się w określonym regionie świadczenia usługi Azure. Może istnieć wymagania prawne lub wymagania dotyczące zgodności do przechowywania danych w określonych lokalizacjach.
Własność danych Możesz utworzyć oddzielne obszary robocze, aby zdefiniować własność danych. Na przykład możesz tworzyć obszary robocze przez spółki zależne lub powiązane firmy.
Podział rozliczeń Umieszczając obszary robocze w oddzielnych subskrypcjach, mogą być rozliczane dla różnych stron.
Przechowywanie i archiwizowanie danych Dla każdej tabeli w obszarze roboczym można ustawić różne ustawienia przechowywania. Potrzebujesz oddzielnego obszaru roboczego, jeśli potrzebujesz różnych ustawień przechowywania dla różnych zasobów, które wysyłają dane do tych samych tabel.
Warstwy zobowiązania Warstwy zobowiązania umożliwiają zmniejszenie kosztów pozyskiwania przez zobowiązanie do minimalnej ilości danych dziennych w jednym obszarze roboczym.
Ograniczenia starszego agenta Starsi agenci maszyn wirtualnych mają ograniczenia dotyczące liczby obszarów roboczych, z którymi mogą się łączyć.
Kontrola dostępu do danych Skonfiguruj dostęp do obszaru roboczego oraz do różnych tabel i danych z różnych zasobów.

Segregowanie danych operacyjnych i danych zabezpieczeń

Większość klientów korzystających zarówno z usługi Azure Monitor, jak i usługi Microsoft Sentinel utworzy dedykowany obszar roboczy dla każdego z nich, aby rozdzielić własność danych między zespołami operacyjnymi i zespołami ds. zabezpieczeń. Takie podejście pomaga również zoptymalizować koszty. Jeśli usługa Microsoft Sentinel jest włączona w obszarze roboczym, wszystkie dane w tym obszarze roboczym podlegają cenom usługi Microsoft Sentinel, nawet jeśli są to dane operacyjne zbierane przez usługę Azure Monitor.

Obszar roboczy z usługą Microsoft Sentinel otrzymuje trzy miesiące bezpłatnego przechowywania danych zamiast 31 dni. Ten scenariusz zazwyczaj skutkuje wyższymi kosztami danych operacyjnych w obszarze roboczym bez usługi Microsoft Sentinel. Zobacz Szczegóły cennika dzienników usługi Azure Monitor.

Wyjątek dotyczy łączenia danych w tym samym obszarze roboczym, co ułatwia osiągnięcie warstwy zobowiązania, która zapewnia rabat na opłaty za pozyskiwanie. Rozważmy na przykład organizację, która ma dane operacyjne i dane zabezpieczeń, które pozyskuje około 50 GB dziennie. Połączenie danych w tym samym obszarze roboczym umożliwiłoby warstwę zobowiązania na 100 GB dziennie. Ten scenariusz zapewni 15% rabatu za usługę Azure Monitor i 50% rabatu dla usługi Microsoft Sentinel.

Jeśli utworzysz oddzielne obszary robocze dla innych kryteriów, zwykle utworzysz więcej par obszarów roboczych. Jeśli na przykład masz dwie dzierżawy platformy Azure, możesz utworzyć cztery obszary robocze z obszarem roboczym operacyjnym i zabezpieczeń w każdej dzierżawie.

  • Jeśli używasz zarówno usług Azure Monitor, jak i Microsoft Sentinel: Utwórz oddzielny obszar roboczy dla każdego z nich. Rozważ połączenie tych dwóch, jeśli pomoże ci osiągnąć warstwę zobowiązania.
  • Jeśli używasz zarówno usługi Microsoft Sentinel, jak i Microsoft Defender for Cloud: rozważ użycie tego samego obszaru roboczego dla obu rozwiązań, aby zachować dane zabezpieczeń w jednym miejscu.

Dzierżawy platformy Azure

Większość zasobów może wysyłać dane monitorowania tylko do obszaru roboczego w tej samej dzierżawie platformy Azure. Maszyny wirtualne korzystające z agenta usługi Azure Monitor lub agentów usługi Log Analytics mogą wysyłać dane do obszarów roboczych w oddzielnych dzierżawach platformy Azure. Ten scenariusz można rozważyć jako dostawcę usług.

  • Jeśli masz jedną dzierżawę platformy Azure: Utwórz pojedynczy obszar roboczy dla tej dzierżawy.
  • Jeśli masz wiele dzierżaw platformy Azure: Utwórz obszar roboczy dla każdej dzierżawy. Aby uzyskać inne opcje, w tym strategie dla dostawców usług, zobacz Wiele strategii dzierżawy.

Regiony świadczenia usługi Azure

Każdy obszar roboczy usługi Log Analytics znajduje się w określonym regionie świadczenia usługi Azure. Być może masz cele prawne lub zgodność do przechowywania danych w określonym regionie. Na przykład międzynarodowa firma może zlokalizować obszar roboczy w każdym głównym regionie geograficznym, takim jak Stany Zjednoczone i Europa.

  • Jeśli masz wymagania dotyczące przechowywania danych w określonej lokalizacji geograficznej: Utwórz oddzielny obszar roboczy dla każdego regionu z takimi wymaganiami.
  • Jeśli nie masz wymagań dotyczących przechowywania danych w określonej lokalizacji geograficznej: Użyj jednego obszaru roboczego dla wszystkich regionów.

Należy również rozważyć potencjalne opłaty za przepustowość , które mogą być stosowane podczas wysyłania danych do obszaru roboczego z zasobu w innym regionie. Te opłaty są zwykle niewielkie w stosunku do kosztów pozyskiwania danych dla większości klientów. Te opłaty zazwyczaj wynikają z wysyłania danych do obszaru roboczego z maszyny wirtualnej. Monitorowanie danych z innych zasobów platformy Azure przy użyciu ustawień diagnostycznych nie powoduje naliczania opłat za ruch wychodzący.

Użyj kalkulatora cen platformy Azure , aby oszacować koszt i określić, które regiony są potrzebne. Rozważ obszary robocze w wielu regionach, jeśli opłaty za przepustowość są znaczące.

  • Jeśli opłaty za przepustowość są wystarczająco duże, aby uzasadnić dodatkową złożoność: Utwórz oddzielny obszar roboczy dla każdego regionu z maszynami wirtualnymi.
  • Jeśli opłaty za przepustowość nie są wystarczająco znaczące, aby uzasadnić dodatkową złożoność: Użyj jednego obszaru roboczego dla wszystkich regionów.

Własność danych

Może być wymagane rozdzielenie danych lub zdefiniowanie granic na podstawie własności. Na przykład mogą istnieć różne spółki zależne lub powiązane firmy, które wymagają podkreślenia ich danych monitorowania.

  • Jeśli potrzebujesz segregacji danych: Użyj oddzielnego obszaru roboczego dla każdego właściciela danych.
  • Jeśli nie potrzebujesz segregacji danych: Użyj jednego obszaru roboczego dla wszystkich właścicieli danych.

Podział rozliczeń

Może być konieczne podzielenie rozliczeń między różnymi stronami lub wykonanie opłaty z powrotem do klienta lub wewnętrznej jednostki biznesowej. Aby wyświetlić opłaty według obszaru roboczego, możesz użyć usługi Azure Cost Management + Billing . Możesz również użyć zapytania dziennika, aby wyświetlić rozliczany wolumin danych według zasobu platformy Azure, grupy zasobów lub subskrypcji. Takie podejście może być wystarczające dla wymagań dotyczących rozliczeń.

  • Jeśli nie musisz dzielić rozliczeń ani wykonywać opłat z powrotem: Użyj jednego obszaru roboczego dla wszystkich właścicieli kosztów.
  • Jeśli musisz podzielić rozliczenia lub wykonać obciążenie zwrotne: Rozważ, czy usługa Azure Cost Management + Rozliczenia , czy zapytanie dziennika zapewnia raportowanie kosztów, które jest wystarczająco szczegółowe dla Twoich wymagań. Jeśli nie, użyj oddzielnego obszaru roboczego dla każdego właściciela kosztów.

Przechowywanie i archiwizowanie danych

Możesz skonfigurować domyślne ustawienia przechowywania danych i archiwum dla obszaru roboczego lub skonfigurować różne ustawienia dla każdej tabeli. Możesz wymagać różnych ustawień dla różnych zestawów danych w określonej tabeli. Jeśli tak, musisz oddzielić te dane do różnych obszarów roboczych, z których każda ma unikatowe ustawienia przechowywania.

  • Jeśli możesz użyć tych samych ustawień przechowywania i archiwum dla wszystkich danych w każdej tabeli: Użyj jednego obszaru roboczego dla wszystkich zasobów.
  • Jeśli potrzebujesz różnych ustawień przechowywania i archiwum dla różnych zasobów w tej samej tabeli: Użyj oddzielnego obszaru roboczego dla różnych zasobów.

Warstwy zobowiązania

Warstwy zobowiązania zapewniają rabat na koszty pozyskiwania obszarów roboczych podczas zatwierdzania określonej ilości codziennych danych. Możesz skonsolidować dane w jednym obszarze roboczym, aby osiągnąć poziom określonej warstwy. Ta sama ilość danych rozłożona na wiele obszarów roboczych nie kwalifikuje się do tej samej warstwy, chyba że masz dedykowany klaster.

Jeśli możesz zatwierdzić codzienne pozyskiwanie co najmniej 500 GB dziennie, należy zaimplementować dedykowany klaster , który zapewnia dodatkową funkcjonalność i wydajność. Dedykowane klastry umożliwiają również łączenie danych z wielu obszarów roboczych w klastrze w celu osiągnięcia poziomu warstwy zobowiązania.

  • Jeśli pozyskasz co najmniej 500 GB dziennie we wszystkich zasobach: Utwórz dedykowany klaster i ustaw odpowiednią warstwę zobowiązania.
  • Jeśli pozyskasz co najmniej 100 GB dziennie między zasobami: Rozważ połączenie ich w jeden obszar roboczy, aby skorzystać z warstwy zobowiązania.

Ograniczenia starszego agenta

Należy unikać wysyłania zduplikowanych danych do wielu obszarów roboczych z powodu dodatkowych opłat, ale mogą istnieć maszyny wirtualne połączone z wieloma obszarami roboczymi. Najbardziej typowym scenariuszem jest agent połączony z oddzielnymi obszarami roboczymi dla usług Azure Monitor i Microsoft Sentinel.

Agent usługi Azure Monitor i agent usługi Log Analytics dla systemu Windows mogą łączyć się z wieloma obszarami roboczymi. Agent usługi Log Analytics dla systemu Linux może łączyć się tylko z jednym obszarem roboczym.

  • Jeśli używasz agenta usługi Log Analytics dla systemu Linux: Przeprowadź migrację do agenta usługi Azure Monitor lub upewnij się, że maszyny z systemem Linux wymagają dostępu tylko do jednego obszaru roboczego.

Kontrola dostępu do danych

Po udzieleniu użytkownikowi dostępu do obszaru roboczego użytkownik ma dostęp do wszystkich danych w tym obszarze roboczym. Ten dostęp jest odpowiedni dla członka centralnej administracji lub zespołu ds. zabezpieczeń, który musi uzyskiwać dostęp do danych dla wszystkich zasobów. Dostęp do obszaru roboczego zależy również od kontroli dostępu opartej na rolach (RBAC) i kontroli dostępu na poziomie tabeli.

Kontrola RBAC kontekstu zasobu: domyślnie jeśli użytkownik ma dostęp do odczytu do zasobu platformy Azure, dziedziczy uprawnienia do dowolnego z danych monitorowania tego zasobu wysyłanych do obszaru roboczego. Ten poziom dostępu umożliwia użytkownikom dostęp do informacji o zarządzanych zasobach bez udzielenia jawnego dostępu do obszaru roboczego. Jeśli chcesz zablokować ten dostęp, możesz zmienić tryb kontroli dostępu , aby wymagać jawnych uprawnień obszaru roboczego.

  • Jeśli chcesz, aby użytkownicy mogli uzyskiwać dostęp do danych dla swoich zasobów: Zachowaj domyślny tryb kontroli dostępu uprawnień Użyj zasobu lub obszaru roboczego.
  • Jeśli chcesz jawnie przypisać uprawnienia dla wszystkich użytkowników: Zmień tryb kontroli dostępu na Wymagaj uprawnień obszaru roboczego.

Kontrola dostępu oparta na rolach na poziomie tabeli: w przypadku kontroli dostępu opartej na rolach na poziomie tabeli można udzielić lub odmówić dostępu do określonych tabel w obszarze roboczym. W ten sposób można zaimplementować szczegółowe uprawnienia wymagane w określonych sytuacjach w danym środowisku.

Na przykład możesz udzielić dostępu tylko do określonych tabel zebranych przez usługę Microsoft Sentinel do wewnętrznego zespołu ds. inspekcji. Możesz też odmówić dostępu do tabel związanych z zabezpieczeniami właścicielom zasobów, którzy potrzebują danych operacyjnych związanych z ich zasobami.

  • Jeśli nie potrzebujesz szczegółowej kontroli dostępu według tabeli: Udziel zespołowi ds. operacji i zabezpieczeń dostępu do swoich zasobów i zezwól właścicielom zasobów na korzystanie z kontroli dostępu opartej na zasobach w kontekście zasobów.
  • Jeśli potrzebujesz szczegółowej kontroli dostępu według tabeli: Udziel lub odmów dostępu do określonych tabel przy użyciu kontroli dostępu opartej na rolach na poziomie tabeli.

Praca z wieloma obszarami roboczymi

Wiele projektów będzie zawierać wiele obszarów roboczych, dlatego usługi Azure Monitor i Microsoft Sentinel zawierają funkcje ułatwiające analizowanie tych danych w obszarach roboczych. Aby uzyskać więcej informacji, zobacz:

Wiele strategii dzierżawy

Środowiska z wieloma dzierżawami platformy Azure, w tym dostawcami usług firmy Microsoft ,niezależnymi dostawcami oprogramowania (ISV) i dużymi przedsiębiorstwami, często wymagają strategii, w której centralny zespół administracyjny ma dostęp do administrowania obszarami roboczymi znajdującymi się w innych dzierżawach. Każda z dzierżaw może reprezentować oddzielnych klientów lub różne jednostki biznesowe.

Uwaga

W przypadku partnerów i dostawców usług, którzy są częścią programu Cloud Solution Provider (CSP), usługa Log Analytics w usłudze Azure Monitor jest jedną z usług platformy Azure dostępnych w subskrypcjach programu Azure CSP.

W poniższych sekcjach opisano dwie podstawowe strategie dotyczące tej funkcji.

Architektura rozproszona

W architekturze rozproszonej obszar roboczy usługi Log Analytics jest tworzony w każdej dzierżawie platformy Azure. Ta opcja jest jedyną opcją, której można użyć, jeśli monitorujesz usługi platformy Azure inne niż maszyny wirtualne.

Istnieją dwie opcje zezwalania administratorom dostawcy usług na dostęp do obszarów roboczych w dzierżawach klientów:

  • Użyj usługi Azure Lighthouse , aby uzyskać dostęp do każdej dzierżawy klienta. Administratorzy dostawcy usług są dołączani do grupy użytkowników usługi Azure Active Directory (Azure AD) w dzierżawie dostawcy usług. Ta grupa ma dostęp podczas procesu dołączania dla każdego klienta. Administratorzy mogą następnie uzyskiwać dostęp do obszarów roboczych każdego klienta z poziomu własnej dzierżawy dostawcy usług zamiast konieczności logowania się do dzierżawy każdego klienta indywidualnie. Aby uzyskać więcej informacji, zobacz Monitorowanie zasobów klientów na dużą skalę.
  • Dodaj poszczególnych użytkowników od dostawcy usług jako Azure AD użytkowników-gości (B2B). Administratorzy dzierżawy klienta zarządzają indywidualnym dostępem dla każdego administratora dostawcy usług. Administratorzy dostawcy usług muszą zalogować się do katalogu dla każdej dzierżawy w Azure Portal, aby uzyskać dostęp do tych obszarów roboczych.

Zalety tej strategii:

  • Dzienniki można zbierać ze wszystkich typów zasobów.
  • Klient może potwierdzić określone poziomy uprawnień za pomocą delegowanego zarządzania zasobami platformy Azure. Klient może też zarządzać dostępem do dzienników przy użyciu własnej kontroli dostępu opartej na rolach platformy Azure.
  • Każdy klient może mieć różne ustawienia dla swojego obszaru roboczego, takie jak przechowywanie i limit danych.
  • Izolacja między klientami w celu zapewnienia zgodności z przepisami.
  • Opłata za każdy obszar roboczy jest uwzględniana na rachunku za subskrypcję klienta.

Wady tej strategii:

  • Centralnie wizualizowanie i analizowanie danych w dzierżawach klientów za pomocą narzędzi, takich jak skoroszyty usługi Azure Monitor, może spowodować wolniejsze środowiska. Jest to szczególnie przypadek podczas analizowania danych w ponad 50 obszarach roboczych.
  • Jeśli klienci nie są dołączani do zarządzania delegowanymi zasobami platformy Azure, administratorzy dostawcy usług muszą być aprowizowani w katalogu klienta. To wymaganie utrudnia dostawcy usług zarządzanie wieloma dzierżawami klientów jednocześnie.

Scentralizowane

W subskrypcji dostawcy usług jest tworzony pojedynczy obszar roboczy. Ta opcja może zbierać tylko dane z maszyn wirtualnych klienta. Agenci zainstalowani na maszynach wirtualnych są skonfigurowani do wysyłania dzienników do tego centralnego obszaru roboczego.

Zalety tej strategii:

  • Zarządzanie wieloma klientami jest łatwe.
  • Dostawca usług ma pełną własność dzienników i różnych artefaktów, takich jak funkcje i zapisane zapytania.
  • Dostawca usług może wykonywać analizy we wszystkich swoich klientach.

Wady tej strategii:

  • Dzienniki można zbierać tylko z maszyn wirtualnych za pomocą agenta. Nie będzie działać z źródłami danych PaaS, SaaS ani Azure Service Fabric.
  • Rozdzielenie danych między klientami może być trudne, ponieważ ich dane współudzielą jeden obszar roboczy. Zapytania muszą używać w pełni kwalifikowanej nazwy domeny komputera lub identyfikatora subskrypcji platformy Azure.
  • Wszystkie dane ze wszystkich klientów będą przechowywane w tym samym regionie z jednym rachunkiem i tymi samymi ustawieniami przechowywania i konfiguracji.

Połączenie hybrydowe

W modelu hybrydowym każda dzierżawa ma własny obszar roboczy. Mechanizm służy do ściągania danych do centralnej lokalizacji do raportowania i analizy. Te dane mogą obejmować niewielką liczbę typów danych lub podsumowanie działania, takie jak statystyki dzienne.

Istnieją dwie opcje implementowania dzienników w centralnej lokalizacji:

Następne kroki