Omówienie obszaru roboczego usługi Log Analytics
Obszar roboczy usługi Log Analytics to unikatowe środowisko do rejestrowania danych z usługi Azure Monitor i innych usług platformy Azure, takich jak Microsoft Sentinel i Microsoft Defender dla Chmury. Każdy obszar roboczy ma własne repozytorium danych i konfigurację, ale może łączyć dane z wielu usług. Ten artykuł zawiera omówienie pojęć związanych z obszarami roboczymi usługi Log Analytics i zawiera linki do innej dokumentacji, aby uzyskać więcej szczegółowych informacji na temat poszczególnych obszarów roboczych.
Ważne
W dokumentacji usługi Microsoft Sentinel może zostać wyświetlony termin Obszar roboczy usługi Microsoft Sentinel używany w dokumentacji usługi Microsoft Sentinel . Ten obszar roboczy jest tym samym obszarem roboczym usługi Log Analytics opisanym w tym artykule, ale jest włączony dla usługi Microsoft Sentinel. Wszystkie dane w obszarze roboczym podlegają cennikowi usługi Microsoft Sentinel zgodnie z opisem w sekcji Koszt .
Możesz użyć jednego obszaru roboczego dla całej kolekcji danych. Można również utworzyć wiele obszarów roboczych na podstawie wymagań, takich jak:
- Lokalizacja geograficzna danych.
- Prawa dostępu definiujące, którzy użytkownicy mogą uzyskiwać dostęp do danych.
- Ustawienia konfiguracji, takie jak warstwy cenowe i przechowywanie danych.
Aby utworzyć nowy obszar roboczy, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal. Aby zapoznać się z zagadnieniami dotyczącymi tworzenia wielu obszarów roboczych, zobacz Projektowanie konfiguracji obszaru roboczego usługi Log Analytics.
Struktura danych
Każdy obszar roboczy zawiera wiele tabel, które są zorganizowane w oddzielne kolumny z wieloma wierszami danych. Każda tabela jest definiowana przez unikatowy zestaw kolumn. Wiersze danych udostępniane przez źródło danych współużytkują te kolumny. Zapytania dzienników definiują kolumny danych do pobierania i dostarczania danych wyjściowych do różnych funkcji usługi Azure Monitor i innych usług korzystających z obszarów roboczych.
Ostrzeżenie
Nazwy tabel są używane do celów rozliczeniowych, więc nie powinny zawierać poufnych informacji.
Koszt
Nie ma bezpośrednich kosztów tworzenia lub obsługi obszaru roboczego. Opłaty są naliczane za wysłane do niego dane, czyli pozyskiwanie danych. Opłata jest naliczana za czas przechowywania danych, czyli przechowywanie danych. Te koszty mogą się różnić w zależności od planu danych dziennika każdej tabeli, zgodnie z opisem w temacie Plan danych dziennika.
Aby uzyskać informacje na temat cen, zobacz Cennik usługi Azure Monitor. Aby uzyskać wskazówki dotyczące obniżania kosztów, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami. Jeśli używasz obszaru roboczego usługi Log Analytics z usługami innymi niż Azure Monitor, zapoznaj się z dokumentacją tych usług, aby uzyskać informacje o cenach.
Przekształcanie obszaru roboczego DCR
Reguły zbierania danych (DCR), które definiują dane przychodzące do usługi Azure Monitor, mogą obejmować przekształcenia, które umożliwiają filtrowanie i przekształcanie danych przed ich pozyskiwaniem do obszaru roboczego. Ponieważ wszystkie źródła danych nie obsługują jeszcze kontrolerów DOMENY, każdy obszar roboczy może mieć przekształcenie obszaru roboczego DCR.
Przekształcenia w przekształcaniu obszaru roboczego DCR są definiowane dla każdej tabeli w obszarze roboczym i mają zastosowanie do wszystkich danych wysyłanych do tej tabeli, nawet jeśli są wysyłane z wielu źródeł. Te przekształcenia dotyczą tylko przepływów pracy, które nie używają jeszcze kontrolera domeny. Na przykład agent usługi Azure Monitor używa kontrolera domeny do definiowania danych zebranych z maszyn wirtualnych. Te dane nie będą podlegać żadnym przekształceniom czasu pozyskiwania zdefiniowanym w obszarze roboczym.
Na przykład możesz mieć ustawienia diagnostyczne, które wysyłają dzienniki zasobów dla różnych zasobów platformy Azure do obszaru roboczego. Możesz utworzyć przekształcenie dla tabeli, która zbiera dzienniki zasobów, które filtruje te dane tylko dla żądanych rekordów. Ta metoda pozwala zaoszczędzić koszt pozyskiwania rekordów, których nie potrzebujesz. Możesz również wyodrębnić ważne dane z niektórych kolumn i przechowywać je w innych kolumnach w obszarze roboczym, aby obsługiwać prostsze zapytania.
Przechowywanie i archiwizowanie danych
Dane w każdej tabeli w obszarze roboczym usługi Log Analytics są przechowywane przez określony okres czasu, po którym zostaną usunięte lub zarchiwizowane z obniżoną opłatą za przechowywanie. Ustaw czas przechowywania, aby zrównoważyć wymagania dotyczące udostępniania danych dzięki zmniejszeniu kosztów przechowywania danych.
Aby uzyskać dostęp do zarchiwizowanych danych, musisz najpierw pobrać z nich dane w tabeli Dzienniki analizy przy użyciu jednej z następujących metod:
| Metoda | opis |
|---|---|
| Zadania wyszukiwania | Pobieranie danych spełniających określone kryteria. |
| Przywracanie | Pobieranie danych z określonego zakresu czasu. |
Uprawnienia
Uprawnienie dostępu do danych w obszarze roboczym usługi Log Analytics jest definiowane przez tryb kontroli dostępu, który jest ustawieniem w każdym obszarze roboczym. Możesz przyznać użytkownikom jawny dostęp do obszaru roboczego przy użyciu wbudowanej lub niestandardowej roli. Możesz też zezwolić na dostęp do danych zebranych dla zasobów platformy Azure użytkownikom z dostępem do tych zasobów.
Aby uzyskać informacje na temat różnych opcji uprawnień i sposobu konfigurowania uprawnień, zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor .
Następne kroki
- Utwórz nowy obszar roboczy usługi Log Analytics.
- Aby zapoznać się z zagadnieniami dotyczącymi tworzenia wielu obszarów roboczych, zobacz Projektowanie konfiguracji obszaru roboczego usługi Log Analytics.
- Dowiedz się więcej o zapytaniach dzienników w celu pobierania i analizowania danych z obszaru roboczego usługi Log Analytics.