Visão Geral do workspace do Log Analytics
Um workspace do Log Analytics é um ambiente exclusivo para dados de log Azure Monitor e outros serviços do Azure, como o Microsoft Sentinel e o Microsoft Defender para Nuvem. Cada workspace tem seu próprio repositório de dados e configuração, mas pode combinar dados de vários serviços. Este artigo fornece uma visão geral dos conceitos relacionados aos workspaces do Log Analytics, bem como links para outras documentações a fim de obter mais detalhes sobre cada um.
Importante
Você pode ver o termo workspace do Microsoft Sentinel usado na documentação do Microsoft Sentinel. Esse workspace é o mesmo workspace do Log Analytics descrito neste artigo, porém é habilitado para o Microsoft Sentinel. Todos os dados no workspace estão sujeitos aos preços do Microsoft Sentinel, conforme descrito na seção Custo.
Você pode usar um único workspace para toda a sua coleta de dados. Você também pode criar vários workspaces com base em requisitos como:
- A localização geográfica dos dados.
- Direitos de acesso que definem quais usuários podem acessar os dados.
- Configurações como tipos de preço e retenção de dados.
Para criar um novo workspace, confira Criar um workspace do Log Analytics no portal do Azure. Para obter considerações sobre como criar vários workspaces, consulte Criar uma configuração de workspace do Log Analytics.
Estrutura de dados
Cada workspace contém várias tabelas que são organizadas em colunas separadas com várias linhas de dados. Cada tabela é definida por um conjunto exclusivo de colunas. As linhas de dados fornecidas pela fonte de dados compartilham essas colunas. As consultas de log definem colunas de dados para recuperar e fornecer saída para diferentes recursos do Azure Monitor e outros serviços que usam workspaces.
Aviso
Os nomes de tabela são usados para fins de cobrança, portanto, eles não devem conter informações confidenciais.
Cost
Não há custo direto para criar ou manter um workspace. Você é cobrado pelos dados enviados a ele, que também é conhecido como ingestão de dados. Você é cobrado por quanto tempo esses dados são armazenados, o que também é conhecido como retenção de dados. Esses custos podem variar com base no plano de dados de log de cada tabela, conforme descrito em Planos de dados de log.
Para obter mais informações sobre preço, confira Preço do Azure Monitor. Para obter diretrizes sobre como reduzir seus custos, consulte as Práticas recomendadas do Azure Monitor – Gerenciamento de custo. Se estiver usando seu workspace do Log Analytics com serviços que não o Azure Monitor, consulte a documentação desses serviços para obter informações sobre preços.
DCR de transformação do workspace
As DCRs (regras de coleta de dados) que definem os dados que vêm do Azure Monitor podem incluir transformações que permitem filtrar e transformar dados antes que eles sejam ingeridos no workspace. Como todas as fontes de dados ainda não dão suporte a DCRs, cada espaço de trabalho pode ter um DCR de transformação de espaço de trabalho.
As transformações são definidas para cada tabela em um espaço de trabalho e se aplicam a todos os dados enviados a essa tabela, mesmo que sejam enviados de várias fontes. Essas transformações se aplicam apenas a fluxos de trabalho que ainda não usam uma DCR. Por exemplo, o agente do Azure Monitor usa uma DCR para definir dados coletados de máquinas virtuais. Esses dados não estarão sujeitos a nenhuma transformação de tempo-ingestão definidas no workspace.
Por exemplo, você pode ter configurações de diagnóstico que enviam logs de recursos para diferentes recursos do Azure para o seu workspace. Você pode criar uma transformação para a tabela que colete os logs de recursos que filtram esses dados apenas para os registros que você deseja. Esse método economiza o custo de ingestão para registros que você não precisa. Talvez também seja recomendável extrair dados importantes de determinadas colunas e armazená-los em outras colunas no workspace para dar suporte a consultas mais simples.
Arquivamento e retenção de dados
Os dados de cada tabela em um workspace do Log Analytics são retidos por um período de tempo especificado após o qual eles serão removidos ou arquivados com um valor de retenção reduzido. Definir o tempo de retenção para equilibrar sua necessidade de ter dados disponíveis com redução do custo de retenção de dados.
Para acessar dados arquivados, você deve primeiro recuperar dados em uma tabela de logs de análise usando um dos seguintes métodos:
| Método | Descrição |
|---|---|
| Trabalhos de pesquisa | Recuperar dados que correspondam a critérios específicos. |
| Restaurar | Recuperar dados de um intervalo de tempo específico. |
Permissões
A permissão para acessar dados em um workspace do Log Analytics é definida pelo modo de controle de acesso, que é uma configuração em cada workspace. Você pode conceder aos usuários acesso explícito ao workspace usando uma função interna ou personalizada. Ou você pode permitir o acesso aos dados coletados para recursos do Azure para usuários com acesso a esses recursos.
Consulte Gerenciar o acesso a dados de log e workspaces no Azure Monitor para obter informações sobre as diferentes opções de permissão e sobre como configurar permissões.
Próximas etapas
- Crie um workspace do Log Analytics.
- Consulte Criar uma configuração de workspace do Log Analytics, para obter considerações sobre como criar vários workspaces.
- Saiba mais sobre consultas de log para recuperar e analisar dados de um espaço de trabalho do Log Analytics.