Visão geral do espaço de trabalho do Log Analytics
Um espaço de trabalho do Log Analytics é um ambiente exclusivo para dados de log do Azure Monitor e de outros serviços do Azure, como o Microsoft Sentinel e o Microsoft Defender for Cloud. Cada espaço de trabalho tem seu próprio repositório de dados e configuração, mas pode combinar dados de vários serviços. Este artigo fornece uma visão geral dos conceitos relacionados aos espaços de trabalho do Log Analytics e fornece links para outras documentações para obter mais detalhes sobre cada um deles.
Importante
Você pode ver o termo espaço de trabalho do Microsoft Sentinel usado na documentação do Microsoft Sentinel . Este espaço de trabalho é o mesmo espaço de trabalho do Log Analytics descrito neste artigo, mas está habilitado para o Microsoft Sentinel. Todos os dados no espaço de trabalho estão sujeitos aos preços do Microsoft Sentinel, conforme descrito na seção Custo .
Você pode usar um único espaço de trabalho para toda a sua coleta de dados. Você também pode criar vários espaços de trabalho com base em requisitos como:
- A localização geográfica dos dados.
- Direitos de acesso que definem quais usuários podem acessar dados.
- Definições de configuração, como níveis de preços e retenção de dados.
Para criar um novo espaço de trabalho, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure. Para obter considerações sobre como criar vários espaços de trabalho, consulte Criar uma configuração de espaço de trabalho do Log Analytics.
Estrutura de dados
Cada espaço de trabalho contém várias tabelas organizadas em colunas separadas com várias linhas de dados. Cada tabela é definida por um conjunto exclusivo de colunas. As linhas de dados fornecidas pela fonte de dados compartilham essas colunas. As consultas de log definem colunas de dados para recuperar e fornecer saída para diferentes recursos do Azure Monitor e outros serviços que usam espaços de trabalho.
Aviso
Os nomes das tabelas são utilizados para efeitos de faturação, pelo que não devem conter informações confidenciais.
Custo
Não há custo direto para criar ou manter um espaço de trabalho. Você é cobrado pelos dados enviados a ele, o que também é conhecido como ingestão de dados. Você é cobrado por quanto tempo esses dados são armazenados, o que também é conhecido como retenção de dados. Esses custos podem variar com base no plano de dados de log de cada tabela, conforme descrito em Plano de dados de log.
Para obter informações sobre preços, consulte Preços do Azure Monitor. Para obter orientação sobre como reduzir seus custos, consulte Práticas recomendadas do Azure Monitor - Gerenciamento de custos. Se você estiver usando seu espaço de trabalho do Log Analytics com serviços diferentes do Azure Monitor, consulte a documentação desses serviços para obter informações sobre preços.
DCR de transformação do espaço de trabalho
As regras de coleta de dados (DCRs) que definem os dados que entram no Azure Monitor podem incluir transformações que permitem filtrar e transformar dados antes que eles sejam ingeridos no espaço de trabalho. Como todas as fontes de dados ainda não oferecem suporte a DCRs, cada espaço de trabalho pode ter um DCR de transformação de espaço de trabalho.
As transformações no DCR de transformação do espaço de trabalho são definidas para cada tabela em um espaço de trabalho e se aplicam a todos os dados enviados para essa tabela, mesmo se enviados de várias fontes. Essas transformações só se aplicam a fluxos de trabalho que ainda não usam um DCR. Por exemplo, o agente do Azure Monitor usa um DCR para definir dados coletados de máquinas virtuais. Esses dados não estarão sujeitos a nenhuma transformação de tempo de ingestão definida no espaço de trabalho.
Por exemplo, você pode ter configurações de diagnóstico que enviam logs de recursos para diferentes recursos do Azure para seu espaço de trabalho. Você pode criar uma transformação para a tabela que coleta os logs de recursos que filtram esses dados apenas para os registros desejados. Este método poupa-lhe o custo de ingestão de registos de que não necessita. Você também pode querer extrair dados importantes de determinadas colunas e armazená-los em outras colunas no espaço de trabalho para oferecer suporte a consultas mais simples.
Retenção e arquivamento de dados
Os dados em cada tabela em um espaço de trabalho do Log Analytics são retidos por um período de tempo especificado, após o qual são removidos ou arquivados com uma taxa de retenção reduzida. Defina o tempo de retenção para equilibrar sua necessidade de ter dados disponíveis com a redução do custo de retenção de dados.
Para acessar dados arquivados, você deve primeiro recuperar dados deles em uma tabela de Logs do Google Analytics usando um dos seguintes métodos:
| Método | Description |
|---|---|
| Pesquisar Ofertas de Emprego | Recupere dados que correspondam a critérios específicos. |
| Restaurar | Recupere dados de um intervalo de tempo específico. |
Permissões
A permissão para acessar dados em um espaço de trabalho do Log Analytics é definida pelo modo de controle de acesso, que é uma configuração em cada espaço de trabalho. Você pode conceder aos usuários acesso explícito ao espaço de trabalho usando uma função interna ou personalizada. Ou, você pode permitir o acesso aos dados coletados para recursos do Azure para usuários com acesso a esses recursos.
Consulte Gerenciar o acesso a dados de log e espaços de trabalho no Azure Monitor para obter informações sobre as diferentes opções de permissão e como configurar permissões.
Próximos passos
- Crie um novo espaço de trabalho do Log Analytics.
- Consulte Criar uma configuração de espaço de trabalho do Log Analytics para obter considerações sobre a criação de vários espaços de trabalho.
- Saiba mais sobre consultas de log para recuperar e analisar dados de um espaço de trabalho do Log Analytics.