Práticas recomendadas para logs do Azure Monitor

Este artigo fornece práticas recomendadas de arquitetura para logs do Azure Monitor. As diretrizes se baseiam nos cinco pilares de excelência em arquitetura descritos no Azure Well-Architected Framework.

Fiabilidade

Confiabilidade se refere à capacidade de um sistema de se recuperar de falhas e continuar funcionando. O objetivo é minimizar os efeitos de qualquer componente com falha. Use as informações a seguir para minimizar a falha dos workspaces do Log Analytics e proteger os dados que eles coletam.

Os Workspaces do Log Analytics oferecem um alto grau de confiabilidade. O pipeline de ingestão, que envia dados coletados para o workspace do Log Analytics, valida que o workspace do Log Analytics processa com sucesso cada registro de log antes de remover o registro do pipe. Se o pipeline de ingestão não estiver disponível, os agentes que enviam o buffer de dados e tentam enviar novamente os registros por muitas horas.

Recursos de Logs do Azure Monitor que aprimoram a resiliência

Os Logs do Azure Monitor oferecem vários recursos que aprimoram a resiliência de workspaces em relação a vários tipos de problemas. Você pode usar esses recursos individualmente ou em combinação, dependendo das suas necessidades.

Esse vídeo oferece uma visão geral das opções de confiabilidade e resiliência disponíveis para workspaces do Log Analytics:

Proteção na região usando zonas de disponibilidade

Cada região do Azure que dá suporte a zonas de disponibilidade tem um conjunto de datacenters equipados com potência, resfriamento e infraestrutura de rede independentes.

As Zonas de Disponibilidade dos Logs do Azure Monitor são redundantes, o que significa que a Microsoft distribui solicitações de serviço e replica dados em diferentes zonas nas regiões suportadas. Se um incidente afetar uma zona, a Microsoft usará automaticamente uma zona de disponibilidade diferente na região. Você não precisa realizar nenhuma ação, pois a troca entre zonas ocorre de forma contínua.

Na maioria das regiões, as zonas de disponibilidade dos Logs do Azure Monitor dão suporte à resiliência de dados, o que significa que os seus dados armazenados estão protegidos contra perda de dados relacionada a falhas zonais, mas as operações de serviço ainda podem ser afetadas por incidentes regionais. Se o serviço não puder executar consultas, você não poderá exibir os logs até que o problema seja resolvido.

Um subconjunto das zonas de disponibilidade que dão suporte à resiliência de dados também dá suporte à resiliência do serviço, o que significa que as operações de serviço de Logs do Azure Monitor – por exemplo, ingestão de log, consultas e alertas – podem continuar em caso de falha de zona.

As zonas de disponibilidade protegem contra incidentes relacionados à infraestrutura, como falhas de armazenamento. Eles não protegem contra problemas no nível do aplicativo, como implantações de código com falha ou falhas de certificado, que afetam toda a região.

Backup de dados de tabelas específicas usando exportação contínua

Você pode exportar continuamente os dados enviados para tabelas específicas em seu workspace do Log Analytics para contas de armazenamento do Azure.

A conta de armazenamento para a qual você exporta dados deve estar na mesma região que o seu workspace do Log Analytics. Para proteger e ter acesso aos logs ingeridos, mesmo que a região do workspace esteja inativa, use uma conta de armazenamento com redundância geográfica, conforme explicado nas Recomendações de configuração.

O mecanismo de exportação não oferece proteção contra incidentes que possam afetar o pipeline de ingestão ou o processo de exportação em si.

Observação

Você pode acessar dados em uma conta de armazenamento dos Logs do Azure Monitor usando o operador externaldata. No entanto, os dados exportados são armazenados em blobs de cinco minutos e a análise de dados abrangendo vários blobs pode ser complicada. Portanto, exportar dados para uma conta de armazenamento é um bom mecanismo de backup de dados, mas ter os dados de backup em uma conta de armazenamento não é ideal se você precisar deles para análise nos Logs do Azure Monitor. Você pode consultar grandes volumes de dados de blob usando o Azure Data Explorer, o Azure Data Factory ou qualquer outra ferramenta de acesso ao armazenamento.

Proteção de dados entre regiões e resiliência de serviço usando replicação de espaço de trabalho

A replicação do espaço de trabalho é a solução de resiliência mais abrangente, pois replica o espaço de trabalho do Log Analytics e os logs de entrada para outra região.

A replicação do workspace protege os logs e as operações de serviço e permite que você continue monitorando seus sistemas em caso de incidentes em toda a região relacionados à infraestrutura ou ao aplicativo.

Em contraste com as zonas de disponibilidade, que a Microsoft gerencia de ponta a ponta, você precisa monitorar o estado do seu espaço de trabalho primário e decidir quando transferir para o espaço de trabalho na região secundária e quando voltar.

Lista de verificação de projeto

• Para garantir a resiliência do serviço e dos dados perante incidentes em toda a região, habilite a replicação do espaço de trabalho.
• Para garantir a proteção na região contra falha do datacenter, crie o seu workspace em uma região que dê suporte a zonas de disponibilidade.
• Para backup entre regiões de dados em tabelas específicas, use o recurso de exportação contínua para enviar dados para uma conta de armazenamento replicada geograficamente.
• Monitorar a integridade de workspaces do Log Analytics.

Recomendações de configuração

Recomendação	Benefício
Para garantir o maior grau de resiliência, habilite a replicação de workspace.	Resiliência entre regiões para operações de dados e serviços do espaço de trabalho. A replicação de workspace garante alta disponibilidade criando uma instância secundária do workspace em outra região e ingerindo seus logs em ambos os workspaces. Quando necessário, alterne para o workspace secundário até que os problemas que afetam o seu workspace primário sejam resolvidos. Você pode continuar ingerindo logs, consultando dados e usando painéis, alertas e o Sentinel em seu workspace secundário. Você também tem acesso aos logs ingeridos antes da mudança de região. Este é um recurso pago, portanto, considere se você deseja replicar todos os logs de entrada ou apenas alguns fluxos de dados.
Se possível, crie o seu workspace em uma região que dê suporte à resiliência de serviço do Azure Monitor.	Resiliência na região de operações de serviço e dados de workspace em caso de problemas de datacenter. As Zonas de Disponibilidade que dão suporte à resiliência do serviço também dão suporte à resiliência de dados. Isso significa que, mesmo que um datacenter inteiro fique indisponível, a redundância entre zonas permite que as operações de serviço do Azure Monitor, como ingestão e consulta, continuem funcionando e os logs ingeridos permaneçam disponíveis. As Zonas de Disponibilidade fornecem proteção dentro da região, mas não protegem contra problemas que afetam toda a região. Para obter informações sobre quais regiões dão suporte à resiliência de dados, confira Aprimorar a resiliência de dados e serviços nos Logs do Azure Monitor com zonas de disponibilidade.
Crie o seu workspace em uma região que dê suporte à resiliência de dados.	Proteção na região contra perda dos logs em seu workspace em caso de problemas de datacenter. Criar o seu workspace em uma região que dê suporte à resiliência de dados significa que, mesmo que todo o datacenter fique indisponível, os logs ingeridos estarão seguros. Se o serviço não puder executar consultas, você não poderá exibir os logs até que o problema seja resolvido. Para obter informações sobre quais regiões dão suporte à resiliência de dados, confira Aprimorar a resiliência de dados e serviços nos Logs do Azure Monitor com zonas de disponibilidade.
Configure a exportação de dados de tabelas específicas para uma conta de armazenamento replicada entre regiões.	Mantenha uma cópia de backup dos dados de log em uma região diferente. O recurso de exportação de dados do Azure Monitor permite exportar continuamente os dados enviados para tabelas específicas para o armazenamento do Azure, onde eles podem ser retidos por longos períodos. Use um armazenamento com redundância geográfica (GRS) ou uma conta de armazenamento com redundância de zona geográfica (GZRS) para manter seus dados seguros mesmo que uma região inteira fique indisponível. Para tornar seus dados legíveis a partir das outras regiões, configure a sua conta de armazenamento para acesso de leitura à região secundária. Para obter mais informações, confira Redundância do Armazenamento do Azure em uma região secundária e Acesso de leitura do Armazenamento do Azure aos dados na região secundária. Para tabelas que não dão suporte à exportação contínua de dados, você pode usar outros métodos de exportação de dados, incluindo os Aplicativos Lógicos, para proteger seus dados. Essa é principalmente uma solução para atender à conformidade de retenção de dados, uma vez que os dados podem ser difíceis de analisar e restaurar no espaço de trabalho. A exportação de dados é suscetível a incidentes regionais porque depende da estabilidade do pipeline de ingestão de dados do Azure Monitor na sua região. Ele não fornece resiliência contra incidentes que impactam a cadeia de ingestão regional.
Monitorar a integridade de workspaces do Log Analytics.	Use os insights do workspace do Log Analytics para acompanhar consultas com falha e criar um alerta de status da integridade para notificar proativamente se um workspace ficar indisponível devido a uma falha regional ou de datacenter.

Comparar os recursos de resiliência dos Logs do Azure Monitor

Característica	Resiliência do serviço	Backup de dados	Alta disponibilidade	Escopo da proteção	Configuração	Custo
Replicação do workspace	✅	✅	✅	Proteção entre regiões contra incidentes em toda a região	Habilite a replicação do workspace e das regras de coleta de dados relacionadas. Alterne entre regiões conforme necessário.	Com base no número de GBs replicados e região.
Zonas de disponibilidade	✅ Nas regiões com suporte	✅	✅	Proteção dentro da região contra problemas de datacenter	Habilitado automaticamente em regiões com suporte.	Sem custos
Exportação contínua de dados		✅		Proteção contra perda de dados devido a uma falha regional 1	Habilitar por tabela.	Custo da exportação de dados + Blobs de armazenamento ou Hubs de Eventos

¹ A exportação de dados fornece proteção entre regiões se você exportar logs para uma conta de armazenamento replicada geograficamente. No caso de um incidente, os dados exportados anteriormente são apoiados e estão prontamente disponíveis; entretanto, a exportação adicional pode falhar, dependendo da natureza do incidente.

Segurança

A Segurança é um dos aspectos mais importantes de qualquer arquitetura. O Azure Monitor fornece recursos para empregar os princípios de privilégios mínimos e defesa em profundidade. Use as informações a seguir para maximizar a segurança dos workspaces do Log Analytics e garantir que apenas usuários autorizados acessem os dados coletados.

Conceder acesso aos dados no workspace com base na necessidade

1. Defina o modo de controle de acesso para o workspace como Usar permissões de recurso ou workspace para permitir que os proprietários de recursos usem o resource-context para acessar seus dados sem ter acesso explícito ao workspace. Isso simplifica a configuração do workspace e ajuda a garantir que os usuários tenham acesso apenas aos dados necessários.
   Instruções: Gerenciar o acesso aos workspaces do Log Analytics
2. Atribua a função integrada apropriada para conceder permissões de espaço de trabalho aos administradores no nível de assinatura, nível de grupo de recursos ou nível de espaço de trabalho, dependendo de seu escopo de responsabilidades.
   Instruções: Gerenciar o acesso aos workspaces do Log Analytics
3. Aplique o RBAC de nível de tabela para usuários que exigem acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso.
   Instruções: Gerenciar o acesso aos workspaces do Log Analytics

Proteger os dados de logs em trânsito

Se você usar agentes, conectores ou as APIs de Logs para consultar ou enviar dados para seu espaço de trabalho, use o TLS (Transport Layer Security) 1.2 ou superior para garantir a segurança dos dados em trânsito. Versões mais antigas do TLS e da SSL (Secure Sockets Layer) têm vulnerabilidades e, embora ainda funcionem para permitir compatibilidade com versões anteriores, elas não são recomendadas e o setor rapidamente se moveu para abandonar o suporte para esses protocolos mais antigos.

O Conselho de Normas de Segurança da PCI estabeleceu um prazo de 30 de junho de 2018 para desabilitar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Depois que o Azure remover o suporte herdado, os clientes que não se comunicarem completamente pelo TLS 1.2 ou superior não poderão enviar ou consultar dados para logs do Azure Monitor.

Não configure explicitamente seus agentes, conectores de dados ou aplicativos de API para usar apenas o TLS 1.2, a menos que seja necessário. É recomendável permitir que eles detectem, negociem e aproveitem os padrões de segurança futuros automaticamente. Caso contrário, você poderá perder a segurança adicionada dos padrões mais novos e, possivelmente, ter problemas se o TLS 1.2 for preterido em favor desses padrões mais novos.

Importante

Em alinhamento com a desativação do TLS herdado em todo o Azure, os protocolos TLS 1.0 e 1.1 serão completamente bloqueados para os Logs do Azure Monitor conforme as datas indicadas na tabela a seguir. Para fornecer criptografia de nível superior, os Logs do Azure Monitor já utilizam TLS 1.2/1.3 como os mecanismos de criptografia escolhidos.

Data de imposição	Consultar pontos de extremidade da API	Versão do protocolo TLS
1 de julho de 2025	Endpoints da API de Consulta de Logs	TLS 1.2 ou superior
1 de março de 2026	Terminais da API de Ingestão de Logs	TLS 1.2 ou superior

Ação recomendada

Para evitar possíveis interrupções de serviço, confirme se os recursos que interagem com os pontos de extremidade da API de Logs não têm dependências em protocolos TLS 1.0 ou 1.1 e dão suporte total ao TLS 1.2.

Geral

Para obter perguntas gerais sobre o problema TLS herdado ou como testar conjuntos de criptografia com suporte, consulte Solving TLS problems and Azure Resource Manager TLS Support.

Identificar VMs que não têm TLS 1.2+

Listar VMs com sistemas operacionais que não têm suporte para TLS 1.2:

1. Use uma consulta do Azure Resource Graph para auditar as versões do sistema operacional de suas VMs.
2. No portal do Azure, acesse o Resource Manager e selecione Gerenciador de grafo de recursos. A consulta a seguir localiza todas as VMs no escopo fornecido que têm um sistema operacional que não dá suporte ao TLS 1.2. Essa consulta lista apenas a versão do sistema operacional para VMs iniciadas.

Resources
| where type =~ 'microsoft.compute/virtualmachines'
| extend vmName   = properties.osProfile.computerName
| extend osOffer  = properties.storageProfile.imageReference.offer
| extend osSku    = properties.storageProfile.imageReference.sku
| extend osName   = properties.extended.instanceView.osName
| extend osVersion= properties.extended.instanceView.osVersion
// Match common legacy OS names with one clause
| where osName has_any (
    'Windows XP',
    'Windows Vista',
    'Windows Server 2003',
    'CentOS 5',
    'Red Hat Enterprise Linux 5',
    'Ubuntu 10.04',
    'Ubuntu 12.04'
)
or (osName has 'Windows Server 2008' and osVersion !contains 'R2')  // special case
| project name, resourceGroup, location, vmName, osOffer, osSku, osName, osVersion, sku

3. Priorize a atualização dessas VMs para uma versão do sistema operacional que dê suporte ao TLS 1.2 ou migre a carga de trabalho para uma VM que o faça.

Para obter perguntas gerais sobre o problema TLS herdado ou como testar conjuntos de criptografia com suporte, consulte Solving TLS problems and Azure Resource Manager TLS Support.

Identificar VMs que podem dar suporte a TSL 1.2+

Listar VMs que dão suporte ao TLS 1.2, mas devem ser verificadas:

1. Use uma consulta do Azure Resource Graph para auditar as versões do sistema operacional de suas VMs.
2. No portal do Azure, acesse o Resource Manager e selecione Gerenciador de grafo de recursos. A consulta a seguir localiza todas as VMs no escopo fornecido que têm um sistema operacional que dá suporte ao TLS 1.2. Alguns desses sistemas operacionais não dão suporte ao TLS 1.2 por padrão ou podem ter o TLS 1.2 desabilitado. Essa consulta lista apenas a versão do sistema operacional para VMs iniciadas.

Resources
| where type =~ 'microsoft.compute/virtualmachines'
| extend vmName    = properties.osProfile.computerName
| extend osOffer   = properties.storageProfile.imageReference.offer
| extend osSku     = properties.storageProfile.imageReference.sku
| extend osName    = properties.extended.instanceView.osName
| extend osVersion = properties.extended.instanceView.osVersion
// Combine all OS names into one clause
| where osName has_any (
    // Windows OS supporting TLS 1.2+
    'Windows 7',
    'Windows 8',
    'Windows 10',
    'Windows 11',
    'Windows Server 2008 R2',
    'Windows Server 2012',
    'Windows Server 2016',
    'Windows Server 2019',
    'Windows Server 2022',
    // Linux OS supporting TLS 1.2+
    'CentOS 6',
    'CentOS 7',
    'Red Hat Enterprise Linux 6',
    'Red Hat Enterprise Linux 7',
    'Ubuntu 14.04',
    'Ubuntu 16.04',
    'Ubuntu 18.04',
    'Ubuntu 20.04'
)
| project name, resourceGroup, location, vmName, osOffer, osSku, osName, osVersion, sku

3. Desabilite o TLS 1.0 e 1.1 e habilite o TLS 1.2. Para obter mais informações, consulte Configurar o TLS 1.2 para o agente.

Praticamente qualquer versão do Windows mais antiga que as versões mais recentes ainda tem o TLS 1.0 ou 1.1 disponível. O Windows 7 e posteriores podem habilitar o TLS 1.2, mas não desabilitam automaticamente o TLS 1.0 e 1.1. Somente as próximas versões do Windows planejam desativá-las por padrão. Identifique sistemas sem capacidade de dar suporte ao TLS 1.2 e sistemas que exigem uma atualização ou alteração de registro para dar suporte ao TLS 1.2.

No Linux, o suporte ao protocolo TLS é fornecido por bibliotecas (como OpenSSL, NSS, GnuTLS) enviadas com o sistema operacional. Versões do ManyLinux anteriores a 2018-2020 dão suporte ao TLS 1.0 e 1.1 e as deixam habilitadas por padrão. As versões mais recentes começaram a desabilitar o TLS herdado por padrão.

Para obter perguntas gerais sobre o problema TLS herdado ou como testar conjuntos de criptografia com suporte, consulte Solving TLS problems and Azure Resource Manager TLS Support.

Configurar auditoria de consultas de log

1. Configure a auditoria de consulta de log para registrar os detalhes de cada consulta executada em um workspace.
   Instruções: Auditar consultas nos Logs do Azure Monitor
2. Trate os dados de auditoria da consulta de log como dados de segurança e proteja o acesso à tabela LAQueryLogs adequadamente.
   Instruções: configurar o acesso aos dados no workspace com base na necessidade.
3. Se você separar seus dados operacionais e de segurança, envie os logs de auditoria de cada espaço de trabalho para o espaço de trabalho local ou consolide-os em um espaço de trabalho de segurança dedicado.
   Instruções: configurar o acesso aos dados no workspace com base na necessidade.
4. Use os insights do workspace do Log Analytics para examinar periodicamente os dados de auditoria de consulta de log.
   Instruções: insights do workspace do Log Analytics.
5. Crie regras de alerta de pesquisa de log para notificá-lo se usuários não autorizados estiverem tentando executar consultas.
   Instruções: regras de alertas para busca de logs.

Garantir a imutabilidade dos dados de auditoria

O Azure Monitor é uma plataforma de dados de somente adição, mas inclui recursos para excluir dados para fins de conformidade. Para proteger seus dados de auditoria:

1. Defina um bloqueio no workspace do Log Analytics para bloquear todas as atividades que podem excluir dados, incluindo limpeza, exclusão de tabela e alterações de retenção de dados no nível de tabela ou workspace. No entanto, tenha em mente que esse bloqueio pode ser removido.
   Instruções: bloquear seus recursos para proteger sua infraestrutura

2. Se você precisar de uma solução totalmente à prova de violação, recomendamos exportar seus dados para uma solução de armazenamento imutável:

   1. Determine os tipos de dados específicos que devem ser exportados. Nem todos os tipos de log têm a mesma relevância para conformidade, auditoria ou segurança.
   2. Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure.
      Instruções: Exportação de dados do workspace do Log Analytics no Azure Monitor
   3. Defina políticas de imutabilidade para proteger contra violação de dados.
      Instruções: Configurar políticas de imutabilidade para versões de blobs

Filtrar ou ofuscar dados confidenciais em seu workspace

Se os dados de log incluirem informações confidenciais:

1. Filtre registros que não devem ser coletados usando a configuração da fonte de dados específica.
2. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas.
   Instruções: Transformações no Azure Monitor
3. Se você tiver padrões que exijam que os dados originais não sejam modificados, use o literal 'h' em consultas KQL para ofuscar os resultados da consulta exibidos em pastas de trabalho.
   Instruções: literais de cadeia de caracteres ofuscados

Limpar dados confidenciais que foram coletados acidentalmente

1. Verifique periodicamente se há dados privados que podem ser coletados acidentalmente em seu workspace.
2. Use a limpeza de dados para remover dados indesejados. Observe que os dados em tabelas com o plano auxiliar não podem ser limpos no momento.
   Instruções: Gerenciando dados pessoais nos Logs do Azure Monitor e no Application Insights

Vincular seu workspace a um cluster dedicado para segurança aprimorada

O Azure Monitor criptografa todos os dados inativos e as consultas salvas usando chaves gerenciadas pela Microsoft (MMK). Se você coletar dados suficientes para um cluster dedicado, vincule seu workspace a um cluster dedicado para recursos de segurança aprimorados, incluindo:

• Chaves gerenciadas pelo cliente para maior flexibilidade e controle de ciclo de vida de chave. Se você usar o Microsoft Sentinel, verifique se está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel.
• Caixa de bloqueio do cliente do Microsoft Azure para examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente. O Sistema de Proteção de Dados do Cliente é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar.

Instruções: Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor

Bloquear o acesso ao workspace de redes públicas usando o link privado do Azure

A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que os recursos se conectem ao workspace do Log Analytics por meio de redes privadas autorizadas. Você também pode usar o link privado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN.

Instruções: Criar a configuração do Link Privado do Azure

Otimização de custo

A Otimização de custos se refere a maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Você pode reduzir consideravelmente seus custos com o Azure Monitor compreendendo as diferentes opções de configuração e oportunidades a fim de reduzir o volume de dados coletados. Confira Custos e uso do Azure Monitor para entender as diferentes maneiras de cobrança do Azure Monitor e como ver sua fatura mensal.

Observação

Confira Otimizar custos no Azure Monitor para obter recomendações de otimização de custos em todos os recursos do Azure Monitor.

Lista de verificação de projeto

• Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics.
• Configure o tipo de preço para a quantidade de dados que cada workspace do Log Analytics normalmente coleta.
• Configure a retenção e o arquivamento de dados.
• Configure as tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos.
• Limite a coleta de dados de fontes de dados para o espaço de trabalho.
• Analise regularmente os dados coletados para identificar tendências e anomalias.
• Criar um alerta para quando a coleta de dados for alta.
• Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento especificado.
• Configure alertas nas recomendações de custo do Azure Advisor para espaços de trabalho do Log Analytics.

Recomendações de configuração

Recomendação	Benefício
Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics.	Como todos os dados em um workspace do Log Analytics estão sujeitos aos preços do Microsoft Sentinel se o Sentinel estiver habilitado, pode haver implicações de custo para a combinação desses dados. Consulte Elaborar uma estratégia de espaço de trabalho do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando essa decisão com critérios em outros pilares.
Configure o tipo de preço para a quantidade de dados que cada workspace do Log Analytics normalmente coleta.	Por padrão, os workspaces do Log Analytics usam o preço de pagamento conforme o uso sem um volume mínimo de dados. Se você coletar dados suficientes, poderá diminuir consideravelmente seus custos usando uma camada de compromisso, o que permite que você se comprometa com um mínimo diário de dados coletados em troca de uma taxa mais baixa. Se você coletar dados suficientes entre workspaces em uma única região, poderá vinculá-los a um cluster dedicado e combinar o volume coletado usando os preços do cluster. Confira Opções e cálculos de custo dos logs do Azure Monitor para obter detalhes sobre os níveis de compromisso e diretrizes sobre como determinar qual é o mais apropriado para seu nível de uso. Confira Uso e custos estimados para visualizar os custos estimados para seu uso em diferentes níveis de preços.
Configure a retenção de dados interativa e de longo prazo.	Há uma cobrança por reter dados em um workspace do Log Analytics além do padrão de 31 dias (90 dias se o Sentinel estiver habilitado no workspace e 90 dias para dados do Application Insights). Considere seus requisitos específicos para ter dados prontamente disponíveis para consultas de log. Você pode reduzir de maneira significativa o custo configurando retenção de longo prazo, o que permite reter dados por até doze anos e ainda acessá-los ocasionalmente usando trabalhos de pesquisa ou restaurando um conjunto de dados para o workspace.
Configure as tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos.	As tabelas em uma área de trabalho do Log Analytics configurada para Logs Básicos têm um custo de ingestão mais baixo em troca de funcionalidades limitadas e uma tarifa pelas consultas de log. Se você consulta essas tabelas com pouca frequência e não as usa para alertas, esse custo de consulta pode ser mais do que compensado pelo custo reduzido de ingestão.
Limite a coleta de dados de fontes de dados para o espaço de trabalho.	O principal fator para o custo do Azure Monitor é a quantidade de dados coletados em seu workspace do Log Analytics, portanto, você deve garantir que não colete mais dados necessários para avaliar a integridade e o desempenho de seus serviços e aplicativos. Consulte Criar uma arquitetura de workspace do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares. Compensação: pode haver uma compensação entre o custo e seus requisitos de monitoramento. Por exemplo, você pode conseguir detectar um problema de desempenho mais rapidamente com uma alta taxa de amostra, mas talvez você queira uma taxa de amostra mais baixa para economizar custos. A maioria dos ambientes tem várias fontes de dados com diferentes tipos de coleta, portanto, você precisa equilibrar seus requisitos específicos com suas metas de custo para cada um. Consulte a Otimização de custo no Azure Monitor para obter recomendações sobre como configurar a coleta para diferentes fontes de dados.
Analise regularmente os dados coletados para identificar tendências e anomalias.	Use os insights do workspace do Log Analytics para examinar periodicamente a quantidade de dados coletados em seu workspace. Além de ajudar você a entender a quantidade de dados coletados por diferentes fontes, ele identificará anomalias e tendências ascendentes na coleta de dados que podem resultar em custo excessivo. Analise mais a coleta de dados usando os métodos descritos em Analisar o uso no workspace do Log Analytics para determinar se há outras configurações que podem diminuir ainda mais o uso. Isso é particularmente importante ao adicionar um novo conjunto de fontes de dados, como um novo conjunto de máquinas virtuais, ou integrar um novo serviço.
Criar um alerta para quando a coleta de dados for alta.	Para evitar cobranças inesperadas, você deve receber notificações proativas sempre que ocorrer uso excessivo. A notificação permite abordar quaisquer anomalias em potencial antes do final do período de cobrança.
Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento especificado.	Um limite diário desabilita a coleta de dados em um workspace do Log Analytics pelo resto do dia quando o limite configurado é atingido. Isso não deve ser usado como um método para reduzir os custos, conforme descrito em Quando usar um limite diário. Se você definir um limite diário, além de criar um alerta quando o limite for atingido, certifique-se de também criar uma regra de alerta para receber notificação quando algum percentual for atingido (90% por exemplo). Isso oferece a oportunidade de investigar e abordar a causa dos dados aumentados antes que o limite desligue a coleta de dados.
Configure alertas nas recomendações de custo do Azure Advisor para espaços de trabalho do Log Analytics.	As recomendações do Assistente do Azure para workspaces do Log Analytics alertam você proativamente quando há uma oportunidade de otimizar seus custos. Crie alertas do Assistente do Azure para essas recomendações de custo: Considere configurar o plano de logs básicos econômicos em tabelas selecionadas – identificamos a ingestão de mais de 1 GB por mês para tabelas qualificadas para o plano de dados de log Básico de baixo custo. O plano de logs Básico oferece funcionalidades de consulta para depuração e solução de problemas a um custo mais baixo. Considere alterar o tipo de preço– Com base no volume de uso atual, investigue a alteração da camada de preços (Compromisso) para receber um desconto e reduzir os custos. Considere remover tabelas restauradas não utilizadas – você tem uma ou mais tabelas com dados restaurados ativos em sua área de trabalho. Se você não estiver mais usando dados restaurados, exclua a tabela para evitar cobranças desnecessárias. Anomalia de ingestão de dados detectada – identificamos uma taxa de ingestão muito maior na última semana, com base na ingestão nas três semanas anteriores. Anote essa alteração e a alteração esperada em seus custos. Você também pode exibir a recomendação gerada automaticamente selecionando Visão geral>Recomendações ou Recomendações do Assistente no menu de recursos do espaço de trabalho do Log Analytics.

Excelência operacional

A Excelência operacional se refere aos processos de operações necessários para manter um serviço em execução confiável na produção. Use as informações a seguir para minimizar os requisitos operacionais de suporte a workspaces do Log Analytics.

Lista de verificação de projeto

• Crie uma arquitetura de espaços de trabalho com o número mínimo de espaços para atender às suas necessidades empresariais.
• Use IaC (Infraestrutura como Código) ao gerenciar vários workspaces.
• Use os insights do workspace do Log Analytics para acompanhar a integridade e o desempenho dos workspaces do Log Analytics.
• Crie regras de alerta para ser notificado de forma proativa sobre problemas operacionais no espaço de trabalho.
• Verifique se você tem um processo operacional bem definido para a segregação de dados.

Recomendações de configuração

Recomendação	Benefício
Crie uma estratégia de workspace para atender aos requisitos do seu negócio.	Consulte Criar uma arquitetura do workspace do Log Analytics para obter diretrizes sobre como criar uma estratégia para seus workspaces do Log Analytics, incluindo quantos criar e onde colocá-los. Um único ou pelo menos um número mínimo de workspaces maximizará sua eficiência operacional, pois ele limita a distribuição dos seus dados operacionais e de segurança, aumentando sua visibilidade sobre possíveis problemas, facilitando a identificação de padrões e minimizando seus requisitos de manutenção. Você pode ter requisitos para vários workspaces, como vários locatários, ou talvez precise de workspaces em várias regiões para dar suporte aos seus requisitos de disponibilidade. Nesses casos, verifique se você tem os processos apropriados para gerenciar essa complexidade aumentada.
Use IaC (Infraestrutura como Código) ao gerenciar vários workspaces.	Use a IaC (Infraestrutura como Código) para definir os detalhes de seus workspaces no ARM, BICEPou Terraform. Isso permite aproveitar seus processos de DevOps existentes para implantar novos workspaces e Azure Policy para impor sua configuração.
Use os insights do workspace do Log Analytics para acompanhar a integridade e o desempenho dos workspaces do Log Analytics.	O Log Analytics Workspace Insights fornece uma exibição unificada do uso, do desempenho, da saúde, dos agentes, das consultas e do log de alteração de todos os workspaces. Examine essas informações regularmente para acompanhar a integridade e a operação de cada um de seus workspaces.
Crie regras de alerta para ser notificado de forma proativa sobre problemas operacionais no espaço de trabalho.	Cada workspace tem uma tabela de operações que registra atividades importantes que afetam o workspace. Crie regras de alerta com base nessa tabela para serem notificadas proativamente quando ocorrer um problema operacional. Você pode usar alertas recomendados para o espaço de trabalho para simplificar a criação das regras de alerta mais críticas.
Verifique se você tem um processo operacional bem definido para a segregação de dados.	Você pode ter requisitos diferentes para diferentes tipos de dados armazenados em seu workspace. Verifique se você entendeu claramente esses requisitos, como retenção e segurança de dados, ao criar sua estratégia de workspace e definir configurações como permissões e retenção de longo prazo. Você também deve ter um processo claramente definido para ocasionalmente limpar dados com informações pessoais coletadas acidentalmente.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho para atender às demandas exigidas pelos usuários de maneira eficiente. Use as informações a seguir para garantir que os workspaces do Log Analytics e as consultas de log estejam configurados para o desempenho máximo.

Lista de verificação de projeto

• Configure a auditoria de consultas de log e use os insights do Log Analytics Workspace para identificar consultas lentas e ineficientes.

Recomendações de configuração

Recomendação

Benefício

Configure a auditoria de consultas de log e use os insights do Log Analytics Workspace para identificar consultas lentas e ineficientes.

A auditoria de consulta de log armazena o tempo de computação necessário para executar cada consulta e o tempo até que os resultados sejam retornados. As percepções do ambiente de trabalho do Log Analytics usam esses dados para listar consultas potencialmente ineficientes em seu ambiente de trabalho. Considere reescrever essas consultas para melhorar seu desempenho. Consulte Otimizar consultas de log no Azure Monitor para obter diretrizes sobre como otimizar suas consultas de log.

Próxima etapa

• Saiba mais sobre como começar a usar o Azure Monitor.