Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os workspaces do Log Analytics no Azure Monitor são repositórios centralizados para coletar, armazenar e analisar dados de log e desempenho de várias fontes em seu ambiente do Azure. Esses workspaces servem como o coletor de dados primário para monitorar informações e dão suporte a recursos avançados de consulta, visualização e alertas para ajudá-lo a obter insights sobre a integridade e o desempenho da carga de trabalho.
Este artigo pressupõe que, como arquiteto, você entenda a importância do monitoramento e da observabilidade abrangentes para sua carga de trabalho e tenha escolhido workspaces do Log Analytics como parte de sua estratégia de monitoramento. As diretrizes neste artigo fornecem recomendações arquitetônicas que são alinhadas aos princípios dos pilares do Azure Well-Architected Framework.
Escopo de tecnologia
Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:
- Workspaces do Log Analytics
Fiabilidade
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente a natureza do seu aplicativo e a criticidade de seus componentes. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine os limites de serviço para workspaces do Log Analytics: A seção de limites de serviço explica as restrições à coleta de dados, à retenção de dados e a outros aspectos do serviço. Esses limites ajudam você a criar uma estratégia de observabilidade de carga de trabalho eficaz. Verifique se você analisa os limites de serviço do Azure Monitor porque muitas funções, como consultas, funcionam em conjunto com workspaces do Log Analytics.
Planeje a resiliência e a recuperação do workspace: Os workspaces do Log Analytics são regionais e não têm suporte interno para redundância ou replicação entre regiões. As opções de redundância de zona de disponibilidade são limitadas. Devido a essas limitações, você deve determinar os requisitos de confiabilidade de seus workspaces e estratizar para atender a esses destinos.
Seus requisitos podem estipular que seu workspace deve ser resiliente a falhas de datacenter ou falhas regionais. Ou eles podem estipular que você deve ser capaz de recuperar seus dados para um novo workspace em uma região de failover.
Cada um desses cenários exige que recursos e processos extras sejam bem-sucedidos, portanto, considere cuidadosamente como equilibrar suas metas de confiabilidade com custo e complexidade.
Escolha as regiões de implantação corretas para atender aos seus requisitos de confiabilidade: Implante o workspace do Log Analytics e os DCEs (pontos de extremidade de coleta de dados) co-localizados com os componentes de carga de trabalho que emitem dados operacionais. Onde você implanta sua carga de trabalho deve informar sua escolha da região apropriada na qual implantar seu workspace e seus DCEs.
Talvez seja necessário avaliar a disponibilidade regional de funcionalidades específicas do Log Analytics, como clusters dedicados, em relação a outros fatores que são mais centrais para os requisitos de confiabilidade, custo e desempenho da carga de trabalho.
Exclua workspaces de dependências de caminho crítico: Os workspaces do Log Analytics servem como componentes importantes do seu sistema de observabilidade, mas você não deve incluí-los no caminho crítico da carga de trabalho. Esses workspaces coletam e armazenam dados operacionais essenciais para monitoramento e solução de problemas. No entanto, a funcionalidade principal da carga de trabalho deve permanecer independente da disponibilidade do workspace. Essa separação arquitetônica garante que as interrupções do sistema de observabilidade não se transformem em falhas de runtime de carga de trabalho.
Verifique se os sistemas de observabilidade estão íntegros: Assim como qualquer outro componente da carga de trabalho, verifique se os sistemas de monitoramento e registro em log estão funcionando corretamente. Para obter uma observabilidade confiável, habilite recursos que enviam sinais de dados de integridade para suas equipes de operações. Configure sinais de dados de integridade específicos para seus workspaces do Log Analytics e recursos associados.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Para dar suporte à alta durabilidade dos dados do workspace, implante workspaces do Log Analytics em uma região que dê suporte à resiliência de dados. | A resiliência de dados espalha réplicas de seus dados de registro entre zonas de disponibilidade específicas, que fornecem proteção contra interrupções de centro de dados. |
| Considere vincular o workspace a um cluster dedicado na mesma região. | Mesmo que você não colete dados suficientes agora para justificar um cluster dedicado, essa escolha regional preemptiva ajuda a dar suporte ao crescimento futuro. |
| Implante seu workspace na mesma região que as instâncias da carga de trabalho. Use DCEs na mesma região que o workspace do Log Analytics. Se sua carga de trabalho for implantada em um design ativo-ativo, considere usar vários workspaces e DCEs espalhados pelas regiões em que sua carga de trabalho é implantada. |
Ter seu workspace e DCEs na mesma região que sua carga de trabalho reduz o risco de impactos por interrupções em outras regiões. Implantar workspaces em várias regiões adiciona complexidade ao seu ambiente, mas fornece melhor disponibilidade para cargas de trabalho distribuídas geograficamente. |
| Configure o multicasting de log para enviar dados críticos para vários workspaces em regiões diferentes quando a disponibilidade do workspace durante falhas regionais for necessária. Configure dcrs (regras de coleta de dados) e configurações de diagnóstico para duplicar fluxos de log críticos para fazer backup de workspaces. Armazene modelos do ARM (modelos do ARM) do Azure Resource Manager para alertar recursos com configurações alternativas de workspace para habilitar o failover rápido. |
O multicasting de log garante acesso contínuo a dados operacionais críticos para solução de problemas e resposta a incidentes durante interrupções regionais. Esse acesso mantém a visibilidade da integridade da carga de trabalho quando a infraestrutura de monitoramento primário não está disponível. Compensação: essa configuração resulta em encargos duplicados de ingestão e retenção, portanto, use-a apenas para dados críticos. |
| Se você precisar que os dados sejam protegidos em um datacenter ou uma falha na região, configure a exportação de dados do workspace para salvar dados em um local alternativo. Use as opções de redundância do Armazenamento do Azure, incluindo GRS (armazenamento com redundância geográfica) e GZRS (armazenamento com redundância de zona geográfica), para replicar ainda mais esses dados para outras regiões. A exportação de dados não fornece resiliência em relação a incidentes que afetam o pipeline de ingestão regional. Se você precisar da exportação de tabelas não compatíveis com a exportação de dados, poderá usar outros métodos de exportação de dados, incluindo aplicativos lógicos do Azure, para proteger seus dados. |
Os dados históricos do log operacional podem não ser prontamente consultáveis no estado exportado. No entanto, ele garante que os dados sobrevivam a uma interrupção regional prolongada e possam ser acessados e retidos por um longo período. |
| Para cargas de trabalho críticas, considere implementar um modelo de workspace federado que usa vários workspaces para fornecer alta disponibilidade se houver uma falha regional. Para implementar essa abordagem, siga as diretrizes descritas na modelagem de integridade e na observabilidade de cargas de trabalho críticas no Azure para criar aplicativos altamente confiáveis no Azure. |
A metodologia de design inclui um modelo de workspace federado com vários workspaces do Log Analytics para fornecer alta disponibilidade se houver várias falhas, incluindo a falha de uma região do Azure. Essa estratégia elimina os custos de saída entre regiões e sua carga de trabalho permanece operacional durante uma falha na região. |
| Crie DCRs com um único princípio de responsabilidade para manter as regras dcr simples e minimizar a transformação em DCRs, conforme descrito nas práticas recomendadas para criação e gerenciamento de regras de coleta de dados. Use a composição de atribuições de regra para alcançar o escopo de observabilidade desejado para o destino lógico. |
Quando você usa DCRs com foco restrito, ele minimiza o risco de uma configuração incorreta de regra ter um efeito mais amplo. Ele também limita o efeito apenas ao escopo para o qual o DCR foi criado. A transformação pode ser poderosa e necessária em alguns cenários, mas pode ser desafiador testar e solucionar problemas de trabalho de KQL (linguagem de consulta de palavra-chave). |
| Defina as configurações diárias de limite para evitar a ingestão descontrolada, garantindo que a coleta de dados operacionais crítica continue. Defina o limite acima do volume de ingestão diário típico e crie alertas ao se aproximar da capacidade de investigar antes que a coleta de dados crítica seja interrompida. Estabeleça políticas de retenção de dados que se alinhem aos requisitos de solução de problemas e resposta a incidentes. Essa abordagem retém tipos de log críticos por períodos suficientes para dar suporte à análise de causa raiz. |
Os caps diários ajudam a garantir a disponibilidade contínua de dados essenciais de solução de problemas durante interrupções e incidentes, impedindo que a configuração incorreta interrompa a coleta de logs crítica necessária para resposta rápida a incidentes. As políticas de retenção adequadas mantêm o acesso aos dados operacionais históricos necessários para análise de causa raiz eficaz, identificação de tendência e reconhecimento de padrões que dão suporte a operações de carga de trabalho confiáveis e tempo médio mais rápido para recuperação. |
| Use o Log Analytics Workspace Insights para controlar o volume de ingestão, os dados ingeridos em comparação com o limite de dados, as fontes de log sem resposta e as consultas com falha, entre outros dados. Crie alertas de status de integridade para notificá-lo proativamente se um workspace ficar indisponível devido a um datacenter ou uma falha regional. |
Os insights do workspace ajudam a garantir que você possa monitorar com êxito a integridade de seus workspaces e agir proativamente se a integridade da carga de trabalho estiver em risco de degradação. Assim como acontece com todos os outros componentes da carga de trabalho, é fundamental que você esteja ciente das métricas de integridade e possa identificar tendências para melhorar sua confiabilidade ao longo do tempo. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico em torno de sua solução de monitoramento e registro em log.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança e identifique vulnerabilidades e controles para melhorar a postura de segurança.
Examine as práticas recomendadas de segurança: Examine as práticas recomendadas de segurança na linha de base de segurança do Azure Monitor e gerencie o acesso aos artigos de workspaces do Log Analytics .
Implante seus workspaces com a segmentação como um princípio fundamental: Implemente a segmentação nos níveis de rede, dados e acesso. A segmentação ajuda a garantir que seus workspaces sejam isolados no grau apropriado. Ele também ajuda a proteger seus workspaces contra acesso não autorizado ao mais alto grau possível, ao mesmo tempo em que atende aos seus requisitos de negócios para confiabilidade, otimização de custos, excelência operacional e eficiência de desempenho.
Verifique se você pode auditar leituras de workspace e grava atividades e identidades associadas: Os invasores podem se beneficiar da exibição de logs operacionais. Uma identidade comprometida pode levar a ataques de injeção de log. Habilite a auditoria de operações executadas no portal do Azure ou por meio de interações com a API e os usuários associados.
Se você não estiver configurado para auditar seu workspace, poderá colocar sua organização em risco de violar os requisitos de conformidade.
Implementar controles de rede robustos: Ajude a proteger o acesso à rede ao seu workspace e seus logs por meio de funções de isolamento e firewall de rede. Controles de rede insuficientemente configurados aumentam o risco de acesso não autorizado ou mal-intencionado.
Determine quais tipos de dados precisam de imutabilidade ou retenção de longo prazo: Seus dados de log devem ser tratados com o mesmo rigor que os dados de carga de trabalho dentro dos sistemas de produção. Inclua dados de log em suas práticas de classificação de dados para garantir que você armazene com êxito dados confidenciais de log de acordo com seus requisitos de conformidade.
Proteja os dados de log em repouso por meio da criptografia: A segmentação por si só não protegerá completamente a confidencialidade dos dados de log. Se ocorrer acesso bruto não autorizado, criptografar os dados de log em repouso ajudará a impedir que os maus atores usem esses dados fora do workspace.
Proteja dados confidenciais de log por meio de ofuscação: Assim como os dados de carga de trabalho que residem em sistemas de produção, você deve tomar medidas extras para garantir que a confidencialidade seja mantida para informações confidenciais que possam estar presentes intencionalmente ou involuntariamente em logs operacionais. Quando você usa métodos de ofuscação, ele ajuda a ocultar dados confidenciais de log de acesso não autorizado.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Use chaves gerenciadas pelo cliente para proteger dados e salvar consultas em seus workspaces quando precisar de controle sobre chaves de criptografia. As chaves gerenciadas pelo cliente exigem um cluster dedicado que tenha volume de dados suficiente para ser econômico. Armazene suas chaves de criptografia no Azure Key Vault e considere os requisitos específicos do Microsoft Sentinel se você usar esse serviço. |
As chaves gerenciadas pelo cliente fornecem controle sobre o ciclo de vida chave e a capacidade de revogar o acesso aos seus dados quando os requisitos regulatórios ou organizacionais exigem criptografia controlada pelo cliente. |
| Configure a auditoria de consulta de log para rastrear quais usuários estão executando consultas. Use o Log Analytics Workspace Insights para examinar periodicamente esses dados. Considere a criação de regras de alerta de consulta de log para notificá-lo proativamente quando usuários não autorizados tentam executar consultas. |
A auditoria de consulta registra os detalhes de cada consulta executada em um workspace e reforça sua postura de segurança, garantindo que o acesso não autorizado seja capturado imediatamente se ocorrer. |
| Use a funcionalidade de link privado para limitar as comunicações entre fontes de log e seus workspaces à rede privada. | Os links privados fornecem isolamento de rede e permitem controlar quais redes virtuais podem acessar um determinado workspace. Essa abordagem aprimora ainda mais sua segurança por meio da segmentação. |
| Use a ID do Microsoft Entra em vez de chaves de API para acesso à API do workspace quando disponível. Use o acesso baseado em ID do Microsoft Entra com escopo suficiente para acesso programático. | A autenticação da ID do Microsoft Entra fornece uma trilha de auditoria por cliente para acesso programático, ao contrário do acesso baseado em chave da API às APIs de consulta. |
| Defina o modo de controle de acesso para o workspace para usar permissões de recurso ou workspace. Esse controle de acesso permite que os proprietários de recursos usem o contexto de recurso para acessar seus dados sem ter acesso explícito ao workspace. Use o RBAC (controle de acesso baseado em função) no nível da tabela para usuários que exigem acesso a um conjunto de tabelas em vários recursos. Atribua a função interna apropriada para conceder permissões de workspace aos administradores no nível de assinatura, grupo de recursos ou workspace de acordo com o escopo de suas responsabilidades. Consulte Gerenciar o acesso aos workspaces do Log Analytics para obter mais informações sobre as várias opções para conceder acesso aos dados no workspace. |
A configuração adequada do modo de controle de acesso simplifica a configuração do workspace e ajuda a garantir que os usuários não possam acessar dados operacionais que não deveriam. Os usuários que têm permissões de tabela podem acessar todos os dados na tabela, independentemente de suas permissões de recurso. |
| Use a exportação de dados para enviar dados para uma conta de Armazenamento do Azure com políticas de imutabilidade para ajudar a proteger contra violação de dados. Determine os tipos de dados específicos que devem ser exportados com base nos requisitos de conformidade, auditoria ou segurança e limpe os dados conforme necessário. |
A exportação de dados com políticas de imutabilidade atende aos requisitos de conformidade para retenção de longo prazo de dados de auditoria. Os dados em um workspace do Log Analytics não podem ser alterados, mas podem ser limpos. |
| Filtre registros que não devem ser coletados usando a configuração da fonte de dados específica. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas. Se você tiver padrões que exijam que os dados originais não sejam modificados, poderá usar o literal 'h' em consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho. |
A filtragem e a transformação de dados ajudam a garantir que você mantenha a confidencialidade sobre informações confidenciais e esteja em conformidade com os requisitos proativamente. |
Otimização de custos
A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas de negócios. Eles também ajudam você a fazer compensações conforme necessário no design técnico relacionado à sua solução de monitoramento e registro em log.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho se alinhe ao orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Execute exercícios de modelagem de custo: Esses exercícios ajudam você a entender os custos atuais do workspace e a prever os custos relativos ao crescimento do workspace. Analise suas tendências de crescimento em sua carga de trabalho e verifique se você entende os planos de expansão da carga de trabalho para prever corretamente seus custos futuros de log operacional.
Escolha o modelo de cobrança correto: Use seu modelo de custo para determinar o melhor modelo de cobrança para seu cenário. Como você usa seus workspaces no momento e como planeja usá-los à medida que sua carga de trabalho evolui determina se um modelo de camada de compromisso ou pagamento conforme o uso é mais adequado para seu cenário.
Lembre-se de que você pode escolher modelos de cobrança diferentes para cada workspace. Você também pode combinar custos de workspace em casos específicos, para que possa ser granular na análise e na tomada de decisões.
Colete apenas a quantidade certa de dados de log: Execute a análise agendada regularmente de suas configurações de diagnóstico em seus recursos, configuração de regra de coleta de dados e registro em log de código de aplicativo personalizado para garantir que você não colete dados de log desnecessários.
Trate ambientes de não produção de forma diferente dos ambientes de produção: Examine seus ambientes de não produção para garantir que as configurações de diagnóstico e as políticas de retenção estejam configuradas adequadamente. Essas configurações e políticas geralmente podem ser significativamente menos robustas do que em produção, especialmente para ambientes de desenvolvimento/teste ou área restrita.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Configure o tipo de preço para a quantidade de dados que cada workspace do Log Analytics normalmente coleta. Se você coletar dados suficientes, use uma camada de compromisso para confirmar um mínimo diário de dados coletados em troca de uma taxa mais baixa. Para obter mais informações sobre as camadas de compromisso e as diretrizes sobre como determinar o nível de uso apropriado, consulte as opções e cálculos de custo dos Logs do Azure Monitor. Para exibir os custos estimados para seu uso em diferentes tipos de preço, consulte Uso e custos estimados. |
As camadas de compromisso reduzem significativamente seu custo em comparação com os preços de pagamento conforme o uso quando você coleta volumes de dados diários suficientes para atender aos limites mínimos de compromisso. |
| Se você coletar dados suficientes em workspaces em uma única região, vincule-os a um cluster dedicado e combine o volume coletado usando os preços do cluster. Configure o cluster para agregar volumes de ingestão de vários workspaces para obter tipos de preço econômicos. |
Clusters dedicados com preços de cluster proporcionam uma economia substancial de custos quando você tem vários workspaces na mesma região. Essa configuração permite que você combine seus volumes de dados para alcançar níveis de compromisso mais altos e reduzir os custos de ingestão por gigabyte. |
| Configure a retenção e o arquivamento de dados. Considere seus requisitos específicos para ter dados prontamente disponíveis para consultas de log. Configure logs arquivados para reter dados por até sete anos e ainda acessá-los ocasionalmente por meio de trabalhos de pesquisa ou restaurando um conjunto de dados para o workspace. |
A configuração de retenção e arquivamento de dados reduz significativamente seu custo de retenção de dados de longo prazo além do período padrão, mantendo o acesso aos dados históricos quando necessário. |
| Use regras de resumo para fluxos de dados de alto volume para otimizar os custos de armazenamento. As regras de resumo permitem resumir fluxos de alta taxa de ingestão em planos de Análise, Básico ou Auxiliar, fornecendo análises robustas, dashboards e experiências de relatórios de longo prazo em dados resumidos. As regras de resumo permitem recursos de resumo de dados automatizados que reduzem significativamente os custos de armazenamento para dados de log de alto volume, mantendo insights analíticos por meio de conjuntos de dados agregados. |
As regras de resumo fornecem retenção de dados de longo prazo econômica criando arquiteturas de dados em camadas em que dados brutos de alta frequência são resumidos para otimização de armazenamento. As organizações podem equilibrar a eficiência de custos com requisitos analíticos mantendo insights detalhados por meio de conjuntos de dados agregados, otimizando as despesas de retenção de dados de longo prazo. |
| Se você usar o Microsoft Sentinel para analisar logs de segurança, considere empregar um workspace separado para armazenar esses logs. Examine os preços do Microsoft Sentinel para entender as implicações de custo. | Workspaces separados ajudam você a controlar os custos separando os logs de segurança sujeitos aos preços do Microsoft Sentinel dos logs operacionais cobrados a preços padrão do Log Analytics. |
| Configure tabelas usadas para depuração, solução de problemas e auditoria como logs básicos. | A configuração básica de logs fornece custos de ingestão mais baixos para tabelas consultadas com pouca frequência, em que os encargos de consulta podem ser compensados pela redução dos custos de ingestão. |
| Capture a quantidade certa de dados definindo configurações de diagnóstico e DCRs para coletar apenas dados operacionais essenciais. Examine as fontes de dados de cada recurso para garantir que você colete dados que fornecem valor de monitoramento, evitando dados desnecessários. Consulte a otimização de custo no Azure Monitor para obter diretrizes de configuração. |
Capturar a quantidade certa de dados reduz os custos concentrando-se em dados operacionalmente valiosos, eliminando ruídos. Essa abordagem garante que você capture métricas essenciais sem pagar por dados que não contribuam para objetivos de monitoramento. |
| Analise regularmente os dados de uso do workspace para identificar tendências e anomalias. Use o Log Analytics Workspace Insights para examinar periodicamente a quantidade de dados coletados em seu workspace. Analise ainda mais a coleta de dados usando métodos em Analisar o uso no workspace do Log Analytics para determinar se outras configurações podem diminuir ainda mais seu uso. |
A análise de uso regular ajuda você a entender a coleta de dados em várias fontes, identificar anomalias e tendências ascendentes que podem levar ao excesso de custos e gerenciar de forma proativa as despesas ao introduzir novas fontes de dados. |
| Criar um alerta para quando a coleta de dados for alta. Configure notificações proativas para uso excessivo. | Alertas de coleta de dados altos permitem que você resolva possíveis anomalias antes do fim do período de cobrança, o que ajuda a evitar contas inesperadas. |
| Configure um limite diário para evitar a ingestão descontrolada devido a má configuração ou abuso, conforme descrito em Quando usar um limite diário. Crie alertas para notificá-lo quando o limite for atingido e quando um percentual for atingido, como 90% da capacidade. |
A configuração de limite diário fornece proteção contra excessos de orçamento inesperados, dando a você a oportunidade de investigar e resolver a causa do aumento dos dados antes que a coleta de dados críticos seja desligada. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos relacionados às práticas de desenvolvimento , observabilidade e gerenciamento de lançamentos.
Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas em relação aos requisitos operacionais da carga de trabalho.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de design da Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados aos workspaces do Log Analytics.
Use a iac (infraestrutura como código) para todas as funções relacionadas aos workspaces do Log Analytics da carga de trabalho: Minimize o risco de erro humano que pode ocorrer ao administrar e operar manualmente suas funções de coleta, ingestão, armazenamento e consulta de logs, incluindo consultas salvas e pacotes de consultas, automatizando o máximo possível dessas funções por meio do código.
Além disso, inclua alertas que relatam alterações de status de integridade e a configuração das configurações de diagnóstico para recursos que enviam logs para seus workspaces em seu código IaC. Inclua o código com seu outro código relacionado à carga de trabalho para garantir que suas práticas de implantação seguras sejam mantidas para o gerenciamento de seus workspaces.
Verifique se os workspaces estão íntegros e se você será notificado quando ocorrerem problemas: Como qualquer outro componente da carga de trabalho, seus workspaces podem encontrar problemas. Esses problemas podem consumir tempo e recursos valiosos para diagnosticar e corrigir e podem deixar sua equipe sem saber o status da carga de trabalho de produção. O monitoramento proativo de workspaces e a mitigação precoce de problemas permitem que as equipes de operações reduzam o tempo gasto na solução de problemas e reparos.
Separe a produção de cargas de trabalho de não produção: Evite a complexidade desnecessária que pode causar trabalho extra para uma equipe de operações usando workspaces diferentes para seu ambiente de produção do que aqueles usados por ambientes de não produção. Os dados recebidos também podem causar confusão porque as atividades de teste podem parecer eventos em produção.
Prefira ferramentas e funções internas em vez de soluções que não sejam da Microsoft: Use ferramentas internas para estender a funcionalidade de seus sistemas de monitoramento e registro em log. Talvez seja necessário colocar configurações extras em vigor para dar suporte a requisitos como capacidade de recuperação ou soberania de dados que não estão disponíveis prontos para uso com workspaces do Log Analytics. Nesses casos, quando prático, use ferramentas nativas do Azure ou da Microsoft para minimizar o número de ferramentas que sua organização deve dar suporte.
Trate seus workspaces como estáticos em vez de componentes efêmeros: Assim como outros tipos de armazenamentos de dados, os workspaces não devem ser considerados entre os componentes efêmeros da carga de trabalho. O Well-Architected Framework geralmente favorece a infraestrutura imutável e a capacidade de substituir recursos de forma rápida e fácil em sua carga de trabalho como parte de suas implantações. Mas a perda de dados do workspace pode ser catastrófica e irreversível.
Por esse motivo, deixe os workspaces fora dos pacotes de implantação que substituem a infraestrutura durante as atualizações e realizem apenas atualizações in-loco nos workspaces.
Verifique se a equipe de operações é treinada na Linguagem de Consulta Kusto: Treine a equipe para criar ou modificar consultas quando necessário. Se os operadores não puderem gravar ou modificar consultas, isso poderá diminuir a solução de problemas críticos ou outras funções, pois os operadores devem contar com outras equipes para fazer esse trabalho para eles.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Crie a arquitetura do workspace do Log Analytics para atender aos seus requisitos de negócios, incluindo o número de workspaces a serem criados e onde colocá-los. Se sua carga de trabalho usar uma oferta de equipe de plataforma centralizada, verifique se você definiu todo o acesso operacional necessário. |
Uma estratégia de workspace bem projetada maximiza a eficiência operacional da carga de trabalho limitando a distribuição de seus dados operacionais e de segurança, aumentando a visibilidade de possíveis problemas, facilitando a identificação de padrões e minimizando seus requisitos de manutenção. |
| Implante workspaces do Log Analytics usando modelos de IaC, como modelos do ARM, Bicep ou Terraform. Defina as configurações do workspace e as consultas salvas em modelos controlados por versão. Parametrize modelos para configurações específicas do ambiente, mantendo as configurações de linha de base padronizadas. |
Os modelos de IaC eliminam o descompasso de configuração entre ambientes e reduzem os erros de implantação por meio de processos consistentes e repetíveis. O controle de versão permite o controle de alterações e facilita trilhas de auditoria para requisitos de conformidade. |
| Implemente pipelines de CI/CD (integração contínua e entrega contínua) que automatizam implantações de workspace do Log Analytics por meio do Azure Pipelines ou do GitHub Actions. Integre o teste automatizado para validar as configurações do workspace antes da implantação de produção. Coloque o código de infraestrutura do workspace com repositórios de código do aplicativo para aplicar práticas de implantação seguras consistentes. |
Os pipelines automatizados de CI/CD reduzem o tempo de implantação, mantendo a qualidade consistente por meio da validação. As práticas de implantação seguras minimizam o risco de erros humanos e fornecem recursos de reversão quando ocorrem problemas durante as atualizações. |
| Imponha os padrões de configuração do workspace usando o Azure Policy com políticas internas para workspaces do Log Analytics. Crie políticas personalizadas para requisitos específicos da organização, como configurações de diagnóstico obrigatórias e convenções de nomenclatura. Implemente atribuições de política em escopos apropriados para aplicar automaticamente regras de governança a novos workspaces e detectar descompasso de configuração. |
A imposição de política garante uma governança consistente em todos os workspaces sem supervisão manual, o que reduz a sobrecarga operacional. A verificação de conformidade automatizada impede problemas operacionais e de segurança detectando descompasso de configuração. As configurações padronizadas por meio de políticas dão suporte ao gerenciamento escalonável do workspace e permitem uma postura de auditoria consistente. |
| Use o Log Analytics Workspace Insights para acompanhar a integridade e o desempenho de seus workspaces do Log Analytics. Examine as informações que o Log Analytics Workspace Insights fornece regularmente para acompanhar a integridade e a operação de cada um de seus workspaces. Crie regras de alerta com base na tabela de operações para ser notificado proativamente quando ocorrer um problema operacional. Use alertas recomendados para o workspace para simplificar a forma como você cria as regras de alerta mais críticas. |
O Log Analytics Workspace Insights fornece uma exibição unificada do uso, desempenho, integridade, agentes, consultas e log de alterações para todos os seus workspaces. O Log Analytics Workspace Insights permite a criação de visualizações facilmente compreendidas, como dashboards ou relatórios que as equipes de operações e os stakeholders podem usar para acompanhar a integridade do workspace. |
| Pratique o aprimoramento contínuo revisitando com frequência as configurações de diagnóstico do Azure em seus recursos, DCRs e verbosidade de log de aplicativos. Certifique-se de otimizar sua estratégia de coleta de logs por meio de revisões frequentes de suas configurações de recurso. Do ponto de vista operacional, procure reduzir o ruído em seus logs, concentrando-se nesses logs que fornecem informações úteis sobre o status de integridade de um recurso. |
As práticas de melhoria contínua ajudam os operadores a investigar e solucionar problemas e lidar com tarefas de rotina, improvisadas ou de emergência à medida que ocorrem. Essas práticas também reduzem o volume de log, concentrando-se nas atividades mais importantes para a equipe de operações acompanhar. |
Eficiência de desempenho
Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. Essa estratégia inclui dimensionar recursos, identificar e otimizar possíveis gargalos e otimizar o desempenho de pico.
Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade considerando o uso esperado.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para eficiência de desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho para workspaces do Log Analytics.
Familiarize-se com os conceitos básicos da latência de ingestão de dados de log no Azure Monitor: Há vários fatores que contribuem para a latência ao ingerir logs em seus workspaces. Muitos desses fatores são inerentes à plataforma do Azure Monitor.
Entender os fatores e o comportamento normal de latência pode ajudá-lo a definir as expectativas apropriadas em suas equipes de operações de carga de trabalho.
Separe suas cargas de trabalho de produção e não produção: Workspaces específicos de produção reduzem qualquer sobrecarga que os sistemas de não produção possam introduzir. A separação reduz o volume geral de seus workspaces, exigindo menos recursos para lidar com o processamento de dados de log.
Escolha as regiões de implantação corretas para atender aos seus requisitos de desempenho: Implante o workspace do Log Analytics e os DCEs próximos à carga de trabalho. Onde você implanta sua carga de trabalho deve informar sua escolha da região apropriada na qual implantar seu workspace e seus DCEs.
Talvez seja necessário avaliar os benefícios de desempenho da implantação de seus workspaces e DCEs na mesma região que sua carga de trabalho em relação aos seus requisitos de confiabilidade se você já tiver implantado sua carga de trabalho em uma região que não possa dar suporte a esses requisitos para seus dados de log.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Configure a auditoria de consulta de log e use o Log Analytics Workspace Insights para identificar consultas lentas e ineficientes. Consulte otimizar consultas de log no Azure Monitor para obter diretrizes sobre como melhorar o desempenho de suas consultas de log lentas. |
Consultas otimizadas retornam resultados mais rapidamente e usam menos recursos no back-end, o que também torna os processos que dependem dessas consultas mais eficientes. |
| Use trabalhos de pesquisa para consultas analíticas complexas em grandes conjuntos de dados e dados de retenção de longo prazo. Trabalhos de Pesquisa são consultas assíncronas que são executadas em qualquer dado em seu workspace do Log Analytics, incluindo dados do período de retenção de longo prazo. Os Trabalhos de Pesquisa criam novas tabelas de Análise em seu workspace que disponibilizam resultados para consultas adicionais. Essa funcionalidade permite a separação de cargas de trabalho analíticas do monitoramento operacional, melhorando o desempenho do sistema, mantendo o acesso abrangente aos dados. |
Os Trabalhos de Pesquisa dão suporte a análises de dados históricas complexas sem afetar o desempenho de monitoramento em tempo real. Eles permitem o processamento analítico dedicado com conflitos mínimos de recursos, permitindo que equipes de segurança e analistas executem consultas intensivas em dados arquivados, preservando a capacidade de resposta do monitoramento operacional. |
| Examine os limites de serviço do Azure Monitor e os limites de workspaces do Log Analytics para entender as restrições que podem afetar o desempenho e o design do workspace. Projete adequadamente para reduzir os limites de serviço, o que pode exigir que você use vários workspaces para evitar atingir limites associados a um único workspace. |
Entender os limites que podem afetar o desempenho do seu workspace ajuda você a projetar adequadamente para atenuá-los e equilibrar as decisões de design em relação a requisitos e destinos para outros pilares. |
| Crie DCRs específicas para tipos de fonte de dados dentro de um ou mais escopos de observabilidade definidos. Crie DCRs separadas para desempenho e eventos para otimizar o uso de computação de processamento de back-end. |
DCRs separadas para desempenho e eventos ajudam a reduzir o esgotamento de recursos de back-end e a evitar o consumo excessivo de recursos de computação que pode fazer com que o agente do Azure Monitor não responda. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas ao Log Analytics e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio do Azure Policy. Por exemplo, você pode verificar se os seguintes controles estão em vigor:
Os clusters do Log Analytics são criptografados com chaves gerenciadas pelo cliente.
As consultas salvas são armazenadas em contas de armazenamento do cliente para criptografia.
Os workspaces do Log Analytics bloqueiam a ingestão não baseada em ID do Microsoft Entra.
Os workspaces do Log Analytics bloqueiam a ingestão de logs e a consulta de redes públicas.
As configurações de link privado são implementadas corretamente para acesso seguro.
Para governança abrangente, examine as definições internas do Azure Policy para Log Analytics e outras políticas que podem afetar a segurança da infraestrutura de monitoramento e registro em log.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, consulte Assistente.