Descrição geral da área de trabalho do Log Analytics
Um espaço de trabalho do Log Analytics é um armazenamento de dados no qual você pode coletar qualquer tipo de dados de log de todos os seus recursos e aplicativos do Azure e não do Azure. As opções de configuração do espaço de trabalho permitem gerenciar todos os seus dados de log em um espaço de trabalho para atender às necessidades de operações, análise e auditoria de diferentes personas em sua organização através de:
- Recursos do Azure Monitor, como experiências de insights internos, alertas e ações automáticas
- Outros serviços do Azure, como Microsoft Sentinel, Microsoft Defender for Cloud e Aplicativos Lógicos
- Ferramentas da Microsoft, como Power BI e Excel
- Integração com aplicações personalizadas e de terceiros
Este artigo fornece uma visão geral dos conceitos relacionados aos espaços de trabalho do Log Analytics.
Importante
A documentação do Microsoft Sentinel usa o termo espaço de trabalho do Microsoft Sentinel. Este espaço de trabalho é o mesmo espaço de trabalho do Log Analytics descrito neste artigo, mas está habilitado para o Microsoft Sentinel. Todos os dados no espaço de trabalho estão sujeitos aos preços do Microsoft Sentinel.
Tabelas de log
Cada espaço de trabalho do Log Analytics contém várias tabelas nas quais o Azure Monitor Logs armazena dados coletados.
Os Logs do Azure Monitor criam automaticamente as tabelas necessárias para armazenar os dados de monitoramento coletados do seu ambiente do Azure. Você cria tabelas personalizadas para armazenar dados coletados de recursos e aplicativos que não são do Azure, com base no modelo de dados dos dados de log coletados e como deseja armazenar e usar os dados.
As configurações de gerenciamento de tabela permitem controlar o acesso a tabelas específicas e gerenciar o modelo de dados, a retenção e o custo dos dados em cada tabela. Para obter mais informações, consulte Gerenciar tabelas em um espaço de trabalho do Log Analytics.
Retenção de dados
Um espaço de trabalho do Log Analytics retém dados em dois estados: retenção interativa e retenção de longo prazo.
Durante o período de retenção interativa, você recupera os dados da tabela por meio de consultas, e os dados ficam disponíveis para visualizações, alertas e outros recursos e serviços, com base no plano de tabela.
Cada tabela em seu espaço de trabalho do Log Analytics permite que você retenha dados por até 12 anos em retenção de baixo custo e longo prazo. Recupere dados específicos de que você precisa, desde a retenção de longo prazo até a retenção interativa usando uma vaga de pesquisa. Isso significa que você gerencia seus dados de log em um só lugar, sem mover dados para armazenamento externo, e obtém todos os recursos de análise do Azure Monitor em dados mais antigos, quando precisar.
Para obter mais informações, consulte Gerenciar a retenção de dados em um espaço de trabalho do Log Analytics.
Acesso a dados
A permissão para acessar dados em um espaço de trabalho do Log Analytics é definida pela configuração do modo de controle de acesso em cada espaço de trabalho. Você pode conceder aos usuários acesso explícito ao espaço de trabalho usando uma função interna ou personalizada. Ou, você pode permitir o acesso aos dados coletados para recursos do Azure para usuários com acesso a esses recursos.
Para obter mais informações, consulte Gerenciar o acesso a dados de log e espaços de trabalho no Azure Monitor.
Exibir informações do espaço de trabalho do Log Analytics
O Log Analytics Workspace Insights ajuda você a gerenciar e otimizar seus espaços de trabalho do Log Analytics com uma visão abrangente do uso, desempenho, integridade, ingestão, consultas e registro de alterações do espaço de trabalho.
Transforme os dados que ingere em seu espaço de trabalho do Log Analytics
As regras de coleta de dados (DCRs) que definem os dados que entram no Azure Monitor podem incluir transformações que permitem filtrar e transformar dados antes que eles sejam ingeridos no espaço de trabalho. Como todas as fontes de dados ainda não oferecem suporte a DCRs, cada espaço de trabalho pode ter um DCR de transformação de espaço de trabalho.
As transformações no DCR de transformação do espaço de trabalho são definidas para cada tabela em um espaço de trabalho e se aplicam a todos os dados enviados para essa tabela, mesmo se enviados de várias fontes. Essas transformações só se aplicam a fluxos de trabalho que ainda não usam um DCR. Por exemplo, o agente do Azure Monitor usa um DCR para definir dados coletados de máquinas virtuais. Esses dados não estarão sujeitos a nenhuma transformação de tempo de ingestão definida no espaço de trabalho.
Por exemplo, você pode ter configurações de diagnóstico que enviam logs de recursos para diferentes recursos do Azure para seu espaço de trabalho. Você pode criar uma transformação para a tabela que coleta os logs de recursos que filtram esses dados apenas para os registros desejados. Este método poupa-lhe o custo de ingestão de registos de que não necessita. Você também pode querer extrair dados importantes de determinadas colunas e armazená-los em outras colunas no espaço de trabalho para oferecer suporte a consultas mais simples.
Custo
Não há custo direto para criar ou manter um espaço de trabalho. Você é cobrado pelos dados que ingere no espaço de trabalho e pela retenção de dados, com base no plano de tabela de cada tabela.
Para obter informações sobre preços, consulte Preços do Azure Monitor. Para obter orientação sobre como reduzir seus custos, consulte Práticas recomendadas do Azure Monitor - Gerenciamento de custos. Se você estiver usando seu espaço de trabalho do Log Analytics com serviços diferentes do Azure Monitor, consulte a documentação desses serviços para obter informações sobre preços.
Projetar uma arquitetura de espaço de trabalho do Log Analytics para atender às necessidades específicas dos negócios
Você pode usar um único espaço de trabalho para toda a sua coleta de dados. No entanto, você também pode criar vários espaços de trabalho com base em requisitos de negócios específicos, como requisitos normativos ou de conformidade para armazenar dados em locais específicos, faturamento dividido e resiliência.
Para obter considerações relacionadas à criação de vários espaços de trabalho, consulte Criar uma configuração de espaço de trabalho do Log Analytics.
Próximos passos
- Crie um novo espaço de trabalho do Log Analytics.
- Consulte Criar uma configuração de espaço de trabalho do Log Analytics para obter considerações sobre a criação de vários espaços de trabalho.
- Saiba mais sobre consultas de log para recuperar e analisar dados de um espaço de trabalho do Log Analytics.