Visão geral do espaço de trabalho do Log Analytics
Um espaço de trabalho Log Analytics é um ambiente único para dados de registo do Azure Monitor e outros serviços Azure, como Microsoft Sentinel e Microsoft Defender para a Cloud. Cada espaço de trabalho tem o seu próprio repositório de dados e configuração, mas pode combinar dados de vários serviços. Este artigo fornece uma visão geral de conceitos relacionados com os espaços de trabalho do Log Analytics e fornece links para outra documentação para mais detalhes sobre cada um.
Importante
Pode ver o termo Microsoft espaço de trabalho sentinela usado na documentação Microsoft Sentinel. Este espaço de trabalho é o mesmo espaço de trabalho log analytics descrito neste artigo, mas está habilitado para Microsoft Sentinel. Todos os dados no espaço de trabalho estão sujeitos a Microsoft preços do Sentinel, conforme descrito na secção Custo.
Você pode usar um único espaço de trabalho para toda a sua recolha de dados. Também pode criar vários espaços de trabalho baseados em requisitos como:
- A localização geográfica dos dados.
- Direitos de acesso que definem quais os utilizadores que podem aceder aos dados.
- Configurações como níveis de preços e retenção de dados.
Para criar um novo espaço de trabalho, consulte Criar um espaço de trabalho log Analytics no portal do Azure. Para obter considerações sobre a criação de múltiplos espaços de trabalho, consulte Design a Log Analytics workspace configuração.
Estrutura de dados
Cada espaço de trabalho contém várias tabelas que são organizadas em colunas separadas com várias linhas de dados. Cada mesa é definida por um conjunto único de colunas. Linhas de dados fornecidas pela fonte de dados partilham essas colunas. As consultas de registo definem colunas de dados para recuperar e fornecer saídas para diferentes funcionalidades do Azure Monitor e outros serviços que utilizam espaços de trabalho.
Aviso
Os nomes das tabelas são utilizados para efeitos de faturação, pelo que não devem conter informações sensíveis.
Custo
Não há custos diretos para criar ou manter um espaço de trabalho. É cobrado pelos dados que lhe são enviados, que também é conhecido como ingestão de dados. É cobrado por quanto tempo esses dados são armazenados, que também é conhecido como retenção de dados. Estes custos podem variar em função do plano de dados de registo de cada tabela, conforme descrito no plano de dados do Registo.
Para obter informações sobre preços, consulte os preços do Azure Monitor. Para obter orientações sobre como reduzir os seus custos, consulte as melhores práticas do Azure Monitor - Gestão de custos. Se estiver a utilizar o seu espaço de trabalho Log Analytics com serviços que não o Azure Monitor, consulte a documentação desses serviços para obter informações sobre preços.
DCR de transformação do espaço de trabalho
As regras de recolha de dados (DCRs) que definem os dados que entram no Azure Monitor podem incluir transformações que permitem filtrar e transformar dados antes de serem ingeridos no espaço de trabalho. Uma vez que todas as fontes de dados ainda não suportam DCRs, cada espaço de trabalho pode ter um DCR de transformação do espaço de trabalho.
As transformações na transformação do espaço de trabalho DCR são definidas para cada tabela num espaço de trabalho e aplicam-se a todos os dados enviados para essa tabela, mesmo que enviados de múltiplas fontes. Estas transformações aplicam-se apenas a fluxos de trabalho que já não utilizam um DCR. Por exemplo, o agente Azure Monitor utiliza um DCR para definir dados recolhidos a partir de máquinas virtuais. Estes dados não estarão sujeitos a quaisquer transformações tempo de ingestão definidas no espaço de trabalho.
Por exemplo, pode ter configurações de diagnóstico que enviam registos de recursos para diferentes recursos Azure para o seu espaço de trabalho. Pode criar uma transformação para a tabela que recolhe os registos de recursos que filtram estes dados apenas para registos que deseja. Este método poupa-lhe o custo de ingestão para registos de que não precisa. Também pode querer extrair dados importantes de certas colunas e armazená-lo noutras colunas no espaço de trabalho para suportar consultas mais simples.
Retenção e arquivo de dados
Os dados em cada tabela num espaço de trabalho do Log Analytics são retidos por um período de tempo especificado após o qual é removido ou arquivado com uma taxa de retenção reduzida. Desabre o tempo de retenção para equilibrar o seu requisito de ter dados disponíveis com a redução do seu custo de retenção de dados.
Para aceder aos dados arquivados, deve primeiro obter dados deles numa tabela de Registos de Analytics utilizando um dos seguintes métodos:
| Método | Descrição |
|---|---|
| Trabalhos de pesquisa | Recuperar dados que correspondam a critérios específicos. |
| Restaurar | Recupere os dados de um determinado intervalo de tempo. |
Permissões
A permissão para aceder a dados num espaço de trabalho do Log Analytics é definida pelo modo de controlo de acesso, que é uma definição em cada espaço de trabalho. Pode dar aos utilizadores um acesso explícito ao espaço de trabalho utilizando um papel incorporado ou personalizado. Ou, pode permitir o acesso aos dados recolhidos para os recursos do Azure aos utilizadores com acesso a esses recursos.
Consulte o Acesso ao registo de dados e espaços de trabalho no Azure Monitor para obter informações sobre as diferentes opções de permissão e como configurar permissões.
Passos seguintes
- Crie um novo espaço de trabalho log Analytics.
- Consulte design de uma configuração do espaço de trabalho log Analytics para considerações sobre a criação de múltiplos espaços de trabalho.
- Saiba mais sobre consultas de registo para recuperar e analisar dados de um espaço de trabalho log Analytics.