Обзор рабочей области Log Analytics
Рабочая область Log Analytics — это уникальная среда для хранения данных журналов из Azure Monitor и других служб Azure, таких как Microsoft Sentinel и Microsoft Defender для облака. Каждая рабочая область имеет собственный репозиторий данных и конфигурацию, но может объединять данные из нескольких служб. В этой статье представлен обзор концепций, связанных с рабочими областями Log Analytics, а также ссылки на другую документацию для получения дополнительных сведений о них.
Внимание
Вы можете встретить термин рабочая область Microsoft Sentinel в документации по Microsoft Sentinel. Это та же рабочая область Log Analytics, которая описывается в этой статье, но с поддержкой Microsoft Sentinel. На все данные в рабочей области распространяются цены Microsoft Sentinel, как описано в разделе Стоимость.
Вы можете использовать одно рабочее пространство для сбора всех данных. Вы также можете создать несколько рабочих областей на основе таких требований, как:
- географическое расположение данных;
- права доступа, определяющие, какие пользователи могут получить доступ к данным;
- Параметры конфигурации, такие как ценовые категории и хранение данных.
Инструкции по созданию рабочей области см. в разделе Создание рабочей области Log Analytics на портале Azure. Рекомендации по созданию нескольких рабочих областей см. в статье Проектирование конфигурации рабочей области Log Analytics.
Структура данных
Каждая рабочая область включает в себя несколько таблиц, содержащих отдельные столбцы с несколькими строками данных. Каждая таблица определяется уникальным набором столбцов. Они являются общими для строк данных, предоставленных источником данных. Запросы к журналу определяют столбцы данных для извлечения и предоставляют выходные данные для различных функций Azure Monitor и других служб, использующих рабочие области.
Предупреждение
Имена таблиц используются для выставления счетов, поэтому они не должны содержать конфиденциальную информацию.
Себестоимость
Создание и обслуживание рабочей области не предусматривает прямых затрат. Плата взимается за данные, отправляемые в нее (прием данных). Плата взимается за период хранения данных (хранение данных). Эти затраты могут отличаться в зависимости от плана данных журнала каждой таблицы, как описано в плане данных журнала.
Сведения см. на странице цен на Azure Monitor. Рекомендации по снижению затрат см. в статье Рекомендации по Azure Monitor — управление затратами. Если вы используете рабочую область Log Analytics со службами, отличными от Azure Monitor, сведения о ценах см. в документации по этим службам.
DCR преобразования рабочей области
Правила сбора данных (DCR), которые определяют данные, поступающие в Azure Monitor, могут содержать преобразования, позволяющие фильтровать и преобразовывать данные перед их передачей в рабочую область. Так как еще не все источники данных поддерживают правила DCR, каждая рабочая область может иметь DCR преобразования рабочей области.
Преобразования в правилах DCR преобразования рабочей области определяются для каждой таблицы в рабочей области и применяются ко всем данным, отправляемым в эту таблицу, даже если они отправлены из нескольких источников. Эти преобразования применяются только к рабочим процессам, которые еще не используют DCR. Например, агент Azure Monitor использует правило сбора данных для определения данных, собираемых с виртуальных машин. Эти данные не будут подвергаться никаким преобразованиям во время приема, определенным в рабочей области.
Например, у вас могут быть параметры диагностики, которые отправляют журналы ресурсов для различных ресурсов Azure в рабочую область. Можно создать преобразование для таблицы, собирающей журналы ресурсов, которое отфильтровывает в этих данных только нужные записи. Этот метод позволяет экономить на приеме ненужных записей. Также вам может потребоваться извлечь важные данные из определенных столбцов и сохранить их в других столбцах рабочей области для поддержки более простых запросов.
Хранение и архивация данных
Данные в каждой таблице в рабочей области Log Analytics хранятся в течение указанного периода времени, после которого они удаляются или архивируются с уменьшением стоимости хранения. Задайте время хранения для балансировки требований к доступу к данным с целью снижения затрат на хранение данных.
Чтобы получить доступ к архивным данным, необходимо сначала извлечь данные из таблицы журналов аналитики с помощью одного из следующих методов:
| Метод | Description |
|---|---|
| Задания поиска | Получение данных, соответствующих определенным критериям. |
| Восстановить | Получение данных за определенный диапазон времени. |
Разрешения
Разрешение на доступ к данным в рабочей области Log Analytics определяется режимом управления доступом, который является параметром в каждой рабочей области. Вы можете предоставить пользователям явный доступ к рабочей области с помощью встроенной или настраиваемой роли. Также вы можете разрешить доступ к данным, собранным для ресурсов Azure, пользователям с доступом к этим ресурсам.
Сведения о разных параметрах и настройке разрешений см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.
Следующие шаги
- Создайте новую рабочую область Log Analytics.
- Рекомендации по созданию нескольких рабочих областей см. в статье Проектирование конфигурации рабочей области Log Analytics.
- Узнайте запросах к журналу для извлечения и анализа данных из рабочей области Log Analytics.