Создание рабочей области Log Analytics

Рабочая область Log Analytics — это хранилище данных, в котором можно собирать любые данные журнала из всех ресурсов и приложений, отличных от Azure. Рекомендуется отправлять все данные журнала в одну рабочую область Log Analytics, если у вас нет конкретных бизнес-потребностей, требующих создания нескольких рабочих областей, как описано в разделе "Разработка архитектуры рабочей области Log Analytics".

В этой статье объясняется, как создать рабочую область Log Analytics.

Необходимые компоненты

Чтобы создать рабочую область Log Analytics, требуется учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

Требуемые разрешения

Вам нужны Microsoft.OperationalInsights/workspaces/write разрешения для группы ресурсов, в которой вы хотите создать рабочую область Log Analytics, как указано встроенной ролью участника Log Analytics, например.

Создание рабочей области

Портал

Создайте рабочую область с помощью меню Рабочие области Log Analytics.

1. На портале Azure введите Log Analytics в поле поиска. Как только вы начнете вводить символы, список отфильтруется соответствующим образом. Выберите Рабочие области Log Analytics.

   

2. Выберите Добавить.

3. В раскрывающемся списке выберите Подписка.

4. Используйте имеющуюся группу ресурсов или создайте новую.

5. Введите имя для новой рабочей области Log Analytics, например DefaultLAWorkspace. Это имя должно быть уникальным для каждой группы ресурсов.

6. Выберите доступный регион. Дополнительные сведения о доступности службы Log Analytics в регионах см. в этой статье. Выполните поиск "Azure Monitor" в поле поиска продукта.

   

7. Нажмите Просмотреть и создать, чтобы просмотреть параметры. Выберите Создать, чтобы создать рабочую область. Применяется ценовая категория по умолчанию с оплатой по мере использования. Плата не будет взиматься до тех пор, пока вы не соберете достаточный объем данных. Дополнительные сведения о других ценовых категориях см. в статье Цены на Log Analytics.

PowerShell

Следующий пример скрипта создает рабочую область без настроенного источника данных.

$ResourceGroup = <"my-resource-group">
$WorkspaceName = <"log-analytics-workspace-name">
$Location = <"westeurope">

# Create the resource group if needed
try {
    Get-AzResourceGroup -Name $ResourceGroup -ErrorAction Stop
} catch {
    New-AzResourceGroup -Name $ResourceGroup -Location $Location
}

# Create the workspace
New-AzOperationalInsightsWorkspace -Location $Location -Name $WorkspaceName -ResourceGroupName $ResourceGroup

Примечание.

Ранее решение Log Analytics называлось Operational Insights. Командлеты PowerShell используют Operational Insights в командах Log Analytics.

После создания рабочей области настройте рабочую область Log Analytics в Azure Monitor с помощью PowerShell.

Azure CLI

Выполните команду az group create, чтобы создать группу ресурсов, или используйте существующую группу ресурсов. Чтобы создать рабочую область, используйте команду az monitor log-analytics workspace create.

    az group create --name <myGroup> --location <myLocation>
    az monitor log-analytics workspace create --resource-group <myGroup> \
       --workspace-name <myWorkspace>

Дополнительные сведения о журналах Azure Monitor в Azure CLI см. в статье Управление журналами Azure Monitor в Azure CLI.

Bicep

В следующем примере используются рабочие области Microsoft.OperationalInsights для создания рабочей области Log Analytics в Azure Monitor. Дополнительные сведения о Bicep см. в обзоре Bicep.

Примечание.

Примеры Azure Resource Manager для Azure Monitor см. в списке доступных примеров и рекомендаций по развертыванию их в подписке Azure.

файл Bicep

@description('Name of the workspace.')
param workspaceName string

@description('Pricing tier: PerGB2018 or legacy tiers (Free, Standalone, PerNode, Standard or Premium) which are not available to all customers.')
@allowed([
  'pergb2018'
  'Free'
  'Standalone'
  'PerNode'
  'Standard'
  'Premium'
])
param sku string = 'pergb2018'

@description('Specifies the location for the workspace.')
param location string

@description('Number of days to retain data.')
param retentionInDays int = 120

@description('true to use resource or workspace permissions. false to require workspace permissions.')
param resourcePermissions bool

@description('Number of days to retain data in Heartbeat table.')
param heartbeatTableRetention int

resource workspace 'Microsoft.OperationalInsights/workspaces@2023-09-01' = {
  name: workspaceName
  location: location
  properties: {
    sku: {
      name: sku
    }
    retentionInDays: retentionInDays
    features: {
      enableLogAccessUsingOnlyResourcePermissions: resourcePermissions
    }
  }
}

resource workspaceName_Heartbeat 'Microsoft.OperationalInsights/workspaces/tables@2022-10-01' = {
  parent: workspace
  name: 'Heartbeat'
  properties: {
    retentionInDays: heartbeatTableRetention
  }
}

Примечание.

Если вы указали ценовую категорию Бесплатный, удалите элемент retentionInDays.

Файл параметров

using './main.bicep'

param workspaceName = 'MyWorkspace'
param sku = 'pergb2018'
param location = 'eastus'
param retentionInDays = 120
param resourcePermissions = true
param heartbeatTableRetention = 30

Шаблон Resource Manager

В следующем примере используется шаблон рабочих областей Microsoft.OperationalInsights для создания рабочей области Log Analytics в Azure Monitor. Дополнительную информацию о шаблонах Resource Manager см. в статье Описание структуры и синтаксиса шаблонов Azure Resource Manager.

Примечание.

Примеры Azure Resource Manager для Azure Monitor см. в списке доступных примеров и рекомендаций по развертыванию их в подписке Azure.

Файл шаблона

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the workspace."
      }
    },
    "sku": {
      "type": "string",
      "defaultValue": "pergb2018",
      "allowedValues": [
        "pergb2018",
        "Free",
        "Standalone",
        "PerNode",
        "Standard",
        "Premium"
      ],
      "metadata": {
        "description": "Pricing tier: PerGB2018 or legacy tiers (Free, Standalone, PerNode, Standard or Premium) which are not available to all customers."
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Specifies the location for the workspace."
      }
    },
    "retentionInDays": {
      "type": "int",
      "defaultValue": 120,
      "metadata": {
        "description": "Number of days to retain data."
      }
    },
    "resourcePermissions": {
      "type": "bool",
      "metadata": {
        "description": "true to use resource or workspace permissions. false to require workspace permissions."
      }
    },
    "heartbeatTableRetention": {
      "type": "int",
      "metadata": {
        "description": "Number of days to retain data in Heartbeat table."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2023-09-01",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "properties": {
        "sku": {
          "name": "[parameters('sku')]"
        },
        "retentionInDays": "[parameters('retentionInDays')]",
        "features": {
          "enableLogAccessUsingOnlyResourcePermissions": "[parameters('resourcePermissions')]"
        }
      }
    },
    {
      "type": "Microsoft.OperationalInsights/workspaces/tables",
      "apiVersion": "2022-10-01",
      "name": "[format('{0}/{1}', parameters('workspaceName'), 'Heartbeat')]",
      "properties": {
        "retentionInDays": "[parameters('heartbeatTableRetention')]"
      },
      "dependsOn": [
        "workspace"
      ]
    }
  ]
}

Примечание.

Если вы указали ценовую категорию Бесплатный, удалите элемент retentionInDays.

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "sku": {
      "value": "pergb2018"
    },
    "location": {
      "value": "eastus"
    },
    "resourcePermissions": {
      "value": true
    },
    "heartbeatTableRetention": {
      "value": 30
    }
  }
}

Устранение неполадок

При создании рабочей области, которая была удалена в течение последних 14 дней и находится в состоянии обратимого удаления, операция может приводить к разным результатам в зависимости от конфигурации рабочей области.

1. Если вы указали то же имя рабочей области, группы ресурсов, подписки и региона, которые использовались для удаленной рабочей области, она будет полностью восстановлена с сохранением данных, конфигурации и подключенных агентов.

2. Имена рабочих областей должны быть уникальными в рамках группы ресурсов. Если вы воспользуетесь именем рабочей области, которое уже существует или обратимо удалено, будет возвращена ошибка. Чтобы окончательно удалить рабочую область и создать новую с тем же именем, сделайте следующее:

   1. Восстановите рабочую область.
   2. Навсегда удалите рабочую область.
   3. Создайте новую рабочую область с именем удаленной рабочей области.

Следующие шаги

Теперь, когда рабочая область доступна, вы можете настроить сбор данных телеметрии для мониторинга, выполнять поиск по журналам для анализа этих данных, а также добавить решение по управлению для предоставления дополнительных данных и аналитических сведений. Чтобы получить дополнительные сведения, обратитесь к разделу

• Чтобы создать правила генерации оповещений для мониторинга работоспособности рабочей области см. статью Отслеживание работоспособности рабочей области Log Analytics в Azure Monitor.
• Сведения о том, как включить сбор данных из ресурсов Azure с помощью системы диагностики Azure или службы хранилища Azure, см. в статье Сбор журналов и метрик для служб Azure для использования в Log Analytics.