Поделиться через

Обзор рабочей области Log Analytics

  • Статья

Рабочая область Log Analytics — это хранилище данных, в котором можно собирать любые данные журнала из всех ресурсов и приложений, отличных от Azure. Параметры конфигурации рабочей области позволяют управлять всеми данными журнала в одной рабочей области, чтобы обеспечить соответствие требованиям операций, анализа и аудита различных пользователей в организации с помощью следующих действий:

В этой статье представлен обзор концепций, связанных с рабочими областями Log Analytics.

Внимание

В документации По Microsoft Sentinel используется термин Microsoft Sentinel. Это та же рабочая область Log Analytics, которая описывается в этой статье, но с поддержкой Microsoft Sentinel. Все данные в рабочей области подлежат ценам На Microsoft Sentinel.

Таблицы журналов

Каждая рабочая область Log Analytics содержит несколько таблиц, в которых журналы Azure Monitor хранят собранные данные.

Журналы Azure Monitor автоматически создают таблицы, необходимые для хранения данных мониторинга, собранных из среды Azure. Вы создаете пользовательские таблицы для хранения данных, собранных из ресурсов и приложений, отличных от Azure, на основе модели данных данных журнала, собираемых и способах хранения и использования данных.

Параметры управления таблицами позволяют управлять доступом к определенным таблицам и управлять моделью данных, хранением и стоимостью данных в каждой таблице. Дополнительные сведения см. в разделе "Управление таблицами" в рабочей области Log Analytics.

Схема, на которой показана структура журналов Azure Monitor.

Хранение данных

Рабочая область Log Analytics сохраняет данные в двух состояниях — интерактивное хранение и долгосрочное хранение.

В течение интерактивного периода хранения данные из таблицы извлекаются с помощью запросов, а данные доступны для визуализаций, оповещений и других функций и служб на основе плана таблицы.

Каждая таблица в рабочей области Log Analytics позволяет хранить данные до 12 лет в низкой стоимости, долгосрочном хранении. Получение определенных данных, необходимых от долгосрочного хранения к интерактивному хранению с помощью задания поиска. Это означает, что вы управляете данными журнала в одном месте, не перемещая данные во внешнее хранилище, и вы получаете полные возможности аналитики Azure Monitor на старых данных, когда это необходимо.

Дополнительные сведения см. в разделе "Управление хранением данных" в рабочей области Log Analytics.

Доступ к данным

Разрешение на доступ к данным в рабочей области Log Analytics определяется параметром режима управления доступом в каждой рабочей области. Вы можете предоставить пользователям явный доступ к рабочей области с помощью встроенной или настраиваемой роли. Также вы можете разрешить доступ к данным, собранным для ресурсов Azure, пользователям с доступом к этим ресурсам.

Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

Просмотр аналитических сведений о рабочей области Log Analytics

Log Analytics Workspace Insights помогает управлять и оптимизировать рабочие области Log Analytics с полным представлением использования рабочей области, производительности, работоспособности, приема, запросов и журналов изменений.

Снимок экрана: вкладка

Преобразование данных, которые вы отправляете в рабочую область Log Analytics

Правила сбора данных (DCR), которые определяют данные, поступающие в Azure Monitor, могут содержать преобразования, позволяющие фильтровать и преобразовывать данные перед их передачей в рабочую область. Так как еще не все источники данных поддерживают правила DCR, каждая рабочая область может иметь DCR преобразования рабочей области.

Преобразования в правилах DCR преобразования рабочей области определяются для каждой таблицы в рабочей области и применяются ко всем данным, отправляемым в эту таблицу, даже если они отправлены из нескольких источников. Эти преобразования применяются только к рабочим процессам, которые еще не используют DCR. Например, агент Azure Monitor использует правило сбора данных для определения данных, собираемых с виртуальных машин. Эти данные не будут подвергаться никаким преобразованиям во время приема, определенным в рабочей области.

Например, у вас могут быть параметры диагностики, которые отправляют журналы ресурсов для различных ресурсов Azure в рабочую область. Можно создать преобразование для таблицы, собирающей журналы ресурсов, которое отфильтровывает в этих данных только нужные записи. Этот метод позволяет экономить на приеме ненужных записей. Также вам может потребоваться извлечь важные данные из определенных столбцов и сохранить их в других столбцах рабочей области для поддержки более простых запросов.

Себестоимость

Создание и обслуживание рабочей области не предусматривает прямых затрат. Плата за данные, которые вы собираете в рабочую область, а также за хранение данных, взимается на основе плана таблицы каждой таблицы.

Сведения см. на странице цен на Azure Monitor. Рекомендации по снижению затрат см. в статье Рекомендации по Azure Monitor — управление затратами. Если вы используете рабочую область Log Analytics со службами, отличными от Azure Monitor, сведения о ценах см. в документации по этим службам.

Разработка архитектуры рабочей области Log Analytics для решения конкретных бизнес-потребностей

Вы можете использовать одно рабочее пространство для сбора всех данных. Однако можно также создать несколько рабочих областей на основе конкретных бизнес-требований, таких как нормативные или соответствующие требования для хранения данных в определенных расположениях, разделения выставления счетов и устойчивости.

Рекомендации по созданию нескольких рабочих областей см. в статье "Проектирование конфигурации рабочей области Log Analytics".

Следующие шаги