Översikt av Log Analytics-arbetsyta

En Log Analytics-arbetsyta är ett datalager där du kan samla in alla typer av loggdata från alla dina Azure- och icke-Azure-resurser och program. Med konfigurationsalternativ för arbetsytor kan du hantera alla dina loggdata på en arbetsyta för att uppfylla drifts-, analys- och granskningsbehoven för olika personer i din organisation via:

• Azure Monitor-funktioner, till exempel inbyggda insikter, aviseringar och automatiska åtgärder
• Andra Azure-tjänster, till exempel Microsoft Sentinel, Microsoft Defender för molnet och Logic Apps
• Microsoft-verktyg som Power BI och Excel
• Integrering med anpassade program och program från tredje part

Den här artikeln innehåller en översikt över begrepp som rör Log Analytics-arbetsytor.

Viktigt!

Microsoft Sentinel-dokumentationen använder termen Microsoft Sentinel-arbetsyta. Den här arbetsytan är samma Log Analytics-arbetsyta som beskrivs i den här artikeln, men den är aktiverad för Microsoft Sentinel. Alla data på arbetsytan omfattas av Microsoft Sentinel-priser.

Loggtabeller

Varje Log Analytics-arbetsyta innehåller flera tabeller där Azure Monitor-loggar lagrar data som du samlar in.

Azure Monitor-loggar skapar automatiskt tabeller som krävs för att lagra övervakningsdata som du samlar in från din Azure-miljö. Du skapar anpassade tabeller för att lagra data som du samlar in från icke-Azure-resurser och program, baserat på datamodellen för loggdata som du samlar in och hur du vill lagra och använda data.

Med inställningar för tabellhantering kan du styra åtkomsten till specifika tabeller och hantera datamodellen, kvarhållningen och kostnaden för data i varje tabell. Mer information finns i Hantera tabeller på en Log Analytics-arbetsyta.

Datakvarhållning

En Log Analytics-arbetsyta behåller data i två tillstånd – interaktiv kvarhållning och långsiktig kvarhållning.

Under den interaktiva kvarhållningsperioden hämtar du data från tabellen via frågor, och data är tillgängliga för visualiseringar, aviseringar och andra funktioner och tjänster baserat på tabellplanen.

Med varje tabell i Log Analytics-arbetsytan kan du behålla data i upp till 12 år med låg kostnad och långsiktig kvarhållning. Hämta specifika data som du behöver från långsiktig kvarhållning till interaktiv kvarhållning med hjälp av ett sökjobb. Det innebär att du hanterar dina loggdata på ett ställe, utan att flytta data till extern lagring, och du får de fullständiga analysfunktionerna i Azure Monitor på äldre data när du behöver dem.

Mer information finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

Dataåtkomst

Behörighet att komma åt data på en Log Analytics-arbetsyta definieras av inställningen för åtkomstkontrollläge på varje arbetsyta. Du kan ge användarna explicit åtkomst till arbetsytan med hjälp av en inbyggd eller anpassad roll. Eller så kan du tillåta åtkomst till data som samlas in för Azure-resurser till användare med åtkomst till dessa resurser.

Mer information finns i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor.

Visa Log Analytics-arbetsyteinsikter

Log Analytics Workspace Insights hjälper dig att hantera och optimera dina Log Analytics-arbetsytor med en omfattande vy över din arbetsyteanvändning, prestanda, hälsa, inmatning, frågor och ändringslogg.

Transformera data som du matar in till din Log Analytics-arbetsyta

Datainsamlingsregler (DCR) som definierar data som kommer till Azure Monitor kan innehålla transformeringar som gör att du kan filtrera och transformera data innan de matas in på arbetsytan. Eftersom alla datakällor ännu inte stöder DCR kan varje arbetsyta ha en DCR för arbetsytetransformering.

Transformeringar i dcr för arbetsytetransformering definieras för varje tabell i en arbetsyta och gäller för alla data som skickas till den tabellen, även om de skickas från flera källor. Dessa transformeringar gäller endast för arbetsflöden som inte redan använder en DCR. Azure Monitor-agenten använder till exempel en DCR för att definiera data som samlas in från virtuella datorer. Dessa data kommer inte att omfattas av några inmatningstidstransformeringar som definierats på arbetsytan.

Du kan till exempel ha diagnostikinställningar som skickar resursloggar för olika Azure-resurser till din arbetsyta. Du kan skapa en transformering för tabellen som samlar in de resursloggar som filtrerar dessa data endast för poster som du vill använda. Den här metoden sparar inmatningskostnaden för poster som du inte behöver. Du kanske också vill extrahera viktiga data från vissa kolumner och lagra dem i andra kolumner på arbetsytan för att stödja enklare frågor.

Kostnad

Det finns ingen direkt kostnad för att skapa eller underhålla en arbetsyta. Du debiteras för de data som du matar in till arbetsytan och för datakvarhållning baserat på varje tabells tabellplan.

Information om priser finns i Prissättning för Azure Monitor. Vägledning om hur du minskar dina kostnader finns i Metodtips för Azure Monitor – Kostnadshantering. Om du använder din Log Analytics-arbetsyta med andra tjänster än Azure Monitor kan du läsa dokumentationen för dessa tjänster för prisinformation.

Utforma en Log Analytics-arbetsytearkitektur för att hantera specifika affärsbehov

Du kan använda en enda arbetsyta för all datainsamling. Men du kan också skapa flera arbetsytor baserat på specifika affärskrav, till exempel regel- eller efterlevnadskrav för att lagra data på specifika platser, dela fakturering och motståndskraft.

Överväganden som rör att skapa flera arbetsytor finns i Designa en Log Analytics-arbetsytekonfiguration.

Nästa steg

• Skapa en ny Log Analytics-arbetsyta.
• Mer information om hur du skapar flera arbetsytor finns i Utforma en Log Analytics-arbetsytekonfiguration .
• Lär dig mer om loggfrågor för att hämta och analysera data från en Log Analytics-arbetsyta.