Utforma en Log Analytics-arbetsytearkitektur

Artikel
04/18/2023

En enda Log Analytics-arbetsyta kan vara tillräcklig för många miljöer som använder Azure Monitor och Microsoft Sentinel. Men många organisationer skapar flera arbetsytor för att optimera kostnaderna och bättre uppfylla olika affärskrav. I den här artikeln beskrivs en uppsättning kriterier för att avgöra om en enskild arbetsyta eller flera arbetsytor ska användas. Den beskriver också konfigurationen och placeringen av dessa arbetsytor för att uppfylla dina krav samtidigt som du optimerar dina kostnader.

Kommentar

I den här artikeln beskrivs Azure Monitor och Microsoft Sentinel eftersom många kunder måste tänka på båda i sin design. De flesta beslutskriterierna gäller för båda tjänsterna. Om du bara använder en av dessa tjänster kan du ignorera den andra i utvärderingen.

Här är en video om grunderna i Azure Monitor-loggar och metodtips och designöverväganden för att utforma distributionen av Azure Monitor-loggar:

Designstrategi

Din design bör alltid börja med en enda arbetsyta för att minska komplexiteten med att hantera flera arbetsytor och köra frågor mot data från dem. Det finns inga prestandabegränsningar för mängden data på din arbetsyta. Flera tjänster och datakällor kan skicka data till samma arbetsyta. När du identifierar kriterier för att skapa fler arbetsytor bör designen använda det minsta antal som matchar dina krav.

Att utforma en arbetsytekonfiguration omfattar utvärdering av flera kriterier. Men vissa av kriterierna kan vara i konflikt. Du kan till exempel minska utgående avgifter genom att skapa en separat arbetsyta i varje Azure-region. Om du konsoliderar till en enda arbetsyta kan du minska avgifterna ännu mer med en åtagandenivå. Utvärdera vart och ett av kriterierna oberoende av varandra. Överväg dina krav och prioriteringar för att avgöra vilken design som är mest effektiv för din miljö.

Designvillkor

I följande tabell visas kriterier att tänka på när du utformar din arbetsytearkitektur. De avsnitt som följer beskriver kriterierna.

Villkor	beskrivning
Drift- och säkerhetsdata	Du kan välja att kombinera driftdata från Azure Monitor på samma arbetsyta som säkerhetsdata från Microsoft Sentinel eller dela upp var och en i sin egen arbetsyta. Genom att kombinera dem får du bättre insyn i alla dina data, medan dina säkerhetsstandarder kan kräva att de avgränsas så att säkerhetsteamet har en dedikerad arbetsyta. Du kan också få kostnadskonsekvenser för varje strategi.
Azure-klientorganisationer	Om du har flera Azure-klientorganisationer skapar du vanligtvis en arbetsyta i var och en. Flera datakällor kan bara skicka övervakningsdata till en arbetsyta i samma Azure-klientorganisation.
Azure-regioner	Varje arbetsyta finns i en viss Azure-region. Du kan ha regel- eller efterlevnadskrav för att lagra data på specifika platser.
Dataägarskap	Du kan välja att skapa separata arbetsytor för att definiera dataägarskap. Du kan till exempel skapa arbetsytor av dotterbolag eller anslutna företag.
Dela upp fakturering	Genom att placera arbetsytor i separata prenumerationer kan de faktureras till olika parter.
Datakvarhållning och arkivering	Du kan ange olika kvarhållningsinställningar för varje arbetsyta och varje tabell på en arbetsyta. Du behöver en separat arbetsyta om du behöver olika kvarhållningsinställningar för olika resurser som skickar data till samma tabeller.
Åtagandenivåer	Med åtagandenivåer kan du minska inmatningskostnaden genom att ange en minsta mängd dagliga data på en enda arbetsyta.
Begränsningar för äldre agent	Äldre agenter för virtuella datorer har begränsningar för hur många arbetsytor de kan ansluta till.
Åtkomstkontroll för data	Konfigurera åtkomst till arbetsytan och till olika tabeller och data från olika resurser.
Motståndskraft	För att säkerställa att data i din arbetsyta är tillgängliga i händelse av ett regionfel kan du mata in data till flera arbetsytor i olika regioner.

Drift- och säkerhetsdata

Beslutet om du vill kombinera dina driftdata från Azure Monitor på samma arbetsyta som säkerhetsdata från Microsoft Sentinel eller dela upp var och en i sin egen arbetsyta beror på dina säkerhetskrav och de potentiella kostnadskonsekvenserna för din miljö.

Dedikerade arbetsytor Skapa dedikerade arbetsytor för Azure Monitor och Microsoft Sentinel så att du kan separera ägarskapet för data mellan drift- och säkerhetsteam. Den här metoden kan också bidra till att optimera kostnaderna eftersom när Microsoft Sentinel är aktiverat på en arbetsyta omfattas alla data på den arbetsytan av Microsoft Sentinel-priser även om det är driftdata som samlas in av Azure Monitor.

En arbetsyta med Microsoft Sentinel får tre månaders kostnadsfri datakvarhållning i stället för 31 dagar. Det här scenariot resulterar vanligtvis i högre kostnader för driftdata på en arbetsyta utan Microsoft Sentinel. Se Information om priser för Azure Monitor-loggar.

Kombinerad arbetsyta Kombinera dina data från Azure Monitor och Microsoft Sentinel på samma arbetsyta ger bättre insyn i alla dina data så att du enkelt kan kombinera både i frågor och arbetsböcker. Om åtkomsten till säkerhetsdata ska begränsas till ett visst team kan du använda RBAC på tabellnivå för att blockera vissa användare från tabeller med säkerhetsdata eller begränsa användare till att komma åt arbetsytan med hjälp av resurskontext.

Den här konfigurationen kan leda till kostnadsbesparingar om den hjälper dig att nå en åtagandenivå, vilket ger rabatt på dina inmatningsavgifter. Tänk dig till exempel en organisation som har driftdata och säkerhetsdata som var och en matar in cirka 50 GB per dag. Genom att kombinera data på samma arbetsyta skulle en åtagandenivå vara 100 GB per dag. Det scenariot skulle ge 15 % rabatt för Azure Monitor och 50 % rabatt för Microsoft Sentinel.

Om du skapar separata arbetsytor för andra kriterier skapar du vanligtvis fler arbetsytepar. Om du till exempel har två Azure-klientorganisationer kan du skapa fyra arbetsytor med en arbetsyta för drift och säkerhet i varje klientorganisation.

Om du använder både Azure Monitor och Microsoft Sentinel: Överväg att separera var och en på en dedikerad arbetsyta om det krävs av säkerhetsteamet eller om det resulterar i kostnadsbesparingar. Överväg att kombinera de två för bättre insyn i dina kombinerade övervakningsdata eller om det hjälper dig att nå en åtagandenivå.
Om du använder både Microsoft Sentinel och Microsoft Defender för molnet: Överväg att använda samma arbetsyta för båda lösningarna för att hålla säkerhetsdata på ett ställe.

Azure-klientorganisationer

De flesta resurser kan bara skicka övervakningsdata till en arbetsyta i samma Azure-klientorganisation. Virtuella datorer som använder Azure Monitor Agent eller Log Analytics-agenter kan skicka data till arbetsytor i separata Azure-klientorganisationer. Du kan betrakta det här scenariot som en tjänstleverantör.

Om du har en enda Azure-klientorganisation: Skapa en enda arbetsyta för den klientorganisationen.
Om du har flera Azure-klienter: Skapa en arbetsyta för varje klientorganisation. Andra alternativ, inklusive strategier för tjänstleverantörer, finns i Flera klientstrategier.

Azure-regioner

Varje Log Analytics-arbetsyta finns i en viss Azure-region. Du kan ha regel- eller efterlevnadssyften för att lagra data i en viss region. Ett internationellt företag kan till exempel hitta en arbetsyta i varje större geografisk region, till exempel USA och Europa.

Om du har krav på att lagra data i ett visst geografiskt område: Skapa en separat arbetsyta för varje region med sådana krav.
Om du inte har krav på att lagra data i ett visst geografiskt område: Använd en enda arbetsyta för alla regioner.

Tänk också på potentiella bandbreddsavgifter som kan tillkomma när du skickar data till en arbetsyta från en resurs i en annan region. Dessa avgifter är vanligtvis mindre i förhållande till datainmatningskostnader för de flesta kunder. Dessa avgifter beror vanligtvis på att data skickas till arbetsytan från en virtuell dator. Övervakning av data från andra Azure-resurser med hjälp av diagnostikinställningar medför inte utgående avgifter.

Använd Priskalkylatorn för Azure för att beräkna kostnaden och avgöra vilka regioner du behöver. Överväg arbetsytor i flera regioner om bandbreddsavgifterna är betydande.

Om bandbreddsavgifterna är tillräckligt stora för att motivera den extra komplexiteten: Skapa en separat arbetsyta för varje region med virtuella datorer.
Om bandbreddsavgifterna inte är tillräckligt stora för att motivera den extra komplexiteten: Använd en enda arbetsyta för alla regioner.

Dataägarskap

Du kan ha ett krav på att separera data eller definiera gränser baserat på ägarskap. Du kan till exempel ha olika dotterbolag eller anslutna företag som kräver en avgränsning av deras övervakningsdata.

Om du behöver datasegregering: Använd en separat arbetsyta för varje dataägare.
Om du inte behöver datasegregering: Använd en enda arbetsyta för alla dataägare.

Dela fakturering

Du kan behöva dela upp faktureringen mellan olika parter eller betala tillbaka till en kund eller en intern affärsenhet. Du kan använda Azure Cost Management + Fakturering för att visa avgifter per arbetsyta. Du kan också använda en loggfråga för att visa fakturerbar datavolym efter Azure-resurs, resursgrupp eller prenumeration. Den här metoden kan vara tillräcklig för dina faktureringskrav.

Om du inte behöver dela upp faktureringen eller utföra återbetalning av avgifter: Använd en enda arbetsyta för alla kostnadsägare.
Om du behöver dela upp faktureringen eller utföra återbetalning av avgifter: Överväg om Azure Cost Management + Billing eller en loggfråga tillhandahåller kostnadsrapportering som är tillräckligt detaljerad för dina behov. Annars använder du en separat arbetsyta för varje kostnadsägare.

Datakvarhållning och arkivering

Du kan konfigurera standardinställningar för datakvarhållning och arkiv för en arbetsyta eller konfigurera olika inställningar för varje tabell. Du kan kräva olika inställningar för olika datauppsättningar i en viss tabell. I så fall måste du dela upp dessa data i olika arbetsytor, var och en med unika kvarhållningsinställningar.

Om du kan använda samma kvarhållnings- och arkivinställningar för alla data i varje tabell: Använd en enda arbetsyta för alla resurser.
Om du behöver olika kvarhållnings- och arkivinställningar för olika resurser i samma tabell: Använd en separat arbetsyta för olika resurser.

Åtagandenivåer

Åtagandenivåer ger rabatt på dina kostnader för inmatning av arbetsytor när du checkar in en viss mängd dagliga data. Du kan välja att konsolidera data på en enda arbetsyta för att nå nivån för en viss nivå. Samma mängd data som sprids över flera arbetsytor skulle inte vara berättigad till samma nivå, såvida du inte har ett dedikerat kluster.

Om du kan genomföra den dagliga inmatningen på minst 100 GB per dag bör du implementera ett dedikerat kluster som ger extra funktioner och prestanda. Med dedikerade kluster kan du också kombinera data från flera arbetsytor i klustret för att nå nivån för en åtagandenivå.

Om du matar in minst 100 GB per dag för alla resurser: Skapa ett dedikerat kluster och ange lämplig åtagandenivå.
Om du matar in minst 100 GB per dag mellan resurser: Överväg att kombinera dem till en enda arbetsyta för att dra nytta av en åtagandenivå.

Begränsningar för äldre agent

Du bör undvika att skicka duplicerade data till flera arbetsytor på grund av de extra avgifterna, men du kan ha virtuella datorer anslutna till flera arbetsytor. Det vanligaste scenariot är en agent som är ansluten till separata arbetsytor för Azure Monitor och Microsoft Sentinel.

Azure Monitor-agenten och Log Analytics-agenten för Windows kan ansluta till flera arbetsytor. Log Analytics-agenten för Linux kan bara ansluta till en enda arbetsyta.

Om du använder Log Analytics-agenten för Linux: Migrera till Azure Monitor-agenten eller se till att dina Linux-datorer endast kräver åtkomst till en enda arbetsyta.

Åtkomstkontroll för data

När du ger en användare åtkomst till en arbetsyta har användaren åtkomst till alla data på den arbetsytan. Den här åtkomsten är lämplig för en medlem i ett centralt administrations- eller säkerhetsteam som måste komma åt data för alla resurser. Åtkomst till arbetsytan bestäms också av rollbaserad åtkomstkontroll på resurskontext (RBAC) och RBAC på tabellnivå.

RBAC för resurskontext: Om en användare har läsbehörighet till en Azure-resurs ärver de som standard behörigheter till någon av resursens övervakningsdata som skickas till arbetsytan. Den här åtkomstnivån gör det möjligt för användare att komma åt information om resurser som de hanterar utan att beviljas explicit åtkomst till arbetsytan. Om du behöver blockera den här åtkomsten kan du ändra åtkomstkontrollläget så att det krävs explicita arbetsytebehörigheter.

Om du vill att användarna ska kunna komma åt data för sina resurser: Behåll standardläget för åtkomstkontroll för Använd resurs- eller arbetsytebehörigheter.
Om du uttryckligen vill tilldela behörigheter för alla användare: Ändra åtkomstkontrollläget till Kräv behörigheter för arbetsytan.

RBAC på tabellnivå: Med RBAC på tabellnivå kan du bevilja eller neka åtkomst till specifika tabeller på arbetsytan. På så sätt kan du implementera detaljerade behörigheter som krävs för specifika situationer i din miljö.

Du kan till exempel bevilja åtkomst till endast specifika tabeller som samlas in av Microsoft Sentinel till ett internt granskningsteam. Eller så kan du neka åtkomst till säkerhetsrelaterade tabeller till resursägare som behöver driftdata relaterade till sina resurser.

Om du inte behöver detaljerad åtkomstkontroll per tabell: Ge drift- och säkerhetsteamet åtkomst till sina resurser och tillåt resursägare att använda RBAC för resurskontext för sina resurser.
Om du behöver detaljerad åtkomstkontroll per tabell: Bevilja eller neka åtkomst till specifika tabeller med hjälp av RBAC på tabellnivå.

Elasticitet

För att säkerställa att kritiska data på din arbetsyta är tillgängliga i händelse av ett regionfel kan du mata in en del eller alla data i flera arbetsytor i olika regioner.

Det här alternativet kräver att du hanterar integrering med andra tjänster och produkter separat för varje arbetsyta. Även om data kommer att vara tillgängliga på den alternativa arbetsytan vid fel, vet inte resurser som förlitar sig på data, till exempel aviseringar och arbetsböcker, att växla över till den alternativa arbetsytan. Överväg att lagra ARM-mallar för kritiska resurser med konfiguration för den alternativa arbetsytan i Azure DevOps, eller som inaktiverade principer som snabbt kan aktiveras i ett redundansscenario.

Arbeta med flera arbetsytor

Många designer kommer att innehålla flera arbetsytor, så Azure Monitor och Microsoft Sentinel innehåller funktioner som hjälper dig att analysera dessa data på arbetsytor. Mer information finns i:

Flera klientstrategier

Miljöer med flera Azure-klienter, inklusive Microsoft-tjänstleverantörer (MSP), oberoende programvaruleverantörer (ISV:er) och stora företag, kräver ofta en strategi där ett centralt administrationsteam har åtkomst till att administrera arbetsytor som finns i andra klientorganisationer. Var och en av klienterna kan representera separata kunder eller olika affärsenheter.

Kommentar

Log Analytics i Azure Monitor är en av de Azure-tjänster som är tillgängliga i Azure CSP-prenumerationer för partner och tjänsteleverantörer som ingår i Molnlösningsleverantör-programmet (CSP).

Två grundläggande strategier för den här funktionen beskrivs i följande avsnitt.

Distribuerad arkitektur

I en distribuerad arkitektur skapas en Log Analytics-arbetsyta i varje Azure-klientorganisation. Det här alternativet är det enda du kan använda om du övervakar andra Azure-tjänster än virtuella datorer.

Det finns två alternativ för att tillåta tjänstleverantörsadministratörer att komma åt arbetsytorna i kundens klientorganisationer:

Använd Azure Lighthouse för att få åtkomst till varje kundklientorganisation. Tjänstleverantörsadministratörerna ingår i en Microsoft Entra-användargrupp i tjänstleverantörens klientorganisation. Den här gruppen beviljas åtkomst under registreringsprocessen för varje kund. Administratörerna kan sedan komma åt varje kunds arbetsytor inifrån sin egen tjänstleverantörsklientorganisation i stället för att behöva logga in på varje kunds klientorganisation individuellt. Mer information finns i Övervaka kundresurser i stor skala.
Lägg till enskilda användare från tjänstleverantören som Microsoft Entra-gästanvändare (B2B). Kundens klientadministratörer hanterar individuell åtkomst för varje tjänstleverantörsadministratör. Tjänstleverantörens administratörer måste logga in på katalogen för varje klientorganisation i Azure-portalen för att få åtkomst till dessa arbetsytor.

Fördelar med den här strategin:

Loggar kan samlas in från alla typer av resurser.
Kunden kan bekräfta specifika behörighetsnivåer med Azure-delegerad resurshantering. Eller så kan kunden hantera åtkomsten till loggarna med hjälp av sin egen Azure RBAC.
Varje kund kan ha olika inställningar för sin arbetsyta, till exempel kvarhållning och datatak.
Isolering mellan kunder för regel- och efterlevnad.
Avgiften för varje arbetsyta ingår i fakturan för kundens prenumeration.

Nackdelar med den här strategin:

Central visualisering och analys av data mellan kundklientorganisationer med verktyg som Azure Monitor-arbetsböcker kan leda till långsammare upplevelser. Detta är särskilt fallet när du analyserar data på fler än 50 arbetsytor.
Om kunder inte registreras för Azure-delegerad resurshantering måste tjänstleverantörsadministratörer etableras i kundkatalogen. Det här kravet gör det svårare för tjänsteleverantören att hantera många kundklientorganisationer samtidigt.

Centraliserad

En enda arbetsyta skapas i tjänstleverantörens prenumeration. Det här alternativet kan bara samla in data från kundens virtuella datorer. Agenter som är installerade på de virtuella datorerna är konfigurerade att skicka sina loggar till den här centrala arbetsytan.