Översikt över Azure Monitor-loggar
Azure Monitor-loggar är en centraliserad SaaS-plattform (programvara som en tjänst) för insamling, analys och hantering av telemetridata som genereras av Azure och andra resurser och program än Azure.
Du kan samla in loggar, hantera loggdata och kostnader och använda olika typer av data på en Log Analytics-arbetsyta, den primära Azure Monitor-loggresursen. Det innebär att du aldrig behöver flytta data eller hantera annan lagring, och du kan behålla olika datatyper så länge eller så lite som du behöver.
Den här artikeln innehåller en översikt över hur Azure Monitor-loggar fungerar och förklarar hur de hanterar behoven och färdigheterna hos olika personer i en organisation.
Kommentar
Azure Monitor-loggar är hälften av den dataplattform som stöder Azure Monitor. Den andra är Azure Monitor Metrics, som lagrar numeriska data i en tidsseriedatabas.
Så här fungerar Azure Monitor-loggar
Med Azure Monitor-loggar får du verktygen för att:
- Samla in data med hjälp av Azure Monitor-datainsamlingsmetoder. Transformera data baserat på dina behov för att optimera kostnader, ta bort personliga data och så vidare och dirigera data till tabeller på din Log Analytics-arbetsyta.
- Hantera och optimera loggdata och kostnader genom att konfigurera din Log Analytics-arbetsyta och loggtabeller, inklusive tabellscheman, tabellplaner, datakvarhållning, dataaggregering, vem som har åtkomst till vilka data och loggrelaterade kostnader.
- Hämta data nästan i realtid med hjälp av KQL (Kusto Query Language) eller KQL-baserade verktyg och funktioner som inte kräver KQL-kunskaper, till exempel Enkelt läge i Log Analytics-användargränssnittet, fördefinierade granskade övervakningsupplevelser som kallas Insikter och fördefinierade frågor.
- Använd data flexibelt för en rad olika användningsfall, inklusive dataanalys, felsökning, aviseringar, instrumentpaneler och rapporter, anpassade program och andra Azure- eller icke-Azure-tjänster.
Datainsamling, routning och transformering
Med Azure Monitors funktioner för datainsamling kan du samla in data från alla dina program och resurser som körs i Azure, andra moln och lokalt. En kraftfull inmatningspipeline möjliggör filtrering, transformering och routning av data till måltabeller på Log Analytics-arbetsytan för att optimera kostnader, analysfunktioner och frågeprestanda.
Mer information om datainsamling och transformering finns i Azure Monitor-datakällor och datainsamlingsmetoder och omvandlingar av datainsamling i Azure Monitor.
Log Analytics-arbetsyta
En Log Analytics-arbetsyta är ett datalager som innehåller tabeller där du samlar in data.
För att hantera datalagrings- och förbrukningsbehoven för olika personer som använder en Log Analytics-arbetsyta kan du:
- Definiera tabellplaner baserat på dina dataförbruknings- och kostnadshanteringsbehov.
- Hantera långsiktig kvarhållning till låg kostnad och interaktiv kvarhållning för varje tabell.
- Hantera åtkomst till arbetsytan och till specifika tabeller.
- Använd sammanfattningsregler för att aggregera kritiska data i sammanfattningstabeller. På så sätt kan du optimera data för enkel användning och användbara insikter och lagra rådata i en tabell med en tabellplan till låg kostnad, hur länge du än behöver dem.
- Skapa färdiga sparade frågor, visualiseringar och aviseringar som är skräddarsydda för specifika personer.
Du kan också konfigurera nätverksisolering, replikera din arbetsyta mellan regioner och utforma en arbetsytearkitektur baserat på dina affärsbehov.
Tabellplaner
Du kan använda en Log Analytics-arbetsyta för att lagra alla typer av loggar som krävs för valfritt ändamål. Till exempel:
- Utförliga data med stora volymer som kräver billig långsiktig lagring för granskning och efterlevnad
- App- och resursdata för felsökning av utvecklare
- Viktiga händelse- och prestandadata för skalning och aviseringar för att säkerställa kontinuerlig driftskvalitet och säkerhet
- Aggregerade långsiktiga datatrender för avancerad analys och maskininlärning
Med tabellplaner kan du hantera datakostnader baserat på hur ofta du använder data i en tabell och vilken typ av analys du behöver data för.
Den här videon ger en översikt över hur tabellplaner möjliggör loggning på flera nivåer i Azure Monitor-loggar:
Diagrammet och tabellen nedan jämför tabellplanerna Analytics, Basic och Auxiliary. Information om interaktiv och långsiktig kvarhållning finns i Hantera datakvarhållning på en Log Analytics-arbetsyta. Information om hur du väljer eller ändrar en tabellplan finns i Välj en tabellplan.
| Funktioner | Analys | Grundläggande | Extra (förhandsversion) |
|---|---|---|---|
| Bäst för | Data med högt värde som används för kontinuerlig övervakning, realtidsidentifiering och prestandaanalys. | Medelhöga data som behövs för felsökning och incidenthantering. | Lågtrycksdata, till exempel utförliga loggar och data som krävs för granskning och efterlevnad. |
| Tabelltyper som stöds | Alla tabelltyper | Azure-tabeller som stöder grundläggande loggar och DCR-baserade anpassade tabeller | DCR-baserade anpassade tabeller |
| Inmatningskostnad | Standard | Reducerad | Minimal |
| Frågepris ingår | ✅ | ❌ | ❌ |
| Optimerad frågeprestanda | ✅ | ✅ | ❌ Långsammare frågor. Bra för granskning. Inte optimerad för realtidsanalys. |
| Frågefunktioner | Fullständiga frågefunktioner. | Fullständig Kusto-frågespråk (KQL) i en enda tabell, som du kan utöka med data från en Analytics-tabell med hjälp av uppslag. | Fullständig KQL på en enskild tabell, som du kan utöka med data från en Analytics-tabell med hjälp av uppslag. |
| Aviseringar | ✅ | ❌ | ❌ |
| Insikter | ✅ | ❌ | ❌ |
| Instrumentpaneler | ✅ | ✅ Kostnad per fråga för instrumentpanelsuppdateringar ingår inte. | Möjlig, men långsam uppdatering, kostnad per fråga för instrumentpanelsuppdateringar ingår inte. |
| Dataexport | ✅ | ✅ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| Sökjobb | ✅ | ✅ | ✅ |
| Sammanfattningsregler | ✅ | ✅ KQL begränsat till en enskild tabell | ✅ KQL begränsat till en enskild tabell |
| Återställa | ✅ | ✅ | ❌ |
| Interaktiv kvarhållning | 30 dagar (90 dagar för Microsoft Sentinel och Application Insights). Kan utökas till upp till två år med en proportionell månatlig långsiktig kvarhållningsavgift. |
30 dagar | 30 dagar |
| Total kvarhållning | Upp till 12 år | Upp till 12 år | Upp till 12 år* *Begränsning för offentlig förhandsversion: Den totala kvarhållningen av extraplanen är för närvarande fast i 365 dagar. |
Kommentar
Den extra tabellplanen är i offentlig förhandsversion. Aktuella begränsningar och regioner som stöds finns i Begränsningar för offentlig förhandsversion.
Tabellplanerna Basic och Auxiliary är inte tillgängliga för arbetsytor i äldre prisnivåer.
Kusto-frågespråk (KQL) och Log Analytics
Du hämtar data från en Log Analytics-arbetsyta med hjälp av en KQL-fråga (Kusto-frågespråk), som är en skrivskyddad begäran om att bearbeta data och returnera resultat. KQL är ett kraftfullt verktyg som snabbt kan analysera miljontals poster. Använd KQL för att utforska loggar, transformera och aggregera data, identifiera mönster, identifiera avvikelser och extremvärden med mera.
Log Analytics är ett verktyg i Azure Portal för att köra loggfrågor och analysera deras resultat. Med Enkelt Läge för Log Analytics kan alla användare, oavsett deras kunskaper om KQL, hämta data från en eller flera tabeller med ett klick. Med en uppsättning kontroller kan du utforska och analysera hämtade data med hjälp av de mest populära funktionerna i Azure Monitor-loggar i en intuitiv, kalkylbladsliknande upplevelse.
Om du är bekant med KQL kan du använda Log Analytics KQL-läge för att redigera och skapa frågor, som du sedan kan använda i Azure Monitor-funktioner som aviseringar och arbetsböcker eller dela med andra användare.
Mer information om Log Analytics finns i Översikt över Log Analytics i Azure Monitor.
Inbyggda insikter och anpassade instrumentpaneler, arbetsböcker och rapporter
Många av Azure Monitors färdiga, kurerade Insights-upplevelser lagrar data i Azure Monitor-loggar och presenterar dessa data på ett intuitivt sätt så att du kan övervaka prestanda och tillgänglighet för dina moln- och hybridprogram och deras stödkomponenter.
Du kan också skapa egna visualiseringar och rapporter med hjälp av arbetsböcker, instrumentpaneler och Power BI.
Användningsfall
Den här tabellen beskriver några av de sätt som du kan använda de data du samlar in i Azure Monitor-loggar för att härleda drifts- och affärsvärde.
| Kapacitet | beskrivning |
|---|---|
| Analysera | Använd Log Analytics i Azure Portal för att skriva loggfrågor och interaktivt analysera loggdata med hjälp av en kraftfull analysmotor. |
| Aggregera | Använd sammanfattningsregler för att aggregera information som du behöver för aviseringar och analyser från rådata som du matar in. På så sätt kan du optimera dina kostnader, analysfunktioner och frågeprestanda. |
| Identifiera och analysera avvikelser | Använd inbyggda eller anpassade algoritmer för avvikelseidentifiering för att identifiera ovanliga mönster eller beteenden i dina loggdata. Detta hjälper till vid tidig identifiering av potentiella problem. |
| Varning | Konfigurera en varningsregel för loggsökning eller måttavisering för loggar för att skicka ett meddelande eller vidta automatiserade åtgärder när ett visst villkor inträffar. |
| Visualisera | Fäst frågeresultat som återges som tabeller eller diagram på en Azure-instrumentpanel. Skapa en arbetsbok för att kombinera med flera uppsättningar data i en interaktiv rapport. Exportera resultatet av en fråga till Power BI för att använda olika visualiseringar och dela med personer utanför Azure. Exportera resultatet av en fråga till Grafana för att använda dess instrumentpanel och kombinera med andra datakällor. |
| Skaffa insikter | Insikter ger en anpassad övervakningsupplevelse för specifika resurser och tjänster. |
| Hämta | Åtkomstloggens frågeresultat från:
|
| Importera | Ladda upp loggar från en anpassad app via REST API eller klientbiblioteket för .NET, Go, Java, JavaScript eller Python. |
| Export | Konfigurera automatisk export av loggdata till ett Azure Storage-konto eller Azure Event Hubs. Skapa ett arbetsflöde för att hämta loggdata och kopiera dem till en extern plats med hjälp av Azure Logic Apps. |
| Ta med din egen analys | Analysera data i Azure Monitor-loggar med hjälp av en notebook-fil för att skapa effektiva processer i flera steg ovanpå data som du samlar in i Azure Monitor-loggar. Detta är särskilt användbart för ändamål som att skapa och köra maskininlärningspipelines, avancerad analys och felsökningsguider (TSG:er) för supportbehov. |
| Behålla data för granskning och efterlevnad | Skicka data direkt till en tabell med hjälpplanen och utöka kvarhållningen av data i valfri tabell för att behålla data för granskning och efterlevnad till upp till 12 år. Med en tabellplan med låg kostnad och långsiktig kvarhållning på arbetsytan kan du minska kostnaderna och snabbt och enkelt använda dina data när du behöver dem. |
Arbeta med Microsoft Sentinel och Microsoft Defender för molnet
Microsoft Sentinel och Microsoft Defender för molnet utföra säkerhetsövervakning i Azure.
Dessa tjänster lagrar sina data i Azure Monitor-loggar så att de kan analyseras med andra loggdata som samlas in av Azure Monitor.
Läs mer
Nästa steg
- Lär dig mer om loggfrågor för att hämta och analysera data från en Log Analytics-arbetsyta.
- Lär dig mer om mått i Azure Monitor.
- Lär dig mer om tillgängliga övervakningsdata för olika resurser i Azure.