Design för Arbetsytor för Azure Monitor-loggar (Log Analytics)

  • 6 minuter

Azure Monitor lagrar loggdata på en Arbetsyta för Azure Monitor-loggar (Log Analytics). En arbetsyta är en Azure-resurs som fungerar som en administrativ gräns eller geografisk plats för datalagring. Arbetsytan är också en container där du samlar in och aggregerar data.

Du kan distribuera en eller flera arbetsytor i din Azure-prenumeration, men det finns flera saker du bör tänka på för att säkerställa att din första distribution följer Microsofts riktlinjer. Arbetsytan bör tillhandahålla en kostnadseffektiv, hanterbar och skalbar distribution som uppfyller organisationens behov.

Saker att veta om Arbetsytor för Azure Monitor-loggar

Granska de här egenskaperna för Arbetsytor för Azure Monitor-loggar och fundera över hur de kan bidra till din övervakningslösning för Tailwind Traders.

  • På en arbetsyta kan du isolera data genom att ge olika användare åtkomsträttigheter enligt Microsofts rekommenderade designstrategier.

  • Data i en Arbetsyta för Azure Monitor-loggar ordnas i tabeller. Varje tabell lagrar olika typer av data och har en egen unik uppsättning egenskaper baserat på den resurs som genererar data. De flesta datakällor skriver till sina egna tabeller på en Arbetsyta för Azure Monitor-loggar.

  • Med en arbetsyta kan du konfigurera inställningar som prisnivå, kvarhållning och databegränsning baserat på administrativa gränser eller geografiska platser.

  • Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du endast ge användare och grupper den åtkomst de behöver för att arbeta med övervakningsdata på en arbetsyta. Du kan justera användaråtkomstkontrollen med din IT-organisations driftsmodell genom att använda en enda arbetsyta för att lagra insamlade data som är aktiverade på alla resurser.

  • Arbetsytor finns i fysiska kluster. Som standard skapar och hanterar systemet dessa kluster. Om systemet matar in mer än 500 GB data per dag skapar du egna dedikerade kluster för dina arbetsytor för att stödja större kontroll och högre inmatningshastighet.

Saker att tänka på när du använder Arbetsytor för Azure Monitor-loggar

Nu är du redo att granska överväganden för att utforma med Azure Monitor Logs-arbetsytor i Tailwind Traders-arkitekturen.

  • Överväg din strategi för åtkomstkontroll. När du planerar hur många arbetsytor som ska användas i Tailwind Traders-organisationen bör du överväga följande potentiella krav:

    • Är din organisation ett globalt företag? Behöver du loggdata som lagras i specifika regioner av datasuveränitets- eller efterlevnadsskäl?
    • Använder din arkitektur Azure? Vill du undvika avgifter för utgående dataöverföring genom att ha en arbetsyta i samma region som de Azure-resurser som den hanterar?
    • Stöder systemet flera avdelningar eller företagsgrupper? Varje grupp bör komma åt sina data och inte andras data. Det finns heller inga affärskrav för en konsoliderad avdelnings- eller affärsgruppsvy.

  • Överväg alternativ för distributionsmodell. De flesta IT-organisationer använder en centraliserad, decentraliserad eller hybridmodell för sin arkitektur. Tänk på de här vanliga distributionsmodellerna för arbetsytor och hur de kan fungera för Tailwind Traders-organisationen:

    Distribution beskrivning
    Centraliserad Alla loggar lagras på en central arbetsyta och administreras av ett enda team. Azure Monitor ger differentierad åtkomst per team. I det här scenariot är det enkelt att hantera, söka mellan resurser och korskorrelera loggar. Arbetsytan kan växa avsevärt beroende på mängden data som samlas in från flera resurser i din prenumeration. Extra administrativa kostnader krävs för att upprätthålla åtkomstkontroll till olika användare. Den här modellen kallas hubb och eker.
    Decentraliserad Varje team har en egen arbetsyta som skapats i en resursgrupp som de äger och hanterar. Loggdata är åtskilda per resurs. I det här scenariot kan arbetsytan hållas säker och åtkomstkontrollen är konsekvent med resursåtkomst. En nackdel med den här modulen är att det kan vara svårt att korskorrelera loggar. Användare som behöver en bred vy över många resurser kan inte analysera data på ett meningsfullt sätt.
    Hybrid En hybridmetod kan kompliceras av efterlevnadskrav för säkerhetsgranskning. Många organisationer implementerar båda distributionsmodellerna parallellt. Hybriddesignen resulterar ofta i en komplex, dyr och svårbehållen konfiguration med luckor i loggtäckningen.

  • Överväg åtkomstläge. Planera för hur dina användare kan komma åt Arbetsytor för Azure Monitor-loggar och definiera omfattningen av data som de kan komma åt. Tailwind Traders-användare har två alternativ för att komma åt sina data:

    Åtkomstläge beskrivning
    Arbetsytekontext En användare kan granska alla loggar på arbetsytan som de har behörighet för. Frågor begränsas till alla data i alla tabeller på arbetsytan. Loggar nås med arbetsytan som omfång genom att välja LoggarAzure Monitor-menyn i Azure-portalen.
    Resurskontext En användare kommer åt arbetsytan för en viss resurs, resursgrupp eller prenumeration. Genom att välja Loggar från en resursmeny i Azure-portalen kan de bara visa loggar för resurser i alla tabeller som de har åtkomst till. Frågor omfångsbegränsas till att endast gälla data som är associerade med den resursen. Det här läget aktiverar även detaljerad Azure RBAC.

  • Överväg Azure RBAC och arbetsytor. Kontrollera vilka användare som har åtkomst till vilka resurser enligt deras arbetsyteassociationer. Du kan ge åtkomst till teamet som ansvarar för Tailwind Traders infrastrukturtjänster som finns på Azure Virtual Machines. Du kan bara ge teamet åtkomst till loggarna som genereras av de virtuella datorerna. Den här metoden följer den nya resurskontextloggmodellen. Grunden för den här modellen är för varje loggpost som genereras av en Azure-resurs, den associeras automatiskt med den här resursen. Loggar vidarebefordras till en central arbetsyta som respekterar omfång och Azure RBAC baserat på resurserna.

  • Överväg gränsen för skalnings- och inmatningsvolym. Azure Monitor är en storskalig datatjänst som betjänar tusentals kunder som skickar petabyte med data varje månad i en växande takt. Arbetsytor är inte begränsade i deras lagringsutrymme och kan växa till petabyte med data. Du behöver inte dela upp arbetsytor på grund av skalning.

Rekommendationer

När du överväger dina alternativ för att implementera Arbetsytor för Azure Monitor-loggar och åtkomstkontroll i övervaknings- och loggningslösningen kan du läsa de här rekommendationerna. Det här scenariot visar en rekommenderad design för en enskild arbetsyta i IT-organisationens prenumeration.

Diagram that shows how to design an Azure Monitor Logs deployment.

Arbetsytan begränsas inte av datasuveränitet eller regelefterlevnad. Den behöver inte mappas till de regioner där dina resurser distribueras. Organisationens säkerhets- och IT-administratörsteam kan dra nytta av den förbättrade integreringen med Azure-åtkomsthantering och säkrare åtkomstkontroll.

Alla resurser, övervakningslösningar och insikter som Application Insights och insikter för virtuella datorer konfigureras för att vidarebefordra insamlade loggdata till IT-organisationens centraliserade delade arbetsyta. Loggdata från den stödjande infrastrukturen och appar som underhålls av olika team skickas också till den centraliserade delade arbetsytan.

Användare i varje team beviljas åtkomst till loggar för resurser som de har fått åtkomst till.

När du har distribuerat din arbetsytearkitektur kan du tillämpa samma modell på Azure-resurser med Azure Policy. Du kan definiera principer och säkerställa kompatibilitet med dina Azure-resurser, så att de skickar alla sina resursloggar till en viss arbetsyta. Genom att använda Azure Virtual Machines eller Vm-skalningsuppsättningar kan du använda befintliga principer som utvärderar arbetsytans efterlevnad och rapportresultat, eller anpassa för att åtgärda om de inte är kompatibla.