Log Analytics çalışma alanına genel bakış
Log Analytics çalışma alanı, Azure İzleyici'den ve Microsoft Sentinel ve Bulut için Microsoft Defender gibi diğer Azure hizmetlerinden gelen günlük verileri için benzersiz bir ortamdır. Her çalışma alanının kendi veri deposu ve yapılandırması vardır, ancak birden çok hizmetten gelen verileri birleştirebilir. Bu makale, Log Analytics çalışma alanlarıyla ilgili kavramlara genel bir bakış sağlar ve her biri hakkında daha fazla ayrıntı için diğer belgelere bağlantılar sağlar.
Önemli
Microsoft Sentinel belgelerinde kullanılan Microsoft Sentinel çalışma alanı terimini görebilirsiniz. Bu çalışma alanı, bu makalede açıklanan Log Analytics çalışma alanıyla aynıdır, ancak Microsoft Sentinel için etkinleştirilmiştir. Çalışma alanı içindeki tüm veriler, Maliyet bölümünde açıklandığı gibi Microsoft Sentinel fiyatlandırmasına tabidir.
Tüm veri koleksiyonunuz için tek bir çalışma alanı kullanabilirsiniz. Ayrıca, şunlar gibi gereksinimlere göre birden çok çalışma alanı oluşturabilirsiniz:
- Verilerin coğrafi konumu.
- Verilere erişebilecek kullanıcıları tanımlayan erişim hakları.
- Fiyatlandırma katmanları ve veri saklama gibi yapılandırma ayarları.
Yeni çalışma alanı oluşturmak için bkz . Azure portalında Log Analytics çalışma alanı oluşturma. Birden çok çalışma alanı oluşturma konusunda dikkat edilmesi gerekenler için bkz . Log Analytics çalışma alanı yapılandırması tasarlama.
Veri yapısı
Her çalışma alanı, birden çok veri satırı içeren ayrı sütunlar halinde düzenlenmiş birden çok tablo içerir. Her tablo benzersiz bir sütun kümesiyle tanımlanır. Veri kaynağı tarafından sağlanan veri satırları bu sütunları paylaşır. Günlük sorguları, Azure İzleyici'nin ve çalışma alanlarını kullanan diğer hizmetlerin farklı özelliklerini almak ve bu özelliklere çıkış sağlamak için veri sütunlarını tanımlar.
Uyarı
Tablo adları, hassas bilgiler içermemesi için faturalama amacıyla kullanılır.
Maliyet
Çalışma alanı oluşturmanın veya bakımının doğrudan maliyeti yoktur. Veri alımı olarak da bilinen verilere gönderilen veriler için ücretlendirilirsiniz. Bu verilerin ne kadar süreyle depolandığı için ücretlendirilirsiniz ve bu durum veri saklama olarak da bilinir. Bu maliyetler, Günlük veri planında açıklandığı gibi her tablonun günlük veri planına göre farklılık gösterebilir.
Fiyatlandırma hakkında bilgi için bkz . Azure İzleyici fiyatlandırması. Maliyetlerinizi azaltma hakkında yönergeler için bkz . Azure İzleyici en iyi yöntemleri - Maliyet yönetimi. Log Analytics çalışma alanınızı Azure İzleyici dışındaki hizmetlerle kullanıyorsanız fiyatlandırma bilgileri için bu hizmetlerin belgelerine bakın.
Çalışma alanı dönüştürme DCR
Azure İzleyici'ye gelen verileri tanımlayan veri toplama kuralları (DCR' ler), verileri çalışma alanına almadan önce filtrelemenize ve dönüştürmenize olanak sağlayan dönüştürmeler içerebilir. Tüm veri kaynakları henüz DCR'leri desteklemediğinden, her çalışma alanında bir çalışma alanı dönüştürme DCR'leri olabilir.
Çalışma alanı dönüştürme DCR'sindeki dönüştürmeler , bir çalışma alanı içindeki her tablo için tanımlanır ve birden çok kaynaktan gönderilmiş olsa bile bu tabloya gönderilen tüm verilere uygulanır. Bu dönüşümler yalnızca DCR kullanmayan iş akışları için geçerlidir. Örneğin Azure İzleyici aracısı, sanal makinelerden toplanan verileri tanımlamak için bir DCR kullanır. Bu veriler, çalışma alanında tanımlanan alım süresi dönüştürmelerine tabi olmayacaktır.
Örneğin, farklı Azure kaynakları için kaynak günlüklerini çalışma alanınıza gönderen tanılama ayarlarınız olabilir. Yalnızca istediğiniz kayıtlar için bu verileri filtreleyen kaynak günlüklerini toplayan tablo için bir dönüştürme oluşturabilirsiniz. Bu yöntem, ihtiyacınız olmayan kayıtlar için alım maliyetinden tasarruf etmenizi sağlar. Ayrıca, daha basit sorguları desteklemek için belirli sütunlardan önemli verileri ayıklamak ve çalışma alanındaki diğer sütunlarda depolamak isteyebilirsiniz.
Veri saklama ve arşiv
Log Analytics çalışma alanında yer alan her tablodaki veriler, belirli bir süre boyunca saklanır ve bu sürenin ardından daha düşük bir saklama ücretiyle kaldırılır veya arşivlendirilir. Veri saklama maliyetinizi azaltarak verilerin kullanılabilir olması gereksiniminizi dengelemek için bekletme süresini ayarlayın.
Arşivlenen verilere erişmek için önce aşağıdaki yöntemlerden birini kullanarak bir Analytics Günlükleri tablosundan veri almanız gerekir:
| Metot | Açıklama |
|---|---|
| arama işleri | Belirli ölçütlere uyan verileri alma. |
| Geri yükleme | Belirli bir zaman aralığından veri alma. |
İzinler
Log Analytics çalışma alanında verilere erişim izni, her çalışma alanında bir ayar olan erişim denetimi modu tarafından tanımlanır. Yerleşik veya özel bir rol kullanarak kullanıcılara çalışma alanına açık erişim verebilirsiniz. Alternatif olarak, Azure kaynakları için toplanan verilere bu kaynaklara erişimi olan kullanıcılara da izin vekleyebilirsiniz.
Farklı izin seçenekleri ve izinleri yapılandırma hakkında bilgi için bkz . Azure İzleyici'de günlük verilerine ve çalışma alanlarına erişimi yönetme.
Sonraki adımlar
- Yeni bir Log Analytics çalışma alanı oluşturun.
- Birden çok çalışma alanı oluşturma konusunda dikkat edilmesi gerekenler için bkz . Log Analytics çalışma alanı yapılandırması tasarlama.
- Log Analytics çalışma alanından veri almak ve analiz etmek için günlük sorguları hakkında bilgi edinin.