Log Analytics çalışma alanına genel bakış

Log Analytics çalışma alanı, Azure İzleyici'den ve Microsoft Sentinel ve Bulut için Microsoft Defender gibi diğer Azure hizmetlerinden gelen günlük verileri için benzersiz bir ortamdır. Her çalışma alanının kendi veri deposu ve yapılandırması vardır, ancak birden çok hizmetten gelen verileri birleştirebilir. Bu makalede Log Analytics çalışma alanlarıyla ilgili kavramlara genel bir bakış sağlanır ve her biri hakkında daha fazla ayrıntı için diğer belgelere bağlantılar sağlanır.

Önemli

Microsoft Sentinel belgelerinde kullanılan MicrosoftSentinel çalışma alanı terimini görebilirsiniz. Bu çalışma alanı, bu makalede açıklanan Log Analytics çalışma alanıyla aynıdır, ancak Microsoft Sentinel için etkinleştirilmiştir. Çalışma alanı içindeki tüm veriler, Maliyet bölümünde açıklandığı gibi Microsoft Sentinel fiyatlandırmasına tabidir.

Tüm veri koleksiyonunuz için tek bir çalışma alanı kullanabilirsiniz. Ayrıca, şunlar gibi gereksinimlere göre birden çok çalışma alanı oluşturabilirsiniz:

  • Verilerin coğrafi konumu.
  • Verilere erişebilecek kullanıcıları tanımlayan erişim hakları.
  • Fiyatlandırma katmanları ve veri saklama gibi yapılandırma ayarları.

Yeni çalışma alanı oluşturmak için bkz. Azure portal Log Analytics çalışma alanı oluşturma. Birden çok çalışma alanı oluşturma konusunda dikkat edilmesi gerekenler için bkz. Log Analytics çalışma alanı yapılandırması tasarlama.

Veri yapısı

Her çalışma alanı, birden çok veri satırı içeren ayrı sütunlar halinde düzenlenmiş birden çok tablo içerir. Her tablo benzersiz bir sütun kümesiyle tanımlanır. Veri kaynağı tarafından sağlanan veri satırları bu sütunları paylaşır. Günlük sorguları, Azure İzleyici'nin ve çalışma alanlarını kullanan diğer hizmetlerin farklı özelliklerini almak ve bu özelliklere çıkış sağlamak için veri sütunlarını tanımlar.

Azure İzleyici Günlükleri yapısını gösteren diyagram.

Uyarı

Tablo adları, hassas bilgiler içermemeleri için faturalama amacıyla kullanılır.

Maliyet

Çalışma alanı oluşturmanın veya bakımının doğrudan maliyeti yoktur. Veri alımı olarak da bilinen verilere gönderilen veriler için ücretlendirilirsiniz. Verilerin ne kadar süreyle depolandığı için ücretlendirilirsiniz ve bu süre veri saklama olarak da bilinir. Bu maliyetler, Günlük veri planı'nda açıklandığı gibi her tablonun günlük veri planına göre farklılık gösterebilir.

Fiyatlandırma hakkında bilgi için bkz. Azure İzleyici fiyatlandırması. Maliyetlerinizi azaltma hakkında yönergeler için bkz. Azure İzleyici en iyi yöntemleri - Maliyet yönetimi. Log Analytics çalışma alanınızı Azure İzleyici dışındaki hizmetlerle kullanıyorsanız fiyatlandırma bilgileri için söz konusu hizmetlerin belgelerine bakın.

Çalışma alanı dönüştürme DCR

Azure İzleyici'ye gelen verileri tanımlayan veri toplama kuralları (DCR) verileri çalışma alanına almadan önce filtrelemenize ve dönüştürmenize olanak sağlayan dönüştürmeler içerebilir. Tüm veri kaynakları henüz DCR'leri desteklemediğinden, her çalışma alanında bir çalışma alanı dönüşümü DCR'leri olabilir.

Çalışma alanı dönüştürme DCR'sindeki dönüştürmeler, çalışma alanı içindeki her tablo için tanımlanır ve birden çok kaynaktan gönderiliyor olsa bile bu tabloya gönderilen tüm verilere uygulanır. Bu dönüştürmeler yalnızca DCR kullanmayan iş akışları için geçerlidir. Örneğin , Azure İzleyici aracısı sanal makinelerden toplanan verileri tanımlamak için bir DCR kullanır. Bu veriler çalışma alanında tanımlanan alım zamanı dönüştürmelerine tabi olmayacaktır.

Örneğin, farklı Azure kaynakları için kaynak günlüklerini çalışma alanınıza gönderen tanılama ayarlarınız olabilir. Yalnızca istediğiniz kayıtlar için bu verileri filtreleyen kaynak günlüklerini toplayan tablo için bir dönüştürme oluşturabilirsiniz. Bu yöntem, ihtiyacınız olmayan kayıtlar için alım maliyetinden tasarruf etmenizi sağlar. Ayrıca, daha basit sorguları desteklemek için belirli sütunlardan önemli verileri ayıklamak ve çalışma alanında diğer sütunlarda depolamak isteyebilirsiniz.

Veri saklama ve arşiv

Log Analytics çalışma alanında yer alan her tablodaki veriler, belirli bir süre boyunca saklanır ve daha sonra daha düşük bir saklama ücretiyle kaldırılır veya arşivler. Veri saklama maliyetlerinizi azaltarak verilerin kullanılabilir olması gereksiniminizi dengelemek için bekletme süresini ayarlayın.

Arşivlenen verilere erişmek için önce aşağıdaki yöntemlerden birini kullanarak bir Analiz Günlükleri tablosundan veri almanız gerekir:

Yöntem Açıklama
Arama işleri Belirli ölçütlere uyan verileri alma.
Geri yükleme Belirli bir zaman aralığından veri alma.

Veri planlarının ve arşivin genel bakışını gösteren diyagram.

İzinler

Log Analytics çalışma alanında verilere erişim izni, her çalışma alanında bir ayar olan erişim denetimi modu tarafından tanımlanır. Yerleşik veya özel bir rol kullanarak kullanıcılara çalışma alanına açık erişim verebilirsiniz. Alternatif olarak, Azure kaynakları için toplanan verilere bu kaynaklara erişimi olan kullanıcılara da erişim izni vekleyebilirsiniz.

Farklı izin seçenekleri ve izinleri yapılandırma hakkında bilgi için bkz. Azure İzleyici'de günlük verilerine ve çalışma alanlarına erişimi yönetme .

Sonraki adımlar