你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 日志概览
Azure Monitor 日志是一个集中式软件即服务 (SaaS) 平台,用于收集、分析和处理 Azure 与非 Azure 资源及应用程序生成的遥测数据。
可以在一个 Log Analytics 工作区(主要 Azure Monitor 日志资源)中收集日志、管理数据模型和成本,并使用不同类型的数据。 这意味着你永远不必移动数据或管理其他存储,并且可以根据需要保留不同类型的数据,保留时间可长可短。
本文概述了 Azure Monitor 日志的工作原理,并说明了它如何满足组织中不同角色的需求和技能。
注意
Azure Monitor 日志是支持 Azure Monitor 的数据平台的一半。 另一半则是将数值数据存储在时序数据库中的 Azure Monitor 指标。
Log Analytics 工作区
Log Analytics 工作区 是一种数据存储,用于保存在其中收集数据的表。
若要满足使用 Log Analytics 工作区的各种角色的数据存储和消耗需求,可以:
- 根据数据消耗和成本管理需求定义表计划。
- 管理每个表的低成本长期保留和交互式保留。
- 管理工作区和特定表的访问。
- 使用摘要规则聚合摘要表中的关键数据。 这样,就可以优化数据以方便使用和可操作的见解,并将原始数据存储在具有低成本表计划的表中,存储时长不受限制。
- 创建针对特定角色定制的可随时运行的保存的查询、可视化效果,和警报。
还可以配置网络隔离、跨区域复制工作区,并根据业务需求设计工作区体系结构。
Kusto 查询语言 (KQL) 和 Log Analytics
可以使用 Kusto 查询语言 (KQL) 查询从 Log Analytics 工作区检索数据,其为处理数据和返回结果的只读请求。 KQL 是一种功能强大的工具,可以快速分析数百万条记录。 使用 KQL 浏览日志、转换和聚合数据、发现模式、识别异常和离群值等。
Log Analytics 是 Azure 门户中用于运行日志查询和分析其结果的工具。 Log Analytics 简单模式允许任何用户通过一次单击从一个或多个表检索数据,而不考虑他们的 KQL 知识。 通过一组控件,可以使用最常用的 Azure Monitor 日志功能,在直观的类似电子表格的体验中浏览和分析检索到的数据。
熟悉 KQL 的用户可以使用 Log Analytics KQL 模式编辑和创建查询,然后可以在 Azure Monitor 功能(如警报和工作簿)中使用,或者与其他用户进行共享。
有关 Log Analytics 的说明,请参阅 Azure Monitor 中 Log Analytics 的概述。 若要演练如何使用 Log Analytics 功能创建简单的日志查询并分析结果,请参阅 Log Analytics 教程。
内置见解和自定义仪表板、工作簿和报表
许多 Azure Monitor 的现成特选见解体验会将数据存储在 Azure Monitor 日志中,并直观地呈现此数据,以便可以监视云和混合应用程序及其支持组件的性能和可用性。
还可以使用工作簿、仪表板和 Power BI 创建自己的可视化效果和报表。
表计划
可以使用一个 Log Analytics 工作区存储任何用途所需的任何类型的日志。 例如:
- 需要廉价的长期存储进行审核和合规性的高容量冗长数据
- 开发人员用于进行故障排除的应用和资源数据
- 用于缩放和警报的关键事件和性能数据,以确保持续的卓越运营和安全性
- 高级分析和机器学习的聚合长期数据趋势
使用表计划,可以根据表中的数据使用频率以及需要该数据的分析类型来管理数据成本。
下图和表比较了分析、基本和辅助表计划。 有关交互式和长期保留的信息,请参阅管理 Log Analytics 工作区中的数据保留。 有关如何选择或修改表计划的信息,请参阅“选择表计划”。
| 分析 | 基本 | 辅助(预览版) | |
|---|---|---|---|
| 最适用于 | 用于持续监视、实时检测和性能分析的高价值数据。 | 故障排除和事件响应所需的中等接触数据。 | 低接触数据,例如详细日志,以及审核和合规性所需的数据。 |
| 支持的表类型 | 所有表类型 | 支持基本日志的 Azure 表和基于 DCR 的自定义表 | 基于 DCR 的自定义表 |
| 日志查询 | 完整的查询功能。 | 单个表上的完整 Kusto 查询语言 (KQL),可以使用查找从 Analytics 表扩展数据。 | 单个表上的完整 KQL,可以使用查找从 Analytics 表扩展数据。 |
| 查询性能 | 快速 | 快速 | 较慢 适用于审核。 未针对实时分析进行优化。 |
| 警报 | ✅ | ❌ | ❌ |
| Insights | ✅ | ❌ | ❌ |
| 仪表板 | ✅ | ✅ 不包括仪表板刷新的每个查询的成本。 | 有可能,但刷新速度缓慢,不包括仪表板刷新的每个查询的成本。 |
| 数据导出 | ✅ | ❌ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| 搜索作业 | ✅ | ✅ | ✅ |
| 摘要规则 | ✅ | ✅ KQL 限制为单个表 | ✅ KQL 限制为单个表 |
| 还原 | ✅ | ✅ | ❌ |
| 包含查询价格 | ✅ | ❌ | ❌ |
| 引入成本 | Standard | 已降低 | 最小 |
| 交互式保留期 | 30 天(Microsoft Sentinel 和 Application Insights 为 90 天)。 可延长至两年,每月按比例收取长期保留费用。 |
30 天 | 30 天 |
| 总保留期 | 最长 12 年 | 最长 12 年 | 最长 12 年* *公共预览版限制:辅助计划总保留期目前固定为 365 天。 |
数据收集
将数据从资源收集到 Log Analytics 工作区:
- 根据下表设置相关数据收集工具。
- 确定需要从资源收集哪些数据。
- 使用转换删除敏感数据、扩充数据或执行计算,并筛除不需要的数据,以降低成本。
下表列出了 Azure Monitor 提供的用于从各种资源类型收集数据的工具。
| 资源类型 | 数据收集工具 | 收集的数据 |
|---|---|---|
| Azure | 诊断设置 | Azure 租户 - Microsoft Entra 审核日志提供登录活动历史记录和在租户中所做更改的审核日志。 Azure 资源 - 日志和性能计数器。 Azure 订阅 - 服务运行状况记录,以及对 Azure 订阅中的资源所做的配置更改的记录。 |
| 应用程序 | Application insights | 应用程序性能监视数据。 |
| 容器 | 容器见解 | 容器性能数据。 |
| 虚拟机 | 数据收集规则 | 监视 Azure 虚拟机和非 Azure 虚拟机的来宾操作系统中的数据。 |
| 非 Azure 源 | 日志引入 API | 基于文件的日志和从受监视的资源收集的任何数据。 |
重要
对于日志中的大多数数据,都会产生引入和保留成本。 在启用任何数据收集之前,都请查看 Azure Monitor 定价。
使用 Microsoft Sentinel 和 Microsoft Defender for Cloud
Microsoft Sentinel 和 Microsoft Defender for Cloud 在 Azure 中会执行安全监视。
这些服务将其数据存储在 Azure Monitor 日志中,以便能够与 Azure Monitor 收集的其他日志数据一起分析。
了解详细信息
| 服务 | 详细信息 |
|---|---|
| Microsoft Sentinel | |
| Microsoft Defender for Cloud |
后续步骤
- 了解日志查询,以从 Log Analytics 工作区检索和分析数据。
- 了解 Azure Monitor 中的指标。
- 了解适用于 Azure 中各种资源的监视数据。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈