你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Log Analytics 工作区概述

Log Analytics 工作区是一个数据存储，你可以将所有 Azure 和非 Azure 资源和应用程序中任何类型的日志数据收集到其中。通过工作区配置选项，你可以在一个工作区中管理所有日志数据，以满足组织中不同角色的运营、分析和审核需求：

本文概述了与 Log Analytics 工作区相关的概念。

重要

Microsoft Sentinel 文档使用术语 Microsoft Sentinel 工作区。除了是为 Microsoft Sentinel 启用的之外，此工作区与本文中所述的 Log Analytics 工作区相同。工作区中的所有数据都适用于 Microsoft Sentinel 定价。

日志表

每个 Log Analytics 工作区都包含多个表，其中 Azure Monitor 日志存储你收集的数据。

Azure Monitor 日志会自动创建存储你从 Azure 环境收集的监视数据所需的表。你创建自定义表来存储从非 Azure 资源和应用程序收集的数据，具体取决于你收集的日志数据的数据模型以及你想要存储和使用数据的方式。

表管理设置让你可以控制对特定表的访问，管理每个表中数据的数据模型、保留期和成本。有关详细信息，请参阅管理 Log Analytics 工作区中的表。

Log Analytics 工作区以两种状态保留数据 - 交互式保留和长期保留。

在交互式保留期内，你通过查询从表中检索数据，并且可以根据表计划将该数据用于可视化、警报及其他功能和服务。

Log Analytics 工作区中的每个表都允许以低成本、长期保留的方式将数据保留长达 12 年。使用搜索作业将你需要的特定数据从长期保留检索到交互式保留。这意味着，你可以在一个位置管理日志数据，而无需将数据移动到外部存储，并在需要时获取 Azure Monitor 对旧数据的完整分析功能。

Log Analytics 工作区中数据的访问权限由每个工作区的访问控制模式设置定义。可以使用内置角色或自定义角色以显式方式向用户授予对工作区的访问权限。也可以向有权访问 Azure 资源的用户授予为这些资源收集的数据的访问权限。

Log Analytics 工作区见解可帮助你管理和优化 Log Analytics 工作区，并让你全面了解工作区使用情况、性能、运行状况、引入、查询和更改日志。

用于定义传入 Azure Monitor 的数据的数据收集规则 (DCR) 可以包括一些转换，使你能够在将数据引入到工作区之前筛选和转换数据。由于所有数据源尚不支持 DCR，因此每个工作区都可以有一个工作区转换 DCR。

工作区转换 DCR 中的转换是为工作区中的每个表定义的，并应用于发送到该表的所有数据，即使是从多个源发送也是如此。这些转换仅适用于尚未使用 DCR 的工作流。例如，Azure Monitor 代理使用 DCR 来定义从虚拟机收集的数据。对于此数据，将不会执行工作区中定义的任何引入时转换。

例如，你可能具有将不同 Azure 资源的资源日志发送到工作区的诊断设置。可以为用于收集资源日志的表创建一个转换，该转换仅针对你需要的记录筛选此数据。此方法不会为你不需要的记录引入数据，从而节省了引入成本。你还可能需要从某些列提取重要数据，并将其存储在工作区的其他列中，以支持更简单的查询。

创建或维护工作区没有直接成本。根据每个表的表计划，为你引入工作区的数据以及数据保留付费。

有关定价的详细信息，请参阅 Azure Monitor 定价。有关如何降低成本的指导，请参阅 Azure Monitor 最佳做法 - 成本管理。如果要将 Log Analytics 工作区与 Azure Monitor 以外的服务配合使用，请参阅这些服务的文档以获取定价信息。

可以将单个工作区用于所有数据收集。但是，还可以根据特定的业务需求（例如法规或合规性要求）创建多个工作区，以在特定位置存储数据、拆分计费和实现复原能力。

有关创建多个工作区的注意事项，请参阅设计 Log Analytics 工作区配置。