你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Log Analytics 工作区概述

Log Analytics 工作区是一种适用于来自 Azure Monitor 和其他 Azure 服务(例如 Microsoft Sentinel 和 Microsoft Defender for Cloud)的日志数据的独特环境。 每个工作区都有其自己的数据存储库和配置,但可以合并来自多个服务的数据。 本文概述了与 Log Analytics 工作区相关的概念,并提供了其他文档的链接,以便你详细了解每个概念。

重要

你可能会看到 Microsoft Sentinel 文档中使用的“Microsoft Sentinel 工作区”一词。 除了是为 Microsoft Sentinel 启用的之外,此工作区与本文中所述的 Log Analytics 工作区相同。 工作区中的所有数据均按成本部分中所述的 Microsoft Sentinel 定价来计费。

可以将单个工作区用于所有数据收集。 也可以根据各种要求创建多个工作区,例如:

  • 数据的地理位置。
  • 定义哪些用户可以访问数据的访问权限。
  • 配置设置,如定价层和数据保留。

若要创建新的工作区,请参阅在 Azure 门户中创建 Log Analytics 工作区。 有关创建多个工作区的注意事项,请参阅设计 Log Analytics 工作区配置

数据结构

每个工作区都包含多个表,这些表被组织成具有多行数据的单独列。 每个表都由一组唯一的列定义。 数据源提供的数据行共享这些列。 日志查询定义要检索的数据列并向 Azure Monitor 及使用工作区的其他服务的不同功能提供输出。

Diagram that shows the Azure Monitor Logs structure.

警告

表名用于计费目的,因此它们不应包含敏感信息。

成本

创建或维护工作区没有直接成本。 你需要为发送给它的数据(也称为数据引入)付费。 你需要为该数据的存储时间(也称为数据保留)付费。 这些成本可能因每个表的日志数据计划而异,如日志数据计划所述。

有关定价的详细信息,请参阅 Azure Monitor 定价。 有关如何降低成本的指导,请参阅 Azure Monitor 最佳做法 - 成本管理。 如果要将 Log Analytics 工作区与 Azure Monitor 以外的服务配合使用,请参阅这些服务的文档以获取定价信息。

工作区转换 DCR

用于定义传入 Azure Monitor 的数据的数据收集规则 (DCR) 可以包括一些转换,使你能够在将数据引入到工作区之前筛选和转换数据。 由于所有数据源尚不支持 DCR,因此每个工作区都可以有一个工作区转换 DCR

工作区转换 DCR 中的转换是为工作区中的每个表定义的,并应用于发送到该表的所有数据,即使是从多个源发送也是如此。 这些转换仅适用于尚未使用 DCR 的工作流。 例如,Azure Monitor 代理使用 DCR 来定义从虚拟机收集的数据。 对于此数据,将不会执行工作区中定义的任何引入时转换。

例如,你可能具有将不同 Azure 资源的资源日志发送到工作区的诊断设置。 可以为用于收集资源日志的表创建一个转换,该转换仅针对你需要的记录筛选此数据。 此方法不会为你不需要的记录引入数据,从而节省了引入成本。 你还可能需要从某些列提取重要数据,并将其存储在工作区的其他列中,以支持更简单的查询。

数据保留和存档

Log Analytics 工作区中每个表内的数据将保留指定的一段时间,超过该时间段后会将其删除,或按降低的保留费用存档。 设置保留时间,以在“让数据可用”与“降低数据保留成本”的需求之间保持平衡。

若要访问存档的数据,必须先使用以下方法之一在“分析日志”表中检索该数据:

方法 说明
搜索作业 检索符合特定条件的数据。
还原 检索特定时间范围内的数据。

Diagram that shows an overview of data plans and archive.

权限

Log Analytics 工作区中数据的访问权限由访问控制模式定义,该模式是每个工作区上的设置。 可以使用内置角色或自定义角色以显式方式向用户授予对工作区的访问权限。 也可以向有权访问 Azure 资源的用户授予为这些资源收集的数据的访问权限。

有关不同权限选项以及如何配置权限的详细信息,请参阅管理对 Azure Monitor 中的日志数据和工作区的访问

后续步骤