Log Analytics 工作區概觀

Log Analytics 工作區是一個資料存放區，您可在其中收集來自所有 Azure 和非 Azure 資源與應用程式的任何類型記錄資料。工作區設定選項可讓您在一個工作區中透過以下功能管理所有記錄資料，以符合組織中不同角色的作業、分析和稽核需求：

本文提供與 Log Analytics 工作區相關的概念概觀。

重要

Microsoft Sentinel 文件會使用 Microsoft Sentinel 工作區一詞。此工作區與本文所述的 Log Analytics 工作區相同，不過是針對 Microsoft Sentinel 而啟用的。工作區中的所有資料都受限於 Microsoft Sentinel 定價。

記錄資料表

每個 Log Analytics 工作區都包含多個資料表，Azure 監視器記錄在其中儲存您所收集的資料。

Azure 監視器記錄會自動建立所需的資料表，以儲存您從 Azure 環境收集的監視資料。建立自訂資料表，以根據您所收集記錄資料的資料模型以及儲存和使用資料的方式，儲存從非 Azure 資源和應用程式收集的資料。

資料表管理設定可讓您控制特定資料表的存取權，以及管理每個資料表中資料的資料模型、保留和成本。如需詳細資訊，請參閱Log Analytics 工作區中的管理資料表。

Log Analytics 工作區會以兩種狀態保留資料 - 互動式保留和長期保留。

在互動式保留期間，您會透過查詢從資料表擷取資料，並根據資料表方案來取得可用於視覺效果、警示和其他功能與服務的資料。

Log Analytics 工作區中的每個資料表都可讓您以低成本、長期保留方式來保留資料最多 12 年。使用搜尋作業，將您需要的特定資料從長期保留擷取到互動式保留。這表示您在一個地方管理記錄資料，而不需要將資料移至外部儲存體，而且當您需要時，可取得 Azure 監視器對較舊資料的完整分析功能。

存取 Log Analytics 工作區中資料的權限是由每個工作區上的存取控制模式設定所定義。您可以使用內建或自訂角色，讓使用者明確存取工作區。或者，您可以透過 Azure 資源的存取權，允許使用者存取為這些資源收集的資料。

Log Analytics 工作區深入解析可協助您管理和最佳化 Log Analytics 工作區，具有工作區使用量、效能、健康情況、擷取、查詢和變更記錄檔的全面檢視。

資料收集規則 (DCR) 會定義進入 Azure 監視器的資料可以包含轉換，讓您在將資料擷取到工作區之前篩選和轉換資料。由於所有資料來源尚未支援 DCR，因此每個工作區都可以有工作區轉換 DCR。

工作區轉換 DCR 的轉換是針對工作區中的每個資料表定義，並且會套用至傳送到該資料表的所有資料，即使是從多個來源傳送也一樣。這些轉換僅適用於尚未使用 DCR 的工作流程。例如，Azure 監視器代理程式會使用 DCR 來定義從虛擬機器收集的資料。這項資料不會受限於工作區中定義的任何擷取時間轉換。

例如，您可能會有診斷設定，這些設定會將不同 Azure 資源的資源記錄傳送到您的工作區。您可以為收集資源記錄的資料表建立轉換，而僅就您需要的記錄篩選這項資料。藉助於此方法，您即無須為不需要的記錄支付擷取費用。您也可以從特定資料行擷取重要資料，並將其儲存在工作區中的其他資料行，以支援更簡單的查詢。

建立或維護工作區不會產生直接成本。系統會根據每個資料表的資料表方案，針對將資料擷取至工作區和資料保留向您收費。

如需定價的詳細資訊，請參閱 Azure 監視器定價。如需如何降低成本的指引，請參閱 Azure 監視器最佳做法 - 成本管理。如果您搭配 Azure 監視器以外的服務使用 Log Analytics 工作區，請參閱這些服務的文件以取得定價資訊。

您可以將單一工作區用於所有的資料收集。不過，您也可以根據特定商務需求來建立多個工作區，例如將資料儲存在特定位置、分割計費和復原能力的法規或合規性需求。

如需建立多個工作區的相關考量，請參閱設計 Log Analytics 工作區組態。