共用方式為


Azure 監視器記錄概觀 (機器翻譯)

Azure 監視器記錄是集中式軟體即服務 (SaaS) 平台,可用來收集、分析和處理 Azure 和非 Azure 資源與應用程式所產生的遙測資料。

您可以在一個 Log Analytics 工作區 (主要 Azure 監視器記錄資源) 中收集記錄、管理資料模型和成本,以及取用不同類型的資料。 這表示您永遠不需要移動資料或管理其他儲存體,而且您可以視需要的時間長短保留不同的資料類型。

本文概述 Azure 監視器記錄的運作方式,並說明其如何解決組織中不同角色的需求和技能。

注意

Azure 監視器記錄是支援 Azure 監視器的兩個資料平台之一。 另一個是 Azure 監視器計量,此平台會將數值資料儲存在時間序列資料庫中。

Log Analytics 工作區

Log Analytics 工作區是資料存放區,保存您在其中收集資料的資料表。

若要解決使用 Log Analytics 工作區的各種角色的資料儲存體和使用量需求,您可以:

Azure 入口網站中 Log Analytics 工作區的螢幕擷取畫面。

您也可以設定網路隔離、跨區域複寫工作區,以及根據您的業務需求設計工作區結構

Kusto 查詢語言 (KQL) 和 Log Analytics

您可以使用 Kusto 查詢語言 (KQL) 查詢從 Log Analytics 工作區擷取資料,這是處理資料並傳回結果的唯讀要求。 KQL 是功能強大的工具,可快速分析數百萬筆記錄。 使用 KQL 來探索您的記錄、轉換和彙總資料、探索模式、識別異常和極端值等等。

Azure 入口網站中的 Log Analytics 是可用於執行記錄查詢及分析其結果的工具。 Log Analytics 簡單模式可讓不論 KQL 知識有多少的任何使用者,只要按一下即可從一或多個資料表擷取資料。 一組控制項可讓您使用直覺式試算表格式體驗中最熱門的 Azure 監視器記錄功能來探索和分析擷取的資料。

顯示 Log Analytics 簡單模式的螢幕擷取畫面。

熟悉 KQL 的使用者可以使用 Log Analytics KQL 模式來編輯和建立查詢,然後可在 Azure 監視器功能中使用查詢,例如警示和活頁簿,或與其他使用者共用。

如需 Log Analytics 的說明,請參閱 Azure 監視器中的 Log Analytics 概觀。 如需如何使用 Log Analytics 功能來建立簡單的記錄查詢並分析其結果的逐步解說,請參閱 Log Analytics 教學課程

內建深入解析和自訂儀表板、活頁簿和報表

許多 Azure 監視器的隨時可用、策劃的 Insights 體驗將資料儲存在 Azure 監視器記錄中,並以直覺式方式呈現此資料,讓您可以監視雲端和混合式應用程式及其支援元件的效能和可用性。

顯示 Azure 監視器中內建容器深入解析監視體驗的螢幕擷取畫面。

您也可以使用活頁簿、儀表板和 Power BI 建立自己的視覺效果和報表

資料表方案

您可以使用一個 Log Analytics 工作區針對任何用途儲存任何類型的記錄。 例如:

  • 需要便宜長期儲存體進行稽核和合規性的大量、詳細資訊資料
  • 開發人員進行疑難排解的應用程式和資源資料
  • 調整和警示的重要事件和效能資料,以確保持續卓越營運和安全性
  • 進階分析和機器學習的彙總長期資料趨勢

資料表方案可讓您根據在資料表中使用資料的頻率,以及您需要資料的分析類型,來管理資料成本。

以下圖表和資料表會比較分析、基本和輔助資料表方案。 如需互動式和長期保留的詳細資訊,請參閱管理 Log Analytics 工作區中的資料保留。 如需如何選取或修改資料表方案的詳細資訊,請參閱選取資料表方案

此圖表呈現分析、基本和輔助資料表方案所提供的功能概觀。

分析 基本 輔助 (預覽)
適用對象 用於持續監視、即時偵測和效能分析的高價值資料。 疑難排解和事件回應所需的中等接觸資料。 低接觸資料,例如詳細資訊記錄,以及稽核和合規性所需的資料。
支援資料表類型 所有資料表類型 支援基本記錄的 Azure 資料表和 DCR 型自訂資料表 DCR 型自訂資料表
記錄查詢 完整查詢功能。 單一資料表上的完整 Kusto 查詢語言 (KQL),您可以使用查閱從分析資料表擴充資料。 單一資料表上的完整 KQL,您可以使用查閱從分析資料表擴充資料。
查詢效能 快速 快速 更慢
適用於稽核。 未針對即時分析最佳化。
警示
深入解析
儀表板 ✅ 不包含儀表板重新整理的每個查詢成本。 可能,但重新整理速度很慢,不包含儀表板重新整理的每個查詢成本。
資料匯出
Microsoft Sentinel
搜尋作業
摘要規則 ✅ KQL 限制為單一資料表 ✅ KQL 限制為單一資料表
Restore
包含查詢價格
擷取成本 標準 減少 最小
互動式保留 30 天 (針對 Microsoft Sentinel 和 Application Insights 為 90 天)。
可以按比例計算的每月長期保留費用延長至最多兩年。
30 天 30 天
保留總計 最多 12 年 最多 12 年 最多 12 年*
*公開預覽限制:輔助方案保留總計目前固定為 365 天。

注意

輔助資料表方案處於公開預覽狀態。 如需目前的限制和支援區域,請參閱公開預覽限制
舊版定價層中的工作區無法使用基本和輔助資料表方案。

資料集合

若要將資源資料收集到您的 Log Analytics 工作區:

  1. 根據下表來設定相關的資料收集工具。
  2. 決定您需要從資源收集哪些資料。
  3. 使用轉換來移除敏感性資料、擴充資料或執行計算,以及篩選出不需要的資料,以降低成本。

下表列出 Azure 監視器所提供、用於從各種資源類型收集資料的工具。

資源類型 資料收集工具 收集的資料
Azure 診斷設定 Azure 租用戶 - Microsoft Entra 稽核記錄會提供登入活動歷程記錄,以及租用戶內所做變更的稽核記錄。
Azure 資源 - 記錄和效能計數器。
Azure 訂用帳戶 - 服務健康狀態記錄,以及針對 Azure 訂用帳戶中的資源所做任何組態變更的記錄。
應用程式 Application insights 應用程式效能監視資料。
容器 容器深入解析 容器效能資料。
虛擬機器 資料收集規則 監視來自 Azure 和非 Azure 虛擬機器客體作業系統的資料。
非 Azure 來源 記錄擷取 API 檔案型記錄以及您從受監視資源收集的任何資料。

重要

針對記錄中的大部分資料收集,都會產生擷取和保留成本。 啟用任何資料收集之前,請參閱 Azure 監視器定價

使用 Microsoft Sentinel 和適用於雲端的 Microsoft Defender

Microsoft Sentinel適用於雲端的 Microsoft Defender 會在 Azure 中執行安全性監視

這些服務會將其資料儲存在 Azure 監視器記錄中,以便它可以與 Azure 監視器所收集的其他記錄資料一起進行分析。

深入了解

服務 其他相關資訊
Microsoft Sentinel
適用於雲端的 Microsoft Defender

下一步