Azure 監視器記錄概觀 (機器翻譯)
Azure 監視器記錄是集中式軟體即服務 (SaaS) 平台,可用來收集、分析和處理 Azure 和非 Azure 資源與應用程式所產生的遙測資料。
您可以在一個 Log Analytics 工作區 (主要 Azure 監視器記錄資源) 中收集記錄、管理資料模型和成本,以及取用不同類型的資料。 這表示您永遠不需要移動資料或管理其他儲存體,而且您可以視需要的時間長短保留不同的資料類型。
本文概述 Azure 監視器記錄的運作方式,並說明其如何解決組織中不同角色的需求和技能。
注意
Azure 監視器記錄是支援 Azure 監視器的兩個資料平台之一。 另一個是 Azure 監視器計量,此平台會將數值資料儲存在時間序列資料庫中。
Log Analytics 工作區
Log Analytics 工作區是資料存放區,保存您在其中收集資料的資料表。
若要解決使用 Log Analytics 工作區的各種角色的資料儲存體和使用量需求,您可以:
- 根據您的資料使用量和成本管理需求定義資料表方案。
- 針對每個資料表管理低成本長期保留和互動式保留。
- 針對工作區和特定資料表管理存取權。
- 在摘要資料表中使用摘要規則來彙總重要資料。 這可讓您將資料最佳化,以方便使用和取得可採取動作的深入解析,並將未經處理資料儲存在具有低成本資料表方案的資料表中,可儲存您需要的任意時間。
- 建立準備執行的儲存查詢、視覺效果,以及針對特定角色量身打造的警示。
您也可以設定網路隔離、跨區域複寫工作區,以及根據您的業務需求設計工作區結構。
Kusto 查詢語言 (KQL) 和 Log Analytics
您可以使用 Kusto 查詢語言 (KQL) 查詢從 Log Analytics 工作區擷取資料,這是處理資料並傳回結果的唯讀要求。 KQL 是功能強大的工具,可快速分析數百萬筆記錄。 使用 KQL 來探索您的記錄、轉換和彙總資料、探索模式、識別異常和極端值等等。
Azure 入口網站中的 Log Analytics 是可用於執行記錄查詢及分析其結果的工具。 Log Analytics 簡單模式可讓不論 KQL 知識有多少的任何使用者,只要按一下即可從一或多個資料表擷取資料。 一組控制項可讓您使用直覺式試算表格式體驗中最熱門的 Azure 監視器記錄功能來探索和分析擷取的資料。
熟悉 KQL 的使用者可以使用 Log Analytics KQL 模式來編輯和建立查詢,然後可在 Azure 監視器功能中使用查詢,例如警示和活頁簿,或與其他使用者共用。
如需 Log Analytics 的說明,請參閱 Azure 監視器中的 Log Analytics 概觀。 如需如何使用 Log Analytics 功能來建立簡單的記錄查詢並分析其結果的逐步解說,請參閱 Log Analytics 教學課程。
內建深入解析和自訂儀表板、活頁簿和報表
許多 Azure 監視器的隨時可用、策劃的 Insights 體驗將資料儲存在 Azure 監視器記錄中,並以直覺式方式呈現此資料,讓您可以監視雲端和混合式應用程式及其支援元件的效能和可用性。
您也可以使用活頁簿、儀表板和 Power BI 建立自己的視覺效果和報表。
資料表方案
您可以使用一個 Log Analytics 工作區針對任何用途儲存任何類型的記錄。 例如:
- 需要便宜長期儲存體進行稽核和合規性的大量、詳細資訊資料
- 開發人員進行疑難排解的應用程式和資源資料
- 調整和警示的重要事件和效能資料,以確保持續卓越營運和安全性
- 進階分析和機器學習的彙總長期資料趨勢
資料表方案可讓您根據在資料表中使用資料的頻率,以及您需要資料的分析類型,來管理資料成本。
以下圖表和資料表會比較分析、基本和輔助資料表方案。 如需互動式和長期保留的詳細資訊,請參閱管理 Log Analytics 工作區中的資料保留。 如需如何選取或修改資料表方案的詳細資訊,請參閱選取資料表方案。
| 分析 | 基本 | 輔助 (預覽) | |
|---|---|---|---|
| 適用對象 | 用於持續監視、即時偵測和效能分析的高價值資料。 | 疑難排解和事件回應所需的中等接觸資料。 | 低接觸資料,例如詳細資訊記錄,以及稽核和合規性所需的資料。 |
| 支援資料表類型 | 所有資料表類型 | 支援基本記錄的 Azure 資料表和 DCR 型自訂資料表 | DCR 型自訂資料表 |
| 記錄查詢 | 完整查詢功能。 | 單一資料表上的完整 Kusto 查詢語言 (KQL),您可以使用查閱從分析資料表擴充資料。 | 單一資料表上的完整 KQL,您可以使用查閱從分析資料表擴充資料。 |
| 查詢效能 | 快速 | 快速 | 更慢 適用於稽核。 未針對即時分析最佳化。 |
| 警示 | ✅ | ❌ | ❌ |
| 深入解析 | ✅ | ❌ | ❌ |
| 儀表板 | ✅ | ✅ 不包含儀表板重新整理的每個查詢成本。 | 可能,但重新整理速度很慢,不包含儀表板重新整理的每個查詢成本。 |
| 資料匯出 | ✅ | ❌ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| 搜尋作業 | ✅ | ✅ | ✅ |
| 摘要規則 | ✅ | ✅ KQL 限制為單一資料表 | ✅ KQL 限制為單一資料表 |
| Restore | ✅ | ✅ | ❌ |
| 包含查詢價格 | ✅ | ❌ | ❌ |
| 擷取成本 | 標準 | 減少 | 最小 |
| 互動式保留 | 30 天 (針對 Microsoft Sentinel 和 Application Insights 為 90 天)。 可以按比例計算的每月長期保留費用延長至最多兩年。 |
30 天 | 30 天 |
| 保留總計 | 最多 12 年 | 最多 12 年 | 最多 12 年* *公開預覽限制:輔助方案保留總計目前固定為 365 天。 |
資料集合
若要將資源資料收集到您的 Log Analytics 工作區:
- 根據下表來設定相關的資料收集工具。
- 決定您需要從資源收集哪些資料。
- 使用轉換來移除敏感性資料、擴充資料或執行計算,以及篩選出不需要的資料,以降低成本。
下表列出 Azure 監視器所提供、用於從各種資源類型收集資料的工具。
| 資源類型 | 資料收集工具 | 收集的資料 |
|---|---|---|
| Azure | 診斷設定 | Azure 租用戶 - Microsoft Entra 稽核記錄會提供登入活動歷程記錄,以及租用戶內所做變更的稽核記錄。 Azure 資源 - 記錄和效能計數器。 Azure 訂用帳戶 - 服務健康狀態記錄,以及針對 Azure 訂用帳戶中的資源所做任何組態變更的記錄。 |
| 應用程式 | Application insights | 應用程式效能監視資料。 |
| 容器 | 容器深入解析 | 容器效能資料。 |
| 虛擬機器 | 資料收集規則 | 監視來自 Azure 和非 Azure 虛擬機器客體作業系統的資料。 |
| 非 Azure 來源 | 記錄擷取 API | 檔案型記錄以及您從受監視資源收集的任何資料。 |
重要
針對記錄中的大部分資料收集,都會產生擷取和保留成本。 啟用任何資料收集之前,請參閱 Azure 監視器定價。
使用 Microsoft Sentinel 和適用於雲端的 Microsoft Defender
Microsoft Sentinel 和適用於雲端的 Microsoft Defender 會在 Azure 中執行安全性監視。
這些服務會將其資料儲存在 Azure 監視器記錄中,以便它可以與 Azure 監視器所收集的其他記錄資料一起進行分析。
深入了解
| 服務 | 其他相關資訊 |
|---|---|
| Microsoft Sentinel | |
| 適用於雲端的 Microsoft Defender |
下一步
- 了解記錄查詢,以從 Log Analytics 工作區擷取和分析資料。
- 了解 Azure 監視器中的計量。
- 深入了解可用於 Azure 中不同資源的監視資料。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應