Log Analytics 工作區概觀

Log Analytics 工作區是 Azure 監視器和其他 Azure 服務 (例如 Microsoft Sentinel 和適用於雲端的 Microsoft Defender) 記錄資料的唯一環境。 每個工作區都有本身的資料存放庫和設定,但也可結合來自多個服務的資料。 本文提供與 Log Analytics 工作區相關的概念概觀,並提供其他文件的連結,以取得每個相關詳細數據。

重要

您可能會看到 Microsoft Sentinel 檔中所使用的 Microsoft Sentinel 工作區一詞。 此工作區與本文所述的 Log Analytics 工作區相同,不過是針對 Microsoft Sentinel 而啟用的。 工作區中的所有數據都受限於 Microsoft Sentinel 定價,如成本節所述。

您可以將單一工作區用於所有的資料收集。 您也可以根據需求建立多個工作區,例如:

  • 資料的地理位置。
  • 定義哪些使用者可以存取資料的存取權限。
  • 定價層和資料保留等組態設定。

若要建立新的工作區,請參閱在 Azure 入口網站 中建立Log Analytics工作區。 如需建立多個工作區的考慮,請參閱 設計Log Analytics工作區設定

資料結構

每個工作區都包含多個資料表,而這些資料表會組織成具有多個資料列的個別資料行。 每個資料表分別由一組唯一的資料行所定義。 資料來源所提供的資料列會共用這些資料行。 記錄查詢會定義資料行,以擷取並提供輸出給 Azure 監視器的不同功能,以及其他使用工作區的服務。

Diagram that shows the Azure Monitor Logs structure.

警告

資料表名稱用於計費用途,因此不應包含敏感性資訊。

成本

建立或維護工作區不會產生直接成本。 您需支付將資料傳送至該處 (也稱為資料擷取) 的費用。 您需依據該資料儲存的時間長度 (也稱為資料保留) 付費。 這些成本可能會根據每個數據表的記錄數據計劃而有所不同,如記錄數據計劃中所述

如需定價的相關信息,請參閱 Azure 監視器定價。 如需如何降低成本的指引,請參閱 Azure 監視器最佳做法 - 成本管理。 如果您使用Log Analytics工作區搭配 Azure 監視器以外的服務,請參閱這些服務的檔以取得定價資訊。

工作區轉換 DCR

定義 Azure 監視器中資料的數據收集規則(DCR) 可以包含轉換,可讓您在將資料內嵌至工作區之前篩選和轉換數據。 由於所有數據源尚未支援 DCR,因此每個工作區都可以有 工作區轉換 DCR

工作區轉換 DCR 中的轉換會針對工作區中的每個數據表定義,並套用至傳送至該數據表的所有數據,即使從多個來源傳送也一樣。 這些轉換僅適用於尚未使用 DCR 的工作流程。 例如, Azure 監視器代理程式 會使用 DCR 來定義從虛擬機收集的數據。 這項資料不會受限於工作區中定義的任何擷取時間轉換。

例如,您可能會有診斷設定,將不同 Azure 資源的資源記錄傳送至您的工作區。 您可以為收集資源記錄的資料表建立轉換,而僅就您需要的記錄篩選這項資料。 藉助於此方法,您即無須為不需要的記錄支付擷取費用。 您也可以從特定資料行擷取重要資料,並將其儲存在工作區中的其他資料行,以支援更簡單的查詢。

資料保留和封存

Log Analytics 工作區中每個數據表中的數據都會保留一段時間,之後會移除或封存,並降低保留費用。 設定保留時間,以在使資料保持可用和降低資料保留成本之間取得平衡。

若要存取封存的資料,您必須先使用下列其中一種方法,從分析記錄資料表中擷取資料:

方法 描述
搜尋作業 擷取符合特定準則的資料。
Restore 擷取特定時間範圍內的資料。

Diagram that shows an overview of data plans and archive.

權限

在 Log Analytics 工作區中存取數據的許可權是由 存取控制模式所定義,這是每個工作區的設定。 您可以使用內建或自定義角色,讓用戶明確存取工作區。 或者,您可以透過 Azure 資源的存取權,允許使用者存取為這些資源收集的資料。

如需不同許可權選項以及如何設定許可權的相關信息,請參閱 管理 Azure 監視器 中記錄數據和工作區的存取權。

下一步