建立 Log Analytics 工作區

本文說明如何建立 Log Analytics 工作區。 當您收集記錄和資料時，資訊會儲存在工作區中。 工作區具有唯一的工作區識別碼和資源識別碼。 對於指定的資源群組，工作區名稱必須是唯一的。 建立工作區之後，請設定資料來源和解決方案，以將其資料儲存至其中。

如果您從下列項目收集資料，則需要 Log Analytics 工作區：

• 訂用帳戶中的 Azure 資源。
• System Center Operations Manager 監視的內部部署電腦。
• 來自 Configuration Manager 的裝置集合。
• 來自 Azure 儲存體的診斷或記錄資料。

必要條件

若要建立 Log Analytics 工作區，您需要具有作用中訂用帳戶的 Azure 帳戶。 您可以免費建立帳戶。

需要的權限

您需要 Microsoft.OperationalInsights/workspaces/write 權限給想要建立 Log Analytics 工作區的資源群組，例如，Log Analytics 參與者內建角色所提供。

建立工作區

入口網站

使用 [Log Analytics 工作區] 功能表來建立工作區。

1. 在 Azure 入口網站的搜尋方塊中輸入 Log Analytics。 當您開始輸入時，清單會根據您的輸入進行篩選。 選取 [Log Analytics 工作區]。

   

2. 選取新增。

3. 從下拉式清單中選取 [訂用帳戶]。

4. 使用現有的資源群組或建立新群組。

5. 為新的 [Log Analytics 工作區] 提供名稱，例如 DefaultLAWorkspace。 此名稱對於每個資源群組必須是唯一的。

6. 選取可用的 [區域]。 如需詳細資訊，請查看 Log Analytics 的可用區域。 在 [搜尋產品] 方塊中搜尋 Azure 監視器。

   

7. 選取 [檢閱 + 建立] 來檢閱設定。 然後，選取 [建立] 來建立工作區。 會套用預設隨用隨付定價層。 在您開始收集足夠的資料之前，不會產生任何費用。 如需其他定價層的詳細資訊，請參閱 Log Analytics 價格詳細資料。

PowerShell

下列範例指令碼建立不含資料來源設定的工作區。

$ResourceGroup = <"my-resource-group">
$WorkspaceName = <"log-analytics-workspace-name">
$Location = <"westeurope">

# Create the resource group if needed
try {
    Get-AzResourceGroup -Name $ResourceGroup -ErrorAction Stop
} catch {
    New-AzResourceGroup -Name $ResourceGroup -Location $Location
}

# Create the workspace
New-AzOperationalInsightsWorkspace -Location $Location -Name $WorkspaceName -ResourceGroupName $ResourceGroup

注意

Log Analytics 先前稱為 Operational Insights。 PowerShell Cmdlet 會在 Log Analytics 命令中使用 Operational Insights。

建立工作區之後，請使用 PowerShell 在 Azure 監視器中設定 Log Analytics 工作區。

Azure CLI

執行 az group create 命令以建立資源群組，或使用現有的資源群組。 若要建立工作區，請使用 az monitor log-analytics workspace create 命令。

    az group create --name <myGroup> --location <myLocation>
    az monitor log-analytics workspace create --resource-group <myGroup> \
       --workspace-name <myWorkspace>

如需 Azure CLI 中 Azure 監視器記錄的詳細資訊，請參閱在 Azure CLI 中管理 Azure 監視器記錄。

Resource Manager 範本

下列範例會使用 Microsoft.OperationalInsights 工作區範本，在 Azure 監視器中建立 Log Analytics 工作區。 如需 Azure Resource Manager 範本的詳細資訊，請參閱 Azure Resource Manager 範本。

注意

如需 Azure 監視器的可用範例清單，以及將其部署在 Azure 訂用帳戶中的指導，請參閱 Azure Resource Manager 範例。

範本檔案

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
      "workspaceName": {
          "type": "string",
          "metadata": {
            "description": "Name of the workspace."
          }
      },
      "sku": {
          "type": "string",
          "allowedValues": [
            "pergb2018",
            "Free",
            "Standalone",
            "PerNode",
            "Standard",
            "Premium"
            ],
          "defaultValue": "pergb2018",
          "metadata": {
          "description": "Pricing tier: PerGB2018 or legacy tiers (Free, Standalone, PerNode, Standard or Premium) which are not available to all customers."
          }
        },
        "location": {
          "type": "string",
          "metadata": {
              "description": "Specifies the location for the workspace."
              }
        },
        "retentionInDays": {
          "type": "int",
          "defaultValue": 120,
          "metadata": {
            "description": "Number of days to retain data."
          }
        },
        "resourcePermissions": {
          "type": "bool",
          "metadata": {
            "description": "true to use resource or workspace permissions. false to require workspace permissions."
          }
        },
        "heartbeatTableRetention": {
          "type": "int",
          "metadata": {
            "description": "Number of days to retain data in Heartbeat table."
          }
        }  
      },
      "resources": [
      {
          "type": "Microsoft.OperationalInsights/workspaces",
          "name": "[parameters('workspaceName')]",
          "apiVersion": "2020-08-01",
          "location": "[parameters('location')]",
          "properties": {
              "sku": {
                  "name": "[parameters('sku')]"
              },
              "retentionInDays": "[parameters('retentionInDays')]",
              "features": {
                  "enableLogAccessUsingOnlyResourcePermissions": "[parameters('resourcePermissions')]"
              }
          },
          "resources": [
            {
              "type": "Microsoft.OperationalInsights/workspaces/tables",
              "apiVersion": "2020-08-01",
              "name": "[concat(parameters('workspaceName'),'/','Heartbeat')]",
              "dependsOn": [
                "[parameters('workspaceName')]"
              ],
              "properties": {
                "RetentionInDays": "[parameters('heartbeatTableRetention')]"
              }
            }
          ]
      }
  ]
}

注意

如果您指定免費定價層，請移除 retentionInDays 元素。

參數檔案

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "sku": {
      "value": "pergb2018"
    },
    "location": {
      "value": "eastus"
    },
    "resourcePermissions": {
      "value": true
    },
    "heartbeatTableRetention": {
      "value": 30
    }
  }
}

疑難排解

當您建立在過去 14 天內刪除且處於虛刪除狀態的工作區時，根據您的工作區設定，此作業可能會有不同的結果：

1. 如果您提供的工作區名稱、資源群組、訂用帳戶和區域，與已刪除的工作區相同，將會復原您的工作區，包括其資料、設定和連接的代理程式。

2. 資源群組的工作區名稱必須是唯一的。 如果您使用已經存在或虛刪除的工作區名稱，則會傳回錯誤。 若要永久刪除虛刪除名稱並且使用相同名稱建立新的工作區，請遵循以下步驟：

   1. 復原您的工作區。
   2. 永久刪除您的工作區。
   3. 使用相同工作區名稱建立新的工作區。

下一步

有了可用的工作區之後，您可以設定監視遙測的集合、執行記錄搜尋以分析該資料，並且新增管理解決方案，以提供更多資料和分析深入解析。 若要深入了解：

• 請參閱在 Azure 監視器中監視 Log Analytics 工作區的健康情況，以建立警示規則來監視工作區的健康情況。
• 請參閱收集 Azure 服務的記錄和計量以便使用於 Log Analytics，從具有 Azure 診斷或 Azure 儲存體的 Azure 資源啟用資料收集。