تصميم هندسة مساحة عمل Log Analytics
قد تكون مساحة عمل Log Analytics واحدة كافية للعديد من البيئات التي تستخدم Azure Monitor وMicrosoft Sentinel. ولكن ستنشئ العديد من المؤسسات مساحات عمل متعددة لتحسين التكاليف وتلبية متطلبات الأعمال المختلفة بشكل أفضل. تقدم هذه المقالة مجموعة من المعايير لتحديد ما إذا كنت تريد استخدام مساحة عمل واحدة أو مساحات عمل متعددة. كما يناقش تكوين وموضع مساحات العمل هذه لتلبية متطلباتك مع تحسين التكاليف الخاصة بك.
إشعار
تتناول هذه المقالة Azure Monitor وMicrosoft Sentinel لأن العديد من العملاء بحاجة إلى مراعاة كليهما في تصميمهما. تنطبق معظم معايير القرار على كلتا الخدمتين. إذا كنت تستخدم واحدة فقط من هذه الخدمات، يمكنك تجاهل الأخرى في تقييمك.
فيما يلي فيديو حول أساسيات سجلات Azure Monitor وأفضل الممارسات واعتبارات التصميم لتصميم توزيع سجلات Azure Monitor:
استراتيجية التصميم
يجب أن يبدأ التصميم دائما بمساحة عمل واحدة لتقليل تعقيد إدارة مساحات عمل متعددة والاستعلام عن البيانات منها. لا توجد قيود على الأداء من كمية البيانات في مساحة العمل الخاصة بك. يمكن لخدمات ومصادر بيانات متعددة إرسال البيانات إلى نفس مساحة العمل. أثناء تحديد المعايير لإنشاء المزيد من مساحات العمل، يجب أن يستخدم التصميم أقل عدد يتطابق مع متطلباتك.
يتضمن تصميم تكوين مساحة العمل تقييم معايير متعددة. ولكن بعض المعايير قد تكون متعارضة. على سبيل المثال، قد تتمكن من تقليل رسوم الخروج عن طريق إنشاء مساحة عمل منفصلة في كل منطقة Azure. قد يسمح لك الدمج في مساحة عمل واحدة بتقليل الرسوم أكثر مع مستوى الالتزام. تقييم كل معيار من المعايير بشكل مستقل. ضع في اعتبارك متطلباتك وأولوياتك لتحديد التصميم الذي سيكون أكثر فعالية للبيئة الخاصة بك.
معايير التصميم
يعرض الجدول التالي معايير يجب مراعاتها عند تصميم بنية مساحة العمل. تصف الأقسام التالية المعايير.
| المعايير | الوصف |
|---|---|
| البيانات التشغيلية والأمنية | يمكنك اختيار دمج البيانات التشغيلية من Azure Monitor في نفس مساحة العمل مثل بيانات الأمان من Microsoft Sentinel أو فصل كل منها إلى مساحة العمل الخاصة بها. يمنحك الجمع بينها رؤية أفضل عبر جميع بياناتك، بينما قد تتطلب معايير الأمان فصلها بحيث يكون لفريق الأمان مساحة عمل مخصصة. قد يكون لديك أيضا آثار التكلفة على كل استراتيجية. |
| مستأجرو Azure | إذا كان لديك العديد من مستأجري Azure، فستنشئ عادة مساحة عمل في كل واحد منها. يمكن للعديد من مصادر البيانات إرسال بيانات المراقبة فقط إلى مساحة عمل في نفس مستأجر Azure. |
| مناطق Azure | توجد كل مساحة عمل في منطقة Azure معينة. قد يكون لديك متطلبات تنظيمية أو امتثال لتخزين البيانات في مواقع محددة. |
| ملكية البيانات | قد تختار إنشاء مساحات عمل منفصلة لتعريف ملكية البيانات. على سبيل المثال، يمكنك إنشاء مساحات عمل من قبل الشركات الفرعية أو الشركات التابعة. |
| تقسيم الفوترة | من خلال وضع مساحات العمل في اشتراكات منفصلة، يمكن إصدار فواتير لها إلى أطراف مختلفة. |
| استبقاء بالبيانات وأرشفتها | يمكنك تعيين إعدادات استبقاء مختلفة لكل مساحة عمل وكل جدول في مساحة عمل. تحتاج إلى مساحة عمل منفصلة إذا كنت تحتاج إلى إعدادات استبقاء مختلفة للموارد المختلفة التي ترسل البيانات إلى نفس الجداول. |
| مستويات الالتزام | تتيح لك مستويات الالتزام تقليل تكلفة الاستيعاب من خلال الالتزام بالحد الأدنى من البيانات اليومية في مساحة عمل واحدة. |
| قيود العامل القديم | وكلاء الأجهزة الظاهرية القديمة لديهم قيود على عدد مساحات العمل التي يمكنهم الاتصال بها. |
| التحكم في الوصول إلى البيانات | تكوين الوصول إلى مساحة العمل والجداول والبيانات المختلفة من موارد مختلفة. |
| المرونة | للتأكد من توفر البيانات في مساحة العمل الخاصة بك في حالة فشل المنطقة، يمكنك استيعاب البيانات في مساحات عمل متعددة في مناطق مختلفة. |
البيانات التشغيلية والأمنية
يعتمد قرار دمج بياناتك التشغيلية من Azure Monitor في نفس مساحة العمل مثل بيانات الأمان من Microsoft Sentinel أو فصل كل منها في مساحة العمل الخاصة بها على متطلبات الأمان والآثار المحتملة للتكلفة على بيئتك.
ستسمح لك مساحات العمل المخصصة التي تنشئ مساحات عمل مخصصة ل Azure Monitor وMicrosoft Sentinel بفصل ملكية البيانات بين فرق التشغيل والأمان. قد يساعد هذا الأسلوب أيضا في تحسين التكاليف لأنه عند تمكين Microsoft Sentinel في مساحة عمل، تخضع جميع البيانات الموجودة في مساحة العمل هذه لتسعير Microsoft Sentinel حتى لو كانت بيانات تشغيلية تم جمعها بواسطة Azure Monitor.
تحصل مساحة العمل مع Microsoft Sentinel على ثلاثة أشهر من الاحتفاظ بالبيانات مجانا بدلا من 31 يوما. ينتج عن هذا السيناريو عادة تكاليف أعلى للبيانات التشغيلية في مساحة عمل بدون Microsoft Sentinel. راجع تفاصيل أسعار سجلات Azure Monitor.
تمنحك مساحة العمل المجمعة التي تجمع بياناتك من Azure Monitor وMicrosoft Sentinel في نفس مساحة العمل رؤية أفضل عبر جميع بياناتك مما يسمح لك بدمج كل من الاستعلامات والمصنفات بسهولة. إذا كان يجب أن يقتصر الوصول إلى بيانات الأمان على فريق معين، يمكنك استخدام التحكم في الوصول استنادا إلى الدور على مستوى الجدول لحظر مستخدمين معينين من الجداول التي تحتوي على بيانات الأمان أو تقييد المستخدمين بالوصول إلى مساحة العمل باستخدام سياق المورد.
قد يؤدي هذا التكوين إلى توفير التكاليف إذا كان يساعدك على الوصول إلى مستوى الالتزام، والذي يوفر خصما على رسوم الاستيعاب الخاصة بك. على سبيل المثال، ضع في اعتبارك مؤسسة لديها بيانات تشغيلية وبيانات أمان يستوعب كل منها حوالي 50 غيغابايت في اليوم. سيسمح الجمع بين البيانات في نفس مساحة العمل بمستوى التزام بمعدل 100 غيغابايت في اليوم. سيوفر هذا السيناريو خصما بنسبة 15٪ ل Azure Monitor وخصما بنسبة 50٪ ل Microsoft Sentinel.
إذا قمت بإنشاء مساحات عمل منفصلة لمعايير أخرى، فستنشئ عادة المزيد من أزواج مساحة العمل. على سبيل المثال، إذا كان لديك مستأجران Azure، يمكنك إنشاء أربع مساحات عمل بمساحة عمل تشغيلية وأمانية في كل مستأجر.
- إذا كنت تستخدم كل من Azure Monitor وMicrosoft Sentinel: ففكر في فصل كل منهما في مساحة عمل مخصصة إذا لزم الأمر من قبل فريق الأمان الخاص بك أو إذا كان ذلك يؤدي إلى توفير في التكلفة. ضع في اعتبارك الجمع بين الاثنين للحصول على رؤية أفضل لبيانات المراقبة المجمعة أو إذا كان يساعدك على الوصول إلى مستوى الالتزام.
- إذا كنت تستخدم كل من Microsoft Sentinel وMicrosoft Defender for Cloud: فكر في استخدام نفس مساحة العمل لكلا الحلين للحفاظ على بيانات الأمان في مكان واحد.
مستأجرو Azure
يمكن لمعظم الموارد إرسال بيانات المراقبة فقط إلى مساحة عمل في نفس مستأجر Azure. يمكن للأجهزة الظاهرية التي تستخدم عامل Azure Monitor أو وكلاء Log Analytics إرسال البيانات إلى مساحات العمل في مستأجري Azure المنفصلين. قد تفكر في هذا السيناريو كموفر خدمة.
- إذا كان لديك مستأجر Azure واحد: قم بإنشاء مساحة عمل واحدة لهذا المستأجر.
- إذا كان لديك العديد من مستأجري Azure: إنشاء مساحة عمل لكل مستأجر. للحصول على خيارات أخرى بما في ذلك استراتيجيات لموفري الخدمات، راجع استراتيجيات المستأجر المتعددة.
مناطق Azure
توجد كل مساحة عمل Log Analytics في منطقة Azure معينة. قد يكون لديك أغراض تنظيمية أو امتثالية للاحتفاظ بالبيانات في منطقة معينة. على سبيل المثال، قد تحدد شركة دولية موقع مساحة عمل في كل منطقة جغرافية رئيسية، مثل الولايات المتحدة وأوروبا.
- إذا كانت لديك متطلبات لحفظ البيانات في منطقة جغرافية معينة: قم بإنشاء مساحة عمل منفصلة لكل منطقة مع هذه المتطلبات.
- إذا لم تكن لديك متطلبات للاحتفاظ بالبيانات في منطقة جغرافية معينة: استخدم مساحة عمل واحدة لجميع المناطق.
ضع في اعتبارك أيضا رسوم النطاق الترددي المحتملة التي قد تنطبق عند إرسال البيانات إلى مساحة عمل من مورد في منطقة أخرى. عادة ما تكون هذه الرسوم بسيطة بالنسبة إلى تكاليف استيعاب البيانات لمعظم العملاء. تنتج هذه الرسوم عادة عن إرسال البيانات إلى مساحة العمل من جهاز ظاهري. مراقبة البيانات من موارد Azure الأخرى باستخدام إعدادات التشخيص لا تتحمل رسوم الخروج.
استخدم حاسبة تسعير Azure لتقدير التكلفة وتحديد المناطق التي تحتاج إليها. ضع في اعتبارك مساحات العمل في مناطق متعددة إذا كانت رسوم النطاق الترددي كبيرة.
- إذا كانت رسوم النطاق الترددي كبيرة بما يكفي لتبرير التعقيد الإضافي: إنشاء مساحة عمل منفصلة لكل منطقة باستخدام الأجهزة الظاهرية.
- إذا لم تكن رسوم النطاق الترددي كبيرة بما يكفي لتبرير التعقيد الإضافي: استخدم مساحة عمل واحدة لجميع المناطق.
ملكية البيانات
قد يكون لديك متطلبات لفصل البيانات أو تحديد الحدود استنادا إلى الملكية. على سبيل المثال، قد يكون لديك شركات فرعية أو شركات تابعة مختلفة تتطلب تحديد بيانات المراقبة الخاصة بها.
- إذا كنت تحتاج إلى فصل البيانات: استخدم مساحة عمل منفصلة لكل مالك بيانات.
- إذا كنت لا تحتاج إلى فصل البيانات: استخدم مساحة عمل واحدة لجميع مالكي البيانات.
تقسيم الفواتير
قد تحتاج إلى تقسيم الفوترة بين أطراف مختلفة أو تنفيذ الرسوم مرة أخرى إلى عميل أو وحدة أعمال داخلية. يمكنك استخدام Azure Cost Management + Billing لعرض الرسوم حسب مساحة العمل. يمكنك أيضا استخدام استعلام سجل لعرض حجم البيانات القابلة للفوترة حسب مورد Azure أو مجموعة الموارد أو الاشتراك. قد يكون هذا النهج كافيا لمتطلبات الفوترة الخاصة بك.
- إذا لم تكن بحاجة إلى تقسيم الفوترة أو إعادة تنفيذ الرسوم: استخدم مساحة عمل واحدة لجميع مالكي التكلفة.
- إذا كنت بحاجة إلى تقسيم الفوترة أو تنفيذ الرسوم مرة أخرى: ضع في اعتبارك ما إذا كانت Azure Cost Management + Billing أو استعلام السجل يوفر تقارير التكلفة الدقيقة بما يكفي لمتطلباتك. إذا لم يكن الأمر كذلك، فاستخدم مساحة عمل منفصلة لكل مالك تكلفة.
استبقاء بالبيانات وأرشفتها
يمكنك تكوين الإعدادات الافتراضية لـ استبقاء البيانات والأرشفة لمساحة عمل أو تكوين إعدادات مختلفة لكل جدول. قد تحتاج إلى إعدادات مختلفة لمجموعات مختلفة من البيانات في جدول معين. إذا كان الأمر كذلك، فستحتاج إلى فصل تلك البيانات إلى مساحات عمل مختلفة، لكل منها إعدادات استبقاء فريدة.
- إذا كان يمكنك استخدام نفس إعدادات الاستبقاء والأرشفة لكافة البيانات في كل جدول: استخدم مساحة عمل واحدة لكافة الموارد.
- إذا كنت تحتاج إلى إعدادات استبقاء وأرشفة مختلفة لموارد مختلفة في نفس الجدول: استخدم مساحة عمل منفصلة لموارد مختلفة.
مستويات الالتزام
توفر مستويات الالتزام خصما على تكاليف استيعاب مساحة العمل عند الالتزام بكمية محددة من البيانات اليومية. قد تختار دمج البيانات في مساحة عمل واحدة للوصول إلى مستوى معين. لن يكون هذا الحجم نفسه من البيانات المنتشرة عبر مساحات عمل متعددة مؤهلا لنفس المستوى، إلا إذا كان لديك مجموعة مخصصة.
إذا كان بإمكانك الالتزام بالابتلاع اليومي الذي لا يقل عن 100 غيغابايت يوميا، فيجب عليك تنفيذ نظام مجموعة مخصص يوفر وظائف وأداء إضافيا. تسمح لك المجموعات المخصصة أيضاً بدمج البيانات من مساحات عمل متعددة في المجموعة للوصول إلى مستوى طبقة الالتزام.
- إذا كنت ستتناول ما لا يقل عن 100 غيغابايت يوميا عبر جميع الموارد: إنشاء مجموعة مخصصة وتعيين مستوى الالتزام المناسب.
- إذا كنت ستتناول ما لا يقل عن 100 غيغابايت يوميا عبر الموارد: ففكر في دمجها في مساحة عمل واحدة للاستفادة من مستوى الالتزام.
قيود العامل القديم
يجب تجنب إرسال بيانات مكررة إلى مساحات عمل متعددة بسبب الرسوم الإضافية، ولكن قد يكون لديك أجهزة ظاهرية متصلة بمساحات عمل متعددة. السيناريو الأكثر شيوعاً هو عامل متصل بمساحات عمل منفصلة لـ Azure Monitor وMicrosoft Azure Sentinel.
يمكن لعامل Azure Monitor وعامل Log Analytics لنظام التشغيل Windows الاتصال بمساحات عمل متعددة. يمكن لعامل Log Analytics لنظام Linux الاتصال بمساحة عمل واحدة فقط.
- إذا كنت تستخدم عامل Log Analytics لنظام Linux: قم بالترحيل إلى Azure Monitor Agent أو تأكد من أن أجهزة Linux الخاصة بك تتطلب الوصول إلى مساحة عمل واحدة فقط.
التحكم في الوصول إلى البيانات
عند منح المستخدم حق الوصول إلى مساحة عمل، يكون للمستخدم حق الوصول إلى جميع البيانات في مساحة العمل هذه. هذا الوصول مناسب لعضو إدارة مركزية أو فريق أمان يجب عليه الوصول إلى البيانات لجميع الموارد. يتم أيضا تحديد الوصول إلى مساحة العمل بواسطة التحكم في الوصول المستند إلى دور سياق المورد (RBAC) وRBAC على مستوى الجدول.
التحكم في الوصول استنادا إلى الدور لسياق الموارد: بشكل افتراضي، إذا كان لدى المستخدم حق الوصول للقراءة إلى مورد Azure، فسيرث الأذونات إلى أي من بيانات مراقبة هذا المورد المرسلة إلى مساحة العمل. يسمح هذا المستوى من الوصول للمستخدمين بالوصول إلى معلومات حول الموارد التي يديرونها دون منحهم حق الوصول الصريح إلى مساحة العمل. إذا كنت بحاجة إلى حظر هذا الوصول، فيمكنك تغيير وضع التحكم في الوصول للمطالبة بأذونات مساحة العمل الصريحة.
- إذا كنت تريد تمكين المستخدمين من الوصول إلى البيانات لمواردهم: احتفظ بوضع التحكم في الوصول الافتراضي لاستخدام أذونات المورد أو مساحة العمل.
- إذا كنت تريد تعيين أذونات بشكل صريح لجميع المستخدمين: قم بتغيير وضع التحكم في الوصول إلى طلب أذونات مساحة العمل.
التحكم في الوصول استنادا إلى الدور على مستوى الجدول: باستخدام التحكم في الوصول استنادا إلى الدور على مستوى الجدول، يمكنك منح الوصول إلى جداول معينة في مساحة العمل أو رفضه. بهذه الطريقة، يمكنك تنفيذ أذونات دقيقة مطلوبة لحالات معينة في بيئتك.
على سبيل المثال، قد تمنح حق الوصول إلى جداول معينة فقط تم جمعها بواسطة Microsoft Sentinel لفريق تدقيق داخلي. أو قد ترفض الوصول إلى الجداول المتعلقة بالأمان لمالكي الموارد الذين يحتاجون إلى بيانات تشغيلية تتعلق بمواردهم.
- إذا كنت لا تحتاج إلى التحكم في الوصول متعدد المستويات حسب الجدول: امنح فريق العمليات والأمان حق الوصول إلى مواردهم والسماح لمالكي الموارد باستخدام التحكم في الوصول استنادا إلى الدور في سياق الموارد لمواردهم.
- إذا كنت تحتاج إلى التحكم في الوصول متعدد المستويات حسب الجدول: منح الوصول إلى جداول معينة أو رفضه باستخدام التحكم في الوصول استنادا إلى الدور على مستوى الجدول.
المرونة
للتأكد من توفر البيانات الهامة في مساحة العمل الخاصة بك في حالة حدوث فشل في المنطقة، يمكنك استيعاب بعض البيانات أو كلها في مساحات عمل متعددة في مناطق مختلفة.
يتطلب هذا الخيار إدارة التكامل مع الخدمات والمنتجات الأخرى بشكل منفصل لكل مساحة عمل. على الرغم من توفر البيانات في مساحة العمل البديلة في حالة الفشل، فإن الموارد التي تعتمد على البيانات، مثل التنبيهات والمصنفات، لن تعرف التبديل إلى مساحة العمل البديلة. ضع في اعتبارك تخزين قوالب ARM للموارد الهامة مع تكوين مساحة العمل البديلة في Azure DevOps، أو كنهج معطلة يمكن تمكينها بسرعة في سيناريو تجاوز الفشل.
العمل مع مساحات عمل متعددة
ستتضمن العديد من التصميمات مساحات عمل متعددة، لذلك تتضمن Azure Monitor وMicrosoft Sentinel ميزات لمساعدتك في تحليل هذه البيانات عبر مساحات العمل. لمزيد من المعلومات، راجع:
- إنشاء استعلام سجل عبر العديد من مساحات العمل والتطبيقات في Azure Monitor
- قم بتوسيع Microsoft Azure Sentinel عبر مساحات العمل والمستأجرين
استراتيجيات المستأجر المتعددة
غالبا ما تتطلب البيئات التي تضم العديد من مستأجري Azure، بما في ذلك موفرو خدمات Microsoft (MSPs)، وموردي البرامج المستقلين (ISVs)، والمؤسسات الكبيرة، استراتيجية حيث يكون لفريق الإدارة المركزية حق الوصول لإدارة مساحات العمل الموجودة في مستأجرين آخرين. قد يمثل كل مستأجر عملاء منفصلين أو وحدات عمل مختلفة.
إشعار
بالنسبة للشركاء وموفري الخدمة الذين يشكلون جزءاً من برنامج Cloud Solution Provider (CSP)، تعد Log Analytics في Azure Monitor إحدى خدمات Azure المتوفرة في اشتراكات Azure CSP.
يتم وصف إستراتيجيتين أساسيتين لهذه الوظيفة في الأقسام التالية.
البنية الموزعة
في بنية موزعة، يتم إنشاء مساحة عمل تحليلات السجل في كل مستأجر Azure. هذا الخيار هو الخيار الوحيد الذي يمكنك استخدامه إذا كنت تراقب خدمات Azure بخلاف الأجهزة الظاهرية.
هناك خياران للسماح لمسؤولي موفر الخدمة بالوصول إلى مساحات العمل في مستأجري العملاء:
- استخدم Azure Lighthouse للوصول إلى كل مستأجر من العملاء. يتم تضمين مسؤولي موفر الخدمة في مجموعة مستخدم Microsoft Entra في مستأجر موفر الخدمة. يتم منح هذه المجموعة حق الوصول أثناء عملية الإعداد لكل عميل. يمكن للمسؤولين بعد ذلك الوصول إلى مساحات عمل كل عميل من داخل مستأجر موفر الخدمة الخاص بهم بدلا من الاضطرار إلى تسجيل الدخول إلى مستأجر كل عميل على حدة. لمزيد من المعلومات، راجع مراقبة موارد العملاء على نطاق واسع.
- إضافة مستخدمين فرديين من موفر الخدمة كمستخدمين ضيوف Microsoft Entra (B2B). يدير مسؤولو مستأجر العميل الوصول الفردي لكل مسؤول موفر خدمة. يجب على مسؤولي موفر الخدمة تسجيل الدخول إلى الدليل لكل مستأجر في مدخل Microsoft Azure للوصول إلى مساحات العمل هذه.
مزايا هذه الاستراتيجية:
- يمكن جمع السجلات من جميع أنواع الموارد.
- يمكن للعميل تأكيد مستويات معينة من الأذونات باستخدام إدارة الموارد المفوضة من Azure. أو يمكن للعميل إدارة الوصول إلى السجلات باستخدام Azure RBAC الخاص به.
- يمكن أن يكون لكل عميل إعدادات مختلفة لمساحة العمل الخاصة به، مثل الاستبقاء وغطاء البيانات.
- العزل بين العملاء من أجل التنظيم والامتثال.
- يتم تضمين رسوم كل مساحة عمل في فاتورة اشتراك العميل.
عيوب هذه الاستراتيجية:
- يمكن أن يؤدي تصور البيانات وتحليلها مركزيا عبر مستأجري العملاء باستخدام أدوات مثل مصنفات Azure Monitor إلى تجارب أبطأ. هذا هو الحال خاصة عند تحليل البيانات عبر أكثر من 50 مساحة عمل.
- إذا لم يتم إلحاق العملاء بإدارة الموارد المفوضة من Azure، فيجب توفير مسؤولي موفر الخدمة في دليل العملاء. هذا المطلب يجعل من الصعب على موفر الخدمة إدارة العديد من مستأجري العملاء في وقت واحد.
مركزي
يتم إنشاء مساحة عمل واحدة في اشتراك مزود الخدمة. يمكن لهذا الخيار فقط جمع البيانات من الأجهزة الظاهرية للعملاء. يتم تكوين الوكلاء المثبتين على الأجهزة الظاهرية لإرسال سجلاتهم إلى مساحة العمل المركزية هذه.
مزايا هذه الاستراتيجية:
- من السهل إدارة العديد من العملاء.
- يتمتع موفر الخدمة بالملكية الكاملة على السجلات والبيانات الاصطناعية المختلفة، مثل الوظائف والاستعلامات المحفوظة.
- يمكن لموفر الخدمة إجراء تحليلات عبر جميع عملائها.
عيوب هذه الاستراتيجية:
- لا يمكن جمع السجلات إلا من أجهزة ظاهرية مع عامل. لن يعمل مع مصادر بيانات PaaS أو SaaS أو Azure Service Fabric.
- قد يكون من الصعب فصل البيانات بين العملاء لأن بياناتهم تشترك في مساحة عمل واحدة. تحتاج الاستعلامات إلى استخدام اسم المجال المؤهل بالكامل للكمبيوتر أو معرف اشتراك Azure.
- سيتم تخزين جميع البيانات من جميع العملاء في نفس المنطقة بفاتورة واحدة وإعدادات الاستبقاء والتكوين نفسها.
مختلط
في نموذج مختلط، لكل مستأجر مساحة عمل خاصة به. تستخدم آلية لسحب البيانات إلى موقع مركزي لإعداد التقارير والتحليلات. يمكن أن تتضمن هذه البيانات عددا صغيرا من أنواع البيانات أو ملخصا للنشاط، مثل الإحصائيات اليومية.
هناك خياران لتنفيذ السجلات في موقع مركزي:
- مساحة العمل المركزية: ينشئ موفر الخدمة مساحة عمل في المستأجر الخاص به ويستخدم برنامج نصي يستخدم واجهة برمجة تطبيقات الاستعلام مع واجهة برمجة تطبيقات استيعاب السجلات لإحضار البيانات من مساحات عمل المستأجر إلى هذا الموقع المركزي. هناك خيار آخر وهو استخدام Azure Logic Apps لنسخ البيانات إلى مساحة العمل المركزية.
- Power BI: تقوم مساحات عمل المستأجر بتصدير البيانات إلى Power BI باستخدام التكامل بين مساحة عمل Log Analytics وPower BI.
الخطوات التالية
- تعرف على المزيد حول تصميم وتكوين الوصول إلى البيانات في مساحة عمل.
- احصل على نماذج بنيات مساحة العمل ل Microsoft Sentinel.
- فيما يلي فيديو حول تصميم البنية المناسبة لمساحة عمل Log Analytics: ITOps Talk:Log Analytics workspace design deep dive