Návrh architektury pracovního prostoru Služby Log Analytics

I když jeden pracovní prostor Služby Log Analytics může stačit pro mnoho prostředí využívajících Azure Monitor a Microsoft Sentinel, mnoho organizací vytvoří několik pracovních prostorů pro optimalizaci nákladů a lepší splnění různých obchodních požadavků. Tento článek obsahuje sadu kritérií pro určení, jestli se má použít jeden pracovní prostor nebo více pracovních prostorů a konfigurace a umístění tohoto pracovního prostoru, aby splňovaly vaše konkrétní požadavky při optimalizaci nákladů.

Poznámka

Tento článek zahrnuje Azure Monitor i Microsoft Sentinel, protože mnoho zákazníků musí zvážit jak v návrhu, tak i u většiny rozhodovacích kritérií platí pro obě. Pokud používáte jenom jednu z těchto služeb, můžete jednoduše ignorovat druhou ve svém vyhodnocení.

Strategie návrhu

Návrh by měl vždy začínat jedním pracovním prostorem, protože tím se snižuje složitost správy více pracovních prostorů a dotazování dat z nich. Množství dat v pracovním prostoru nemá žádná omezení výkonu a více služeb a zdrojů dat může odesílat data do stejného pracovního prostoru. Při identifikaci kritérií pro vytvoření dalších pracovních prostorů by měl návrh použít nejmenší číslo, které bude odpovídat vašim konkrétním požadavkům.

Návrh konfigurace pracovního prostoru zahrnuje vyhodnocení více kritérií, z nichž některé můžou být v konfliktu. Můžete například snížit poplatky za výchozí přenos dat vytvořením samostatného pracovního prostoru v každé oblasti Azure, ale sloučení do jednoho pracovního prostoru vám může umožnit snížit poplatky ještě více s úrovní závazku. Vyhodnoťte všechna níže uvedená kritéria nezávisle a zvažte vaše konkrétní požadavky a priority při určování, který návrh bude pro vaše konkrétní prostředí nejúčinnější.

Kritéria návrhu

Následující tabulka stručně uvádí kritéria, která byste měli zvážit při návrhu architektury pracovního prostoru. Následující části popisují všechna tato kritéria podrobně.

Kritéria Description
Oddělení provozních a bezpečnostních dat Mnoho zákazníků vytvoří samostatné pracovní prostory pro svá provozní a bezpečnostní data pro vlastnictví dat a další náklady z Microsoft Sentinelu. V některých případech ale můžete ušetřit náklady sloučením do jednoho pracovního prostoru, abyste získali nárok na úroveň závazku.
Tenanti Azure Pokud máte více tenantů Azure, obvykle v každém z nich vytvoříte pracovní prostor, protože několik zdrojů dat může odesílat data monitorování jenom do pracovního prostoru ve stejném tenantovi Azure.
Oblasti Azure Každý pracovní prostor se nachází v konkrétní oblasti Azure a můžete mít zákonné požadavky nebo požadavky na dodržování předpisů pro ukládání dat v konkrétních umístěních.
Vlastnictví dat Můžete se rozhodnout vytvořit samostatné pracovní prostory pro definování vlastnictví dat, například pobočkami nebo přidruženými společnostmi.
Rozdělená fakturace Když umístíte pracovní prostory do samostatných předplatných, můžete je fakturovat různým stranám.
Uchovávání a archivace dat Pro každou tabulku v pracovním prostoru můžete nastavit různá nastavení uchovávání informací, ale pokud potřebujete jiné nastavení uchovávání informací pro různé prostředky, které odesílají data do stejných tabulek, potřebujete samostatný pracovní prostor.
Úrovně závazku Úrovně závazku umožňují snížit náklady na příjem dat tím, že v jednom pracovním prostoru potvrdíte minimální denní objem dat.
Starší verze omezení agenta Starší agenti virtuálních počítačů mají omezení počtu pracovních prostorů, ke kterým se můžou připojit.
Řízení přístupu k datům Nakonfigurujte přístup k pracovnímu prostoru a různým tabulkám a datům z různých prostředků.

Oddělení provozních a bezpečnostních dat

Většina zákazníků, kteří používají Azure Monitor i Microsoft Sentinel, vytvoří vyhrazený pracovní prostor pro každý z nich k oddělení vlastnictví dat mezi vašimi provozními a bezpečnostními týmy a také pro optimalizaci nákladů. Pokud je služba Microsoft Sentinel povolená v pracovním prostoru, všechna data v daném pracovním prostoru podléhají ceně služby Sentinel, a to i v případě, že jsou provozní data shromážděná službou Azure Monitor. Zatímco pracovní prostor se službou Sentinel získá 3 měsíce volného uchovávání dat místo 31 dnů, obvykle to bude mít za následek vyšší náklady na provozní data v pracovním prostoru bez služby Sentinel. Podrobnosti o cenách protokolů služby Azure Monitor

Výjimkou je, že kombinace dat ve stejném pracovním prostoru vám pomůže dosáhnout úrovně závazku, která poskytuje slevu za poplatky za příjem dat. Představte si například organizaci, která má provozní data a bezpečnostní data, která každý den ingestuje přibližně 50 GB. Kombinace dat ve stejném pracovním prostoru by umožňovala úroveň závazku na 100 GB za den, která by poskytovala 15% slevu za Azure Monitor a 50% slevu za Sentinel.

Pokud vytvoříte samostatné pracovní prostory pro další kritéria, obvykle vytvoříte další páry pracovních prostorů. Pokud máte například dva tenanty Azure, můžete vytvořit čtyři pracovní prostory – provozní a bezpečnostní pracovní prostor v každém tenantovi.

  • Pokud používáte Azure Monitor i Microsoft Sentinal, vytvořte pro každý samostatný pracovní prostor. Pokud vám to pomůže dosáhnout úrovně závazku, zvažte kombinování těchto dvou.

Tenanti Azure

Většina prostředků může odesílat data monitorování jenom do pracovního prostoru ve stejném tenantovi Azure. Virtuální počítače používající agenta Azure Monitor nebo agenty Log Analytics můžou odesílat data do pracovních prostorů v samostatných tenantech Azure, což může být scénář, který považujete za poskytovatele služeb.

  • Pokud máte jednoho tenanta Azure, vytvořte pro daného tenanta jeden pracovní prostor.
  • Pokud máte více tenantů Azure, vytvořte pro každého tenanta pracovní prostor. Další možnosti, včetně strategií pro poskytovatele služeb, najdete v tématu Více strategií tenanta .

Oblast Azure

Pracovní prostory Služby Log Analytics se nacházejí v konkrétní oblasti Azure a můžete mít zákonné účely nebo účely dodržování předpisů pro uchovávání dat v konkrétní oblasti. Mezinárodní společnost může například najít pracovní prostor v každé hlavní geografické oblasti, například USA a Evropě.

  • Pokud máte požadavky na uchovávání dat v konkrétní zeměpisné oblasti, vytvořte samostatný pracovní prostor pro každou oblast s těmito požadavky.
  • Pokud nemáte požadavky na uchovávání dat v konkrétní zeměpisné oblasti, použijte jeden pracovní prostor pro všechny oblasti.

Měli byste také zvážit potenciální poplatky za šířku pásma , které se můžou použít při odesílání dat do pracovního prostoru z prostředku v jiné oblasti, i když tyto poplatky jsou obvykle menší vzhledem k nákladům na příjem dat pro většinu zákazníků. Tyto poplatky obvykle způsobí odeslání dat do pracovního prostoru z virtuálního počítače. Monitorování dat z jiných prostředků Azure pomocí nastavení diagnostiky se neúčtují poplatky za výchozí přenos dat.

Pomocí cenové kalkulačky Azure můžete odhadnout náklady a určit, které oblasti skutečně potřebujete. Pokud jsou poplatky za šířku pásma významné, zvažte pracovní prostory ve více oblastech.

  • Pokud jsou poplatky za šířku pásma dostatečně významné k odůvodnění další složitosti, vytvořte samostatný pracovní prostor pro každou oblast s virtuálními počítači.
  • Pokud poplatky za šířku pásma nestačí k odůvodnění další složitosti, použijte jeden pracovní prostor pro všechny oblasti.

Vlastnictví dat

Možná budete muset oddělit data nebo definovat hranice na základě vlastnictví. Můžete mít například různé pobočky nebo přidružené společnosti, které vyžadují delineaci dat monitorování.

  • Pokud potřebujete oddělení dat, použijte samostatný pracovní prostor pro každého vlastníka dat.
  • Pokud nevyžadujete oddělení dat, použijte jeden pracovní prostor pro všechny vlastníky dat.

Rozdělená fakturace

Možná budete muset rozdělit fakturaci mezi různé strany nebo provést poplatek zpět zákazníkovi nebo interní obchodní jednotce. Azure Cost Management + Billing umožňuje zobrazit poplatky podle pracovního prostoru. Můžete také použít dotaz protokolu k zobrazení fakturovatelného objemu dat podle prostředků Azure, skupiny prostředků nebo předplatného, což může stačit pro vaše fakturační požadavky.

  • Pokud nepotřebujete rozdělit fakturaci nebo provést vrácení poplatků, použijte jeden pracovní prostor pro všechny vlastníky nákladů.
  • Pokud potřebujete rozdělit fakturaci nebo provést vrácení poplatků, zvažte, jestli azure Cost Management a fakturace nebo dotaz protokolu poskytuje podrobné sestavy nákladů pro vaše požadavky. Pokud ne, použijte pro každého vlastníka nákladů samostatný pracovní prostor.

Uchovávání a archivace dat

Můžete nakonfigurovat výchozí nastavení uchovávání a archivace dat pro pracovní prostor nebo nakonfigurovat různá nastavení pro každou tabulku. U různých sad dat v konkrétní tabulce můžete vyžadovat různá nastavení. Pokud se jedná o tento případ, budete je muset oddělit do různých pracovních prostorů, přičemž každá z nich má jedinečná nastavení uchovávání informací.

  • Pokud můžete použít stejné nastavení uchovávání a archivace pro všechna data v každé tabulce, použijte jeden pracovní prostor pro všechny prostředky.
  • Pokud můžete vyžadovat různá nastavení uchovávání a archivace pro různé prostředky ve stejné tabulce, použijte pro různé prostředky samostatný pracovní prostor.

Úrovně závazku

Úrovně závazku poskytují slevu na náklady na příjem dat pracovního prostoru, když se potvrdíte k určitému množství denních dat. Můžete se rozhodnout konsolidovat data v jednom pracovním prostoru, abyste dosáhli úrovně konkrétní vrstvy. Stejný objem dat rozložených do více pracovních prostorů by neměl nárok na stejnou úroveň, pokud nemáte vyhrazený cluster.

Pokud se můžete potvrdit k dennímu příjmu dat nejméně 500 GB/den, měli byste implementovat vyhrazený cluster , který poskytuje další funkce a výkon. Vyhrazené clustery také umožňují kombinovat data z více pracovních prostorů v clusteru, abyste dosáhli úrovně závazku.

  • Pokud budete ingestovat alespoň 500 GB za den ve všech prostředcích, vytvořte vyhrazený cluster a nastavte příslušnou úroveň závazku.
  • Pokud budete ingestovat alespoň 100 GB za den napříč prostředky, zvažte jejich kombinování do jednoho pracovního prostoru a využijte výhod úrovně závazku.

Starší verze omezení agenta

I když byste se měli vyhnout odesílání duplicitních dat do více pracovních prostorů kvůli dodatečným poplatkům, můžete mít virtuální počítače připojené k více pracovním prostorům. Nejběžnějším scénářem je agent připojený k samostatným pracovním prostorům pro Azure Monitor a Microsoft Sentinel.

Agent Služby Azure Monitor a agent Log Analytics pro Windows se může připojit k několika pracovním prostorům. Agent Log Analytics pro Linux se ale může připojit jenom k jednomu pracovnímu prostoru.

  • Pokud používáte agenta Log Analytics pro Linux, proveďte migraci na agenta Služby Azure Monitor nebo se ujistěte, že vaše počítače s Linuxem vyžadují přístup jenom k jednomu pracovnímu prostoru.

Řízení přístupu k datům

Když uživateli udělíte přístup k pracovnímu prostoru, mají přístup ke všem datům v daném pracovním prostoru. To je vhodné pro člena centrální správy nebo bezpečnostního týmu, který musí přistupovat k datům pro všechny prostředky. Přístup k pracovnímu prostoru určuje také řízení přístupu na úrovni prostředků a řízení přístupu na úrovni tabulky.

Řízení přístupu na základě role v kontextu prostředku](manage-access.md#access-mode) Ve výchozím nastavení uživatel má přístup ke čtení k prostředku Azure, dědí oprávnění ke všem datům monitorování daného prostředku odesílaným do pracovního prostoru. To umožňuje uživatelům získat přístup k informacím o prostředcích, které spravují, aniž by jim byl udělen explicitní přístup k pracovnímu prostoru. Pokud potřebujete tento přístup zablokovat, můžete změnit režim řízení přístupu tak, aby vyžadoval explicitní oprávnění pracovního prostoru.

  • Pokud chcete, aby uživatelé měli přístup k datům pro své prostředky, ponechte výchozí režim řízení přístupu oprávnění Použít prostředek nebo pracovní prostor.
  • Pokud chcete explicitně přiřadit oprávnění všem uživatelům, změňte režim řízení přístupu na Vyžadovat oprávnění pracovního prostoru.

Řízení přístupu na úrovni tabulky Pomocí řízení přístupu na úrovni tabulky můžete udělit nebo odepřít přístup ke konkrétním tabulkám v pracovním prostoru. To vám umožní implementovat podrobná oprávnění požadovaná pro konkrétní situace ve vašem prostředí.

Můžete například udělit přístup pouze ke konkrétním tabulkám shromážděným službou Sentinel internímu auditovacímu týmu. Nebo můžete odepřít přístup k tabulkám souvisejícím se zabezpečením vlastníkům prostředků, kteří potřebují provozní data související s jejich prostředky.

  • Pokud nepotřebujete podrobné řízení přístupu podle tabulky, udělte provozním a bezpečnostnímu týmu přístup ke svým prostředkům a umožněte vlastníkům prostředků používat řízení přístupu na základě kontextu prostředků pro své prostředky.
  • Pokud potřebujete podrobné řízení přístupu podle tabulky, udělte nebo odepřete přístup ke konkrétním tabulkám pomocí řízení přístupu na úrovni tabulky.

Práce s více pracovními prostory

Vzhledem k tomu, že mnoho návrhů bude zahrnovat více pracovních prostorů, Azure Monitor a Microsoft Sentinel zahrnují funkce, které vám pomůžou analyzovat tato data napříč pracovními prostory. Podrobnosti najdete v následujících tématech:

Několik strategií tenantů

Prostředí s několika tenanty Azure, včetně poskytovatelů služeb ,nezávislých dodavatelů softwaru (ISV) a velkých podniků, často vyžadují strategii, kdy má tým centrální správy přístup ke správě pracovních prostorů umístěných v jiných tenantech. Každý z tenantů může představovat samostatné zákazníky nebo různé obchodní jednotky.

Poznámka

Pro partnery a poskytovatele služeb, kteří jsou součástí programu Cloud Solution Provider (CSP), je Log Analytics ve službě Azure Monitor jednou ze služeb Azure dostupných v předplatných Azure CSP.

Pro tuto funkci existují dvě základní strategie, jak je popsáno níže.

Distribuovaná architektura

V distribuované architektuře se v každém tenantovi Azure vytvoří pracovní prostor služby Log Analytics. Toto je jediná možnost, kterou můžete použít, pokud monitorujete jiné služby Azure než virtuální počítače.

Existují dvě možnosti, jak správcům poskytovatelů služeb umožnit přístup k pracovním prostorům v tenantech zákazníků.

  • Použijte Azure Lighthouse pro přístup ke každému tenantovi zákazníka. Správci poskytovatele služeb jsou součástí skupiny uživatelů Azure AD v tenantovi poskytovatele služeb a tato skupina má udělený přístup během procesu onboardingu pro každého zákazníka. Správci pak můžou přistupovat k pracovním prostorům každého zákazníka z vlastního tenanta poskytovatele služeb a nemusí se k tenantovi každého zákazníka přihlašovat jednotlivě. Další informace najdete v tématu Monitorování zákaznických prostředků ve velkém měřítku.

  • Přidejte jednotlivé uživatele od poskytovatele služeb jako Azure Active Directory uživatele typu host (B2B). Správci tenanta zákazníka spravují individuální přístup pro každého správce poskytovatele služeb a správci poskytovatele služeb se musí přihlásit k adresáři pro každého tenanta v Azure Portal, aby k těmto pracovním prostorům měli přístup.

Výhody této strategie jsou:

  • Protokoly je možné shromažďovat ze všech typů prostředků.
  • Zákazník může potvrdit konkrétní úrovně oprávnění pomocí delegované správy prostředků Azure nebo může spravovat přístup k protokolům pomocí vlastního řízení přístupu na základě role Azure (Azure RBAC).
  • Každý zákazník může mít pro svůj pracovní prostor různá nastavení, jako je uchovávání dat a limit dat.
  • Izolace mezi zákazníky pro dodržování právních předpisů a dodržování předpisů.
  • Poplatek za každý pracovní prostor zahrnutý na faktuře za předplatné zákazníka.

Nevýhody této strategie jsou:

  • Centrální vizualizace a analýza dat napříč tenanty zákazníků pomocí nástrojů, jako je Azure Monitor Workbooks, můžou mít za následek pomalejší prostředí, zejména při analýze dat ve více než 50 pracovních prostorech.
  • Pokud se zákazníci nepřipojí ke správě delegovaných prostředků Azure, musí být správci poskytovatelů služeb zřízeni v adresáři zákazníka. To ztěžuje správu velkého počtu tenantů zákazníků najednou u poskytovatele služeb.

Centralizované

V předplatném poskytovatele služeb se vytvoří jeden pracovní prostor. Tato možnost může shromažďovat pouze data z virtuálních počítačů zákazníků. Agenti nainstalovaní na virtuálních počítačích jsou nakonfigurovaní tak, aby odesílali protokoly do tohoto centrálního pracovního prostoru.

Výhody této strategie jsou:

  • Snadná správa velkého počtu zákazníků.
  • Poskytovatel služeb má úplné vlastnictví protokolů a různých artefaktů, jako jsou funkce a uložené dotazy.
  • Poskytovatel služeb může provádět analýzy napříč všemi svými zákazníky.

Nevýhody této strategie jsou:

  • Protokoly je možné shromažďovat pouze z virtuálních počítačů s agentem. Nebude fungovat se zdroji dat PaaS, SaaS a Azure Fabric.
  • Může být obtížné oddělit data mezi zákazníky, protože jejich data sdílejí jeden pracovní prostor. Dotazy musí používat plně kvalifikovaný název domény (FQDN) počítače nebo ID předplatného Azure.
  • Všechna data ze všech zákazníků budou uložena ve stejné oblasti s jednou fakturou a stejným nastavením uchovávání a konfigurace.

Hybridní

V hybridním modelu má každý tenant svůj vlastní pracovní prostor a nějaký mechanismus se používá k načtení dat do centrálního umístění pro vytváření sestav a analýzy. Tato data můžou zahrnovat malý počet datových typů nebo souhrn aktivity, jako jsou denní statistiky.

Existují dvě možnosti implementace protokolů v centrálním umístění:

Další kroky