Übersicht über Log Analytics-Arbeitsbereiche

  • Artikel

Ein Log Analytics-Arbeitsbereich ist eine bestimmte Umgebung für Protokolldaten aus Azure Monitor und anderen Azure-Diensten wie Microsoft Sentinel und Microsoft Defender für Cloud. Jeder Arbeitsbereich verfügt über ein eigenes Daten-Repository und eine eigene Konfiguration, könnte aber Daten aus mehreren Diensten kombinieren. In diesem Artikel finden Sie eine Übersicht über Konzepte im Bezug auf Log Analytics-Arbeitsbereiche sowie Links zu mehr Dokumentation für weitere Informationen zu jedem Konzept.

Wichtig

Eventuell wird der Begriff Microsoft Sentinel-Arbeitsbereich in der Microsoft Sentinel-Dokumentation verwendet. Dieser Arbeitsbereich ist derselbe Log Analytics-Arbeitsbereich, der in diesem Artikel beschrieben wird, jedoch ist er für Microsoft Sentinel aktiviert. Alle Daten im Arbeitsbereich unterliegen den Microsoft Sentinel-Preisen, wie im Abschnitt Kosten beschrieben.

Sie können einen einzigen Arbeitsbereich für Ihre gesamte Datensammlung verwenden. Sie können auch mehrere Arbeitsbereiche basierend auf Anforderungen erstellen, z. B.:

  • Den geografischen Standort der Daten.
  • Zugriffsrechte, die definieren, welche Benutzer auf Daten zugreifen können.
  • Konfigurationseinstellungen wie Preisstufen und Datenaufbewahrung.

Informationen zum Erstellen eines neuen Arbeitsbereichs finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal. Überlegungen zum Erstellen mehrerer Arbeitsbereiche finden Sie unter Entwurf einer Log Analytics-Arbeitsbereichkonfiguration.

Datenstruktur

Jeder Arbeitsbereich enthält mehrere Tabellen, die in separaten Spalten mit mehreren Datenzeilen angeordnet sind. Jede Tabelle wird durch einen einzigartigen Satz an Spalten definiert. Von der Datenquelle bereitgestellte Datenzeilen verwenden diese Spalten gemeinsam. Protokollabfragen definieren Datenspalten zum Abrufen und Bereitstellen von Ausgaben für verschiedene Features von Azure Monitor und anderen Diensten, die Arbeitsbereiche verwenden.

Diagramm: Struktur der Azure Monitor-Protokolle

Warnung

Tabellennamen werden für Abrechnungszwecke verwendet, daher sollten sie keine vertraulichen Informationen enthalten.

Kosten

Es entstehen keine direkten Kosten durch das Erstellen oder Verwalten eines Arbeitsbereichs. Ihnen werden die an sie gesendeten Daten berechnet, was auch als Datenerfassung bezeichnet wird. Ihnen wird die Dauer der Speicherung dieser Daten berechnet, was andernfalls als Datenaufbewahrung bezeichnet wird. Diese Kosten können je nach Protokolldatenplan der einzelnen Tabellen variieren, wie unter Protokolldatenplan beschrieben.

Weitere Preisinformationen finden Sie unter Azure Monitor-Preise. Anleitungen zum Reduzieren Ihrer Kosten finden Sie unter Bewährte Methoden für Azure Monitor – Cost Management. Wenn Sie Ihren Log Analytics-Arbeitsbereich mit anderen Diensten als Azure Monitor verwenden, finden Sie in der Dokumentation zu diesen Diensten die entsprechenden Preisinformationen.

Arbeitsbereichstransformations-DCR

Datensammlungsregeln (Data Collection Rules, DCRs), die Daten definieren, die in Azure Monitor eingehen, können Transformationen enthalten, mit denen Sie Daten filtern und transformieren können, bevor sie im Arbeitsbereich erfasst werden. Da alle Datenquellen DCRs noch nicht unterstützen, kann jeder Arbeitsbereich einen Arbeitsbereichstransformations-DCR haben.

Erfassungszeittransformationen werden für jede Tabelle in einem Arbeitsbereich definiert und gelten für alle Daten, die an diese Tabelle gesendet werden, auch wenn sie aus mehreren Quellen gesendet werden. Erfassungszeittransformationen gelten nur für Workflows, die noch keine Datensammlungsregel verwenden. Beispielsweise verwendet der Azure Monitor-Agent eine Datensammlungsregel, um die von virtuellen Computern gesammelten Daten zu definieren. Diese Daten unterliegen keinen Erfassungszeittransformationen, die im Arbeitsbereich definiert sind.

Beispielsweise verfügen Sie über Diagnoseeinstellungen, die Ressourcenprotokolle für verschiedene Azure-Ressourcen an Ihren Arbeitsbereich senden. Sie können eine Transformation für die Tabelle erstellen, die die Ressourcenprotokolle sammelt, die diese Daten nur nach gewünschten Datensätzen filtern. Dadurch sparen Sie die Erfassungskosten für Datensätze, die Sie nicht benötigen. Sie könnten wichtige Daten auch aus bestimmten Spalten extrahieren und in anderen Spalten im Arbeitsbereich speichern, um einfachere Abfragen zu unterstützen.

Datenaufbewahrung und -archivierung

Daten in jeder Tabelle eines Log Analytics-Arbeitsbereichs werden für einen bestimmten Zeitraum aufbewahrt, nach dem sie entweder entfernt oder mit einer reduzierten Aufbewahrungsgebühr archiviert werden. Legen Sie die Aufbewahrungsdauer fest, um Ihre Anforderung, Daten verfügbar zu haben, mit der Reduzierung der Kosten für die Datenaufbewahrung auszugleichen.

Um auf archivierte Daten zugreifen zu können, müssen Sie Daten zunächst mithilfe einer der folgenden Methoden in einer Analytics-Protokolltabelle aus dem Archiv abrufen:

Methode BESCHREIBUNG
Suchaufträge Abrufen von Daten, die bestimmten Kriterien entsprechen
Wiederherstellen Abrufen von Daten aus einem bestimmten Zeitbereich

Diagramm mit einer Übersicht über die SAP IQ-Lösung

Berechtigungen

Die Berechtigung für den Zugriff auf Daten in einem Log Analytics-Arbeitsbereich wird durch den Zugriffssteuerungsmodus definiert, bei dem es sich um eine Einstellung für jeden Arbeitsbereich handelt. Sie können Benutzern expliziten Zugriff auf den Arbeitsbereich gewähren, indem Sie eine integrierte oder benutzerdefinierte Rolle verwenden. Alternativ können Sie den Zugriff auf für Azure-Ressourcen gesammelte Daten Benutzern mit Zugriff auf diese Ressourcen erlauben.

Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Nächste Schritte