Log Analytics-DatensicherheitLog Analytics data security

Dieses Dokument dient der Bereitstellung von spezifischen Informationen zu Log Analytics, einem Feature von Azure Monitor, in Ergänzung der Informationen im Azure Trust Center.This document is intended to provide information specific to Log Analytics, which is a feature of Azure Monitor, to supplement the information on Azure Trust Center.

In diesem Artikel wird erläutert, wie Daten von Log Analytics gesammelt, verarbeitet und geschützt werden.This article explains how data is collected, processed, and secured by Log Analytics. Sie können Agents verwenden, um die Verbindung mit dem Webdienst herzustellen, mit System Center Operations Manager betriebliche Daten sammeln oder Daten aus Azure-Diagnosen für die Verwendung durch Log Analytics abrufen.You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics.

Der Log Analytics-Dienst verwaltet Ihre Daten in der Cloud sicher mithilfe der folgenden Methoden:The Log Analytics service manages your cloud-based data securely by using the following methods:

  • Trennung von DatenData segregation
  • Beibehaltung von DatenData retention
  • Physische SicherheitPhysical security
  • Incident ManagementIncident management
  • ComplianceCompliance
  • Sicherheitsstandard-ZertifizierungenSecurity standards certifications

Sollten Sie Fragen, Vorschläge oder Probleme im Zusammenhang mit den folgenden Informationen (einschließlich unserer Sicherheitsrichtlinien) haben, können Sie sich über die Azure-Supportoptionen mit uns in Verbindung setzen.Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

Sicheres Senden von Daten mit TLS 1.2Sending data securely using TLS 1.2

Um die Sicherheit von Daten bei der Übertragung an Log Analytics sicherzustellen, wird dringend empfohlen, den Agent so zu konfigurieren, dass mindestens Transport Layer Security (TLS) 1.2 verwendet wird.To insure the security of data in transit to Log Analytics, we strongly encourage you to configure the agent to use at least Transport Layer Security (TLS) 1.2. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen, und die Industrie ist bestrebt, diese älteren Protokolle schnell auszumustern.Older versions of TLS/Secure Sockets Layer (SSL) have been found to be vulnerable and while they still currently work to allow backwards compatibility, they are not recommended, and the industry is quickly moving to abandon support for these older protocols.

Das PCI Security Standards Council hat den 30. Juni 2018 als Termin für die Deaktivierung älterer Versionen von TLS/SSL und das Upgrade auf sicherere Protokolle festgelegt.The PCI Security Standards Council has set a deadline of June 30th, 2018 to disable older versions of TLS/SSL and upgrade to more secure protocols. Wenn Azure keine Legacyunterstützung mehr anbietet und Ihre Agents nicht mindestens über TLS 1.2 kommunizieren können, ist das Senden von Daten an Log Analytics nicht möglich.Once Azure drops legacy support, if your agents cannot communicate over at least TLS 1.2 you would not be able to send data to Log Analytics.

Es wird nicht empfohlen, Ihren Agent explizit so einzurichten, dass nur TLS 1.2 verwendet wird, es sei denn, dies ist unbedingt erforderlich. Denn dadurch können Sicherheitsfeatures auf Plattformebene deaktiviert werden, mit deren Hilfe neuere, sicherere Protokolle wie TLS 1.3 automatisch erkannt und genutzt werden können, sobald diese verfügbar sind.We do not recommend explicitly setting your agent to only use TLS 1.2 unless absolutely necessary, as it can break platform level security features that allow you to automatically detect and take advantage of newer more secure protocols as they become available, such as TLS 1.3.

Plattformspezifische AnleitungenPlatform-specific guidance

Plattform/SprachePlatform/Language SupportSupport Weitere InformationenMore Information
LinuxLinux Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück.Linux distributions tend to rely on OpenSSL for TLS 1.2 support. Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird.Check the OpenSSL Changelog to confirm your version of OpenSSL is supported.
Windows 8.0 bis 10Windows 8.0 - 10 Wird unterstützt und ist standardmäßig aktiviert.Supported, and enabled by default. Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden.To confirm that you are still using the default settings.
Windows Server 2012 bis 2016Windows Server 2012 - 2016 Wird unterstützt und ist standardmäßig aktiviert.Supported, and enabled by default. Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden.To confirm that you are still using the default settings
Windows 7 SP1 und Windows Server 2008 R2 SP1Windows 7 SP1 and Windows Server 2008 R2 SP1 Wird unterstützt, ist jedoch standardmäßig deaktiviert.Supported, but not enabled by default. Details zur Aktivierung finden Sie auf der Seite Transport Layer Security (TLS) registry settings (Registrierungseinstellungen für Transport Layer Security (TLS)).See the Transport Layer Security (TLS) registry settings page for details on how to enable.

Trennung von DatenData segregation

Nachdem Ihre Daten vom Log Analytics-Dienst erfasst wurden, werden sie für jede Komponente des Diensts logisch getrennt verwaltet.After your data is ingested by the Log Analytics service, the data is kept logically separate on each component throughout the service. Sämtliche Daten werden nach Arbeitsbereich gekennzeichnet.All data is tagged per workspace. Dieser Kennzeichnung wird während des gesamten Datenlebenszyklus beibehalten und auf jeder Ebene des Diensts erzwungen.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. Die Daten werden in einer dedizierten Datenbank im Speichercluster in der ausgewählten Region gespeichert.Your data is stored in a dedicated database in the storage cluster in the region you have selected.

Beibehaltung von DatenData retention

Die Daten der indizierten Protokollsuche werden gemäß des von Ihnen gewählten Tarifs gespeichert und aufbewahrt.Indexed log search data is stored and retained according to your pricing plan. Weitere Informationen finden Sie unter Log Analytics-Preise.For more information, see Log Analytics Pricing.

Als Bestandteil Ihres Abonnementvertrags bewahrt Microsoft Ihre Daten gemäß den Vertragsbedingungen auf.As part of your subscription agreement, Microsoft will retain your data per the terms of the agreement. Wenn Kundendaten entfernt werden, werden keine physischen Laufwerke zerstört.When customer data is removed, no physical drives are destroyed.

Die folgende Tabelle enthält einige der verfügbaren Lösungen sowie Beispiele für die Typen der jeweils gesammelten Daten.The following table lists some of the available solutions and provides examples of the type of data they collect.

LösungSolution DatentypenData types
Kapazität und LeistungCapacity and Performance Leistungsdaten und MetadatenPerformance data and metadata
UpdateverwaltungUpdate Management Metadaten und StatusdatenMetadata and state data
Log ManagementLog Management Benutzerdefinierte Ereignisprotokolle, Windows-Ereignisprotokolle und/oder IIS-ProtokolleUser-defined event logs, Windows Event Logs and/or IIS Logs
Change TrackingChange Tracking Metadaten für Softwarebestand, Windows-Dienste und Linux-Daemons sowie Windows/Linux-DateimetadatenSoftware inventory, Windows service and Linux daemon metadata, and Windows/Linux file metadata
SQL und Active Directory AssessmentSQL and Active Directory Assessment WMI-Daten, Registrierungsdaten, Leistungsdaten und Ergebnisse der dynamischen SQL Server-VerwaltungssichtenWMI data, registry data, performance data, and SQL Server dynamic management view results

Die folgende Tabelle zeigt Beispiele für Datentypen:The following table shows examples of data types:

DatentypData type FieldsFields
WarnungAlert AlertName, AlertDescription, BaseManagedEntityId, ProblemId, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
KonfigurationConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EreignisEvent EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Hinweis: Wenn Sie Ereignisse mit benutzerdefinierten Feldern in das Windows-Ereignisprotokoll schreiben, werden diese per Log Analytics gesammelt.Note: When you write events with custom fields in to the Windows event log, Log Analytics collects them.
MetadatenMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
LeistungPerformance ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
StateState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Physische SicherheitPhysical security

Der Log Analytics-Dienst wird von Microsoft-Mitarbeitern verwaltet. Alle Aktivitäten werden protokolliert und können überwacht werden.The Log Analytics service is managed by Microsoft personnel and all activities are logged and can be audited. Log Analytics wird als Azure-Dienst betrieben und erfüllt sämtliche Compliance- und Sicherheitsanforderungen in Azure.Log Analytics is operated as an Azure Service and meets all Azure Compliance and Security requirements. Ausführliche Informationen über die physische Sicherheit der Azure-Ressourcen finden Sie auf Seite 18 des Dokuments Microsoft Azure Security Overview (Microsoft Azure-Sicherheitsübersicht).You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. Physische Zugriffsrechte auf sichere Bereiche werden innerhalb eines Geschäftstags für jeden Benutzer geändert, der keine Verantwortung mehr für den Log Analytics-Dienst trägt, einschließlich der Übertragung und Beendigung.Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the Log Analytics service, including transfer and termination. Informieren Sie sich über die globale physische Infrastruktur, die wir in Microsoft-Rechenzentren verwenden.You can read about the global physical infrastructure we use at Microsoft Datacenters.

Incident ManagementIncident management

Log Analytics verfügt über einen Incident-Management-Prozess, dem alle Microsoft-Dienste unterliegen.Log Analytics has an incident management process that all Microsoft services adhere to. Zusammenfassung:To summarize, we:

  • Wir verwenden ein Modell für gemeinsame Verantwortung, bei dem Microsoft einen Teil der Verantwortung für die Sicherheit trägt und der Kunde für den anderen Teil zuständig ist.Use a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Wir verwalten Azure-Sicherheitsincidents:Manage Azure security incidents:
    • Wir leiten bei Erkennung eines Vorfalls eine Untersuchung ein.Start an investigation upon detection of an incident
    • Wir bewerten die Auswirkung und den Schweregrad eines Vorfalls durch ein Teammitglied für Sicherheitsvorfälle auf Abruf.Assess the impact and severity of an incident by an on-call incident response team member. Je nach Situation kann diese Bewertung zu einer weiteren Eskalation an das Security Response-Team führen.Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • Wir diagnostizieren einen Vorfall durch Sicherheitsexperten im Rahmen einer technischen oder forensischen Untersuchung, und wir versuchen dieses Problem zu umgehen, einzudämmen und Lösungsstrategien zu identifizieren.Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. Wenn das Sicherheitsteam davon ausgeht, dass Kundendaten möglicherweise einer rechtswidrigen oder nicht autorisierten Person ausgesetzt worden sind, beginnt die parallele Ausführung des Kundenvorfall-Benachrichtigungsvorgangs.If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • Stabilisieren und Wiederherstellen nach dem Vorfall.Stabilize and recover from the incident. Das Sicherheitsteam erstellt einen Wiederherstellungsplan, um das Problem zu beheben.The incident response team creates a recovery plan to mitigate the issue. Schritte zur Schadensbegrenzung, z.B. Isolieren betroffener Systeme, können sofort und parallel zur Diagnose erfolgen.Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. Längerfristige Maßnahmen können geplant werden, die ergriffen werden, nachdem die unmittelbare Gefahr vorüber ist.Longer term mitigations may be planned which occur after the immediate risk has passed.
    • Schließen des Vorfalls und Durchführen einer Nachbereitung.Close the incident and conduct a post-mortem. Das Sicherheitsteam erstellt eine Nachbereitung mit einer Beschreibung der Details des Vorfalls und der Absicht, Richtlinien, Verfahren und Prozesse zu überarbeiten, um eine Wiederholung des Ereignisses zu verhindern.The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • Wir benachrichtigen Kunden über Sicherheitsincidents:Notify customers of security incidents:
    • Festlegen des Umfangs der betroffenen Kunden und möglichst detaillierte Benachrichtigung aller BetroffenenDetermine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • Erstellen einer Benachrichtigung mit genügend Informationen für Kunden, damit sie ihrerseits eine genauere Untersuchung durchführen und Versprechen halten können, die sie gegenüber ihren Endbenutzern gegeben haben, ohne den Benachrichtigungsvorgang unangemessen zu verzögern.Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • Bestätigung und Meldung des Vorfalls nach Bedarf.Confirm and declare the incident, as necessary.
    • Benachrichtigung von Kunden mit einer Vorfallmeldung ohne unangemessene Verzögerung und in Übereinstimmung mit allen gesetzlichen oder vertraglichen Verpflichtungen.Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. Benachrichtigung mindestens eines Administrators des Kunden über Sicherheitsvorfälle mittels von Microsoft ausgewählter Kommunikationsmittel (einschließlich E-Mail).Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • Wir führen Team-Bereitschaft und Schulungen durch:Conduct team readiness and training:
    • Microsoft-Mitarbeiter müssen eine Sicherheits- und Sensibilisierungs-Schulung absolvieren, um verdächtige Sicherheitsprobleme identifizieren und melden zu können.Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Operatoren, die mit dem Microsoft Azure-Dienst arbeiten, haben zusätzliche Schulungspflichten hinsichtlich ihres Zugriffs auf vertrauliche Systeme mit Kundendaten.Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • Microsoft Security Response-Mitarbeiter erhalten spezielle Schulungen für ihre RollenMicrosoft security response personnel receive specialized training for their roles

Im Falle des Verlusts von Kundendaten benachrichtigen wir jeden Kunden innerhalb eines Tages.If loss of any customer data occurs, we notify each customer within one day. Ein Verlust von Kundendaten ist jedoch bei dem Dienst noch nie aufgetreten.However, customer data loss has never occurred with the service.

Weitere Informationen über die Reaktion von Microsoft auf Sicherheitsvorfälle finden Sie unter Microsoft Azure Security Response in the Cloud (Microsoft Azure Security Response in der Cloud).For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

ComplianceCompliance

Das Informationssicherheits- und Governance-Programm des Softwareentwicklungs- und Serviceteams für Log Analytics unterstützt die geschäftlichen Anforderungen und entspricht Gesetzen und Vorschriften, wie unter Microsoft Azure Trust Center und Microsoft Trust Center Compliance beschrieben.The Log Analytics software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. Außerdem wird beschrieben, wie Log Analytics Sicherheitsanforderungen einrichtet, Sicherheitskontrollen identifiziert und Risiken verwaltet und überwacht.How Log Analytics establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Richtlinien, Standards, Verfahren und Leitlinien werden jährlich überprüft.Annually, we review polices, standards, procedures, and guidelines.

Jedes Mitglied des Entwicklungsteams erhält eine formale Anwendungssicherheitsschulung.Each development team member receives formal application security training. Intern verwenden wir ein Versionskontrollsystem für die Softwareentwicklung.Internally, we use a version control system for software development. Jedes Softwareprojekt wird durch das Versionskontrollsystem geschützt.Each software project is protected by the version control system.

Microsoft hat ein Sicherheits- und Compliance-Team, das alle Microsoft-Dienste überwacht und bewertet.Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. Dieses Team besteht aus Information Security Officers, die nicht mit den Entwicklungsteams, die Log Analytics entwickeln, verbunden sind.Information security officers make up the team and they are not associated with the engineering teams that develops Log Analytics. Die Sicherheitsbeauftragten verfügen über eine eigene Managementkette und führen unabhängige Beurteilungen von Produkten und Dienstleistungen durch, um Sicherheit und Compliance zu gewährleisten.The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

Der Microsoft-Vorstand wird in einem Jahresbericht über alle IT-Sicherheitsprogramme bei Microsoft informiert.Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

Das Softwareentwicklungs- und Serviceteam für Log Analytics arbeitet aktiv mit den Legal- und Compliance-Teams von Microsoft sowie mit anderen Branchenpartnern zusammen, um verschiedenste Zertifizierungen zu erlangen.The Log Analytics software development and service team are actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

Zertifizierungen und NachweiseCertifications and attestations

Azure Log Analytics erfüllt folgende Anforderungen:Azure Log Analytics meets the following requirements:

Hinweis

In einigen Zertifizierungen/Nachweisen ist Log Analytics unter dem ehemaligen Namen Operational Insights angegeben.In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

Datenfluss beim sicheren Cloud ComputingCloud computing security data flow

Das folgende Diagramm zeigt eine Cloudsicherheitsarchitektur sowie den Fluss von Informationen von Ihrem Unternehmen und deren Schutz auf dem Weg zum Log Analytics-Dienst, wo Sie sie letztlich im Azure-Portal anzeigen können.The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the Azure portal. Weitere Informationen zu den einzelnen Schritten finden Sie nach dem Diagramm.More information about each step follows the diagram.

Abbildung der Datensammlung und Sicherheit in Log Analytics

1. Registrieren für Log Analytics und Sammeln von Daten1. Sign up for Log Analytics and collect data

Damit Ihre Organisation Daten an Log Analytics senden kann, konfigurieren Sie einen Windows- oder Linux-Agent, der auf virtuellen Azure-Computern oder auf virtuellen oder physischen Computern in Ihrer Umgebung oder einem anderen Cloudanbieter ausgeführt wird.For your organization to send data to Log Analytics, you configure a Windows or Linux agent running on Azure virtual machines, or on virtual or physical computers in your environment or other cloud provider. Bei Verwendung von Operations Manager konfigurieren Sie den Operations Manager-Agent über die Verwaltungsgruppe.If you use Operations Manager, from the management group you configure the Operations Manager agent. Benutzer (Sie, andere Einzelbenutzer oder eine Gruppe von Personen) erstellen Log Analytics-Arbeitsbereiche und registrieren Agents mithilfe eines der folgenden Konten:Users (which might be you, other individual users, or a group of people) create one or more Log Analytics workspaces, and register agents by using one of the following accounts:

In einem Log Analytics-Arbeitsbereich werden Daten gesammelt, aggregiert, analysiert und präsentiert.A Log Analytics workspace is where data is collected, aggregated, analyzed, and presented. Ein Arbeitsbereich wird hauptsächlich zum Partitionieren von Daten verwendet, wobei jeder Arbeitsbereich eindeutig ist.A workspace is primarily used as a means to partition data, and each workspace is unique. Beispielsweise empfiehlt es sich, Produktionsdaten mit einem Arbeitsbereich zu verwalten und Testdaten mit einem anderen Arbeitsbereich.For example, you might want to have your production data managed with one workspace and your test data managed with another workspace. Arbeitsbereiche helfen Administratoren außerdem dabei, den Benutzerzugriff auf Daten zu steuern.Workspaces also help an administrator control user access to the data. Jedem Arbeitsbereich können mehrere Benutzerkonten zugeordnet werden, und jedes Benutzerkonto kann auf mehrere Log Analytics-Arbeitsbereiche zugreifen.Each workspace can have multiple user accounts associated with it, and each user account can access multiple Log Analytics workspaces. Sie erstellen Arbeitsbereiche auf Grundlage der Rechenzentrumsregion.You create workspaces based on datacenter region.

Für Operations Manager wird über die Operation Manager-Verwaltungsgruppe eine Verbindung mit dem Log Analytics-Dienst hergestellt.For Operations Manager, the Operations Manager management group establishes a connection with the Log Analytics service. Dann legen Sie fest, welche mit einem Agent verwalteten Systeme in der Verwaltungsgruppe Daten erfassen und an den Dienst senden können.You then configure which agent-managed systems in the management group are allowed to collect and send data to the service. Je nach aktivierter Lösung werden Daten aus diesen Lösungen entweder direkt von einem Operations Manager-Verwaltungsserver oder (aufgrund des Umfangs der Daten, die im mit einem Agent verwalteten System gesammelt werden) direkt vom Agent an den Log Analytics-Dienst gesendet.Depending on the solution you have enabled, data from these solutions are either sent directly from an Operations Manager management server to the Log Analytics service, or because of the volume of data collected by the agent-managed system, are sent directly from the agent to the service. In Systemen, die nicht über Operations Manager überwacht werden, wird jeweils direkt eine sichere Verbindung mit dem Log Analytics-Dienst hergestellt.For systems not monitored by Operations Manager, each connects securely to the Log Analytics service directly.

Die gesamte Kommunikation zwischen verbundenen Systemen und dem Log Analytics-Dienst ist verschlüsselt.All communication between connected systems and the Log Analytics service is encrypted. Das TLS (HTTPS)-Protokoll wird für die Verschlüsselung verwendet.The TLS (HTTPS) protocol is used for encryption. Das Microsoft SDL-Verfahren stellt sicher, dass Log Analytics nach den neuesten Fortschritten bei kryptografischen Protokollen aktualisiert wird.The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

Jeder Agent-Typ sammelt Daten für Log Analytics.Each type of agent collects data for Log Analytics. Die Art der gesammelten Daten ist abhängig von der Art der verwendeten Lösungen.The type of data that is collected is depends on the types of solutions used. Eine Zusammenfassung der Datensammlung finden Sie unter Add Log Analytics solutions from the Solutions Gallery (Hinzufügen von Log Analytics-Lösungen aus dem Lösungskatalog).You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. Darüber hinaus stehen ausführlichere Sammlungs-Informationen für die meisten Lösungen zur Verfügung.Additionally, more detailed collection information is available for most solutions. Eine Lösung ist ein Bündel von vordefinierten Ansichten, Protokollsuchabfragen, Datensammlungsregeln und Verarbeitungslogik.A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Nur Administratoren können Log Analytics zum Importieren einer Lösung verwenden.Only administrators can use Log Analytics to import a solution. Nach dem Importieren der Lösung wird diese auf die Operations Manager-Verwaltungsserver (sofern verwendet) und dann in die ausgewählten Agents verschoben.After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. Anschließend sammeln die Agents die Daten.Afterward, the agents collect the data.

2. Senden von Daten von Agents2. Send data from agents

Sie registrieren alle Agent-Typen mit einem Registrierungsschlüssel. Eine sichere Verbindung zwischen dem Agent und Log Analytics-Dienst wird mithilfe der zertifikatbasierten Authentifizierung und TLS an Port 443 hergestellt.You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and TLS with port 443. Log Analytics verwendet einen geheimen Speicher zum Generieren und Verwalten von Schlüsseln.Log Analytics uses a secret store to generate and maintain keys. Private Schlüssel werden alle 90 Tage rotiert und in Azure gespeichert. Sie werden von Azure-Operatoren verwaltet, die Gesetze und Compliance-Vorschriften strikt einhalten.Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

In Operations Manager wird über die mit einem Log Analytics-Arbeitsbereich registrierte Verwaltungsgruppe eine sichere HTTPS-Verbindung mit einem Operations Manager-Verwaltungsserver hergestellt.With Operations Manager, the management group registered with a Log Analytics workspace establishes a secure HTTPS connection with an Operations Manager management server.

Für Windows- oder Linux-Agents, die auf virtuellen Computern in Azure ausgeführt werden, wird ein schreibgeschützter Speicherschlüssel verwendet, um Diagnoseereignisse in Azure-Tabellen zu lesen.For Windows or Linux agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

Wenn jeder Agent Daten an eine Operations Manager-Verwaltungsgruppe meldet, die in Log Analytics integriert ist, und der Verwaltungsserver aus einem bestimmten Grund nicht mit dem Dienst kommunizieren kann, werden die gesammelten Daten lokal in einem temporären Cache auf dem Verwaltungsserver gespeichert.With any agent reporting to an Operations Manager management group that is integrated with Log Analytics, if the management server is unable to communicate with the service for any reason, the collected data is stored locally in a temporary cache on the management server. Es wird dann zwei Stunden lang alle acht Minuten versucht, die Daten erneut zu senden.They try to resend the data every eight minutes for two hours. Bei Daten, bei denen der Verwaltungsserver umgangen wird und die direkt an Log Analytics gesendet werden, entspricht das Verhalten dem des Windows-Agents.For data that bypasses the management server and is sent directly to Log Analytics, the behavior is consistent with the Windows agent.

Zwischengespeicherte Daten des Windows-Agents oder des Agents des Verwaltungsservers sind durch den Anmeldeinformationsspeicher des Betriebssystems geschützt.The Windows or management server agent cached data is protected by the operating system's credential store. Wenn der Dienst die Daten innerhalb von zwei Stunden nicht verarbeiten kann, platzieren die Agents die Daten in einer Warteschlange.If the service cannot process the data after two hours, the agents will queue the data. Wenn die Warteschlange voll ist, beginnt der Agent, Datentypen zu löschen, beginnend mit Leistungsdaten.If the queue becomes full, the agent starts dropping data types, starting with performance data. Die Begrenzung für die Agent-Warteschlange ist ein Registrierungsschlüssel, den Sie bei Bedarf ändern können.The agent queue limit is a registry key so you can modify it, if necessary. Die gesammelten Daten werden komprimiert und unter Umgehung der Datenbanken der Operations Manager-Verwaltungsgruppe an den Dienst gesendet, sodass keine weitere Last hinzugefügt wird.Collected data is compressed and sent to the service, bypassing the Operations Manager management group databases, so it does not add any load to them. Nach dem Senden werden die gesammelten Daten aus dem Cache entfernt.After the collected data is sent, it is removed from the cache.

Wie oben beschrieben, werden die Daten von dem Verwaltungsserver oder den direkt verbundenen Agents über TLS an Microsoft Azure-Rechenzentren gesendet.As described above, data from the management server or direct-connected agents is sent over TLS to Microsoft Azure datacenters. Optional können Sie ExpressRoute verwenden, um zusätzliche Sicherheit für die Daten bereitzustellen.Optionally, you can use ExpressRoute to provide additional security for the data. ExpressRoute ist eine Möglichkeit, direkt aus Ihrem vorhandenen WAN mit Azure zu verbinden, z.B. ein Multi-Protocol Label Switching-VPN (MPLS), das von einem Netzwerkdienstanbieter bereitgestellt wird.ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. Weitere Informationen finden Sie unter ExpressRoute.For more information, see ExpressRoute.

3. Empfangen und Verarbeiten von Daten durch den Log Analytics-Dienst3. The Log Analytics service receives and processes data

Der Log Analytics-Dienst stellt sicher, dass eingehende Daten aus einer vertrauenswürdigen Quelle stammen, indem Zertifikate und die Integrität der Daten mittels Azure-Authentifizierung überprüft werden.The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. Die nicht verarbeiteten Rohdaten werden dann in einem Azure Event Hub in der Region gespeichert, in der die Daten schließlich im Ruhezustand gespeichert werden.The unprocessed raw data is then stored in an Azure Event Hub in the region the data will eventually be stored at rest. Die Art der gespeicherten Daten ist abhängig von der Art der importierten und zum Sammeln von Daten verwendeten Lösungen.The type of data that is stored depends on the types of solutions that were imported and used to collect data. Der Log Analytics-Dienst verarbeitet dann die Rohdaten und erfasst sie in der Datenbank.Then, the Log Analytics service processes the raw data and ingests it into the database.

Die Beibehaltungsdauer der gesammelten Daten, die in der Datenbank gespeichert sind, hängt von dem ausgewählten Tarif ab.The retention period of collected data stored in the database depends on the selected pricing plan. Beim Free-Tarif sind die gesammelten Daten 7 Tage verfügbar.For the Free tier, collected data is available for seven days. Beim kostenpflichtigen Tarif sind die gesammelten Daten standardmäßig 31 Tage verfügbar, aber dieser Zeitraum kann auf 730 Tage verlängert werden.For the Paid tier, collected data is available for 31 days by default, but can be extended to 730 days. Daten werden im Ruhezustand verschlüsselt in Azure Storage gespeichert, um die Vertraulichkeit der Daten sicherzustellen, und die Daten werden innerhalb der lokalen Region mithilfe von lokal redundantem Speicher (LRS) repliziert.Data is stored encrypted at rest in Azure storage, to ensure data confidentiality, and the data is replicated within the local region using locally redundant storage (LRS). Die letzten zwei Wochen von Daten werden ebenfalls im SSD-basierten Cache gespeichert, und dieser Cache ist verschlüsselt.The last two weeks of data are also stored in SSD-based cache and this cache is encrypted.

4. Verwenden von Log Analytics für den Datenzugriff4. Use Log Analytics to access the data

Für den Zugriff auf Ihren Log Analytics-Arbeitsbereich melden Sie sich über das zuvor eingerichtete Unternehmenskonto oder Microsoft-Konto im Azure-Portal an.To access your Log Analytics workspace, you sign into the Azure portal using the organizational account or Microsoft account that you set up previously. Der gesamte Datenverkehr zwischen dem Portal und dem Log Analytics-Dienst erfolgt über einen sicheren HTTPS-Kanal.All traffic between the portal and Log Analytics service is sent over a secure HTTPS channel. Bei Verwendung des Portals wird eine Sitzungs-ID auf dem Client des Benutzers (Webbrowser) generiert, und die Daten werden in einem lokalen Cache gespeichert, bis die Sitzung beendet wird.When using the portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. Wenn die Sitzung beendet ist, wird der Cache gelöscht.When terminated, the cache is deleted. Clientseitige Cookies enthalten keine persönlich identifizierbaren Informationen und werden nicht automatisch entfernt.Client-side cookies, which do not contain personally identifiable information, are not automatically removed. Sitzungscookies sind „HTTPOnly“ markiert und gesichert.Session cookies are marked HTTPOnly and are secured. Nach einer vorher festgelegten Zeit im Leerlauf wird die Sitzung im Azure-Portal beendet.After a pre-determined idle period, the Azure portal session is terminated.

Nächste SchritteNext steps