Diseño de la implementación de registros de Azure MonitorDesigning your Azure Monitor Logs deployment

Azure Monitor almacena los datos de registro en un área de trabajo de Log Analytics, que es un recurso de Azure y un contenedor en el que los datos se recopilan y se agregan, y que sirve como límite administrativo.Azure Monitor stores log data in a Log Analytics workspace, which is an Azure resource and a container where data is collected, aggregated, and serves as an administrative boundary. Aunque puede implementar una o varias áreas de trabajo en su suscripción de Azure, hay varios aspectos que debe comprender para asegurarse de que la implementación inicial sigue nuestras instrucciones con el fin de que resulte una implementación rentable, fácil de administrar y escalable que satisfaga las necesidades de su organización.While you can deploy one or more workspaces in your Azure subscription, there are several considerations you should understand in order to ensure your initial deployment is following our guidelines to provide you with a cost effective, manageable, and scalable deployment meeting your organization's needs.

En las áreas de trabajo, los datos se organizan en tablas, cada una de las cuales almacena distintos tipos de datos y tiene su conjunto exclusivo de propiedades según el recurso que genere los datos.Data in a workspace is organized into tables, each of which stores different kinds of data and has its own unique set of properties based on the resource generating the data. En un área de trabajo Log Analytics, la mayoría de los orígenes de datos escribirán en sus propias tablas.Most data sources will write to their own tables in a Log Analytics workspace.

Modelo de datos del área de trabajo de ejemplo

Un área de trabajo de Log Analytics proporciona lo siguiente:A Log Analytics workspace provides:

  • Una ubicación geográfica para el almacenamiento de datos.A geographic location for data storage.
  • Aislamiento de datos, ya que se conceden diferentes derechos de acceso a los usuarios en base a una de nuestras estrategias de diseño recomendadas.Data isolation by granting different users access rights following one of our recommended design strategies.
  • Ámbito para la configuración de opciones, como el plan de tarifa, la retención y el límite de datos.Scope for configuration of settings like pricing tier, retention, and data capping.

Las áreas de trabajo se hospedan en clústeres físicos.Workspaces are hosted on a physical clusters. De forma predeterminada, el sistema crea y administra estos clústeres.By default, the system is creating and managing these clusters. Se espera que los clientes que ingieran más de 4 TB al día creen sus propios clústeres dedicados para sus áreas de trabajo, lo que les permitirá tener un mejor control y una mayor tasa de ingesta.Customers that ingest more than 4TB/day are expected to create their own dedicated clusters for their workspaces - it enables them better control and higher ingestion rate.

En este artículo se proporciona información general detallada acerca de las consideraciones de diseño y migración, información general sobre el control de acceso y una descripción de las implementaciones de diseño que recomendamos para su organización de TI.This article provides a detailed overview of the design and migration considerations, access control overview, and an understanding of the design implementations we recommend for your IT organization.

Consideraciones importantes para una estrategia de control de accesoImportant considerations for an access control strategy

La identificación del número de áreas de trabajo que necesita se ve afectada por uno o varios de los siguientes requisitos:Identifying the number of workspaces you need is influenced by one or more of the following requirements:

  • Una empresa internacional que necesita que los datos de registro estén almacenados en regiones concretas por motivos de soberanía de datos o cumplimiento normativo.You are a global company and you need log data stored in specific regions for data sovereignty or compliance reasons.
  • Un usuario de Azure que desea evitar los gastos de transferencia de datos de salida manteniendo un área de trabajo en la misma región que los recursos de Azure que administra.You are using Azure and you want to avoid outbound data transfer charges by having a workspace in the same region as the Azure resources it manages.
  • Administra varios departamentos o grupos de negocio y desea que cada uno de ellos vea sus propios datos, pero no los de los demás.You manage multiple departments or business groups, and you want each to see their own data, but not data from others. Además, no hay ningún requisito empresarial para las vistas consolidadas entre los distintos grupos de negocio o departamentos.Also, there is no business requirement for a consolidated cross department or business group view.

En la actualidad, las organizaciones de TI siguen modelos centralizados, descentralizados o usan una estructura híbrida.IT organizations today are modeled following either a centralized, decentralized, or an in-between hybrid of both structures. Como resultado, los siguientes modelos de implementación de áreas de trabajo se han usado normalmente para asignarse a una de estas estructuras organizativas:As a result, the following workspace deployment models have been commonly used to map to one of these organizational structures:

  • Centralizado: todos los registros se almacenan en un área de trabajo central y los administra un único equipo, y Azure Monitor proporcionar un acceso diferenciado por equipo.Centralized: All logs are stored in a central workspace and administered by a single team, with Azure Monitor providing differentiated access per-team. En este escenario, es fácil administrar, buscar en los recursos y correlacionar registros entre ellos.In this scenario, it is easy to manage, search across resources, and cross-correlate logs. El área de trabajo puede crecer considerablemente en función de la cantidad de datos recopilados de varios recursos de la suscripción, lo que genera una sobrecarga administrativa adicional para mantener el control del acceso de los distintos usuarios.The workspace can grow significantly depending on the amount of data collected from multiple resources in your subscription, with additional administrative overhead to maintain access control to different users. Este modelo se conoce como "concentrador y radio".This model is known as "hub and spoke".
  • Descentralizado: cada equipo tiene su propia área de trabajo creada en un grupo de recursos que poseen y administran, y los datos de registro se segregan por recurso.Decentralized: Each team has their own workspace created in a resource group they own and manage, and log data is segregated per resource. En este escenario, el área de trabajo se puede mantener seguro y el control de acceso es coherente con el acceso de los recursos, pero es difícil correlacionar los registros.In this scenario, the workspace can be kept secure and access control is consistent with resource access, but it's difficult to cross-correlate logs. Los usuarios que necesitan una visión amplia de muchos recursos no pueden analizar los datos de forma significativa.Users who need a broad view of many resources cannot analyze the data in a meaningful way.
  • Híbrido: los requisitos de cumplimiento de auditorías de seguridad complican aún más este escenario, ya que muchas organizaciones implementan ambos modelos de implementación en paralelo.Hybrid: Security audit compliance requirements further complicate this scenario because many organizations implement both deployment models in parallel. Habitualmente, esto genera una configuración compleja, cara y difícil de mantener con brechas en la cobertura de los registros.This commonly results in a complex, expensive, and hard-to-maintain configuration with gaps in logs coverage.

Si se usan los agentes de Log Analytics para recopilar datos, es preciso conocer lo siguiente para planear la implementación de los agentes:When using the Log Analytics agents to collect data, you need to understand the following in order to plan your agent deployment:

  • Para recopilar datos de los agentes de Windows, puede configurar cada agente para que informe a una o varias áreas de trabajo, aun cuando informen a un grupo de administración de System Center Operations Manager.To collect data from Windows agents, you can configure each agent to report to one or more workspaces, even while it is reporting to a System Center Operations Manager management group. El agente de Windows puede notificar hasta cuatro áreas de trabajo.The Windows agent can report up to four workspaces.
  • El agente de Linux no admite el hospedaje múltiple y solo puede informar a un área de trabajo.The Linux agent does not support multi-homing and can only report to a single workspace.

Si usa System Center Operations Manager 2012 R2, o cualquier versión posterior:If you are using System Center Operations Manager 2012 R2 or later:

  • Cada grupo de administración de Operations Manager se puede conectar a una sola área de trabajo.Each Operations Manager management group can be connected to only one workspace.
  • Los equipos Linux que informan a un grupo de administración deben estar configurados para informar directamente a un área de trabajo Log Analytics.Linux computers reporting to a management group must be configured to report directly to a Log Analytics workspace. Si los equipos Linux ya están notificando directamente a un área de trabajo y desea supervisarlos con Operations Manager, siga estos para notificar a un grupo de administración de Operations Manager.If your Linux computers are already reporting directly to a workspace and you want to monitor them with Operations Manager, follow these steps to report to an Operations Manager management group.
  • El agente de Windows de Log Analytics se puede instalar en el equipo Windows y se le puede indicar que informe tanto a Operations Manager integrado con un área de trabajo como a otra área de trabajo.You can install the Log Analytics Windows agent on the Windows computer and have it report to both Operations Manager integrated with a workspace, and a different workspace.

Introducción al control de accesoAccess control overview

Con el control de acceso basado en rol (RBAC) puede conceder a los usuarios y grupos solo la cantidad de acceso que necesitan para trabajar con los datos de supervisión en un área de trabajo.With role-based access control (RBAC), you can grant users and groups only the amount of access they need to work with monitoring data in a workspace. Esto le permite alinearse con el modelo de funcionamiento de la organización de TI mediante el uso de una sola área de trabajo para almacenar los datos recopilados habilitada en todos los recursos.This allows you to align with your IT organization operating model using a single workspace to store collected data enabled on all your resources. Por ejemplo, puede conceder acceso al equipo responsable de los servicios de infraestructura hospedados en máquinas virtuales (VM) de Azure y, como consecuencia, este equipo solo tendrá acceso a los registros que hayan generados las máquinas virtuales.For example, you grant access to your team responsible for infrastructure services hosted on Azure virtual machines (VMs), and as a result they'll have access to only the logs generated by the VMs. Esto sigue nuestro nuevo modelo de registro del contexto de recursos.This is following our new resource-context log model. La base de este modelo es que cada entrada de registro que emite un recurso de Azure se asocia automáticamente con este recurso.The basis for this model is for every log record emitted by an Azure resource, it is automatically associated with this resource. Los registros se reenvían a un área de trabajo central que respeta el ámbito y el RBAC en función de los recursos.Logs are forwarded to a central workspace that respects scoping and RBAC based on the resources.

Los datos a los que un usuario tiene acceso vienen determinados por una combinación de factores que se enumeran en la tabla siguiente.The data a user has access to is determined by a combination of factors that are listed in the following table. Cada uno se describe en las secciones siguientes.Each is described in the sections below.

FactorFactor DescripciónDescription
Modo de accesoAccess mode Método que utiliza el usuario para acceder al área de trabajo.Method the user uses to access the workspace. Define el ámbito de los datos disponibles y el modo de control de acceso que se aplica.Defines the scope of the data available and the access control mode that's applied.
Modo de control de accesoAccess control mode Configuración en el área de trabajo que define si los permisos se aplican en el nivel de área de trabajo o recurso.Setting on the workspace that defines whether permissions are applied at the workspace or resource level.
PermisosPermissions Permisos aplicados a individuales o grupos de usuarios para el área de trabajo o el recurso.Permissions applied to individual or groups of users for the workspace or resource. Define los datos a los que el usuario tendrá acceso.Defines what data the user will have access to.
RBAC de nivel de tablaTable level RBAC Permisos granulares opcionales que se aplican a todos los usuarios independientemente de su modo de acceso o su modo de control de acceso.Optional granular permissions that apply to all users regardless of their access mode or access control mode. Define a qué tipos de datos puede tener acceso un usuario.Defines which data types a user can access.

Modo de accesoAccess mode

El modo de acceso hace referencia a cómo un usuario accede a un área de trabajo de Log Analytics y define el ámbito de datos al que puede tener acceso.The access mode refers to how a user accesses a Log Analytics workspace and defines the scope of data they can access.

Los usuarios tienen dos opciones para acceder a los datos:Users have two options for accessing the data:

  • Contexto del área de trabajo: puede ver todos los registros del área de trabajo para la que tiene permiso.Workspace-context: You can view all logs in the workspace you have permission to. Las consultas en este modo se limitan a todos los datos de todas las tablas en el área de trabajo.Queries in this mode are scoped to all data in all tables in the workspace. Este es el modo de acceso utilizado cuando se accede a los registros con el área de trabajo como ámbito, como cuando se selecciona Registros desde el menú Azure Monitor en Azure Portal.This is the access mode used when logs are accessed with the workspace as the scope, such as when you select Logs from the Azure Monitor menu in the Azure portal.

    Contexto de Log Analytics desde el área de trabajo

  • Contexto del recurso: al acceder al área de trabajo para un recurso, un grupo de recursos o una suscripción determinados (por ejemplo, cuando se selecciona Registros en un menú de recursos de Azure Portal), puede ver los registros solo de los recursos de todas las tablas a las que tiene acceso.Resource-context: When you access the workspace for a particular resource, resource group, or subscription, such as when you select Logs from a resource menu in the Azure portal, you can view logs for only resources in all tables that you have access to. Las consultas de este modo se limitan solo a los datos asociados a ese recurso.Queries in this mode are scoped to only data associated with that resource. Este modo también permite el RBAC pormenorizado.This mode also enables granular RBAC.

    Contexto de Log Analytics desde un recurso

    Nota

    Solo hay registros disponibles para las consultas de contexto del recurso si se asociaron correctamente al recurso pertinente.Logs are available for resource-context queries only if they were properly associated with the relevant resource. Actualmente, los siguientes recursos tienen limitaciones:Currently, the following resources have limitations:

    • Equipos fuera de AzureComputers outside of Azure
    • Service FabricService Fabric
    • Application InsightsApplication Insights

    Para probar si los registros están asociados correctamente con su recurso, puede ejecutar una consulta e inspeccionar los que le interesen.You can test if logs are properly associated with their resource by running a query and inspecting the records you're interested in. Si el identificador de recurso correcto se encuentra en la propiedad _ResourceId, los datos están disponibles para las consultas basadas en el recurso.If the correct resource ID is in the _ResourceId property, then data is available to resource-centric queries.

Azure Monitor determina automáticamente el modo correcto en función del contexto desde el que se realiza la búsqueda de registros.Azure Monitor automatically determines the right mode depending on the context you perform the log search from. El ámbito siempre se presenta en la sección superior izquierda de Log Analytics.The scope is always presented in the top-left section of Log Analytics.

Comparación de los modos de accesoComparing access modes

En la tabla siguiente se resumen los modos de acceso:The following table summarizes the access modes:

IncidenciaIssue Contexto del área de trabajoWorkspace-context Contexto del recursoResource-context
¿Para quién está pensado cada modelo?Who is each model intended for? Administración central.Central administration. Los administradores que tienen que configurar colecciones de datos y los usuarios que necesitan acceder a una amplia variedad de recursos.Administrators who need to configure data collection and users who need access to a wide variety of resources. También lo requieren actualmente los usuarios que necesitan acceder a registros de recursos fuera de Azure.Also currently required for users who need to access logs for resources outside of Azure. Equipos de la aplicación.Application teams. Los administradores de los recursos de Azure que se están supervisando.Administrators of Azure resources being monitored.
¿Qué requiere un usuario para ver los registros?What does a user require to view logs? Permisos para el área de trabajo.Permissions to the workspace. Vea los permisos del área de trabajo en Administración del acceso mediante los permisos del área de trabajo.See Workspace permissions in Manage access using workspace permissions. Acceso de lectura al recurso.Read access to the resource. Vea los permisos de los recursos en Administración del acceso mediante los permisos de Azure.See Resource permissions in Manage access using Azure permissions. Los permisos pueden ser heredados (por ejemplo, del grupo de recursos que los contenga) o son asignados directamente al recurso.Permissions can be inherited (such as from the containing resource group) or directly assigned to the resource. Se asignará automáticamente el permiso a los registros para el recurso.Permission to the logs for the resource will be automatically assigned.
¿Qué es el ámbito de los permisos?What is the scope of permissions? Área de trabajo.Workspace. Los usuarios con acceso al área de trabajo pueden consultar todos los registros de esa área de trabajo desde las tablas para las que tengan permisos.Users with access to the workspace can query all logs in the workspace from tables that they have permissions to. Consulte Control de acceso a la tablaSee Table access control Recurso de Azure.Azure resource. Un usuario puede consultar los registros de recursos, grupos de recursos o suscripciones específicos a los que tenga acceso desde cualquier área de trabajo, pero no puede consultar los registros de otros recursos.User can query logs for specific resources, resource groups, or subscription they have access to from any workspace but can't query logs for other resources.
¿Cómo puede el usuario acceder a los registros de acceso?How can user access logs?
  • Inicie Registros en el menú de Azure Monitor.Start Logs from Azure Monitor menu.
  • Inicie Registros desde Áreas de trabajo de Log Analytics.Start Logs from Log Analytics workspaces.
  • Inicie Registros en el menú para el recurso de AzureStart Logs from the menu for the Azure resource
  • Inicie Registros en el menú de Azure Monitor.Start Logs from Azure Monitor menu.
  • Inicie Registros desde Áreas de trabajo de Log Analytics.Start Logs from Log Analytics workspaces.

Modo de control de accesoAccess control mode

Modo de control de acceso es un valor que se encuentra en todas las áreas de trabajo y que define cómo se determinan los permisos para el área de trabajo.The Access control mode is a setting on each workspace that defines how permissions are determined for the workspace.

  • Requerir permisos de área de trabajo: este modo de control no admite RBAC granular.Require workspace permissions: This control mode does not allow granular RBAC. Para que un usuario pueda acceder al área de trabajo, debe tener permisos en el área de trabajo o en tablas específicas.For a user to access the workspace, they must be granted permissions to the workspace or to specific tables.

    Si un usuario accede al área de trabajo en el modo de contexto del área de trabajo, tendrá acceso a todos los datos de todas las tablas a las que se le haya concedido acceso.If a user accesses the workspace following the workspace-context mode, they have access to all data in any table they've been granted access to. Si un usuario accede al área de trabajo en el modo de contexto del recurso, tendrá acceso solo a los datos de ese recurso en todas las tablas a las que se le haya concedido acceso.If a user accesses the workspace following the resource-context mode, they have access to only data for that resource in any table they've been granted access to.

    Se trata de la configuración predeterminada para todas las áreas de trabajo creadas antes de marzo de 2019.This is the default setting for all workspaces created before March 2019.

  • Usar permisos de recurso o de área de trabajo: este modo de control permite RBAC granular.Use resource or workspace permissions: This control mode allows granular RBAC. A los usuarios se les puede conceder acceso solo a los datos asociados a los recursos que pueden ver mediante la asignación del permiso read de Azure.Users can be granted access to only data associated with resources they can view by assigning Azure read permission.

    Cuando un usuario accede al área de trabajo en modo contexto del área de trabajo, se aplican los permisos del área de trabajo.When a user accesses the workspace in workspace-context mode, workspace permissions apply. Cuando un usuario accede al área de trabajo en modo contexto del recurso, solo se comprueban los permisos de los recursos y se omiten los del área de trabajo.When a user accesses the workspace in resource-context mode, only resource permissions are verified, and workspace permissions are ignored. Para habilitar RBAC para un usuario, quítelos de los permisos del área de trabajo y permita que sus permisos de recursos sean reconocidos.Enable RBAC for a user by removing them from workspace permissions and allowing their resource permissions to be recognized.

    Se trata de la configuración predeterminada para todas las áreas de trabajo creadas después de marzo de 2019.This is the default setting for all workspaces created after March 2019.

    Nota

    Si un usuario solo tiene permisos de recurso en el área de trabajo, solo podrá acceder al área de trabajo mediante el modo contexto del recurso, siempre que el modo de acceso al área de trabajo esté establecido en Usar permisos de recurso o de área de trabajo.If a user has only resource permissions to the workspace, they are only able to access the workspace using resource-context mode assuming the workspace access mode is set to Use resource or workspace permissions.

Para obtener información sobre cómo cambiar el modo de control de acceso en el portal, con PowerShell o mediante una plantilla de Resource Manager, vea Configuración del modo de control de acceso.To learn how to change the access control mode in the portal, with PowerShell, or using a Resource Manager template, see Configure access control mode.

Escala y límite de la velocidad de ingestaScale and ingestion volume rate limit

Azure Monitor es un servicio de datos a gran escala que atiende a miles de clientes que envían petabytes de datos cada mes a un ritmo creciente.Azure Monitor is a high scale data service that serves thousands of customers sending petabytes of data each month at a growing pace. El espacio de almacenamiento de las áreas de trabajo no está limitado y puede crecer hasta petabytes de datos.Workspaces are not limited in their storage space and can grow to petabytes of data. No es necesario dividir las áreas de trabajo debido a su escala.There is no need to split workspaces due to scale.

Para proteger y aislar a los clientes de Azure Monitor y su infraestructura de back-end, hay un límite predeterminado de velocidad de ingesta, diseñado para protegerse de situaciones de picos y desbordamientos.To protect and isolate Azure Monitor customers and its backend infrastructure, there is a default ingestion rate limit that is designed to protect from spikes and floods situations. El valor predeterminado del límite de velocidad es de unos 6 GB/minuto, y está diseñado para permitir una ingesta normal.The rate limit default is about 6 GB/minute and is designed to enable normal ingestion. Para más información sobre la medida del límite de volumen de ingesta, consulte Límites del servicio Azure Monitor.For more details on ingestion volume limit measurement, see Azure Monitor service limits.

Los clientes que ingieran menos de 4 TB al día normalmente no alcanzarán estos límites.Customers that ingest less than 4TB/day will usually not meet these limits. Los clientes que ingieran volúmenes mayores o que tengan picos como parte de sus operaciones normales deben considerar la posibilidad de cambiar a clústeres dedicados en los que se pueda aumentar el límite de velocidad de ingesta.Customers that ingest higher volumes or that have spikes as part of their normal operations shall consider moving to dedicated clusters where the ingestion rate limit could be raised.

Cuando se activa el límite de velocidad de ingesta o se alcanza el 80 % del umbral, se agrega un evento a la tabla Operación del área de trabajo.When the ingestion rate limit is activated or get to 80% of the threshold, an event is added to the Operation table in your workspace. Se recomienda supervisarlo y crear una alerta.It is recommended to monitor it and create an alert. Consulte más detalles sobre la tasa de volumen de ingesta de datos.See more details in data ingestion volume rate.

RecomendacionesRecommendations

Ejemplo de diseño de contexto del recurso

En este escenario se trata un diseño de un área de trabajo único de la suscripción de una organización de TI que no está restringido por la soberanía de los datos ni por el cumplimiento normativo, o bien que debe asignarse a las regiones en las que se implementan los recursos.This scenario covers a single workspace design in your IT organization's subscription that is not constrained by data sovereignty or regulatory compliance, or needs to map to the regions your resources are deployed within. Brinda a los equipos de administración de seguridad y de TI de la organización la posibilidad de sacar provecho de la integración mejorada con la administración del acceso de Azure y un control de acceso más seguro.It allows your organization's security and IT admin teams the ability to leverage the improved integration with Azure access management and more secure access control.

Todos los recursos, las soluciones de supervisión y la información, como Application Insights y Azure Monitor para VM, que dan soporte tanto a la infraestructura como a las aplicaciones que mantienen los diferentes equipos están configurados para reenviar los datos de registro que recopilan al área de trabajo compartida centralizada de la organización de TI.All resources, monitoring solutions, and Insights such as Application Insights and Azure Monitor for VMs, supporting infrastructure and applications maintained by the different teams are configured to forward their collected log data to the IT organization's centralized shared workspace. A los usuarios de cada equipo se les concede acceso a los registros de los recursos a los que se les ha dado acceso.Users on each team are granted access to logs for resources they have been given access to.

Una vez que haya implementado la arquitectura del área de trabajo, puede aplicarla a los recursos de Azure con Azure Policy.Once you have deployed your workspace architecture, you can enforce this on Azure resources with Azure Policy. Proporciona una forma de definir directivas y garantizar el cumplimiento de los recursos de Azure para que envíen todos los registros de recursos a un área de trabajo específica.It provides a way to define policies and ensure compliance with your Azure resources so they send all their resource logs to a particular workspace. Por ejemplo, en el caso de las máquinas virtuales de Azure o los conjuntos de escalado de máquinas virtuales, puede usar las directivas existentes que evalúan el cumplimiento del área de trabajo y los resultados de los informes, o bien personalizarlas para tomas las medidas necesarias si no lo cumplen.For example, with Azure virtual machines or virtual machine scale sets, you can use existing policies that evaluate workspace compliance and report results, or customize to remediate if non-compliant.

Estrategia de migración de la consolidación de áreas de trabajoWorkspace consolidation migration strategy

En el caso de los clientes que ya han implementado varias áreas de trabajo y están interesados en consolidar el modelo de acceso de contexto del recurso, se recomienda adoptar un enfoque incremental para migrar al modelo de acceso recomendado y no intentar hacerlo de forma rápida o agresiva.For customers who have already deployed multiple workspaces and are interested in consolidating to the resource-context access model, we recommend you take an incremental approach to migrate to the recommended access model, and you don't attempt to achieve this quickly or aggressively. Seguir un enfoque por fases para realizar el planeamiento, la migración, la validación y la retirada siguiendo una escala de tiempo razonable ayudará a evitar incidentes no planeado o un impacto inesperado en las operaciones en la nube.Following a phased approach to plan, migrate, validate, and retire following a reasonable timeline will help avoid any unplanned incidents or unexpected impact to your cloud operations. Si no tiene una directiva de retención de datos por motivos empresariales o de cumplimiento, debe evaluar el período adecuado durante el que se deben conservar los datos en el área de trabajo desde la que va a realizar la migración durante el proceso.If you do not have a data retention policy for compliance or business reasons, you need to assess the appropriate length of time to retain data in the workspace you are migrating from during the process. Mientras reconfigura los recursos para informar al área de trabajo compartida, puede analizar los datos del área de trabajo original según sea necesario.While you are reconfiguring resources to report to the shared workspace, you can still analyze the data in the original workspace as necessary. Una vez completada la migración, si se deben conservar los datos en el área de trabajo original antes del final del período de retención, no los elimine.Once the migration is complete, if you're governed to retain data in the original workspace before the end of the retention period, don't delete it.

Al planear la migración a este modelo, tenga en cuenta lo siguiente:While planning your migration to this model, consider the following:

  • Sepa qué normativas del sector y directivas internas relativas a la retención de datos debe cumplir.Understand what industry regulations and internal policies regarding data retention you must comply with.
  • Asegúrese de que los equipos de aplicaciones pueden trabajar en la funcionalidad de contexto del recurso existente.Make sure that your application teams can work within the existing resource-context functionality.
  • Identifique el acceso concedido a los recursos de los equipos de aplicaciones y haga las pruebas necesarias en un entorno de desarrollo antes de realizar la implementación en producción.Identify the access granted to resources for your application teams and test in a development environment before implementing in production.
  • Configure el área de para habilitar Usar permisos de recurso o de área de trabajo .Configure the workspace to enable Use resource or workspace permissions.
  • Retire a los equipos de aplicaciones el permiso para leer y consultar el área de trabajo.Remove application teams permission to read and query the workspace.
  • Habilite y configure las soluciones de supervisión, información como Azure Monitor para contenedores o Azure Monitor para VM, las cuentas de Automation y las soluciones de administración como Update Management, iniciar o detener máquinas virtuales, etc., que se implementaron en el área de trabajo original.Enable and configure any monitoring solutions, Insights such as Azure Monitor for containers and/or Azure Monitor for VMs, your Automation account(s), and management solutions such as Update Management, Start/Stop VMs, etc., that were deployed in the original workspace.

Pasos siguientesNext steps

Para implementar los permisos y controles de seguridad que se recomiendan en esta guía, consulte el artículo relativo a la administración del acceso a los registros.To implement the security permissions and controls recommended in this guide, review manage access to logs.