Az Azure Monitor-naplók üzembe helyezésének megtervezéseDesigning your Azure Monitor Logs deployment

A Azure Monitor egy Log Analytics-munkaterületen tárolja a napló adatokat, amely egy Azure-erőforrás, valamint egy olyan tároló, amelybe az adatok gyűjtése, összesítése és felügyeleti határként szolgál.Azure Monitor stores log data in a Log Analytics workspace, which is an Azure resource and a container where data is collected, aggregated, and serves as an administrative boundary. Noha az Azure-előfizetésben egy vagy több munkaterületet is üzembe helyezhet, több szempontot is figyelembe kell vennie, hogy a kezdeti üzembe helyezést kövesse az irányelvek alapján, hogy költséghatékony, felügyelhető és skálázható üzembe helyezést biztosítson a szervezet igényeinek megfelelően.While you can deploy one or more workspaces in your Azure subscription, there are several considerations you should understand in order to ensure your initial deployment is following our guidelines to provide you with a cost effective, manageable, and scalable deployment meeting your organization's needs.

A munkaterületen lévő adatkészletek táblázatokba vannak rendezve, amelyek mindegyike különböző típusú adattípusokat tárol, és saját tulajdonságokkal rendelkezik, amelyek az adatforrást generáló erőforráson alapulnak.Data in a workspace is organized into tables, each of which stores different kinds of data and has its own unique set of properties based on the resource generating the data. A legtöbb adatforrás a saját tábláiba fog írni egy Log Analytics munkaterületen.Most data sources will write to their own tables in a Log Analytics workspace.

Példa a munkaterület adatmodelljére

A Log Analytics munkaterület A következőket biztosítja:A Log Analytics workspace provides:

  • Az adattárolás földrajzi helye.A geographic location for data storage.
  • Az adatelkülönítés azáltal, hogy az ajánlott tervezési stratégiák alapján különböző felhasználói hozzáférési jogosultságokat biztosít.Data isolation by granting different users access rights following one of our recommended design strategies.
  • A beállítások konfigurációjának hatóköre, például az árképzési szintek, a megőrzésés az adatok maximálisszáma.Scope for configuration of settings like pricing tier, retention, and data capping.

A munkaterületek fizikai fürtökön futnak.Workspaces are hosted on physical clusters. Alapértelmezés szerint a rendszer létrehozza és kezeli ezeket a fürtöket.By default, the system is creating and managing these clusters. Azok az ügyfelek, akik több mint 4TB töltöttek be, saját dedikált fürtöket szeretnének létrehozni a munkaterületeik számára – lehetővé teszik, hogy jobb szabályozást és magasabb betöltési sebességet nyújtsanak.Customers that ingest more than 4TB/day are expected to create their own dedicated clusters for their workspaces - it enables them better control and higher ingestion rate.

Ez a cikk részletes áttekintést nyújt a tervezési és áttelepítési megfontolásokról, a hozzáférés-vezérlés áttekintéséről, valamint az informatikai szervezet számára ajánlott tervezési megvalósítások megismeréséről.This article provides a detailed overview of the design and migration considerations, access control overview, and an understanding of the design implementations we recommend for your IT organization.

A hozzáférés-vezérlési stratégia fontos szempontjaiImportant considerations for an access control strategy

A szükséges munkaterületek számának azonosításához az alábbi követelmények közül egyet vagy többet kell megadnia:Identifying the number of workspaces you need is influenced by one or more of the following requirements:

  • Ön globális vállalat, és az adatszuverenitási vagy megfelelőségi okokból az adott régiókban tárolt adatnaplózási adataira van szüksége.You are a global company and you need log data stored in specific regions for data sovereignty or compliance reasons.
  • Az Azure-t használja, és a kimenő adatátviteli díjak elkerülése érdekében ugyanabban a régióban szeretne létesíteni egy munkaterületet, amelyikben az általa kezelt Azure-erőforrás is található.You are using Azure and you want to avoid outbound data transfer charges by having a workspace in the same region as the Azure resources it manages.
  • Több részleget vagy üzleti csoportot is kezelhet, és azt szeretné, hogy mindegyikük láthassa a saját adatait, de másoktól nem.You manage multiple departments or business groups, and you want each to see their own data, but not data from others. Emellett a konszolidált részleg vagy az üzleti csoport nézet esetében nem szükséges üzleti követelmény.Also, there is no business requirement for a consolidated cross department or business group view.

Az informatikai szervezetek jelenleg a következő modelleken alapulnak: központosított, decentralizált, vagy a hibrid mindkét struktúrában.IT organizations today are modeled following either a centralized, decentralized, or an in-between hybrid of both structures. Ennek eredményeképpen az alábbi munkaterület-telepítési modelleket gyakran használták a következő szervezeti struktúrák egyikének leképezésére:As a result, the following workspace deployment models have been commonly used to map to one of these organizational structures:

  • Központosított: a rendszer minden naplót egy központi munkaterületen tárol, és egyetlen csapat felügyeli, és Azure monitor a különböző csoportok számára differenciált hozzáférést biztosít.Centralized: All logs are stored in a central workspace and administered by a single team, with Azure Monitor providing differentiated access per-team. Ebben a forgatókönyvben könnyen kezelhető, kereshetők az erőforrások, és többek között a naplók.In this scenario, it is easy to manage, search across resources, and cross-correlate logs. A munkaterület jelentős mértékben nőhet az előfizetés több erőforrása által gyűjtött adatok mennyiségétől függően, és további adminisztratív terhelést biztosít a hozzáférés-vezérlés különböző felhasználókhoz való fenntartásához.The workspace can grow significantly depending on the amount of data collected from multiple resources in your subscription, with additional administrative overhead to maintain access control to different users. Ez a modell "hub és küllő" néven ismert.This model is known as "hub and spoke".
  • Decentralizált: minden csapatnak saját munkaterülete van létrehozva egy saját és felügyelt erőforráscsoporthoz, és az adatnaplók erőforrásai elkülönítve vannak.Decentralized: Each team has their own workspace created in a resource group they own and manage, and log data is segregated per resource. Ebben az esetben a munkaterület biztonságos, és a hozzáférés-vezérlés konzisztens az erőforrás-hozzáféréssel, de a naplók összekapcsolását nehéz kezelni.In this scenario, the workspace can be kept secure and access control is consistent with resource access, but it's difficult to cross-correlate logs. A sok erőforrás széles körű nézetét igénylő felhasználóknak nem lehet értelmes módon elemezni az adatelemzést.Users who need a broad view of many resources cannot analyze the data in a meaningful way.
  • Hibrid: a biztonsági audit megfelelőségi követelményei tovább bonyolítják ezt a forgatókönyvet, mivel számos szervezet párhuzamosan implementálja mindkét üzemi modellt.Hybrid: Security audit compliance requirements further complicate this scenario because many organizations implement both deployment models in parallel. Ez gyakran összetett, költséges és nehezen karbantartható konfigurációt eredményez a naplók lefedettségének hiányában.This commonly results in a complex, expensive, and hard-to-maintain configuration with gaps in logs coverage.

Ha a Log Analytics ügynököket használja az adatok gyűjtésére, az ügynök üzembe helyezésének megtervezéséhez a következőket kell megismernie:When using the Log Analytics agents to collect data, you need to understand the following in order to plan your agent deployment:

  • A Windows-ügynököktől származó adatok összegyűjtéséhez beállíthatja, hogy az egyes ügynökök egy vagy több munkaterületnek jelentsenek, még akkor is, ha System Center Operations Manager felügyeleti csoportnak jelentenek jelentést.To collect data from Windows agents, you can configure each agent to report to one or more workspaces, even while it is reporting to a System Center Operations Manager management group. A Windows-ügynök legfeljebb négy munkaterületet tud jelenteni.The Windows agent can report up to four workspaces.
  • A Linux-ügynök nem támogatja a többsoros vezérlést, és csak egyetlen munkaterületre tud jelentést készíteni.The Linux agent does not support multi-homing and can only report to a single workspace.

Ha System Center Operations Manager 2012 R2 vagy újabb verziót használ:If you are using System Center Operations Manager 2012 R2 or later:

  • Az egyes Operations Manager felügyeleti csoportok csak egy munkaterülethez csatlakoztathatók.Each Operations Manager management group can be connected to only one workspace.
  • A felügyeleti csoportnak jelentést küldő linuxos számítógépeket úgy kell konfigurálni, hogy közvetlenül egy Log Analytics munkaterületre jelentsenek.Linux computers reporting to a management group must be configured to report directly to a Log Analytics workspace. Ha a Linux rendszerű számítógépek már közvetlenül egy munkaterületre vannak bejelentve, és Operations Manager szeretné figyelni őket, kövesse az alábbi lépéseket egy Operations Manager felügyeleti csoportnak való jelentéskészítéshez.If your Linux computers are already reporting directly to a workspace and you want to monitor them with Operations Manager, follow these steps to report to an Operations Manager management group.
  • Telepítheti a Log Analytics Windows-ügynököt a Windows rendszerű számítógépre, és jelentést készíthet mind a munkaterülettel integrált Operations Manager, mind pedig egy másik munkaterületről.You can install the Log Analytics Windows agent on the Windows computer and have it report to both Operations Manager integrated with a workspace, and a different workspace.

A hozzáférés-vezérlés áttekintéseAccess control overview

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével a felhasználók és csoportok csak a munkaterületen lévő figyelési adathoz szükséges hozzáférés mennyiségét biztosíthatják.With Azure role-based access control (Azure RBAC), you can grant users and groups only the amount of access they need to work with monitoring data in a workspace. Ez lehetővé teszi, hogy egyetlen munkaterülettel igazítsa az informatikai szervezet működési modelljéhez, hogy az összegyűjtött adatok az összes erőforráson engedélyezve legyenek.This allows you to align with your IT organization operating model using a single workspace to store collected data enabled on all your resources. Például hozzáférést biztosíthat az Azure Virtual Machines szolgáltatásban üzemeltetett infrastruktúra-szolgáltatásokért felelős csapatának, és ennek eredményeképpen csak a virtuális gépek által létrehozott naplókhoz férhet hozzá.For example, you grant access to your team responsible for infrastructure services hosted on Azure virtual machines (VMs), and as a result they'll have access to only the logs generated by the VMs. Ez az új erőforrás-kontextusú naplózási modellt követi.This is following our new resource-context log model. Ennek a modellnek az alapja az Azure-erőforrások által kibocsátott összes naplózási rekord, amelyet a rendszer automatikusan társít ehhez az erőforráshoz.The basis for this model is for every log record emitted by an Azure resource, it is automatically associated with this resource. A naplók továbbítása egy központi munkaterületre történik, amely az erőforrások alapján a hatókört és az Azure-RBAC tiszteletben tartja.Logs are forwarded to a central workspace that respects scoping and Azure RBAC based on the resources.

A felhasználóhoz hozzáférő adatok az alábbi táblázatban felsorolt tényezők kombinációjával vannak meghatározva.The data a user has access to is determined by a combination of factors that are listed in the following table. Mindegyiket az alábbi szakasz ismerteti.Each is described in the sections below.

SzempontFactor LeírásDescription
Hozzáférési módAccess mode A felhasználó által a munkaterület eléréséhez használt metódus.Method the user uses to access the workspace. Meghatározza az elérhető adatmennyiséget és az alkalmazott hozzáférés-vezérlési módot.Defines the scope of the data available and the access control mode that's applied.
Hozzáférés-vezérlési módAccess control mode A munkaterületre vonatkozó beállítás, amely meghatározza, hogy a rendszer az engedélyeket a munkaterületen vagy az erőforrás szintjén alkalmazza-e.Setting on the workspace that defines whether permissions are applied at the workspace or resource level.
EngedélyekPermissions A munkaterülethez vagy erőforráshoz tartozó egyéni vagy felhasználói csoportokra alkalmazott engedélyek.Permissions applied to individual or groups of users for the workspace or resource. Meghatározza, hogy a felhasználó milyen adatelérési pontokhoz férhet hozzá.Defines what data the user will have access to.
Táblázat szintű Azure-RBACTable level Azure RBAC Választható részletes engedélyek, amelyek az összes felhasználóra érvényesek, függetlenül azok hozzáférési módjától vagy hozzáférés-vezérlési módjától.Optional granular permissions that apply to all users regardless of their access mode or access control mode. Meghatározza, hogy a felhasználó mely adattípusokhoz férhet hozzá.Defines which data types a user can access.

Hozzáférési módAccess mode

A hozzáférési mód arra utal, hogy a felhasználó hogyan fér hozzá egy log Analytics munkaterülethez, és meghatározza az általuk elérhetővé vált adatmennyiséget.The access mode refers to how a user accesses a Log Analytics workspace and defines the scope of data they can access.

A felhasználók két lehetőség közül választhatnak az adatok eléréséhez:Users have two options for accessing the data:

  • Munkaterület – környezet: megtekintheti a munkaterületen található összes olyan naplót, amely jogosult a szolgáltatásra.Workspace-context: You can view all logs in the workspace you have permission to. Az ebben a módban lévő lekérdezések hatóköre a munkaterület összes tábláján lévő összes értékre vonatkozik.Queries in this mode are scoped to all data in all tables in the workspace. Ez a hozzáférési mód akkor használható, ha a naplók a munkaterülettel való hozzáférés hatókörként vannak megadva, például ha a Azure Portal Azure monitor menüjében a naplók elemet választja.This is the access mode used when logs are accessed with the workspace as the scope, such as when you select Logs from the Azure Monitor menu in the Azure portal.

    Log Analytics környezet a munkaterületről

  • Erőforrás-környezet: Ha egy adott erőforráshoz, erőforráscsoporthoz vagy előfizetéshez fér hozzá a munkaterülethez, például amikor kiválasztja a naplók elemet a Azure Portal erőforrás menüjéből, megtekintheti a naplókat az összes olyan táblában lévő erőforráshoz, amelyhez hozzáfér.Resource-context: When you access the workspace for a particular resource, resource group, or subscription, such as when you select Logs from a resource menu in the Azure portal, you can view logs for only resources in all tables that you have access to. Az ebben a módban lévő lekérdezések hatóköre csak az adott erőforráshoz társított adatmennyiségre vonatkozik.Queries in this mode are scoped to only data associated with that resource. Ez a mód lehetővé teszi a részletes Azure-RBAC használatát is.This mode also enables granular Azure RBAC.

    Log Analytics környezet erőforrásból

    Megjegyzés

    A naplók csak akkor érhetők el erőforrás-környezeti lekérdezésekhez, ha megfelelően vannak társítva az adott erőforráshoz.Logs are available for resource-context queries only if they were properly associated with the relevant resource. Jelenleg az alábbi erőforrások korlátai vannak:Currently, the following resources have limitations:

    Ellenőrizheti, hogy a naplók megfelelően vannak-e társítva az erőforráshoz egy lekérdezés futtatásával és a kívánt rekordok vizsgálatával.You can test if logs are properly associated with their resource by running a query and inspecting the records you're interested in. Ha a megfelelő erőforrás-azonosító a _ResourceId tulajdonságban van, akkor az adatok elérhetők az erőforrás-központú lekérdezések számára.If the correct resource ID is in the _ResourceId property, then data is available to resource-centric queries.

A Azure Monitor automatikusan meghatározza a megfelelő módot attól függően, hogy milyen kontextusban végzi a napló keresését.Azure Monitor automatically determines the right mode depending on the context you perform the log search from. A hatókör mindig a Log Analytics bal felső részén jelenik meg.The scope is always presented in the top-left section of Log Analytics.

Hozzáférési módok összehasonlításaComparing access modes

A következő táblázat összefoglalja a hozzáférési módokat:The following table summarizes the access modes:

ProblémaIssue Munkaterület-környezetWorkspace-context Erőforrás-környezetResource-context
Kik az egyes modellek?Who is each model intended for? Központi felügyelet.Central administration. Azok a rendszergazdák, akiknek olyan adatgyűjtést és felhasználókat kell konfigurálniuk, akiknek számos erőforráshoz kell hozzáféréssel rendelkezniük.Administrators who need to configure data collection and users who need access to a wide variety of resources. Jelenleg olyan felhasználók számára is szükséges, akiknek az Azure-on kívüli erőforrásokhoz is hozzá kell férniük.Also currently required for users who need to access logs for resources outside of Azure. Alkalmazás-csapatok.Application teams. A figyelt Azure-erőforrások rendszergazdái.Administrators of Azure resources being monitored.
Mire van szükség a felhasználók számára a naplók megtekintéséhez?What does a user require to view logs? Engedélyeket a munkaterületre.Permissions to the workspace. Lásd: munkaterület-engedélyek a hozzáférés kezelése munkaterület-engedélyek használatával.See Workspace permissions in Manage access using workspace permissions. Olvasási hozzáférés az erőforráshoz.Read access to the resource. Lásd: erőforrás-engedélyek a hozzáférés kezelése Azure-engedélyekkel.See Resource permissions in Manage access using Azure permissions. Az engedélyek örökölhető (például a tartalmazó erőforráscsoporthoz) vagy közvetlenül az erőforráshoz rendelve.Permissions can be inherited (such as from the containing resource group) or directly assigned to the resource. A rendszer automatikusan hozzárendeli az erőforrás naplóihoz tartozó engedélyeket.Permission to the logs for the resource will be automatically assigned.
Mi az engedélyek hatóköre?What is the scope of permissions? Munkaterület.Workspace. A munkaterülethez hozzáféréssel rendelkező felhasználók a munkaterületen lévő összes naplót le tudják kérdezni azokról a táblákról, amelyekhez engedéllyel rendelkeznek.Users with access to the workspace can query all logs in the workspace from tables that they have permissions to. Lásd: Table Access ControlSee Table access control Azure-erőforrás.Azure resource. A felhasználó bármely munkaterületről lekérdezheti az egyes erőforrások, erőforráscsoportok vagy előfizetések naplóit, de más erőforrásokhoz nem tud naplókat lekérdezni.User can query logs for specific resources, resource groups, or subscription they have access to from any workspace but can't query logs for other resources.
Hogyan férhet hozzá a felhasználói naplókhoz?How can user access logs?
  • Naplók indítása Azure monitor menüből.Start Logs from Azure Monitor menu.
  • Naplók indítása log Analytics munkaterületekről.Start Logs from Log Analytics workspaces.
  • Naplók indítása az Azure-erőforrás menüjébőlStart Logs from the menu for the Azure resource
  • Naplók indítása Azure monitor menüből.Start Logs from Azure Monitor menu.
  • Naplók indítása log Analytics munkaterületekről.Start Logs from Log Analytics workspaces.

Hozzáférés-vezérlési módAccess control mode

A hozzáférés-vezérlési mód az egyes munkaterületeken olyan beállítás, amely meghatározza, hogy a munkaterület hogyan határozza meg az engedélyeket.The Access control mode is a setting on each workspace that defines how permissions are determined for the workspace.

  • Munkaterület-engedélyek megkövetelése: Ez a vezérlési mód nem teszi lehetővé a részletes Azure-RBAC használatát.Require workspace permissions: This control mode does not allow granular Azure RBAC. Ahhoz, hogy egy felhasználó hozzáférhessen a munkaterülethez, engedélyeket kell adni a munkaterülethez vagy adott táblákhoz.For a user to access the workspace, they must be granted permissions to the workspace or to specific tables.

    Ha a felhasználó a munkaterület környezetét követően fér hozzá a munkaterülethez, akkor az összes olyan táblában lévő adattal hozzáférhet, amelyhez hozzáférést kapott.If a user accesses the workspace following the workspace-context mode, they have access to all data in any table they've been granted access to. Ha a felhasználó az erőforrás-kontextus mód követése után fér hozzá a munkaterülethez, az adott erőforráshoz tartozó összes olyan táblában hozzáfér, amelyhez hozzáférést kapott.If a user accesses the workspace following the resource-context mode, they have access to only data for that resource in any table they've been granted access to.

    Ez az alapértelmezett beállítás az összes olyan munkaterülethez, amelyet a március 2019. előtt hoztak létre.This is the default setting for all workspaces created before March 2019.

  • Erőforrás-vagy munkaterület-engedélyek használata: Ez a vezérlési mód lehetővé teszi a részletes Azure-RBAC.Use resource or workspace permissions: This control mode allows granular Azure RBAC. A felhasználók csak olyan erőforrásokhoz férhetnek hozzá, amelyekhez az Azure-engedély hozzárendelésével megtekinthetők read .Users can be granted access to only data associated with resources they can view by assigning Azure read permission.

    Ha a felhasználó munkaterület-környezet módban fér hozzá a munkaterülethez, a rendszer a munkaterület engedélyeit alkalmazza.When a user accesses the workspace in workspace-context mode, workspace permissions apply. Ha a felhasználó erőforrás-kontextus módban fér hozzá a munkaterülethez, a rendszer csak az erőforrás-engedélyeket ellenőrzi, és a munkaterület-engedélyeket figyelmen kívül hagyja.When a user accesses the workspace in resource-context mode, only resource permissions are verified, and workspace permissions are ignored. Engedélyezze az Azure RBAC a felhasználók számára a munkaterület engedélyeiből való eltávolításával, valamint az erőforrás-engedélyeik felismerésének engedélyezésével.Enable Azure RBAC for a user by removing them from workspace permissions and allowing their resource permissions to be recognized.

    Ez az alapértelmezett beállítás minden, a március 2019. után létrehozott munkaterülethez.This is the default setting for all workspaces created after March 2019.

    Megjegyzés

    Ha egy felhasználó csak erőforrás-jogosultságokkal rendelkezik a munkaterülethez, csak az erőforrás-környezet mód használatával férhetnek hozzá a munkaterülethez, feltételezve, hogy a munkaterület-hozzáférési mód erőforrás-vagy munkaterület-engedélyek használatára van beállítva.If a user has only resource permissions to the workspace, they are only able to access the workspace using resource-context mode assuming the workspace access mode is set to Use resource or workspace permissions.

A hozzáférés-vezérlési mód a portálon, a PowerShell-lel vagy a Resource Manager-sablonok használatával történő módosításáról további információt a hozzáférés-vezérlési mód konfigurálásacímű témakörben talál.To learn how to change the access control mode in the portal, with PowerShell, or using a Resource Manager template, see Configure access control mode.

Méretezési és betöltési mennyiség maximális számaScale and ingestion volume rate limit

A Azure Monitor egy nagy léptékű adatszolgáltatás, amely több ezer ügyfelet kínál a havonta petabájt adatokat.Azure Monitor is a high scale data service that serves thousands of customers sending petabytes of data each month at a growing pace. A munkaterületek nem korlátozódnak a tárolóhelyre, és az petabájt is növekednek.Workspaces are not limited in their storage space and can grow to petabytes of data. A munkaterületek méretezés miatt nem szükségesek a felosztáshoz.There is no need to split workspaces due to scale.

Az ügyfelek és a háttér-infrastruktúra Azure Monitorának és elkülönítésének biztosításához egy alapértelmezett betöltési korlátot kell megszabni, amely a tüskékből és az árvizekből származó helyzetek elleni védelemre szolgál.To protect and isolate Azure Monitor customers and its backend infrastructure, there is a default ingestion rate limit that is designed to protect from spikes and floods situations. A díjszabási korlát alapértelmezett értéke körülbelül 6 GB/perc , és a normál betöltés lehetővé tételére szolgál.The rate limit default is about 6 GB/minute and is designed to enable normal ingestion. További részletek a betöltés mennyiségi korlátjának méréséről: Azure monitor szolgáltatási korlátok.For more details on ingestion volume limit measurement, see Azure Monitor service limits.

Azok az ügyfelek, akik kevesebb mint 4TB/napot töltenek be, általában nem teljesítik ezeket a korlátozásokat.Customers that ingest less than 4TB/day will usually not meet these limits. Azok az ügyfelek, akik a normál működésük részeként nagyobb mennyiségű vagy tüskékkel rendelkeznek, érdemes áthelyezni a dedikált fürtökre , ahol a betöltési arány határértéke megnövelhető.Customers that ingest higher volumes or that have spikes as part of their normal operations shall consider moving to dedicated clusters where the ingestion rate limit could be raised.

Ha a betöltési arány korlátja aktiválva van, vagy a küszöbérték 80%-ában megjelenik egy esemény a munkaterületen a műveleti táblába.When the ingestion rate limit is activated or get to 80% of the threshold, an event is added to the Operation table in your workspace. Javasoljuk, hogy figyelje, és hozzon létre egy riasztást.It is recommended to monitor it and create an alert. További részleteket az adatfeldolgozási kötetek számacímű részben talál.See more details in data ingestion volume rate.

JavaslatokRecommendations

Példa erőforrás-környezet kialakítására

Ez a forgatókönyv egyetlen munkaterület-kialakítást mutat be az IT-szervezet előfizetésében, amelyet nem korlátozza az adatszuverenitás vagy a szabályozások megfelelősége, vagy le kell képeznie azokat a régiókat, amelyekre az erőforrások telepítve vannak.This scenario covers a single workspace design in your IT organization's subscription that is not constrained by data sovereignty or regulatory compliance, or needs to map to the regions your resources are deployed within. Lehetővé teszi, hogy a szervezete biztonsági és informatikai felügyeleti csapata kihasználja a jobb integrációt az Azure Access Management szolgáltatással és biztonságosabb hozzáférés-vezérléssel.It allows your organization's security and IT admin teams the ability to leverage the improved integration with Azure access management and more secure access control.

Az összes erőforrás, figyelési megoldás és elemzés, például a Application Insights és a VM-elemzés, a különböző csapatok által fenntartott támogatási infrastruktúra és alkalmazások úgy vannak konfigurálva, hogy továbbítsák az összegyűjtött napló adatait az informatikai szervezet központosított megosztott munkaterületére.All resources, monitoring solutions, and Insights such as Application Insights and VM insights, supporting infrastructure and applications maintained by the different teams are configured to forward their collected log data to the IT organization's centralized shared workspace. Az egyes csoportokban lévő felhasználók hozzáférést kapnak a naplókhoz azokhoz az erőforrásokhoz, amelyekhez hozzáférést kaptak.Users on each team are granted access to logs for resources they have been given access to.

A munkaterület architektúrájának üzembe helyezése után a Azure Policyhasználatával kényszerítheti ki ezt az Azure-erőforrásokra.Once you have deployed your workspace architecture, you can enforce this on Azure resources with Azure Policy. Lehetővé teszi a szabályzatok meghatározását és az Azure-erőforrások megfelelőségének biztosítását, így az összes erőforrás-naplóját egy adott munkaterületre küldi el.It provides a way to define policies and ensure compliance with your Azure resources so they send all their resource logs to a particular workspace. Az Azure-beli virtuális gépekkel vagy a virtuálisgép-méretezési csoportokkal például olyan meglévő házirendeket használhat, amelyek kiértékelik a munkaterület megfelelőségét és a jelentés eredményeit, illetve testreszabhatók, ha nem megfelelőek.For example, with Azure virtual machines or virtual machine scale sets, you can use existing policies that evaluate workspace compliance and report results, or customize to remediate if non-compliant.

Munkaterület-konszolidáció áttelepítési stratégiájaWorkspace consolidation migration strategy

Azon ügyfelek esetében, akik már több munkaterületet telepítettek, és érdeklik az erőforrás-kontextus hozzáférési modellbe való konszolidáció iránt, javasoljuk, hogy növekményes megközelítést használjon az ajánlott hozzáférési modellre való áttéréshez, és nem próbálja meg ezt gyorsan vagy agresszíven elérni.For customers who have already deployed multiple workspaces and are interested in consolidating to the resource-context access model, we recommend you take an incremental approach to migrate to the recommended access model, and you don't attempt to achieve this quickly or aggressively. Egy ésszerű időkeretet követően a tervezés, az áttelepítés, az ellenőrzés és a kivonás szakaszos megközelítését követve elkerülheti a nem tervezett incidenseket, vagy nem várt hatással lehet a Felhőbeli műveletekre.Following a phased approach to plan, migrate, validate, and retire following a reasonable timeline will help avoid any unplanned incidents or unexpected impact to your cloud operations. Ha nem rendelkezik megfelelőségi vagy üzleti okokból adatmegőrzési szabályzattal, értékelnie kell a megfelelő időtartamot, hogy az adatok megmaradjanak a munkaterületen, amelyet a folyamat során migrál.If you do not have a data retention policy for compliance or business reasons, you need to assess the appropriate length of time to retain data in the workspace you are migrating from during the process. A megosztott munkaterületre történő jelentéskészítéshez szükséges erőforrások újrakonfigurálásakor szükség szerint továbbra is elemezheti az eredeti munkaterületen tárolt adatmennyiséget.While you are reconfiguring resources to report to the shared workspace, you can still analyze the data in the original workspace as necessary. Ha az áttelepítés befejeződött, a megőrzési idő lejárta előtt ne törölje azt, ha az eredeti munkaterületen lévő adatok megtartására van irányadó.Once the migration is complete, if you're governed to retain data in the original workspace before the end of the retention period, don't delete it.

A modellre való Migrálás megtervezése során vegye figyelembe a következőket:While planning your migration to this model, consider the following:

  • Ismerje meg, hogy milyen iparági előírásokat és belső szabályzatokat kell megtartania az adatmegőrzéssel kapcsolatban.Understand what industry regulations and internal policies regarding data retention you must comply with.
  • Győződjön meg arról, hogy az alkalmazás-munkacsoportok működhetnek a meglévő erőforrás-környezeti funkciókon belül.Make sure that your application teams can work within the existing resource-context functionality.
  • Azonosítsa az alkalmazási csapatok erőforrásai számára biztosított hozzáférést, és tesztelje a fejlesztési környezetet az éles környezet megvalósítása előtt.Identify the access granted to resources for your application teams and test in a development environment before implementing in production.
  • Konfigurálja a munkaterületet az erőforrás-vagy munkaterület-engedélyek használatának engedélyezéséhez.Configure the workspace to enable Use resource or workspace permissions.
  • Távolítsa el az alkalmazás-Teams engedélyt a munkaterület olvasásához és lekérdezéséhez.Remove application teams permission to read and query the workspace.
  • Engedélyezheti és konfigurálhatja azokat a figyelési megoldásokat, például a Container bepillantást és/vagy Azure Monitor for VMseket, az Automation-fiókokat és a felügyeleti megoldásokat, például a Update Management, az eredeti munkaterületen üzembe helyezett virtuális gépeket stb.).Enable and configure any monitoring solutions, Insights such as Container insights and/or Azure Monitor for VMs, your Automation account(s), and management solutions such as Update Management, Start/Stop VMs, etc., that were deployed in the original workspace.

Következő lépésekNext steps

Az útmutatóban ajánlott biztonsági engedélyek és vezérlőelemek megvalósításához tekintse át a naplók hozzáférésének kezelésecímű témakört.To implement the security permissions and controls recommended in this guide, review manage access to logs.