A Log Analytics-munkaterület áttekintése
A Log Analytics-munkaterület az Azure Monitor és más Azure-szolgáltatások, például a Microsoft Sentinel és a Felhőhöz készült Microsoft Defender naplóadatainak egyedi környezete. Minden munkaterület saját adattárral és konfigurációval rendelkezik, de több szolgáltatásból származó adatokat egyesíthet. Ez a cikk áttekintést nyújt a Log Analytics-munkaterületekkel kapcsolatos fogalmakról, és további részletekért más dokumentációkra mutató hivatkozásokat tartalmaz.
Fontos
Előfordulhat, hogy a Microsoft Sentinel-munkaterület kifejezést a Microsoft Sentinel dokumentációja használja. Ez a munkaterület megegyezik a jelen cikkben ismertetett Log Analytics-munkaterülettel, de a Microsoft Sentinel esetében engedélyezve van. A munkaterület összes adatára a Microsoft Sentinel díjszabása vonatkozik a Költség szakaszban leírtak szerint.
Egyetlen munkaterületet használhat az összes adatgyűjtéshez. Több munkaterületet is létrehozhat olyan követelmények alapján, mint például:
- Az adatok földrajzi helye.
- Hozzáférési jogosultságok, amelyek meghatározzák, hogy mely felhasználók férhetnek hozzá az adatokhoz.
- Konfigurációs beállítások, például tarifacsomagok és adatmegőrzés.
Új munkaterület létrehozásához lásd : Log Analytics-munkaterület létrehozása az Azure Portalon. Több munkaterület létrehozásával kapcsolatos szempontokért lásd : Log Analytics-munkaterület konfigurációjának megtervezése.
Adatszerkezet
Minden munkaterület több táblát tartalmaz, amelyek több sornyi adatsort tartalmazó különálló oszlopokba vannak rendezve. Minden táblát egyedi oszlopkészlet határoz meg. Az adatforrás által biztosított adatsorok megosztják ezeket az oszlopokat. A napló lekérdezések adatoszlopokat határoznak meg az Azure Monitor és a munkaterületeket használó egyéb szolgáltatások különböző funkcióinak lekéréséhez és kimenetének biztosításához.
Figyelmeztetés
A táblanevek számlázási célokra használatosak, így nem tartalmazhatnak bizalmas információkat.
Költség
A munkaterület létrehozása és karbantartása nem jár közvetlen költséggel. A neki küldött adatokért díjat számítunk fel, amelyet adatbetöltésnek is nevezünk. Az adatok tárolásának időtartamáért, más néven adatmegőrzésért kell fizetnie. Ezek a költségek az egyes táblák naplóadat-tervétől függően változhatnak, a Naplóadat-tervben leírtak szerint.
A díjszabással kapcsolatos információkért tekintse meg az Azure Monitor díjszabását. A költségek csökkentésére vonatkozó útmutatásért tekintse meg az Azure Monitor ajánlott eljárásait – Költségkezelés. Ha a Log Analytics-munkaterületet az Azure Monitortól eltérő szolgáltatásokkal használja, a díjszabással kapcsolatos információkért tekintse meg a szolgáltatások dokumentációját.
Munkaterület-átalakítás – DCR
Az Azure Monitorba érkező adatokat meghatározó adatgyűjtési szabályok (DCR-ek) olyan átalakításokat is tartalmazhatnak, amelyek lehetővé teszik az adatok szűrését és átalakítását, mielőtt betöltené őket a munkaterületre. Mivel az összes adatforrás még nem támogatja a DCR-eket, minden munkaterület rendelkezhet munkaterület-átalakítási DCR-mel.
A munkaterület-átalakítási DCR-ben az átalakítások definiálva vannak a munkaterület minden táblájában, és az adott táblába küldött összes adatra vonatkoznak, még akkor is, ha több forrásból küldték őket. Ezek az átalakítások csak olyan munkafolyamatokra vonatkoznak, amelyek még nem használnak DCR-t. Az Azure Monitor-ügynök például egy DCR használatával definiálja a virtuális gépekről gyűjtött adatokat. Ezekre az adatokra nem vonatkoznak a munkaterületen definiált betöltési idejű átalakítások.
Lehetnek például diagnosztikai beállításai, amelyek különböző Azure-erőforrások erőforrásnaplóit küldik el a munkaterületre. Létrehozhat egy átalakítást a táblához, amely összegyűjti azokat az erőforrásnaplókat, amelyek csak a kívánt rekordokra szűrik az adatokat. Ez a módszer a nem szükséges rekordok betöltési költségét menti. Érdemes lehet fontos adatokat kinyerni bizonyos oszlopokból, és más oszlopokban tárolni a munkaterületen az egyszerűbb lekérdezések támogatása érdekében.
Adatmegőrzés és archiválás
A Log Analytics-munkaterületek egyes tábláiban lévő adatok egy meghatározott ideig maradnak meg, amely után azokat eltávolítják vagy csökkentett megőrzési díjjal archiválják. Állítsa be a megőrzési időt az adatok rendelkezésre állására vonatkozó követelmény egyensúlyának beállításához az adatmegőrzés költségeinek csökkentésével.
Az archivált adatok eléréséhez először le kell kérnie az adatokat egy Elemzési naplók táblából az alábbi módszerek egyikével:
| Metódus | Leírás |
|---|---|
| Keresési feladatok | Lekérheti az adott feltételeknek megfelelő adatokat. |
| Visszaállítás | Adatok lekérése egy adott időtartományból. |
Engedélyek
A Log Analytics-munkaterület adatainak elérésére vonatkozó engedélyt a hozzáférés-vezérlési mód határozza meg, amely az egyes munkaterületeken beállított beállítás. A felhasználók számára egy beépített vagy egyéni szerepkör használatával explicit hozzáférést adhat a munkaterülethez. Vagy engedélyezheti az Azure-erőforrásokhoz gyűjtött adatok elérését azokhoz az erőforrásokhoz hozzáférő felhasználók számára.
A naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban című témakörben tájékozódhat a különböző engedélybeállításokról és az engedélyek konfigurálásáról.
Következő lépések
- Hozzon létre egy új Log Analytics-munkaterületet.
- Több munkaterület létrehozásával kapcsolatos szempontokat a Log Analytics-munkaterület konfigurációjának tervezése című témakörben talál.
- Megismerheti a Log Analytics-munkaterület adatainak lekéréséhez és elemzéséhez használható napló lekérdezéseket.