Merancang penerapan Log Azure Monitor

Azure Monitor akan menyimpan data log pada ruang kerja Log Analytics, yang merupakan sumber daya Azure dan kontainer tempat data dikumpulkan, lalu diagregatkan, dan berfungsi sebagai batas administratif. Meskipun Anda dapat menggunakan satu atau beberapa ruang kerja di langganan Azure, ada beberapa pertimbangan yang harus Anda pahami demi memastikan penyebaran awal Anda mengikuti panduan kami guna memberi Anda penyebaran yang hemat biaya, dapat dikelola, dan dapat diskalakan yang memenuhi kebutuhan organisasi Anda.

Data di ruang kerja diatur ke dalam tabel, yang masing-masing menyimpan berbagai jenis data dan memiliki set properti uniknya sendiri berdasarkan sumber daya yang menghasilkan data. Sebagian besar sumber data akan menulis ke tabelnya sendiri di ruang kerja Log Analytics.

Example workspace data model

Ruang kerja Log Analytics menyediakan:

  • Lokasi geografis untuk penyimpanan data.
  • Isolasi data dengan memberikan hak akses pengguna yang berbeda mengikuti salah satu strategi desain yang direkomendasikan.
  • Cakupan untuk konfigurasi pengaturan seperti tingkat harga, retensi, dan pembatasan data.

Ruang kerja dihosting di kluster fisik. Secara default, sistem membuat dan mengelola kluster ini. Pelanggan yang menyerap lebih dari 4 TB/hari diharapkan untuk membuat kluster khusus miliknya sendiri untuk ruang kerjanya - hal ini memberi pelanggan kontrol yang lebih baik dan tingkat penyerapan yang lebih tinggi.

Artikel ini memberikan ringkasan detail tentang pertimbangan desain dan migrasi, ringkasan kontrol akses, dan pemahaman tentang implementasi desain yang kami rekomendasikan untuk organisasi IT Anda.

Pertimbangan penting untuk strategi kontrol akses

Identifikasi jumlah ruang kerja yang Anda butuhkan dipengaruhi oleh satu atau beberapa persyaratan berikut:

  • Anda adalah perusahaan global dan Anda memerlukan data log yang disimpan di wilayah tertentu untuk alasan kepatuhan atau kedaulatan data.
  • Anda menggunakan Azure dan ingin menghindari biaya transfer data keluar dengan memiliki ruang kerja di wilayah yang sama dengan sumber daya Azure yang dikelolanya.
  • Anda mengelola beberapa departemen atau grup bisnis, dan Anda ingin agar masing-masing melihat datanya sendiri, tetapi bukan data dari orang lain. Selain itu, tidak ada persyaratan bisnis untuk tampilan lintas departemen atau grup bisnis konsolidasi.

Organisasi IT saat ini dimodelkan mengikuti hibrid terpusat, terdesentralisasi, atau hibrida di antara kedua struktur. Akibatnya, model penyebaran ruang kerja berikut telah umum digunakan untuk memetakan ke salah satu struktur organisasi ini:

  • Terpusat: Semua log disimpan di ruang kerja pusat dan dikelola oleh satu tim, dengan Azure Monitor yang menyediakan akses per tim yang berbeda. Dalam skenario ini, mudah untuk mengelola, mencari di seluruh sumber daya, dan log lintas-korelasi. Ruang kerja dapat tumbuh secara signifikan tergantung pada jumlah data yang dikumpulkan dari beberapa sumber daya dalam langganan Anda, dengan overhead administratif tambahan untuk mempertahankan kontrol akses ke berbagai pengguna. Model ini dikenal sebagai "hub dan spoke".
  • Terdesentralisasi: Setiap tim memiliki ruang kerjanya sendiri yang dibuat dalam grup sumber daya yang mereka miliki dan kelola, dan data log dipisahkan per sumber daya. Dalam skenario ini, ruang kerja dapat dijaga keamanannya dan kontrol akses konsisten dengan akses sumber daya, tetapi sulit untuk mengkorelasikan silang log. Pengguna yang membutuhkan pandangan luas tentang banyak sumber daya tidak dapat menganalisis data dengan cara yang bermakna.
  • Hibrida: Persyaratan kepatuhan audit keamanan semakin mempersulit skenario ini karena banyak organisasi menerapkan kedua model penyebaran secara paralel. Ini biasanya menghasilkan konfigurasi yang kompleks, mahal, dan sulit dipelihara dengan celah dalam cakupan log.

Saat menggunakan agen Log Analytics untuk mengumpulkan data, Anda harus memahami hal berikut untuk merencanakan penyebaran agen Anda:

Jika Anda menggunakan System Center Operations Manager 2012 R2 atau yang lebih baru:

  • Setiap grup manajemen Operations Manager dapat terhubung hanya ke satu ruang kerja.
  • Komputer Linux yang melapor ke grup manajemen harus dikonfigurasi agar melapor langsung ke ruang kerja Log Analytics. Jika komputer Linux Anda sudah melaporkan langsung ke ruang kerja dan Anda ingin memantaunya dengan Operations Manager, ikuti langkah-langkah ini untuk melapor ke grup manajemen Operations Manager.
  • Anda dapat memasang agen Windows Log Analytics di komputer Windows dan membuatnya melapor ke Operations Manager yang terintegrasi dengan suatu ruang kerja, dan ruang kerja lain.

Ringkasan kontrol akses

Dengan kontrol akses berbasis peran Azure (Azure RBAC), Anda hanya dapat memberikan pengguna dan grup jumlah akses yang dibutuhkan untuk bekerja dengan memantau data di ruang kerja. Ini memungkinkan Anda untuk menyelaraskan dengan model operasi organisasi IT Anda menggunakan satu ruang kerja untuk menyimpan data yang dikumpulkan yang diaktifkan di semua sumber daya Anda. Misalnya, Anda memberikan akses ke tim yang bertanggung jawab atas layanan infrastruktur yang dihosting di komputer virtual (VM) Azure, dan sebagai akibatnya mereka hanya akan memiliki akses ke log yang dihasilkan oleh komputer virtual. Ini mengikuti model log konteks sumber daya kami yang baru. Dasar untuk model ini adalah agar setiap rekaman log yang dipancarkan oleh sumber daya Azure, secara otomatis dikaitkan dengan sumber daya ini. Log diteruskan ke ruang kerja pusat yang berkaitan dengan pencakupan dan Azure RBAC berdasarkan sumber daya.

Data yang dapat diakses pengguna ditentukan oleh kombinasi faktor yang tercantum dalam tabel berikut. Masing-masing dijelaskan dalam bagian di bawah ini.

Faktor Deskripsi
Mode akses Metode yang digunakan pengguna untuk mengakses ruang kerja. Menentukan cakupan data yang tersedia dan mode kontrol akses yang diterapkan.
Mode kontrol akses Pengaturan pada ruang kerja yang menentukan apakah izin diterapkan di tingkat ruang kerja atau sumber daya.
Izin Izin yang diterapkan pada individu atau grup pengguna untuk ruang kerja atau sumber daya. Menentukan data apa yang akan dapat diakses pengguna.
Azure RBAC tingkat tabel Izin terperinci opsional yang berlaku bagi semua pengguna terlepas dari mode akses atau mode kontrol aksesnya. Menentukan jenis data mana yang dapat diakses pengguna.

Mode akses

Mode akses mengacu pada cara pengguna mengakses ruang kerja Log Analytics dan menentukan cakupan data yang dapat diakses.

Pengguna memiliki dua opsi untuk mengakses data:

  • Konteks ruang kerja: Anda dapat menampilkan semua log di ruang kerja yang Anda miliki izin atasnya. Kueri dalam mode ini tercakup ke semua data di semua tabel pada ruang kerja. Ini adalah mode akses yang digunakan saat log diakses dengan ruang kerja sebagai cakupan, seperti saat Anda memilih Log dari menu Azure Monitor di portal Microsoft Azure.

    Log Analytics context from workspace

  • Konteks sumber daya: Saat Anda mengakses ruang kerja untuk sumber daya, grup sumber daya, atau langganan tertentu, seperti saat Anda memilih Log dari menu sumber daya di portal Microsoft Azure, Anda dapat melihat log hanya untuk sumber daya di semua tabel yang dapat Anda akses. Kueri dalam mode ini tercakup hanya ke data yang terkait dengan sumber daya tersebut. Mode ini juga memungkinkan Azure RBAC terperinci.

    Log Analytics context from resource

    Catatan

    Log tersedia untuk kueri konteks sumber daya hanya jika dikaitkan dengan sumber daya yang relevan dengan tepat. Saat ini, sumber daya berikut memiliki batasan:

    Anda dapat menguji apakah log dikaitkan dengan sumber dayanya dengan tepat dengan menjalankan kueri dan memeriksa rekaman yang Anda inginkan. Jika ID sumber daya yang benar berada dalam properti _ResourceId, maka data tersedia untuk kueri yang berpusat pada sumber daya.

Azure Monitor secara otomatis menentukan mode yang tepat tergantung pada konteks tempat Anda melakukan pencarian log. Cakupan selalu ditampilkan di bagian kiri atas Log Analytics.

Membandingkan mode akses

Tabel berikut ini merangkum mode akses:

Masalah Konteks ruang kerja Konteks sumber daya
Untuk siapa setiap model ditujukan? Administrasi pusat. Admin yang perlu mengonfigurasi pengumpulan data dan pengguna yang membutuhkan akses ke berbagai sumber daya. Selain itu, saat ini diperlukan untuk pengguna yang membutuhkan akses log untuk sumber daya di luar Azure. Tim aplikasi. Admin sumber daya Azure yang sedang dipantau.
Apa yang diperlukan pengguna untuk melihat log? Izin ke ruang kerja. Lihat Izin ruang kerja di Mengelola akses menggunakan izin ruang kerja. Baca akses ke sumber daya. Lihat Izin sumber daya di Mengelola akses menggunakan izin Azure. Izin dapat diwariskan (seperti dari grup sumber daya yang memuatnya) atau langsung ditetapkan ke sumber daya. Izin ke log untuk sumber daya akan secara otomatis ditetapkan.
Apa cakupan izinnya? Ruang kerja. Pengguna dengan akses ke ruang kerja dapat membuat kueri semua log di ruang kerja dari tabel yang telah diperoleh izinnya. Lihat Kontrol akses tabel Sumber daya Azure. Pengguna dapat membuat kueri log untuk sumber daya, grup sumber daya, atau langganan tertentu yang mereka miliki aksesnya dari ruang kerja mana pun tetapi tidak dapat membuat kueri log untuk sumber daya lain.
Bagaimana pengguna dapat mengakses log?
  • Mulai Log dari menu Azure Monitor.
  • Mulai Log dari Ruang kerja Log Analytics.
  • Mulai Log dari menu untuk sumber daya Azure
  • Mulai Log dari menu Azure Monitor.
  • Mulai Log dari Ruang kerja Log Analytics.

Mode kontrol akses

Mode kontrol akses adalah pengaturan pada setiap ruang kerja yang menentukan bagaimana izin ditentukan untuk ruang kerja.

  • Memerlukan izin ruang kerja: Mode kontrol ini tidak mengizinkan Azure RBAC terperinci. Agar pengguna dapat mengakses ruang kerja, mereka harus diberikan izin ke ruang kerja atau ke tabel tertentu.

    Jika pengguna mengakses ruang kerja mengikuti mode konteks ruang kerja, mereka memiliki akses ke semua data dalam tabel mana pun yang telah diizinkan untuk mereka. Jika pengguna mengakses ruang kerja mengikuti mode konteks sumber daya, mereka memiliki akses hanya ke data untuk sumber tersebut dalam tabel mana pun yang telah diizinkan untuk mereka.

    Ini adalah pengaturan default untuk semua ruang kerja yang dibuat sebelum Maret 2019.

  • Menggunakan izin sumber daya atau ruang kerja: Mode kontrol ini mengizinkan Azure RBAC terperinci. Pengguna dapat diberikan akses hanya ke data yang berkaitan dengan sumber daya yang dapat mereka lihat dengan menetapkan izin read Azure.

    Saat pengguna mengakses ruang kerja dalam mode konteks ruang kerja, izin ruang kerja akan berlaku. Saat pengguna mengakses ruang kerja dalam mode konteks sumber daya, hanya izin sumber daya yang diverifikasi, dan izin ruang kerja akan diabaikan. Aktifkan Azure RBAC untuk pengguna dengan menghapusnya dari izin ruang kerja dan memungkinkan izin sumber daya mereka dikenali.

    Ini adalah pengaturan default untuk semua ruang kerja yang dibuat setelah Maret 2019.

    Catatan

    Jika pengguna hanya memiliki izin sumber daya ke ruang kerja, mereka hanya dapat mengakses ruang kerja menggunakan mode konteks sumber daya dengan asumsi mode akses ruang kerja diatur ke Menggunakan izin sumber daya atau ruang kerja.

Untuk mempelajari cara mengubah mode kontrol akses di portal, dengan PowerShell, atau menggunakan templat Resource Manager, lihat Mengonfigurasi mode kontrol akses.

Batas laju volume skala dan penyerapan

Azure Monitor adalah layanan data berskala tinggi yang melayani ribuan pelanggan yang mengirim petabyte data setiap bulan dengan kecepatan yang terus meningkat. Ruang kerja tidak terbatas dalam ruang penyimpanannya dan dapat tumbuh hingga petabyte data. Tidak perlu membagi ruang kerja karena skala.

Untuk melindungi dan mengisolasi pelanggan Azure Monitor dan infrastruktur backend-nya, ada batas laju penyerapan default yang dirancang untuk melindungi dari situasi lonjakan dan luapan. Batas laju defaultnya adalah sekitar 6 GB/menit dan dirancang untuk memungkinkan penyerapan normal. Untuk detail selengkapnya tentang pengukuran batas volume penyerapan, lihat Batas layanan Azure Monitor.

Pelanggan yang menyerap kurang dari 4 TB/hari biasanya tidak akan memenuhi batas ini. Pelanggan yang menyerap volume yang lebih tinggi atau yang mengalami lonjakan sebagai bagian dari operasi normalnya sebaiknya mempertimbangkan untuk pindah ke kluster khusus ketika batas laju penyerapan dapat dinaikkan.

Ketika batas laju penyerapan diaktifkan atau mencapai 80% dari ambang, peristiwa akan ditambahkan ke tabel Operasi dalam ruang kerja Anda. Disarankan untuk memantaunya dan membuat pemberitahuan. Lihat detail selengkapnya dalam laju volume penyerapan data.

Rekomendasi

Resource-context design example

Skenario ini mencakup satu desain ruang kerja dalam langganan organisasi IT Anda yang tidak dibatasi oleh kedaulatan data atau kepatuhan terhadap peraturan, atau perlu memetakan ke wilayah tempat sumber daya Anda disebarkan. Ini akan memberikan tim keamanan dan admin IT organisasi Anda kemampuan untuk memanfaatkan integrasi yang ditingkatkan dengan manajemen akses Azure dan kontrol akses yang lebih aman.

Semua sumber daya, solusi pemantauan, dan Insight seperti Application Insights dan insight komputer virtual, infrastruktur pendukung, dan aplikasi yang dikelola oleh tim lain dikonfigurasi untuk meneruskan data log yang dikumpulkan ke ruang kerja bersama terpusat organisasi IT. Pengguna di setiap tim diberikan akses ke log untuk sumber daya yang dapat mereka akses.

Setelah menyebarkan arsitektur ruang kerja, Anda dapat memberlakukan ini pada sumber daya Azure dengan Azure Policy. Ini menyediakan cara untuk menentukan kebijakan dan memastikan kepatuhan terhadap sumber daya Azure Anda sehingga mereka mengirim semua log sumber dayanya ke ruang kerja tertentu. Misalnya, dengan komputer virtual Azure atau set skala komputer virtual, Anda dapat menggunakan kebijakan yang ada yang mengevaluasi kepatuhan ruang kerja dan hasil laporan, atau menyesuaikan untuk remediasi jika tidak mematuhinya.

Strategi migrasi konsolidasi ruang kerja

Untuk pelanggan yang telah menyebarkan beberapa ruang kerja dan tertarik untuk berkonsolidasi pada model akses konteks sumber daya, kami sarankan Anda mengambil pendekatan inkremental untuk berpindah ke model akses yang direkomendasikan, agar Anda perlu mencapainya secara cepat atau agresif. Mengikuti pendekatan bertahap untuk merencanakan, bermigrasi, memvalidasi, dan pensiun mengikuti garis waktu yang wajar akan membantu menghindari insiden yang tidak direncanakan atau dampak tak terduga terhadap operasi cloud Anda. Jika Anda tidak memiliki kebijakan retensi data karena kepatuhan atau alasan bisnis, Anda perlu menilai durasi waktu yang sesuai untuk menyimpan data di ruang kerja tempat Anda melakukan migrasi selama proses berlangsung. Saat mengonfigurasi ulang sumber daya agar melapor ke ruang kerja bersama, Anda masih dapat menganalisis data di ruang kerja asli jika diperlukan. Setelah migrasi selesai, jika Anda diatur untuk menyimpan data di ruang kerja asli sebelum akhir periode penyimpanan, jangan menghapusnya.

Saat merencanakan migrasi Anda ke model ini, pertimbangkan hal berikut:

  • Pahami peraturan industri dan kebijakan internal mengenai retensi data yang harus Anda patuhi.
  • Pastikan tim aplikasi Anda dapat bekerja dalam fungsionalitas konteks sumber daya yang ada.
  • Identifikasi akses yang diberikan ke sumber daya untuk tim aplikasi Anda dan uji di lingkungan pengembangan sebelum menerapkannya dalam produksi.
  • Konfigurasikan ruang kerja untuk mengaktifkan Menggunakan izin sumber daya atau ruang kerja.
  • Hapus izin tim aplikasi untuk membaca dan membuat kueri ruang kerja.
  • Aktifkan dan konfigurasikan setiap solusi pemantauan, Insight seperti insight Kontainer dan/atau Azure Monitor untuk komputer virtual, akun Automation Anda, dan solusi manajemen seperti Manajemen Pembaruan, Mulai/Hentikan komputer virtual, dll., yang disebarkan di ruang kerja asli.

Langkah berikutnya

Untuk menerapkan izin dan kontrol keamanan yang direkomendasikan dalam panduan ini, tinjau mengelola akses ke log.