Ringkasan ruang kerja Log Analytics
Ruang kerja Analitik Log adalah lingkungan unik untuk data log dari Azure Monitor dan layanan Azure lainnya seperti Microsoft Sentinel dan Microsoft Defender untuk Cloud. Setiap ruang kerja memiliki repositori dan konfigurasi datanya sendiri tetapi dapat menggabungkan data dari beberapa layanan. Artikel ini memberikan gambaran umum tentang konsep yang terkait dengan ruang kerja Log Analytics dan menyediakan tautan ke dokumentasi lain untuk detail lebih lanjut tentang setiap konsep.
Penting
Anda mungkin melihat istilah ruang kerja Microsoft Sentinel yang digunakan dalam dokumentasi Microsoft Sentinel. Ruang kerja ini adalah ruang kerja Analitik Log yang sama yang dijelaskan dalam artikel ini tetapi diaktifkan untuk Microsoft Sentinel. Semua data di ruang kerja dikenakan harga Microsoft Azure Sentinel seperti yang dijelaskan di bagian Biaya.
Anda dapat menggunakan ruang kerja tunggal untuk semua pengumpulan data Anda. Anda juga dapat membuat beberapa ruang kerja berdasarkan persyaratan seperti:
- Lokasi geografis data.
- Hak akses yang menentukan pengguna mana yang dapat mengakses data.
- Pengaturan konfigurasi seperti tingkat harga dan retensi data.
Untuk membuat ruang kerja baru, lihat Membuat ruang kerja Log Analytics di portal Microsoft Azure. Sebagai pertimbangan saat membuat beberapa ruang kerja, baca Mendesain konfigurasi ruang kerja Analitik Log.
Struktur data
Setiap ruang kerja berisi beberapa tabel yang disusun menjadi kolom terpisah dengan beberapa baris data. Setiap tabel didefinisikan oleh set kolom yang unik. Baris data yang disediakan oleh sumber data berbagi kolom tersebut. Kueri log menentukan kolom data untuk mengambil dan menyediakan output ke berbagai fitur Azure Monitor dan layanan lain yang menggunakan ruang kerja.
Biaya
Tidak ada biaya langsung untuk membuat atau memelihara ruang kerja. Anda dikenakan biaya atas data yang dikirim ke data tersebut, yang juga dikenal sebagai penyerapan data. Anda dikenakan biaya atas berapa lama data tersebut disimpan, yang dikenal sebagai retensi data. Biaya ini dapat bervariasi berdasarkan paket data setiap tabel seperti yang dijelaskan dalam paket data Log (pratinjau).
Untuk informasi harga, lihat Harga Azure Monitor. Untuk panduan tentang cara mengurangi biaya Anda, lihat Praktik terbaik Azure Monitor - Manajemen biaya. Jika Anda menggunakan ruang kerja Analitik Log dengan layanan selain Azure Monitor, lihat dokumentasi untuk layanan tersebut untuk informasi harga.
Log paket data (pratinjau)
Secara default, semua tabel di ruang kerja adalah tabel Analitik, yang tersedia untuk semua fitur Azure Monitor dan layanan lain yang menggunakan ruang kerja. Anda dapat mengonfigurasi tabel tertentu sebagai Log Dasar (pratinjau) untuk mengurangi biaya penyimpanan log yang berlebihan dengan volume tinggi yang Anda gunakan untuk penelusuran kesalahan, pemecahan masalah, dan audit, tetapi tidak untuk analitik dan peringatan. Tabel yang dikonfigurasi untuk Log Dasar memiliki biaya penyerapan yang lebih rendah dengan imbalan fitur yang dikurangi.
Tabel berikut ini meringkas dua hasilnya. Untuk informasi selengkapnya tentang Log Dasar dan cara mengonfigurasinya, lihat Mengonfigurasi Log Dasar di Azure Monitor (pratinjau).
Catatan
Log Dasar saat ini sedang dalam pratinjau publik. Saat ini Anda dapat bekerja dengan tabel Log Dasar di portal Azure dan menggunakan sejumlah komponen lainnya. Fitur Log Dasar tidak tersedia untuk ruang kerja di tingkat harga yang lama.
| Kategori | Analytics Logs | Log Dasar |
|---|---|---|
| Penyerapan | Biaya untuk penyerapan. | Biaya dikurangi untuk penyerapan. |
| Log kueri | Tidak ada biaya tambahan. Kemampuan kueri penuh. | Biaya tambahan. Subset kemampuan kueri. |
| Retensi | Konfigurasikan retensi dari 30 hari hingga 730 hari. | Retensi ditetapkan saat 8 hari. |
| Peringatan | Didukung. | Tidak didukung. |
Transformasi waktu penyerapan
Aturan pengumpulan data (DCR) yang menentukan data yang masuk ke Azure Monitor dapat mencakup transformasi yang memungkinkan Anda memfilter dan mengubah data sebelum dicerna ke ruang kerja. Karena semua alur kerja belum mendukung DDR, setiap ruang kerja dapat menentukan transformasi waktu penyerapan. Untuk alasan ini, Anda dapat memfilter atau mengubah data sebelum disimpan.
Transformasi waktu penyerapan ditentukan untuk setiap tabel di ruang kerja dan berlaku untuk semua data yang dikirim ke tabel tersebut, meskipun dikirim dari beberapa sumber. Transformasi waktu penyerapan hanya berlaku untuk alur kerja yang belum menggunakan DCR. Misalnya, agen Azure Monitor menggunakan DCR untuk menentukan data yang dikumpulkan dari mesin virtual. Data ini tidak akan dikenakan transformasi waktu penyerapan yang ditentukan di ruang kerja.
Misalnya, Anda mungkin memiliki pengaturan diagnostik yang mengirim log sumber daya untuk sumber daya Azure yang berbeda ke ruang kerja Anda. Anda dapat membuat transformasi untuk tabel yang mengumpulkan log sumber daya yang memfilter data ini hanya untuk catatan yang Anda inginkan. Metode ini menghemat biaya penyerapan untuk catatan yang tidak Anda butuhkan. Anda mungkin juga ingin mengekstrak data penting dari kolom tertentu dan menyimpannya di kolom lain di ruang kerja untuk mendukung kueri yang lebih sederhana.
Retensi data dan arsip
Data di setiap tabel di ruang kerja Log Analytics disimpan untuk jangka waktu tertentu setelah dihapus atau diarsipkan dengan biaya retensi yang dikurangi. Atur waktu retensi untuk menyeimbangkan kebutuhan Anda agar data tersedia dengan mengurangi biaya untuk retensi data.
Catatan
Arsip saat ini sedang dalam pratinjau publik.
Untuk mengakses data yang diarsipkan, Anda harus terlebih dahulu mengambil data dari arsip dalam tabel Analitik Log menggunakan salah satu metode berikut:
| Metode | Deskripsi |
|---|---|
| Pekerjaan pencarian | Ambil data yang cocok dengan kriteria tertentu. |
| Memulihkan | Ambil data dari rentang waktu tertentu. |
Izin
Izin untuk data di ruang kerja Analitik Log ditentukan oleh mode kontrol akses, yang menjadi pengaturan pada setiap ruang kerja. Anda dapat memberi pengguna akses eksplisit ke ruang kerja dengan menggunakan peran bawaan atau kustom. Atau, Anda dapat mengizinkan akses ke data yang dikumpulkan untuk sumber daya Azure kepada pengguna yang memiliki akses ke sumber daya tersebut.
Lihat Mengelola akses ke data log dan ruang kerja di Azure Monitor untuk informasi tentang opsi izin yang berbeda dan tentang cara mengonfigurasi izin.
Langkah berikutnya
- Buat ruang kerja Analitik Log baru.
- Sebagai pertimbangan saat membuat beberapa ruang kerja, lihat Mendesain konfigurasi ruang kerja Analitik Log.
- Pelajari tentang kueri log untuk mengambil dan menganalisis data dari ruang kerja Analitik Log.