Progettazione della distribuzione dei log di Monitoraggio di AzureDesigning your Azure Monitor Logs deployment

Monitoraggio di Azure archivia i dati di log in un'area di lavoro log Analytics, ovvero una risorsa di Azure e un contenitore in cui i dati vengono raccolti, aggregati e utilizzati come limite amministrativo.Azure Monitor stores log data in a Log Analytics workspace, which is an Azure resource and a container where data is collected, aggregated, and serves as an administrative boundary. Sebbene sia possibile distribuire una o più aree di lavoro nella sottoscrizione di Azure, è necessario comprendere alcune considerazioni per assicurarsi che la distribuzione iniziale stia seguendo le linee guida per offrire una distribuzione economica, gestibile e scalabile che soddisfi le esigenze dell'organizzazione.While you can deploy one or more workspaces in your Azure subscription, there are several considerations you should understand in order to ensure your initial deployment is following our guidelines to provide you with a cost effective, manageable, and scalable deployment meeting your organization's needs.

I dati in un'area di lavoro sono organizzati in tabelle, ognuna delle quali archivia diversi tipi di dati e dispone di un proprio set univoco di proprietà in base alla risorsa che genera i dati.Data in a workspace is organized into tables, each of which stores different kinds of data and has its own unique set of properties based on the resource generating the data. La maggior parte delle origini dati scriverà nelle proprie tabelle in un'area di lavoro Log Analytics.Most data sources will write to their own tables in a Log Analytics workspace.

Modello di dati dell'area di lavoro di esempio

Un'area di lavoro Log Analytics offre:A Log Analytics workspace provides:

  • Una posizione geografica per l'archiviazione dei dati.A geographic location for data storage.
  • Isolamento dei dati tramite la concessione di diritti di accesso a utenti diversi dopo una delle strategie di progettazione consigliate.Data isolation by granting different users access rights following one of our recommended design strategies.
  • Ambito per la configurazione di impostazioni quali il piano tariffario, la conservazionee la capsulatura dei dati.Scope for configuration of settings like pricing tier, retention, and data capping.

Le aree di lavoro sono ospitate in cluster fisici.Workspaces are hosted on physical clusters. Per impostazione predefinita, il sistema sta creando e gestendo questi cluster.By default, the system is creating and managing these clusters. I clienti che inseriscono più di 4 TB al giorno dovranno creare i propri cluster dedicati per le aree di lavoro, consentendo un controllo migliore e una velocità di inserimento superiore.Customers that ingest more than 4TB/day are expected to create their own dedicated clusters for their workspaces - it enables them better control and higher ingestion rate.

Questo articolo fornisce una panoramica dettagliata delle considerazioni relative alla progettazione e alla migrazione, alla panoramica del controllo di accesso e alla comprensione delle implementazioni di progettazione consigliate per l'organizzazione IT.This article provides a detailed overview of the design and migration considerations, access control overview, and an understanding of the design implementations we recommend for your IT organization.

Considerazioni importanti per una strategia di controllo di accessoImportant considerations for an access control strategy

Identificare il numero di aree di lavoro necessarie è influenzato da uno o più dei requisiti seguenti:Identifying the number of workspaces you need is influenced by one or more of the following requirements:

  • Si opera in un'azienda globale ed è necessario che i dati di log siano archiviati in aree specifiche per motivi di sovranità o conformità dei dati.You are a global company and you need log data stored in specific regions for data sovereignty or compliance reasons.
  • Si usa Azure e si intendono evitare costi di trasferimento dei dati in uscita tramite un'area di lavoro nella stessa area delle risorse di Azure da essa gestite.You are using Azure and you want to avoid outbound data transfer charges by having a workspace in the same region as the Azure resources it manages.
  • Si gestiscono più reparti o gruppi aziendali e si vuole che ognuno visualizzi i propri dati, ma non i dati di altri.You manage multiple departments or business groups, and you want each to see their own data, but not data from others. Non è inoltre previsto alcun requisito aziendale per una visualizzazione consolidata di un reparto o di un gruppo aziendale.Also, there is no business requirement for a consolidated cross department or business group view.

Oggi le organizzazioni IT sono modellate in seguito a un ibrido centralizzato, decentralizzato o tra due strutture.IT organizations today are modeled following either a centralized, decentralized, or an in-between hybrid of both structures. Di conseguenza, i modelli di distribuzione dell'area di lavoro seguenti sono stati comunemente utilizzati per eseguire il mapping a una di queste strutture organizzative:As a result, the following workspace deployment models have been commonly used to map to one of these organizational structures:

  • Centralizzata: tutti i log vengono archiviati in un'area di lavoro centrale e amministrati da un singolo team, con monitoraggio di Azure che offre un accesso differenziato per Team.Centralized: All logs are stored in a central workspace and administered by a single team, with Azure Monitor providing differentiated access per-team. In questo scenario, è facile da gestire, eseguire ricerche tra le risorse e i log correlati tra loro.In this scenario, it is easy to manage, search across resources, and cross-correlate logs. L'area di lavoro può aumentare in modo significativo a seconda della quantità di dati raccolti da più risorse nella sottoscrizione, con un sovraccarico amministrativo aggiuntivo per mantenere il controllo di accesso a utenti diversi.The workspace can grow significantly depending on the amount of data collected from multiple resources in your subscription, with additional administrative overhead to maintain access control to different users. Questo modello è noto come "hub and spoke".This model is known as "hub and spoke".
  • Decentralizzata: ogni team ha una propria area di lavoro creata in un gruppo di risorse che possiede e gestisce e i dati di log vengono separati per ogni risorsa.Decentralized: Each team has their own workspace created in a resource group they own and manage, and log data is segregated per resource. In questo scenario, l'area di lavoro può essere mantenuta sicura e il controllo degli accessi è coerente con l'accesso alle risorse, ma è difficile correlare i log.In this scenario, the workspace can be kept secure and access control is consistent with resource access, but it's difficult to cross-correlate logs. Gli utenti che necessitano di un'ampia visualizzazione di molte risorse non possono analizzare i dati in modo significativo.Users who need a broad view of many resources cannot analyze the data in a meaningful way.
  • Ibrido: i requisiti di conformità dei controlli di sicurezza complicano ulteriormente questo scenario perché molte organizzazioni implementano entrambi i modelli di distribuzione in parallelo.Hybrid: Security audit compliance requirements further complicate this scenario because many organizations implement both deployment models in parallel. Ciò comporta in genere una configurazione complessa, costosa e difficile da gestire con gap nel code coverage dei log.This commonly results in a complex, expensive, and hard-to-maintain configuration with gaps in logs coverage.

Quando si usano gli agenti di Log Analytics per raccogliere dati, è necessario comprendere i concetti seguenti per pianificare la distribuzione dell'agente:When using the Log Analytics agents to collect data, you need to understand the following in order to plan your agent deployment:

  • Per raccogliere i dati dagli agenti Windows, è possibile configurare che ogni agente invii i report a una o più aree di lavoro, anche durante l'invio di report a un gruppo di gestione di System Center Operations Manager.To collect data from Windows agents, you can configure each agent to report to one or more workspaces, even while it is reporting to a System Center Operations Manager management group. L'agente Windows può inviare i report a un massimo di quattro aree di lavoro.The Windows agent can report up to four workspaces.
  • L'agente Linux non supporta il multihoming e può inviare i report solo a un'unica area di lavoro.The Linux agent does not support multi-homing and can only report to a single workspace.

Se si usa System Center Operations Manager 2012 R2 o versione successiva:If you are using System Center Operations Manager 2012 R2 or later:

  • Ogni gruppo di gestione di Operations Manager può essere connesso a una sola area di lavoro.Each Operations Manager management group can be connected to only one workspace.
  • I computer Linux che inviano i report a un gruppo di gestione devono essere configurati perché i report vengano inviati direttamente a un'area di lavoro Log Analytics.Linux computers reporting to a management group must be configured to report directly to a Log Analytics workspace. Se i computer Linux inviano già i report direttamente a un'area di lavoro e si vuole monitorarli con Operations Manager, attenersi a questa procedura per inviare i report a un gruppo di gestione di Operations Manager.If your Linux computers are already reporting directly to a workspace and you want to monitor them with Operations Manager, follow these steps to report to an Operations Manager management group.
  • È possibile installare l'agente di Log Analytics per Windows nel computer Windows e fare in modo che i report siano inviati sia a Operations Manager con l'integrazione di un'area di lavoro sia a un'area di lavoro diversa.You can install the Log Analytics Windows agent on the Windows computer and have it report to both Operations Manager integrated with a workspace, and a different workspace.

Panoramica del controllo di accessoAccess control overview

Con il controllo degli accessi in base al ruolo di Azure (RBAC di Azure), è possibile concedere a utenti e gruppi solo la quantità di accesso necessaria per lavorare con i dati di monitoraggio in un'area di lavoro.With Azure role-based access control (Azure RBAC), you can grant users and groups only the amount of access they need to work with monitoring data in a workspace. Questo consente di allinearsi al modello operativo dell'organizzazione IT usando un'unica area di lavoro per archiviare i dati raccolti abilitati in tutte le risorse.This allows you to align with your IT organization operating model using a single workspace to store collected data enabled on all your resources. Ad esempio, si concede l'accesso al team responsabile dei servizi di infrastruttura ospitati in macchine virtuali di Azure (VM) e, di conseguenza, avranno accesso solo ai log generati dalle macchine virtuali.For example, you grant access to your team responsible for infrastructure services hosted on Azure virtual machines (VMs), and as a result they'll have access to only the logs generated by the VMs. Segue il nuovo modello di log del contesto delle risorse.This is following our new resource-context log model. La base per questo modello è relativa a ogni record di log emesso da una risorsa di Azure, che viene automaticamente associato a questa risorsa.The basis for this model is for every log record emitted by an Azure resource, it is automatically associated with this resource. I log vengono sottoutilizzati in un'area di lavoro centrale che rispetta l'ambito e il controllo degli accessi in base al ruolo di AzureLogs are forwarded to a central workspace that respects scoping and Azure RBAC based on the resources.

I dati a cui un utente può accedere sono determinati da una combinazione di fattori elencati nella tabella seguente.The data a user has access to is determined by a combination of factors that are listed in the following table. Ogni è descritto nelle sezioni riportate di seguito.Each is described in the sections below.

FattoreFactor DescrizioneDescription
Modalità di accessoAccess mode Metodo utilizzato dall'utente per accedere all'area di lavoro.Method the user uses to access the workspace. Definisce l'ambito dei dati disponibili e la modalità di controllo di accesso applicata.Defines the scope of the data available and the access control mode that's applied.
Modalità di controllo di accessoAccess control mode Impostazione nell'area di lavoro che definisce se le autorizzazioni vengono applicate a livello di area di lavoro o di risorsa.Setting on the workspace that defines whether permissions are applied at the workspace or resource level.
AutorizzazioniPermissions Autorizzazioni applicate a singoli utenti o gruppi di utenti per l'area di lavoro o la risorsa.Permissions applied to individual or groups of users for the workspace or resource. Definisce i dati a cui l'utente avrà accesso.Defines what data the user will have access to.
Controllo RBAC di Azure a livello di tabellaTable level Azure RBAC Autorizzazioni granulari facoltative che si applicano a tutti gli utenti indipendentemente dalla modalità di accesso o dal controllo di accesso.Optional granular permissions that apply to all users regardless of their access mode or access control mode. Definisce i tipi di dati a cui un utente può accedere.Defines which data types a user can access.

Modalità di accessoAccess mode

La modalità di accesso si riferisce al modo in cui un utente accede a un'area di lavoro di log Analytics e definisce l'ambito dei dati a cui può accedere.The access mode refers to how a user accesses a Log Analytics workspace and defines the scope of data they can access.

Gli utenti hanno due opzioni per accedere ai dati:Users have two options for accessing the data:

  • Area di lavoro: è possibile visualizzare tutti i log nell'area di lavoro di cui si dispone delle autorizzazioni.Workspace-context: You can view all logs in the workspace you have permission to. Le query in questa modalità hanno come ambito tutti i dati di tutte le tabelle nell'area di lavoro.Queries in this mode are scoped to all data in all tables in the workspace. Questa è la modalità di accesso usata quando si accede ai log con l'area di lavoro come ambito, ad esempio quando si selezionano i log dal menu di monitoraggio di Azure nel portale di Azure.This is the access mode used when logs are accessed with the workspace as the scope, such as when you select Logs from the Azure Monitor menu in the Azure portal.

    Contesto Log Analytics dall'area di lavoro

  • Contesto delle risorse: quando si accede all'area di lavoro per una risorsa, un gruppo di risorse o una sottoscrizione particolare, ad esempio quando si selezionano i log da un menu delle risorse nella portale di Azure, è possibile visualizzare i log solo per le risorse in tutte le tabelle a cui si ha accesso.Resource-context: When you access the workspace for a particular resource, resource group, or subscription, such as when you select Logs from a resource menu in the Azure portal, you can view logs for only resources in all tables that you have access to. Le query in questa modalità hanno come ambito solo i dati associati a tale risorsa.Queries in this mode are scoped to only data associated with that resource. Questa modalità consente anche di granulare di Azure.This mode also enables granular Azure RBAC.

    Contesto Log Analytics dalla risorsa

    Nota

    I log sono disponibili per le query del contesto delle risorse solo se sono stati associati correttamente alla risorsa pertinente.Logs are available for resource-context queries only if they were properly associated with the relevant resource. Attualmente, le risorse seguenti presentano limitazioni:Currently, the following resources have limitations:

    È possibile verificare se i log sono associati correttamente alla propria risorsa eseguendo una query ed esaminando i record a cui si è interessati.You can test if logs are properly associated with their resource by running a query and inspecting the records you're interested in. Se l'ID di risorsa corretto si trova nella proprietà _ResourceId , i dati sono disponibili per le query incentrate sulle risorse.If the correct resource ID is in the _ResourceId property, then data is available to resource-centric queries.

Monitoraggio di Azure determina automaticamente la modalità corretta a seconda del contesto in cui si esegue la ricerca log.Azure Monitor automatically determines the right mode depending on the context you perform the log search from. L'ambito viene sempre presentato nella sezione in alto a sinistra del Log Analytics.The scope is always presented in the top-left section of Log Analytics.

Confronto tra modalità di accessoComparing access modes

Nella tabella seguente sono riepilogate le modalità di accesso:The following table summarizes the access modes:

ProblemaIssue Contesto area di lavoroWorkspace-context Contesto risorseResource-context
Per chi è destinato ogni modello?Who is each model intended for? Amministrazione centrale.Central administration. Amministratori che devono configurare la raccolta di dati e gli utenti che devono accedere a una vasta gamma di risorse.Administrators who need to configure data collection and users who need access to a wide variety of resources. Attualmente necessaria anche per gli utenti che devono accedere ai log per le risorse esterne ad Azure.Also currently required for users who need to access logs for resources outside of Azure. Team di applicazioni.Application teams. Amministratori delle risorse di Azure da monitorare.Administrators of Azure resources being monitored.
Cosa richiede un utente per visualizzare i log?What does a user require to view logs? Autorizzazioni per l'area di lavoro.Permissions to the workspace. Vedere autorizzazioni dell'area di lavoro in gestire l'accesso tramite le autorizzazioni dell'area di lavoroSee Workspace permissions in Manage access using workspace permissions. Accesso in lettura alla risorsa.Read access to the resource. Vedere autorizzazioni per le risorse in gestire l'accesso tramite le autorizzazioni di Azure.See Resource permissions in Manage access using Azure permissions. Le autorizzazioni possono essere ereditate, ad esempio dal gruppo di risorse contenitore, o assegnate direttamente alla risorsa.Permissions can be inherited (such as from the containing resource group) or directly assigned to the resource. L'autorizzazione ai log per la risorsa verrà assegnata automaticamente.Permission to the logs for the resource will be automatically assigned.
Qual è l'ambito delle autorizzazioni?What is the scope of permissions? Area.Workspace. Gli utenti che dispongono dell'accesso all'area di lavoro possono eseguire una query su tutti i log dell'area di lavoro dalle tabelle per cui dispongono delle autorizzazioni.Users with access to the workspace can query all logs in the workspace from tables that they have permissions to. Vedere controllo di accesso alle tabelleSee Table access control Risorsa di Azure.Azure resource. L'utente può eseguire query sui log per risorse, gruppi di risorse o sottoscrizioni specifici a cui ha accesso da qualsiasi area di lavoro, ma non può eseguire query nei log per altre risorse.User can query logs for specific resources, resource groups, or subscription they have access to from any workspace but can't query logs for other resources.
Come è possibile accedere ai log utente?How can user access logs?
  • Avviare i log dal menu di monitoraggio di Azure .Start Logs from Azure Monitor menu.
  • Avviare i log dalle aree di lavoro log Analytics.Start Logs from Log Analytics workspaces.
  • Da cartelle di lavorodi monitoraggio di Azure.From Azure Monitor Workbooks.
  • Avviare i log dal menu per la risorsa di AzureStart Logs from the menu for the Azure resource
  • Avviare i log dal menu di monitoraggio di Azure .Start Logs from Azure Monitor menu.
  • Avviare i log dalle aree di lavoro log Analytics.Start Logs from Log Analytics workspaces.
  • Da cartelle di lavorodi monitoraggio di Azure.From Azure Monitor Workbooks.

Modalità di controllo di accessoAccess control mode

La modalità di controllo di accesso è un'impostazione in ogni area di lavoro che definisce la modalità di determinazione delle autorizzazioni per l'area di lavoro.The Access control mode is a setting on each workspace that defines how permissions are determined for the workspace.

  • Richiedi autorizzazioni per l'area di lavoro: questa modalità di controllo non consente la granularità granulare di Azure.Require workspace permissions: This control mode does not allow granular Azure RBAC. Per consentire a un utente di accedere all'area di lavoro, è necessario concedere le autorizzazioni all'area di lavoro o a tabelle specifiche.For a user to access the workspace, they must be granted permissions to the workspace or to specific tables.

    Se un utente accede all'area di lavoro dopo la modalità di contesto dell'area di lavoro, ha accesso a tutti i dati in qualsiasi tabella a cui è stato concesso l'accesso.If a user accesses the workspace following the workspace-context mode, they have access to all data in any table they've been granted access to. Se un utente accede all'area di lavoro dopo la modalità del contesto di risorsa, ha accesso solo ai dati per tale risorsa in qualsiasi tabella a cui è stato concesso l'accesso.If a user accesses the workspace following the resource-context mode, they have access to only data for that resource in any table they've been granted access to.

    Questa è l'impostazione predefinita per tutte le aree di lavoro create prima del 2019 marzo.This is the default setting for all workspaces created before March 2019.

  • Usare le autorizzazioni per le risorse o le aree di lavoro: questa modalità di controllo consente il controllo degli accessiUse resource or workspace permissions: This control mode allows granular Azure RBAC. È possibile concedere agli utenti l'accesso solo ai dati associati alle risorse che possono visualizzare assegnando l'autorizzazione di Azure read .Users can be granted access to only data associated with resources they can view by assigning Azure read permission.

    Quando un utente accede all'area di lavoro in modalità di contesto dell'area di lavoro, vengono applicate le autorizzazioni dell'area di lavoro.When a user accesses the workspace in workspace-context mode, workspace permissions apply. Quando un utente accede all'area di lavoro in modalità del contesto di risorse, vengono verificate solo le autorizzazioni delle risorse e le autorizzazioni dell'area di lavoro vengono ignorate.When a user accesses the workspace in resource-context mode, only resource permissions are verified, and workspace permissions are ignored. Abilitare il controllo degli accessi in base al ruolo di Azure per un utente rimuovendo tali autorizzazioni dall'area di lavoro e consentendone la riconoscibilitàEnable Azure RBAC for a user by removing them from workspace permissions and allowing their resource permissions to be recognized.

    Questa è l'impostazione predefinita per tutte le aree di lavoro create dopo il 2019 marzo.This is the default setting for all workspaces created after March 2019.

    Nota

    Se un utente dispone solo delle autorizzazioni di risorse per l'area di lavoro, può accedere solo all'area di lavoro usando la modalità del contesto delle risorse, presupponendo che la modalità di accesso all'area di lavoro sia impostata per l' uso delle autorizzazioni di risorse oIf a user has only resource permissions to the workspace, they are only able to access the workspace using resource-context mode assuming the workspace access mode is set to Use resource or workspace permissions.

Per informazioni su come modificare la modalità di controllo di accesso nel portale, con PowerShell o usando un modello di Gestione risorse, vedere configurare la modalità di controllo di accesso.To learn how to change the access control mode in the portal, with PowerShell, or using a Resource Manager template, see Configure access control mode.

Limite di velocità del volume di inserimenti e scalabilitàScale and ingestion volume rate limit

Monitoraggio di Azure è un servizio dati a scalabilità elevata che serve a migliaia di clienti che inviano petabyte di dati ogni mese a un ritmo sempre crescente.Azure Monitor is a high scale data service that serves thousands of customers sending petabytes of data each month at a growing pace. Le aree di lavoro non sono limitate nello spazio di archiviazione e possono aumentare fino a petabyte di dati.Workspaces are not limited in their storage space and can grow to petabytes of data. Non è necessario suddividere le aree di lavoro a causa della scalabilità.There is no need to split workspaces due to scale.

Per proteggere e isolare i clienti di monitoraggio di Azure e la relativa infrastruttura di back-end, esiste un limite di velocità di inserimento predefinito progettato per la protezione da picchi e situazioni di Flood.To protect and isolate Azure Monitor customers and its backend infrastructure, there is a default ingestion rate limit that is designed to protect from spikes and floods situations. Il valore predefinito del limite di velocità è di circa 6 GB al minuto ed è progettato per consentire l'inserimento normale.The rate limit default is about 6 GB/minute and is designed to enable normal ingestion. Per altri dettagli sulla misurazione del limite del volume di inserimento, vedere limiti del servizio di monitoraggio di Azure.For more details on ingestion volume limit measurement, see Azure Monitor service limits.

I clienti che inseriscono meno di 4 TB al giorno non soddisfano questi limiti.Customers that ingest less than 4TB/day will usually not meet these limits. I clienti che inseriscono volumi più elevati o che presentano picchi come parte delle normali operazioni dovranno considerare il passaggio a cluster dedicati in cui è possibile generare il limite di velocità di inserimento.Customers that ingest higher volumes or that have spikes as part of their normal operations shall consider moving to dedicated clusters where the ingestion rate limit could be raised.

Quando viene attivato il limite di velocità di inserimento o si arriva al 80% della soglia, viene aggiunto un evento alla tabella Operation nell'area di lavoro.When the ingestion rate limit is activated or get to 80% of the threshold, an event is added to the Operation table in your workspace. È consigliabile monitorarlo e creare un avviso.It is recommended to monitor it and create an alert. Per altre informazioni, vedere velocità del volumedi inserimento dati.See more details in data ingestion volume rate.

ConsigliRecommendations

Esempio di progettazione del contesto di risorsa

Questo scenario illustra una singola progettazione dell'area di lavoro nella sottoscrizione dell'organizzazione IT, che non è vincolata dalla sovranità dei dati o dalla conformità alle normative, oppure è necessario eseguire il mapping alle aree in cui vengono distribuite le risorse.This scenario covers a single workspace design in your IT organization's subscription that is not constrained by data sovereignty or regulatory compliance, or needs to map to the regions your resources are deployed within. Consente ai team di sicurezza e amministrazione IT dell'organizzazione di sfruttare la migliore integrazione con la gestione dell'accesso di Azure e un controllo di accesso più sicuro.It allows your organization's security and IT admin teams the ability to leverage the improved integration with Azure access management and more secure access control.

Tutte le risorse, le soluzioni di monitoraggio e le informazioni dettagliate, ad esempio Application Insights e le informazioni dettagliate su VM, che supportano l'infrastruttura e le applicazioni gestite dai diversi team, sono configurate per l'invio dei dati di log raccolti all'area di lavoro condivisa centralizzata dell'organizzazione IT.All resources, monitoring solutions, and Insights such as Application Insights and VM insights, supporting infrastructure and applications maintained by the different teams are configured to forward their collected log data to the IT organization's centralized shared workspace. Agli utenti di ogni team viene concesso l'accesso ai log per le risorse a cui è stato concesso l'accesso.Users on each team are granted access to logs for resources they have been given access to.

Una volta distribuita l'architettura dell'area di lavoro, è possibile applicarla alle risorse di Azure con criteri di Azure.Once you have deployed your workspace architecture, you can enforce this on Azure resources with Azure Policy. Fornisce un modo per definire i criteri e garantire la conformità alle risorse di Azure in modo che invii tutti i log delle risorse a una determinata area di lavoro.It provides a way to define policies and ensure compliance with your Azure resources so they send all their resource logs to a particular workspace. Con le macchine virtuali di Azure o i set di scalabilità di macchine virtuali, ad esempio, è possibile usare i criteri esistenti per valutare la conformità dell'area di lavoro e i risultati del report oppure personalizzarli in modo da correggerli se non conformi.For example, with Azure virtual machines or virtual machine scale sets, you can use existing policies that evaluate workspace compliance and report results, or customize to remediate if non-compliant.

Strategia di migrazione per il consolidamento dell'area di lavoroWorkspace consolidation migration strategy

Per i clienti che hanno già distribuito più aree di lavoro e sono interessati a consolidare il modello di accesso al contesto delle risorse, è consigliabile adottare un approccio incrementale per eseguire la migrazione al modello di accesso consigliato e non tentare di ottenere questo risultato in modo rapido o aggressivo.For customers who have already deployed multiple workspaces and are interested in consolidating to the resource-context access model, we recommend you take an incremental approach to migrate to the recommended access model, and you don't attempt to achieve this quickly or aggressively. Seguendo un approccio graduale per pianificare, migrare, convalidare e ritirare in seguito a una ragionevole sequenza temporale, è possibile evitare eventuali eventi imprevisti non pianificati o conseguenze impreviste per le operazioni cloud.Following a phased approach to plan, migrate, validate, and retire following a reasonable timeline will help avoid any unplanned incidents or unexpected impact to your cloud operations. Se non si dispone di un criterio di conservazione dei dati per la conformità o per motivi aziendali, è necessario valutare l'intervallo di tempo appropriato per conservare i dati nell'area di lavoro da cui si esegue la migrazione durante il processo.If you do not have a data retention policy for compliance or business reasons, you need to assess the appropriate length of time to retain data in the workspace you are migrating from during the process. Quando si riconfigurano le risorse per il report nell'area di lavoro condivisa, è comunque possibile analizzare i dati nell'area di lavoro originale in modo necessario.While you are reconfiguring resources to report to the shared workspace, you can still analyze the data in the original workspace as necessary. Al termine della migrazione, se si è regolati per conservare i dati nell'area di lavoro originale prima della fine del periodo di conservazione, non eliminarli.Once the migration is complete, if you're governed to retain data in the original workspace before the end of the retention period, don't delete it.

Quando si pianifica la migrazione a questo modello, considerare quanto segue:While planning your migration to this model, consider the following:

  • Informazioni sulle normative del settore e sui criteri interni relativi alla conservazione dei dati che è necessario rispettare.Understand what industry regulations and internal policies regarding data retention you must comply with.
  • Assicurarsi che i team di applicazioni possano lavorare all'interno della funzionalità esistente del contesto delle risorse.Make sure that your application teams can work within the existing resource-context functionality.
  • Identificare l'accesso concesso alle risorse per i team dell'applicazione ed eseguire il test in un ambiente di sviluppo prima dell'implementazione nell'ambiente di produzione.Identify the access granted to resources for your application teams and test in a development environment before implementing in production.
  • Configurare l'area di lavoro per abilitare l' uso delle autorizzazioni di risorse o aree di lavoro.Configure the workspace to enable Use resource or workspace permissions.
  • Rimuovere l'autorizzazione per la lettura e l'esecuzione di query nell'area di lavoro.Remove application teams permission to read and query the workspace.
  • Abilita e configura tutte le soluzioni di monitoraggio, informazioni dettagliate, ad esempio informazioni dettagliate sul contenitore e/o Monitoraggio di Azure per le macchine virtuali, gli account di automazione e le soluzioni di gestione come Gestione aggiornamenti, avviare/arrestare macchine virtuali e così via, che sono state distribuite nell'area di lavoro originale.Enable and configure any monitoring solutions, Insights such as Container insights and/or Azure Monitor for VMs, your Automation account(s), and management solutions such as Update Management, Start/Stop VMs, etc., that were deployed in the original workspace.

Passaggi successiviNext steps

Per implementare le autorizzazioni e i controlli di sicurezza consigliati in questa guida, vedere gestire l'accesso ai log.To implement the security permissions and controls recommended in this guide, review manage access to logs.