Sicurezza dei dati di Log AnalyticsLog Analytics data security

Scopo di questo documento è fornire informazioni specifiche per Log Analytics, una funzionalità di Monitoraggio di Azure, che integrino le informazioni disponibili nel Centro protezione di Azure.This document is intended to provide information specific to Log Analytics, which is a feature of Azure Monitor, to supplement the information on Azure Trust Center.

Questo articolo illustra il modo in cui i dati vengono raccolti, elaborati e protetti da Log Analytics.This article explains how data is collected, processed, and secured by Log Analytics. È possibile usare gli agenti per connettersi al servizio Web, usare System Center Operations Manager per raccogliere dati operativi o recuperare dati da Diagnostica di Azure per usarli in Log Analytics.You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics.

Il servizio Log Analytics gestisce i dati basati sul cloud in modo sicuro usando i metodi seguenti:The Log Analytics service manages your cloud-based data securely by using the following methods:

  • Separazione dei datiData segregation
  • Conservazione dei datiData retention
  • Sicurezza fisicaPhysical security
  • Gestione di eventi imprevistiIncident management
  • ConformitàCompliance
  • Certificazioni degli standard di sicurezzaSecurity standards certifications

È anche possibile usare funzionalità di sicurezza aggiuntive incorporate in monitoraggio di Azure e Log Analytics.You can also use additional security features built into Azure Monitor and Log Analytics. Queste funzionalità richiedono una maggiore gestione degli amministratori.These features require more administrator management.

  • Chiavi gestite dal cliente (sicurezza)Customer-managed (security) keys
  • Archiviazione privata di AzureAzure Private Storage
  • Rete a collegamento privatoPrivate Link networking
  • Limiti di accesso del supporto di Azure impostati da Azure archivioAzure support access limits set by Azure Lockbox

Contattare Microsoft per qualsiasi domanda, suggerimento o problema riguardo a qualsiasi aspetto delle informazioni riportate in questo articolo, compresi i criteri di sicurezza. A questo scopo, visitare la pagina relativa alle opzioni di supporto di Azure.Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

Invio dei dati in modo sicuro tramite TLS 1.2Sending data securely using TLS 1.2

Per garantire la sicurezza dei dati in transito verso Log Analytics, è consigliabile configurare l'agente in modo da usare almeno il protocollo Transport Layer Security (TLS) 1.2.To insure the security of data in transit to Log Analytics, we strongly encourage you to configure the agent to use at least Transport Layer Security (TLS) 1.2. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state considerate vulnerabili. Nonostante siano ancora attualmente in uso per questioni di compatibilità con le versioni precedenti, non sono consigliate e il settore interromperà a breve il supporto per questi tipi precedenti di protocollo.Older versions of TLS/Secure Sockets Layer (SSL) have been found to be vulnerable and while they still currently work to allow backwards compatibility, they are not recommended, and the industry is quickly moving to abandon support for these older protocols.

Il PCI Security Standards Council ha imposto il 30 giugno 2018 come scadenza per disabilitare le versioni precedenti di TLS/SSL ed eseguire l'aggiornamento a protocolli più sicuri.The PCI Security Standards Council has set a deadline of June 30th, 2018 to disable older versions of TLS/SSL and upgrade to more secure protocols. Al termine del supporto legacy di Azure, non sarà possibile inviare dati a Log Analytics se gli agenti non possono comunicare almeno tramite il protocollo TLS 1.2.Once Azure drops legacy support, if your agents cannot communicate over at least TLS 1.2 you would not be able to send data to Log Analytics.

Non è consigliabile impostare in modo esplicito l'agente perché usi solo il protocollo TLS 1.2, a meno che non sia assolutamente necessario. Questa scelta potrebbe causare l'interruzione delle funzionalità di sicurezza a livello di piattaforma che consentono di rilevare automaticamente e sfruttare i vantaggi di protocolli più recenti e più sicuri quando saranno disponibili, ad esempio TLS 1.3.We do not recommend explicitly setting your agent to only use TLS 1.2 unless absolutely necessary, as it can break platform level security features that allow you to automatically detect and take advantage of newer more secure protocols as they become available, such as TLS 1.3.

Indicazioni specifiche in base alla piattaformaPlatform-specific guidance

Piattaforma/linguaggioPlatform/Language SupportoSupport Altre informazioniMore Information
LinuxLinux Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2.Linux distributions tend to rely on OpenSSL for TLS 1.2 support. Controllare nel log delle modifiche di OpenSSL per assicurarsi che la versione di OpenSSL sia supportata.Check the OpenSSL Changelog to confirm your version of OpenSSL is supported.
Windows 8.0 - 10Windows 8.0 - 10 Supportato e abilitato per impostazione predefinita.Supported, and enabled by default. Assicurarsi che le impostazioni predefinite siano ancora in uso.To confirm that you are still using the default settings.
Windows Server 2012 - 2016Windows Server 2012 - 2016 Supportato e abilitato per impostazione predefinita.Supported, and enabled by default. Per verificare che le impostazioni predefinite siano ancora utilizzateTo confirm that you are still using the default settings
Windows 7 SP1 e Windows Server 2008 R2 SP1Windows 7 SP1 and Windows Server 2008 R2 SP1 Supportato ma non abilitato per impostazione predefinita.Supported, but not enabled by default. Vedere la pagina Transport Layer Security (TLS) registry settings (Impostazioni del Registro di sistema di Transport Layer Security (TLS)) per informazioni dettagliate su come eseguire l'abilitazione.See the Transport Layer Security (TLS) registry settings page for details on how to enable.

Separazione dei datiData segregation

Dopo essere stati inseriti nel servizio Log Analytics, i dati vengono mantenuti separati logicamente in ogni componente del servizio.After your data is ingested by the Log Analytics service, the data is kept logically separate on each component throughout the service. Tutti i dati vengono contrassegnati in base all'area di lavoro.All data is tagged per workspace. Tale contrassegno persiste per tutto il ciclo di vita dei dati e viene applicato a ogni livello del servizio.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. I dati sono archiviati in un database dedicato nel cluster di archiviazione nell'area selezionata.Your data is stored in a dedicated database in the storage cluster in the region you have selected.

Conservazione dei datiData retention

I dati di ricerca nei log indicizzati vengono archiviati e conservati in base al piano tariffario.Indexed log search data is stored and retained according to your pricing plan. Per ulteriori informazioni, vedere log Analytics prezzi.For more information, see Log Analytics Pricing.

Microsoft conserva i dati secondo i termini del contratto di sottoscrizione.As part of your subscription agreement, Microsoft will retain your data per the terms of the agreement. L'eliminazione dei dati del cliente non comporta la distruzione delle unità fisiche.When customer data is removed, no physical drives are destroyed.

La tabella seguente elenca alcune delle soluzioni disponibili e propone alcuni esempi del tipo di dati raccolti da tali soluzioni.The following table lists some of the available solutions and provides examples of the type of data they collect.

SoluzioneSolution Tipi di datiData types
Capacity and PerformanceCapacity and Performance Dati e metadati sulle prestazioniPerformance data and metadata
Gestione degli aggiornamentiUpdate Management Metadati e dati di statoMetadata and state data
Log ManagementLog Management Log eventi definiti dall'utente, log eventi di Windows e/o log di IISUser-defined event logs, Windows Event Logs and/or IIS Logs
Rilevamento modificheChange Tracking Inventario software, metadati di daemon dei servizi di Windows e Linux e metadati di file Windows/LinuxSoftware inventory, Windows service and Linux daemon metadata, and Windows/Linux file metadata
SQL and Active Directory AssessmentSQL and Active Directory Assessment Dati WMI, dati del Registro di sistema, dati sulle prestazioni e risultati delle visualizzazioni a gestione dinamica di SQL ServerWMI data, registry data, performance data, and SQL Server dynamic management view results

La tabella seguente mostra esempi di tipi di dati:The following table shows examples of data types:

Tipo di datiData type FieldsFields
AvvisoAlert Alert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
ConfigurazioneConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EventEvent EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Nota: Log Analytics raccoglie gli eventi scritti con campi personalizzati nel registro eventi di Windows.Note: When you write events with custom fields in to the Windows event log, Log Analytics collects them.
MetadatiMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
PrestazioniPerformance ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
StateState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Sicurezza fisicaPhysical security

Il servizio Log Analytics è gestito da personale Microsoft e tutte le attività vengono registrate e possono essere controllate.The Log Analytics service is managed by Microsoft personnel and all activities are logged and can be audited. Log Analytics viene gestito come servizio di Azure e soddisfa tutti i requisiti di conformità e di sicurezza di Azure.Log Analytics is operated as an Azure Service and meets all Azure Compliance and Security requirements. È possibile verificare i dettagli sulla sicurezza fisica delle risorse di Azure a pagina 18 della panoramica della sicurezza in Microsoft Azure.You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. I diritti di accesso fisici per proteggere le aree vengono modificati nell'arco della giornata lavorativa per chi non è più responsabile del servizio Log Analytics, includendo il trasferimento e la chiusura.Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the Log Analytics service, including transfer and termination. Altre informazioni sull'infrastruttura fisica globale sono disponibili nei data center di Microsoft.You can read about the global physical infrastructure we use at Microsoft Datacenters.

Gestione di eventi imprevistiIncident management

Log Analytics dispone di un processo di gestione degli eventi imprevisti a cui aderiscono tutti i servizi di Microsoft.Log Analytics has an incident management process that all Microsoft services adhere to. Per riepilogare:To summarize, we:

  • Usare un modello di responsabilità condivisa in cui la responsabilità della sicurezza viene ripartita tra Microsoft e il clienteUse a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Gestire gli eventi imprevisti correlati alla sicurezza di Azure:Manage Azure security incidents:
    • Avviare un'indagine quando viene rilevato un evento imprevistoStart an investigation upon detection of an incident
    • Far valutare l'impatto e la gravità dell'evento imprevisto a un membro del team di risposta agli eventi imprevisti su chiamata.Assess the impact and severity of an incident by an on-call incident response team member. In base alle prove raccolte, la valutazione può o non può comportare un'ulteriore l'escalation al team di risposta di sicurezza.Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • Far eseguire la diagnosi di un evento imprevisto ad esperti di risposta di sicurezza per condurre l'indagine tecnica o forense e identificare le strategie di contenimento, attenuazione e risoluzione.Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. Se il team di sicurezza ritiene che i dati dei clienti possano essere esposti al rischio di accesso illegale o non autorizzato di un singolo utente, viene avviata l'esecuzione in parallelo del processo di notifica di evento imprevisto al cliente.If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • Stabilizzare e correggere l'evento imprevisto.Stabilize and recover from the incident. Il team di risposta agli eventi imprevisti sviluppa un piano di recupero per porre rimedio al problema.The incident response team creates a recovery plan to mitigate the issue. I passaggi per il contenimento della crisi, ad esempio la messa in quarantena dei sistemi coinvolti, possono verificarsi immediatamente e in parallelo con la diagnosi.Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. È possibile pianificare le operazioni di risoluzione dei problemi a lungo termine che vengono eseguite dopo il superamento del rischio immediato.Longer term mitigations may be planned which occur after the immediate risk has passed.
    • Chiudere l'evento imprevisto ed eseguire una relazione finale.Close the incident and conduct a post-mortem. Il team di risposta agli eventi imprevisti redige una relazione finale che descrive nei dettagli l'evento imprevisto, con l'intenzione di modificare i criteri, le procedure e i processi per evitare che tale evento possa ripetersi in futuro.The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • Inviare ai clienti una notifica sugli eventi imprevisti relativi alla sicurezza:Notify customers of security incidents:
    • Determinare l'ambito dei clienti coinvolti e inviare il prima possibile una notifica a chiunque sia stato coinvoltoDetermine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • Creare un avviso per fornire ai clienti tutte le informazioni dettagliate affinché possano svolgere le opportune indagini e rispettare gli impegni presi con gli utenti finali senza ritardare eccessivamente il processo di notifica.Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • Confermare e dichiarare l'evento imprevisto, in base alle esigenze.Confirm and declare the incident, as necessary.
    • Informare i clienti con una notifica sull'evento imprevisto senza ritardi ingiustificati e nel rispetto dei termini legali o contrattuali.Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. La notifica di eventi imprevisti di sicurezza viene recapitata a uno o più amministratori del cliente per mezzo di un qualsiasi canale scelto da Microsoft, inclusa la posta elettronica.Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • Svolgere la formazione e verificare la preparazione del team:Conduct team readiness and training:
    • Il personale di Microsoft è tenuto a completare una formazione in materia di sicurezza e consapevolezza, per poter identificare e segnalare problemi di sicurezza sospetti.Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Gli operatori che usano il servizio Microsoft Azure hanno l'obbligo di sostenere una formazione aggiuntiva in relazione alla loro possibilità di accedere ai sistemi riservati che ospitano i dati dei clienti.Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • Il personale di risposta di sicurezza Microsoft riceve una formazione specializzata per i ruoli ricopertiMicrosoft security response personnel receive specialized training for their roles

In caso di perdita di dati di un cliente, viene inviata una notifica a tale cliente nell'arco di un giorno.If loss of any customer data occurs, we notify each customer within one day. Con il servizio non si è tuttavia mai verificata alcuna perdita di dati.However, customer data loss has never occurred with the service.

Per altre informazioni sulle modalità di risposta agli eventi imprevisti in merito alla sicurezza di Microsoft, vedere Risposta di Microsoft Azure Security nel cloud.For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

ConformitàCompliance

Il programma di governance e per la sicurezza delle informazioni del team di sviluppo e assistenza del software Log Analytics supporta requisiti interni ed è conforme alle leggi e alle normative, come descritto nel Centro protezione di Azure e nella sezione Conformità del centro protezione di Microsoft.The Log Analytics software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. Qui viene anche descritto il modo in cui Log Analytics stabilisce i requisiti di sicurezza, identifica i controlli di sicurezza, gestisce e controlla i rischi.How Log Analytics establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Ogni anno viene effettuata una revisione di criteri, standard, procedure e linee guida.Annually, we review polices, standards, procedures, and guidelines.

Ciascun membro del team di sviluppo riceve una formazione formale sulla sicurezza delle applicazioni.Each development team member receives formal application security training. Internamente, viene usato un sistema di controllo della versione per lo sviluppo di software, cheInternally, we use a version control system for software development. protegge ogni singolo progetto software.Each software project is protected by the version control system.

Microsoft si avvale di un team per la sicurezza e conformità che supervisiona e valuta tutti i servizi in Microsoft.Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. Il team è composto da addetti alla sicurezza delle informazioni che non sono associati ai team tecnici che sviluppano Log Analytics.Information security officers make up the team and they are not associated with the engineering teams that develops Log Analytics. Gli addetti alla sicurezza dispongono della propria catena di gestione ed eseguono valutazioni indipendenti di prodotti e servizi per garantirne la sicurezza e la conformità.The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

Il consiglio di amministrazione di Microsoft viene tenuto aggiornato tramite un report annuale su tutti i programmi per la sicurezza delle informazioni messi in atto da Microsoft.Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

Il team dedicato allo sviluppo software e al servizio Log Analytics è impegnato attivamente nella collaborazione con il team legale di Microsoft, nonché con il team dedicato alla gestione della conformità e con altri partner di settore, per acquisire varie certificazioni.The Log Analytics software development and service team are actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

Certificazioni e attestazioniCertifications and attestations

Azure Log Analytics soddisfa i requisiti seguenti:Azure Log Analytics meets the following requirements:

Nota

In alcune certificazioni e attestazioni Log Analytics viene indicato con il nome precedente, Operational Insights.In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

Flusso di dati sulla sicurezza del cloud computingCloud computing security data flow

Il diagramma seguente mostra un'architettura di sicurezza cloud come flusso di informazioni in uscita dall'azienda, il modo in cui tale flusso viene protetto durante il percorso verso il servizio Log Analytics e infine come viene visualizzato nel portale di Azure.The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the Azure portal. IL diagramma riporta anche informazioni aggiuntive su ogni passaggio.More information about each step follows the diagram.

Immagine relativa alla sicurezza e alla raccolta dati di Log Analytics

1. iscriversi per Log Analytics e raccogliere i dati1. Sign up for Log Analytics and collect data

Per permettere all'organizzazione di inviare dati a Log Analytics, configurare un agente Windows o Linux in esecuzione sulle macchine virtuali Azure o sui computer fisici o virtuali nell'ambiente o in un altro provider di servizi cloud.For your organization to send data to Log Analytics, you configure a Windows or Linux agent running on Azure virtual machines, or on virtual or physical computers in your environment or other cloud provider. Se si usa Operations Manager, dal gruppo di gestione configurare l'agente di Operations Manager.If you use Operations Manager, from the management group you configure the Operations Manager agent. Gli utenti (che possono essere utenti singoli o gruppi) creano una o più aree di lavoro di Log Analytics e registrano gli agenti usando uno degli account seguenti:Users (which might be you, other individual users, or a group of people) create one or more Log Analytics workspaces, and register agents by using one of the following accounts:

Un'area di lavoro Log Analytics viene usata per raccogliere, aggregare, analizzare e presentare i dati.A Log Analytics workspace is where data is collected, aggregated, analyzed, and presented. Un'area di lavoro è univoca e viene usata principalmente per eseguire la partizione dei dati.A workspace is primarily used as a means to partition data, and each workspace is unique. Si possono ad esempio gestire i dati di produzione con un'area di lavoro e i dati di test con un'altra area di lavoro.For example, you might want to have your production data managed with one workspace and your test data managed with another workspace. Le aree di lavoro vengono anche usate da un amministratore per controllare l'accesso ai dati ad opera degli utenti.Workspaces also help an administrator control user access to the data. A ogni area di lavoro possono essere associati più account utente, ognuno dei quali può accedere a più aree di lavoro di Log Analytics.Each workspace can have multiple user accounts associated with it, and each user account can access multiple Log Analytics workspaces. Creare le aree di lavoro in base all'area data center.You create workspaces based on datacenter region.

Per Operations Manager, il gruppo di gestione di Operations Manager stabilisce una connessione con il servizio Log Analytics.For Operations Manager, the Operations Manager management group establishes a connection with the Log Analytics service. Quindi si specificano i sistemi gestiti tramite agente del gruppo di gestione a cui è consentito raccogliere e inviare dati al servizio.You then configure which agent-managed systems in the management group are allowed to collect and send data to the service. A seconda della soluzione abilitata, i dati di queste soluzioni vengono inviati direttamente da un server di gestione di Operations Manager al servizio Log Analytics oppure, a causa del volume dei dati raccolti dal sistema gestito dall'agente, vengono inviati direttamente dall'agente al servizio.Depending on the solution you have enabled, data from these solutions are either sent directly from an Operations Manager management server to the Log Analytics service, or because of the volume of data collected by the agent-managed system, are sent directly from the agent to the service. Per i sistemi non monitorati da Operations Manager, ognuno si connette in modo sicuro direttamente al servizio Log Analytics.For systems not monitored by Operations Manager, each connects securely to the Log Analytics service directly.

Tutte le comunicazioni tra i sistemi connessi e il servizio di Log Analytics sono crittografate.All communication between connected systems and the Log Analytics service is encrypted. Il protocollo TLS (HTTPS) viene usato per la crittografia.The TLS (HTTPS) protocol is used for encryption. Viene seguita la procedura di Microsoft SDL per assicurare che Log Analytics sia aggiornato con i più recenti progressi nel campo dei protocolli di crittografia.The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

Ogni tipo di agente raccoglie dati per Log Analytics.Each type of agent collects data for Log Analytics. Il tipo di dati raccolti dipende dai tipi di soluzioni usati.The type of data that is collected is depends on the types of solutions used. È possibile visualizzare un riepilogo della raccolta di dati in Aggiungere soluzioni di Log Analytics dalla Raccolta soluzioni.You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. Inoltre, per la maggior parte delle soluzioni sono disponibili altre informazioni dettagliate sulla raccolta.Additionally, more detailed collection information is available for most solutions. Una soluzione è costituita da un bundle di visualizzazioni, query di ricerca, regole di raccolta dati e logica di elaborazione predefinite.A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Solo gli amministratori possono usare Log Analytics per importare una soluzione.Only administrators can use Log Analytics to import a solution. Dopo l'importazione, la soluzione viene spostata nei server di gestione di Operations Manager (se usati) e quindi negli agenti scelti.After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. Gli agenti raccoglieranno quindi i dati.Afterward, the agents collect the data.

2. Invio dei dati dagli agenti2. Send data from agents

Si registrano tutti i tipi di agente con una chiave di registrazione e viene stabilita una connessione sicura tra l'agente e il servizio Log Analytics usando l'autenticazione basata su certificati e TLS con la porta 443.You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and TLS with port 443. Log Analytics usa un archivio segreto per generare e gestire le chiavi.Log Analytics uses a secret store to generate and maintain keys. Le chiavi private sono soggette a rotazione ogni 90 giorni, vengono archiviate in Azure e sono gestite dalle operazioni di Azure in ottemperanza alle procedure consigliate in materia di conformità e normative.Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

Con Operations Manager, il gruppo di gestione registrato con un'area di lavoro Log Analytics stabilisce una connessione HTTPS protetta con un server di gestione di Operations Manager.With Operations Manager, the management group registered with a Log Analytics workspace establishes a secure HTTPS connection with an Operations Manager management server.

Per gli agenti Windows o Linux in esecuzione su macchine virtuali di Azure, viene usata una chiave di archiviazione di sola lettura per leggere gli eventi di diagnostica nelle tabelle di Azure.For Windows or Linux agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

Per ogni agente che invia report a un gruppo di gestione di Operations Manager integrato con Log Analytics, se il server di gestione non è in grado di comunicare con il servizio per un motivo qualsiasi, i dati raccolti vengono archiviati in locale in una cache temporanea sul server di gestione.With any agent reporting to an Operations Manager management group that is integrated with Log Analytics, if the management server is unable to communicate with the service for any reason, the collected data is stored locally in a temporary cache on the management server. Provano a inviare i dati ogni 8 minuti per 2 ore.They try to resend the data every eight minutes for two hours. Per i dati che ignorano il server di gestione e vengono inviati direttamente a Log Analytics, il comportamento è coerente con l'agente di Windows.For data that bypasses the management server and is sent directly to Log Analytics, the behavior is consistent with the Windows agent.

I dati memorizzati nella cache dell'agente del server di gestione o Windows sono protetti dall'archivio credenziali del sistema operativo.The Windows or management server agent cached data is protected by the operating system's credential store. Se il servizio non può elaborare i dati dopo due ore, i dati vengono accodati dagli agenti.If the service cannot process the data after two hours, the agents will queue the data. Se la coda si riempie, l'agente inizia a eliminare i tipi di dati, a partire dai dati sulle prestazioni.If the queue becomes full, the agent starts dropping data types, starting with performance data. Il limite delle code agente è una chiave di registro modificabile quando necessario.The agent queue limit is a registry key so you can modify it, if necessary. I dati raccolti vengono compressi e inviati al servizio ignorando i database dei gruppi di gestione di Operations Manager, che in questo modo non vengono sovraccaricati.Collected data is compressed and sent to the service, bypassing the Operations Manager management group databases, so it does not add any load to them. Dopo l'invio, i dati raccolti vengono rimossi dalla cache.After the collected data is sent, it is removed from the cache.

Come descritto in precedenza, i dati provenienti dal server di gestione o dagli agenti connessi direttamente vengono inviati tramite TLS a Microsoft Azure Data Center.As described above, data from the management server or direct-connected agents is sent over TLS to Microsoft Azure datacenters. Facoltativamente, è possibile usare ExpressRoute per proteggere ulteriormente i dati.Optionally, you can use ExpressRoute to provide additional security for the data. ExpressRoute è un modo per connettersi direttamente ad Azure da una rete WAN esistente, ad esempio una rete VPN MPLS (multi-protocol label switching), fornita da un provider di servizi di rete.ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. Per altre informazioni, vedere ExpressRoute.For more information, see ExpressRoute.

3. il servizio Log Analytics riceve ed elabora i dati3. The Log Analytics service receives and processes data

Per garantire che i dati in arrivo provengano da un'origine attendibile, il servizio Log Analytics convalida i certificati e l'integrità dei dati con l'autenticazione di Azure.The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. I dati non elaborati vengono quindi archiviati in un Hub di eventi di Azure nell'area in cui verranno infine archiviati i dati inattivi.The unprocessed raw data is then stored in an Azure Event Hub in the region the data will eventually be stored at rest. Il tipo dei dati archiviati dipende dai tipi di soluzioni importati e usati per raccogliere i dati.The type of data that is stored depends on the types of solutions that were imported and used to collect data. Successivamente, il servizio Log Analytics elabora i dati non elaborati e li inserisce nel database.Then, the Log Analytics service processes the raw data and ingests it into the database.

Il periodo di conservazione dei dati raccolti archiviati nel database varia a seconda del piano tariffario selezionato.The retention period of collected data stored in the database depends on the selected pricing plan. Per il livello gratuito, i dati raccolti sono disponibili per sette giorni.For the Free tier, collected data is available for seven days. Per il livello a pagamento, i dati raccolti sono disponibili per 31 giorni per impostazione predefinita, ma è possibile estendere il periodo a 730 giorni.For the Paid tier, collected data is available for 31 days by default, but can be extended to 730 days. I dati vengono archiviati in modalità crittografata quando sono inattivi in Archiviazione di Azure, per garantirne la riservatezza, e vengono replicati all'interno dell'area locale mediante archiviazione con ridondanza locale (LRS).Data is stored encrypted at rest in Azure storage, to ensure data confidentiality, and the data is replicated within the local region using locally redundant storage (LRS). Le ultime due settimane di dati vengono archiviate anche nella cache basata su SSD e questa cache è crittografata.The last two weeks of data are also stored in SSD-based cache and this cache is encrypted.

4. utilizzare Log Analytics per accedere ai dati4. Use Log Analytics to access the data

Per accedere all'area di lavoro Log Analytics, accedere al portale di Azure usando l'account aziendale o l'account Microsoft configurato prima.To access your Log Analytics workspace, you sign into the Azure portal using the organizational account or Microsoft account that you set up previously. Tutto il traffico tra il portale e il servizio Log Analytics viene inviato tramite un canale HTTPS sicuro.All traffic between the portal and Log Analytics service is sent over a secure HTTPS channel. Quando si usa il portale, viene generato un ID di sessione nel client utente (Web browser) e i dati vengono archiviati in una cache locale fino al termine della sessione.When using the portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. Dopodiché, la cache viene svuotata.When terminated, the cache is deleted. I cookie sul lato client, che non contengono informazioni personali, non vengono rimossi automaticamente.Client-side cookies, which do not contain personally identifiable information, are not automatically removed. I cookie di sessione sono protetti e contrassegnati HTTPOnly.Session cookies are marked HTTPOnly and are secured. Dopo un periodo di inattività prestabilito, la sessione del portale di Azure termina.After a pre-determined idle period, the Azure portal session is terminated.

Funzionalità di sicurezza aggiuntiveAdditional Security features

È possibile usare queste funzionalità di sicurezza aggiuntive per proteggere ulteriormente l'ambiente di monitoraggio/Log Analytics di Azure.You can use these additional security features to further secure your Azure Monitor/Log Analytics environment. Queste funzionalità richiedono una maggiore gestione degli amministratori.These features require more administrator management.

  • Chiavi gestite dal cliente (sicurezza) : è possibile usare chiavi gestite dal cliente per crittografare i dati inviati alle aree di lavoro log Analytics.Customer-managed (security) keys - You can use customer-managed keys to encrypt data sent to your Log Analytics workspaces. Richiede l'uso di Azure Key Vault.It requires use of Azure Key Vault.
  • Archiviazione privata/gestita dal cliente -gestire l'account di archiviazione con crittografia personale e indicare a log Analytics di usarlo per archiviare i dati di monitoraggioPrivate / customer-managed Storage - Manage your personally encrypted storage account and tell Log Analytics to use it to store monitoring data
  • Rete a collegamento privato -collegamento privato di Azure consente di collegare in modo sicuro i servizi PaaS di Azure (incluso monitoraggio di Azure) alla rete virtuale usando endpoint privati.Private Link networking - Azure Private Link allows you to securely link Azure PaaS services (including Azure Monitor) to your virtual network using private endpoints.
  • Archivio clienti di Azure : Customer Lockbox per Microsoft Azure fornisce un'interfaccia per consentire ai clienti di esaminare e approvare o rifiutare le richieste di accesso ai dati del cliente.Azure customer Lockbox - Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti durante una richiesta di supporto.It is used in cases where a Microsoft engineer needs to access customer data during a support request.

Passaggi successiviNext steps