Sicurezza dei dati di Log AnalyticsLog Analytics data security

Microsoft si impegna a proteggere la privacy e i dati degli utenti, mettendo a disposizione software e servizi che aiutino a gestire l'infrastruttura IT dell'organizzazione.Microsoft is committed to protecting your privacy and securing your data, while delivering software and services that help you manage the IT infrastructure of your organization. Microsoft è a conoscenza della necessità di applicare rigorose misure di sicurezza quando si affidano i dati a terzi.We recognize that when you entrust your data to others, that trust requires rigorous security. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio.Microsoft adheres to strict compliance and security guidelines—from coding to operating a service.

La sicurezza e la protezione dei dati sono altamente prioritarie per Microsoft.Securing and protecting data is a top priority at Microsoft. Contattare Microsoft per qualsiasi domanda, suggerimento o problema riguardo a qualsiasi aspetto delle informazioni riportate in questo articolo, compresi i criteri di sicurezza. A questo scopo, visitare la pagina relativa alle opzioni di supporto di Azure.Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

Questo articolo illustra il modo in cui i dati vengono raccolti, elaborati e protetti da Log Analytics in Operations Management Suite (OMS).This article explains how data is collected, processed, and secured by Log Analytics in the Operations Management Suite (OMS). È possibile usare gli agenti per connettersi al servizio Web, usare System Center Operations Manager per raccogliere dati operativi o recuperare dati da Diagnostica di Azure per usarli in Log Analytics.You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics. I dati raccolti vengono inviati tramite Internet al servizio Log Analytics, che è ospitato in Microsoft Azure, usando l'autenticazione basata sul certificato e SSL 3.The collected data is sent over the Internet using certificate-based authentication & SSL 3 to the Log Analytics service, which is hosted in Microsoft Azure. I dati vengono compressi dall'agente prima che di essere inviati.Data is compressed by the agent before it is sent.

Il servizio Log Analytics gestisce i dati basati sul cloud in modo sicuro usando i metodi seguenti:The Log Analytics service manages your cloud-based data securely by using the following methods:

  • separazione dei datidata segregation
  • conservazione dei datidata retention
  • sicurezza fisicaphysical security
  • gestione di eventi imprevistiincident management
  • conformitàcompliance
  • certificazioni degli standard di sicurezzasecurity standards certifications

Separazione dei datiData segregation

I dati dei clienti vengono mantenuti separati logicamente in ogni componente del servizio OMS.Customer data is kept logically separate on each component throughout the OMS service. Tutti i dati vengono contrassegnati in base all'organizzazione.All data is tagged per organization. Tale contrassegno persiste per tutto il ciclo di vita dei dati e viene applicato a ogni livello del servizio.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. Ogni cliente ha un BLOB di Azure dedicato che ospita i dati a lungo termineEach customer has a dedicated Azure blob that houses the long-term data

Conservazione dei datiData retention

I dati di ricerca nei log indicizzati vengono archiviati e conservati in base al piano tariffario.Indexed log search data is stored and retained according to your pricing plan. Per altre informazioni, vedere Prezzi di Log Analytics.For more information, see Log Analytics Pricing.

Microsoft elimina i dati dei clienti 30 giorni dopo la chiusura dell'area di lavoro OMS.Microsoft deletes customer data 30 days after the OMS workspace is closed. Microsoft elimina anche l'account di archiviazione Azure in cui risiedono i dati.Microsoft also deletes the Azure Storage Account where the data resides. L'eliminazione dei dati del cliente non comporta la distruzione delle unità fisiche.When customer data is removed, no physical drives are destroyed.

La tabella seguente elenca alcune delle soluzioni disponibili in OMS e alcuni esempi dei tipi di dati raccolti da tali soluzioni.The following table lists some of the available solutions in OMS and examples the types of data they collect.

SoluzioneSolution Tipi di datiData types
Configuration AssessmentConfiguration Assessment Dati di configurazione, metadati e dati di statoConfiguration data, metadata, and state data
Capacity PlanningCapacity Planning Dati e metadati sulle prestazioniPerformance data and metadata
AntimalwareAntimalware Dati e metadati di configurazioneConfiguration data and metadata
System Update AssessmentSystem Update Assessment Metadati e dati di statoMetadata and state data
Log ManagementLog Management Log eventi definiti dall'utente, log eventi di Windows e/o log di IISUser-defined event logs, Windows Event Logs and/or IIS Logs
Change TrackingChange Tracking Inventario software e metadati dei servizi di WindowsSoftware inventory and Windows Service metadata
SQL and Active Directory AssessmentSQL and Active Directory Assessment Dati WMI, dati del Registro di sistema, dati sulle prestazioni e risultati delle visualizzazioni a gestione dinamica di SQL ServerWMI data, registry data, performance data, and SQL Server dynamic management view results

La tabella seguente mostra esempi di tipi di dati:The following table shows examples of data types:

Tipo di datiData type FieldsFields
AvvisoAlert Alert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
ConfigurazioneConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EventoEvent EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Nota: OMS raccoglie gli eventi scritti con campi personalizzati nel registro eventi di Windows.Note: When you write events with custom fields in to the Windows event log, OMS collects them.
MetadatiMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
PrestazioniPerformance ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
StatoState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Sicurezza fisicaPhysical security

Log Analytics nel servizio OMS è gestito da personale Microsoft e tutte le attività vengono registrate e possono essere controllate.The Log Analytics in OMS service is manned by Microsoft personnel and all activities are logged and can be audited. Il servizio viene eseguito interamente in Azure e soddisfa i criteri di progettazione comuni di Azure.The service runs completely in Azure and complies with the Azure common engineering criteria. È possibile verificare i dettagli sulla sicurezza fisica delle risorse di Azure a pagina 18 della panoramica della sicurezza in Microsoft Azure.You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. I diritti di accesso fisici per proteggere le aree vengono modificati nell'arco della giornata lavorativa per chi non è più responsabile del servizio OMS, includendo il trasferimento e la chiusura.Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the OMS service, including transfer and termination. Altre informazioni sull'infrastruttura fisica globale sono disponibili nei data center di Microsoft.You can read about the global physical infrastructure we use at Microsoft Datacenters.

Gestione di eventi imprevistiIncident management

OMS dispone di un processo di gestione degli eventi imprevisti a cui aderiscono tutti i servizi di Microsoft.OMS has an incident management process that all Microsoft services adhere to. Per riepilogare:To summarize, we:

  • Usare un modello di responsabilità condivisa in cui la responsabilità della sicurezza viene ripartita tra Microsoft e il clienteUse a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Gestire gli eventi imprevisti correlati alla sicurezza di AzureManage Azure security incidents
    • Avviare un'indagine quando viene rilevato un evento imprevistoStart an investigation upon detection of an incident
    • Far valutare l'impatto e la gravità dell'evento imprevisto a un membro del team di risposta agli eventi imprevisti su chiamata.Assess the impact and severity of an incident by an on-call incident response team member. In base alle prove raccolte, la valutazione può o non può comportare un'ulteriore l'escalation al team di risposta di sicurezza.Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • Far eseguire la diagnosi di un evento imprevisto ad esperti di risposta di sicurezza per condurre l'indagine tecnica o forense e identificare le strategie di contenimento, attenuazione e risoluzione.Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. Se il team di sicurezza ritiene che i dati dei clienti possano essere esposti al rischio di accesso illegale o non autorizzato di un singolo utente, viene avviata l'esecuzione in parallelo del processo di notifica di evento imprevisto al cliente.If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • Stabilizzare e correggere l'evento imprevisto.Stabilize and recover from the incident. Il team di risposta agli eventi imprevisti sviluppa un piano di recupero per porre rimedio al problema.The incident response team creates a recovery plan to mitigate the issue. I passaggi per il contenimento della crisi, ad esempio la messa in quarantena dei sistemi coinvolti, possono verificarsi immediatamente e in parallelo con la diagnosi.Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. È possibile pianificare le operazioni di risoluzione dei problemi a lungo termine che vengono eseguite dopo il superamento del rischio immediato.Longer term mitigations may be planned which occur after the immediate risk has passed.
    • Chiudere l'evento imprevisto ed eseguire una relazione finale.Close the incident and conduct a post-mortem. Il team di risposta agli eventi imprevisti redige una relazione finale che descrive nei dettagli l'evento imprevisto, con l'intenzione di modificare i criteri, le procedure e i processi per evitare che tale evento possa ripetersi in futuro.The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • Inviare ai clienti una notifica sugli eventi imprevisti relativi alla sicurezzaNotify customers of security incidents
    • Determinare l'ambito dei clienti coinvolti e inviare il prima possibile una notifica a chiunque sia stato coinvoltoDetermine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • Creare un avviso per fornire ai clienti tutte le informazioni dettagliate affinché possano svolgere le opportune indagini e rispettare gli impegni presi con gli utenti finali senza ritardare eccessivamente il processo di notifica.Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • Confermare e dichiarare l'evento imprevisto, in base alle esigenze.Confirm and declare the incident, as necessary.
    • Informare i clienti con una notifica sull'evento imprevisto senza ritardi ingiustificati e nel rispetto dei termini legali o contrattuali.Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. La notifica di eventi imprevisti di sicurezza viene recapitata a uno o più amministratori del cliente per mezzo di un qualsiasi canale scelto da Microsoft, inclusa la posta elettronica.Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • Svolgere la formazione e verificare la preparazione del teamConduct team readiness and training
    • Il personale di Microsoft è tenuto a completare una formazione in materia di sicurezza e consapevolezza, per poter identificare e segnalare problemi di sicurezza sospetti.Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Gli operatori che usano il servizio Microsoft Azure hanno l'obbligo di sostenere una formazione aggiuntiva in relazione alla loro possibilità di accedere ai sistemi riservati che ospitano i dati dei clienti.Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • Il personale di risposta di sicurezza Microsoft riceve una formazione specializzata per i ruoli ricopertiMicrosoft security response personnel receive specialized training for their roles

In caso di perdita di dati di un cliente, viene inviata una notifica a tale cliente nell'arco di un giorno.If loss of any customer data occurs, we notify each customer within one day. Tuttavia, in OMS non si è mai verificata alcuna perdita di dati.However, customer data loss has never occurred with OMS. Inoltre, vengono conservate le copie dei dati creati e distribuiti geograficamente.Additionally, we maintain copies of data that was created and it is geographically distributed.

Per altre informazioni sulle modalità di risposta agli eventi imprevisti in merito alla sicurezza di Microsoft, vedere Risposta di Microsoft Azure Security nel cloud.For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

ConformitàCompliance

Il programma di governance e sicurezza delle informazioni del team di servizio e di sviluppo del software OMS supporta i requisiti aziendali e aderisce alle leggi e alle normative, come descritto nel Centro protezione di Microsoft Azure e nella sezione Conformità del centro protezione di Microsoft.The OMS software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. Qui viene anche descritto il modo in cui OMS stabilisce i requisiti di sicurezza, identifica i controlli di sicurezza, gestisce e controlla i rischi.How OMS establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Ogni anno viene effettuata una revisione di criteri, standard, procedure e linee guida.Annually, we review polices, standards, procedures, and guidelines.

Ciascun membro del team di sviluppo di OMS riceve una formazione formale sulla sicurezza delle applicazioni.Each OMS development team member receives formal application security training. Internamente, viene usato un sistema di controllo della versione per lo sviluppo di software, cheInternally, we use a version control system for software development. protegge ogni singolo progetto software.Each software project is protected by the version control system.

Microsoft si avvale di un team per la sicurezza e conformità che supervisiona e valuta tutti i servizi in Microsoft.Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. Il team è composto da addetti alla sicurezza delle informazioni che non sono associati ai reparti tecnici dove si sviluppa OMS.Information security officers make up the team and they are not associated with the engineering departments that develop OMS. Gli addetti alla sicurezza dispongono della propria catena di gestione ed eseguono valutazioni indipendenti di prodotti e servizi per garantirne la sicurezza e la conformità.The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

Il consiglio di amministrazione di Microsoft viene tenuto aggiornato tramite un report annuale su tutti i programmi per la sicurezza delle informazioni messi in atto da Microsoft.Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

Il team dedicato allo sviluppo software e al servizio OMS è impegnato attivamente nella collaborazione con il team legale di Microsoft, nonché con il team dedicato alla gestione della conformità e con altri partner di settore, per acquisire varie certificazioni.The OMS software development and service team is actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

Certificazioni e attestazioniCertifications and attestations

OMS Log Analytics soddisfa i requisiti seguenti:OMS Log Analytics meets the following requirements:

Nota

In alcune certificazioni e attestazioni Log Analytics viene indicato con il nome precedente, Operational Insights.In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

Flusso di dati sulla sicurezza del cloud computingCloud computing security data flow

Il diagramma seguente mostra un'architettura di sicurezza cloud come flusso di informazioni in uscita dall'azienda, il modo in cui tale flusso viene protetto durante il percorso verso il servizio Log Analytics e infine come viene visualizzato nel portale di OMS.The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the OMS portal. IL diagramma riporta anche informazioni aggiuntive su ogni passaggio.More information about each step follows the diagram.

Immagine relativa alla sicurezza e alla raccolta dati di OMS

1. Iscriversi a Log Analytics e raccogliere dati1. Sign up for Log Analytics and collect data

Per consentire all'organizzazione di inviare dati a Log Analytics, configurare gli agenti Windows, gli agenti in esecuzione in macchine virtuali di Azure o gli agenti OMS per Linux.For your organization to send data to Log Analytics, you configure Windows agents, agents running on Azure virtual machines, or OMS Agents for Linux. Se si usano gli agenti di Operations Manager, si userà una configurazione guidata nella console operatore per configurarli.If you use Operations Manager agents, then you use a configuration wizard in the Operations console to configure them. Gli utenti (che possono essere singoli utenti o gruppi di utenti) creano uno o più account OMS (aree di lavoro di OMS) e registrano gli agenti usando uno degli account seguenti:Users (which might be you, other individual users, or a group of people) create one or more OMS accounts (OMS workspaces), and register agents by using one of the following accounts:

Un'area di lavoro di OMS viene usata per raccogliere, aggregare, analizzare e presentare i dati.An OMS workspace is where data is collected, aggregated, analyzed, and presented. Un'area di lavoro è univoca e viene usata principalmente per eseguire la partizione dei dati.A workspace is primarily used as a means to partition data, and each workspace is unique. Si possono ad esempio gestire i dati di produzione con un'area di lavoro di OMS e i dati di test con un'altra area di lavoro.For example, you might want to have your production data managed with one OMS workspace and your test data managed with another workspace. Le aree di lavoro vengono anche usate da un amministratore per controllare l'accesso ai dati ad opera degli utenti.Workspaces also help an administrator control user access to the data. A ogni area di lavoro possono essere associati più account utente, ognuno dei quali può accedere a più aree di lavoro di OMS.Each workspace can have multiple user accounts associated with it, and each user account can access multiple OMS workspaces. Creare le aree di lavoro in base all'area data center.You create workspaces based on datacenter region. Ogni area di lavoro viene replicata negli altri data center dell'area, principalmente per la disponibilità del servizio OMS.Each workspace is replicated to other datacenters in the region, primarily for OMS service availability.

Per Operations Manager, quando la procedura guidata di configurazione viene completata, ogni gruppo di gestione di Operations Manager stabilisce una connessione con il servizio Log Analytics.For Operations Manager, when the configuration wizard completes, each Operations Manager management group establishes a connection with the Log Analytics service. Viene quindi usata la procedura guidata di aggiunta computer per scegliere i computer del gruppo di gestione autorizzati a inviare dati al servizio.You then use the Add Computers Wizard to choose which computers in the management group are allowed to send data to the service. Gli altri tipi di agente si connettono singolarmente in modo sicuro al servizio OMS.For other agent types, each connects securely to the OMS service.

Tutte le comunicazioni tra i sistemi connessi e il servizio di Log Analytics sono crittografate.All communication between connected systems and the Log Analytics service is encrypted. Il protocollo TLS (HTTPS) viene usato per la crittografia.The TLS (HTTPS) protocol is used for encryption. Viene seguita la procedura di Microsoft SDL per assicurare che Log Analytics sia aggiornato con i più recenti progressi nel campo dei protocolli di crittografia.The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

Ogni tipo di agente raccoglie dati per Log Analytics.Each type of agent collects data for Log Analytics. Il tipo di dati raccolti dipende dai tipi di soluzioni usati.The type of data that is collected is depends on the types of solutions used. È possibile visualizzare un riepilogo della raccolta di dati in Aggiungere soluzioni di Log Analytics dalla Raccolta soluzioni.You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. Inoltre, per la maggior parte delle soluzioni sono disponibili altre informazioni dettagliate sulla raccolta.Additionally, more detailed collection information is available for most solutions. Una soluzione è costituita da un bundle di visualizzazioni, query di ricerca, regole di raccolta dati e logica di elaborazione predefinite.A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Solo gli amministratori possono usare Log Analytics per importare una soluzione.Only administrators can use Log Analytics to import a solution. Dopo l'importazione, la soluzione viene spostata nei server di gestione di Operations Manager (se usati) e quindi negli agenti scelti.After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. Gli agenti raccoglieranno quindi i dati.Afterward, the agents collect the data.

2. Invio dei dati dagli agenti2. Send data from agents

Si registrano tutti i tipi di agente con una chiave di registrazione e viene stabilita una connessione sicura tra l'agente e il servizio Log Analytics usando l'autenticazione basata su certificati e SSL con la porta 443.You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and SSL with port 443. OMS usa un archivio segreto per generare e gestire le chiavi.OMS uses a secret store to generate and maintain keys. Le chiavi private sono soggette a rotazione ogni 90 giorni, vengono archiviate in Azure e sono gestite dalle operazioni di Azure in ottemperanza alle procedure consigliate in materia di conformità e normative.Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

Con Operations Manager è possibile registrare un'area di lavoro con il servizio Log Analytics e viene stabilita una connessione HTTPS sicura con il server di gestione di Operations Manager.With Operations Manager, you register a workspace with the Log Analytics service and a secure HTTPS connection is established between the Operations Manager management server.

Per gli agenti Windows in esecuzione in macchine virtuali di Azure, viene usata una chiave di archiviazione di sola lettura per leggere gli eventi di diagnostica nelle tabelle di Azure.For Windows agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

Se un agente non riesce a comunicare con il servizio per un qualsiasi motivo, i dati raccolti vengono memorizzati localmente in una cache temporanea e il server di gestione prova a inviarli nuovamente ogni otto minuti per due ore.If any agent is unable to communicate to the service for any reason, the collected data is stored locally in a temporary cache and the management server tries to resend the data every eight minutes for two hours. I dati memorizzati nella cache dell'agente sono protetti dall'archivio credenziali del sistema operativo.The agent's cached data is protected by the operating system's credential store. Se il servizio non può elaborare i dati dopo due ore, i dati vengono accodati dagli agenti.If the service cannot process the data after two hours, the agents will queue the data. Se la coda si riempie, OMS inizia l'eliminazione dei tipi di dati, a partire da dati sulle prestazioni.If the queue becomes full, OMS starts dropping data types, starting with performance data. Il limite delle code agente è una chiave di registro modificabile quando necessario.The agent queue limit is a registry key so you can modify it, if necessary. I dati raccolti vengono compressi e inviati al servizio ignorando i database locali, che in questo modo non vengono sovraccaricati.Collected data is compressed and sent to the service, bypassing on-premises databases, so it does not add any load to them. Dopo l'invio, i dati raccolti vengono rimossi dalla cache.After the collected data is sent, it is removed from the cache.

Come descritto sopra, i dati provenienti dagli agenti vengono inviati tramite SSL ai data center di Microsoft Azure.As described above, data from your agents is sent over SSL to Microsoft Azure datacenters. Facoltativamente, è possibile usare ExpressRoute per proteggere ulteriormente i dati.Optionally, you can use ExpressRoute to provide additional security for the data. ExpressRoute è un modo per connettersi direttamente ad Azure da una rete WAN esistente, ad esempio una rete VPN MPLS (multi-protocol label switching), fornita da un provider di servizi di rete.ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. Per altre informazioni, vedere ExpressRoute.For more information, see ExpressRoute.

3. Il servizio Log Analytics riceve ed elabora i dati3. The Log Analytics service receives and processes data

Per garantire che i dati in arrivo provengano da un'origine attendibile, il servizio Log Analytics convalida i certificati e l'integrità dei dati con l'autenticazione di Azure.The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. I dati non elaborati vengono quindi archiviati come BLOB in Archiviazione di Microsoft Azure senza essere crittografati.The unprocessed raw data is then stored as a blob in Microsoft Azure Storage and is not encrypted. Tuttavia, ogni BLOB del servizio di archiviazione di Azure ha un set univoco di chiavi accessibile solo all'utente specifico.However, each Azure storage blob has a set of unique set of keys, that is accessible only to that user. Il tipo dei dati archiviati dipende dai tipi di soluzioni importati e usati per raccogliere i dati.The type of data that is stored depends on the types of solutions that were imported and used to collect data. Successivamente, il servizio Log Analytics elabora i dati non elaborati per il BLOB del servizio di archiviazione di Azure.Then, the Log Analytics service processes the raw data for the Azure storage blob.

4. Usare Log Analytics per accedere ai dati4. Use Log Analytics to access the data

È possibile accedere a Log Analytics nel portale di OMS usando l'account aziendale o l'account Microsoft configurato prima.You can sign in to Log Analytics in the OMS portal by using the organizational account or Microsoft account that you set up previously. Tutto il traffico tra il portale di OMS e Log Analytics in OMS viene inviato tramite un canale HTTPS sicuro.All traffic between the OMS portal and Log Analytics in OMS is sent over a secure HTTPS channel. Quando si usa il portale di OMS, viene generato un ID di sessione nel client utente (browser Web) e i dati vengono archiviati in una cache locale fino al termine della sessione.When using the OMS portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. Dopodiché, la cache viene svuotata.When terminated, the cache is deleted. I cookie sul lato client, che non contengono informazioni personali, non vengono rimossi automaticamente.Client-side cookies, which do not contain personally identifiable information, are not automatically removed. I cookie di sessione sono protetti e contrassegnati HTTPOnly.Session cookies are marked HTTPOnly and are secured. Dopo un periodo di inattività prestabilito, la sessione del portale OMS termina.After a pre-determined idle period, the OMS portal session is terminated.

Usando il portale di OMS è possibile esportare i dati in un file CSV e accedervi con le API di ricerca.Using the OMS portal, you can export data to a CSV file and you can access data using Search APIs. L'esportazione CSV è limitata a 50.000 righe per operazione e i dati API sono limitati a 5.000 righe per ricerca.CSV export is limited to 50,000 rows per export and API data is restricted to 5,000 rows per search.

Passaggi successiviNext steps