Segurança de dados do Log AnalyticsLog Analytics data security

Este documento destina-se a fornecer informações específicas do Log Analytics, que é um recurso do Azure Monitor, para complementar as informações na Central de Confiabilidade do Azure.This document is intended to provide information specific to Log Analytics, which is a feature of Azure Monitor, to supplement the information on Azure Trust Center.

Este artigo explica como os dados são coletados, processados e protegidos pelo Log Analytics no OMS (Operations Management Suite).This article explains how data is collected, processed, and secured by Log Analytics. Você pode usar agentes para se conectar ao serviço Web, usar o System Center Operations Manager para coletar dados operacionais ou recuperar dados de diagnóstico do Azure para uso pelo Log Analytics.You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics.

O serviço Log Analytics gerencia seus dados baseados em nuvem com segurança usando os seguintes métodos:The Log Analytics service manages your cloud-based data securely by using the following methods:

  • Segregação de dadosData segregation
  • Retenção de dadosData retention
  • Segurança físicaPhysical security
  • Gerenciamento de incidentesIncident management
  • ConformidadeCompliance
  • Certificações de padrões de segurançaSecurity standards certifications

Você também pode usar recursos de segurança adicionais incorporados em Azure Monitor e Log Analytics.You can also use additional security features built into Azure Monitor and Log Analytics. Esses recursos exigem mais gerenciamento de administradores.These features require more administrator management.

  • Chaves gerenciadas pelo cliente (segurança)Customer-managed (security) keys
  • Armazenamento privado do AzureAzure Private Storage
  • Rede do Link PrivadoPrivate Link networking
  • Limites de acesso do suporte do Azure definidos pela Lockbox do AzureAzure support access limits set by Azure Lockbox

Entre em contato conosco com quaisquer perguntas, sugestões ou problemas sobre qualquer uma das seguintes informações, incluindo nossas políticas de segurança nas opções de suporte do Azure.Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

Enviando dados com segurança usando o TLS 1.2Sending data securely using TLS 1.2

Para garantir a segurança dos dados em trânsito para o Log Analytics, incentivamos você a configurar o agente para usar pelo menos o protocolo TLS 1.2.To insure the security of data in transit to Log Analytics, we strongly encourage you to configure the agent to use at least Transport Layer Security (TLS) 1.2. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram encontradas vulneráveis e enquanto ele ainda estiver atualmente trabalham para permitir a compatibilidade com versões anteriores, eles são não recomendáveis, e o setor está se movendo rapidamente para abandonar o suporte para esses protocolos mais antigos.Older versions of TLS/Secure Sockets Layer (SSL) have been found to be vulnerable and while they still currently work to allow backwards compatibility, they are not recommended, and the industry is quickly moving to abandon support for these older protocols.

O PCI Security Standards Council tem definido um prazo para 30 de junho de 2018 para desabilitar as versões mais antigas do TLS/SSL e atualizar para proteger mais os protocolos.The PCI Security Standards Council has set a deadline of June 30th, 2018 to disable older versions of TLS/SSL and upgrade to more secure protocols. Depois que o Azure tiver descartado o suporte herdado, se seus agentes não conseguirem se comunicar pelo menos pelo TLS 1.2, você não conseguirá enviar dados para o Log Analytics.Once Azure drops legacy support, if your agents cannot communicate over at least TLS 1.2 you would not be able to send data to Log Analytics.

Não é recomendável definir explicitamente seu agente para usar somente o TLS 1.2, a menos que absolutamente necessário, pois ele pode separar os recursos de segurança em nível de plataforma que permitem que você detecte e use os protocolos mais seguros e mais recentes assim que estiverem automaticamente disponíveis como TLS 1.3.We do not recommend explicitly setting your agent to only use TLS 1.2 unless absolutely necessary, as it can break platform level security features that allow you to automatically detect and take advantage of newer more secure protocols as they become available, such as TLS 1.3.

Diretrizes específicas da plataformaPlatform-specific guidance

Plataforma/linguagemPlatform/Language SuporteSupport Mais informaçõesMore Information
LinuxLinux Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2.Linux distributions tend to rely on OpenSSL for TLS 1.2 support. Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada.Check the OpenSSL Changelog to confirm your version of OpenSSL is supported.
Windows 8.0 - 10Windows 8.0 - 10 Suporte e habilitado por padrão.Supported, and enabled by default. Para confirmar que você ainda está usando o as configurações padrão.To confirm that you are still using the default settings.
Windows Server 2012 - 2016Windows Server 2012 - 2016 Suporte e habilitado por padrão.Supported, and enabled by default. Para confirmar que você ainda está usando as configurações padrãoTo confirm that you are still using the default settings
Windows Server 7 SP1 e Windows Server 2008 R2 SP1Windows 7 SP1 and Windows Server 2008 R2 SP1 Com suporte, mas não habilitado por padrão.Supported, but not enabled by default. Consulte a página configurações do registro de segurança de camada de transporte (TLS) para obter detalhes sobre como habilitar.See the Transport Layer Security (TLS) registry settings page for details on how to enable.

Segregação de dadosData segregation

Depois que seus dados são ingeridos pelo serviço Log Analytics, os dados são mantidos separados logicamente em cada componente no serviço.After your data is ingested by the Log Analytics service, the data is kept logically separate on each component throughout the service. Todos os dados são marcados por workspace.All data is tagged per workspace. Essa marcação persiste em todo o ciclo de vida dos dados e é imposta em cada camada do serviço.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. Os dados ficam armazenados em um banco de dados dedicado no cluster de armazenamento na região selecionada.Your data is stored in a dedicated database in the storage cluster in the region you have selected.

Retenção de dadosData retention

Dados indexados de pesquisa de log são armazenados e retidos de acordo com o plano de preço.Indexed log search data is stored and retained according to your pricing plan. Para obter mais informações, consulte preços de log Analytics.For more information, see Log Analytics Pricing.

Como parte do seu contrato de assinatura, a Microsoft manterá seus dados de acordo com os termos do contrato.As part of your subscription agreement, Microsoft will retain your data per the terms of the agreement. Quando os dados do cliente são removidos, não ocorre a destruição de nenhuma unidade física.When customer data is removed, no physical drives are destroyed.

A tabela a seguir lista algumas das soluções disponíveis e fornece exemplos de tipo de dados coletados.The following table lists some of the available solutions and provides examples of the type of data they collect.

SoluçãoSolution Tipos de dadosData types
Capacidade e DesempenhoCapacity and Performance Dados de desempenho e metadadosPerformance data and metadata
Gerenciamento de atualizaçõesUpdate Management Metadados e dados de estadoMetadata and state data
Gerenciamento de LogLog Management Logs de eventos de definidos pelo usuário, logs de eventos do Windows e/ou os logs do IISUser-defined event logs, Windows Event Logs and/or IIS Logs
Controle de AlteraçõesChange Tracking Inventário de software, serviço Windows e metadados de daemon do Linux e de arquivo do Windows/LinuxSoftware inventory, Windows service and Linux daemon metadata, and Windows/Linux file metadata
Avaliação do SQL e Active DirectorySQL and Active Directory Assessment Dados WMI, dados do registro, dados de desempenho e resultados de exibição do gerenciamento dinâmico do SQL ServerWMI data, registry data, performance data, and SQL Server dynamic management view results

A tabela a seguir mostra exemplos de tipos de dados:The following table shows examples of data types:

Data typeData type FieldsFields
AlertaAlert Nome do Alerta, Descrição do Alerta, BaseManagedEntityId, ID do Problema, IsMonitorAlert, RuleId, ResolutionState, Prioridade, Gravidade, Categoria, Proprietário, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
ConfiguraçãoConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EventoEvent EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Categoria, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Observação: quando você grava eventos com campos personalizados no log de eventos do Windows, o Log Analytics os coleta.Note: When you write events with custom fields in to the Windows event log, Log Analytics collects them.
MetadadosMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
DesempenhoPerformance ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
EstadoState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Segurança físicaPhysical security

O serviço Log Analytics é operado pelo pessoal da Microsoft e todas as atividades são registradas em log e podem ser auditadas.The Log Analytics service is managed by Microsoft personnel and all activities are logged and can be audited. O Log Analytics funciona como um serviço do Azure e atende a todos os requisitos de segurança e conformidade do Azure.Log Analytics is operated as an Azure Service and meets all Azure Compliance and Security requirements. Você pode exibir detalhes sobre a segurança física dos ativos do Azure na página 18 da Visão geral de Segurança do Microsoft Azure.You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. Os direitos de acesso físico a áreas protegidas são alterados em até um dia útil para qualquer pessoa que não tenha mais responsabilidade pelo serviço Log Analytics, incluindo transferência e encerramento.Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the Log Analytics service, including transfer and termination. Você pode ler sobre a infraestrutura física global que usamos em Datacenters da Microsoft.You can read about the global physical infrastructure we use at Microsoft Datacenters.

Gerenciamento de incidentesIncident management

O Log Analytics tem um processo de gerenciamento de incidentes que todos os serviços da Microsoft seguem.Log Analytics has an incident management process that all Microsoft services adhere to. Resumidamente, nós:To summarize, we:

  • Usamos um modelo de responsabilidade compartilhada em que uma parte da responsabilidade pela segurança pertence à Microsoft e uma parte pertence ao clienteUse a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Gerencie incidentes de segurança do Azure:Manage Azure security incidents:
    • Início de uma investigação sobre a detecção de um incidenteStart an investigation upon detection of an incident
    • Avaliamos o impacto e a gravidade de um incidente por um membro da equipe de resposta a incidentes de plantão.Assess the impact and severity of an incident by an on-call incident response team member. Com base nas evidências, a avaliação pode ou não resultar em mais escalonamento para a equipe de resposta de segurança.Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • Diagnosticamos um incidente por especialistas de resposta de segurança para conduzir a investigação forense ou técnica, identificar estratégias de contenção, atenuação e solução alternativa.Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. Se a equipe de segurança acreditar que os dados do cliente podem ter sido expostos a um indivíduo não autorizado ou ilícito, a execução paralela do processo de Notificação de incidente do cliente começa em paralelo.If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • Estabilizamos e recuperamos do incidente.Stabilize and recover from the incident. A equipe de resposta a incidentes cria um plano de recuperação para atenuar o problema.The incident response team creates a recovery plan to mitigate the issue. As etapas de contenção de crise, como colocar os sistemas afetados em quarentena, podem ocorrer imediatamente e em paralelo com o diagnóstico.Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. Atenuações de prazo mais longo podem ser planejadas, o que ocorre após o risco imediato ter terminado.Longer term mitigations may be planned which occur after the immediate risk has passed.
    • Fechamos o incidente e realizamos um post-mortem.Close the incident and conduct a post-mortem. A equipe de resposta a incidentes cria um post-mortem que descreve os detalhes do incidente, com a intenção de revisar as políticas, procedimentos e processos para evitar a recorrência do evento.The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • Notifique os clientes dos incidentes de segurança:Notify customers of security incidents:
    • Determinamos o escopo dos clientes afetados e fornecemos qualquer pessoa que seja afetada como um aviso detalhado conforme possívelDetermine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • Criamos um aviso para fornecer aos clientes informações suficientemente detalhadas para que possam realizar uma investigação do seu lado e atender quaisquer compromissos que tenham firmado com seus usuários finais ao não atrasar indevidamente o processo de notificação.Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • Confirmamos e declaramos o incidente, se necessário.Confirm and declare the incident, as necessary.
    • Notificamos os clientes com uma notificação de incidentes sem demora excessiva e acordo com qualquer compromisso contratual ou legal.Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. As notificações de incidentes de segurança são entregue a um ou mais administradores do cliente por qualquer meio que a Microsoft selecione, inclusive por email.Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • Conduza o treinamento e a prontidão de equipe:Conduct team readiness and training:
    • Os funcionários da Microsoft devem concluir o treinamento de segurança e conscientização, o que os ajuda a identificar e relatar problemas de segurança suspeitos.Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Os operadores que trabalham no serviço Microsoft Azure têm obrigações de treinamento adicionais que envolvem seu acesso a sistemas confidenciais que hospedam dados do cliente.Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • A equipe de resposta de segurança da Microsoft recebe treinamento especializado para suas funçõesMicrosoft security response personnel receive specialized training for their roles

Caso haja uma perda de dados de qualquer cliente, notificamos cada cliente dentro de um dia.If loss of any customer data occurs, we notify each customer within one day. No entanto, a perda de dados do cliente nunca ocorreu com o serviço.However, customer data loss has never occurred with the service.

Para obter mais informações sobre como a Microsoft responde a incidentes de segurança, confira Microsoft Azure Security Response in the Cloud (Resposta de segurança do Microsoft Azure na nuvem).For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

ConformidadeCompliance

O desenvolvimento do software Log Analytics e o serviço de segurança da informação da equipe e o programa de governança dão suporte aos requisitos do negócio e aderem a leis e regulamentos como descrito na Central de Confiabilidade do Azure e na Central de Conformidade da Microsoft.The Log Analytics software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. Como o Log Analytics estabelece os requisitos de segurança, identifica os controles de segurança, gerencia e monitora os riscos também são descritos lá.How Log Analytics establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Anualmente, revisamos as políticas, padrões, procedimentos e diretrizes.Annually, we review polices, standards, procedures, and guidelines.

Cada membro de equipe de desenvolvimento recebe treinamento formal sobre a segurança de aplicativo.Each development team member receives formal application security training. Internamente, usamos um sistema de controle de versão para o desenvolvimento de software.Internally, we use a version control system for software development. Cada projeto de software é protegido pelo sistema de controle de versão.Each software project is protected by the version control system.

A Microsoft tem uma equipe de segurança e conformidade que monitora e analisa todos os serviços na Microsoft.Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. Os responsáveis pela segurança de informações compõem a equipe e eles não são associados às equipes de engenharia que desenvolvem o Log Analytics.Information security officers make up the team and they are not associated with the engineering teams that develops Log Analytics. Os responsáveis pela segurança têm sua própria cadeia de gerenciamento e realizaram avaliações independentes dos produtos e serviços para garantir a segurança e a conformidade.The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

O conselho de diretores da Microsoft é notificado por um relatório anual sobre todos os programas de segurança da informação na Microsoft.Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

A equipe de serviço e desenvolvimento de software do Log Analytics trabalha ativamente com as equipes de conformidade e jurídica da Microsoft e outros parceiros do setor para adquirir várias certificações.The Log Analytics software development and service team are actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

Certificações e atestadosCertifications and attestations

O Azure Log Analytics atende aos seguintes requisitos:Azure Log Analytics meets the following requirements:

Observação

Em algumas certificações/atestados, o Log Analytics está listado com o nome antigo de Operational Insights.In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

Fluxo de dados de segurança de computação em nuvemCloud computing security data flow

O diagrama a seguir mostra uma arquitetura de segurança de nuvem como o fluxo de informações da empresa e como ele é protegido à medida que passa para o serviço Log Analytics e finalmente aparece no portal do Azure.The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the Azure portal. Após o diagrama, mais informações sobre cada etapa.More information about each step follows the diagram.

Imagem de coleta de dados de Log Analytics e segurança

1. Inscreva-se para Log Analytics e colete dados1. Sign up for Log Analytics and collect data

Para sua organização enviar dados ao Log Analytics, você deve configurar um agente do Windows ou Linux em execução em máquinas virtuais do Azure, ou em computadores físicos ou virtuais em seu ambiente ou outro provedor de nuvem.For your organization to send data to Log Analytics, you configure a Windows or Linux agent running on Azure virtual machines, or on virtual or physical computers in your environment or other cloud provider. Se você usar o Operations Manager, você configura o agente do Operations Manager no grupo de gerenciamento.If you use Operations Manager, from the management group you configure the Operations Manager agent. Os usuários (que podem ser você, outros usuários individuais ou um grupo de pessoas) criam um ou mais workspaces do Log Analytics e registram agentes usando uma das seguintes contas:Users (which might be you, other individual users, or a group of people) create one or more Log Analytics workspaces, and register agents by using one of the following accounts:

Um espaço de trabalho do Log Analytics é onde os dados são coletados, agregados, analisados e apresentados.A Log Analytics workspace is where data is collected, aggregated, analyzed, and presented. Um workspace é usado principalmente como um meio para particionar dados e cada workspace é exclusivo.A workspace is primarily used as a means to partition data, and each workspace is unique. Por exemplo, talvez você queira ter seus dados de produção gerenciados com um workspace e seus dados de teste gerenciados com outro workspace.For example, you might want to have your production data managed with one workspace and your test data managed with another workspace. Os workspaces também ajudam um administrador a controlar o acesso dos usuários aos dados.Workspaces also help an administrator control user access to the data. Cada workspace pode ter várias contas de usuário associadas a ele, e cada conta de usuário pode acessar vários workspaces do Log Analytics.Each workspace can have multiple user accounts associated with it, and each user account can access multiple Log Analytics workspaces. Você cria os workspaces com base na região do datacenter.You create workspaces based on datacenter region.

Para o Operations Manager, o grupo de gerenciamento do Operations Manager estabelece uma conexão com o serviço Log Analytics.For Operations Manager, the Operations Manager management group establishes a connection with the Log Analytics service. Você configura quais sistemas gerenciados por agente no grupo de gerenciamento têm permissão para coletar e enviar dados para o serviço.You then configure which agent-managed systems in the management group are allowed to collect and send data to the service. Dependendo da solução que você habilitou, dados dessas soluções são enviados diretamente de um servidor de gerenciamento do Operations Manager para o serviço Log Analytics ou por causa do volume de dados coletados pelo sistema gerenciado por agente, são enviados diretamente do agente para o serviço.Depending on the solution you have enabled, data from these solutions are either sent directly from an Operations Manager management server to the Log Analytics service, or because of the volume of data collected by the agent-managed system, are sent directly from the agent to the service. Para sistemas não monitorados pelo Operations Manager, cada um se conecta com segurança ao serviço Log Analytics diretamente.For systems not monitored by Operations Manager, each connects securely to the Log Analytics service directly.

Toda a comunicação entre os sistemas conectados e o serviço do Log Analytics é criptografada.All communication between connected systems and the Log Analytics service is encrypted. O protocolo TLS (HTTPS) é usado para criptografia.The TLS (HTTPS) protocol is used for encryption. O processo SDL da Microsoft é seguido para garantir que o Log Analytics esteja atualizado com os avanços mais recentes nos protocolos criptográficos.The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

Cada tipo de agente coleta dados para o Log Analytics.Each type of agent collects data for Log Analytics. Os tipos de dados coletados dependem dos tipos de soluções usadas.The type of data that is collected is depends on the types of solutions used. Você pode ver um resumo da coleta de dados em Adicionar soluções do Log Analytics por meio da Galeria de Soluções.You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. Além disso, há informações mais detalhadas de coleção disponíveis para a maioria das soluções.Additionally, more detailed collection information is available for most solutions. Uma solução é um conjunto de exibições predefinidas, de consultas de pesquisa de log, de regras de coleta de dados e de lógica de processamento.A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Somente os administradores podem usar o Log Analytics para importar uma solução.Only administrators can use Log Analytics to import a solution. Após a importação da solução, ela será movida para os servidores de gerenciamento do Operations Manager (se usado) e então para quaisquer agentes escolhidos por você.After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. Depois disso, os agentes coletam os dados.Afterward, the agents collect the data.

2. Enviar dados de agentes2. Send data from agents

Você registra todos os tipos de agente com uma chave de registro e uma conexão segura é estabelecida entre o agente e o serviço de Log Analytics usando a autenticação baseada em certificado e o TLS com a porta 443.You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and TLS with port 443. O Log Analytics usa um repositório secreto para gerar e manter as chaves.Log Analytics uses a secret store to generate and maintain keys. As chaves privadas são rotacionadas a cada 90 dias e armazenadas no Azure e são gerenciadas pelas operações do Azure que seguem práticas de conformidade e regulatórias estritas.Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

Com o Operations Manager, o grupo de gerenciamento registrado com um espaço de trabalho do Log Analytics estabelece uma conexão HTTPS segura com um servidor de gerenciamento do Operations Manager.With Operations Manager, the management group registered with a Log Analytics workspace establishes a secure HTTPS connection with an Operations Manager management server.

Para agentes do Windows ou do Linux em execução em máquinas virtuais do Azure, uma chave de armazenamento somente leitura é usada para ler eventos de diagnóstico nas tabelas do Azure.For Windows or Linux agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

Com agentes subordinados a um grupo de gerenciamento do Operations Manager que esteja integrado ao Log Analytics, se o servidor de gerenciamento não puder se comunicar com o serviço por algum motivo, os dados coletados são armazenados localmente em um cache temporário no servidor de gerenciamento.With any agent reporting to an Operations Manager management group that is integrated with Log Analytics, if the management server is unable to communicate with the service for any reason, the collected data is stored locally in a temporary cache on the management server. Eles tentam reenviar os dados a cada oito minutos durante duas horas.They try to resend the data every eight minutes for two hours. Para dados que ignoram o servidor de gerenciamento e são enviados diretamente ao Log Analytics, o comportamento é consistente com o agente do Windows.For data that bypasses the management server and is sent directly to Log Analytics, the behavior is consistent with the Windows agent.

O Windows ou os dados de agente do servidor de gerenciamento em cache são protegidos pelo armazenamento de credenciais do sistema operacional.The Windows or management server agent cached data is protected by the operating system's credential store. Se o serviço não puder processar os dados depois de duas horas, os agentes colocarão os dados em fila.If the service cannot process the data after two hours, the agents will queue the data. Se a fila encher, o agente começará a remover tipos de dados, começando com os dados de desempenho.If the queue becomes full, the agent starts dropping data types, starting with performance data. O limite de fila do agente é uma chave do registro para que você possa modificá-lo, se necessário.The agent queue limit is a registry key so you can modify it, if necessary. Os dados coletados são compactados e enviados para o serviço, ignorando os bancos de dados de grupos de gerenciamento do Operations Manager, para que ele não adicione carga a eles.Collected data is compressed and sent to the service, bypassing the Operations Manager management group databases, so it does not add any load to them. Depois que os dados coletados forem enviados, eles serão removidos do cache.After the collected data is sent, it is removed from the cache.

Conforme descrito acima, os dados do servidor de gerenciamento ou dos agentes conectados diretamente são enviados por TLS para Microsoft Azure data centers.As described above, data from the management server or direct-connected agents is sent over TLS to Microsoft Azure datacenters. Opcionalmente, você pode usar o ExpressRoute para fornecer segurança adicional para os dados.Optionally, you can use ExpressRoute to provide additional security for the data. O ExpressRoute é uma maneira de se conectar diretamente ao Azure pela rede WAN existente, como um VPN MPLS (multi-protocol label switching), fornecida por um provedor de serviço de rede.ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. Para obter mais informações, consulte ExpressRoute.For more information, see ExpressRoute.

3. o serviço de Log Analytics recebe e processa dados3. The Log Analytics service receives and processes data

O serviço Log Analytics garante que os dados de entrada sejam de uma fonte confiável ao validar certificados e a integridade dos dados com a autenticação do Azure.The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. Os dados brutos não processados são armazenados em um Hub de Eventos do Azure na região em que eventualmente serão armazenados os dados em repouso.The unprocessed raw data is then stored in an Azure Event Hub in the region the data will eventually be stored at rest. Os tipos de dados armazenados dependem dos tipos de soluções importados e usados para coletar dados.The type of data that is stored depends on the types of solutions that were imported and used to collect data. Em seguida, o serviço Log Analytics processa os dados brutos e os consome no banco de dados.Then, the Log Analytics service processes the raw data and ingests it into the database.

O período de retenção dos dados coletados armazenados no banco de dados depende do plano de preços selecionado.The retention period of collected data stored in the database depends on the selected pricing plan. Para a camada Livre, os dados coletados estão disponíveis por sete dias.For the Free tier, collected data is available for seven days. Para a camada Paga, os dados coletados ficam disponíveis durante 31 dias por padrão, mas podem ser estendidos para 730 dias.For the Paid tier, collected data is available for 31 days by default, but can be extended to 730 days. Os dados são armazenados criptografados em repouso no armazenamento do Azure, para garantir a confidencialidade, e os dados são replicados na região local usando o LRS (armazenamento com redundância local).Data is stored encrypted at rest in Azure storage, to ensure data confidentiality, and the data is replicated within the local region using locally redundant storage (LRS). As duas últimas semanas de dados também são armazenadas em cache baseado em SSD e esse cache é criptografado.The last two weeks of data are also stored in SSD-based cache and this cache is encrypted.

4. usar Log Analytics para acessar os dados4. Use Log Analytics to access the data

Para acessar seu espaço de trabalho do Log Analytics, entre no portal do Azure usando a conta organizacional ou uma conta da Microsoft configurada anteriormente.To access your Log Analytics workspace, you sign into the Azure portal using the organizational account or Microsoft account that you set up previously. Todo o tráfego entre o portal e o Log Analytics no serviço é enviado por um canal HTTPS seguro.All traffic between the portal and Log Analytics service is sent over a secure HTTPS channel. Ao usar o portal, uma ID de sessão é gerada no cliente do usuário (navegador da Web) e dados são armazenados em um cache local até que a sessão seja encerrada.When using the portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. Após o encerramento, o cache é excluído.When terminated, the cache is deleted. Os cookies do lado do cliente, que não contêm informações de identificação pessoal, não são removidos automaticamente.Client-side cookies, which do not contain personally identifiable information, are not automatically removed. Os cookies de sessão são marcados como HTTPOnly e são protegidos.Session cookies are marked HTTPOnly and are secured. Após um período ocioso predeterminado, a sessão do portal do Azure é encerrada.After a pre-determined idle period, the Azure portal session is terminated.

Recursos de segurança adicionaisAdditional Security features

Você pode usar esses recursos de segurança adicionais para proteger ainda mais seu ambiente de Azure Monitor/Log Analytics.You can use these additional security features to further secure your Azure Monitor/Log Analytics environment. Esses recursos exigem mais gerenciamento de administradores.These features require more administrator management.

  • Chaves gerenciadas pelo cliente (segurança) -você pode usar chaves gerenciadas pelo cliente para criptografar dados enviados para seus espaços de trabalho do log Analytics.Customer-managed (security) keys - You can use customer-managed keys to encrypt data sent to your Log Analytics workspaces. Ele requer o uso de Azure Key Vault.It requires use of Azure Key Vault.
  • Armazenamento gerenciado por cliente/privado -Gerencie sua conta de armazenamento criptografado pessoalmente e diga log Analytics para usá-la para armazenar dados de monitoramentoPrivate / customer-managed Storage - Manage your personally encrypted storage account and tell Log Analytics to use it to store monitoring data
  • Rede de link privado – o link privado do Azure permite vincular com segurança os serviços de PaaS do Azure (incluindo Azure monitor) à sua rede virtual usando pontos de extremidade privados.Private Link networking - Azure Private Link allows you to securely link Azure PaaS services (including Azure Monitor) to your virtual network using private endpoints.
  • O Lockbox do cliente do Azure -Sistema de Proteção de Dados do Cliente para Microsoft Azure fornece uma interface para os clientes revisarem e aprovarem ou rejeitarem solicitações de acesso a dados do cliente.Azure customer Lockbox - Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests. Ele é usado quando um engenheiro da Microsoft precisa acessar os dados do cliente durante uma solicitação de suporte.It is used in cases where a Microsoft engineer needs to access customer data during a support request.

Próximas etapasNext steps