Sdílet prostřednictvím


Osvědčené postupy pro protokoly služby Azure Monitor

Tento článek obsahuje osvědčené postupy architektury pro protokoly služby Azure Monitor. Pokyny vycházejí z pěti pilířů efektivity architektury popsané v architektuře Azure Well-Architected Framework.

Spolehlivost

Spolehlivost označuje schopnost systému zotavit se ze selhání a nadále fungovat. Cílem je minimalizovat účinky jedné neúspěšné komponenty. Následující informace vám pomůžou minimalizovat selhání pracovních prostorů služby Log Analytics a chránit data, která shromažďují.

Pracovní prostory služby Log Analytics nabízejí vysoký stupeň spolehlivosti. Kanál příjmu dat, který odesílá shromážděná data do pracovního prostoru služby Log Analytics, ověří, že pracovní prostor služby Log Analytics úspěšně zpracuje každý záznam protokolu předtím, než odebere záznam z kanálu. Pokud kanál příjmu dat není dostupný, agenti, kteří odesílají vyrovnávací paměť dat, a zkusí protokoly odeslat několik hodin znovu.

Funkce protokolů služby Azure Monitor, které zvyšují odolnost

Protokoly služby Azure Monitor nabízí několik funkcí, které zlepšují odolnost pracovních prostorů vůči různým typům problémů. Tyto funkce můžete používat jednotlivě nebo v kombinaci v závislosti na vašich potřebách.

Toto video obsahuje přehled možností spolehlivosti a odolnosti, které jsou k dispozici pro pracovní prostory služby Log Analytics:

Ochrana v jednotlivých oblastech pomocí zón dostupnosti

Každá oblast Azure, která podporuje zóny dostupnosti, má sadu datacenter vybavených nezávislým napájením, chlazením a síťovou infrastrukturou.

Zóny dostupnosti protokolů služby Azure Monitor jsou redundantní, což znamená, že Microsoft rozloží žádosti o služby a replikuje data napříč různými zónami v podporovaných oblastech. Pokud incident ovlivní jednu zónu, Microsoft místo toho automaticky použije jinou zónu dostupnosti v dané oblasti. Nemusíte nic dělat, protože přepínání mezi zónami je bezproblémové.

Ve většině oblastí podporují zóny dostupnosti služby Azure Monitor odolnost dat, což znamená, že uložená data jsou chráněná před ztrátou dat související se selháními zón, ale operace služeb můžou mít stále vliv na regionální incidenty. Pokud služba nemůže spouštět dotazy, nemůžete zobrazit protokoly, dokud se problém nevyřeší.

Podmnožina zón dostupnosti, které podporují odolnost dat, také podporuje odolnost služeb, což znamená, že operace služby Azure Monitor Logs – například příjem protokolů, dotazy a výstrahy – můžou pokračovat v případě selhání zóny.

Zóny dostupnosti chrání před incidenty souvisejícími s infrastrukturou, jako jsou selhání úložiště. Nechrání se před problémy na úrovni aplikace, jako jsou chybná nasazení kódu nebo selhání certifikátů, které mají vliv na celou oblast.

Zálohování dat z konkrétních tabulek pomocí průběžného exportu

Data odesílaná do konkrétních tabulek v pracovním prostoru Služby Log Analytics můžete průběžně exportovat do účtů úložiště Azure.

Účet úložiště, do které exportujete data, musí být ve stejné oblasti jako pracovní prostor služby Log Analytics. Pokud chcete chránit a mít přístup k přijatým protokolům, i když je oblast pracovního prostoru mimo provoz, použijte geograficky redundantní účet úložiště, jak je vysvětleno v doporučeních konfigurace.

Mechanismus exportu neposkytuje ochranu před incidenty, které mají vliv na kanál příjmu dat nebo samotný proces exportu.

Poznámka:

K datům v účtu úložiště můžete přistupovat z protokolů služby Azure Monitor pomocí operátoru externaldata. Exportovaná data jsou ale uložená v pětiminutových objektech blob a analýza dat, která pokrývají více objektů blob, může být těžkopádná. Proto je export dat do účtu úložiště dobrým mechanismem zálohování dat, ale zálohování dat v účtu úložiště není ideální, pokud je potřebujete pro analýzu v protokolech služby Azure Monitor. Velké objemy dat objektů blob můžete dotazovat pomocí Azure Data Exploreru, Azure Data Factory nebo jakéhokoli jiného nástroje pro přístup k úložišti.

Ochrana dat napříč oblastmi a odolnost služeb pomocí replikace pracovního prostoru (Preview)

Replikace pracovního prostoru (Preview) je nejrozsáhlejší řešení odolnosti, protože replikuje pracovní prostor služby Log Analytics a příchozí protokoly do jiné oblasti.

Replikace pracovního prostoru chrání protokoly i operace služby a umožňuje pokračovat v monitorování systémů v případě incidentů týkajících se infrastruktury nebo aplikací v celé oblasti.

Na rozdíl od zón dostupnosti, které spravuje Microsoft, musíte monitorovat stav primárního pracovního prostoru a rozhodnout se, kdy se má přepnout do pracovního prostoru v sekundární oblasti a zpět.

Kontrolní seznam návrhu

  • Pokud chcete zajistit odolnost služeb a dat vůči incidentům v celé oblasti, povolte replikaci pracovního prostoru.
  • Pokud chcete zajistit ochranu v oblasti před selháním datacentra, vytvořte pracovní prostor v oblasti, která podporuje zóny dostupnosti.
  • Pro zálohování dat napříč oblastmi v konkrétních tabulkách použijte funkci průběžného exportu k odesílání dat do geograficky replikovaného účtu úložiště.
  • Monitorujte stav pracovních prostorů služby Log Analytics.

Doporučení pro konfiguraci

Doporučení Výhoda
Pokud chcete zajistit největší míru odolnosti, povolte replikaci pracovního prostoru. Odolnost mezi oblastmi pro operace dat a služeb pracovního prostoru

Replikace pracovního prostoru (Preview) zajišťuje vysokou dostupnost vytvořením sekundární instance pracovního prostoru v jiné oblasti a ingestováním protokolů do obou pracovních prostorů.

V případě potřeby přepněte do sekundárního pracovního prostoru, dokud se nevyřeší problémy, které mají vliv na primární pracovní prostor. V sekundárním pracovním prostoru můžete dál ingestovat protokoly, dotazovat se na data, používat řídicí panely, výstrahy a Sentinel. Máte také přístup k protokolům přijatým před přepnutím oblasti.

Jedná se o placenou funkci, proto zvažte, jestli chcete replikovat všechny příchozí protokoly, nebo jenom některé datové proudy.
Pokud je to možné, vytvořte pracovní prostor v oblasti, která podporuje odolnost služby Azure Monitor. Odolnost dat a služeb pracovního prostoru v oblasti v případě problémů s datacentrem

Zóny dostupnosti, které podporují odolnost služeb, také podporují odolnost dat. To znamená, že i když bude celé datové centrum nedostupné, redundance mezi zónami umožňuje operacím služby Azure Monitor, jako je příjem dat a dotazování, dál fungovat a ingestované protokoly zůstanou dostupné.

Zóny dostupnosti poskytují ochranu v jednotlivých oblastech, ale nechrání před problémy, které mají vliv na celou oblast.

Informace o oblastech, které podporují odolnost dat, najdete v tématu Vylepšení odolnosti dat a služeb v protokolech služby Azure Monitor pomocí zón dostupnosti.
Vytvořte pracovní prostor v oblasti, která podporuje odolnost dat. Ochrana v oblasti před ztrátou protokolů v pracovním prostoru v případě problémů s datacentrem

Vytvoření pracovního prostoru v oblasti, která podporuje odolnost dat, znamená, že i v případě nedostupnosti celého datacentra jsou ingestované protokoly bezpečné.
Pokud služba nemůže spouštět dotazy, nemůžete zobrazit protokoly, dokud se problém nevyřeší.

Informace o oblastech, které podporují odolnost dat, najdete v tématu Vylepšení odolnosti dat a služeb v protokolech služby Azure Monitor pomocí zón dostupnosti.
Nakonfigurujte export dat z konkrétních tabulek do účtu úložiště, který se replikuje napříč oblastmi. Udržujte záložní kopii dat protokolu v jiné oblasti.

Funkce exportu dat ve službě Azure Monitor umožňuje nepřetržitě exportovat data odesílaná do konkrétních tabulek do úložiště Azure, kde je možné uchovávat po delší období. Pomocí účtu geograficky redundantního úložiště (GRS) nebo geograficky zónově redundantního úložiště (GZRS) udržujte svá data v bezpečí, i když bude celá oblast nedostupná. Pokud chcete, aby vaše data byla čitelná z ostatních oblastí, nakonfigurujte účet úložiště pro přístup pro čtení do sekundární oblasti. Další informace najdete v tématu Redundance služby Azure Storage v sekundární oblasti a přístup ke čtení k datům v sekundární oblasti.

U tabulek, které nepodporují průběžný export dat, můžete k ochraně dat použít jiné metody exportu dat, včetně Logic Apps. Jedná se především o řešení, které splňuje dodržování předpisů pro uchovávání dat, protože jejich analýza a obnovení do pracovního prostoru může být obtížné.

Export dat je náchylný k regionálním incidentům, protože závisí na stabilitě kanálu příjmu dat služby Azure Monitor ve vaší oblasti. Neposkytuje odolnost proti incidentům, které mají vliv na místní kanál příjmu dat.
Monitorujte stav pracovních prostorů služby Log Analytics. Pomocí přehledů pracovního prostoru služby Log Analytics můžete sledovat neúspěšné dotazy a vytvořit upozornění na stav, které vás proaktivně upozorní, pokud se pracovní prostor kvůli selhání datacentra nebo oblasti stane nedostupným.

Porovnání funkcí odolnosti protokolů služby Azure Monitor

Funkce Odolnost služeb Zálohování dat Vysoká dostupnost Rozsah ochrany Nastavení Náklady
Replikace pracovního prostoru Ochrana mezi oblastmi před incidenty na úrovni celé oblasti Povolte replikaci pracovního prostoru a souvisejících pravidel shromažďování dat. Podle potřeby můžete přepínat mezi oblastmi. Na základě počtu replikovaných gb a oblasti.
Zóny dostupnosti
V podporovaných oblastech
Ochrana dat v oblasti před problémy s datovým centrem Automaticky povoleno v podporovaných oblastech. Žádné náklady
Průběžný export dat Ochrana před ztrátou dat kvůli selhání oblasti 1 Povolit pro každou tabulku Náklady na export dat + objekt blob služby Storage nebo Event Hubs

1 Export dat poskytuje ochranu mezi oblastmi, pokud exportujete protokoly do geograficky replikovaného účtu úložiště. V případě incidentu se dříve exportovaná data zálohují a jsou snadno k dispozici; Další export však může selhat v závislosti na povaze incidentu.

Zabezpečení

Zabezpečení je jedním z nejdůležitějších aspektů jakékoli architektury. Azure Monitor poskytuje funkce, které využívají princip nejnižších oprávnění i hloubkové ochrany. Následující informace slouží k maximalizaci zabezpečení pracovních prostorů služby Log Analytics a zajištění přístupu ke shromážděným datům jenom autorizovaným uživatelům.

Kontrolní seznam návrhu

  • Určete, jestli chcete zkombinovat provozní data a data zabezpečení ve stejném pracovním prostoru služby Log Analytics.
  • Nakonfigurujte přístup pro různé typy dat v pracovním prostoru vyžadovaných pro různé role ve vaší organizaci.
  • Zvažte použití privátního propojení Azure k odebrání přístupu k vašemu pracovnímu prostoru z veřejných sítí.
  • Klíče spravované zákazníkem použijte, pokud potřebujete vlastní šifrovací klíč k ochraně dat a uložených dotazů ve vašich pracovních prostorech.
  • Exportujte data auditu pro dlouhodobé uchovávání nebo neměnnost.
  • Nakonfigurujte auditování dotazů protokolu, abyste mohli sledovat, kteří uživatelé spouštět dotazy.
  • Určete strategii filtrování nebo obfukování citlivých dat v pracovním prostoru.
  • Vyprázdnění citlivých dat, která byla náhodně shromážděna.
  • Povolte Customer Lockbox pro Microsoft Azure, aby schvalovat nebo odmítal žádosti o přístup k datům Microsoftu.

Doporučení pro konfiguraci

Doporučení Výhoda
Určete, jestli chcete zkombinovat provozní data a data zabezpečení ve stejném pracovním prostoru služby Log Analytics. Vaše rozhodnutí o kombinování těchto dat závisí na vašich konkrétních požadavcích na zabezpečení. Když je zkombinujete v jednom pracovním prostoru, získáte lepší přehled o všech vašich datech, i když váš bezpečnostní tým může vyžadovat vyhrazený pracovní prostor. Podrobnosti o tom, jak toto rozhodnutí pro vaše prostředí vyvážit pomocí kritérií v jiných pilířích, najdete v tématu Návrh strategie pracovního prostoru služby Log Analytics.

Kompromis: Povolení služby Sentinel ve vašem pracovním prostoru může mít potenciální dopad na náklady. Podrobnosti najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.
Nakonfigurujte přístup pro různé typy dat v pracovním prostoru vyžadovaných pro různé role ve vaší organizaci. Nastavte režim řízení přístupu pro pracovní prostor tak, aby používal oprávnění prostředku nebo pracovního prostoru, aby vlastníci prostředků mohli používat kontext prostředků pro přístup k datům bez udělení explicitního přístupu k pracovnímu prostoru. To zjednodušuje konfiguraci pracovního prostoru a pomáhá zajistit, aby uživatelé nemohli přistupovat k datům, která by neměli.

Přiřaďte odpovídající integrovanou roli , která správcům udělí oprávnění k pracovnímu prostoru na úrovni předplatného, skupiny prostředků nebo pracovního prostoru v závislosti na rozsahu zodpovědností.

Využijte řízení přístupu na úrovni tabulky pro uživatele, kteří vyžadují přístup k sadě tabulek napříč několika prostředky. Uživatelé s oprávněními tabulky mají přístup ke všem datům v tabulce bez ohledu na jejich oprávnění k prostředkům.

Podrobnosti o různých možnostech udělení přístupu k datům v pracovním prostoru najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics.
Zvažte použití privátního propojení Azure k odebrání přístupu k vašemu pracovnímu prostoru z veřejných sítí. Připojení k veřejným koncovým bodům jsou zabezpečená pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, můžete pomocí privátního propojení Azure povolit prostředkům připojení k pracovnímu prostoru služby Log Analytics prostřednictvím autorizovaných privátních sítí. Privátní propojení se dá použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN. Přečtěte si téma Návrh nastavení služby Azure Private Link pro určení nejlepší topologie sítě a DNS pro vaše prostředí.
Klíče spravované zákazníkem použijte, pokud potřebujete vlastní šifrovací klíč k ochraně dat a uložených dotazů ve vašich pracovních prostorech. Azure Monitor zajišťuje, že všechna data a uložené dotazy jsou v klidovém stavu zašifrované pomocí klíčů spravovaných Microsoftem (MMK). Pokud potřebujete vlastní šifrovací klíč a shromažďujete dostatek dat pro vyhrazený cluster, použijte klíč spravovaný zákazníkem pro větší flexibilitu a kontrolu životního cyklu klíčů. Pokud používáte Microsoft Sentinel, ujistěte se, že znáte důležité informace o nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel.
Exportujte data auditu pro dlouhodobé uchovávání nebo neměnnost. Možná jste ve svém pracovním prostoru shromáždili data auditu, která podléhají předpisům vyžadujícím dlouhodobé uchovávání. Data v pracovním prostoru služby Log Analytics nejde změnit, ale dají se vyprázdnit. Export dat můžete použít k odesílání dat do účtu úložiště Azure se zásadami neměnnosti, které chrání před manipulací s daty. Ne každý typ protokolů má stejnou důležitost pro dodržování předpisů, auditování nebo zabezpečení, takže určete konkrétní datové typy, které by se měly exportovat.
Nakonfigurujte auditování dotazů protokolu, abyste mohli sledovat, kteří uživatelé spouštět dotazy. Auditování dotazů protokolu zaznamenává podrobnosti pro každý dotaz, který se spouští v pracovním prostoru. Zachází s daty auditu jako s daty zabezpečení a odpovídajícím způsobem zabezpečte tabulku LAQueryLogs . Nakonfigurujte protokoly auditu pro každý pracovní prostor, který se má odeslat do místního pracovního prostoru, nebo konsolidovat do vyhrazeného pracovního prostoru zabezpečení, pokud oddělíte provozní a bezpečnostní data. Pomocí přehledů pracovního prostoru služby Log Analytics pravidelně kontrolujte tato data a zvažte vytvoření pravidel upozornění prohledávání protokolů, která vás proaktivně upozorní, pokud se neoprávnění uživatelé pokoušejí spouštět dotazy.
Určete strategii filtrování nebo obfukování citlivých dat v pracovním prostoru. Možná shromažďujete data, která obsahují citlivé informace. Filtrování záznamů, které by se neměly shromažďovat pomocí konfigurace pro konkrétní zdroj dat. Transformace použijte, pokud by měly být odebrány nebo obfuskovány pouze konkrétní sloupce v datech.

Pokud máte standardy, které vyžadují, aby původní data byla nezměněná, můžete v dotazech KQL použít literál "h" k obfuscate výsledkům dotazu zobrazeným v sešitech.
Vyprázdnění citlivých dat, která byla náhodně shromážděna. Pravidelně kontrolujte soukromá data, která by mohla být náhodně shromážděna ve vašem pracovním prostoru, a pomocí vyprázdnění dat je odeberte.
Povolte Customer Lockbox pro Microsoft Azure, aby schvalovat nebo odmítal žádosti o přístup k datům Microsoftu. Customer Lockbox pro Microsoft Azure poskytuje rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k datům zákazníků. Používá se v případech, kdy technik společnosti Microsoft potřebuje získat přístup k zákaznickým datům, ať už v reakci na zákaznický lístek podpory nebo problém identifikovaný společností Microsoft. Pokud chcete povolit Customer Lockbox, potřebujete vyhrazený cluster.
Lockbox se momentálně nedá použít u tabulek s pomocným plánem.

Optimalizace nákladů

Optimalizace nákladů se týká způsobů, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Můžete výrazně snížit náklady na Azure Monitor tím, že pochopíte různé možnosti konfigurace a příležitosti ke snížení množství dat, která shromažďuje. Podívejte se na informace o nákladech a využití služby Azure Monitor, abyste pochopili různé způsoby poplatků za Azure Monitor a způsob zobrazení měsíční faktury.

Poznámka:

Viz Optimalizace nákladů ve službě Azure Monitor , kde najdete doporučení pro optimalizaci nákladů ve všech funkcích služby Azure Monitor.

Kontrolní seznam návrhu

  • Určete, jestli chcete zkombinovat provozní data a data zabezpečení ve stejném pracovním prostoru služby Log Analytics.
  • Nakonfigurujte cenovou úroveň pro množství dat, která každý pracovní prostor služby Log Analytics obvykle shromažďuje.
  • Nakonfigurujte uchovávání a archivaci dat.
  • Nakonfigurujte tabulky používané pro ladění, odstraňování potíží a auditování jako základní protokoly.
  • Omezte shromažďování dat ze zdrojů dat pro pracovní prostor.
  • Pravidelně analyzujte shromážděná data za účelem identifikace trendů a anomálií.
  • Vytvořte upozornění, když je shromažďování dat vysoké.
  • Zvažte denní limit jako preventivní opatření, abyste zajistili, že nepřekročíte konkrétní rozpočet.
  • Nastavte upozornění na doporučení k nákladům azure Advisoru pro pracovní prostory služby Log Analytics.

Doporučení pro konfiguraci

Doporučení Výhoda
Určete, jestli chcete zkombinovat provozní data a data zabezpečení ve stejném pracovním prostoru služby Log Analytics. Vzhledem k tomu, že všechna data v pracovním prostoru služby Log Analytics podléhají cenám služby Microsoft Sentinel, pokud je služba Sentinel povolená, může to mít za kombinování těchto dat vliv na náklady. Podrobnosti o tom, jak toto rozhodnutí pro vaše prostředí vyvážit pomocí kritérií v jiných pilířích, najdete v tématu Návrh strategie pracovního prostoru služby Log Analytics.
Nakonfigurujte cenovou úroveň pro množství dat, která každý pracovní prostor služby Log Analytics obvykle shromažďuje. Ve výchozím nastavení budou pracovní prostory služby Log Analytics používat ceny s průběžnými platbami bez minimálního objemu dat. Pokud shromáždíte dostatek dat, můžete výrazně snížit náklady pomocí úrovně závazku, která vám umožní potvrdit denní minimum shromážděných dat výměnou za nižší sazbu. Pokud shromáždíte dostatek dat napříč pracovními prostory v jedné oblasti, můžete je propojit s vyhrazeným clusterem a zkombinovat jejich shromážděný svazek pomocí cen clusteru.

Podrobnosti o úrovních závazku a pokyny k určení nejvhodnější úrovně využití najdete v výpočtech a možnostech protokolů služby Azure Monitor. Pokud chcete zobrazit odhadované náklady na využití na různých cenových úrovních, přečtěte si informace o využití a odhadovaných nákladech .
Nakonfigurujte interaktivní a dlouhodobé uchovávání dat. Za uchovávání dat v pracovním prostoru služby Log Analytics se účtují poplatky nad rámec výchozích 31 dnů (90 dní, pokud je v pracovním prostoru povolená služba Sentinel a 90 dnů pro data Application Insights). Zvažte konkrétní požadavky na to, aby data byla snadno dostupná pro dotazy na protokoly. Náklady můžete výrazně snížit tím, že nakonfigurujete dlouhodobé uchovávání, což vám umožní uchovávat data po dobu až 10 let a stále k němu přistupovat příležitostně pomocí úloh vyhledávání nebo obnovení sady dat do pracovního prostoru.
Nakonfigurujte tabulky používané pro ladění, odstraňování potíží a auditování jako základní protokoly. Tabulky v pracovním prostoru služby Log Analytics nakonfigurované pro základní protokoly mají nižší náklady na příjem dat výměny za omezené funkce a poplatky za dotazy na protokoly. Pokud se na tyto tabulky dotazujete zřídka a nepoužíváte je k upozorňování, můžou být náklady na dotazy vyšší než posun nižšími náklady na příjem dat.
Omezte shromažďování dat ze zdrojů dat pro pracovní prostor. Primárním faktorem nákladů na Azure Monitor je množství dat, která shromažďujete v pracovním prostoru služby Log Analytics, takže byste měli zajistit, abyste nezjistili žádná další data, která potřebujete k posouzení stavu a výkonu služeb a aplikací. Podrobnosti o tom, jak toto rozhodnutí pro vaše prostředí vyvážit pomocí kritérií v jiných pilířích, najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.

Kompromis: Mezi náklady a vašimi požadavky na monitorování může být kompromis. S vysokou vzorkovací rychlostí můžete například rychleji zjistit problém s výkonem, ale můžete chtít nižší vzorkovací frekvenci, abyste ušetřili náklady. Většina prostředí má více zdrojů dat s různými typy kolekcí, takže je potřeba vyvážit konkrétní požadavky s vašimi nákladovými cíli pro každou z nich. Doporučení ke konfiguraci shromažďování pro různé zdroje dat najdete v tématu Optimalizace nákladů ve službě Azure Monitor .
Pravidelně analyzujte shromážděná data za účelem identifikace trendů a anomálií. Pomocí přehledů pracovního prostoru služby Log Analytics můžete pravidelně kontrolovat množství dat shromážděných ve vašem pracovním prostoru. Kromě toho, že vám pomůže pochopit množství dat shromážděných různými zdroji, identifikuje anomálie a vzestupné trendy v kolekci dat, které by mohly vést k nadměrným nákladům. Další analýza shromažďování dat pomocí metod analýzy využití v pracovním prostoru Služby Log Analytics za účelem zjištění, jestli existuje další konfigurace, která může vaše využití dále snížit. To je zvlášť důležité, když přidáte novou sadu zdrojů dat, například novou sadu virtuálních počítačů nebo připojíte novou službu.
Vytvořte upozornění, když je shromažďování dat vysoké. Abyste se vyhnuli neočekávaným fakturám, měli byste být proaktivně upozorněni, kdykoli dojde k nadměrnému využití. Oznámení umožňuje řešit případné anomálie před koncem fakturačního období.
Zvažte denní limit jako preventivní opatření, abyste zajistili, že nepřekročíte konkrétní rozpočet. Denní limit zakáže shromažďování dat v pracovním prostoru služby Log Analytics po zbytek dne po dosažení nakonfigurovaného limitu. Neměli byste ho používat jako metodu ke snížení nákladů, jak je popsáno v tématu Kdy použít denní limit.

Pokud nastavíte denní limit, kromě vytvoření výstrahy při dosažení limitu se ujistěte, že vytvoříte také pravidlo upozornění, které se bude informovat při dosažení určité procentuální hodnoty (například 90 %. Získáte tak příležitost prozkoumat a vyřešit příčinu zvýšeného množství dat před vypnutím shromažďování dat.
Nastavte upozornění na doporučení k nákladům azure Advisoru pro pracovní prostory služby Log Analytics. Doporučení Azure Advisoru pro pracovní prostory Log Analytics proaktivně upozorňují, když máte příležitost optimalizovat náklady. Vytvořte upozornění Azure Advisoru pro tato doporučení k nákladům:
  • Zvažte konfiguraci nákladově efektivního plánu základních protokolů u vybraných tabulek – Zjistili jsme příjem dat více než 1 GB za měsíc do tabulek, které mají nárok na plán základního protokolu s nízkými náklady. Plán základního protokolu poskytuje možnosti dotazů pro ladění a řešení potíží s nižšími náklady.
  • Zvažte změnu cenové úrovně na základě aktuálního objemu využití a prozkoumejte změnu cenové úrovně (závazku), abyste získali slevu a snížili náklady.
  • Zvažte odebrání nepoužívaných obnovených tabulek – v pracovním prostoru máte jednu nebo více tabulek s aktivními obnovenými daty. Pokud už obnovená data nepoužíváte, odstraňte tabulku, abyste se vyhnuli zbytečným poplatkům.
  • Zjistili jsme anomálii příjmu dat – v závislosti na příjmu dat za tři předchozí týdny jsme zjistili mnohem vyšší míru příjmu dat. Poznamenejte si tuto změnu a očekávanou změnu nákladů.
Automaticky generované doporučení můžete zobrazit také výběrem doporučení přehledu> nebo doporučení Advisoru v nabídce prostředků pracovního prostoru služby Log Analytics.

Provozní dokonalost

Efektivita provozu se týká provozních procesů, které vyžadují zachování spolehlivého provozu služby v produkčním prostředí. Následující informace použijte k minimalizaci provozních požadavků na podporu pracovních prostorů služby Log Analytics.

Kontrolní seznam návrhu

  • Navrhněte architekturu pracovního prostoru s minimálním počtem pracovních prostorů, aby splňovaly vaše obchodní požadavky.
  • Použití infrastruktury jako kódu (IaC) při správě více pracovních prostorů
  • Pomocí přehledů pracovního prostoru služby Log Analytics můžete sledovat stav a výkon pracovních prostorů služby Log Analytics.
  • Vytvořte pravidla upozornění, která budou proaktivně upozorněna na provozní problémy v pracovním prostoru.
  • Ujistěte se, že máte dobře definovaný provozní proces pro oddělení dat.

Doporučení pro konfiguraci

Doporučení Výhoda
Navrhněte strategii pracovního prostoru tak, aby splňovala vaše obchodní požadavky. Pokyny k návrhu strategie pro pracovní prostory služby Log Analytics najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics, včetně toho, kolik jich se má vytvořit a kam je umístit.

Jeden nebo alespoň minimální počet pracovních prostorů maximalizuje provozní efektivitu, protože omezuje distribuci vašich provozních a bezpečnostních dat, zvyšuje viditelnost potenciálních problémů, usnadňuje identifikaci vzorů a minimalizuje požadavky na údržbu.

Možná máte požadavky na více pracovních prostorů, jako je několik tenantů, nebo možná budete potřebovat pracovní prostory ve více oblastech, abyste mohli podporovat požadavky na dostupnost. V těchto případech se ujistěte, že máte vhodné procesy pro správu této zvýšené složitosti.
Použití infrastruktury jako kódu (IaC) při správě více pracovních prostorů K definování podrobností pracovních prostorů v ARM, BICEP nebo Terraformu použijte infrastrukturu jako kód (IaC). Díky tomu můžete využít stávající procesy DevOps k nasazení nových pracovních prostorů a azure Policy k vynucení jejich konfigurace.
Pomocí přehledů pracovního prostoru služby Log Analytics můžete sledovat stav a výkon pracovních prostorů služby Log Analytics. Přehledy pracovních prostorů služby Log Analytics poskytují jednotné zobrazení využití, výkonu, stavu, agentů, dotazů a protokolu změn pro všechny vaše pracovní prostory. Tyto informace si pravidelně projděte a sledujte stav a provoz jednotlivých pracovních prostorů.
Vytvořte pravidla upozornění, která budou proaktivně upozorněna na provozní problémy v pracovním prostoru. Každý pracovní prostor má tabulku operací, která protokoluje důležité aktivity ovlivňující pracovní prostor. Vytvořte pravidla upozornění na základě této tabulky, která budou proaktivně upozorňována, když dojde k provoznímu problému. Pomocí doporučených upozornění pro pracovní prostor můžete zjednodušit vytváření nejdůležitějších pravidel upozornění.
Ujistěte se, že máte dobře definovaný provozní proces pro oddělení dat. Pro různé typy dat uložených ve vašem pracovním prostoru můžete mít různé požadavky. Ujistěte se, že při navrhování strategie pracovního prostoru a konfiguraci nastavení, jako jsou oprávnění a dlouhodobé uchovávání, jasně rozumíte požadavkům, jako je uchovávání dat a zabezpečení dat. Měli byste mít také jasně definovaný proces pro občasné vymazání dat osobními údaji, které se náhodně shromažďují.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Následující informace vám použijí k zajištění maximálního výkonu pracovních prostorů služby Log Analytics a dotazů na protokoly.

Kontrolní seznam návrhu

  • Nakonfigurujte auditování dotazů protokolu a pomocí přehledů pracovního prostoru služby Log Analytics identifikujte pomalé a neefektivní dotazy.

Doporučení pro konfiguraci

Doporučení Výhoda
Nakonfigurujte auditování dotazů protokolu a pomocí přehledů pracovního prostoru služby Log Analytics identifikujte pomalé a neefektivní dotazy. Auditování dotazů protokolu ukládá výpočetní čas potřebný ke spuštění každého dotazu a času, dokud se nevrátí výsledky. Přehledy pracovních prostorů služby Log Analytics používají tato data k výpisu potenciálně neefektivních dotazů ve vašem pracovním prostoru. Zvažte přepsání těchto dotazů, aby se zlepšil jejich výkon. Pokyny k optimalizaci dotazů protokolu najdete v tématu Optimalizace dotazů protokolu ve službě Azure Monitor .

Další krok