Návrh pro pracovní prostory protokolů služby Azure Monitor (Log Analytics)
Azure Monitor ukládá data protokolů do pracovního prostoru protokolů služby Azure Monitor (Log Analytics). Pracovní prostor je prostředek Azure, který slouží jako hranice pro správu nebo zeměpisné umístění úložiště dat. Pracovní prostor je také kontejner, ve kterém shromažďujete a agregujete data.
I když můžete v předplatném Azure nasadit jeden nebo více pracovních prostorů, měli byste zajistit, aby vaše počáteční nasazení bylo v souladu s pokyny Microsoftu. Pracovní prostor by měl poskytovat nákladově efektivní, spravovatelné a škálovatelné nasazení, které vyhovuje potřebám vaší organizace.
Co je potřeba vědět o pracovních prostorech protokolů služby Azure Monitor
Projděte si tyto charakteristiky pracovních prostorů protokolů služby Azure Monitor a zvažte, jak mohou přispět k vašemu řešení monitorování pro společnost Tailwind Traders.
V pracovním prostoru můžete data izolovat tím, že udělíte různým uživatelům přístupová práva podle doporučených strategií návrhu Od Microsoftu.
Data v pracovním prostoru protokolů služby Azure Monitor jsou uspořádaná do tabulek. Každá tabulka obsahuje různé druhy dat a má svou vlastní jedinečnou sadu vlastností založenou na prostředku, který data generuje. Většina zdrojů dat zapisuje do vlastních tabulek v pracovním prostoru protokolů služby Azure Monitor.
Pracovní prostor umožňuje konfigurovat nastavení, jako je cenová úroveň, uchovávání a omezování dat na základě hranic pro správu nebo geografických umístění.
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete uživatelům a skupinám udělit jenom množství přístupu, které potřebují k práci s daty monitorování v pracovním prostoru. Řízení přístupu uživatelů můžete s provozním modelem organizace IT sladit pomocí jednoho pracovního prostoru k ukládání shromážděných dat povolených pro všechny prostředky.
Pracovní prostory jsou hostované ve fyzických clusterech. Ve výchozím nastavení systém tyto clustery vytváří a spravuje. Pokud systém ingestuje více než 500 GB dat za den, vytvoříte pro své pracovní prostory vlastní vyhrazené clustery, které budou podporovat větší kontrolu a vyšší rychlost příjmu dat.
Co je potřeba vzít v úvahu při používání pracovních prostorů protokolů služby Azure Monitor
Teď jste připraveni zkontrolovat aspekty návrhu s využitím pracovních prostorů protokolů služby Azure Monitor v architektuře tailwind Traders.
Zvažte strategii řízení přístupu. Při plánování využití pracovních prostorů v organizaci Tailwind Traders zvažte tyto potenciální požadavky:
- Je vaše organizace globální společností? Potřebujete data protokolu uložená v konkrétních oblastech z důvodů suverenity dat nebo dodržování předpisů?
- Používá vaše architektura Azure? Chcete se vyhnout poplatkům za odchozí přenos dat tím, že máte pracovní prostor ve stejné oblasti jako prostředky Azure, které spravuje?
- Podporuje systém více oddělení nebo obchodních skupin? Každá skupina by měla přistupovat ke svým datům, a ne k datům ostatních. Neexistuje také žádný obchodní požadavek na konsolidované zobrazení napříč odděleními nebo obchodními skupinami.
Zvažte možnosti modelu nasazení. Většina IT organizací používá pro svou architekturu centralizovaný, decentralizovaný nebo hybridní model. Zvažte tyto běžné modely nasazení pracovních prostorů a jejich fungování pro organizaci Tailwind Traders:
Nasazení Popis Soustředěný Všechny protokoly se ukládají v centrálním pracovním prostoru a spravují ho jeden tým. Azure Monitor poskytuje rozdílný přístup pro jednotlivé týmy. V tomto scénáři je snadné spravovat, prohledávat prostředky a křížově korelovat protokoly. Pracovní prostor se může výrazně zvětšovat v závislosti na množství dat shromážděných z více prostředků ve vašem předplatném. K udržování řízení přístupu různým uživatelům je potřeba režijní režie navíc. Tento model se označuje jako hvězdicová architektura. Decentralizovaný Každý tým má svůj vlastní pracovní prostor vytvořený ve skupině prostředků, kterou vlastní a spravuje. Data protokolu jsou oddělená podle prostředku. V tomto scénáři je možné pracovní prostor udržovat zabezpečený a řízení přístupu je konzistentní s přístupem k prostředkům. Nevýhodou tohoto modulu je, že může být obtížné křížově korelovat protokoly. Uživatelé, kteří potřebují široký přehled o mnoha prostředcích, nemůžou data analyzovat smysluplným způsobem. Hybridní model Hybridní přístup může komplikovat požadavky na dodržování předpisů auditu zabezpečení. Řada organizací implementuje oba modely nasazení paralelně. Hybridní návrh obvykle vede ke složitým, nákladným a obtížně udržovatelným konfiguracím s mezerami v pokrytí protokolů. Zvažte režim přístupu. Naplánujte, jak mohou uživatelé přistupovat k pracovním prostorům protokolů služby Azure Monitor a definovat rozsah dat, ke kterým mají přístup. Uživatelé společnosti Tailwind Traders mají dvě možnosti pro přístup ke svým datům:
Režim přístupu Popis Kontext pracovního prostoru Uživatel může zkontrolovat všechny protokoly v pracovním prostoru, pro které má oprávnění. Dotazy jsou vymezeny na všechna data ve všech tabulkách v pracovním prostoru. Protokoly se přistupují k pracovnímu prostoru jako oboru tak, že na webu Azure Portal v nabídce Azure Monitoru vyberou protokoly. Kontext prostředku Uživatel přistupuje k pracovnímu prostoru pro konkrétní prostředek, skupinu prostředků nebo předplatné. Výběrem možnosti Protokoly z nabídky prostředků na webu Azure Portal můžou zobrazit protokoly pouze pro prostředky ve všech tabulkách, ke kterým mají přístup. Dotazy jsou vymezeny jen na data přidružená k tomuto prostředku. Tento režim také umožňuje podrobné řízení přístupu na základě role v Azure. Zvažte Azure RBAC a pracovní prostory. Určete, kteří uživatelé mají přístup k prostředkům podle přidružení jejich pracovních prostorů. Můžete udělit přístup týmu zodpovědnému za služby infrastruktury Tailwind Traders hostované ve službě Azure Virtual Machines. Týmu můžete udělit přístup jenom k protokolům vygenerovaným virtuálními počítači. Tento přístup se řídí novým modelem protokolu kontextu prostředků. Základem tohoto modelu je každý záznam protokolu vygenerovaný prostředkem Azure. Protokoly se předávají do centrálního pracovního prostoru, který respektuje rozsah a Azure RBAC na základě prostředků.
Zvažte omezení rychlosti škálování a příjmu objemu dat. Azure Monitor je vysoce škálovaná datová služba, která každý měsíc obsluhuje tisíce zákazníků, kteří každý měsíc odesílají petabajty dat. Pracovní prostory nejsou omezené v úložišti a můžou růst až na petabajty dat. Kvůli škálování není potřeba rozdělovat pracovní prostory.
Doporučení
Při zvažování možností implementace pracovních prostorů protokolů služby Azure Monitor a řízení přístupu v řešení monitorování a protokolování si projděte tato doporučení. Tento scénář ukazuje doporučený návrh pro jeden pracovní prostor v předplatném IT organizace.
Pracovní prostor nevyžaduje suverenitu dat ani dodržování právních předpisů. Pracovní prostor nemusí mapovat na oblasti, ve kterých jsou vaše prostředky nasazené. Týmy pro správu IT a zabezpečení ve vaší organizaci můžou využívat vylepšenou integraci se správou přístupu Azure a bezpečnějším řízením přístupu.
Všechny prostředky, řešení monitorování a přehledy, jako jsou Application Insights a přehledy virtuálních počítačů, jsou nakonfigurované tak, aby předávaly shromážděná data protokolů do centralizovaného sdíleného pracovního prostoru IT organizace. Data protokolů z podpůrné infrastruktury a aplikací spravovaných různými týmy se také odesílají do centralizovaného sdíleného pracovního prostoru.
Uživatelům v každém týmu je udělen přístup k protokolům pro prostředky, ke kterým mají přístup.
Po nasazení architektury pracovního prostoru můžete vynutit stejný model u prostředků Azure pomocí Služby Azure Policy. Můžete definovat zásady a zajistit dodržování předpisů s vašimi prostředky Azure, aby odesílaly všechny protokoly prostředků do určitého pracovního prostoru. Pomocí virtuálních počítačů Azure nebo škálovacích sad virtuálních počítačů můžete použít existující zásady, které vyhodnocují výsledky dodržování předpisů a sestav pracovního prostoru, nebo je můžete přizpůsobit, aby bylo možné je napravit, pokud nedodržuje předpisy.