Freigeben über


Übersicht über Azure Monitor-Protokolle

Azure Monitor Logs ist eine zentralisierte Software-as-a-Service (SaaS)-Plattform zum Sammeln, Analysieren und Verarbeiten von Telemetriedaten, die von Azure- und Nicht-Azure-Ressourcen und -Anwendungen erzeugt werden.

Sie können in einem Log Analytics-Arbeitsbereich, der primären Azure Monitor Logs-Ressource, Protokolle sammeln, Protokolldaten und Kosten verwalten und verschiedene Datentypen nutzen. Dies bedeutet, dass Sie niemals Daten verschieben oder andere Speicher verwalten müssen, und Sie können unterschiedliche Datentypen so lange oder so kurz wie nötig aufbewahren.

Dieser Artikel enthält eine Übersicht über die Funktionsweise von Azure Monitor-Protokollen und erläutert, wie die Anforderungen und Fähigkeiten verschiedener Personas in einer Organisation behandelt werden.

Hinweis

Azure Monitor-Protokolle sind die eine Hälfte der Datenplattform, die Azure Monitor unterstützt. Die andere Hälfte sind Azure Monitor-Metriken, die numerische Daten in einer Zeitreihendatenbank speichern.

Funktionsweise von Azure Monitor Logs

Azure Monitor Logs bieten Ihnen Tools für die folgenden Zwecke:

  • Sammeln Sie beliebige Daten mithilfe der Datensammlungsmethoden von Azure Monitor. Transformieren Sie Daten je nach Ihren Anforderungen, um Kosten zu optimieren, entfernen Sie personenbezogene Daten usw. und leiten Sie Daten an Tabellen in Ihrem Log Analytics-Arbeitsbereich weiter.
  • Verwalten und optimieren Sie Protokolldaten und Kosten, indem Sie Ihren Log Analytics-Arbeitsbereich und Protokolltabellen konfigurieren, wie Tabellenschemas, Tabellenpläne, Datenaufbewahrung, Datenaggregation, Protokollkosten und welche Personen Zugriff auf welche Daten haben.
  • Rufen Sie Daten fast in Echtzeit ab, indem Sie die Kusto Query Language (KQL) oder KQL-basierte Tools und Features verwenden, die keine KQL-Kenntnisse erfordern, z. B. der einfache Modus in der Log Analytics-Benutzeroberfläche, vorgefertigte kuratierte Überwachungsumgebungen namens „Erkenntnisse“ (Insights) und vordefinierte Abfragen.
  • Verwenden Sie Daten flexibel für eine Reihe von Anwendungsfällen, darunter Datenanalyse, Problembehandlung, Warnungen, Dashboards und Berichte, benutzerdefinierte Anwendungen und andere Azure- oder Nicht-Azure-Dienste.

Ein Diagramm, das zeigt, wie Azure Monitor und Azure Monitor Logs eine End-to-End-Lösung zum Sammeln, Verwalten, Abrufen und Verwenden von Protokolldaten bereitstellen.

Sammeln, Weiterleiten und Transformieren von Daten

Mit den Datensammlungsfunktionen von Azure Monitor können Sie Daten aus allen Anwendungen und Ressourcen sammeln, die in Azure, anderen Clouds und lokal ausgeführt werden. Eine leistungsstarke Erfassungspipeline ermöglicht das Filtern, Transformieren und Weiterleiten von Daten in Zieltabellen in Ihrem Log Analytics-Arbeitsbereich, um Kosten, Analysefunktionen und Abfrageleistung zu optimieren.

Ein Diagramm, das zeigt, wie Daten aus Datenquellen gesammelt, transformiert und an Tabellen in einem Log Analytics-Arbeitsbereich gesendet werden.

Weitere Informationen zum Sammeln und Transformieren von Daten finden Sie unter Azure Monitor-Datenquellen und Datensammlungsmethoden sowie Transformationen von Datensammlungen in Azure Monitor.

Log Analytics-Arbeitsbereich

Ein Log Analytics-Arbeitsbereich ist ein Datenspeicher, in dem Tabellen gespeichert sind, in denen Sie Daten sammeln.

Um die Anforderungen an die Datenspeicherung und den Verbrauch verschiedener Personas zu erfüllen, die einen Log Analytics-Arbeitsbereich verwenden, können Sie:

Screenshot des Log Analytics-Arbeitsbereichs im Azure-Portal

Sie können auch die Netzwerkisolation konfigurieren, Ihren Arbeitsbereich über Regionen replizieren und eine Arbeitsbereichsarchitektur basierend auf Ihren geschäftlichen Anforderungen entwerfen.

Tabellenpläne

Sie können einen Log Analytics-Arbeitsbereich verwenden, um den für einen beliebigen Zweck erforderlichen Protokolltyp zu speichern. Zum Beispiel:

  • Ausführliche Daten mit hohem Volumen, die günstigen Langzeitspeicher für Audit- und Compliance erfordern
  • App- und Ressourcendaten für die Problembehandlung durch Entwickler
  • Wichtige Ereignis- und Leistungsdaten zur Skalierung und Warnung, um fortlaufende betriebliche Exzellenz und Sicherheit zu gewährleisten
  • Aggregierte langfristige Datentrends für erweiterte Analysen und maschinelles Lernen

Mithilfe von Tabellenplänen können Sie Datenkosten basierend auf der Häufigkeit der Verwendung der Daten in einer Tabelle und dem Analysetyp verwalten, für den Sie die Daten benötigen.

Dieses Video zeigt eine Übersicht darüber, wie Tabellenpläne die Protokollierung auf mehreren Ebenen in Azure Monitor-Protokollen ermöglichen:

Das Diagramm und die Tabelle unten vergleichen die Analytics-, Basic- und Hilfstabellenpläne. Weitere Informationen zur interaktiven und Langzeitaufbewahrung finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich. Informationen zum Auswählen oder Ändern eines Tabellenplans finden Sie unter Auswählen eines Tabellenplans.

Diagramm, das eine Übersicht über die Funktionen der Analytics-, Basic- und Hilfstabellenpläne enthält.

Features Analyse Grundlegend Hilfstabelle (Vorschau)
Am besten geeignet für Hochwertige Daten, die für eine kontinuierliche Überwachung, Echtzeiterkennung und Leistungsanalyse verwendet werden. Gelegentlich abgerufene Daten, die für die Problembehandlung und die Reaktion auf Vorfälle benötigt werden. Selten abgerufene Daten, z. B. ausführliche Protokolle und Daten, die für die Überwachung und Compliance erforderlich sind.
Unterstützte Tabellentypen Alle Tabellentypen Azure-Tabellen, die Standardprotokolle und DCR-basierte benutzerdefinierte Tabellen unterstützen DCR-basierte benutzerdefinierte Tabellen
Erfassungskosten Standard Reduziert Mindestens
Abfragepreis inbegriffen
Optimierte Abfrageleistung ❌ Langsamere Abfragen.
Gut für Überwachung Nicht für Echtzeitanalysen optimiert.
Abfragemöglichkeiten Vollständige Abfragefunktionen. Vollständige Kusto Query Language (KQL) in einer einzelnen Tabelle, die Sie mithilfe von Lookup mit Daten aus einer Analysetabelle erweitern können. Vollständige KQL in einer einzelnen Tabelle, die Sie mithilfe von Lookup mit Daten aus einer Analysetabelle erweitern können.
Warnungen
Erkenntnisse
Dashboards ✅ Kosten pro Abfrage für Dashboardaktualisierungen nicht enthalten.1 Möglich, aber langsame Aktualisierung, Kosten pro Abfrage für Dashboardaktualisierungen nicht enthalten.1
Datenexport
Microsoft Sentinel
Suchaufträge
Zusammenfassungsregeln ✅ KQL beschränkt auf eine einzelne Tabelle ✅ KQL beschränkt auf eine einzelne Tabelle
Wiederherstellen
Interaktive Aufbewahrung 30 Tage (90 Tage für Microsoft Sentinel und Application Insights).
Kann auf bis zu zwei Jahre bei einer anteiligen monatlichen Gebühr für Langzeitaufbewahrung verlängert werden.
30 Tage 30 Tage
Gesamtaufbewahrungszeitraum Bis zu 12 Jahre Bis zu 12 Jahre Bis zu 12 Jahre*
*Einschränkung der öffentlichen Vorschau: Die Gesamtaufbewahrung des Hilfsplans wird derzeit auf 365 Tage festgelegt.

1 Standard- und Hilfstabellenpläne unterstützen derzeit Arbeitsmappen und Grafana.

Hinweis

Der Hilfstabellenplan befindet sich in der öffentlichen Vorschau. Aktuelle Einschränkungen und unterstützte Regionen finden Sie unter Einschränkungen der öffentlichen Vorschau.
Der Basic- und Hilfstabellenplan ist für Arbeitsbereiche in Legacytarifen nicht verfügbar.

Kusto Query Language (KQL) und Log Analytics

Sie rufen Daten mit einer KQL-Abfrage (Kusto Query Language, Kusto-Abfragesprache) aus einem Log Analytics-Arbeitsbereich abgerufen. Hierbei handelt es sich um eine schreibgeschützte Anforderung zum Verarbeiten von Daten und Zurückgeben von Ergebnissen. KQL ist ein leistungsfähiges Tool, mit dem Millionen von Datensätzen schnell analysiert werden können. Verwenden Sie KQL, um Ihre Protokolle zu untersuchen, Daten zu transformieren und zu aggregieren, Muster zu ermitteln, Anomalien und Ausreißer zu identifizieren und vieles mehr.

Log Analytics ist ein Tool im Azure-Portal zum Ausführen von Protokollabfragen und zum Analysieren ihrer Ergebnisse. der einfachen Log Analytics-Modus lässt jeden Benutzer, unabhängig von seinen KQL-Kenntnissen, Daten aus einer oder mehreren Tabellen mit nur einem Klick abrufen. Mit einer Reihe von Steuerelementen können Sie die abgerufenen Daten mithilfe der am häufigsten verwendeten Azure Monitor-Protokollfunktionalität in einer intuitiven, tabellenähnlichen Oberfläche erkunden und analysieren.

Screenshot mit dem einfachen Modus in Log Analytics

Wenn Sie mit KQL vertraut sind, können Sie den KQL-Modus für Log Analytics verwenden, um Abfragen zu bearbeiten und zu erstellen, die Sie dann in Azure Monitor-Funktionen wie Benachrichtigungen und Arbeitsmappen verwenden oder für andere Benutzer freigeben können.

Weitere Informationen zu Log Analytics finden Sie in der Übersicht über Log Analytics in Azure Monitor.

Integrierte Einblicke und benutzerdefinierte Dashboards, Arbeitsmappen und Berichte

Viele der einsatzbereiten, kuratierten Insights-Erfahrungen von Azure Monitor speichern Daten in Azure Monitor-Protokollen und stellen diese Daten intuitiv dar, sodass Sie die Leistung und Verfügbarkeit Ihrer Cloud- und Hybridanwendungen und deren unterstützende Komponenten überwachen können.

Screenshot der integrierten Überwachung von Container Insights in Azure Monitor.

Sie können auch eigene Visualisierungen und Berichte mithilfe von Arbeitsmappen, Dashboards und Power BI erstellen.

Anwendungsfälle

In dieser Tabelle werden einige der Möglichkeiten beschrieben, wie Sie die in Azure Monitor Logs gesammelten Daten verwenden können, um betrieblichen und geschäftlichen Wert zu erzielen.

Funktion BESCHREIBUNG
Analysieren Verwenden von Log Analytics im Azure-Portal zum Schreiben von Protokollabfragen und interaktives Analysieren von Protokolldaten mithilfe einer leistungsstarken Analyse-Engine.
Aggregat Verwenden Sie Zusammenfassungsregeln, um Informationen, die Sie für Benachrichtigungen und Analysen benötigen, aus den erfassten rohen Protokolldaten zu aggregieren. Auf diese Weise können Sie Ihre Kosten, Analysefunktionen und die Abfrageleistung optimieren.
Erkennen und Analysieren von Anomalien Verwenden Sie integrierte oder benutzerdefinierte Algorithmen für die Anomalieerkennung, um ungewöhnliche Muster oder Verhaltensweisen in Ihren Protokolldaten zu identifizieren. Dies kann dazu beitragen, potenzielle Probleme schon frühzeitig zu erkennen.
Warnung Konfigurieren Sie eine Benachrichtigungsregel für die Protokollsuche oder eine Metrikbenachrichtigung für Protokolle, um eine Benachrichtigung zu senden oder eine automatisierte Aktion auszuführen, wenn eine bestimmte Bedingung auftritt.
Visualisieren Anheften der als Tabellen oder Diagramme gerenderten Abfrageergebnisse an ein Azure-Dashboard.
Erstellen einer Arbeitsmappe, um mehrere Sätze von Daten in einem interaktiven Bericht zu kombinieren.
Exportieren Sie die Ergebnisse einer Abfrage nach Power BI, um verschiedene Visualisierungen zu verwenden und sie mit Personen außerhalb von Azure zu teilen.
Exportieren der Ergebnisse einer Abfrage nach Grafana, um dessen Dashboards zu nutzen und die Daten mit anderen Quellen zu kombinieren.
Einblicke erhalten Erkenntnisse bieten eine benutzerdefinierte Überwachungsumgebung für bestimmte Ressourcen und Dienste.
Gerätehandle Zugreifen auf Ergebnisse von Protokollabfragen über:
Importieren Laden Sie Protokolle aus einer benutzerdefinierten App über die REST-API oder die Clientbibliothek für .NET, Go, Java, JavaScript oder Python herunter.
Exportieren Konfigurieren des automatisierten Exports von Protokolldaten in ein Azure Storage-Konto oder in Azure Event Hubs.
Erstellen eines Workflows zum Abrufen von Protokolldaten und Kopieren der Daten an einen externen Speicherort mithilfe von Azure Logic Apps.
Bring Your Own Analysis Analysieren Sie Daten in Azure Monitor-Protokollen mithilfe eines Notebooks, um optimierte, mehrstufige Prozesse zu erstellen, die Sie in Azure Monitor-Protokollen sammeln. Dies ist besonders nützlich für Zwecke wie das Erstellen und Ausführen von Machine Learning-Pipelines, die erweiterte Analyse und einen Leitfaden zur Problembehandlung (TSGs) für Supportanforderungen.
Aufbewahren von Daten für Überwachung und Compliance Senden Sie Daten mit dem Hilfsplan direkt an eine Tabelle, und verlängern Sie die Aufbewahrung der Daten in jeder Tabelle, um Daten zu Überwachungs- und Compliance-Zwecken bis zu 12 Jahre aufzubewahren. Der kostengünstige Hilfstabellenplan und die langfristige Aufbewahrung im Arbeitsbereich ermöglichen es Ihnen, Kosten zu senken und Ihre Daten schnell und einfach zu verwenden, wenn Sie sie benötigen.

Arbeiten mit Microsoft Sentinel als auch Microsoft Defender for Cloud

Microsoft Sentinel und Microsoft Defender for Cloud führen Sicherheitsüberwachung in Azure durch.

Diese Dienste speichern ihre Daten in den Azure Monitor-Protokollen, damit sie zusammen mit anderen von Azure Monitor erfassten Protokolldaten analysiert werden können.

Weitere Informationen

Dienst Weitere Informationen
Microsoft Sentinel
Microsoft Defender für Cloud

Nächste Schritte