Azure Well-Architected Framework-Perspektive für Log Analytics
Well-Architected Framework-Workloadfunktionalität und -leistung müssen auf unterschiedliche Weise und aus unterschiedlichen Gründen überwacht werden. Azure Monitor Log Analytics-Arbeitsbereiche sind die primäre Protokoll- und Metriksenke für einen großen Teil der Überwachungsdaten. Arbeitsbereiche unterstützen mehrere Features in Azure Monitor, einschließlich Ad-hoc-Abfragen, Visualisierungen und Warnungen. Allgemeine Überwachungsprinzipien finden Sie unter Leitfaden zur Überwachung und Diagnose. Der Leitfaden enthält allgemeine Überwachungsprinzipien. Sie identifiziert die verschiedenen Datentypen. Es identifiziert die erforderliche Analyse, die Azure Monitor unterstützt, und identifiziert auch die Daten, die in dem Arbeitsbereich gespeichert sind, der die Analyse ermöglicht.
In diesem Artikel wird davon ausgegangen, dass Sie systementwurfsprinzipien verstehen. Darüber hinaus benötigen Sie kenntnisse über Log Analytics-Arbeitsbereiche und -Features in Azure Monitor, die Daten zu betriebsbereiten Workloads auffüllen. Weitere Informationen finden Sie unter Übersicht über Log Analytics-Arbeitsbereiche.
Wichtig
Verwendung dieses Leitfadens
Jeder Abschnitt enthält eine Entwurfscheckliste , die architektonische Themenbereiche zusammen mit Designstrategien vorstellt, die für den Technologiebereich lokalisiert sind.
Außerdem sind Empfehlungen zu den Technologiefunktionen oder Bereitstellungstopologien enthalten, die bei der Materialisierung dieser Strategien helfen können. Die Empfehlungen stellen keine vollständige Liste aller Konfigurationen dar, die für Log Analytics-Arbeitsbereiche und die zugehörigen Azure Monitor-Ressourcen verfügbar sind. Stattdessen werden die wichtigsten Empfehlungen aufgelistet, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihren Proof of Concept zu erstellen, Ihre Workloadüberwachungsumgebung zu entwerfen oder Ihre vorhandene Workloadüberwachungslösung zu optimieren.
Technologieumfang
Dieser Leitfaden konzentriert sich auf die in Beziehung stehenden Entscheidungen für die folgenden Azure-Ressourcen.
- Log Analytics-Arbeitsbereiche
- Workloadbetriebsprotokolldaten
- Diagnoseeinstellungen für Azure-Ressourcen in Ihrer Workload
Zuverlässigkeit
Der Zweck der Säule Zuverlässigkeit besteht darin, fortlaufende Funktionen bereitzustellen, indem genügend Resilienz und die Fähigkeit zur schnellen Wiederherstellung nach Fehlern aufgebaut werden.
Die Zuverlässigkeitsentwurfsprinzipien bieten eine allgemeine Entwurfsstrategie, die für einzelne Komponenten, Systemflüsse und das System als Ganzes angewendet wird.
Für Log Analytics-Arbeitsbereiche sind folgende Zuverlässigkeitssituationen zu berücksichtigen:
- Verfügbarkeit des Arbeitsbereichs.
- Schutz der gesammelten Daten im seltenen Fall eines Ausfalls eines Azure-Rechenzentrums oder einer Region.
Es gibt derzeit keine Standardfunktion für das Failover zwischen Arbeitsbereichen in verschiedenen Regionen, aber es gibt Strategien, die verwendet werden können, wenn Sie bestimmte Anforderungen an Verfügbarkeit oder Compliance haben.
Entwurfsprüfliste für Zuverlässigkeit
Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Zuverlässigkeit , und bestimmen Sie deren Relevanz für Ihre Geschäftsanforderungen, wobei Sie die SKUs und Features von virtuellen Computern (VMs) und deren Abhängigkeiten berücksichtigen. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
- Überprüfen Sie die Dienstgrenzwerte für Log Analytics-Arbeitsbereiche. Im Abschnitt Dienstgrenzwerte können Sie die Einschränkungen für die Datensammlung und -aufbewahrung sowie andere Aspekte des Diensts verstehen. Diese Grenzwerte helfen Ihnen dabei, zu bestimmen, wie Sie Ihre Strategie für die Beobachtbarkeit von Workloads ordnungsgemäß entwerfen. Überprüfen Sie die Azure Monitor-Dienstgrenzwerte , da viele der darin beschriebenen Funktionen, z. B. Abfragen, hand-in-Hand mit Log Analytics-Arbeitsbereichen arbeiten.
- Planen sie die Resilienz und Wiederherstellung des Arbeitsbereichs. Log Analytics-Arbeitsbereiche sind regional und ohne integrierte Unterstützung für regionsübergreifende Redundanz oder Replikation. Außerdem sind die Redundanzoptionen für Verfügbarkeitszonen eingeschränkt. Daher sollten Sie die Zuverlässigkeitsanforderungen Ihrer Arbeitsbereiche bestimmen und strategieren, um diese Ziele zu erreichen. Ihre Anforderungen können festlegen, dass Ihr Arbeitsbereich resilient gegenüber Rechenzentrumsausfällen oder regionalen Ausfällen sein muss, oder sie können festlegen, dass Sie Ihre Daten in einem neuen Arbeitsbereich in einer Failoverregion wiederherstellen können müssen. Jedes dieser Szenarien erfordert zusätzliche Ressourcen und Prozesse, um erfolgreich zu sein, sodass ein Ausgewogenes Verhältnis zwischen Ihren Zuverlässigkeitszielen und Kosten und Komplexität sorgfältig geprüft werden sollte.
- Wählen Sie die richtigen Bereitstellungsregionen aus, um Ihre Zuverlässigkeitsanforderungen zu erfüllen. Stellen Sie Ihren Log Analytics-Arbeitsbereich und Datensammlungsendpunkte (DATA Collection Endpoints, DCEs) bereit, die sich gemeinsam mit den Workloadkomponenten befinden, die Betriebsdaten ausgeben. Ihre Wahl der geeigneten Region, in der Ihr Arbeitsbereich und Ihre DCEs bereitgestellt werden sollen, sollte davon informiert werden, wo Sie Ihre Workload bereitstellen. Möglicherweise müssen Sie die regionale Verfügbarkeit bestimmter Log Analytics-Funktionen, z. B. dedizierter Cluster, gegen andere Faktoren abwägen, die für die Zuverlässigkeits-, Kosten- und Leistungsanforderungen Ihrer Workload wichtiger sind.
- Stellen Sie sicher, dass Ihre Beobachtbarkeitssysteme fehlerfrei sind. Stellen Sie wie jede andere Komponente Ihrer Workload sicher, dass Ihre Überwachungs- und Protokollierungssysteme ordnungsgemäß funktionieren. Um dies zu erreichen, aktivieren Sie Features, die Integritätsdatensignale an Ihre Betriebsteams senden. Richten Sie Integritätsdatensignale speziell für Ihre Log Analytics-Arbeitsbereiche und die zugehörigen Ressourcen ein.
Konfigurationsempfehlungen für Zuverlässigkeit
| Empfehlung | Vorteil |
|---|---|
| Schließen Sie Ihre Log Analytics-Arbeitsbereiche nicht in den kritischen Pfad Ihrer Workload ein. Ihre Arbeitsbereiche sind für ein funktionierendes Beobachtbarkeitssystem wichtig, aber die Funktionalität Ihrer Workload sollte davon nicht abhängen. | Wenn Sie Ihre Arbeitsbereiche und zugehörigen Funktionen aus dem kritischen Pfad Ihrer Workload heraushalten, wird das Risiko minimiert, dass sich Probleme auf die Laufzeitausführung Ihrer Workload auswirken. |
| Um eine hohe Dauerhaftigkeit von Arbeitsbereichsdaten zu unterstützen, stellen Sie Log Analytics-Arbeitsbereiche in einer Region bereit, die Datenresilienz unterstützt. Datenresilienz ist nur durch verknüpfen des Arbeitsbereichs mit einem dedizierten Cluster in derselben Region möglich. | Wenn Sie einen dedizierten Cluster verwenden, können Sie die zugeordneten Arbeitsbereiche auf Verfügbarkeitszonen verteilen, die Schutz vor Rechenzentrumsausfällen bieten. Wenn Sie jetzt nicht genügend Daten sammeln, um einen dedizierten Cluster zu rechtfertigen, unterstützt diese präemptive regionale Auswahl zukünftiges Wachstum. |
| Wählen Sie Ihre Arbeitsbereichsbereitstellung basierend auf der Nähe zu Ihrer Workload aus. Verwenden Sie Datensammlungsendpunkte (Data Collection Endpoints, DCE) in derselben Region wie der Log Analytics-Arbeitsbereich. |
Stellen Sie Ihren Arbeitsbereich in derselben Region wie die Instanzen Ihrer Workload bereit. Wenn Sich Ihr Arbeitsbereich und ihre DCEs in derselben Region wie Ihre Workload befinden, verringert sich das Risiko von Auswirkungen auf Ausfälle in anderen Regionen. DCEs werden vom Azure Monitor-Agent und der Protokollerfassungs-API verwendet, um Workloadbetriebsdaten an einen Log Analytics-Arbeitsbereich zu senden. Möglicherweise benötigen Sie mehrere DCEs, obwohl Ihre Bereitstellung nur über einen einzelnen Arbeitsbereich verfügt. Weitere Informationen zum Konfigurieren von DCEs für Ihre bestimmte Umgebung finden Sie unter Einrichten von Datensammlungsendpunkten basierend auf Ihrer Bereitstellung.<Br Wenn Ihre Workload in einem Aktiv/Aktiv-Design bereitgestellt wird, sollten Sie mehrere Arbeitsbereiche und DCEs verwenden, die über die Regionen verteilt sind, in denen Ihre Workload bereitgestellt wird. Die Bereitstellung von Arbeitsbereichen in mehreren Regionen erhöht die Komplexität Ihrer Umgebung. Gleichen Sie die unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur beschriebenen Kriterien mit Ihren Verfügbarkeitsanforderungen ab. |
| Wenn Der Arbeitsbereich in einer Region verfügbar sein muss oder sie nicht genügend Daten für einen dedizierten Cluster sammeln, konfigurieren Sie die Datensammlung so, dass kritische Daten an mehrere Arbeitsbereiche in verschiedenen Regionen gesendet werden. Diese Vorgehensweise wird auch als Protokollmulticasting bezeichnet. Konfigurieren Sie beispielsweise DCRs für mehrere Arbeitsbereiche für den Azure Monitor-Agent, der auf VMs ausgeführt wird. Konfigurieren Sie mehrere Diagnoseeinstellungen, um Ressourcenprotokolle aus Azure-Ressourcen zu sammeln und die Protokolle an mehrere Arbeitsbereiche zu senden. |
|
| Auf diese Weise stehen Workloadbetriebsdaten im alternativen Arbeitsbereich zur Verfügung, wenn ein regionaler Fehler auftritt. Beachten Sie jedoch, dass Ressourcen, die auf den Daten basieren, z. B. Warnungen und Arbeitsmappen, nicht automatisch in die anderen Regionen repliziert werden. Erwägen Sie, Azure Resource Manager-Vorlagen (ARM) für wichtige Warnungsressourcen mit Konfiguration für den alternativen Arbeitsbereich zu speichern oder in allen Regionen bereitzustellen, aber deaktivieren Sie sie, um redundante Warnungen zu verhindern. Beide Optionen unterstützen die schnelle Aktivierung in einem regionalen Fehler. Kompromiss: Diese Konfiguration führt zu doppelten Erfassungs- und Aufbewahrungsgebühren, sodass sie nur für kritische Daten verwendet werden. |
|
| Wenn Daten in einem Rechenzentrum oder in einer Region geschützt werden müssen , konfigurieren Sie den Datenexport aus dem Arbeitsbereich, um Daten an einem anderen Speicherort zu speichern. Diese Option ähnelt der vorherigen Option zum Multicasten der Daten in verschiedenen Arbeitsbereichen. Diese Option kostet jedoch weniger, da die zusätzlichen Daten in den Speicher geschrieben werden. Verwenden Sie Azure Storage-Redundanzoptionen, einschließlich georedundanter Speicher (GRS) und geozonenredundanter Speicher (GZRS), um diese Daten weiter in andere Regionen zu replizieren. Der Datenexport bietet keine Resilienz gegenüber Vorfällen, die sich auf die regionale Erfassungspipeline auswirken. |
Auch wenn die historischen Betriebsprotokolldaten im exportierten Zustand möglicherweise nicht ohne weiteres abgefragt werden können, wird sichergestellt, dass die Daten einen längeren regionalen Ausfall überstehen und auf sie für einen längeren Zeitraum zugegriffen und aufbewahrt werden können. Wenn Sie den Export von Tabellen benötigen, die vom Datenexport nicht unterstützt werden, können Sie andere Methoden zum Exportieren von Daten verwenden, einschließlich Logic Apps, um Ihre Daten zu schützen. Damit diese Strategie als praktikabler Wiederherstellungsplan funktioniert, müssen Prozesse vorhanden sein, um Diagnoseeinstellungen für Ihre Ressourcen in Azure und auf allen Agents, die Daten bereitstellen, neu zu konfigurieren. Außerdem müssen Sie planen, die exportierten Daten manuell in einen neuen Arbeitsbereich zu aktivieren. Wie bei der zuvor beschriebenen Option müssen Sie auch Prozesse für die Ressourcen definieren, die auf den Daten wie Warnungen und Arbeitsmappen basieren. |
| Für unternehmenskritische Workloads, die Hochverfügbarkeit erfordern, sollten Sie ein Verbundarbeitsbereichsmodell implementieren, das mehrere Arbeitsbereiche verwendet, um Hochverfügbarkeit bei einem regionalen Ausfall zu gewährleisten. |
Unternehmenskritisch bietet ausführliche Anleitungen zu bewährten Methoden für das Entwerfen äußerst zuverlässiger Anwendungen in Azure. Die Entwurfsmethodik umfasst ein Verbundarbeitsbereichsmodell mit mehreren Log Analytics-Arbeitsbereichen, um Hochverfügbarkeit zu gewährleisten, wenn mehrere Fehler auftreten, einschließlich des Ausfalls einer Azure-Region. Mit dieser Strategie werden die Kosten für ausgehende Daten in verschiedenen Regionen vermieden und bei einem Ausfall der Region weiterhin betriebsbereit. Es erfordert jedoch eine größere Komplexität, die Sie mit Konfiguration und Prozessen verwalten müssen, die unter Integritätsmodellierung und Beobachtbarkeit unternehmenskritischer Workloads in Azure beschrieben werden. |
| Verwenden Sie Infrastructure-as-Code (IaC), um Ihre Arbeitsbereiche und zugehörigen Funktionen bereitzustellen und zu verwalten. | Wenn Sie so viele Ihrer Bereitstellung und Ihre Mechanismen für Resilienz und Wiederherstellung wie praktisch automatisieren, wird sichergestellt, dass diese Vorgänge zuverlässig sind. Sie sparen kritische Zeit in Ihren Betriebsprozessen und minimieren das Risiko menschlicher Fehler. Stellen Sie sicher, dass Funktionen wie gespeicherte Protokollabfragen auch über Ihre IaC definiert sind, um sie in einer neuen Region wiederherzustellen, falls eine Wiederherstellung erforderlich ist. |
| Entwerfen Sie DCRs mit einem einzigen Verantwortungsprinzip, um DCR-Regeln einfach zu halten. Während ein DCR mit allen Eingaben, Regeln und Zielen für die Quellsysteme geladen werden kann, empfiehlt es sich, Regeln mit geringer Relevanz zu entwerfen, die auf weniger Datenquellen basieren. Verwenden Sie die Zusammensetzung von Regelzuweisungen, um den gewünschten Beobachtbarkeitsbereich für das logische Ziel zu erreichen. Minimieren Sie außerdem die Transformation in DCRs. |
Wenn Sie DCRs mit schmaler Relevanz verwenden, minimiert dies das Risiko einer Regelfehlkonfiguration, die eine umfassendere Auswirkung hat. Die Auswirkung wird nur auf den Bereich beschränkt, für den der DCR erstellt wurde. Weitere Informationen finden Sie unter Bewährte Methoden für die Erstellung und Verwaltung von Datensammlungsregeln in Azure Monitor. Die Transformation kann in einigen Situationen zwar leistungsstark und erforderlich sein, es kann jedoch schwierig sein, die arbeit der Schlüsselwort (keyword) Query Language (KQL) zu testen und zu beheben. Minimieren Sie nach Möglichkeit das Risiko von Datenverlusten, indem Sie die Datenrohdaten erfassen und Transformationen zur Abfragezeit nachgelagert verarbeiten. |
| Stellen Sie beim Festlegen einer täglichen Obergrenze oder einer Aufbewahrungsrichtlinie sicher, dass Sie Ihre Zuverlässigkeitsanforderungen beibehalten, indem Sie die benötigten Protokolle erfassen und aufbewahren. | Eine tägliche Obergrenze beendet die Sammlung von Daten für einen Arbeitsbereich, sobald eine angegebene Menge erreicht ist, wodurch Sie die Kontrolle über Ihr Erfassungsvolumen behalten können. Verwenden Sie dieses Feature jedoch nur nach sorgfältiger Planung. Stellen Sie sicher, dass Ihre tägliche Obergrenze nicht regelmäßig erreicht wird. In diesem Fall wird die Obergrenze zu restriktiv festgelegt. Sie müssen die tägliche Obergrenze neu konfigurieren, damit Sie keine kritischen Signale von Ihrer Workload verpassen. Achten Sie auch darauf, die Herabsetzung Ihrer Datenaufbewahrungsrichtlinie sorgfältig und sorgfältig anzugehen, um sicherzustellen, dass Sie nicht versehentlich kritische Daten verlieren. |
| Verwenden Sie Erkenntnisse des Log Analytics-Arbeitsbereichs , um das Erfassungsvolumen, erfasste Daten im Vergleich zu Ihrer Datenobergrenze, nicht reagierende Protokollquellen und fehlgeschlagene Abfragen unter anderen Daten nachzuverfolgen. Erstellen Sie Integritäts- status Warnungen, um Sie proaktiv zu benachrichtigen, wenn ein Arbeitsbereich aufgrund eines Rechenzentrums oder eines regionalen Ausfalls nicht mehr verfügbar ist. | Diese Strategie stellt sicher, dass Sie die Integrität Ihrer Arbeitsbereiche erfolgreich überwachen und proaktiv handeln können, wenn die Integrität gefährdet ist. Wie bei jeder anderen Komponente Ihrer Workload ist es wichtig, dass Sie die Integritätsmetriken kennen und Trends identifizieren können, um Ihre Zuverlässigkeit im Laufe der Zeit zu verbessern. |
Azure Policy
Azure bietet keine Richtlinien im Zusammenhang mit der Zuverlässigkeit von Log Analytics-Arbeitsbereichen. Sie können benutzerdefinierte Richtlinien erstellen, um Compliancerichtlinien für Ihre Arbeitsbereichsbereitstellungen zu erstellen, z. B. um sicherzustellen, dass Arbeitsbereiche einem dedizierten Cluster zugeordnet sind.
Obwohl es sich nicht direkt um die Zuverlässigkeit von Log Analytics-Arbeitsbereichen handelt, gibt es Azure-Richtlinien für fast jeden verfügbaren Dienst. Die Richtlinien stellen sicher, dass Diagnose Einstellungen für diesen Dienst aktiviert sind, und überprüfen, ob die Protokolldaten des Diensts in einen Log Analytics-Arbeitsbereich fließen. Alle Dienste in der Workloadarchitektur sollten ihre Protokolldaten für ihre eigenen Zuverlässigkeitsanforderungen an einen Log Analytics-Arbeitsbereich senden, und die Richtlinien können dabei helfen, dies zu erzwingen. Ebenso gibt es Richtlinien, um sicherzustellen, dass der Agent auf Agent-basierten Plattformen wie VMs und Kubernetes installiert ist.
Azure Advisor
Azure bietet keine Azure Advisor-Empfehlungen im Zusammenhang mit der Zuverlässigkeit von Log Analytics-Arbeitsbereichen.
Sicherheit
Der Zweck der Säule Sicherheit besteht darin , Vertraulichkeits-, Integritäts- und Verfügbarkeitsgarantien für die Workload bereitzustellen.
Die Prinzipien des Sicherheitsentwurfs bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Ziele, indem Sie Ansätze für den technischen Entwurf rund um Ihre Überwachungs- und Protokollierungslösung anwenden.
Entwurfsprüfliste für Die Sicherheit
Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Sicherheit , und identifizieren Sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
- Lesen Sie die Themen Azure Monitor-Sicherheitsbaseline und Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche . Diese Themen enthalten Anleitungen zu bewährten Sicherheitsmethoden.
- Stellen Sie Ihre Arbeitsbereiche mit Segmentierung als Eckpfeilerprinzip bereit. Implementieren Sie die Segmentierung auf Netzwerk-, Daten- und Zugriffsebenen. Die Segmentierung trägt dazu bei, sicherzustellen, dass Ihre Arbeitsbereiche in dem geeigneten Maße isoliert und besser vor unbefugtem Zugriff geschützt sind, während gleichzeitig Ihre Geschäftlichen Anforderungen in Bezug auf Zuverlässigkeit, Kostenoptimierung, operative Exzellenz und Leistungseffizienz erfüllt werden.
- Stellen Sie sicher, dass Sie Lese- und Schreibaktivitäten des Arbeitsbereichs und zugehörige Identitäten überwachen können. Angreifer können von der Anzeige von Betriebsprotokollen profitieren. Eine kompromittierte Identität kann zu Protokollinjektionsangriffen führen. Aktivieren Sie die Überwachung von Vorgängen, die über das Azure-Portal oder über API-Interaktionen und die zugehörigen Benutzer ausgeführt werden. Wenn Sie nicht für die Überwachung Ihres Arbeitsbereichs eingerichtet sind, besteht die Gefahr, dass Ihre organization gegen Complianceanforderungen verstößt.
- Implementieren Sie robuste Netzwerksteuerelemente. Schützt Ihren Netzwerkzugriff auf Ihren Arbeitsbereich und Ihre Protokolle durch Netzwerkisolation und Firewallfunktionen. Unzureichend konfigurierte Netzwerksteuerelemente können das Risiko eines Zugriffs durch nicht autorisierte oder böswillige Akteure gefährden.
- Bestimmen Sie, welche Datentypen Unveränderlichkeit oder langfristige Aufbewahrung erfordern. Ihre Protokolldaten sollten mit der gleichen Strenge wie Workloaddaten in Produktionssystemen behandelt werden. Fügen Sie Protokolldaten in Ihre Datenklassifizierungsmethoden ein, um sicherzustellen, dass Sie vertrauliche Protokolldaten gemäß den Complianceanforderungen erfolgreich speichern.
- Schützen ruhender Protokolldaten durch Verschlüsselung. Die Segmentierung allein schützt die Vertraulichkeit Ihrer Protokolldaten nicht vollständig. Wenn nicht autorisierter Rohzugriff erfolgt, hilft die Verschlüsselung ruhender Protokolldaten, um zu verhindern, dass schlechte Akteure diese Daten außerhalb Ihres Arbeitsbereichs verwenden.
- Schützen Sie vertrauliche Protokolldaten durch Verschleierung. Genau wie Workloaddaten, die sich in Produktionssystemen befinden, müssen Sie zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass die Vertraulichkeit für vertrauliche Informationen beibehalten wird, die absichtlich oder unbeabsichtigt in Betriebsprotokollen vorhanden sind. Wenn Sie Verschleierungsmethoden verwenden, können Sie vertrauliche Protokolldaten vor nicht autorisierten Augen ausblenden.
Konfigurationsempfehlungen für Die Sicherheit
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen. Mit Azure Monitor wird sichergestellt, dass alle Daten und gespeicherten Abfragen im Ruhezustand mit von Microsoft verwalteten Schlüsseln (MMK) verschlüsselt werden. Wenn Sie Einen eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie den kundenseitig verwalteten Schlüssel. Sie können Daten verschlüsseln, indem Sie Ihren eigenen Schlüssel in Azure Key Vault verwenden, um den Schlüssellebenszyklus zu steuern und den Zugriff auf Ihre Daten zu widerrufen. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind. |
Mit dieser Strategie können Sie Daten mithilfe Ihres eigenen Schlüssels in Azure Key Vault verschlüsseln, um den Schlüssellebenszyklus zu steuern und den Zugriff auf Ihre Daten zu widerrufen. |
| Konfigurieren Sie die Protokollabfrageüberwachung , um nachzuverfolgen, welche Benutzer Abfragen ausführen. Konfigurieren Sie die Überwachungsprotokolle für jeden Arbeitsbereich, der an den lokalen Arbeitsbereich gesendet werden soll, oder konsolidieren Sie in einem dedizierten Sicherheitsarbeitsbereich, wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen. Verwenden Sie Log Analytics-Arbeitsbereichserkenntnisse , um diese Daten regelmäßig zu überprüfen. Erwägen Sie das Erstellen von Protokollabfragewarnungsregeln, um Sie proaktiv zu benachrichtigen, wenn nicht autorisierte Benutzer versuchen, Abfragen auszuführen. |
Die Protokollabfrageüberwachung zeichnet die Details für jede Abfrageausführung in einem Arbeitsbereich auf. Behandeln Sie diese Überwachungsdaten als Sicherheitsdaten, und sichern Sie die LAQueryLogs-Tabelle entsprechen. Diese Strategie stärkt Ihren Sicherheitsstatus, indem sichergestellt wird, dass nicht autorisierter Zugriff sofort abgefangen wird, wenn dies jemals der Fall ist. |
| Schützen Sie Ihren Arbeitsbereich durch private Netzwerk- und Segmentierungsmaßnahmen. Verwenden Sie die Private Link-Funktionalität , um die Kommunikation zwischen Protokollquellen und Ihren Arbeitsbereichen auf private Netzwerke zu beschränken. |
Wenn Sie Private Link verwenden, können Sie auch steuern, welche virtuellen Netzwerke auf einen bestimmten Arbeitsbereich zugreifen können, wodurch Ihre Sicherheit durch Segmentierung weiter gestärkt wird. |
| Verwenden Sie Microsoft Entra ID anstelle von API-Schlüsseln für den Arbeitsbereichs-API-Zugriff, sofern verfügbar. | Der auf API-Schlüsseln basierende Zugriff auf die Abfrage-APIs hinterlässt keinen Clientüberwachungspfad. Verwenden Sie ausreichend bereichsbasierten Entra-ID-basierten Zugriff , damit Sie den programmgesteuerten Zugriff ordnungsgemäß überwachen können. |
| Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind. Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf Ressourcen- oder Arbeitsbereichsberechtigungen verwenden fest. Mit dieser Zugriffssteuerung können Ressourcenbesitzer den Ressourcenkontext verwenden, um auf ihre Daten zuzugreifen, ohne expliziten Zugriff auf den Arbeitsbereich zu erhalten. Verwenden Sie RBAC auf Tabellenebene für Benutzer, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen hinweg benötigen. |
Diese Einstellung vereinfacht die Konfiguration Ihres Arbeitsbereichs und stellt sicher, dass Benutzer nicht auf Betriebsdaten zugreifen können, die sie nicht verwenden sollten. Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen. Details über die verschiedenen Optionen zum Gewähren des Zugriffs auf Daten im Arbeitsbereich finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche. |
| Exportieren von Protokollen, die eine langfristige Aufbewahrung oder Unveränderlichkeit erfordern. Verwenden Sie den Datenexport , um Daten mit Unveränderlichkeitsrichtlinien an ein Azure Storage-Konto zu senden, um sich vor Datenmanipulationen zu schützen. Nicht jeder Protokolltyp hat die gleiche Relevanz für Compliance, Überwachung oder Sicherheit. Legen Sie daher die spezifischen Datentypen fest, die exportiert werden sollen. |
Sie können Überwachungsdaten in Ihrem Arbeitsbereich sammeln, der Vorschriften unterliegt, die eine langfristige Aufbewahrung erfordern. Daten in einem Log Analytics-Arbeitsbereich können nicht geändert, aber gelöscht werden. Wenn Sie eine Kopie der Betriebsdaten zu Aufbewahrungszwecken exportieren, können Sie eine Lösung erstellen, die Ihre Complianceanforderungen erfüllt. |
| Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich. Möglicherweise sammeln Sie Daten, die vertrauliche Informationen enthalten. Filtern Von Datensätzen, die nicht gesammelt werden sollen, verwenden Sie die Konfiguration für die jeweilige Datenquelle. Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen. Wenn Sie über Standards verfügen, die eine Unverändertheit der ursprünglichen Daten erfordern, können Sie das Literal "h" in KQL-Abfragen verwenden, um abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden. |
Das Verschleiern oder Filtern vertraulicher Daten in Ihrem Arbeitsbereich trägt dazu bei, dass Sie die Vertraulichkeit vertraulicher Informationen wahren. In vielen Fällen bestimmen Complianceanforderungen, wie Sie vertrauliche Informationen verarbeiten können. Diese Strategie hilft Ihnen, die Anforderungen proaktiv zu erfüllen. |
Azure Policy
Azure bietet Richtlinien im Zusammenhang mit der Sicherheit von Log Analytics-Arbeitsbereichen, um ihren gewünschten Sicherheitsstatus zu erzwingen. Beispiele für solche Richtlinien sind:
- Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden
- Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden
- Log Analytics-Arbeitsbereiche sollten die Nicht-Azure Active Directory-basierte Erfassung blockieren.
Azure bietet auch zahlreiche Richtlinien zum Erzwingen der Konfiguration von Private Link, z. B. Log Analytics-Arbeitsbereiche sollten die Protokollerfassung und Abfragen aus öffentlichen Netzwerken blockieren oder sogar die Lösung über DINE-Richtlinien konfigurieren, z. B. Konfigurieren von Azure Monitor Private Link Scope für die Verwendung privater DNS-Zonen.
Azure Advisor
Azure bietet keine Azure Advisor-Empfehlungen im Zusammenhang mit der Sicherheit von Log Analytics-Arbeitsbereichen.
Kostenoptimierung
Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, die Priorisierung von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget der organization zu erfüllen und gleichzeitig die Geschäftsanforderungen zu erfüllen.
Die Entwurfsprinzipien für die Kostenoptimierung bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Geschäftsziele. Sie helfen Ihnen auch dabei, kompromisse bei der technischen Planung ihrer Überwachungs- und Protokollierungslösung zu treffen.
Weitere Informationen dazu, wie Datengebühren für Ihre Log Analytics-Arbeitsbereiche berechnet werden, finden Sie unter Kostenberechnungen und Optionen für Azure Monitor-Protokolle.
Entwurfsprüfliste für die Kostenoptimierung
Beginnen Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung für Investitionen, und optimieren Sie den Entwurf, sodass die Workload mit dem für die Workload zugewiesenen Budget ausgerichtet wird. Ihr Entwurf sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.
- Führen Sie Kostenmodellierungsübungen durch. Diese Exercizes helfen Ihnen, Ihre aktuellen Arbeitsbereichskosten zu verstehen und Ihre Kosten im Verhältnis zum Arbeitsbereichswachstum vorherzusagen. Analysieren Sie Ihre Wachstumstrends in Ihrer Workload, und stellen Sie sicher, dass Sie die Pläne für die Workloaderweiterung verstehen, um Ihre zukünftigen Betriebskosten ordnungsgemäß vorherzusagen.
- Wählen Sie das richtige Abrechnungsmodell aus. Verwenden Sie Ihr Kostenmodell, um das beste Abrechnungsmodell für Ihr Szenario zu ermitteln. Wie Sie Ihre Arbeitsbereiche derzeit verwenden und wie Sie sie im Zuge der Weiterentwicklung Ihrer Workload verwenden möchten, bestimmt, ob ein Modell mit nutzungsbasierter Bezahlung oder ein Tarifmodell für die Nutzung am besten für Ihr Szenario geeignet ist.
Denken Sie daran, dass Sie für jeden Arbeitsbereich unterschiedliche Abrechnungsmodelle auswählen und in bestimmten Fällen die Kosten für Arbeitsbereiche kombinieren können, damit Sie ihre Analyse und Entscheidungsfindung präzise gestalten können. - Sammeln Sie genau die richtige Menge an Protokolldaten. Führen Sie eine regelmäßige geplante Analyse Ihrer Diagnoseeinstellungen für Ihre Ressourcen, die Konfiguration der Datensammlungsregel und die benutzerdefinierte Anwendungscodeprotokollierung durch, um sicherzustellen, dass Sie keine unnötigen Protokolldaten sammeln.
- Behandeln Sie Nichtproduktionsumgebungen anders als in der Produktion. Überprüfen Sie Ihre Nichtproduktionsumgebungen, um sicherzustellen, dass Sie Ihre Diagnoseeinstellungen und Aufbewahrungsrichtlinien entsprechend konfiguriert haben. Diese können häufig deutlich weniger robust sein als die Produktion, insbesondere für Entwicklungs-/Test- oder Sandboxumgebungen.
Konfigurationsempfehlungen für die Kostenoptimierung
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren Sie den Tarif für die Datenmenge, die in der Regel von jedem Log Analytics-Arbeitsbereich erfasst wird. | Standardmäßig verwenden Log Analytics-Arbeitsbereiche preise mit nutzungsbasierter Bezahlung ohne Mindestdatenvolumen. Wenn Sie genügend Daten sammeln, können Sie Ihre Kosten erheblich senken, indem Sie eine Verpflichtungsstufe verwenden, mit der Sie sich auf ein tägliches Minimum an Daten festlegen können, die im Austausch für einen niedrigeren Preis erfasst werden. Wenn Sie genügend Daten über Arbeitsbereiche in einer einzelnen Region hinweg sammeln, können Sie diese mit einem dedizierten Cluster verknüpfen und das gesammelte Volumen mithilfe der Clusterpreise kombinieren. Weitere Informationen zu Verpflichtungsebenen und Anleitungen zum Bestimmen, was für Ihren Nutzungsgrad am besten geeignet ist, finden Sie unter Kostenberechnungen und Optionen für Azure Monitor-Protokolle. Informationen zum Anzeigen der geschätzten Kosten für Ihre Nutzung zu unterschiedlichen Tarifen finden Sie unter Nutzung und geschätzte Kosten. |
| Konfigurieren Sie die Aufbewahrung und Archivierung von Daten. | Für die Aufbewahrung von Daten in einem Log Analytics-Arbeitsbereich fällt eine Gebühr an, die über den Standardwert von 31 Tagen hinausgeht. Es sind 90 Tage, wenn Microsoft Sentinel für den Arbeitsbereich aktiviert ist, und 90 Tage für Application Insights-Daten. Berücksichtigen Sie Ihre besonderen Anforderungen an die Verfügbarkeit von Daten für Protokollabfragen. Sie können Ihre Kosten erheblich senken, indem Sie archivierte Protokolle konfigurieren. Mit archivierten Protokollen können Sie Daten bis zu sieben Jahre aufbewahren und gelegentlich darauf zugreifen. Sie greifen auf die Daten zu, indem Sie Suchaufträge verwenden oder einen Satz von Daten im Arbeitsbereich wiederherstellen. |
| Wenn Sie Microsoft Sentinel zum Analysieren von Sicherheitsprotokollen verwenden, sollten Sie einen separaten Arbeitsbereich zum Speichern dieser Protokolle verwenden. | Wenn Sie einen dedizierten Arbeitsbereich für Protokolldaten verwenden, die Ihr SIEM verwendet, kann dies Ihnen helfen, die Kosten zu kontrollieren. Die von Microsoft Sentinel verwendeten Arbeitsbereiche unterliegen den Microsoft Sentinel-Preisen. Ihre Sicherheitsanforderungen bestimmen die Typen von Protokollen, die in Ihre SIEM-Lösung aufgenommen werden müssen. Möglicherweise können Sie Betriebsprotokolle ausschließen, die zu den Log Analytics-Standardpreisen in Rechnung gestellt werden, wenn sie sich in einem separaten Arbeitsbereich befinden. |
| Konfigurieren Sie Tabellen, die für das Debuggen, die Problembehandlung und die Überwachung verwendet werden, als Standardprotokolle. | Tabellen in einem Log Analytics-Arbeitsbereich, der für Standardprotokolle konfiguriert ist, weisen geringere Erfassungskosten bei eingeschränkten Funktionen und einer Gebühr für Protokollabfragen auf. Wenn Sie diese Tabellen selten abfragen und nicht für Warnmeldungen verwenden, können diese Abfragekosten durch die verringerten Erfassungskosten mehr als ausgeglichen werden. |
| Schränken Sie die Datensammlung aus Datenquellen für den Arbeitsbereich ein. | Der Hauptfaktor für die Kosten von Azure Monitor ist die Datenmenge, die Sie in Ihrem Log Analytics-Arbeitsbereich sammeln. Stellen Sie sicher, dass Sie nicht mehr Daten sammeln, als Sie benötigen, um die Integrität und Leistung Ihrer Dienste und Anwendungen zu bewerten. Wählen Sie für jede Ressource die richtigen Kategorien für die Diagnoseeinstellungen aus, die Sie konfigurieren, um die menge der benötigten Betriebsdaten bereitzustellen. Sie hilft Ihnen dabei, Ihre Workload erfolgreich zu verwalten und nicht ignorierte Daten zu verwalten. Es kann einen Kompromiss zwischen Kosten und Ihren Überwachungsanforderungen geben. Beispielsweise können Sie ein Leistungsproblem bei einer hohen Abtastrate möglicherweise schneller erkennen, aber Sie möchten möglicherweise eine niedrigere Abtastrate, um Kosten zu sparen. Die meisten Umgebungen verfügen über mehrere Datenquellen mit unterschiedlichen Sammlungstypen, sodass Sie Ihre spezifischen Anforderungen mit Ihren Kostenzielen für jede abwägen müssen. Empfehlungen zum Konfigurieren der Sammlung für verschiedene Datenquellen finden Sie unter Kostenoptimierung in Azure Monitor . |
| Analysieren Sie regelmäßig Daten zur Arbeitsbereichsnutzung, um Trends und Anomalien zu identifizieren. Verwenden Sie Erkenntnisse in Log Analytics-Arbeitsbereiche, um die Menge der in Ihrem Arbeitsbereich gesammelten Daten regelmäßig zu überprüfen. Analysieren Sie die Datensammlung mithilfe von Methoden im Arbeitsbereich Nutzung analysieren im Log Analytics-Arbeitsbereich , um zu ermitteln, ob andere Konfigurationen vorhanden sind, die Ihre Nutzung weiter verringern können. |
Indem Sie die Menge der von verschiedenen Quellen gesammelten Daten verstehen, werden Anomalien und Aufwärtstrends bei der Datensammlung identifiziert, die zu überhöhten Kosten führen können. Diese Berücksichtigung ist wichtig, wenn Sie Ihrer Workload einen neuen Satz von Datenquellen hinzufügen. Wenn Sie beispielsweise eine neue Gruppe von VMs hinzufügen, aktivieren Sie neue Azure Diagnose-Einstellungen für einen Dienst, oder ändern Sie die Protokollebenen in Ihrer Anwendung. |
| Erstellen einer Warnung, wenn die Datensammlung hoch ist. | Um unerwartete Rechnungen zu vermeiden, sollten Sie sich bei übermäßigem Verbrauch proaktiv benachrichtigen lassen. Mit der Benachrichtigung können Sie potenzielle Anomalien vor dem Ende Ihres Abrechnungszeitraums beheben. |
| Ziehen Sie eine tägliche Obergrenze als vorbeugende Maßnahme in Betracht, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten. | Eine tägliche Obergrenze deaktiviert die Datensammlung in einem Log Analytics-Arbeitsbereich für den Rest des Tages, sobald Ihr konfigurierter Grenzwert erreicht ist. Verwenden Sie diese Vorgehensweise nicht als Methode, um Die Kosten zu senken, wie unter Verwendung einer täglichen Obergrenze beschrieben, sondern stattdessen, um eine auslaufende Erfassung aufgrund von Fehlkonfigurationen oder Missbrauch zu verhindern. Wenn Sie eine tägliche Obergrenze festlegen, erstellen Sie eine Warnung, wenn die Obergrenze erreicht ist. Stellen Sie sicher, dass Sie auch eine Warnungsregel erstellen, wenn ein bestimmter Prozentsatz erreicht ist. Sie können beispielsweise eine Warnungsregel für festlegen, wenn eine Kapazität von 90 Prozent erreicht ist. Diese Warnung bietet Ihnen die Möglichkeit, die Ursache der erhöhten Daten zu untersuchen und zu beheben, bevor die Obergrenze die Sammlung kritischer Daten aus Ihrer Workload ausschließt. |
Azure Policy
Azure bietet keine Richtlinien im Zusammenhang mit der Kostenoptimierung von Log Analytics-Arbeitsbereichen. Sie können benutzerdefinierte Richtlinien erstellen, um Compliancerichtlinien für Ihre Arbeitsbereichsbereitstellungen zu erstellen, z. B. sicherzustellen, dass Ihre Arbeitsbereiche die richtigen Aufbewahrungseinstellungen enthalten.
Azure Advisor
Azure Advisor gibt Empfehlungen zum Verschieben bestimmter Tabellen in einem Arbeitsbereich in den kostengünstigen Standardprotokolldatenplan für Tabellen mit relativ hohem Erfassungsvolumen aus. Machen Sie sich mit den Einschränkungen vertraut, indem Sie vor dem Wechsel grundlegende Protokolle verwenden. Weitere Informationen finden Sie unter Wann sollte ich Standardprotokolle verwenden?. Azure Advisor empfiehlt möglicherweise auch, den Tarif für den gesamten Arbeitsbereich basierend auf dem Gesamtnutzungsvolumen zu ändern .
Optimaler Betrieb
Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungsmethoden, Beobachtbarkeit und Releaseverwaltung.
Die Entwurfsprinzipien für operationale Exzellenz bieten eine allgemeine Entwurfsstrategie für die Erreichung dieser Ziele in Bezug auf die operativen Anforderungen der Workload.
Entwurfsprüfliste für operationale Exzellenz
Starten Sie Ihre Entwurfsstrategie basierend auf der Entwurfsüberprüfungsprüfliste für Operational Excellence , um Prozesse für Die Sichtbarkeit, Tests und Bereitstellung im Zusammenhang mit Log Analytics-Arbeitsbereichen zu definieren.
- Verwenden Sie Infrastructure-as-Code (IaC) für alle Funktionen im Zusammenhang mit den Log Analytics-Arbeitsbereichen Ihrer Workload. Minimieren Sie das Risiko menschlicher Fehler, die beim manuellen Verwalten und Betreiben Ihrer Protokollsammlungs-, Erfassungs-, Speicher- und Abfragefunktionen, einschließlich gespeicherter Abfragen und Abfragepakete, auftreten können, indem Sie so viele dieser Funktionen wie möglich über Code automatisieren. Schließen Sie außerdem Warnungen ein, die Integrität status Änderungen und die Konfiguration von Diagnoseeinstellungen für Ressourcen melden, die Protokolle an Ihre Arbeitsbereiche in Ihrem IaC-Code senden. Fügen Sie den Code in Ihren anderen workloadbezogenen Code ein, um sicherzustellen, dass Ihre sicheren Bereitstellungsmethoden für die Verwaltung Ihrer Arbeitsbereiche beibehalten werden.
- Stellen Sie sicher, dass Ihre Arbeitsbereiche fehlerfrei sind und Sie benachrichtigt werden, wenn Probleme auftreten. Wie bei jeder anderen Komponente Ihrer Workload können bei Ihren Arbeitsbereichen Probleme auftreten. Die Probleme können wertvolle Zeit und Ressourcen für die Problembehandlung und -lösung kosten und Ihr Team möglicherweise nicht wissen, welche Produktionsworkload status. Die Möglichkeit, Arbeitsbereiche proaktiv zu überwachen und potenzielle Probleme zu beheben, hilft Ihren Betriebsteams, die Zeit zu minimieren, die sie mit der Problembehandlung und Behebung von Problemen verbringen.
- Trennen Sie Ihre Produktion von Nichtproduktionsworkloads. Vermeiden Sie unnötige Komplexität, die zusätzliche Arbeit für ein Betriebsteam verursachen kann, indem Sie andere Arbeitsbereiche für Ihre Produktionsumgebung verwenden als solche, die von Nichtproduktionsumgebungen verwendet werden. Außerdem können eingehende Daten zu Verwirrung führen, da Testaktivitäten als Ereignisse in der Produktion erscheinen können.
- Integrierte Tools und Funktionen gegenüber Nicht-Microsoft-Lösungen bevorzugen Verwenden Sie integrierte Tools, um die Funktionalität Ihrer Überwachungs- und Protokollierungssysteme zu erweitern. Möglicherweise müssen Sie zusätzliche Konfigurationen vornehmen, um Anforderungen wie Wiederherstellbarkeit oder Datenhoheit zu unterstützen, die für Log Analytics-Arbeitsbereiche nicht sofort verfügbar sind. Verwenden Sie in diesen Fällen native Azure- oder Microsoft-Tools, um die Anzahl der Tools, die Ihr organization unterstützen muss, auf ein Minimum zu beschränken.
- Behandeln Sie Ihre Arbeitsbereiche als statische und nicht als kurzlebige Komponenten . Wie andere Arten von Datenspeichern sollten Arbeitsbereiche nicht zu den kurzlebigen Komponenten Ihrer Workload gehören. Das Well-Architected Framework bevorzugt im Allgemeinen unveränderliche Infrastruktur und die Möglichkeit, Ressourcen innerhalb Ihrer Workload im Rahmen Ihrer Bereitstellungen schnell und einfach zu ersetzen. Der Verlust von Arbeitsbereichsdaten kann jedoch katastrophal und unumkehrbar sein. Lassen Sie aus diesem Grund Arbeitsbereiche von Bereitstellungspaketen aus, die die Infrastruktur während updates ersetzen, und führen Sie nur direkte Upgrades für die Arbeitsbereiche durch.
- Stellen Sie sicher, dass das Betriebspersonal in Kusto-Abfragesprache Mitarbeiter schulen, um Bei Bedarf Abfragen zu erstellen oder zu ändern. Wenn Operatoren keine Abfragen schreiben oder ändern können, kann dies die kritische Problembehandlung oder andere Funktionen verlangsamen, da Operatoren sich auf andere Teams verlassen müssen, um diese Arbeit für sie zu erledigen.
Konfigurationsempfehlungen für operationale Exzellenz
| Empfehlung | Vorteil |
|---|---|
| Entwerfen Sie eine Arbeitsbereichsstrategie, die Ihren Geschäftsanforderungen entspricht. Anleitungen zum Entwerfen einer Strategie für Ihre Log Analytics-Arbeitsbereiche finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur . Geben Sie an, wie viele erstellt werden sollen und wo sie platziert werden sollen. Wenn Sie für Ihre Workload die Verwendung eines zentralisierten Plattformteamangebots benötigen, stellen Sie sicher, dass Sie alle erforderlichen betrieblichen Zugriffe festlegen. Erstellen Sie außerdem Warnungen, um sicherzustellen, dass die Anforderungen an die Beobachtbarkeit von Workloads erfüllt werden. |
Eine einzelne oder mindestens minimale Anzahl von Arbeitsbereichen maximiert die Betriebseffizienz Ihrer Workload. Sie schränkt die Verteilung Ihrer Betriebs- und Sicherheitsdaten ein, erhöht den Einblick in potenzielle Probleme, erleichtert die Identifizierung von Mustern und minimiert Ihre Wartungsanforderungen. Möglicherweise haben Sie Anforderungen für mehrere Arbeitsbereiche, z. B. mehrere Mandanten, oder Sie benötigen Arbeitsbereiche in mehreren Regionen, um Ihre Verfügbarkeitsanforderungen zu unterstützen. Stellen Sie daher sicher, dass Sie über geeignete Prozesse verfügen, um diese erhöhte Komplexität zu verwalten. |
| Verwenden Sie Infrastructure-as-Code (IaC), um Ihre Arbeitsbereiche und zugehörigen Funktionen bereitzustellen und zu verwalten. | Verwenden Sie Infrastructure-as-Code (IaC), um die Details Ihrer Arbeitsbereiche in ARM-Vorlagen, Azure BICEP oder Terraform zu definieren. Sie können Ihre vorhandenen DevOps-Prozesse verwenden, um neue Arbeitsbereiche bereitzustellen und Azure Policy, um deren Konfiguration zu erzwingen. Durch die gemeinsame Zuordnung Des gesamten IaC-Codes mit Ihrem Anwendungscode können Sie sicherstellen, dass Ihre sicheren Bereitstellungsmethoden für alle Bereitstellungen beibehalten werden. |
| Verwenden Sie Log Analytics-Arbeitsbereichserkenntnisse, um die Integrität und Leistung Ihrer Log Analytics-Arbeitsbereiche nachzuverfolgen und aussagekräftige und umsetzbare Warnungen zu erstellen, um proaktiv über Betriebsprobleme benachrichtigt zu werden. Erkenntnisse für Log Analytics-Arbeitsbereiche bieten eine einheitliche Ansicht des Verbrauchs, der Leistung, der Integrität, des Agents, der Abfragen und der Änderungsprotokolle für alle Ihre Arbeitsbereiche. Jeder Arbeitsbereich verfügt über eine Vorgangstabelle, in der wichtige Aktivitäten protokolliert werden, die sich auf den Arbeitsbereich auswirken. |
Überprüfen Sie die Informationen, die Log Analytics Insights regelmäßig bereitstellt, um die Integrität und den Betrieb der einzelnen Arbeitsbereiche nachzuverfolgen. Wenn Sie diese Informationen verwenden, können Sie leicht verständliche Visualisierungen wie Dashboards oder Berichte erstellen, mit denen Vorgänge und Projektbeteiligte die Integrität Ihrer Arbeitsbereiche nachverfolgen können. Erstellen Sie Warnungsregeln basierend auf dieser Tabelle, um proaktiv benachrichtigt zu werden, wenn ein Betriebsproblem auftritt. Sie können empfohlene Warnungen für den Arbeitsbereich verwenden, um die Erstellung der kritischsten Warnungsregeln zu vereinfachen. |
| Üben Sie eine kontinuierliche Verbesserung, indem Sie die Azure-Diagnoseeinstellungen für Ihre Ressourcen, Datensammlungsregeln und die Ausführlichkeit von Anwendungsprotokollen häufig erneut aufrufen. Stellen Sie sicher, dass Sie Ihre Protokollsammlungsstrategie durch häufige Überprüfungen Ihrer Ressourceneinstellungen optimieren. Achten Sie aus betrieblicher Sicht darauf, das Rauschen in Ihren Protokollen zu reduzieren, indem Sie sich auf die Protokolle konzentrieren, die nützliche Informationen zur Integrität einer Ressource status. |
Durch die Optimierung auf diese Weise ermöglichen Sie Es Operatoren, Probleme zu untersuchen und zu beheben, wenn sie auftreten, oder andere Routine-, improvisierte oder Notfallaufgaben auszuführen. Wenn neue Diagnosekategorien für einen Ressourcentyp zur Verfügung gestellt werden, überprüfen Sie die Typen von Protokollen, die mit dieser Kategorie ausgegeben werden, um zu ermitteln, ob die Aktivierung sie ihnen helfen kann, Ihre Sammlungsstrategie zu optimieren. Beispielsweise kann eine neue Kategorie eine Teilmenge einer größeren Gruppe von Aktivitäten sein, die erfasst werden. Die neue Teilmenge kann es Ihnen ermöglichen, die Menge der eingehenden Protokolle zu reduzieren, indem Sie sich auf die Aktivitäten konzentrieren, die für die Nachverfolgung Ihrer Vorgänge wichtig sind. |
Azure Policy und Azure Advisor
Azure bietet keine Richtlinien oder Azure Advisor-Empfehlungen im Zusammenhang mit der optimalen Betriebsbereitschaft von Log Analytics-Arbeitsbereichen.
Effiziente Leistung
Bei der Leistungseffizienz geht es darum, die Benutzererfahrung auch dann aufrechtzuerhalten, wenn die Auslastung durch die Verwaltung der Kapazität erhöht wird. Die Strategie umfasst das Skalieren von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe sowie die Optimierung der Spitzenleistung.
Die Entwurfsprinzipien der Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele im Vergleich zur erwarteten Nutzung zu erreichen.
Entwurfsprüfliste für Die Leistungseffizienz
Beginnen Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Leistungseffizienz , um eine Baseline für Ihre Log Analytics-Arbeitsbereiche und die zugehörigen Funktionen zu definieren.
- Machen Sie sich mit den Grundlagen der Latenz der Protokolldatenerfassung in Azure Monitor vertraut. Es gibt mehrere Faktoren, die zur Latenz bei der Erfassung von Protokollen in Ihren Arbeitsbereichen beitragen. Viele dieser Faktoren sind der Azure Monitor-Plattform inhärent. Wenn Sie die Faktoren und das normale Latenzverhalten verstehen, können Sie geeignete Erwartungen in Ihren Workloadbetriebsteams festlegen.
- Trennen Sie Ihre Nichtproduktionsworkloads und Produktionsworkloads. Produktionsspezifische Arbeitsbereiche verringern den Mehraufwand, den Nichtproduktionssysteme verursachen können. Dadurch wird der Gesamtbedarf Ihrer Arbeitsbereiche reduziert, sodass weniger Ressourcen für die Verarbeitung von Protokolldaten erforderlich sind.
- Wählen Sie die richtigen Bereitstellungsregionen aus, um Ihre Leistungsanforderungen zu erfüllen. Stellen Sie Ihren Log Analytics-Arbeitsbereich und Datensammlungsendpunkte (DATA Collection Endpoints, DCEs) in der Nähe Ihrer Workload bereit. Ihre Wahl der geeigneten Region, in der Ihr Arbeitsbereich und Ihre DCEs bereitgestellt werden sollen, sollte davon informiert werden, wo Sie die Workload bereitstellen. Möglicherweise müssen Sie die Leistungsvorteile der Bereitstellung Ihrer Arbeitsbereiche und DCEs in derselben Region wie Ihre Workload gegen Ihre Zuverlässigkeitsanforderungen abwägen, wenn Sie Ihre Workload bereits in einer Region bereitgestellt haben, die diese Anforderungen für Ihre Protokolldaten nicht unterstützen kann.
Konfigurationsempfehlungen für Die Leistungseffizienz
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren Sie die Protokollabfrageüberwachung, und verwenden Sie Erkenntnisse für Log Analytics-Arbeitsbereiche, um langsame und ineffiziente Abfragen zu identifizieren. Die Protokollabfrageüberwachung speichert die Computezeit, die zum Ausführen jeder Abfrage erforderlich ist, und die Zeit, bis Ergebnisse zurückgegeben werden. Erkenntnisse für Log Analytics-Arbeitsbereiche verwendet diese Daten, um potenziell ineffiziente Abfragen in Ihrem Arbeitsbereich aufzulisten. Erwägen Sie, diese Abfragen neu zu schreiben, um ihre Leistung zu verbessern. Anleitungen zur Optimierung Ihrer Protokollabfragen finden Sie unter Optimieren von Protokollabfragen in Azure Monitor . |
Optimierte Abfragen geben schneller Ergebnisse zurück und verwenden weniger Ressourcen im Back-End, wodurch auch die Prozesse, die auf diesen Abfragen basieren, effizienter sind. |
| Grundlegendes zu Dienstgrenzwerten für Log Analytics-Arbeitsbereiche. Bei bestimmten Implementierungen mit hohem Datenverkehr können Dienstgrenzwerte auftreten, die sich auf Ihre Leistung und ihren Arbeitsbereichs- oder Workloadentwurf auswirken. Beispielsweise beschränkt die Abfrage-API die Anzahl der Datensätze und das Datenvolumen, die von einer Abfrage zurückgegeben werden. Die Protokollerfassungs-API beschränkt die Größe jedes API-Aufrufs. Eine vollständige Liste der Einschränkungen und Grenzwerte für Azure Monitor - und Log Analytics-Arbeitsbereiche , die speziell für den Arbeitsbereich selbst gelten, finden Sie unter Azure Monitor-Dienstgrenzwerte. |
Wenn Sie die Grenzwerte verstehen, die sich auf die Leistung Ihres Arbeitsbereichs auswirken können, können Sie sie entsprechend entwerfen, um sie zu mindern. Möglicherweise entscheiden Sie sich dafür, mehrere Arbeitsbereiche zu verwenden, um zu vermeiden, dass grenzwerte für einen einzelnen Arbeitsbereich erreicht werden. Wägen Sie die Entwurfsentscheidungen ab, um Dienstgrenzwerte gegen Anforderungen und Ziele für andere Säulen zu verringern. |
| Erstellen Sie DCRs, die für Datenquellentypen spezifisch sind, innerhalb eines oder mehrerer definierter Beobachtbarkeitsbereiche. Erstellen Sie separate DCRs für Leistung und Ereignisse, um die Computeauslastung der Back-End-Verarbeitung zu optimieren. | Wenn Sie separate DCRs für Leistung und Ereignisse verwenden, hilft dies, die Auslastung der Back-End-Ressourcen zu verringern. Durch DCRs, die Leistungsereignisse kombinieren, erzwingt erzwingt jeder zugeordnete virtuelle Computer, Konfigurationen zu übertragen, zu verarbeiten und auszuführen, die möglicherweise nicht gemäß der installierten Software anwendbar sind. Ein übermäßiger Computeressourcenverbrauch und Fehler bei der Verarbeitung einer Konfiguration können auftreten und dazu führen, dass der Azure Monitor-Agent (AMA) nicht mehr reagiert. |
Azure Policy und Azure Advisor
Azure bietet keine Richtlinien oder Azure Advisor-Empfehlungen im Zusammenhang mit der Leistung von Log Analytics-Arbeitsbereichen.