Diseño de áreas de trabajo de registros de Azure Monitor (Log Analytics)
Azure Monitor almacena los datos de registro en un área de trabajo de registros de Azure Monitor (Log Analytics). Un área de trabajo es un recurso de Azure que actúa como límite administrativo o ubicación geográfica para el almacenamiento de datos. El área de trabajo también es un contenedor donde se recopilan y agregan datos.
Aunque puede implementar una o varias áreas de trabajo en la suscripción de Azure, debe asegurarse de que la implementación inicial sigue las instrucciones de Microsoft. El área de trabajo debe proporcionar una implementación rentable, manejable y escalable que satisfaga las necesidades de su organización.
Aspectos que debe saber sobre las áreas de trabajo de registros de Azure Monitor
Revise estas características de las áreas de trabajo de registros de Azure Monitor y considere cómo pueden contribuir a la solución de supervisión de Tailwind Traders.
En un área de trabajo, puede aislar los datos concediéndoles derechos de acceso a distintos usuarios siguiendo las estrategias de diseño recomendadas de Microsoft.
Los datos de un área de trabajo de registros de Azure Monitor se organizan en tablas. Cada tabla almacena distintos tipos de datos y tiene su propio conjunto exclusivo de propiedades en función del recurso que genera los datos. La mayoría de los orígenes de datos escriben en sus propias tablas en un área de trabajo de registros de Azure Monitor.
Un área de trabajo le permite configurar opciones como el plan de tarifa, la retención y el límite de datos en función de los límites administrativos o las ubicaciones geográficas.
Con el control de acceso basado en roles de Azure (Azure RBAC) puede conceder a los usuarios y grupos solo la cantidad de acceso que necesitan para trabajar con los datos de supervisión en un área de trabajo. Puede alinear el control de acceso del usuario con el modelo de funcionamiento de la organización de TI mediante el uso de una sola área de trabajo para almacenar los datos recopilados habilitada en todos los recursos.
Las áreas de trabajo se hospedan en clústeres físicos. De forma predeterminada, el sistema crea y administra estos clústeres. Si el sistema ingiere más de 500 GB de datos al día, cree sus propios clústeres dedicados para las áreas de trabajo para admitir un mayor control y una mayor tasa de ingesta.
Aspectos que se deben tener en cuenta al usar las áreas de trabajo de registros de Azure Monitor
Ahora está listo para revisar las consideraciones para diseñar con áreas de trabajo de registros de Azure Monitor en la arquitectura de Tailwind Traders.
Tenga en cuenta la estrategia de control de acceso. A medida que planee el número de áreas de trabajo que se van a usar en la organización de Tailwind Traders, tenga en cuenta estos posibles requisitos:
- ¿Es su organización una empresa global? ¿Necesita datos de registro almacenados en regiones específicas por motivos de soberanía o cumplimiento de datos?
- ¿La arquitectura usa Azure? ¿Desea evitar los gastos de transferencia de datos de salida manteniendo un área de trabajo en la misma región que los recursos de Azure que administra?
- ¿El sistema admite varios departamentos o grupos de negocios? Cada grupo debe tener acceso a sus datos, pero no a los datos de otros. Además, no hay ningún requisito empresarial para las vistas consolidadas entre los distintos grupos de negocio o departamentos.
Tenga en cuenta las opciones del modelo de implementación. La mayoría de las organizaciones de TI usan un modelo centralizado, descentralizado o híbrido para su arquitectura. Tenga en cuenta estos modelos de implementación de áreas de trabajo comunes y cómo podrían funcionar para la organización de Tailwind Traders:
Implementación Descripción Centralizado Todos los registros se almacenan en un área de trabajo central y se administran mediante un único equipo. Azure Monitor proporciona acceso diferenciado por equipo. En este escenario, es fácil administrar, buscar en los recursos y correlacionar registros entre ellos. El área de trabajo puede aumentar significativamente en función de la cantidad de datos recopilados de varios recursos de la suscripción. Se necesita sobrecarga administrativa adicional para mantener el control de acceso a distintos usuarios. Este modelo se conoce como concentrador y radio. Descentralizado Cada equipo tiene su propia área de trabajo creada en un grupo de recursos que poseen y administran. Los datos de registro se separan por recurso. En este escenario, el área de trabajo se puede mantener seguro y el control de acceso es coherente con el acceso de los recursos. Una desventaja de este módulo es que puede ser difícil correlacionar los registros entre sí. Los usuarios que necesitan una visión amplia de muchos recursos no pueden analizar los datos de forma significativa. Híbrido Un enfoque híbrido puede complicar los requisitos de cumplimiento de auditoría de seguridad. Muchas organizaciones implementan ambos modelos de implementación en paralelo. Habitualmente, esto genera una configuración compleja, cara y difícil de mantener con problemas en la cobertura de los registros. Tenga en cuenta el modo de acceso. Planee cómo los usuarios pueden acceder a las áreas de trabajo de registros de Azure Monitor y definir el ámbito de los datos a los que pueden acceder. Los usuarios de Tailwind Traders tienen dos opciones para acceder a sus datos:
Modo de acceso Descripción Contexto del área de trabajo Un usuario puede revisar todos los registros del área de trabajo para los que tienen permiso. Las consultas se limitan a todos los datos de todas las tablas en el área de trabajo. Para acceder a los registros con el área de trabajo como ámbito, seleccione Registros en el menú de Azure Monitor del Azure Portal. Contexto del recurso Un usuario accede al área de trabajo para un recurso, un grupo de recursos o una suscripción determinados. Al seleccionar Registros en un menú de recursos de Azure Portal, pueden ver los registros solo para los recursos de todas las tablas a las que tienen acceso. El ámbito de las consultas solo se limita a los datos asociados a dicho recurso. Este modo también permite Azure RBAC pormenorizado. Tenga en cuenta RBAC y las áreas de trabajo de Azure. Controle qué usuarios tienen acceso a los recursos según sus asociaciones de área de trabajo. Puede conceder acceso al equipo responsable de los servicios de infraestructura de Tailwind Traders hospedados en Azure Virtual Machines. Puede conceder al equipo acceso solo a los registros generados por las máquinas virtuales. Este enfoque sigue el nuevo modelo de registro de contexto de recursos. La base de este modelo es para cada registro emitido por un recurso de Azure. Los registros se reenvían a un área de trabajo central que respeta el ámbito y Azure RBAC en función de los recursos.
Tenga en cuenta la escala y el límite de la velocidad de ingesta. Azure Monitor es un servicio de datos a gran escala que atiende a miles de clientes que envían petabytes de datos cada mes a un ritmo creciente. El espacio de almacenamiento de las áreas de trabajo no está limitado y puede crecer hasta petabytes de datos. No es necesario dividir las áreas de trabajo debido a su escala.
Recomendaciones
A medida que considere las opciones para implementar áreas de trabajo de registros de Azure Monitor y el control de acceso en la solución de supervisión y registro, revise estas recomendaciones. En este escenario se muestra un diseño recomendado para una sola área de trabajo en la suscripción de su organización de TI.
El área de trabajo no requiere soberanía de datos ni cumplimiento normativo. No es necesario que el área de trabajo corresponda a las regiones en las que se implementan los recursos. Los equipos de administración de seguridad y de TI de su organización tienen la posibilidad de sacar provecho de la integración mejorada con la administración del acceso de Azure y un control de acceso más seguro.
Todos los recursos, las soluciones de supervisión y la información, como Application Insights y VM Insights están configurados para reenviar los datos de registro que recopilan al área de trabajo compartida centralizada de la organización de TI. Los datos de registro de la infraestructura auxiliar y las aplicaciones mantenidas por diferentes equipos también se envían al área de trabajo compartida centralizada.
A los usuarios de cada equipo se les concede acceso a los registros de los recursos para los que tienen acceso.
Una vez que haya implementado la arquitectura del área de trabajo, puede aplicarla a los recursos de Azure con Azure Policy. Puede definir directivas y garantizar el cumplimiento de sus recursos de Azure, para que envíen todos sus registros de recursos a un área de trabajo en particular. Mediante Azure Virtual Machines o Virtual Machine Scale Sets, puede usar directivas existentes que evalúen el cumplimiento del área de trabajo y los resultados del informe, o personalizar para corregir si no son compatibles.