Vue d’ensemble de Journaux d’activité Azure Monitor
Journaux Azure Monitor est une plateforme SaaS (Software as a Service) centralisée qui permet de collecter, d’analyser et d’agir sur les données de télémétrie générées par les ressources et les applications Azure et non Azure.
Vous pouvez collecter des journaux d’activité, gérer les données et les coûts des journaux d’activité, et consommer différents types de données dans un espace de travail Log Analytics, la principale ressource des journaux d’activité Azure Monitor. Cela signifie que vous n’avez jamais besoin de déplacer des données ou de gérer d’autres stockages, et que vous pouvez conserver différents types de données tant que cela est nécessaire.
Cet article fournit une vue d’ensemble du fonctionnement des journaux Azure Monitor, et explique comment ils répondent aux besoins et compétences de différents personnages d’une organisation.
Remarque
Les journaux Azure Monitor représentent la moitié de la plateforme de données qui prend en charge Azure Monitor. L’autre moitié, constituée des métriques Azure Monitor, stocke les données numériques dans une base de données de série chronologique.
Fonctionnement des journaux d’activité Azure Monitor
Les journaux d’activité Azure Monitor vous fournissent les outils suivants :
- Collectez toutes les données à l’aide des méthodes de collecte de données Azure Monitor. Transformez les données en fonction de vos besoins pour optimiser les coûts, supprimer des données personnelles, etc, et acheminer les données vers des tables dans votre espace de travail Log Analytics.
- Gérez et optimisez les données et les coûts des journaux d'activité en configurant votre espace de travail Log Analytics et tables de journaux, notamment les schémas de table, les plans de table, la conservation des données, l’agrégation de données, qui a accès aux données et aux coûts liés aux journaux.
- Récupérez des données en temps quasi-réel à l’aide du langage de requête Kusto (KQL) ou des outils et fonctionnalités basés sur KQL qui ne nécessitent pas de connaissances KQL, telles que le mode simple dans l’interface utilisateur de Log Analytics, les expériences de surveillance prédéfinies appelées Insights et les requêtes prédéfinies.
- Utilisez les données de manière flexible pour un large éventail de cas d’usage, notamment l’analyse des données, la résolution des problèmes, les alertes, les tableaux de bord et les rapports, les applications personnalisées et d’autres services Azure ou non-Azure.
Collecte, acheminement et transformation des données
Les fonctionnalités de collecte de données d’Azure Monitor vous permettent de collecter des données à partir de toutes vos applications et ressources s’exécutant dans Azure, d’autres clouds et localement. Un pipeline d’ingestion puissant permet de filtrer, de transformer et d’acheminer des données vers des tables de destination dans votre espace de travail Log Analytics pour optimiser les coûts, les capacités d’analytique et les performances des requêtes.
Pour plus d’informations sur la collecte et la transformation de données, consultez Sources de données Azure Monitor et méthodes de collecte de données et Transformations de collecte de données dans Azure Monitor.
Espace de travail Log Analytics
Un espace de travail Log Analytics est un magasin de données qui contient des tables dans lesquelles vous collectez des données.
Pour répondre aux besoins de stockage et de consommation des données de différents personnages qui utilisent un espace de travail Log Analytics, vous pouvez :
- Définir des plans de table en fonction de vos besoins en matière de consommation de données et de gestion des coûts.
- Gérer la conservation à long terme à faible coût et la conservation interactive pour chaque table.
- Gérer l’accès à l’espace de travail et à des tables spécifiques.
- Utiliser des règles récapitulatives pour agréger les données critiques dans des tables récapitulatives. Cela vous permet d’optimiser les données pour faciliter l’utilisation et bénéficier d’insights actionnables, et de stocker des données brutes dans une table avec un plan de table à faible coût pendant aussi longtemps que vous en avez besoin.
- Créer des requêtes enregistrées, des visualisations et des alertes prêtes à l’exécution, adaptées à des personnages spécifiques.
Vous pouvez également configurer l’isolement réseau, répliquer votre espace de travail dans différentes régions, et concevoir une architecture d’espace de travail en fonction des besoins de votre entreprise.
Plans de table
Vous pouvez utiliser un espace de travail Log Analytics pour stocker n’importe quel type de journal requis, dans n’importe quel but. Par exemple :
- Données détaillées volumineuses nécessitant un stockage à long terme bon marché pour l’audit et la conformité
- Données d’application et de ressources pour la résolution des problèmes par les développeurs
- Données clés sur les événements et les performances pour la mise à l’échelle et le déclenchement d’alertes, afin de garantir une excellence opérationnelle et une sécurité continues
- Tendances de données à long terme agrégées pour l’analytique avancée et le Machine Learning
Les plans de table vous permettent de gérer les coûts des données en fonction de la fréquence à laquelle vous utilisez les données d’une table et du type d’analyse pour lequel vous avez besoin des données.
Cette vidéo fournit une vue d’ensemble de la façon dont les plans de table prennent en charge la journalisation multiniveau dans les journaux d’activité Azure Monitor :
Le diagramme et le tableau ci-dessous comparent les plans de table Analytique, De base et Auxiliaire. Pour plus d’informations sur la conservation interactive et à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics. Pour plus d’informations sur la sélection ou la modification d’un plan de table, consultez Sélectionner un plan de table.
Fonctionnalités | Analyse | De base | Auxiliaire (préversion) |
---|---|---|---|
Idéal pour | Données à valeur élevée utilisées pour la supervision continue, la détection en temps réel et l’analytique des performances. | Données à valeur moyenne nécessaires pour la résolution des problèmes et la réponse aux incidents. | Données à valeur moindre, telles que les journaux détaillés et les données requises pour l’audit et la conformité. |
Types de tables pris en charge | Tous les types de tables | Tables Azure qui prennent en charge les journaux de base et tables personnalisées basées sur DCR | Tables personnalisées basées sur DCR |
Coût d’ingestion | Standard | Réduction | Minimal |
Prix de requête inclus | ✅ | ❌ | ❌ |
Performances des requêtes optimisées | ✅ | ✅ | ❌ Requêtes plus lentes. Bon pour l’audit. Non optimisé pour l’analyse en temps réel. |
Interrogation des données par requête | Fonctionnalités d’interrogation par requête complètes. | Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. | Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. |
Alertes | ✅ | ❌ | ❌ |
Insights | ✅ | ❌ | ❌ |
Tableaux de bord | ✅ | ✅ Coût par requête pour les actualisations du tableau de bord non inclus.1 | Possible, mais actualisation lente, coût par requête pour les actualisations du tableau de bord non inclus.1 |
Exportation des données | ✅ | ✅ | ❌ |
Microsoft Sentinel | ✅ | ✅ | ✅ |
Tâches de recherche | ✅ | ✅ | ✅ |
Règles de résumé | ✅ | ✅ KQL limité à une seule table | ✅ KQL limité à une seule table |
Restauration | ✅ | ✅ | ❌ |
Rétention interactive | 30 jours (90 jours pour Microsoft Sentinel et Application Insights). Peut être prolongés jusqu’à deux ans, au prorata des frais de conservation à long terme. |
30 jours | 30 jours |
Conservation totale | Jusqu’à 12 ans | Jusqu’à 12 ans | Jusqu’à 12 ans* *Limitation de la préversion publique : la conservation totale du plan Auxiliaire est actuellement fixée à 365 jours. |
1 Les plans de table Essentiel et Auxiliaire prennent en charge Workbooks et Grafana actuellement.
Remarque
Le plan de table Auxiliaire est en préversion publique. Pour connaître les limitations actuelles et les régions prises en charge, consultez Limitations de la préversion publique.
Les plans de table De base et Auxiliaire ne sont pas disponibles pour les espaces de travail dans les niveaux tarifaires hérités.
Langage de requête Kusto (KQL) et Log Analytics
Vous récupérez les données à partir d’un espace de travail Log Analytics à l’aide d’une requête KQL (Langage de requête Kusto), qui est une requête en lecture seule ayant pour but de traiter des données et de retourner des résultats. KQL est un outil puissant qui peut analyser rapidement des millions d’enregistrements. Utilisez KQL pour explorer vos journaux, transformer et agréger des données, découvrir des modèles, identifier des anomalies et des valeurs hors norme, etc.
Log Analytics est un outil du portail Azure qui permet d’exécuter des requêtes de journal et d’analyser leurs résultats. Le mode Simple Log Analytics permet à n’importe quel utilisateur, quelle que soit sa connaissance de KQL, de récupérer des données à partir d’une ou plusieurs tables en un seul clic. Un ensemble de contrôles vous permet d’explorer et d’analyser les données récupérées à l’aide des fonctionnalités de journaux Azure Monitor les plus populaires dans une expérience intuitive de type feuille de calcul.
Si vous êtes familiarisé avec KQL, vous pouvez utiliser le mode KQL Log Analytics pour modifier et créer des requêtes, que vous pouvez ensuite utiliser dans des fonctionnalités Azure Monitor telles que des alertes et des classeurs, ou partager avec d’autres utilisateurs.
Pour plus d’informations sur Log Analytics, consultez Présentation de Log Analytics dans Azure Monitor.
Insights intégrés et tableaux de bord, classeurs et rapports personnalisés
La plupart des expériences Insights prêtes à l’emploi d’Azure Monitor stockent des données dans les journaux Azure Monitor, et présentent ces données de manière intuitive afin de surveiller les performances et la disponibilité de vos applications cloud et hybrides et de leurs composants de prise en charge.
Vous pouvez également créer vos propres visualisations et rapports à l’aide de classeurs, de tableaux de bord et de Power BI.
Cas d’utilisation
Ce tableau décrit certaines des façons dont vous pouvez utiliser les données que vous collectez dans les journaux d’activité Azure Monitor pour dériver la valeur opérationnelle et métier.
Fonctionnalité | Description |
---|---|
Analyser | Utiliser Log Analytics dans le portail Azure pour écrire des requêtes de journal et analyser de manière interactive des données de journal à l’aide d’un puissant moteur d’analyse. |
Agrégat | Utilisez des règles récapitulatives pour agréger les informations dont vous avez besoin pour alerter et analyser les données de journal brutes que vous ingérez. Cela vous permet d’optimiser vos coûts, capacités d’analyse et performances des requêtes. |
Détecter et analyser les anomalies | Utilisez des algorithmes de détection d’anomalies intégrés ou personnalisés pour identifier des modèles ou comportements inhabituels dans vos données de journal. Cela permet de détecter rapidement les problèmes potentiels. |
Alerte | Configurez une règle d’alerte de recherche dans les journaux ou une alerte de métrique pour les journaux pour envoyer une notification ou effectuer une action automatisée lorsqu’une condition particulière se produit. |
Visualiser | Épingler les résultats de requête affichés sous forme de tableaux ou de graphiques dans un tableau de bord Azure. Créer un classeur à combiner avec plusieurs jeux de données dans un rapport interactif. Exporter les résultats d’une requête vers Power BI pour utiliser différentes visualisations et les partager avec des personnes en dehors d’Azure. Exporter les résultats d’une requête vers Grafana pour utiliser ses tableaux de bord et les combiner avec d’autres sources de données. |
Obtenir des informations | Les Insights offrent une expérience de surveillance personnalisée pour des applications et services spécifiques. |
Récupération | Accéder aux résultats d’une requête de journal à partir de :
|
Importer | Chargez des journaux à partir d’une application personnalisée via l’API REST ou la bibliothèque de client pour .NET, Go, Java, JavaScript ou Python. |
Exporter | Configurez l’exportation automatisée des données de journal vers un compte Stockage Azure ou vers Azure Event Hubs. Générez un flux de travail pour récupérer des données de journal et copiez-les vers un emplacement externe à l’aide d’Azure Logic Apps. |
Apportez votre propre analyse | Analyser les données dans les journaux Azure Monitor au moyen d’un notebook pour créer des processus simplifiés et en plusieurs étapes, en plus des données que vous collectez dans les journaux Azure Monitor. Cela est particulièrement utile à des fins telles la création et l’exécution de pipelines de Machine Learning, l’analyse avancée et les guides de résolution des problèmes (TSG) pour les besoins du support. |
Conserver les données pour l’audit et la conformité | Envoyez des données directement à une table avec le plan auxiliaire et étendez la conservation des données dans n’importe quelle table afin de conserver les données pour l’audit et la conformité jusqu’à 12 ans. Le plan de table auxiliaire à faible coût et la conservation à long terme dans l’espace de travail vous permettent de réduire les coûts et d’utiliser vos données rapidement et facilement quand vous en avez besoin. |
Utilisation de Microsoft Sentinel et Microsoft Defender pour le cloud
Microsoft Sentinel et Microsoft Defender pour le cloud assurent la surveillance de la sécurité dans Azure.
Ces services stockent leurs données dans les journaux d'Azure Monitor afin qu'elles puissent être analysées avec les autres données de journal collectées par Azure Monitor.
En savoir plus
Étapes suivantes
- Découvrez les requêtes de journal pour récupérer et analyser les données d’un espace de travail Log Analytics.
- Découvrez les métriques dans Azure Monitor.
- Découvrez les données de surveillance disponibles pour différentes ressources dans Azure.