Partager via


Vue d’ensemble de Journaux d’activité Azure Monitor

Journaux Azure Monitor est une plateforme SaaS (Software as a Service) centralisée qui permet de collecter, d’analyser et d’agir sur les données de télémétrie générées par les ressources et les applications Azure et non Azure.

Vous pouvez collecter des journaux d’activité, gérer les données et les coûts des journaux d’activité, et consommer différents types de données dans un espace de travail Log Analytics, la principale ressource des journaux d’activité Azure Monitor. Cela signifie que vous n’avez jamais besoin de déplacer des données ou de gérer d’autres stockages, et que vous pouvez conserver différents types de données tant que cela est nécessaire.

Cet article fournit une vue d’ensemble du fonctionnement des journaux Azure Monitor, et explique comment ils répondent aux besoins et compétences de différents personnages d’une organisation.

Remarque

Les journaux Azure Monitor représentent la moitié de la plateforme de données qui prend en charge Azure Monitor. L’autre moitié, constituée des métriques Azure Monitor, stocke les données numériques dans une base de données de série chronologique.

Fonctionnement des journaux d’activité Azure Monitor

Les journaux d’activité Azure Monitor vous fournissent les outils suivants :

  • Collectez toutes les données à l’aide des méthodes de collecte de données Azure Monitor. Transformez les données en fonction de vos besoins pour optimiser les coûts, supprimer des données personnelles, etc, et acheminer les données vers des tables dans votre espace de travail Log Analytics.
  • Gérez et optimisez les données et les coûts des journaux d'activité en configurant votre espace de travail Log Analytics et tables de journaux, notamment les schémas de table, les plans de table, la conservation des données, l’agrégation de données, qui a accès aux données et aux coûts liés aux journaux.
  • Récupérez des données en temps quasi-réel à l’aide du langage de requête Kusto (KQL) ou des outils et fonctionnalités basés sur KQL qui ne nécessitent pas de connaissances KQL, telles que le mode simple dans l’interface utilisateur de Log Analytics, les expériences de surveillance prédéfinies appelées Insights et les requêtes prédéfinies.
  • Utilisez les données de manière flexible pour un large éventail de cas d’usage, notamment l’analyse des données, la résolution des problèmes, les alertes, les tableaux de bord et les rapports, les applications personnalisées et d’autres services Azure ou non-Azure.

Diagramme illustrant la façon dont Azure Monitor et les journaux Azure Monitor fournissent une solution de bout en bout pour la collecte, la gestion, la récupération et l’utilisation des données des journaux d'activité.

Collecte, acheminement et transformation des données

Les fonctionnalités de collecte de données d’Azure Monitor vous permettent de collecter des données à partir de toutes vos applications et ressources s’exécutant dans Azure, d’autres clouds et localement. Un pipeline d’ingestion puissant permet de filtrer, de transformer et d’acheminer des données vers des tables de destination dans votre espace de travail Log Analytics pour optimiser les coûts, les capacités d’analytique et les performances des requêtes.

Diagramme montrant les données collectées à partir de sources de données, puis transformées et envoyées aux tables dans un espace de travail Log Analytics.

Pour plus d’informations sur la collecte et la transformation de données, consultez Sources de données Azure Monitor et méthodes de collecte de données et Transformations de collecte de données dans Azure Monitor.

Espace de travail Log Analytics

Un espace de travail Log Analytics est un magasin de données qui contient des tables dans lesquelles vous collectez des données.

Pour répondre aux besoins de stockage et de consommation des données de différents personnages qui utilisent un espace de travail Log Analytics, vous pouvez :

Capture d’écran d’un espace de travail Log Analytics sur le Portail Azure.

Vous pouvez également configurer l’isolement réseau, répliquer votre espace de travail dans différentes régions, et concevoir une architecture d’espace de travail en fonction des besoins de votre entreprise.

Plans de table

Vous pouvez utiliser un espace de travail Log Analytics pour stocker n’importe quel type de journal requis, dans n’importe quel but. Par exemple :

  • Données détaillées volumineuses nécessitant un stockage à long terme bon marché pour l’audit et la conformité
  • Données d’application et de ressources pour la résolution des problèmes par les développeurs
  • Données clés sur les événements et les performances pour la mise à l’échelle et le déclenchement d’alertes, afin de garantir une excellence opérationnelle et une sécurité continues
  • Tendances de données à long terme agrégées pour l’analytique avancée et le Machine Learning

Les plans de table vous permettent de gérer les coûts des données en fonction de la fréquence à laquelle vous utilisez les données d’une table et du type d’analyse pour lequel vous avez besoin des données.

Cette vidéo fournit une vue d’ensemble de la façon dont les plans de table prennent en charge la journalisation multiniveau dans les journaux d’activité Azure Monitor :

Le diagramme et le tableau ci-dessous comparent les plans de table Analytique, De base et Auxiliaire. Pour plus d’informations sur la conservation interactive et à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics. Pour plus d’informations sur la sélection ou la modification d’un plan de table, consultez Sélectionner un plan de table.

Diagramme qui présente une vue d’ensemble des fonctionnalités fournies par les plans de table Analytique, De base et Auxiliaire.

Fonctionnalités Analyse De base Auxiliaire (préversion)
Idéal pour Données à valeur élevée utilisées pour la supervision continue, la détection en temps réel et l’analytique des performances. Données à valeur moyenne nécessaires pour la résolution des problèmes et la réponse aux incidents. Données à valeur moindre, telles que les journaux détaillés et les données requises pour l’audit et la conformité.
Types de tables pris en charge Tous les types de tables Tables Azure qui prennent en charge les journaux de base et tables personnalisées basées sur DCR Tables personnalisées basées sur DCR
Coût d’ingestion Standard Réduction Minimal
Prix de requête inclus
Performances des requêtes optimisées ❌ Requêtes plus lentes.
Bon pour l’audit. Non optimisé pour l’analyse en temps réel.
Interrogation des données par requête Fonctionnalités d’interrogation par requête complètes. Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche. Requêtes KQL complètes sur une table unique, que vous pouvez étendre avec des données d’une table Analytics à l’aide de la recherche.
Alertes
Insights
Tableaux de bord ✅ Coût par requête pour les actualisations du tableau de bord non inclus. Possible, mais actualisation lente, coût par requête pour les actualisations du tableau de bord non inclus.
Exportation des données
Microsoft Sentinel
Tâches de recherche
Règles de résumé ✅ KQL limité à une seule table ✅ KQL limité à une seule table
Restauration
Rétention interactive 30 jours (90 jours pour Microsoft Sentinel et Application Insights).
Peut être prolongés jusqu’à deux ans, au prorata des frais de conservation à long terme.
30 jours 30 jours
Conservation totale Jusqu’à 12 ans Jusqu’à 12 ans Jusqu’à 12 ans*
*Limitation de la préversion publique : la conservation totale du plan Auxiliaire est actuellement fixée à 365 jours.

Remarque

Le plan de table Auxiliaire est en préversion publique. Pour connaître les limitations actuelles et les régions prises en charge, consultez Limitations de la préversion publique.
Les plans de table De base et Auxiliaire ne sont pas disponibles pour les espaces de travail dans les niveaux tarifaires hérités.

Langage de requête Kusto (KQL) et Log Analytics

Vous récupérez les données à partir d’un espace de travail Log Analytics à l’aide d’une requête KQL (Langage de requête Kusto), qui est une requête en lecture seule ayant pour but de traiter des données et de retourner des résultats. KQL est un outil puissant qui peut analyser rapidement des millions d’enregistrements. Utilisez KQL pour explorer vos journaux, transformer et agréger des données, découvrir des modèles, identifier des anomalies et des valeurs hors norme, etc.

Log Analytics est un outil du portail Azure qui permet d’exécuter des requêtes de journal et d’analyser leurs résultats. Le mode Simple Log Analytics permet à n’importe quel utilisateur, quelle que soit sa connaissance de KQL, de récupérer des données à partir d’une ou plusieurs tables en un seul clic. Un ensemble de contrôles vous permet d’explorer et d’analyser les données récupérées à l’aide des fonctionnalités de journaux Azure Monitor les plus populaires dans une expérience intuitive de type feuille de calcul.

Capture d’écran montrant le mode Simple Log Analytics.

Si vous êtes familiarisé avec KQL, vous pouvez utiliser le mode KQL Log Analytics pour modifier et créer des requêtes, que vous pouvez ensuite utiliser dans des fonctionnalités Azure Monitor telles que des alertes et des classeurs, ou partager avec d’autres utilisateurs.

Pour plus d’informations sur Log Analytics, consultez Présentation de Log Analytics dans Azure Monitor.

Insights intégrés et tableaux de bord, classeurs et rapports personnalisés

La plupart des expériences Insights prêtes à l’emploi d’Azure Monitor stockent des données dans les journaux Azure Monitor, et présentent ces données de manière intuitive afin de surveiller les performances et la disponibilité de vos applications cloud et hybrides et de leurs composants de prise en charge.

Capture d’écran montrant l’expérience de supervision Container Insights intégrée dans Azure Monitor.

Vous pouvez également créer vos propres visualisations et rapports à l’aide de classeurs, de tableaux de bord et de Power BI.

Cas d’utilisation

Ce tableau décrit certaines des façons dont vous pouvez utiliser les données que vous collectez dans les journaux d’activité Azure Monitor pour dériver la valeur opérationnelle et métier.

Fonctionnalité Description
Analyser Utiliser Log Analytics dans le portail Azure pour écrire des requêtes de journal et analyser de manière interactive des données de journal à l’aide d’un puissant moteur d’analyse.
Agrégat Utilisez des règles récapitulatives pour agréger les informations dont vous avez besoin pour alerter et analyser les données de journal brutes que vous ingérez. Cela vous permet d’optimiser vos coûts, capacités d’analyse et performances des requêtes.
Détecter et analyser les anomalies Utilisez des algorithmes de détection d’anomalies intégrés ou personnalisés pour identifier des modèles ou comportements inhabituels dans vos données de journal. Cela permet de détecter rapidement les problèmes potentiels.
Alerte Configurez une règle d’alerte de recherche dans les journaux ou une alerte de métrique pour les journaux pour envoyer une notification ou effectuer une action automatisée lorsqu’une condition particulière se produit.
Visualiser Épingler les résultats de requête affichés sous forme de tableaux ou de graphiques dans un tableau de bord Azure.
Créer un classeur à combiner avec plusieurs jeux de données dans un rapport interactif.
Exporter les résultats d’une requête vers Power BI pour utiliser différentes visualisations et les partager avec des personnes en dehors d’Azure.
Exporter les résultats d’une requête vers Grafana pour utiliser ses tableaux de bord et les combiner avec d’autres sources de données.
Obtenir des informations Les Insights offrent une expérience de surveillance personnalisée pour des applications et services spécifiques.
Récupération Accéder aux résultats d’une requête de journal à partir de :
Importer Chargez des journaux à partir d’une application personnalisée via l’API REST ou la bibliothèque de client pour .NET, Go, Java, JavaScript ou Python.
Exporter Configurez l’exportation automatisée des données de journal vers un compte Stockage Azure ou vers Azure Event Hubs.
Générez un flux de travail pour récupérer des données de journal et copiez-les vers un emplacement externe à l’aide d’Azure Logic Apps.
Apportez votre propre analyse Analyser les données dans les journaux Azure Monitor au moyen d’un notebook pour créer des processus simplifiés et en plusieurs étapes, en plus des données que vous collectez dans les journaux Azure Monitor. Cela est particulièrement utile à des fins telles la création et l’exécution de pipelines de Machine Learning, l’analyse avancée et les guides de résolution des problèmes (TSG) pour les besoins du support.
Conserver les données pour l’audit et la conformité Envoyez des données directement à une table avec le plan auxiliaire et étendez la conservation des données dans n’importe quelle table afin de conserver les données pour l’audit et la conformité jusqu’à 12 ans. Le plan de table auxiliaire à faible coût et la conservation à long terme dans l’espace de travail vous permettent de réduire les coûts et d’utiliser vos données rapidement et facilement quand vous en avez besoin.

Utilisation de Microsoft Sentinel et Microsoft Defender pour le cloud

Microsoft Sentinel et Microsoft Defender pour le cloud assurent la surveillance de la sécurité dans Azure.

Ces services stockent leurs données dans les journaux d'Azure Monitor afin qu'elles puissent être analysées avec les autres données de journal collectées par Azure Monitor.

En savoir plus

Service Plus d’informations
Microsoft Sentinel
Microsoft Defender pour le cloud

Étapes suivantes