次の方法で共有

Log Analytics ワークスペースの概要

  • [アーティクル]

Log Analytics ワークスペースは、すべての Azure および Azure 以外のリソースとアプリケーションから任意の種類のログ データを収集できるデータ ストアです。 ワークスペース構成オプションを使用すると、次の方法で、すべてのログ データを 1 つのワークスペースで管理し、組織内のさまざまな担当者の操作、分析、監査のニーズを満たすことができます。

この記事では、Log Analytics ワークスペースに関連する概念の概要について説明します。

重要

Microsoft Sentinel のドキュメントでは、"Microsoft Sentinel ワークスペース" という用語が使用されています。 このワークスペースは、この記事で説明されている Log Analytics ワークスペースと同じですが、Microsoft Sentinel で使用できるようになっています。 ワークスペース内のすべてのデータには、Microsoft Sentinel の価格が適用されます。

ログ テーブル

各 Log Analytics ワークスペースには、Azure Monitor ログが収集したデータを格納する複数のテーブルが含まれています。

Azure Monitor ログは、Azure 環境から収集した監視データを格納するために必要なテーブルを自動的に作成します。 収集したログ データのデータ モデルと、データの格納方法と使用方法に基づいて、Azure 以外のリソースやアプリケーションから収集したデータを格納するためのカスタム テーブルを作成します。

テーブル管理設定を使用すると、特定のテーブルへのアクセスを制御し、各テーブルのデータ モデル、データ保持、コストを管理できます。 詳細については、「Log Analytics ワークスペースのテーブルを管理する」を参照してください。

Azure Monitor ログの構造を示す図。

データの保持

Log Analytics ワークスペースは、対話型データ保持長期保有の 2 つの状態でデータを保持します。

対話型のデータ保持期間中は、クエリを通じてテーブルからデータを取得します。そのデータは、テーブル プランに基づいて、視覚化、アラート、その他の機能やサービスに使用できます。

Log Analytics ワークスペースの各テーブルでは、データを低コストで最大 12 年間保持する、長期保有ができます。 検索ジョブを使用して、長期保有から対話型のデータ保持まで、必要な特定のデータを取得します。 つまり、データを外部ストレージに移動せずにログ データを 1 か所で管理し、必要なときに以前のデータに対する Azure Monitor の完全な分析機能を利用できます。

詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。

データ アクセス

Log Analytics ワークスペース内のデータにアクセスするためのアクセス許可は、各ワークスペースのアクセス制御モード設定によって定義されます。 組み込みまたはカスタムのロールを使用して、ワークスペースへの明示的なアクセス権をユーザーに付与できます。 また、Azure リソースについて収集されたデータへのアクセスを、それらのリソースへのアクセス権を持つユーザーに許可できます。

詳細については、「Azure Monitor でログ データとワークスペースへのアクセスを管理する」を参照してください。

Log Analytics ワークスペースの分析情報を表示する

Log Analytics ワークスペースの分析情報は、ワークスペースの使用状況、パフォーマンス、正常性、インジェスト、クエリ、変更ログを包括的に表示することで、Log Analytics ワークスペースの管理と最適化に役立ちます。

Log Analytics ワークスペースの分析情報の概要タブを示すスクリーンショット。

Log Analytics ワークスペースに取り込むデータを変換する

Azure Monitor に取り込まれるデータを定義するデータ収集ルール (DCR) には、ワークスペースに取り込まれる前にデータをフィルター処理および変換できる変換を含めることができます。 すべてのデータ ソースがまだ DCR をサポートしているわけではないため、各ワークスペースはワークスペース変換 DCR を使用できます。

ワークスペース変換 DCR 内の変換は、ワークスペース内のテーブルごとに定義され、複数のソースから送信された場合でも、そのテーブルに送信されるすべてのデータに適用されます。 これらの変換は、DCR をまだ使用していないワークフローにのみ適用されます。 たとえば、Azure Monitor エージェントでは、DCR を使用して、仮想マシンから収集するデータが定義されます。 このデータは、ワークスペースで定義されている取り込み時の変換の対象にはなりません。

たとえば、さまざまな Azure リソースのリソース ログをワークスペースに送信する診断設定を使用する場合があります。 リソース ログを収集するテーブルの変換を作成して、必要なレコードだけになるようにこのデータをフィルター処理できます。 この方法により、不要なレコードの取り込みコストを節約できます。 また、より単純なクエリをサポートするために、特定の列から重要なデータを抽出し、それをワークスペース内の他の列に格納することもできます。

コスト

ワークスペースの作成または維持にかかる直接的なコストはありません。 各テーブルのテーブル プランに基づいて、ワークスペースに取り込んだデータとデータ保持に対して課金されます。

価格について詳しくは、「Azure Monitor の価格」を参照してください。 コストを削減する方法のガイダンスについては、「Azure Monitor のベスト プラクティス - コスト管理」を参照してください。 Log Analytics ワークスペースを Azure Monitor 以外のサービスで使用する場合、それらのサービスのドキュメントで価格情報を確認してください。

特定のビジネス ニーズに対応するために Log Analytics ワークスペース アーキテクチャを設計する

すべてのデータ収集のために 1 つのワークスペースを使用できます。 ただし、データを特定の場所に保存するための法規制やコンプライアンスの要件、課金の分割、回復性などの特定のビジネス要件に基づいて複数のワークスペースを作成することもできます。

複数のワークスペースの作成に関する考慮事項については、「Log Analytics ワークスペース構成の設計」を参照してください。

次のステップ