Ontwerpen voor Azure Monitor-logboeken (Log Analytics)-werkruimten
Azure Monitor slaat logboekgegevens op in een Azure Monitor Logs-werkruimte (Log Analytics). Een werkruimte is een Azure-resource die fungeert als een administratieve grens of geografische locatie voor gegevensopslag. De werkruimte is ook een container waarin u gegevens verzamelt en samenvoegt.
Hoewel u een of meer werkruimten in uw Azure-abonnement kunt implementeren, moet u ervoor zorgen dat uw eerste implementatie voldoet aan de Richtlijnen van Microsoft. De werkruimte moet een rendabele, beheerbare en schaalbare implementatie bieden die voldoet aan de behoeften van uw organisatie.
Dingen die u moet weten over Werkruimten van Azure Monitor-logboeken
Bekijk deze kenmerken van Azure Monitor Logs-werkruimten en bedenk hoe ze kunnen bijdragen aan uw bewakingsoplossing voor Tailwind Traders.
In een werkruimte kunt u gegevens isoleren door verschillende gebruikers toegangsrechten te verlenen volgens door Microsoft aanbevolen ontwerpstrategieën.
Gegevens in een Azure Monitor-logboekwerkruimte zijn ingedeeld in tabellen. In elke tabel worden verschillende soorten gegevens opgeslagen en elke tabel heeft een eigen unieke set eigenschappen op basis van de resource waarin de gegevens worden gegenereerd. De meeste gegevensbronnen schrijven naar hun eigen tabellen in een Azure Monitor-logboekwerkruimte.
Met een werkruimte kunt u instellingen configureren, zoals prijscategorie, retentie en gegevenslimieten op basis van administratieve grenzen of geografische locaties.
Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u gebruikers en groepen alleen de hoeveelheid toegang verlenen die ze nodig hebben om met bewakingsgegevens in een werkruimte te werken. U kunt het gebruikerstoegangsbeheer afstemmen met het operationele model van uw IT-organisatie door één werkruimte te gebruiken om verzamelde gegevens op te slaan die zijn ingeschakeld voor alle resources.
Werkruimten worden gehost op fysieke clusters. Standaard maakt en beheert het systeem deze clusters. Als uw systeem meer dan 500 GB aan gegevens per dag opneemt, maakt u uw eigen toegewezen clusters voor uw werkruimten om meer controle en een hogere opnamesnelheid te ondersteunen.
Aandachtspunten bij het gebruik van Werkruimten voor Azure Monitor-logboeken
U bent nu klaar om overwegingen te bekijken voor het ontwerpen met Azure Monitor Logs-werkruimten in de architectuur van Tailwind Traders.
Houd rekening met uw strategie voor toegangsbeheer. Houd rekening met de volgende mogelijke vereisten wanneer u van plan bent hoeveel werkruimten in de Tailwind Traders-organisatie moeten worden gebruikt:
- Is uw organisatie een wereldwijd bedrijf? Hebt u logboekgegevens nodig die zijn opgeslagen in specifieke regio's om redenen van gegevenssoevereine of naleving?
- Maakt uw architectuur gebruik van Azure? Wilt u uitgaande kosten voor gegevensoverdracht voorkomen door een werkruimte in dezelfde regio te hebben als de Azure-resources die worden beheerd?
- Ondersteunt het systeem meerdere afdelingen of bedrijfsgroepen? Elke groep moet toegang krijgen tot hun gegevens en niet tot de gegevens van anderen. Er is ook geen bedrijfsvereiste voor een geconsolideerde weergave voor afdelingen of bedrijfsgroepen.
Overweeg implementatiemodelopties. De meeste IT-organisaties gebruiken een gecentraliseerd, gedecentraliseerd of hybride model voor hun architectuur. Bekijk deze algemene implementatiemodellen voor werkruimten en hoe ze kunnen werken voor de Tailwind Traders-organisatie:
Implementatie Beschrijving Gecentraliseerde Alle logboeken worden opgeslagen in een centrale werkruimte en beheerd door één team. Azure Monitor biedt gedifferentieerde toegang per team. In dit scenario kunt u eenvoudig logboeken beheren, zoeken in verschillende resources en logboeken kruislings correleren. De werkruimte kan aanzienlijk toenemen, afhankelijk van de hoeveelheid gegevens die zijn verzameld van meerdere resources in uw abonnement. Extra administratieve overhead is nodig om toegangsbeheer voor verschillende gebruikers te behouden. Dit model wordt hub en spoke genoemd. Gedecentraliseerde Elk team heeft een eigen werkruimte die is gemaakt in een resourcegroep die ze bezitten en beheren. Logboekgegevens worden gescheiden per resource. In dit scenario kan de werkruimte veilig worden gehouden en is toegangsbeheer consistent met toegang tot resources. Een nadeel van deze module is dat het lastig kan zijn om logboeken kruislings te correleren. Gebruikers die een breed overzicht van veel resources nodig hebben, kunnen de gegevens niet op een zinvolle manier analyseren. Hybride Een hybride benadering kan nalevingsvereisten voor beveiligingscontrole bemoeilijken. Veel organisaties implementeren beide implementatiemodellen parallel. Het hybride ontwerp resulteert doorgaans in een complexe, dure en moeilijk te onderhouden configuratie met hiaten in de dekking van logboeken. Overweeg de toegangsmodus. Plan hoe uw gebruikers toegang hebben tot Werkruimten van Azure Monitor-logboeken en definieer het bereik van de gegevens die ze kunnen openen. Tailwind Traders-gebruikers hebben twee opties voor toegang tot hun gegevens:
Toegangsmodus Beschrijving Werkruimtecontext Een gebruiker kan alle logboeken in de werkruimte bekijken waarvoor hij of zij gemachtigd is. Query's zijn gericht op alle gegevens in alle tabellen in de werkruimte. Logboeken worden geopend met de werkruimte als bereik door Logboeken te selecteren in het menu Azure Monitor in Azure Portal. Resourcecontext Een gebruiker opent de werkruimte voor een bepaalde resource, resourcegroep of abonnement. Door Logboeken te selecteren in een resourcemenu in Azure Portal, kunnen ze logboeken weergeven voor alleen resources in alle tabellen waartoe ze toegang hebben. Query's zijn alleen van toepassing op gegevens die zijn gekoppeld aan deze resource. Deze modus maakt ook gedetailleerde Azure RBAC mogelijk. Overweeg Azure RBAC en werkruimten. Bepalen welke gebruikers toegang hebben tot welke resources afhankelijk van hun werkruimtekoppelingen. Mogelijk verleent u toegang tot het team dat verantwoordelijk is voor infrastructuurservices van Tailwind Traders die worden gehost op Azure Virtual Machines. U kunt het team alleen toegang geven tot de logboeken die door de virtuele machines worden gegenereerd. Deze benadering volgt het nieuwe resourcecontextlogboekmodel. De basis voor dit model is voor elke logboekrecord die wordt verzonden door een Azure-resource. Logboeken worden doorgestuurd naar een centrale werkruimte die het bereik en Azure RBAC respecteert op basis van de resources.
Overweeg schaal- en opnamevolumesnelheidslimiet. Azure Monitor is een grootschalige gegevensservice waarmee duizenden klanten elke maand petabytes aan gegevens verzenden. Werkruimten zijn niet beperkt in hun opslagruimte en kunnen groeien tot petabytes aan gegevens. U hoeft werkruimten niet te splitsen vanwege de schaal.
Aanbevelingen
Bekijk deze aanbevelingen als u rekening houdt met uw opties voor het implementeren van Azure Monitor Logs-werkruimten en toegangsbeheer in uw oplossing voor bewaking en logboekregistratie. In dit scenario ziet u een aanbevolen ontwerp voor één werkruimte in het abonnement van uw IT-organisatie.
Voor de werkruimte is geen gegevenssoevereine of naleving van regelgeving vereist. De werkruimte hoeft niet toe te wijzen aan de regio's waar uw resources worden geïmplementeerd. De beveiligings- en IT-beheerdersteams van uw organisatie kunnen profiteren van de verbeterde integratie met Azure-toegangsbeheer en veiliger toegangsbeheer.
Alle resources, bewakingsoplossingen en inzichten, zoals Application Insights en inzichten van virtuele machines, worden geconfigureerd om hun verzamelde logboekgegevens door te sturen naar de gecentraliseerde gedeelde werkruimte van de IT-organisatie. Logboekgegevens van de ondersteunende infrastructuur en apps die door verschillende teams worden onderhouden, worden ook verzonden naar de gecentraliseerde gedeelde werkruimte.
Gebruikers in elk team krijgen toegang tot logboeken voor resources waartoe ze toegang hebben.
Nadat u uw werkruimtearchitectuur hebt geïmplementeerd, kunt u hetzelfde model afdwingen op Azure-resources met Azure Policy. U kunt beleidsregels definiëren en ervoor zorgen dat uw Azure-resources worden nageleefd, zodat ze al hun resourcelogboeken naar een bepaalde werkruimte verzenden. Met behulp van virtuele Azure-machines of virtuele-machineschaalsets kunt u bestaande beleidsregels gebruiken die de naleving van de werkruimte evalueren en resultaten rapporteren, of aanpassen om te herstellen als deze niet-compatibel zijn.