Udostępnij za pośrednictwem


Najlepsze rozwiązania dotyczące dzienników usługi Azure Monitor

Ten artykuł zawiera najlepsze rozwiązania dotyczące architektury dzienników usługi Azure Monitor. Wskazówki są oparte na pięciu filarach doskonałości architektury opisanej w temacie Azure Well-Architected Framework.

Niezawodność

Niezawodność odnosi się do zdolności systemu do odzyskiwania po awarii i kontynuowania działania. Celem jest zminimalizowanie skutków pojedynczego składnika, który kończy się niepowodzeniem. Skorzystaj z poniższych informacji, aby zminimalizować błędy obszarów roboczych usługi Log Analytics i chronić zbierane dane.

Obszary robocze usługi Log Analytics oferują wysoki stopień niezawodności. Potok pozyskiwania, który wysyła zebrane dane do obszaru roboczego usługi Log Analytics, sprawdza, czy obszar roboczy usługi Log Analytics pomyślnie przetwarza każdy rekord dziennika przed usunięciem rekordu z potoku. Jeśli potok pozyskiwania jest niedostępny, agenci, którzy wysyłają bufor danych i ponów próbę wysłania dzienników przez wiele godzin.

Funkcje dzienników usługi Azure Monitor, które zwiększają odporność

Dzienniki usługi Azure Monitor oferują kilka funkcji, które zwiększają odporność obszarów roboczych na różne typy problemów. Te funkcje można używać indywidualnie lub w połączeniu, w zależności od potrzeb.

Ten film wideo zawiera omówienie opcji niezawodności i odporności dostępnych dla obszarów roboczych usługi Log Analytics:

Ochrona w regionie przy użyciu stref dostępności

Każdy region świadczenia usługi Azure obsługujący strefy dostępności ma zestaw centrów danych wyposażonych w niezależną infrastrukturę zasilania, chłodzenia i sieci.

Strefy dostępności dzienników usługi Azure Monitor są nadmiarowe, co oznacza, że firma Microsoft rozpowszechnia żądania obsługi i replikuje dane w różnych strefach w obsługiwanych regionach. Jeśli zdarzenie ma wpływ na jedną strefę, firma Microsoft automatycznie używa innej strefy dostępności w regionie. Nie musisz podejmować żadnych działań, ponieważ przełączanie między strefami jest bezproblemowe.

W większości regionów strefy dostępności dzienników usługi Azure Monitor obsługują odporność danych, co oznacza, że przechowywane dane są chronione przed utratą danych związanymi z awariami strefowymi, ale operacje usług mogą nadal mieć wpływ na zdarzenia regionalne. Jeśli usługa nie może uruchamiać zapytań, nie można wyświetlić dzienników, dopóki problem nie zostanie rozwiązany.

Podzestaw stref dostępności, które obsługują odporność danych, obsługuje również odporność usługi, co oznacza, że operacje usługi Dzienniki usługi Azure Monitor — na przykład pozyskiwanie dzienników, zapytania i alerty — mogą być kontynuowane w przypadku awarii strefy.

Strefy dostępności chronią przed zdarzeniami związanymi z infrastrukturą, takimi jak awarie magazynu. Nie chronią one przed problemami na poziomie aplikacji, takimi jak błędne wdrożenia kodu lub błędy certyfikatów, które mają wpływ na cały region.

Tworzenie kopii zapasowej danych z określonych tabel przy użyciu eksportu ciągłego

Możesz stale eksportować dane wysyłane do określonych tabel w obszarze roboczym usługi Log Analytics na kontach usługi Azure Storage.

Konto magazynu, do którego eksportujesz dane, musi znajdować się w tym samym regionie co obszar roboczy usługi Log Analytics. Aby chronić dzienniki pozyskane i mieć dostęp do nich, nawet jeśli region obszaru roboczego nie działa, użyj konta magazynu geograficznie nadmiarowego, zgodnie z wyjaśnieniem w temacie Zalecenia dotyczące konfiguracji.

Mechanizm eksportu nie zapewnia ochrony przed zdarzeniami wpływającymi na potok pozyskiwania ani sam proces eksportu.

Uwaga

Dostęp do danych na koncie magazynu można uzyskać z poziomu dzienników usługi Azure Monitor przy użyciu operatora externaldata. Jednak wyeksportowane dane są przechowywane w pięciominutowych obiektach blob i analizowanie danych obejmujących wiele obiektów blob może być kłopotliwe. W związku z tym eksportowanie danych na konto magazynu jest dobrym mechanizmem tworzenia kopii zapasowych danych, ale utworzenie kopii zapasowej danych na koncie magazynu nie jest idealne, jeśli potrzebujesz ich do analizy w dziennikach usługi Azure Monitor. Możesz wykonywać zapytania dotyczące dużych ilości danych obiektów blob przy użyciu usługi Azure Data Explorer, Usługi Azure Data Factory lub dowolnego innego narzędzia dostępu do magazynu.

Ochrona danych między regionami i odporność usługi przy użyciu replikacji obszaru roboczego (wersja zapoznawcza)

Replikacja obszaru roboczego (wersja zapoznawcza) jest najbardziej rozbudowanym rozwiązaniem odporności, ponieważ replikuje obszar roboczy usługi Log Analytics i dzienniki przychodzące do innego regionu.

Replikacja obszaru roboczego chroni zarówno dzienniki, jak i operacje usługi, i umożliwia kontynuowanie monitorowania systemów w przypadku zdarzeń obejmujących całą infrastrukturę lub aplikację.

W przeciwieństwie do stref dostępności, którymi zarządza firma Microsoft, musisz monitorować kondycję podstawowego obszaru roboczego i zdecydować, kiedy przełączyć się do obszaru roboczego w regionie pomocniczym i z powrotem.

Lista kontrolna projektu

  • Aby zapewnić odporność usług i danych na zdarzenia w całym regionie, włącz replikację obszaru roboczego.
  • Aby zapewnić ochronę w regionie przed awarią centrum danych, utwórz obszar roboczy w regionie obsługującym strefy dostępności.
  • Aby utworzyć kopię zapasową danych w określonych tabelach w różnych regionach, użyj funkcji eksportu ciągłego, aby wysyłać dane na konto magazynu replikowanego geograficznie.
  • Monitoruj kondycję obszarów roboczych usługi Log Analytics.

Zalecenia dotyczące konfiguracji

Zalecenie Korzyści
Aby zapewnić największy stopień odporności, włącz replikację obszaru roboczego. Odporność między regionami dla danych i usług obszaru roboczego.

Replikacja obszaru roboczego (wersja zapoznawcza) zapewnia wysoką dostępność przez utworzenie pomocniczego wystąpienia obszaru roboczego w innym regionie i pozyskiwanie dzienników do obu obszarów roboczych.

W razie potrzeby przełącz się do pomocniczego obszaru roboczego, dopóki nie zostaną rozwiązane problemy wpływające na podstawowy obszar roboczy. Możesz kontynuować pozyskiwanie dzienników, wykonywanie zapytań dotyczących danych przy użyciu pulpitów nawigacyjnych, alertów i usługi Sentinel w pomocniczym obszarze roboczym. Masz również dostęp do dzienników pozyskanych przed przełączenia regionu.

Jest to funkcja płatna, dlatego należy rozważyć, czy chcesz replikować wszystkie dzienniki przychodzące, czy tylko niektóre strumienie danych.
Jeśli to możliwe, utwórz obszar roboczy w regionie obsługującym odporność usługi Azure Monitor. Odporność w regionie danych obszaru roboczego i operacji usługi w przypadku problemów z centrum danych.

Strefy dostępności, które obsługują odporność usługi, obsługują również odporność danych. Oznacza to, że nawet jeśli całe centrum danych stanie się niedostępne, nadmiarowość między strefami umożliwia wykonywanie operacji usługi Azure Monitor, takich jak pozyskiwanie i wykonywanie zapytań, w celu kontynuowania pracy, a pozyskane dzienniki pozostaną dostępne.

Strefy dostępności zapewniają ochronę w regionie, ale nie chronią przed problemami, które mają wpływ na cały region.

Aby uzyskać informacje na temat regionów obsługujących odporność danych, zobacz Rozszerzanie odporności danych i usług w dziennikach usługi Azure Monitor przy użyciu stref dostępności.
Utwórz obszar roboczy w regionie, który obsługuje odporność danych. Ochrona w regionie przed utratą dzienników w obszarze roboczym w przypadku problemów z centrum danych.

Utworzenie obszaru roboczego w regionie obsługującym odporność danych oznacza, że nawet jeśli całe centrum danych stanie się niedostępne, pozyskane dzienniki są bezpieczne.
Jeśli usługa nie może uruchamiać zapytań, nie można wyświetlić dzienników, dopóki problem nie zostanie rozwiązany.

Aby uzyskać informacje na temat regionów obsługujących odporność danych, zobacz Rozszerzanie odporności danych i usług w dziennikach usługi Azure Monitor przy użyciu stref dostępności.
Skonfiguruj eksportowanie danych z określonych tabel do konta magazynu replikowanego między regionami. Zachowaj kopię zapasową danych dziennika w innym regionie.

Funkcja eksportu danych usługi Azure Monitor umożliwia ciągłe eksportowanie danych wysyłanych do określonych tabel do usługi Azure Storage, gdzie można je przechowywać przez dłuższy czas. Użyj konta magazynu geograficznie nadmiarowego (GRS) lub magazynu strefowo nadmiarowego (GZRS), aby zapewnić bezpieczeństwo danych nawet wtedy, gdy cały region stanie się niedostępny. Aby dane można było odczytywać z innych regionów, skonfiguruj konto magazynu pod kątem dostępu do odczytu do regionu pomocniczego. Aby uzyskać więcej informacji, zobacz Nadmiarowość usługi Azure Storage w regionie pomocniczym i dostęp do odczytu usługi Azure Storage do danych w regionie pomocniczym.

W przypadku tabel, które nie obsługują ciągłego eksportowania danych, można użyć innych metod eksportowania danych, w tym usługi Logic Apps, w celu ochrony danych. Jest to przede wszystkim rozwiązanie spełniające zgodność przechowywania danych, ponieważ dane mogą być trudne do przeanalizowania i przywrócenia do obszaru roboczego.

Eksport danych jest podatny na zdarzenia regionalne, ponieważ opiera się na stabilności potoku pozyskiwania usługi Azure Monitor w Twoim regionie. Nie zapewnia odporności na zdarzenia wpływające na regionalny potok pozyskiwania.
Monitoruj kondycję obszarów roboczych usługi Log Analytics. Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby śledzić nieudane zapytania i tworzyć alerty o stanie kondycji, aby proaktywnie powiadamiać o niedostępności obszaru roboczego z powodu awarii centrum danych lub awarii regionalnej.

Porównanie funkcji odporności dzienników usługi Azure Monitor

Funkcja Odporność usługi Kopia zapasowa danych Wysoka dostępność Zakres ochrony Ustawienia Koszt
Replikacja obszaru roboczego Ochrona między regionami przed zdarzeniami obejmującymi cały region Włącz replikację obszaru roboczego i powiązanych reguł zbierania danych. Przełączanie między regionami zgodnie z potrzebami. Na podstawie liczby replikowanych baz danych i regionu.
Strefy dostępności
W obsługiwanych regionach
Ochrona w regionie przed problemami z centrum danych Automatyczne włączanie w obsługiwanych regionach. Brak opłat
Ciągły eksport danych Ochrona przed utratą danych z powodu awarii regionalnej 1 Włącz dla tabeli. Koszt eksportu danych i obiektów blob magazynu lub usługi Event Hubs

1 Eksportowanie danych zapewnia ochronę między regionami w przypadku eksportowania dzienników do konta magazynu z replikacją geograficzną. W przypadku zdarzenia wcześniej wyeksportowane dane są tworzone i łatwo dostępne; jednak dalsze eksportowanie może zakończyć się niepowodzeniem w zależności od charakteru zdarzenia.

Zabezpieczenia

Zabezpieczenia to jeden z najważniejszych aspektów każdej architektury. Usługa Azure Monitor udostępnia funkcje do stosować zarówno zasadę najniższych uprawnień, jak i ochronę w głębi systemu. Skorzystaj z poniższych informacji, aby zmaksymalizować bezpieczeństwo obszarów roboczych usługi Log Analytics i zapewnić, że tylko autoryzowani użytkownicy uzyskują dostęp do zebranych danych.

Lista kontrolna projektu

  • Ustal, czy chcesz połączyć dane operacyjne i dane zabezpieczeń w tym samym obszarze roboczym usługi Log Analytics.
  • Skonfiguruj dostęp dla różnych typów danych w obszarze roboczym wymaganym dla różnych ról w organizacji.
  • Rozważ użycie linku prywatnego platformy Azure, aby usunąć dostęp do obszaru roboczego z sieci publicznych.
  • Użyj kluczy zarządzanych przez klienta, jeśli potrzebujesz własnego klucza szyfrowania w celu ochrony danych i zapisanych zapytań w obszarach roboczych.
  • Eksportowanie danych inspekcji na potrzeby długoterminowego przechowywania lub niezmienności.
  • Skonfiguruj inspekcję zapytań dziennika, aby śledzić, którzy użytkownicy uruchamiają zapytania.
  • Określ strategię filtrowania lub zaciemniania poufnych danych w obszarze roboczym.
  • Przeczyść poufne dane, które zostały przypadkowo zebrane.
  • Włącz blokadę klienta dla platformy Microsoft Azure, aby zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft.

Zalecenia dotyczące konfiguracji

Zalecenie Korzyści
Ustal, czy chcesz połączyć dane operacyjne i dane zabezpieczeń w tym samym obszarze roboczym usługi Log Analytics. Decyzja o połączeniu tych danych zależy od konkretnych wymagań dotyczących zabezpieczeń. Połączenie ich w jednym obszarze roboczym zapewnia lepszą widoczność wszystkich danych, chociaż zespół ds. zabezpieczeń może wymagać dedykowanego obszaru roboczego. Zobacz Projektowanie strategii obszaru roboczego usługi Log Analytics, aby uzyskać szczegółowe informacje na temat podejmowania tej decyzji w celu zrównoważenia środowiska z kryteriami w innych filarach.

Kompromis: istnieje potencjalny wpływ na koszty umożliwiające włączenie usługi Sentinel w obszarze roboczym. Zobacz szczegóły w temacie Projektowanie architektury obszaru roboczego usługi Log Analytics.
Skonfiguruj dostęp dla różnych typów danych w obszarze roboczym wymaganym dla różnych ról w organizacji. Ustaw tryb kontroli dostępu dla obszaru roboczego na Użyj uprawnień zasobów lub obszaru roboczego, aby umożliwić właścicielom zasobów używanie kontekstu zasobów w celu uzyskania dostępu do danych bez udzielenia jawnego dostępu do obszaru roboczego. Upraszcza to konfigurację obszaru roboczego i pomaga zapewnić użytkownikom, że nie będą mogli uzyskiwać dostępu do danych, których nie powinni.

Przypisz odpowiednią wbudowaną rolę , aby przyznać administratorom uprawnienia obszaru roboczego na poziomie subskrypcji, grupy zasobów lub obszaru roboczego w zależności od zakresu obowiązków.

Korzystaj z kontroli dostępu opartej na rolach na poziomie tabeli dla użytkowników, którzy wymagają dostępu do zestawu tabel w wielu zasobach. Użytkownicy z uprawnieniami do tabel mają dostęp do wszystkich danych w tabeli niezależnie od ich uprawnień do zasobów.

Aby uzyskać szczegółowe informacje na temat różnych opcji udzielania dostępu do danych w obszarze roboczym, zobacz Zarządzanie dostępem do obszarów roboczych usługi Log Analytics.
Rozważ użycie linku prywatnego platformy Azure, aby usunąć dostęp do obszaru roboczego z sieci publicznych. Połączenia z publicznymi punktami końcowymi są zabezpieczone za pomocą kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, możesz użyć łącza prywatnego platformy Azure, aby zezwolić zasobom na łączenie się z obszarem roboczym usługi Log Analytics za pośrednictwem autoryzowanych sieci prywatnych. Za pomocą łącza prywatnego można również wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN. Zobacz Projektowanie konfiguracji usługi Azure Private Link, aby określić najlepszą sieć i topologię DNS dla danego środowiska.
Użyj kluczy zarządzanych przez klienta, jeśli potrzebujesz własnego klucza szyfrowania w celu ochrony danych i zapisanych zapytań w obszarach roboczych. Azure Monitor gwarantuje, że wszystkie dane i zapisane zapytania są szyfrowane podczas przechowywania przy użyciu kluczy zarządzanych przez firmę Microsoft. Jeśli potrzebujesz własnego klucza szyfrowania i zbierz wystarczającą ilość danych dla dedykowanego klastra, użyj klucza zarządzanego przez klienta, aby uzyskać większą elastyczność i kontrolę cyklu życia klucza. Jeśli używasz usługi Microsoft Sentinel, upewnij się, że znasz zagadnienia związane z konfigurowaniem klucza zarządzanego przez klienta usługi Microsoft Sentinel.
Eksportowanie danych inspekcji na potrzeby długoterminowego przechowywania lub niezmienności. Być może zebrano dane inspekcji w obszarze roboczym, które podlegają przepisom wymagającym jego długoterminowego przechowywania. Nie można zmieniać danych w obszarze roboczym usługi Log Analytics, ale można je przeczyścić. Eksportowanie danych umożliwia wysyłanie danych do konta usługi Azure Storage z zasadami niezmienności w celu ochrony przed naruszeniami danych. Nie każdy typ dzienników ma takie samo znaczenie dla zgodności, inspekcji lub zabezpieczeń, więc określ określone typy danych, które mają być eksportowane.
Skonfiguruj inspekcję zapytań dziennika, aby śledzić, którzy użytkownicy uruchamiają zapytania. Inspekcja zapytań dzienników rejestruje szczegóły każdego zapytania uruchamianego w obszarze roboczym. Traktuj te dane inspekcji jako dane zabezpieczeń i odpowiednio zabezpiecz tabelę LAQueryLogs . Skonfiguruj dzienniki inspekcji dla każdego obszaru roboczego do wysłania do lokalnego obszaru roboczego lub skonsoliduj je w dedykowanym obszarze roboczym zabezpieczeń, jeśli rozdzielisz dane operacyjne i zabezpieczające. Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby okresowo przeglądać te dane i rozważyć utworzenie reguł alertów przeszukiwania dzienników w celu proaktywnego powiadamiania o próbie uruchomienia zapytań przez nieautoryzowanych użytkowników.
Określ strategię filtrowania lub zaciemniania poufnych danych w obszarze roboczym. Możesz zbierać dane, które zawierają poufne informacje. Filtruj rekordy, które nie powinny być zbierane przy użyciu konfiguracji dla określonego źródła danych. Użyj przekształcenia, jeśli należy usunąć lub zaciemnić tylko określone kolumny w danych.

Jeśli masz standardy, które wymagają niezmodyfikowania oryginalnych danych, możesz użyć literału "h" w zapytaniach KQL, aby zaciemnić wyniki zapytania wyświetlane w skoroszytach.
Przeczyść poufne dane, które zostały przypadkowo zebrane. Okresowo sprawdzaj dane prywatne, które mogły zostać przypadkowo zebrane w obszarze roboczym, i użyj przeczyszczania danych, aby je usunąć.
Włącz blokadę klienta dla platformy Microsoft Azure, aby zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft. Skrytka klienta dla platformy Microsoft Azure udostępnia interfejs umożliwiający przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych klientów. Informacje te są stosowane w przypadkach, gdy inżynier firmy Microsoft musi uzyskać dostęp do danych klienta: czy to w odpowiedzi na bilet pomocy technicznej zainicjowanej przez klienta, czy na problem zidentyfikowany przez firmę Microsoft. Aby włączyć blokadę klienta, potrzebujesz dedykowanego klastra.
Obecnie nie można zastosować skrytki do tabel z planem pomocniczym.

Optymalizacja kosztów

Optymalizacja kosztów odnosi się do sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Możesz znacznie obniżyć koszt usługi Azure Monitor, poznając różne opcje konfiguracji i możliwości zmniejszenia ilości zbieranych danych. Zobacz Koszty i użycie usługi Azure Monitor, aby poznać różne sposoby wyświetlania opłat za usługę Azure Monitor i sposobu wyświetlania miesięcznego rachunku.

Uwaga

Zobacz Optymalizowanie kosztów w usłudze Azure Monitor , aby uzyskać zalecenia dotyczące optymalizacji kosztów we wszystkich funkcjach usługi Azure Monitor.

Lista kontrolna projektu

  • Ustal, czy chcesz połączyć dane operacyjne i dane zabezpieczeń w tym samym obszarze roboczym usługi Log Analytics.
  • Skonfiguruj warstwę cenową dla ilości danych, które zwykle zbiera każdy obszar roboczy usługi Log Analytics.
  • Konfigurowanie przechowywania i archiwizowania danych.
  • Skonfiguruj tabele używane do debugowania, rozwiązywania problemów i inspekcji jako dzienniki podstawowe.
  • Ogranicz zbieranie danych ze źródeł danych dla obszaru roboczego.
  • Regularnie analizuj zebrane dane, aby zidentyfikować trendy i anomalie.
  • Utwórz alert, gdy zbieranie danych jest wysokie.
  • Rozważ dzienny limit jako środek zapobiegawczy, aby upewnić się, że nie przekraczasz określonego budżetu.
  • Konfigurowanie alertów dotyczących zaleceń dotyczących kosztów usługi Azure Advisor dla obszarów roboczych usługi Log Analytics.

Zalecenia dotyczące konfiguracji

Zalecenie Korzyści
Ustal, czy chcesz połączyć dane operacyjne i dane zabezpieczeń w tym samym obszarze roboczym usługi Log Analytics. Ponieważ wszystkie dane w obszarze roboczym usługi Log Analytics podlegają cenom usługi Microsoft Sentinel, jeśli usługa Sentinel jest włączona, może to mieć wpływ na koszty łączenia tych danych. Zobacz Projektowanie strategii obszaru roboczego usługi Log Analytics, aby uzyskać szczegółowe informacje na temat podejmowania tej decyzji w celu zrównoważenia środowiska z kryteriami w innych filarach.
Skonfiguruj warstwę cenową dla ilości danych, które zwykle zbiera każdy obszar roboczy usługi Log Analytics. Domyślnie obszary robocze usługi Log Analytics będą korzystać z cennika z płatnością zgodnie z rzeczywistym użyciem bez minimalnego woluminu danych. W przypadku zbierania wystarczającej ilości danych można znacząco obniżyć koszt przy użyciu warstwy zobowiązania, która umożliwia zatwierdzenie dziennego minimum danych zebranych w zamian za niższą stawkę. W przypadku zbierania wystarczającej ilości danych między obszarami roboczymi w jednym regionie można połączyć je z dedykowanym klastrem i połączyć zebrany wolumin przy użyciu cennika klastra.

Aby uzyskać szczegółowe informacje na temat warstw zobowiązań i wskazówek dotyczących określania, które najbardziej odpowiednie dla poziomu użycia znajdują się w temacie Azure Monitor Logs cost calculations and options (Obliczenia kosztów i opcje dotyczące dzienników usługi Azure Monitor). Zobacz Użycie i szacowane koszty , aby wyświetlić szacowane koszty użycia w różnych warstwach cenowych.
Konfigurowanie interakcyjnego i długoterminowego przechowywania danych. W obszarze roboczym usługi Log Analytics są naliczane opłaty za przechowywanie danych poza wartością domyślną 31 dni (90 dni, jeśli usługa Sentinel jest włączona w obszarze roboczym i 90 dni dla danych usługi Application Insights). Weź pod uwagę konkretne wymagania dotyczące łatwo dostępnych danych dla zapytań dzienników. Możesz znacznie obniżyć koszty, konfigurując długoterminowe przechowywanie danych, co pozwala przechowywać dane przez maksymalnie dwanaście lat i nadal uzyskiwać do nich dostęp od czasu do czasu przy użyciu zadań wyszukiwania lub przywracania zestawu danych do obszaru roboczego.
Skonfiguruj tabele używane do debugowania, rozwiązywania problemów i inspekcji jako dzienniki podstawowe. Tabele w obszarze roboczym usługi Log Analytics skonfigurowane dla dzienników podstawowych mają niższy koszt pozyskiwania w zamian za ograniczone funkcje i opłaty za zapytania dziennika. Jeśli wysyłasz zapytania do tych tabel rzadko i nie używasz ich do zgłaszania alertów, ten koszt zapytania może być większy niż zrównoważony przez obniżony koszt pozyskiwania.
Ogranicz zbieranie danych ze źródeł danych dla obszaru roboczego. Podstawowym czynnikiem kosztu usługi Azure Monitor jest ilość danych zbieranych w obszarze roboczym usługi Log Analytics, dlatego należy upewnić się, że nie zbierasz więcej danych, których potrzebujesz, aby ocenić kondycję i wydajność usług i aplikacji. Zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics, aby uzyskać szczegółowe informacje na temat podejmowania tej decyzji dotyczącej równoważenia środowiska przy użyciu kryteriów w innych filarach.

Kompromis: może wystąpić kompromis między kosztami a wymaganiami dotyczącymi monitorowania. Na przykład możesz szybciej wykryć problem z wydajnością z wysokim współczynnikiem próbkowania, ale możesz chcieć obniżyć częstotliwość próbkowania, aby obniżyć koszty. Większość środowisk ma wiele źródeł danych z różnymi typami kolekcji, więc musisz zrównoważyć określone wymagania z celami kosztów dla każdego z nich. Zobacz Optymalizacja kosztów w usłudze Azure Monitor , aby uzyskać zalecenia dotyczące konfigurowania zbierania dla różnych źródeł danych.
Regularnie analizuj zebrane dane, aby zidentyfikować trendy i anomalie. Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby okresowo przeglądać ilość danych zebranych w obszarze roboczym. Oprócz ułatwienia zrozumienia ilości danych zebranych przez różne źródła, będzie identyfikować anomalie i trendy w górę w zbieraniu danych, które mogą spowodować nadmierne koszty. Dalsze analizowanie zbierania danych przy użyciu metod w obszarze roboczym Analizowanie użycia w obszarze roboczym usługi Log Analytics w celu określenia, czy istnieje dodatkowa konfiguracja, która może jeszcze bardziej zmniejszyć użycie. Jest to szczególnie ważne w przypadku dodawania nowego zestawu źródeł danych, takiego jak nowy zestaw maszyn wirtualnych lub dołączanie nowej usługi.
Utwórz alert, gdy zbieranie danych jest wysokie. Aby uniknąć nieoczekiwanych rachunków, należy proaktywnie otrzymywać powiadomienia w dowolnym momencie, w którym występuje nadmierne użycie. Powiadomienie umożliwia rozwiązanie wszelkich potencjalnych anomalii przed końcem okresu rozliczeniowego.
Rozważ dzienny limit jako środek zapobiegawczy, aby upewnić się, że nie przekraczasz określonego budżetu. Dzienny limit wyłącza zbieranie danych w obszarze roboczym usługi Log Analytics przez resztę dnia po osiągnięciu skonfigurowanego limitu. Nie należy jej używać jako metody w celu zmniejszenia kosztów zgodnie z opisem w temacie Kiedy należy użyć dziennego limitu.

Jeśli ustawisz dzienny limit, oprócz utworzenia alertu po osiągnięciu limitu, upewnij się, że utworzysz również regułę alertu, aby otrzymywać powiadomienia o osiągnięciu pewnej wartości procentowej (na przykład 90%. Daje to możliwość zbadania i rozwiązania przyczyny zwiększonej ilości danych, zanim limit wyłączy zbieranie danych.
Konfigurowanie alertów dotyczących zaleceń dotyczących kosztów usługi Azure Advisor dla obszarów roboczych usługi Log Analytics. Rekomendacje usługi Azure Advisor dotyczące obszarów roboczych usługi Log Analytics aktywnie ostrzegają, gdy istnieje możliwość optymalizacji kosztów. Utwórz alerty usługi Azure Advisor dla następujących zaleceń dotyczących kosztów:
  • Rozważ skonfigurowanie ekonomicznego planu dzienników w warstwie Podstawowa dla wybranych tabel — zidentyfikowaliśmy pozyskiwanie ponad 1 GB miesięcznie do tabel, które kwalifikują się do planu danych dziennika w warstwie Podstawowa. Podstawowy plan dziennika zapewnia możliwości wykonywania zapytań na potrzeby debugowania i rozwiązywania problemów przy niższych kosztach.
  • Rozważ zmianę warstwy cenowej — na podstawie bieżącego woluminu użycia zbadaj zmianę warstwy cenowej (zobowiązanie), aby uzyskać rabat i obniżyć koszty.
  • Rozważ usunięcie nieużywanych przywróconych tabel — masz co najmniej jedną tabelę z przywróconymi danymi aktywnymi w obszarze roboczym. Jeśli nie używasz już przywróconych danych, usuń tabelę, aby uniknąć niepotrzebnych opłat.
  • Wykryto anomalię pozyskiwania danych — zidentyfikowaliśmy znacznie wyższy współczynnik pozyskiwania danych w ciągu ostatniego tygodnia na podstawie pozyskiwania danych w ciągu trzech poprzednich tygodni. Zanotuj tę zmianę i oczekiwaną zmianę kosztów.
Możesz również wyświetlić automatycznie wygenerowane zalecenie, wybierając pozycję Zalecenia omówienia>lub Rekomendacje doradcy z menu zasobów obszaru roboczego usługi Log Analytics.

Doskonałość operacyjna

Doskonałość operacyjna odnosi się do procesów operacyjnych wymaganych do niezawodnego działania usługi w środowisku produkcyjnym. Skorzystaj z poniższych informacji, aby zminimalizować wymagania operacyjne dotyczące obsługi obszarów roboczych usługi Log Analytics.

Lista kontrolna projektu

  • Zaprojektuj architekturę obszaru roboczego z minimalną liczbą obszarów roboczych, aby spełnić wymagania biznesowe.
  • Podczas zarządzania wieloma obszarami roboczymi użyj infrastruktury jako kodu (IaC).
  • Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby śledzić kondycję i wydajność obszarów roboczych usługi Log Analytics.
  • Utwórz reguły alertów, aby proaktywnie otrzymywać powiadomienia o problemach operacyjnych w obszarze roboczym.
  • Upewnij się, że masz dobrze zdefiniowany proces operacyjny dla segregacji danych.

Zalecenia dotyczące konfiguracji

Zalecenie Korzyści
Zaprojektuj strategię obszaru roboczego, aby spełnić wymagania biznesowe. Zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics, aby uzyskać wskazówki dotyczące projektowania strategii dla obszarów roboczych usługi Log Analytics, w tym liczby tworzonych i miejsc ich umieszczania.

Pojedyncza lub co najmniej minimalna liczba obszarów roboczych maksymalizuje wydajność operacyjną, ponieważ ogranicza dystrybucję danych operacyjnych i danych zabezpieczeń, zwiększając wgląd w potencjalne problemy, ułatwiając identyfikowanie wzorców i minimalizując wymagania dotyczące konserwacji.

Być może masz wymagania dotyczące wielu obszarów roboczych, takich jak wiele dzierżaw, lub może być konieczne posiadanie obszarów roboczych w wielu regionach w celu obsługi wymagań dotyczących dostępności. W takich przypadkach upewnij się, że masz odpowiednie procesy, aby zarządzać tą zwiększoną złożonością.
Podczas zarządzania wieloma obszarami roboczymi użyj infrastruktury jako kodu (IaC). Użyj infrastruktury jako kodu (IaC), aby zdefiniować szczegóły obszarów roboczych w usłudze ARM, BICEP lub Terraform. Dzięki temu możesz wykorzystać istniejące procesy DevOps do wdrożenia nowych obszarów roboczych i usługi Azure Policy w celu wymuszenia ich konfiguracji.
Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby śledzić kondycję i wydajność obszarów roboczych usługi Log Analytics. Szczegółowe informacje o obszarze roboczym usługi Log Analytics zapewniają ujednolicony widok użycia, wydajności, kondycji, agentów, zapytań i dziennika zmian dla wszystkich obszarów roboczych. Przejrzyj te informacje regularnie, aby śledzić kondycję i działanie poszczególnych obszarów roboczych.
Utwórz reguły alertów, aby proaktywnie otrzymywać powiadomienia o problemach operacyjnych w obszarze roboczym. Każdy obszar roboczy zawiera tabelę operacji, która rejestruje ważne działania wpływające na obszar roboczy. Utwórz reguły alertów na podstawie tej tabeli, aby otrzymywać proaktywne powiadomienia w przypadku wystąpienia problemu operacyjnego. Aby uprościć tworzenie najbardziej krytycznych reguł alertów, możesz użyć zalecanych alertów dla obszaru roboczego .
Upewnij się, że masz dobrze zdefiniowany proces operacyjny dla segregacji danych. Mogą istnieć różne wymagania dotyczące różnych typów danych przechowywanych w obszarze roboczym. Upewnij się, że podczas projektowania strategii obszaru roboczego i konfigurowania ustawień, takich jak uprawnienia i długoterminowe przechowywanie danych, należy jasno zrozumieć te wymagania. Należy również mieć jasno zdefiniowany proces od czasu do czasu przeczyszczania danych z danymi osobowymi, które zostały przypadkowo zebrane.

Efektywność wydajności

Wydajność to możliwość skalowania obciążenia w celu spełnienia wymagań, które są na nim nakładane przez użytkowników w wydajny sposób. Skorzystaj z poniższych informacji, aby upewnić się, że obszary robocze i zapytania dzienników usługi Log Analytics są skonfigurowane pod kątem maksymalnej wydajności.

Lista kontrolna projektu

  • Konfigurowanie inspekcji zapytań dzienników i używanie szczegółowych informacji o obszarze roboczym usługi Log Analytics w celu identyfikowania wolnych i nieefektywnych zapytań.

Zalecenia dotyczące konfiguracji

Zalecenie Korzyści
Konfigurowanie inspekcji zapytań dzienników i używanie szczegółowych informacji o obszarze roboczym usługi Log Analytics w celu identyfikowania wolnych i nieefektywnych zapytań. Inspekcja zapytań dzienników przechowuje czas obliczeniowy wymagany do uruchomienia każdego zapytania i czasu do momentu zwrócenia wyników. Szczegółowe informacje o obszarze roboczym usługi Log Analytics używają tych danych do wyświetlania listy potencjalnie nieefektywnych zapytań w obszarze roboczym. Rozważ ponowne zapisywanie tych zapytań, aby zwiększyć ich wydajność. Zapoznaj się z artykułem Optymalizowanie zapytań dzienników w usłudze Azure Monitor , aby uzyskać wskazówki dotyczące optymalizowania zapytań dzienników.

Następny krok