Omówienie obszaru roboczego usługi Log Analytics

Obszar roboczy usługi Log Analytics to magazyn danych, w którym można zbierać dane dziennika dowolnego typu ze wszystkich zasobów i aplikacji platformy Azure spoza platformy Azure. Opcje konfiguracji obszaru roboczego umożliwiają zarządzanie wszystkimi danymi dziennika w jednym obszarze roboczym w celu spełnienia wymagań dotyczących operacji, analizy i inspekcji różnych osób w organizacji za pomocą następujących elementów:

• Funkcje usługi Azure Monitor, takie jak wbudowane środowiska szczegółowych informacji, alerty i akcje automatyczne
• Inne usługi platformy Azure, takie jak Microsoft Sentinel, Microsoft Defender dla Chmury i Logic Apps
• Narzędzia firmy Microsoft, takie jak Power BI i Excel
• Integracja z aplikacjami niestandardowymi i aplikacjami innych firm

Ten artykuł zawiera omówienie pojęć związanych z obszarami roboczymi usługi Log Analytics.

Ważne

Dokumentacja usługi Microsoft Sentinel używa terminu Obszar roboczy usługi Microsoft Sentinel. Ten obszar roboczy jest tym samym obszarem roboczym usługi Log Analytics opisanym w tym artykule, ale jest włączony dla usługi Microsoft Sentinel. Wszystkie dane w obszarze roboczym podlegają cennikowi usługi Microsoft Sentinel.

Tabele dzienników

Każdy obszar roboczy usługi Log Analytics zawiera wiele tabel, w których dzienniki usługi Azure Monitor przechowują zbierane dane.

Dzienniki usługi Azure Monitor automatycznie tworzą tabele wymagane do przechowywania danych monitorowania zbieranych ze środowiska platformy Azure. Tabele niestandardowe służą do przechowywania danych zbieranych z zasobów i aplikacji spoza platformy Azure na podstawie modelu danych zebranych danych dziennika oraz sposobu przechowywania i używania danych.

Ustawienia zarządzania tabelami umożliwiają kontrolowanie dostępu do określonych tabel oraz zarządzanie modelem danych, przechowywaniem i kosztami danych w każdej tabeli. Aby uzyskać więcej informacji, zobacz Zarządzanie tabelami w obszarze roboczym usługi Log Analytics.

Przechowywanie danych

Obszar roboczy usługi Log Analytics zachowuje dane w dwóch stanach — przechowywanie interakcyjne i długoterminowe przechowywanie.

W okresie przechowywania interakcyjnego dane są pobierane z tabeli za pośrednictwem zapytań, a dane są dostępne dla wizualizacji, alertów i innych funkcji i usług w oparciu o plan tabeli.

Każda tabela w obszarze roboczym usługi Log Analytics umożliwia przechowywanie danych do 12 lat w niskich kosztach, długoterminowego przechowywania. Pobieranie określonych danych potrzebnych z długoterminowego przechowywania do interaktywnego przechowywania przy użyciu zadania wyszukiwania. Oznacza to, że zarządzasz danymi dzienników w jednym miejscu bez przenoszenia danych do magazynu zewnętrznego i uzyskujesz pełne możliwości analityczne usługi Azure Monitor na starszych danych, gdy są potrzebne.

Aby uzyskać więcej informacji, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.

Dostęp do danych

Uprawnienie dostępu do danych w obszarze roboczym usługi Log Analytics jest definiowane przez ustawienie trybu kontroli dostępu w każdym obszarze roboczym. Możesz przyznać użytkownikom jawny dostęp do obszaru roboczego przy użyciu wbudowanej lub niestandardowej roli. Możesz też zezwolić na dostęp do danych zebranych dla zasobów platformy Azure użytkownikom z dostępem do tych zasobów.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor.

Wyświetlanie szczegółowych informacji o obszarze roboczym usługi Log Analytics

Usługa Log Analytics Workspace Insights ułatwia zarządzanie obszarami roboczymi usługi Log Analytics i optymalizowanie ich dzięki kompleksowemu widokowi użycia obszaru roboczego, wydajności, kondycji, pozyskiwania, zapytań i dziennika zmian.

Przekształcanie danych pozyskanych w obszarze roboczym usługi Log Analytics

Reguły zbierania danych (DCR), które definiują dane przychodzące do usługi Azure Monitor, mogą obejmować przekształcenia, które umożliwiają filtrowanie i przekształcanie danych przed ich pozyskiwaniem do obszaru roboczego. Ponieważ wszystkie źródła danych nie obsługują jeszcze kontrolerów DOMENY, każdy obszar roboczy może mieć przekształcenie obszaru roboczego DCR.

Przekształcenia w przekształcaniu obszaru roboczego DCR są definiowane dla każdej tabeli w obszarze roboczym i mają zastosowanie do wszystkich danych wysyłanych do tej tabeli, nawet jeśli są wysyłane z wielu źródeł. Te przekształcenia dotyczą tylko przepływów pracy, które nie używają jeszcze kontrolera domeny. Na przykład agent usługi Azure Monitor używa kontrolera domeny do definiowania danych zebranych z maszyn wirtualnych. Te dane nie będą podlegać żadnym przekształceniom czasu pozyskiwania zdefiniowanym w obszarze roboczym.

Na przykład możesz mieć ustawienia diagnostyczne, które wysyłają dzienniki zasobów dla różnych zasobów platformy Azure do obszaru roboczego. Możesz utworzyć przekształcenie dla tabeli, która zbiera dzienniki zasobów, które filtruje te dane tylko dla żądanych rekordów. Ta metoda pozwala zaoszczędzić koszt pozyskiwania rekordów, których nie potrzebujesz. Możesz również wyodrębnić ważne dane z niektórych kolumn i przechowywać je w innych kolumnach w obszarze roboczym, aby obsługiwać prostsze zapytania.

Koszt

Nie ma bezpośrednich kosztów tworzenia lub obsługi obszaru roboczego. Opłaty są naliczane za dane pozyskiwane do obszaru roboczego i przechowywania danych na podstawie planu tabeli każdej tabeli.

Aby uzyskać informacje na temat cen, zobacz Cennik usługi Azure Monitor. Aby uzyskać wskazówki dotyczące obniżania kosztów, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami. Jeśli używasz obszaru roboczego usługi Log Analytics z usługami innymi niż Azure Monitor, zapoznaj się z dokumentacją tych usług, aby uzyskać informacje o cenach.

Projektowanie architektury obszaru roboczego usługi Log Analytics w celu zaspokojenia określonych potrzeb biznesowych

Możesz użyć jednego obszaru roboczego dla całej kolekcji danych. Można jednak również utworzyć wiele obszarów roboczych na podstawie określonych wymagań biznesowych, takich jak wymagania prawne lub wymagania dotyczące zgodności w celu przechowywania danych w określonych lokalizacjach, podziału rozliczeń i odporności.

Aby zapoznać się z zagadnieniami dotyczącymi tworzenia wielu obszarów roboczych, zobacz Projektowanie konfiguracji obszaru roboczego usługi Log Analytics.

Następne kroki

• Utwórz nowy obszar roboczy usługi Log Analytics.
• Aby zapoznać się z zagadnieniami dotyczącymi tworzenia wielu obszarów roboczych, zobacz Projektowanie konfiguracji obszaru roboczego usługi Log Analytics.
• Dowiedz się więcej o zapytaniach dzienników w celu pobierania i analizowania danych z obszaru roboczego usługi Log Analytics.