Compartilhar via

Práticas recomendadas para logs do Azure Monitor

  • Artigo

Este artigo fornece práticas recomendadas de arquitetura para logs do Azure Monitor. As diretrizes se baseiam nos cinco pilares de excelência em arquitetura descritos no Azure Well-Architected Framework.

Confiabilidade

Confiabilidade se refere à capacidade de um sistema de se recuperar de falhas e continuar funcionando. O objetivo é minimizar os efeitos de qualquer componente com falha. Use as informações a seguir para minimizar a falha dos workspaces do Log Analytics e proteger os dados que eles coletam.

Os Workspaces do Log Analytics oferecem um alto grau de confiabilidade. O pipeline de ingestão, que envia dados coletados para o workspace do Log Analytics, valida que o workspace do Log Analytics processa com sucesso cada registro de log antes de remover o registro do pipe. Se o pipeline de ingestão não estiver disponível, os agentes que enviam o buffer de dados e tentarão enviar novamente os logs por muitas horas.

Recursos de Logs do Azure Monitor que aprimoram a resiliência

Os Logs do Azure Monitor oferecem vários recursos que aprimoram a resiliência de workspaces em relação a vários tipos de problemas. Você pode usar esses recursos individualmente ou em combinação, dependendo das suas necessidades.

Esse vídeo oferece uma visão geral das opções de confiabilidade e resiliência disponíveis para workspaces do Log Analytics:

Proteção na região usando zonas de disponibilidade

Cada região do Azure que dá suporte a zonas de disponibilidade tem um conjunto de datacenters equipados com potência, resfriamento e infraestrutura de rede independentes.

As Zonas de Disponibilidade dos Logs do Azure Monitor são redundantes, o que significa que a Microsoft espalha solicitações de serviço e replica dados em diferentes zonas em regiões com suporte. Se um incidente afetar uma zona, a Microsoft usará automaticamente uma zona de disponibilidade diferente na região. Você não precisa realizar nenhuma ação, pois a troca entre zonas ocorre de forma contínua.

Na maioria das regiões, as zonas de disponibilidade dos Logs do Azure Monitor dão suporte à resiliência de dados, o que significa que os seus dados armazenados estão protegidos contra perda de dados relacionada a falhas zonais, mas as operações de serviço ainda podem ser afetadas por incidentes regionais. Se o serviço não puder executar consultas, você não poderá exibir os logs até que o problema seja resolvido.

Um subconjunto das zonas de disponibilidade que dão suporte à resiliência de dados também dá suporte à resiliência do serviço, o que significa que as operações de serviço de Logs do Azure Monitor – por exemplo, ingestão de log, consultas e alertas – podem continuar em caso de falha de zona.

As zonas de disponibilidade protegem contra incidentes relacionados à infraestrutura, como falhas de armazenamento. Elas não protegem contra problemas no nível do aplicativo, como implantações de código com falha ou falhas de certificado, que afetam toda a região.

Backup de dados de tabelas específicas usando exportação contínua

Você pode exportar continuamente os dados enviados para tabelas específicas em seu workspace do Log Analytics para contas de armazenamento do Azure.

A conta de armazenamento para a qual você exporta dados deve estar na mesma região que o seu workspace do Log Analytics. Para proteger e ter acesso aos logs ingeridos, mesmo que a região do workspace esteja inativa, use uma conta de armazenamento com redundância geográfica, conforme explicado nas Recomendações de configuração.

O mecanismo de exportação não fornece proteção contra incidentes que afetam o pipeline de ingestão ou o próprio processo de exportação.

Observação

Você pode acessar dados em uma conta de armazenamento dos Logs do Azure Monitor usando o operador externaldata. No entanto, os dados exportados são armazenados em blobs de cinco minutos e a análise de dados abrangendo vários blobs pode ser complicada. Portanto, exportar dados para uma conta de armazenamento é um bom mecanismo de backup de dados, mas ter os dados de backup em uma conta de armazenamento não é ideal se você precisar deles para análise nos Logs do Azure Monitor. Você pode consultar grandes volumes de dados de blob usando o Azure Data Explorer, o Azure Data Factory ou qualquer outra ferramenta de acesso ao armazenamento.

Proteção entre dados regionais e resiliência de serviço usando replicação de workspace (versão prévia)

A replicação de workspace (versão prévia) é a solução de resiliência mais extensa, pois replica o workspace do Log Analytics e os logs de entrada para outra região.

A replicação do workspace protege os logs e as operações de serviço e permite que você continue monitorando seus sistemas em caso de incidentes em toda a região relacionados à infraestrutura ou ao aplicativo.

Em contraste com as zonas de disponibilidade, que a Microsoft gerencia de ponta a ponta, você precisa monitorar a integridade do workspace primário e decidir quando alternar para o workspace na região secundária e voltar.

Lista de verificação de projeto

  • Para garantir a resiliência de serviço e dados a incidentes em toda a região, habilite a replicação do workspace.
  • Para garantir a proteção na região contra falha do datacenter, crie o seu workspace em uma região que dê suporte a zonas de disponibilidade.
  • Para backup entre regiões de dados em tabelas específicas, use o recurso de exportação contínua para enviar dados para uma conta de armazenamento replicada geograficamente.
  • Monitorar a integridade de workspaces do Log Analytics.

Recomendações de configuração

Recomendação Benefício
Para garantir o maior grau de resiliência, habilite a replicação de workspace. Resiliência entre regiões para operações de serviço e dados de workspace.

A replicação de workspace (versão prévia) garante alta disponibilidade criando uma instância secundária do workspace em outra região e ingerindo seus logs em ambos os workspaces.

Quando necessário, alterne para o workspace secundário até que os problemas que afetam o seu workspace primário sejam resolvidos. Você pode continuar ingerindo logs, consultando dados e usando painéis, alertas e o Sentinel em seu workspace secundário. Você também tem acesso aos logs ingeridos antes da opção de região.

Este é um recurso pago, portanto, considere se você deseja replicar todos os logs de entrada ou apenas alguns fluxos de dados.
Se possível, crie o seu workspace em uma região que dê suporte à resiliência de serviço do Azure Monitor. Resiliência na região de operações de serviço e dados de workspace em caso de problemas de datacenter.

As Zonas de Disponibilidade que dão suporte à resiliência do serviço também dão suporte à resiliência de dados. Isso significa que, mesmo que um datacenter inteiro fique indisponível, a redundância entre zonas permite que as operações de serviço do Azure Monitor, como ingestão e consulta, continuem funcionando e os logs ingeridos permaneçam disponíveis.

As Zonas de Disponibilidade fornecem proteção dentro da região, mas não protegem contra problemas que afetam toda a região.

Para obter informações sobre quais regiões dão suporte à resiliência de dados, confira Aprimorar a resiliência de dados e serviços nos Logs do Azure Monitor com zonas de disponibilidade.
Crie o seu workspace em uma região que dê suporte à resiliência de dados. Proteção na região contra perda dos logs em seu workspace em caso de problemas de datacenter.

Criar o seu workspace em uma região que dê suporte à resiliência de dados significa que, mesmo que todo o datacenter fique indisponível, os logs ingeridos estarão seguros.
Se o serviço não puder executar consultas, você não poderá exibir os logs até que o problema seja resolvido.

Para obter informações sobre quais regiões dão suporte à resiliência de dados, confira Aprimorar a resiliência de dados e serviços nos Logs do Azure Monitor com zonas de disponibilidade.
Configure a exportação de dados de tabelas específicas para uma conta de armazenamento replicada entre regiões. Mantenha uma cópia de backup dos dados de log em uma região diferente.

O recurso de exportação de dados do Azure Monitor permite exportar continuamente os dados enviados para tabelas específicas para o armazenamento do Azure, onde eles podem ser retidos por longos períodos. Use um armazenamento com redundância geográfica (GRS) ou uma conta de armazenamento com redundância de zona geográfica (GZRS) para manter seus dados seguros mesmo que uma região inteira fique indisponível. Para tornar seus dados legíveis a partir das outras regiões, configure a sua conta de armazenamento para acesso de leitura à região secundária. Para obter mais informações, confira Redundância do Armazenamento do Azure em uma região secundária e Acesso de leitura do Armazenamento do Azure aos dados na região secundária.

Para tabelas que não dão suporte à exportação contínua de dados, você pode usar outros métodos de exportação de dados, incluindo os Aplicativos Lógicos, para proteger seus dados. Essa é principalmente uma solução para atender à conformidade de retenção de dados, uma vez que os dados podem ser difíceis de analisar e restaurar no espaço de trabalho.

A exportação de dados é suscetível a incidentes regionais porque depende da estabilidade do pipeline de ingestão de dados do Azure Monitor na sua região. Ela não fornece resiliência contra incidentes que afetam o pipeline de ingestão regional.
Monitorar a integridade de workspaces do Log Analytics. Use os insights do workspace do Log Analytics para acompanhar consultas com falha e criar um alerta de status da integridade para notificar proativamente se um workspace ficar indisponível devido a uma falha regional ou de datacenter.

Comparar os recursos de resiliência dos Logs do Azure Monitor

Recurso Resiliência do serviço Backup de dados Alta disponibilidade Escopo da proteção Instalação Custo
Replicação do workspace Proteção entre regiões contra incidentes em toda a região Habilite a replicação do workspace e das regras de coleta de dados relacionadas. Alterne entre regiões conforme necessário. Com base no número de GBs replicados e região.
Zonas de disponibilidade
Nas regiões com suporte		 Proteção dentro da região contra problemas de datacenter Habilitado automaticamente em regiões com suporte. Sem custo
Exportação contínua de dados Proteção contra perda de dados devido a uma falha regional 1 Habilitar por tabela. Custo da exportação de dados + Blobs de armazenamento ou Hubs de Eventos

1 A exportação de dados fornece proteção entre regiões se você exportar logs para uma conta de armazenamento replicada geograficamente. No caso de um incidente, os dados exportados anteriormente são apoiados e estão prontamente disponíveis; entretanto, a exportação adicional pode falhar, dependendo da natureza do incidente.

Segurança

A Segurança é um dos aspectos mais importantes de qualquer arquitetura. O Azure Monitor fornece recursos para empregar os princípios de privilégios mínimos e defesa em profundidade. Use as informações a seguir para maximizar a segurança dos workspaces do Log Analytics e garantir que apenas usuários autorizados acessem os dados coletados.

Lista de verificação de projeto

  • Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics.
  • Configure o acesso para diferentes tipos de dados no workspace necessários para diferentes funções em sua organização.
  • Considere usar o link privado do Azure para remover o acesso ao seu workspace de redes públicas.
  • Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus workspaces.
  • Exportar dados de auditoria para retenção ou imutabilidade de longo prazo.
  • Configure a auditoria de consulta de log para acompanhar quais usuários estão executando consultas.
  • Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu workspace.
  • Limpe dados confidenciais que foram coletados acidentalmente.
  • Habilite o Sistema de Proteção de Dados do Cliente para o Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft.

Recomendações de configuração

Recomendação Benefício
Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics. Sua decisão de combinar esses dados depende dos seus requisitos de segurança específicos. Combiná-los em um único workspace oferece melhor visibilidade em todos os seus dados, embora sua equipe de segurança possa exigir um workspace dedicado. Consulte Criar uma estratégia de workspace do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.

Compensação: há possíveis implicações de custo para habilitar o Sentinel em seu workspace. Confira os detalhes em Criar uma arquitetura do workspace do Log Analytics.
Configure o acesso para diferentes tipos de dados no workspace necessários para diferentes funções em sua organização. Defina o modo de controle de acesso para o workspace como Usar permissões de recurso ou workspace para permitir que os proprietários de recursos usem o contexto de recurso para acessar seus dados sem ter acesso explícito ao workspace. Isso simplifica a configuração do seu espaço de trabalho e ajuda a garantir que os usuários não consigam acessar dados que não deveriam.

Atribua a função interna apropriada para conceder permissões de workspace aos administradores no nível da assinatura, do grupo de recursos ou do workspace, dependendo do escopo das responsabilidades.

Aproveite o RBAC de nível de tabela para usuários que exigem acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso.

Consulte Gerenciar o acesso aos workspaces do Log Analytics para obter detalhes sobre as diferentes opções para conceder acesso aos dados no workspace.
Considere usar o link privado do Azure para remover o acesso ao seu workspace de redes públicas. As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que os recursos se conectem ao workspace do Log Analytics por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor rede e topologia DNS para seu ambiente.
Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus workspaces. O Azure Monitor garante que todos os dados e consultas salvos sejam criptografados em repouso com as chaves gerenciadas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use a chave gerenciada pelo cliente para maior flexibilidade e controle do ciclo de vida da chave. Se você usar o Microsoft Sentinel, verifique se está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel.
Exportar dados de auditoria para retenção ou imutabilidade de longo prazo. Você pode ter coletado dados de auditoria em seu workspace que estão sujeitos a regulamentos que exigem sua retenção de longo prazo. Os dados em um workspace do Log Analytics não podem ser alterados, mas podem ser limpos. Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure com políticas de imutabilidade para proteger contra violação de dados. Nem todos os tipos de logs têm a mesma relevância para conformidade, auditoria ou segurança, portanto, determine os tipos de dados específicos que devem ser exportados.
Configure a auditoria de consulta de log para acompanhar quais usuários estão executando consultas. A auditoria de consulta de log registra os detalhes de cada consulta executada em um workspace. Trate esses dados de auditoria como dados de segurança e proteja a tabela LAQueryLogs adequadamente. Configure os logs de auditoria para cada workspace a ser enviado para o workspace local ou consolide em um workspace de segurança dedicado se você separar seus dados operacionais e de segurança. Use os insights do workspace do Log Analytics para examinar periodicamente esses dados, e considere a criação de regras de alerta de pesquisa de log para ser notificado proativamente se usuários não autorizados estiverem tentando executar consultas.
Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu workspace. Você pode estar coletando dados que incluem informações confidenciais. Filtre registros que não devem ser coletados usando a configuração da fonte de dados específica. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas.

Se você tiver padrões que exijam que os dados originais não sejam modificados, poderá usar o literal 'h' em consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho.
Limpe dados confidenciais que foram coletados acidentalmente. Verifique periodicamente se há dados privados que podem ter sido coletados acidentalmente em seu workspace e use a limpeza de dados para removê-los.
Habilite o Sistema de Proteção de Dados do Cliente para o Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft. O Sistema de Proteção de Dados do Cliente para Microsoft Azure fornece uma interface para examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente. Ele é usado nos casos em que um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Para habilitar o Sistema de Proteção de Dados do Cliente, você precisa de um cluster dedicado.
Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar.

Otimização de custo

A Otimização de custos se refere a maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Você pode reduzir consideravelmente seus custos com o Azure Monitor compreendendo as diferentes opções de configuração e oportunidades a fim de reduzir o volume de dados coletados. Confira Custos e uso do Azure Monitor para entender as diferentes maneiras de cobrança do Azure Monitor e como ver sua fatura mensal.

Observação

Confira Otimizar custos no Azure Monitor para obter recomendações de otimização de custos em todos os recursos do Azure Monitor.

Lista de verificação de projeto

  • Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics.
  • Configure o tipo de preço para a quantidade de dados que cada workspace do Log Analytics normalmente coleta.
  • Configure a retenção e o arquivamento de dados.
  • Configure as tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos.
  • Limite a coleta de dados de fontes de dados para o workspace.
  • Analise regularmente os dados coletados para identificar tendências e anomalias.
  • Criar um alerta para quando a coleta de dados for alta.
  • Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento especificado.
  • Configure alertas nas recomendações de custo do Assistente do Azure para workspaces do Log Analytics.

Recomendações de configuração

Recomendação Benefício
Determine se você deve combinar seus dados operacionais e seus dados de segurança no mesmo workspace do Log Analytics. Como todos os dados em um workspace do Log Analytics estão sujeitos a preços do Microsoft Sentinel se o Sentinel estiver habilitado, pode haver implicações de custo para combinar esses dados. Consulte Criar uma estratégia de workspace do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.
Configure o tipo de preço para a quantidade de dados que cada workspace do Log Analytics normalmente coleta. Por padrão, os workspaces do Log Analytics usam o preço de pagamento conforme o uso sem um volume mínimo de dados. Se você coletar dados suficientes, poderá diminuir consideravelmente seus custos usando uma camada de compromisso, o que permite que você se comprometa com um mínimo diário de dados coletados em troca de uma taxa mais baixa. Se você coletar dados suficientes entre workspaces em uma única região, poderá vinculá-los a um cluster dedicado e combinar o volume coletado usando os preços do cluster.

Confira Opções e cálculos de custo dos logs do Azure Monitor para obter detalhes sobre os níveis de compromisso e diretrizes sobre como determinar qual é o mais apropriado para seu nível de uso. Confira Uso e custos estimados para visualizar os custos estimados para seu uso em diferentes níveis de preços.
Configure a retenção de dados interativa e de longo prazo. Há uma cobrança por reter dados em um workspace do Log Analytics além do padrão de 31 dias (90 dias se o Sentinel estiver habilitado no workspace e 90 dias para dados do Application Insights). Considere seus requisitos específicos para ter dados prontamente disponíveis para consultas de log. Você pode reduzir de maneira significativa o custo configurando retenção de longo prazo, o que permite reter dados por até doze anos e ainda acessá-los ocasionalmente usando trabalhos de pesquisa ou restaurando um conjunto de dados para o workspace.
Configure as tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos. As tabelas em um workspace do Log Analytics configurado para Logs Básicos têm um custo de ingestão menor em troca de recursos limitados e uma cobrança pelas consultas de log. Se você consulta essas tabelas com pouca frequência e não as usa para alertas, esse custo de consulta pode ser mais do que compensado pelo custo reduzido de ingestão.
Limite a coleta de dados de fontes de dados para o workspace. O principal fator para o custo do Azure Monitor é a quantidade de dados coletados em seu workspace do Log Analytics, portanto, você deve garantir que não colete mais dados necessários para avaliar a integridade e o desempenho de seus serviços e aplicativos. Consulte Criar uma arquitetura de workspace do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.

Compensação: pode haver uma compensação entre o custo e seus requisitos de monitoramento. Por exemplo, você pode conseguir detectar um problema de desempenho mais rapidamente com uma alta taxa de amostra, mas talvez você queira uma taxa de amostra mais baixa para economizar custos. A maioria dos ambientes tem várias fontes de dados com diferentes tipos de coleção, portanto, você precisa equilibrar seus requisitos específicos com seus destinos de custo para cada um. Consulte a Otimização de custo no Azure Monitor para obter recomendações sobre como configurar a coleta para diferentes fontes de dados.
Analise regularmente os dados coletados para identificar tendências e anomalias. Use os insights do workspace do Log Analytics para examinar periodicamente a quantidade de dados coletados em seu workspace. Além de ajudar você a entender a quantidade de dados coletados por diferentes fontes, ele identificará anomalias e tendências ascendentes na coleta de dados que podem resultar em custo excessivo. Analise mais a coleta de dados usando os métodos descritos em Analisar o uso no workspace do Log Analytics para determinar se há outras configurações que podem diminuir ainda mais o uso. Isso é particularmente importante ao adicionar um novo conjunto de fontes de dados, como um novo conjunto de máquinas virtuais, ou integrar um novo serviço.
Criar um alerta para quando a coleta de dados for alta. Para evitar cobranças inesperadas, você deve receber notificações proativas sempre que ocorrer uso excessivo. Isso permite resolver quaisquer anomalias em potencial antes do final do período de cobrança.
Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento especificado. Um limite diário desabilita a coleta de dados em um workspace do Log Analytics pelo resto do dia quando o limite configurado é atingido. Isso não deve ser usado como um método para reduzir os custos, conforme descrito em Quando usar um limite diário.

Se você definir um limite diário, além de criar um alerta quando o limite for atingido, certifique-se de também criar uma regra de alerta para receber notificação quando algum percentual for atingido (90% por exemplo). Isso oferece a oportunidade de investigar e abordar a causa dos dados aumentados antes que o limite desligue a coleta de dados.
Configure alertas nas recomendações de custo do Assistente do Azure para workspaces do Log Analytics. As recomendações do Assistente do Azure para workspaces do Log Analytics alertam você proativamente quando há uma oportunidade de otimizar seus custos. Crie alertas do Assistente do Azure para essas recomendações de custo:
  • Considere configurar o plano de logs básicos econômicos em tabelas selecionadas – identificamos a ingestão de mais de 1 GB por mês para tabelas qualificadas para o plano de dados de log Básico de baixo custo. O plano de logs Básico oferece funcionalidades de consulta para depuração e solução de problemas a um custo mais baixo.
  • Considere alterar o tipo de preço– Com base no volume de uso atual, investigue a alteração da camada de preços (Compromisso) para receber um desconto e reduzir os custos.
  • Considere remover tabelas restauradas não utilizados – você tem uma ou mais tabelas com dados restaurados ativos em seu workspace. Se você não estiver mais usando dados restaurados, exclua a tabela para evitar cobranças desnecessárias.
  • Anomalia de ingestão de dados detectada – identificamos uma taxa de ingestão muito maior na última semana, com base na ingestão nas três semanas anteriores. Anote essa alteração e a alteração esperada em seus custos.
Você também pode exibir a recomendação gerada automaticamente selecionando Visão geral>Recomendações ou Recomendações do Assistente no menu de recursos do espaço de trabalho do Log Analytics.

Excelência operacional

A Excelência operacional se refere aos processos de operações necessários para manter um serviço em execução confiável na produção. Use as informações a seguir para minimizar os requisitos operacionais de suporte a workspaces do Log Analytics.

Lista de verificação de projeto

  • Crie uma arquitetura de workspace com o número mínimo de workspaces para atender aos seus requisitos de negócios.
  • Use IaC (Infraestrutura como Código) ao gerenciar vários workspaces.
  • Use os insights do workspace do Log Analytics para acompanhar a integridade e o desempenho dos workspaces do Log Analytics.
  • Crie regras de alerta para ser notificado proativamente sobre problemas operacionais no workspace.
  • Verifique se você tem um processo operacional bem definido para a segregação de dados.

Recomendações de configuração

Recomendação Benefício
Crie uma estratégia de workspace para atender aos requisitos do seu negócio. Consulte Criar uma arquitetura do workspace do Log Analytics para obter diretrizes sobre como criar uma estratégia para seus workspaces do Log Analytics, incluindo quantos criar e onde colocá-los.

Um único ou pelo menos um número mínimo de workspaces maximizará sua eficiência operacional, pois ele limita a distribuição dos seus dados operacionais e de segurança, aumentando sua visibilidade sobre possíveis problemas, facilitando a identificação de padrões e minimizando seus requisitos de manutenção.

Você pode ter requisitos para vários workspaces, como vários locatários, ou talvez precise de workspaces em várias regiões para dar suporte aos seus requisitos de disponibilidade. Nesses casos, verifique se você tem os processos apropriados para gerenciar essa complexidade aumentada.
Use IaC (Infraestrutura como Código) ao gerenciar vários workspaces. Use a IaC (Infraestrutura como Código) para definir os detalhes de seus workspaces no ARM, BICEPou Terraform. Isso permite que você aproveite seus processos do DevOps existentes para implantar novos workspaces e do Azure Policy para impor sua configuração.
Use os insights do workspace do Log Analytics para acompanhar a integridade e o desempenho dos workspaces do Log Analytics. O Insights do Workspace do Log Analytics fornece uma exibição unificada do uso, do desempenho, da integridade, do agente, das consultas e do log de alteração de todos os workspaces. Examine essas informações regularmente para acompanhar a integridade e a operação de cada um de seus workspaces.
Crie regras de alerta para ser notificado proativamente sobre problemas operacionais no workspace. Cada workspace tem uma tabela de operações que registra atividades importantes que afetam o workspace. Crie regras de alerta com base nessa tabela para serem notificadas proativamente quando ocorrer um problema operacional. Você pode usar alertas recomendados para o workspace para simplificar a criação das regras de alerta mais críticas.
Verifique se você tem um processo operacional bem definido para a segregação de dados. Você pode ter requisitos diferentes para diferentes tipos de dados armazenados em seu workspace. Verifique se você entendeu claramente esses requisitos, como retenção e segurança de dados, ao criar sua estratégia de workspace e definir configurações como permissões e retenção de longo prazo. Você também deve ter um processo claramente definido para ocasionalmente limpar dados com informações pessoais coletadas acidentalmente.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho para atender às demandas exigidas pelos usuários de maneira eficiente. Use as informações a seguir para garantir que os workspaces do Log Analytics e as consultas de log estejam configurados para o desempenho máximo.

Lista de verificação de projeto

  • Configure a auditoria de consulta de log e use os insights do workspace do Log Analytics para identificar consultas lentas e ineficientes.

Recomendações de configuração

Recomendação Benefício
Configure a auditoria de consulta de log e use os insights do workspace do Log Analytics para identificar consultas lentas e ineficientes. A auditoria de consulta de log armazena o tempo de computação necessário para executar cada consulta e o tempo até que os resultados sejam retornados. Os insights do workspace do Log Analytics usam esses dados para listar consultas potencialmente ineficientes em seu workspace. Considere reescrever essas consultas para melhorar seu desempenho. Consulte Otimizar consultas de log no Azure Monitor para obter diretrizes sobre como otimizar suas consultas de log.

Próxima etapa