Partilhar via

Práticas recomendadas para logs do Azure Monitor

  • Artigo

Este artigo fornece práticas recomendadas de arquitetura para os Logs do Azure Monitor. As orientações baseiam-se nos cinco pilares de excelência da arquitetura descritos no Azure Well-Architected Framework.

Fiabilidade

A fiabilidade refere-se à capacidade de um sistema recuperar de falhas e continuar a funcionar. O objetivo é minimizar os efeitos de um único componente com falha. Use as informações a seguir para minimizar a falha de seus espaços de trabalho do Log Analytics e proteger os dados coletados.

Os espaços de trabalho do Log Analytics oferecem um alto grau de confiabilidade. O pipeline de ingestão, que envia os dados coletados para o espaço de trabalho do Log Analytics, valida que o espaço de trabalho do Log Analytics processa com êxito cada registro de log antes de remover o registro do pipe. Se o pipeline de ingestão não estiver disponível, os agentes que enviam o buffer de dados e tentam enviar novamente os logs por muitas horas.

Recursos do Azure Monitor Logs que melhoram a resiliência

Os Logs do Azure Monitor oferecem vários recursos que melhoram a resiliência dos espaços de trabalho a vários tipos de problemas. Você pode usar esses recursos individualmente ou em combinação, dependendo de suas necessidades.

Este vídeo fornece uma visão geral das opções de confiabilidade e resiliência disponíveis para espaços de trabalho do Log Analytics:

Proteção na região usando zonas de disponibilidade

Cada região do Azure que dá suporte a zonas de disponibilidade tem um conjunto de datacenters equipados com infraestrutura independente de energia, resfriamento e rede.

As zonas de disponibilidade dos Logs do Azure Monitor são redundantes, o que significa que a Microsoft distribui solicitações de serviço e replica dados em diferentes zonas em regiões com suporte. Se um incidente afetar uma zona, a Microsoft usará uma zona de disponibilidade diferente na região, automaticamente. Você não precisa tomar nenhuma medida porque alternar entre zonas é perfeito.

Na maioria das regiões, as zonas de disponibilidade dos Logs do Azure Monitor oferecem suporte à resiliência de dados, o que significa que seus dados armazenados estão protegidos contra perda de dados relacionada a falhas zonais, mas as operações de serviço ainda podem ser afetadas por incidentes regionais. Se o serviço não conseguir executar consultas, você não poderá exibir os logs até que o problema seja resolvido.

Um subconjunto das zonas de disponibilidade que dão suporte à resiliência de dados também dá suporte à resiliência do serviço, o que significa que as operações do serviço Azure Monitor Logs - por exemplo, ingestão de logs, consultas e alertas - podem continuar no caso de uma falha de zona.

As zonas de disponibilidade protegem contra incidentes relacionados à infraestrutura, como falhas de armazenamento. Eles não protegem contra problemas no nível do aplicativo, como implantações de código defeituosas ou falhas de certificado, que afetam toda a região.

Backup de dados de tabelas específicas usando exportação contínua

Você pode exportar continuamente dados enviados para tabelas específicas em seu espaço de trabalho do Log Analytics para contas de armazenamento do Azure.

A conta de armazenamento para a qual você exporta dados deve estar na mesma região do espaço de trabalho do Log Analytics. Para proteger e ter acesso aos logs ingeridos, mesmo que a região do espaço de trabalho esteja inativa, use uma conta de armazenamento com redundância geográfica, conforme explicado em Recomendações de configuração.

O mecanismo de exportação não fornece proteção contra incidentes que afetem o pipeline de ingestão ou o próprio processo de exportação.

Nota

Você pode acessar dados em uma conta de armazenamento dos Logs do Azure Monitor usando o operador externaldata. No entanto, os dados exportados são armazenados em blobs de cinco minutos e a análise de dados abrangendo vários blobs pode ser complicada. Portanto, exportar dados para uma conta de armazenamento é um bom mecanismo de backup de dados, mas ter os dados de backup em uma conta de armazenamento não é ideal se você precisar deles para análise nos Logs do Azure Monitor. Você pode consultar grandes volumes de dados de blob usando o Azure Data Explorer, o Azure Data Factory ou qualquer outra ferramenta de acesso ao armazenamento.

Proteção de dados entre regiões e resiliência de serviços usando replicação de espaço de trabalho (visualização)

A replicação de espaço de trabalho (visualização) é a solução de resiliência mais extensa, pois replica o espaço de trabalho do Log Analytics e os logs de entrada para outra região.

A replicação do espaço de trabalho protege seus logs e as operações de serviço e permite que você continue monitorando seus sistemas no caso de incidentes relacionados à infraestrutura ou ao aplicativo em toda a região.

Em contraste com as zonas de disponibilidade, que a Microsoft gerencia de ponta a ponta, você precisa monitorar a integridade do espaço de trabalho principal e decidir quando alternar para o espaço de trabalho na região secundária e vice-versa.

Lista de verificação de estruturação

  • Para garantir a resiliência do serviço e dos dados a incidentes em toda a região, habilite a replicação do espaço de trabalho.
  • Para garantir a proteção na região contra falhas no datacenter, crie seu espaço de trabalho em uma região que ofereça suporte a zonas de disponibilidade.
  • Para backup inter-regional de dados em tabelas específicas, use o recurso de exportação contínua para enviar dados para uma conta de armazenamento replicada geograficamente.
  • Monitore a integridade de seus espaços de trabalho do Log Analytics.

Recomendações de configuração

Recomendação Benefício
Para garantir o maior grau de resiliência, habilite a replicação do espaço de trabalho. Resiliência inter-regional para dados de espaço de trabalho e operações de serviço.

A replicação do espaço de trabalho (visualização) garante alta disponibilidade criando uma instância secundária do seu espaço de trabalho em outra região e ingerindo seus logs em ambos os espaços de trabalho.

Quando necessário, alterne para o espaço de trabalho secundário até que os problemas que afetam o espaço de trabalho principal sejam resolvidos. Você pode continuar ingerindo logs, consultando dados, usando painéis, alertas e o Sentinel em seu espaço de trabalho secundário. Você também tem acesso aos logs ingeridos antes da mudança de região.

Este é um recurso pago, portanto, considere se deseja replicar todos os seus logs de entrada ou apenas alguns fluxos de dados.
Se possível, crie seu espaço de trabalho em uma região que ofereça suporte à resiliência do serviço do Azure Monitor. Resiliência na região dos dados do espaço de trabalho e das operações de serviço em caso de problemas com o datacenter.

As zonas de disponibilidade que suportam a resiliência do serviço também suportam a resiliência dos dados. Isso significa que, mesmo que um datacenter inteiro fique indisponível, a redundância entre zonas permite que as operações de serviço do Azure Monitor, como ingestão e consulta, continuem a funcionar e seus logs ingeridos permaneçam disponíveis.

As zonas de disponibilidade fornecem proteção na região, mas não protegem contra problemas que afetam toda a região.

Para obter informações sobre quais regiões oferecem suporte à resiliência de dados, consulte Aprimorar a resiliência de dados e serviços em Logs do Azure Monitor com zonas de disponibilidade.
Crie seu espaço de trabalho em uma região que ofereça suporte à resiliência de dados. Proteção na região contra perda de logs em seu espaço de trabalho em caso de problemas com o datacenter.

Criar seu espaço de trabalho em uma região que ofereça suporte à resiliência de dados significa que, mesmo que todo o datacenter fique indisponível, seus logs ingeridos estarão seguros.
Se o serviço não conseguir executar consultas, você não poderá exibir os logs até que o problema seja resolvido.

Para obter informações sobre quais regiões oferecem suporte à resiliência de dados, consulte Aprimorar a resiliência de dados e serviços em Logs do Azure Monitor com zonas de disponibilidade.
Configure a exportação de dados de tabelas específicas para uma conta de armazenamento replicada entre regiões. Mantenha uma cópia de backup dos dados de log em uma região diferente.

O recurso de exportação de dados do Azure Monitor permite exportar continuamente dados enviados para tabelas específicas para o armazenamento do Azure, onde podem ser retidos por períodos prolongados. Use uma conta de armazenamento com redundância geográfica (GRS) ou armazenamento com redundância geográfica (GZRS) para manter seus dados seguros, mesmo que uma região inteira fique indisponível. Para tornar seus dados legíveis de outras regiões, configure sua conta de armazenamento para acesso de leitura à região secundária. Para obter mais informações, consulte Redundância do Armazenamento do Azure em uma região secundária e Acesso de leitura do Armazenamento do Azure aos dados na região secundária.

Para tabelas que não oferecem suporte à exportação contínua de dados, você pode usar outros métodos de exportação de dados, incluindo Aplicativos Lógicos, para proteger seus dados. Esta é principalmente uma solução para atender à conformidade para retenção de dados, uma vez que os dados podem ser difíceis de analisar e restaurar para o espaço de trabalho.

A exportação de dados é suscetível a incidentes regionais porque depende da estabilidade do pipeline de ingestão do Azure Monitor em sua região. Ele não fornece resiliência contra incidentes que afetam o pipeline de ingestão regional.
Monitore a integridade de seus espaços de trabalho do Log Analytics. Use as informações do espaço de trabalho do Log Analytics para rastrear consultas com falha e criar um alerta de status de integridade para notificá-lo proativamente se um espaço de trabalho ficar indisponível devido a uma falha regional ou de datacenter.

Comparar os recursos de resiliência do Azure Monitor Logs

Caraterística Resiliência do serviço Backup de dados Elevada disponibilidade Âmbito da proteção Configurar Custo
Replicação de espaço de trabalho Proteção entre regiões contra incidentes em toda a região Habilite a replicação do espaço de trabalho e das regras de coleta de dados relacionadas. Alterne entre regiões conforme necessário. Com base no número de GBs replicados e região.
Zonas de disponibilidade
Em regiões suportadas		 Proteção na região contra problemas de datacenter Ativado automaticamente em regiões suportadas. Sem custos
Exportação de dados contínua Proteção contra perda de dados devido a uma falha regional 1 Ativar por tabela. Custo de exportação de dados + Blob de armazenamento ou Hubs de Eventos

1 A exportação de dados fornece proteção entre regiões se você exportar logs para uma conta de armazenamento replicada geograficamente. No caso de um incidente, os dados exportados anteriormente são copiados e prontamente disponíveis; no entanto, outras exportações podem falhar, dependendo da natureza do incidente.

Segurança

A segurança é um dos aspetos mais importantes de qualquer arquitetura. O Azure Monitor fornece recursos para empregar o princípio de menor privilégio e defesa profunda. Use as informações a seguir para maximizar a segurança de seus espaços de trabalho do Log Analytics e garantir que apenas usuários autorizados acessem os dados coletados.

Lista de verificação de estruturação

  • Determine se deseja combinar seus dados operacionais e seus dados de segurança no mesmo espaço de trabalho do Log Analytics.
  • Configure o acesso para diferentes tipos de dados no espaço de trabalho necessário para diferentes funções em sua organização.
  • Considere usar o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas.
  • Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho.
  • Exporte dados de auditoria para retenção ou imutabilidade de longo prazo.
  • Configure a auditoria de consulta de log para controlar quais usuários estão executando consultas.
  • Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu espaço de trabalho.
  • Limpe dados confidenciais que foram coletados acidentalmente.
  • Habilite o Customer Lockbox for Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft.

Recomendações de configuração

Recomendação Benefício
Determine se deseja combinar seus dados operacionais e seus dados de segurança no mesmo espaço de trabalho do Log Analytics. A sua decisão de combinar ou não estes dados depende dos seus requisitos de segurança específicos. Combiná-los em um único espaço de trabalho oferece melhor visibilidade de todos os seus dados, embora sua equipe de segurança possa precisar de um espaço de trabalho dedicado. Consulte Projetar uma estratégia de espaço de trabalho do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.

Compensação: há implicações de custo potenciais para habilitar o Sentinel em seu espaço de trabalho. Veja detalhes em Criar uma arquitetura de espaço de trabalho do Log Analytics.
Configure o acesso para diferentes tipos de dados no espaço de trabalho necessário para diferentes funções em sua organização. Defina o modo de controle de acesso para o espaço de trabalho como Usar permissões de recurso ou espaço de trabalho para permitir que os proprietários de recursos usem o contexto de recursos para acessar seus dados sem receber acesso explícito ao espaço de trabalho. Isso simplifica a configuração do espaço de trabalho e ajuda a garantir que os usuários não possam acessar dados que não deveriam.

Atribua a função interna apropriada para conceder permissões de espaço de trabalho aos administradores no nível de assinatura, grupo de recursos ou espaço de trabalho, dependendo do escopo de suas responsabilidades.

Aproveite o RBAC no nível da tabela para usuários que precisam de acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso.

Consulte Gerenciar acesso a espaços de trabalho do Log Analytics para obter detalhes sobre as diferentes opções para conceder acesso aos dados no espaço de trabalho.
Considere usar o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas. As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que os recursos se conectem ao seu espaço de trabalho do Log Analytics por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do espaço de trabalho por meio da Rota Expressa ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor topologia de rede e DNS para seu ambiente.
Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho. O Azure Monitor assegura que todos os dados e consultas guardadas são encriptados em suportes digitais mediante a utilização de chaves geridas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use a chave gerenciada pelo cliente para maior flexibilidade e controle do ciclo de vida da chave. Se você usa o Microsoft Sentinel, certifique-se de que está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel.
Exporte dados de auditoria para retenção ou imutabilidade de longo prazo. Você pode ter coletado dados de auditoria em seu espaço de trabalho que estão sujeitos a regulamentações que exigem sua retenção de longo prazo. Os dados em um espaço de trabalho do Log Analytics não podem ser alterados, mas podem ser limpos. Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure com políticas de imutabilidade para proteger contra adulteração de dados. Nem todos os tipos de logs têm a mesma relevância para conformidade, auditoria ou segurança, portanto, determine os tipos de dados específicos que devem ser exportados.
Configure a auditoria de consulta de log para controlar quais usuários estão executando consultas. A auditoria de consulta de log registra os detalhes de cada consulta executada em um espaço de trabalho. Trate esses dados de auditoria como dados de segurança e proteja a tabela LAQueryLogs adequadamente. Configure os logs de auditoria para cada espaço de trabalho a ser enviado para o espaço de trabalho local ou consolide em um espaço de trabalho de segurança dedicado se você separar seus dados operacionais e de segurança. Use as informações do espaço de trabalho do Log Analytics para revisar periodicamente esses dados e considere a criação de regras de alerta de pesquisa de log para notificá-lo proativamente se usuários não autorizados estiverem tentando executar consultas.
Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu espaço de trabalho. Você pode estar coletando dados que incluem informações confidenciais. Filtre registros que não devem ser coletados usando a configuração para a fonte de dados específica. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas.

Se você tiver padrões que exijam que os dados originais não sejam modificados, poderá usar o literal 'h' nas consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho.
Limpe dados confidenciais que foram coletados acidentalmente. Verifique periodicamente se há dados privados que possam ter sido coletados acidentalmente em seu espaço de trabalho e use a limpeza de dados para removê-los.
Habilite o Customer Lockbox for Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft. O Customer Lockbox for Microsoft Azure fornece uma interface para revisar e aprovar ou rejeitar solicitações de acesso a dados do cliente. É utilizado nos casos em que um engenheiro da Microsoft necessita de aceder a dados de clientes, seja em resposta a um pedido de suporte iniciado pelo cliente ou um problema identificado pela Microsoft. Para habilitar o Customer Lockbox, você precisa de um cluster dedicado.
Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar.

Otimização de custos

A otimização de custos refere-se a formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Você pode reduzir significativamente seu custo para o Azure Monitor entendendo suas diferentes opções de configuração e oportunidades para reduzir a quantidade de dados que ele coleta. Consulte Custo e utilização do Azure Monitor para compreender as diferentes formas como o Azure Monitor cobra e como ver a sua fatura mensal.

Nota

Consulte Otimizar custos no Azure Monitor para obter recomendações de otimização de custos em todos os recursos do Azure Monitor.

Lista de verificação de estruturação

  • Determine se deseja combinar seus dados operacionais e seus dados de segurança no mesmo espaço de trabalho do Log Analytics.
  • Configure a camada de preços para a quantidade de dados que cada espaço de trabalho do Log Analytics normalmente coleta.
  • Configure a retenção e o arquivamento de dados.
  • Configure tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos.
  • Limite a coleta de dados de fontes de dados para o espaço de trabalho.
  • Analise regularmente os dados recolhidos para identificar tendências e anomalias.
  • Crie um alerta quando a coleta de dados for alta.
  • Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento específico.
  • Configure alertas nas recomendações de custo do Azure Advisor para espaços de trabalho do Log Analytics.

Recomendações de configuração

Recomendação Benefício
Determine se deseja combinar seus dados operacionais e seus dados de segurança no mesmo espaço de trabalho do Log Analytics. Como todos os dados em um espaço de trabalho do Log Analytics estão sujeitos aos preços do Microsoft Sentinel se o Sentinel estiver habilitado, pode haver implicações de custo na combinação desses dados. Consulte Projetar uma estratégia de espaço de trabalho do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.
Configure a camada de preços para a quantidade de dados que cada espaço de trabalho do Log Analytics normalmente coleta. Por padrão, os espaços de trabalho do Log Analytics usarão preços pré-pagos sem volume mínimo de dados. Se você coletar dados suficientes, poderá diminuir significativamente seu custo usando uma camada de compromisso, que permite que você se comprometa com um mínimo diário de dados coletados em troca de uma taxa mais baixa. Se você coletar dados suficientes entre espaços de trabalho em uma única região, poderá vinculá-los a um cluster dedicado e combinar o volume coletado usando preços de cluster.

Consulte Logs do Azure Monitor, cálculos de custo e opções para obter detalhes sobre camadas de compromisso e orientação sobre como determinar qual é mais apropriado para seu nível de uso. Consulte Utilização e custos estimados para ver os custos estimados para a sua utilização em diferentes níveis de preços.
Configure a retenção de dados interativa e de longo prazo. Há uma cobrança para reter dados em um espaço de trabalho do Log Analytics além do padrão de 31 dias (90 dias se o Sentinel estiver habilitado no espaço de trabalho e 90 dias para dados do Application Insights). Considere seus requisitos específicos para ter dados prontamente disponíveis para consultas de log. Você pode reduzir significativamente seu custo configurando a retenção de longo prazo, o que permite reter dados por até doze anos e ainda acessá-los ocasionalmente usando trabalhos de pesquisa ou restaurando um conjunto de dados para o espaço de trabalho.
Configure tabelas usadas para depuração, solução de problemas e auditoria como Logs Básicos. As tabelas em um espaço de trabalho do Log Analytics configurado para Logs Básicos têm um custo de ingestão mais baixo em troca de recursos limitados e uma cobrança por consultas de log. Se você consultar essas tabelas com pouca frequência e não usá-las para alertas, esse custo de consulta poderá ser mais do que compensado pelo custo de ingestão reduzido.
Limite a coleta de dados de fontes de dados para o espaço de trabalho. O principal fator para o custo do Azure Monitor é a quantidade de dados que você coleta em seu espaço de trabalho do Log Analytics, portanto, você deve garantir que não colete mais dados necessários para avaliar a integridade e o desempenho de seus serviços e aplicativos. Consulte Projetar uma arquitetura de espaço de trabalho do Log Analytics para obter detalhes sobre como tomar essa decisão para seu ambiente, equilibrando-a com critérios em outros pilares.

Compensação: Pode haver uma compensação entre o custo e seus requisitos de monitoramento. Por exemplo, você pode ser capaz de detetar um problema de desempenho mais rapidamente com uma alta taxa de amostragem, mas talvez queira uma taxa de amostragem mais baixa para economizar custos. A maioria dos ambientes tem várias fontes de dados com diferentes tipos de coleta, portanto, você precisa equilibrar seus requisitos específicos com suas metas de custo para cada um. Consulte Otimização de custos no Azure Monitor para obter recomendações sobre como configurar a coleta para diferentes fontes de dados.
Analise regularmente os dados recolhidos para identificar tendências e anomalias. Use as informações do espaço de trabalho do Log Analytics para revisar periodicamente a quantidade de dados coletados em seu espaço de trabalho. Além de ajudá-lo a entender a quantidade de dados coletados por diferentes fontes, ele identificará anomalias e tendências ascendentes na coleta de dados que podem resultar em custo excessivo. Analise ainda mais a coleta de dados usando métodos no espaço de trabalho Analisar uso no Log Analytics para determinar se há configuração adicional que possa diminuir ainda mais seu uso. Isso é particularmente importante quando você adiciona um novo conjunto de fontes de dados, como um novo conjunto de máquinas virtuais ou integra um novo serviço.
Crie um alerta quando a coleta de dados for alta. Para evitar faturas inesperadas, deve ser notificado proativamente sempre que tiver uma utilização excessiva. A notificação permite-lhe resolver quaisquer anomalias potenciais antes do final do seu período de faturação.
Considere um limite diário como uma medida preventiva para garantir que você não exceda um orçamento específico. Um limite diário desativa a coleta de dados em um espaço de trabalho do Log Analytics pelo resto do dia após o limite configurado ser atingido. Isso não deve ser usado como um método para reduzir custos, conforme descrito em Quando usar uma tampa diária.

Se você definir um limite diário, além de criar um alerta quando o limite for atingido, certifique-se de criar também uma regra de alerta para ser notificado quando alguma porcentagem for atingida (90%, por exemplo). Isso lhe dá a oportunidade de investigar e abordar a causa do aumento de dados antes que o limite interrompa a coleta de dados.
Configure alertas nas recomendações de custo do Azure Advisor para espaços de trabalho do Log Analytics. As recomendações do Azure Advisor para espaços de trabalho do Log Analytics alertam proativamente quando há uma oportunidade de otimizar seus custos. Crie alertas do Azure Advisor para estas recomendações de custo:
  • Considere configurar o plano de logs básicos econômico em tabelas selecionadas - Identificamos a ingestão de mais de 1 GB por mês para tabelas qualificadas para o plano de dados de log básico de baixo custo. O plano de log básico oferece recursos de consulta para depuração e solução de problemas a um custo mais baixo.
  • Considere alterar o nível de preço- Com base no seu volume de uso atual, investigue a alteração do nível de preços (Compromisso) para receber um desconto e reduzir custos.
  • Considere remover tabelas restauradas não utilizadas - Você tem uma ou mais tabelas com dados restaurados ativos em seu espaço de trabalho. Se você não estiver mais usando dados restaurados, exclua a tabela para evitar cobranças desnecessárias.
  • Dados de anomalia de ingestão foram detetados - Identificamos uma taxa de ingestão muito maior na última semana, com base na sua ingestão nas três semanas anteriores. Tome nota desta alteração e da alteração esperada nos seus custos.
Você também pode exibir as recomendações geradas automaticamente selecionando Recomendações de visão geral>ou Recomendações do Consultor no menu de recursos do espaço de trabalho do Log Analytics.

Excelência operacional

A excelência operacional refere-se aos processos operacionais necessários para manter um serviço funcionando de forma confiável na produção. Use as informações a seguir para minimizar os requisitos operacionais para dar suporte a espaços de trabalho do Log Analytics.

Lista de verificação de estruturação

  • Projete uma arquitetura de espaço de trabalho com o número mínimo de espaços de trabalho para atender às suas necessidades de negócios.
  • Use a infraestrutura como código (IaC) ao gerenciar vários espaços de trabalho.
  • Use as informações do espaço de trabalho do Log Analytics para acompanhar a integridade e o desempenho dos espaços de trabalho do Log Analytics.
  • Crie regras de alerta para ser notificado proativamente sobre problemas operacionais no espaço de trabalho.
  • Certifique-se de ter um processo operacional bem definido para segregação de dados.

Recomendações de configuração

Recomendação Benefício
Projete uma estratégia de espaço de trabalho para atender às suas necessidades de negócios. Consulte Criar uma arquitetura de espaço de trabalho do Log Analytics para obter orientação sobre como projetar uma estratégia para seus espaços de trabalho do Log Analytics, incluindo quantos criar e onde colocá-los.

Um único ou pelo menos um número mínimo de espaços de trabalho maximizará sua eficiência operacional, uma vez que limita a distribuição de seus dados operacionais e de segurança, aumentando sua visibilidade de possíveis problemas, tornando os padrões mais fáceis de identificar e minimizando seus requisitos de manutenção.

Você pode ter requisitos para vários espaços de trabalho, como vários locatários, ou pode precisar de espaços de trabalho em várias regiões para dar suporte aos seus requisitos de disponibilidade. Nesses casos, certifique-se de ter os processos apropriados para gerenciar essa complexidade aumentada.
Use a infraestrutura como código (IaC) ao gerenciar vários espaços de trabalho. Use Infraestrutura como Código (IaC) para definir os detalhes de seus espaços de trabalho em ARM, BICEP ou Terraform. Isso permite que você aproveite seus processos de DevOps existentes para implantar novos espaços de trabalho e a Política do Azure para impor sua configuração.
Use as informações do espaço de trabalho do Log Analytics para acompanhar a integridade e o desempenho dos espaços de trabalho do Log Analytics. As informações do espaço de trabalho do Log Analytics fornecem uma visão unificada do uso, desempenho, integridade, agentes, consultas e log de alterações de todos os seus espaços de trabalho. Revise essas informações regularmente para acompanhar a integridade e a operação de cada um dos seus espaços de trabalho.
Crie regras de alerta para ser notificado proativamente sobre problemas operacionais no espaço de trabalho. Cada espaço de trabalho tem uma tabela de operações que registra atividades importantes que afetam o espaço de trabalho. Crie regras de alerta com base nesta tabela para ser notificado proativamente quando ocorrer um problema operacional. Você pode usar alertas recomendados para o espaço de trabalho para simplificar a criação das regras de alerta mais críticas.
Certifique-se de ter um processo operacional bem definido para segregação de dados. Você pode ter requisitos diferentes para diferentes tipos de dados armazenados em seu espaço de trabalho. Certifique-se de entender claramente os requisitos de retenção e segurança de dados ao projetar sua estratégia de espaço de trabalho e definir configurações, como permissões e retenção de longo prazo. Você também deve ter um processo claramente definido para ocasionalmente limpar dados com informações pessoais coletadas acidentalmente.

Eficiência de desempenho

Eficiência de desempenho é a capacidade de sua carga de trabalho de escalar para atender às demandas colocadas pelos usuários de maneira eficiente. Use as informações a seguir para garantir que seus espaços de trabalho e consultas de log do Log Analytics estejam configurados para obter o máximo desempenho.

Lista de verificação de estruturação

  • Configure a auditoria de consulta de log e use as informações do espaço de trabalho do Log Analytics para identificar consultas lentas e ineficientes.

Recomendações de configuração

Recomendação Benefício
Configure a auditoria de consulta de log e use as informações do espaço de trabalho do Log Analytics para identificar consultas lentas e ineficientes. A auditoria de consulta de log armazena o tempo de computação necessário para executar cada consulta e o tempo até que os resultados sejam retornados. O Log Analytics workspace insights usa esses dados para listar consultas potencialmente ineficientes em seu espaço de trabalho. Considere reescrever essas consultas para melhorar seu desempenho. Consulte Otimizar consultas de log no Azure Monitor para obter orientação sobre como otimizar suas consultas de log.

Próximo passo