Design para espaços de trabalho do Azure Monitor Logs (Log Analytics)

Concluído

O Azure Monitor armazena dados de log em um espaço de trabalho de Logs do Azure Monitor (Log Analytics). Um espaço de trabalho é um recurso do Azure que serve como um limite administrativo ou localização geográfica para armazenamento de dados. O espaço de trabalho também é um contêiner onde você coleta e agrega dados.

Embora você possa implantar um ou mais espaços de trabalho em sua assinatura do Azure, você deve garantir que sua implantação inicial siga as diretrizes da Microsoft. O espaço de trabalho deve fornecer uma implantação econômica, gerenciável e escalável que atenda às necessidades da sua organização.

Coisas a saber sobre os espaços de trabalho do Azure Monitor Logs

Analise essas características dos espaços de trabalho do Azure Monitor Logs e considere como eles podem contribuir para sua solução de monitoramento para Tailwind Traders.

  • Em um espaço de trabalho, você pode isolar dados concedendo direitos de acesso a diferentes usuários seguindo as estratégias de design recomendadas pela Microsoft.

  • Os dados em um espaço de trabalho de Logs do Azure Monitor são organizados em tabelas. Cada tabela armazena diferentes tipos de dados e tem o seu próprio conjunto exclusivo de propriedades com base no recurso que está a gerar os dados. A maioria das fontes de dados grava em suas próprias tabelas em um espaço de trabalho de Logs do Azure Monitor.

  • Um espaço de trabalho permite que você defina configurações como camada de preço, retenção e limite de dados com base em limites administrativos ou localizações geográficas.

  • Com o controle de acesso baseado em função do Azure (Azure RBAC), você pode conceder aos usuários e grupos apenas a quantidade de acesso necessária para trabalhar com dados de monitoramento em um espaço de trabalho. Você pode alinhar o controle de acesso do usuário com o modelo operacional da sua organização de TI usando um único espaço de trabalho para armazenar os dados coletados habilitados em todos os recursos.

  • Os espaços de trabalho são hospedados em clusters físicos. Por padrão, o sistema cria e gerencia esses clusters. Se o seu sistema ingere mais de 500 GB de dados por dia, você cria seus próprios clusters dedicados para seus espaços de trabalho para oferecer suporte a maior controle e maior taxa de ingestão.

Coisas a considerar ao usar espaços de trabalho do Azure Monitor Logs

Agora você está pronto para analisar as considerações para projetar com espaços de trabalho do Azure Monitor Logs na arquitetura Tailwind Traders.

  • Considere sua estratégia de controle de acesso. Ao planejar quantos espaços de trabalho usar na organização Tailwind Traders, considere estes requisitos potenciais:

    • A sua organização é uma empresa global? Você precisa de dados de log armazenados em regiões específicas por motivos de soberania ou conformidade de dados?
    • Sua arquitetura usa o Azure? Deseja evitar cobranças de transferência de dados de saída tendo um espaço de trabalho na mesma região que os recursos do Azure que ele gerencia?
    • O sistema suporta vários departamentos ou grupos empresariais? Cada grupo deve aceder aos seus dados e não aos dados de outros. Além disso, não há nenhum requisito comercial para uma visão consolidada entre departamentos ou grupos de negócios.
  • Considere as opções do modelo de implantação. A maioria das organizações de TI usa um modelo centralizado, descentralizado ou híbrido para sua arquitetura. Considere estes modelos comuns de implantação de espaço de trabalho e como eles podem funcionar para a organização Tailwind Traders:

    Implementação Description
    Centralizado Todos os logs são armazenados em um espaço de trabalho central e administrados por uma única equipe. O Azure Monitor fornece acesso diferenciado por equipe. Nesse cenário, é fácil gerenciar, pesquisar entre recursos e correlacionar logs. O espaço de trabalho pode crescer significativamente dependendo da quantidade de dados coletados de vários recursos em sua assinatura. É necessária uma sobrecarga administrativa adicional para manter o controlo de acesso a diferentes utilizadores. Este modelo é conhecido como hub and spoke.
    Descentralizado Cada equipe tem seu próprio espaço de trabalho criado em um grupo de recursos que possui e gerencia. Os dados de log são segregados por recurso. Nesse cenário, o espaço de trabalho pode ser mantido seguro e o controle de acesso é consistente com o acesso aos recursos. Uma desvantagem deste módulo é que pode ser difícil correlacionar logs. Os usuários que precisam de uma visão ampla de muitos recursos não podem analisar os dados de forma significativa.
    Híbrida Uma abordagem híbrida pode complicar os requisitos de conformidade da auditoria de segurança. Muitas organizações implementam ambos os modelos de implantação em paralelo. O design híbrido geralmente resulta em uma configuração complexa, cara e difícil de manter com lacunas na cobertura de registros.
  • Considere o modo de acesso. Planeje como seus usuários podem acessar os espaços de trabalho do Azure Monitor Logs e defina o escopo dos dados que eles podem acessar. Os usuários do Tailwind Traders têm duas opções para acessar seus dados:

    Modo de acesso Description
    Contexto do espaço de trabalho Um usuário pode revisar todos os logs no espaço de trabalho para o qual ele tem permissão. As consultas têm como escopo todos os dados em todas as tabelas no espaço de trabalho. Os logs são acessados com o espaço de trabalho como escopo, selecionando Logs no menu Azure Monitor no portal do Azure.
    Contexto de recursos Um usuário acessa o espaço de trabalho de um determinado recurso, grupo de recursos ou assinatura. Ao selecionar Logs em um menu de recursos no portal do Azure, eles podem exibir logs apenas para recursos em todas as tabelas às quais têm acesso. As consultas ficam limitadas apenas aos dados associados a esse recurso. Esse modo também habilita o RBAC granular do Azure.
  • Considere o RBAC do Azure e os espaços de trabalho. Controle quais usuários têm acesso a quais recursos de acordo com suas associações de espaço de trabalho. Você pode conceder acesso à equipe responsável pelos serviços de infraestrutura do Tailwind Traders hospedados nas Máquinas Virtuais do Azure. Você pode dar à equipe acesso apenas aos logs gerados pelas Máquinas Virtuais. Essa abordagem segue o novo modelo de log de contexto de recurso. A base para esse modelo é para cada registro de log emitido por um recurso do Azure. Os logs são encaminhados para um espaço de trabalho central que respeita o escopo e o RBAC do Azure com base nos recursos.

  • Considere a escala e o limite da taxa de volume de ingestão. O Azure Monitor é um serviço de dados de alta escala que serve milhares de clientes que enviam petabytes de dados todos os meses a um ritmo crescente. Os espaços de trabalho não são limitados em seu espaço de armazenamento e podem crescer para petabytes de dados. Não há necessidade de dividir espaços de trabalho devido à escala.

Recomendações

Ao considerar suas opções para implementar espaços de trabalho e controle de acesso do Azure Monitor Logs em sua solução de monitoramento e registro, revise essas recomendações. Este cenário mostra um design recomendado para um único espaço de trabalho na assinatura da sua organização de TI.

Diagrama que mostra como projetar uma implantação do Azure Monitor Logs.

O espaço de trabalho não requer soberania de dados ou conformidade regulamentar. O espaço de trabalho não precisa mapear para as regiões onde seus recursos são implantados. As equipas de segurança e administração de TI da sua organização podem tirar partido da integração melhorada com a gestão de acessos do Azure e de um controlo de acesso mais seguro.

Todos os recursos, soluções de monitoramento e informações, como o Application Insights e o insight de máquina virtual, são configurados para encaminhar seus dados de log coletados para o espaço de trabalho compartilhado centralizado da organização de TI. Os dados de log da infraestrutura de suporte e dos aplicativos mantidos por diferentes equipes também são enviados para o espaço de trabalho compartilhado centralizado.

Os usuários de cada equipe recebem acesso aos logs dos recursos aos quais têm acesso.

Depois de implantar sua arquitetura de espaço de trabalho, você pode impor esse mesmo modelo nos recursos do Azure com a Política do Azure. Você pode definir políticas e garantir a conformidade com seus recursos do Azure, para que eles enviem todos os seus logs de recursos para um espaço de trabalho específico. Usando Máquinas Virtuais do Azure ou Conjuntos de Dimensionamento de Máquinas Virtuais, você pode usar políticas existentes que avaliam a conformidade do espaço de trabalho e os resultados do relatório, ou personalizar para corrigir se não estiverem em conformidade.