Azure 監視器記錄 (Log Analytics) 工作區的設計

  • 6 分鐘

Azure 監視器會將記錄資料儲存在 Azure 監視器記錄 (Log Analytics) 工作區中。 工作區是 Azure 資源,可作為資料儲存體的管理界限或地理位置。 工作區也是您收集和彙總資料的容器。

雖然您可在 Azure 訂用帳戶中部署一或多個工作區,但您應該確保初始部署遵循 Microsoft 指導方針。 工作區應提供符合成本效益、可管理且可調整的部署來符合您的組織需求。

關於 Azure 監視器記錄工作區的須知事項

檢閱 Azure 監視器記錄工作區的下列特性,並考慮這些特性對於 Tailwind Traders 的監視解決方案有何貢獻。

  • 在工作區中,您可以遵循 Microsoft 建議的設計策略,授與不同的使用者存取權限來隔離資料。

  • Azure 監視器記錄工作區中的資料會組織成資料表。 每個資料表都會儲存不同類型的資料,並根據產生資料的資源,擁有自己的唯一屬性集。 大部分資料來源都會寫入至 Azure 監視器記錄工作區中的專屬資料表。

  • 工作區可讓您根據管理界限或地理位置來設定定價層保留和資料上限等設定。

  • 透過 Azure 角色型存取控制 (Azure RBAC),您可以只授與使用者和群組在工作區中使用監視資料所需的存取量。 您可以使用單一工作區來儲存在所有資源上啟用的收集資料,以根據您的 IT 組織作業模型來調整使用者存取控制。

  • 工作區裝載於實體叢集上。 根據預設,系統會建立和管理這些叢集。 如果您的系統每天擷取超過 500 GB 的資料,您可以為工作區建立自己的專用叢集,以支援更佳的控制能力和更高的擷取速率。

使用 Azure 監視器記錄工作區時要考慮的事項

現在您已準備好檢閱 Tailwind Traders 架構中 Azure 監視器記錄工作區的設計考量。

  • 考慮您的存取控制策略。 當您規劃在 Tailwind Traders 組織中使用多少工作區時,請考慮下列潛在需求:

    • 您的組織是否為全球性公司? 您是否需要基於資料主權或合規性理由,將記錄資料儲存在特定區域?
    • 您的架構是否使用 Azure? 您是否想要將工作區和其所管理的 Azure 資源放在相同區域中,以避免輸出資料傳輸費用?
    • 系統是否支援多個部門或事業群? 每個群組都應該存取自己的資料,而不應該存取其他人的資料。 此外,沒有跨部門或事業群合併檢視的業務需求。

  • 考慮部署模型選項。 大多數 IT 組織會針對其架構使用集中式、分散式或混合式模型。 請考慮這些常見的工作區部署模型,以及其如何用於 Tailwind Traders 組織:

    部署 描述
    集中式 所有記錄都會儲存在中央工作區中並由單一小組進行管理。 Azure 監視器會為每個小組提供不同的存取權。 在此案例中,輕鬆就能進行管理、跨資源搜尋,以及交叉相互關聯記錄。 根據從訂閱中多個資源收集的資料量,工作區可能會大幅增加。 維護不同使用者的存取控制需要額外的系統管理負荷。 此模型稱為「中樞和輪輻」
    分散式 每個小組都會在其所擁有和管理的資源群組中建立自己的工作區, 並根據資源隔離記錄資料。 在此案例中,工作區可以保持安全,且存取控制與資源存取一致。 此模組的缺點是可能很難交叉相互關聯記錄。 需要廣泛檢視多項資源的使用者無法以有意義的方式分析資料。
    混合式 混合式方法可能會因安全性稽核合規性需求變複雜。 許多組織會以平行方式實作這兩種部署模型。 混合式設計通常會導致複雜、昂貴且難以維護的設定,並在記錄涵蓋範圍中出現落差。

  • 考慮存取模式。 規劃使用者如何存取 Azure 監視器記錄工作區,並定義他們可以存取的資料範圍。 Tailwind Traders 使用者有兩個選項可存取其資料:

    存取模式 描述
    工作區內容 使用者可以檢閱有權存取之工作區中的所有記錄。 查詢範圍為工作區之所有資料表中的所有資料。 若要以工作區為範圍來存取記錄,請從 Azure 入口網站的 [Azure 監視器] 功能表中選取 [記錄]
    資源內容 使用者可存取特定資源、資源群組或訂閱的工作區。 從 Azure 入口網站的資源功能表中選取 [記錄] 時,他們只能檢視有權存取之所有資料表中的資源記錄。 查詢範圍僅限與該資源建立關聯的資料。 此模式也會啟用細微 Azure RBAC。

  • 考慮 Azure RBAC 和工作區。 根據使用者的工作區關聯,控制哪些使用者可存取哪些資源。 您可以授與負責的小組存取 Azure 虛擬機器上所裝載 Tailwind Traders 基礎結構服務的權限。 您可以授與小組只存取虛擬機器所產生的記錄。 此方法會遵循新的資源內容記錄模型。 此模型的基礎是 Azure 資源發出的每一筆記錄。 記錄會轉送至中央工作區,以根據資源來界定範圍和採用 Azure RBAC。

  • 考慮規模和擷取量速率限制。 Azure 監視器是一種大規模的資料服務,服務對象為每月需傳送數 PB 資料 (且不斷增加) 的上千名客戶。 工作區不會受限於其儲存空間,並可能增加為數 PB 的資料。 不需要因為規模而分割工作區。

建議

當您考慮在監視和記錄解決方案中實作 Azure 監視器記錄工作區和存取控制的選項時,請檢閱這些建議。 此案例顯示 IT 組織訂閱中單一工作區的建議設計。

此圖表顯示如何設計 Azure 監視器記錄部署。

工作區不需要資料主權或法規合規性。 工作區亦不需要對應至資源部署所在的區域。 您組織的安全性和 IT 系統管理員小組可以利用改良的 Azure 存取管理整合,以及更安全的存取控制。

所有資源、監視解決方案以及深入解析 (例如 Application Insights 和虛擬機器深入解析),都會設定為將其收集的記錄資料轉送至 IT 組織的集中式共用工作區。 不同小組所維護之支援基礎結構和應用程式的記錄資料也會傳送至集中式共用工作區。

每個小組的使用者都會獲授與其有權存取之資源記錄的存取權。

部署工作區架構之後,您可以使用 Azure 原則對 Azure 資源強制執行此相同模型。 您可以定義原則並確保符合您的 Azure 資源,以便將所有資源記錄傳送至特定工作區。 透過 Azure 虛擬機器或虛擬機器擴展集,您可以使用現有原則來評估工作區合規性,並在不符合規範時回報結果或自訂進行補救。