Přehled pracovního prostoru služby Log Analytics

Pracovní prostor služby Log Analytics je úložiště dat, do kterého můžete shromažďovat libovolný typ dat protokolů ze všech prostředků a aplikací Azure a jiných aplikací. Možnosti konfigurace pracovního prostoru umožňují spravovat všechna data protokolů v jednom pracovním prostoru tak, aby splňovaly požadavky na operace, analýzu a auditování různých osob ve vaší organizaci prostřednictvím:

• Funkce služby Azure Monitor, jako jsou integrované funkce přehledů, upozornění a automatické akce
• Další služby Azure, jako je Microsoft Sentinel, Microsoft Defender for Cloud a Logic Apps
• Nástroje Microsoftu, jako jsou Power BI a Excel
• Integrace s vlastními aplikacemi a aplikacemi třetích stran

Tento článek obsahuje přehled konceptů souvisejících s pracovními prostory služby Log Analytics.

Tabulky protokolů

Každý pracovní prostor služby Log Analytics obsahuje několik tabulek, ve kterých protokoly služby Azure Monitor ukládají data, která shromažďujete.

Protokoly služby Azure Monitor automaticky vytvoří tabulky potřebné k ukládání dat monitorování, která shromažďujete z prostředí Azure. Vytvoříte vlastní tabulky pro ukládání dat, která shromažďujete z prostředků a aplikací mimo Azure, na základě datového modelu dat protokolů, která shromažďujete a jak chcete data ukládat a používat.

Nastavení správy tabulek umožňují řídit přístup ke konkrétním tabulkám a spravovat datový model, uchovávání a náklady na data v každé tabulce. Další informace najdete v tématu Správa tabulek v pracovním prostoru služby Log Analytics.

Uchovávání dat

Pracovní prostor služby Log Analytics uchovává data ve dvou stavech – interaktivní uchovávání a dlouhodobé uchovávání.

Během interaktivní doby uchovávání načítáte data z tabulky prostřednictvím dotazů a data jsou k dispozici pro vizualizace, výstrahy a další funkce a služby založené na plánu tabulky.

Každá tabulka v pracovním prostoru služby Log Analytics umožňuje uchovávat data až 12 let v nízkonákladové dlouhodobé uchovávání. Načtěte konkrétní data, která potřebujete z dlouhodobého uchovávání do interaktivního uchovávání, pomocí úlohy vyhledávání. To znamená, že data protokolů spravujete na jednom místě, aniž byste je přesunuli do externího úložiště, a když je potřebujete, získáte úplné možnosti analýzy služby Azure Monitor na starších datech.

Další informace najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.

Přístup k datům

Oprávnění pro přístup k datům v pracovním prostoru služby Log Analytics je definováno nastavením režimu řízení přístupu v každém pracovním prostoru. Uživatelům můžete udělit explicitní přístup k pracovnímu prostoru pomocí předdefinované nebo vlastní role. Nebo můžete uživatelům s přístupem k těmto prostředkům povolit přístup k datům shromážděným pro prostředky Azure.

Další informace najdete v tématu Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor.

Zobrazení přehledů pracovního prostoru služby Log Analytics

Přehledy pracovních prostorů služby Log Analytics pomáhají spravovat a optimalizovat pracovní prostory služby Log Analytics pomocí komplexního zobrazení využití, výkonu, stavu, příjmu dat, dotazů a protokolu změn.

Transformace dat, která ingestujete do pracovního prostoru služby Log Analytics

Pravidla shromažďování dat (DCR), která definují data přicházející do služby Azure Monitor, můžou zahrnovat transformace, které umožňují filtrovat a transformovat data před jejich ingestování do pracovního prostoru. Vzhledem k tomu, že všechny zdroje dat zatím nepodporují řadiče domény, může mít každý pracovní prostor transformační řadič domény pracovního prostoru.

Transformace v dcR transformace pracovního prostoru jsou definovány pro každou tabulku v pracovním prostoru a vztahují se na všechna data odesílaná do této tabulky, i když se odesílají z více zdrojů. Tyto transformace platí jenom pro pracovní postupy, které ještě nepoužívají řadič domény. Například agent Azure Monitoru používá řadič domény k definování dat shromážděných z virtuálních počítačů. Tato data nebudou podléhat žádným transformacím v čase příjmu dat definovaným v pracovním prostoru.

Můžete mít například nastavení diagnostiky, která odesílají protokoly prostředků pro různé prostředky Azure do vašeho pracovního prostoru. Můžete vytvořit transformaci tabulky, která shromažďuje protokoly prostředků, které filtrují tato data pouze pro požadované záznamy. Tato metoda šetří náklady na příjem dat u záznamů, které nepotřebujete. Můžete také chtít extrahovat důležitá data z určitých sloupců a uložit je do jiných sloupců v pracovním prostoru, aby se podporovaly jednodušší dotazy.

Náklady

Pro vytvoření nebo údržbu pracovního prostoru nejsou žádné přímé náklady. Na základě plánu tabulky každé tabulky se vám budou účtovat data, která ingestujete do pracovního prostoru, a za uchovávání dat.

Informace o cenách najdete v tématu o cenách služby Azure Monitor. Pokyny ke snížení nákladů najdete v tématu Osvědčené postupy služby Azure Monitor – Správa nákladů. Pokud používáte pracovní prostor služby Log Analytics s jinými službami než Azure Monitor, přečtěte si dokumentaci k těmto službám s informacemi o cenách.

Návrh architektury pracovního prostoru služby Log Analytics pro řešení konkrétních obchodních potřeb

Pro všechna vaše shromažďování dat můžete použít jeden pracovní prostor. Můžete ale také vytvořit více pracovních prostorů na základě konkrétních obchodních požadavků, jako jsou zákonné požadavky nebo požadavky na dodržování předpisů pro ukládání dat v konkrétních umístěních, rozdělení fakturace a odolnost.

Aspekty související s vytvářením více pracovních prostorů najdete v tématu Návrh konfigurace pracovního prostoru služby Log Analytics.

Další kroky

• Vytvořte nový pracovní prostor služby Log Analytics.
• Informace o vytváření více pracovních prostorů najdete v tématu Návrh konfigurace pracovního prostoru služby Log Analytics.
• Seznamte se s dotazy na protokoly pro načítání a analýzu dat z pracovního prostoru služby Log Analytics.