Übersicht über Log Analytics-Arbeitsbereiche

Ein Log Analytics-Arbeitsbereich ist ein Datenspeicher, in dem Sie alle Arten von Protokolldaten aus all Ihren Azure- und Nicht-Azure-Ressourcen und -Anwendungen sammeln können. Mithilfe von Konfigurationsoptionen für Arbeitsbereiche können Sie alle Ihre Protokolldaten in einem Arbeitsbereich verwalten, um die Vorgänge, Analysen und Überwachungsanforderungen verschiedener Personas in Ihrer Organisation zu erfüllen:

Dieser Artikel enthält eine Übersicht über Konzepte im Zusammenhang mit Log Analytics-Arbeitsbereichen.

Wichtig

Eventuell wird der Begriff Microsoft Sentinel-Arbeitsbereich in der Microsoft Sentinel-Dokumentation verwendet. Dieser Arbeitsbereich ist derselbe Log Analytics-Arbeitsbereich, der in diesem Artikel beschrieben wird, jedoch ist er für Microsoft Sentinel aktiviert. Alle Daten im Arbeitsbereich unterliegen den Microsoft Sentinel-Preisen.

Protokolltabellen

Jeder Log Analytics-Arbeitsbereich enthält mehrere Tabellen, in denen Azure Monitor-Protokolle Daten speichert, die Sie sammeln.

Azure Monitor Logs erstellt automatisch Tabellen, die zum Speichern von Überwachungsdaten erforderlich sind, die Sie in Ihrer Azure-Umgebung sammeln. Sie erstellen benutzerdefinierte Tabellen, um Daten zu speichern, die Sie aus Nicht-Azure-Ressourcen und -Anwendungen sammeln, basierend auf dem Datenmodell der von Ihnen erfassten Protokolldaten und deren Speicherung und Verwendung.

Mithilfe von Tabellenverwaltungseinstellungen können Sie den Zugriff auf bestimmte Tabellen steuern und das Datenmodell, die Aufbewahrung und die Kosten der Daten in jeder Tabelle verwalten. Weitere Informationen finden Sie unter Verwalten von Tabellen in einem Log Analytics-Arbeitsbereich.

Diagramm: Struktur der Azure Monitor-Protokolle

Beibehaltung von Daten

Ein Log Analytics-Arbeitsbereich speichert Daten in zwei Zuständen – interaktive Aufbewahrung und Langzeitaufbewahrung.

Während des interaktiven Aufbewahrungszeitraums rufen Sie die Daten aus der Tabelle über Abfragen ab, und die Daten sind basierend auf dem Tabellenplan für Visualisierungen, Warnungen und andere Features und Dienste verfügbar.

Jede Tabelle in Ihrem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten bis zu 12 Jahre in kostengünstiger Langzeitaufbewahrung aufzubewahren. Rufen Sie bestimmte benötigte Daten von der Langzeitaufbewahrung in die interaktive Aufbewahrung ab, indem Sie einen Suchauftrag verwenden. Dies bedeutet, dass Sie Ihre Protokolldaten an einem Ort verwalten, ohne Daten in externen Speicher zu verschieben, und Sie erhalten die vollständigen Analysefunktionen von Azure Monitor auf älteren Daten, wenn Sie diese benötigen.

Weitere Informationen finden Sie unter Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.

Datenzugriff

Die Berechtigung für den Zugriff auf Daten in einem Log Analytics-Arbeitsbereich wird durch die Einstellung Zugriffssteuerungsmodus für jeden Arbeitsbereich definiert. Sie können Benutzern expliziten Zugriff auf den Arbeitsbereich gewähren, indem Sie eine integrierte oder benutzerdefinierte Rolle verwenden. Alternativ können Sie den Zugriff auf für Azure-Ressourcen gesammelte Daten Benutzern mit Zugriff auf diese Ressourcen erlauben.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Anzeigen von Log Analytics-Arbeitsbereichserkenntnissen

Log Analytics-Arbeitsbereichserkenntnisse helfen Ihnen bei der Verwaltung und Optimierung Ihrer Log Analytics-Arbeitsbereiche mit einer umfassenden Übersicht über Arbeitsbereichsnutzung, Leistung, Integrität, Erfassung, Abfragen und Änderungsprotokoll.

Screenshot. Registerkarte der Übersicht der Log Analytics-Arbeitsbereichserkenntnisse.

Transformieren von Daten, die Sie in Ihrem Log Analytics-Arbeitsbereich erfassen

Datensammlungsregeln (Data Collection Rules, DCRs), die Daten definieren, die in Azure Monitor eingehen, können Transformationen enthalten, mit denen Sie Daten filtern und transformieren können, bevor sie im Arbeitsbereich erfasst werden. Da alle Datenquellen DCRs noch nicht unterstützen, kann jeder Arbeitsbereich einen Arbeitsbereichstransformations-DCR haben.

Erfassungszeittransformationen werden für jede Tabelle in einem Arbeitsbereich definiert und gelten für alle Daten, die an diese Tabelle gesendet werden, auch wenn sie aus mehreren Quellen gesendet werden. Erfassungszeittransformationen gelten nur für Workflows, die noch keine Datensammlungsregel verwenden. Beispielsweise verwendet der Azure Monitor-Agent eine Datensammlungsregel, um die von virtuellen Computern gesammelten Daten zu definieren. Diese Daten unterliegen keinen Erfassungszeittransformationen, die im Arbeitsbereich definiert sind.

Beispielsweise verfügen Sie über Diagnoseeinstellungen, die Ressourcenprotokolle für verschiedene Azure-Ressourcen an Ihren Arbeitsbereich senden. Sie können eine Transformation für die Tabelle erstellen, die die Ressourcenprotokolle sammelt, die diese Daten nur nach gewünschten Datensätzen filtern. Dadurch sparen Sie die Erfassungskosten für Datensätze, die Sie nicht benötigen. Sie könnten wichtige Daten auch aus bestimmten Spalten extrahieren und in anderen Spalten im Arbeitsbereich speichern, um einfachere Abfragen zu unterstützen.

Kosten

Es entstehen keine direkten Kosten durch das Erstellen oder Verwalten eines Arbeitsbereichs. Ihnen werden die Daten in Rechnung gestellt, die Sie im Arbeitsbereich erfassen, ebenso wie die Datenaufbewahrung, basierend auf dem Tabellenplan jeder Tabelle.

Weitere Preisinformationen finden Sie unter Azure Monitor-Preise. Anleitungen zum Reduzieren Ihrer Kosten finden Sie unter Bewährte Methoden für Azure Monitor – Cost Management. Wenn Sie Ihren Log Analytics-Arbeitsbereich mit anderen Diensten als Azure Monitor verwenden, finden Sie in der Dokumentation zu diesen Diensten die entsprechenden Preisinformationen.

Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur, um bestimmte geschäftliche Anforderungen zu erfüllen

Sie können einen einzigen Arbeitsbereich für Ihre gesamte Datensammlung verwenden. Sie können jedoch auch mehrere Arbeitsbereiche basierend auf bestimmten Geschäftsanforderungen erstellen, z. B. behördliche oder Complianceanforderungen zum Speichern von Daten an bestimmten Standorten, geteilte Abrechnung und Resilienz.

Überlegungen zum Erstellen mehrerer Arbeitsbereiche finden Sie unter Entwurf einer Log Analytics-Arbeitsbereichkonfiguration.

Nächste Schritte