Panoramica dell'area di lavoro Log Analytics

Un'area di lavoro Log Analytics è un archivio dati in cui è possibile raccogliere qualsiasi tipo di dati di log da tutte le risorse e le applicazioni di Azure e non Azure. Le opzioni di configurazione dell'area di lavoro consentono di gestire tutti i dati di log in un'area di lavoro per soddisfare le esigenze di operazioni, analisi e controllo di diversi utenti dell'organizzazione tramite:

Questo articolo offre una panoramica dei concetti relativi alle aree di lavoro Log Analytics.

Importante

La documentazione di Microsoft Sentinel usa il termine area di lavoro di Microsoft Sentinel. Si tratta della stessa area di lavoro Log Analytics descritta in questo articolo, ma è abilitata per Microsoft Sentinel. Tutti i dati nell'area di lavoro sono soggetti ai prezzi di Microsoft Sentinel.

Tabelle di log

Ogni area di lavoro Log Analytics contiene più tabelle in cui i log di Monitoraggio di Azure archiviano i dati raccolti.

I log di Monitoraggio di Azure creano automaticamente le tabelle necessarie per archiviare i dati di monitoraggio raccolti dall'ambiente Azure. È possibile creare tabelle personalizzate per archiviare i dati raccolti da applicazioni e risorse non di Azure, in base al modello di dati di log raccolti e al modo in cui si desidera archiviare e usare i dati.

Le impostazioni di gestione delle tabelle consentono di controllare l'accesso a tabelle specifiche e di gestire il modello di dati, la conservazione e il costo dei dati in ogni tabella. Per altre informazioni, vedere Gestire le tabelle in un'area di lavoro Log Analytics.

Diagramma che mostra la struttura log di Monitoraggio di Azure.

Conservazione dei dati

Un'area di lavoro Log Analytics conserva i dati in due stati: conservazione interattiva e conservazione a lungo termine.

Durante il periodo di conservazione interattivo, si recuperano i dati dalla tabella tramite query e i dati sono disponibili per visualizzazioni, avvisi e altri servizi e funzionalità in base al piano di tabella.

Ogni tabella nell'area di lavoro Log Analytics consente di conservare i dati fino a 12 anni con conservazione a basso costo e a lungo termine. Recuperare dati specifici necessari dalla conservazione a lungo termine passandoli alla conservazione interattiva tramite un processo di ricerca. Ciò significa che i dati di log vengono gestiti in un'unica posizione, senza spostare i dati nell'archiviazione esterna e si ottengono le funzionalità di analisi complete di Monitoraggio di Azure sui dati meno recenti, quando necessario.

Per altre informazioni, vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.

Accesso ai dati

L'autorizzazione per accedere ai dati in un'area di lavoro Log Analytics è definita dall'impostazione della modalità di controllo di accesso in ogni area di lavoro. È possibile concedere agli utenti l'accesso esplicito all'area di lavoro usando un ruolo predefinito o personalizzato. In alternativa, è possibile consentire l'accesso ai dati raccolti per le risorse di Azure agli utenti con accesso a tali risorse.

Per altre informazioni, vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure.

Visualizzare le informazioni dettagliate sull'area di lavoro Log Analytics

Le informazioni dettagliate sull'area di lavoro Log Analytics consentono di gestire e ottimizzare le aree di lavoro Log Analytics con una visualizzazione completa dell'utilizzo dell'area di lavoro, delle prestazioni, dell'integrità, dell'inserimento, delle query e del log delle modifiche.

Screenshot che mostra la scheda Panoramica delle informazioni dettagliate sull'area di lavoro Log Analytics.

Trasformare i dati inseriti nell'area di lavoro Log Analytics

Le regole di raccolta dati (DCR) che definiscono i dati in arrivo in Monitoraggio di Azure possono includere trasformazioni che consentono di filtrare e trasformare i dati prima che vengano inseriti nell'area di lavoro. Poiché tutte le origini dati non supportano ancora le DCR, ogni area di lavoro può avere una DCR di trasformazione dell'area di lavoro.

Le trasformazioni nella DCR di trasformazione dell'area di lavoro vengono definite per ogni tabella in un'area di lavoro e si applicano a tutti i dati inviati a tale tabella, anche se inviati da più origini. Queste trasformazioni si applicano solo ai flussi di lavoro che non usano già una regola di raccolta dati. Ad esempio, l'agente di Monitoraggio di Azure usa una DCR per definire i dati raccolti dalle macchine virtuali. Questi dati non saranno soggetti alle trasformazioni in fase di inserimento definite nell'area di lavoro.

Ad esempio, potrebbero essere presenti impostazioni di diagnostica che inviano i log delle risorse per diverse risorse di Azure all'area di lavoro. Per la tabella che raccoglie i log delle risorse, è possibile creare una trasformazione per la tabella che filtra questi dati per trovare solo i record desiderati. Questo metodo consente di risparmiare sui costi di inserimento per i record non necessari. È anche possibile estrarre dati importanti da determinate colonne e archiviarli in altre colonne dell'area di lavoro per supportare query più semplici.

Costo

Non sono previsti costi diretti per la creazione o la gestione di un'area di lavoro. Vengono addebitati i costi per i dati inseriti nell'area di lavoro e per la conservazione dei dati, in base a ciascun piano di tabella.

Per informazioni sui prezzi, vedere Prezzi di Monitoraggio di Azure. Per indicazioni su come ridurre i costi, vedere Procedure consigliate di Monitoraggio di Azure - Gestione dei costi. Se si usa l'area di lavoro Log Analytics con servizi diversi da Monitoraggio di Azure, vedere la documentazione per tali servizi per informazioni sui prezzi.

Progettare un'architettura dell'area di lavoro Log Analytics per soddisfare esigenze aziendali specifiche

È possibile usare una singola area di lavoro per tutte le raccolte di dati. Tuttavia, è anche possibile creare più aree di lavoro in base a requisiti aziendali specifici, ad esempio requisiti normativi o di conformità per archiviare i dati in posizioni specifiche, per suddividere la fatturazione e per la resilienza.

Per considerazioni relative alla creazione di più aree di lavoro, vedere Progettare una configurazione dell'area di lavoro Log Analytics.

Passaggi successivi