Visão Geral do workspace do Log Analytics

Um Workspace do Log Analytics é um repositório de dados no qual você pode coletar qualquer tipo de dado de log de todos os seus recursos e aplicativos do Azure e não Azure. As opções de configuração do espaço de trabalho permitem que você gerencie todos os seus dados de log em um único espaço de trabalho para atender às necessidades de operações, análise e auditoria de diferentes personas em sua organização por meio de:

Este artigo fornece uma visão geral dos conceitos relacionados aos Workspaces do Log Analytics.

Importante

A documentação do Microsoft Sentinel usa o termo Workspace do Microsoft Sentinel. Esse workspace é o mesmo workspace do Log Analytics descrito neste artigo, porém é habilitado para o Microsoft Sentinel. Todos os dados no espaço de trabalho estão sujeitos ao preço do Microsoft Sentinel.

Tabelas de registro

Cada Workspace do Log Analytics contém várias tabelas nas quais os Logs do Azure Monitor armazenam os dados que você coleta.

O Logs do Azure Monitor cria automaticamente as tabelas necessárias para armazenar os dados de monitoramento que você coleta do seu ambiente do Azure. Crie tabelas personalizadas para armazenar dados coletados de recursos e aplicativos que não são do Azure, com base no modelo de dados dos dados de log coletados e em como você deseja armazenar e usar os dados.

As configurações de gerenciamento de tabelas permitem que você controle o acesso a tabelas específicas e gerencie o modelo de dados, a retenção e o custo dos dados em cada tabela. Para obter mais informações, consulte Gerenciar tabelas em um workspace do Log Analytics.

Diagrama que mostra a estrutura dos Logs do Azure Monitor.

Retenção de dados

Um Workspace do Log Analytics retém dados em dois estados - retenção interativa e retenção de longo prazo.

Durante o período de retenção interativa, você recupera os dados da tabela por meio de consultas e os dados ficam disponíveis para visualizações, alertas e outros recursos e serviços, com base no plano da tabela.

Cada tabela em seu Workspace do Log Analytics permite reter dados por até 12 anos em uma retenção de longo prazo e de baixo custo. Recupere os dados específicos de que você precisa, desde a retenção de longo prazo até a retenção interativa, usando um trabalho de pesquisa. Isso significa que você gerencia seus dados de log em um só lugar, sem mover os dados para o armazenamento externo e obtém todos os recursos de análise do Azure Monitor em dados mais antigos, quando precisar.

Para obter mais informações, consulte Gerenciar a retenção de dados em um Workspace do Log Analytics.

Acesso de dados

A permissão para acessar dados em um Workspace do Log Analytics é definida pela configuração modo de controle de acesso em cada espaço de trabalho. Você pode conceder aos usuários acesso explícito ao workspace usando uma função interna ou personalizada. Ou você pode permitir o acesso aos dados coletados para recursos do Azure para usuários com acesso a esses recursos.

Para mais informações, consulte Gerenciar o acesso a dados de log e workspaces no Azure Monitor.

Exibir insights do Workspace do Log Analytics

Os Insights do Workspace do Log Analytics ajudam você a gerenciar e otimizar seus workspaces do Log Analytics com uma visão abrangente do uso, desempenho, integridade, ingestão, consultas e registro de alterações do seu workspace.

Captura de tela mostrando a guia Visão geral dos insights do Workspace do Log Analytics.

Transforme os dados que você ingere em seu Workspace do Log Analytics

As DCRs (regras de coleta de dados) que definem os dados que vêm do Azure Monitor podem incluir transformações que permitem filtrar e transformar dados antes que eles sejam ingeridos no workspace. Como todas as fontes de dados ainda não dão suporte a DCRs, cada espaço de trabalho pode ter um DCR de transformação de espaço de trabalho.

As transformações são definidas para cada tabela em um espaço de trabalho e se aplicam a todos os dados enviados a essa tabela, mesmo que sejam enviados de várias fontes. Essas transformações se aplicam apenas a fluxos de trabalho que ainda não usam uma DCR. Por exemplo, o agente do Azure Monitor usa uma DCR para definir dados coletados de máquinas virtuais. Esses dados não estarão sujeitos a nenhuma transformação de tempo-ingestão definidas no workspace.

Por exemplo, você pode ter configurações de diagnóstico que enviam logs de recursos para diferentes recursos do Azure para o seu workspace. Você pode criar uma transformação para a tabela que colete os logs de recursos que filtram esses dados apenas para os registros que você deseja. Esse método economiza o custo de ingestão para registros que você não precisa. Talvez também seja recomendável extrair dados importantes de determinadas colunas e armazená-los em outras colunas no workspace para dar suporte a consultas mais simples.

Custo

Não há custo direto para criar ou manter um workspace. Você será cobrado pelos dados que ingere no espaço de trabalho e pela retenção de dados, com base no plano de tabela de cada tabela.

Para obter mais informações sobre preço, confira Preço do Azure Monitor. Para obter diretrizes sobre como reduzir seus custos, consulte as Práticas recomendadas do Azure Monitor – Gerenciamento de custo. Se estiver usando seu workspace do Log Analytics com serviços que não o Azure Monitor, consulte a documentação desses serviços para obter informações sobre preços.

Projete uma arquitetura de Workspace do Log Analytics para atender a necessidades de negócios específicas

Você pode usar um único workspace para toda a sua coleta de dados. No entanto, você também pode criar vários workspaces com base em requisitos de negócios específicos, como requisitos regulamentares ou de conformidade para armazenar dados em locais específicos, cobrança dividida e resiliência.

Para considerações relacionadas à criação de vários espaços de trabalho, consulte Projetar uma configuração de Workspace do Log Analytics.

Próximas etapas