Log Analytics Çalışma Alanına Genel Bakış

Log Analytics çalışma alanı, tüm Azure kaynaklarınızdan ve Azure dışı kaynak ve uygulamalarınızdan her tür günlük verilerini toplayabileceğiniz bir veri deposudur. Çalışma alanı yapılandırma seçenekleri, kuruluşunuzdaki farklı kişilerin işlemlerini, analizini ve denetim gereksinimlerini karşılamak için tüm günlük verilerinizi tek bir çalışma alanında yönetmenize olanak tanır:

Bu makalede Log Analytics çalışma alanlarıyla ilgili kavramlara genel bir bakış sağlanmaktadır.

Önemli

Microsoft Sentinel belgelerinde Microsoft Sentinel çalışma alanı terimi kullanılır. Bu çalışma alanı, bu makalede açıklanan Log Analytics çalışma alanıyla aynıdır, ancak Microsoft Sentinel için etkinleştirilmiştir. Çalışma alanı içindeki tüm veriler Microsoft Sentinel fiyatlandırmasına tabidir.

Günlük tabloları

Her Log Analytics çalışma alanı, Azure İzleyici Günlüklerinin topladığınız verileri depoladığı birden çok tablo içerir.

Azure İzleyici Günlükleri, Azure ortamınızdan topladığınız izleme verilerini depolamak için gerekli tabloları otomatik olarak oluşturur. Azure dışı kaynaklardan ve uygulamalardan topladığınız verileri depolamak için, topladığınız günlük verilerinin veri modeline ve verileri nasıl depolamak ve kullanmak istediğinize bağlı olarak özel tablolar oluşturursunuz.

Tablo yönetimi ayarları, belirli tablolara erişimi denetlemenize ve her tablodaki verilerin veri modelini, saklamasını ve maliyetini yönetmenize olanak sağlar. Daha fazla bilgi için bkz . Log Analytics çalışma alanında tabloları yönetme.

Azure İzleyici Günlükleri yapısını gösteren diyagram.

Veri saklama

Log Analytics çalışma alanı verileri iki durumda tutar: etkileşimli saklama ve uzun süreli saklama.

Etkileşimli saklama süresi boyunca verileri sorgular aracılığıyla tablodan alırsınız ve veriler tablo planına göre görselleştirmeler, uyarılar ve diğer özellikler ve hizmetler için kullanılabilir.

Log Analytics çalışma alanınızdaki her tablo, verileri 12 yıla kadar düşük maliyetli ve uzun süreli saklamada tutmanızı sağlar. Arama işini kullanarak uzun süreli saklamadan etkileşimli saklamaya kadar ihtiyacınız olan belirli verileri alın. Bu, verileri harici depolamaya taşımadan günlük verilerinizi tek bir yerde yönettiğiniz ve ihtiyaç duyduğunuzda eski verilerde Azure İzleyici'nin tam analiz özelliklerini elde ettiğiniz anlamına gelir.

Daha fazla bilgi için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.

Veri erişimi

Log Analytics çalışma alanında verilere erişim izni, her çalışma alanında erişim denetimi modu ayarı tarafından tanımlanır. Yerleşik veya özel bir rol kullanarak kullanıcılara çalışma alanına açık erişim verebilirsiniz. Alternatif olarak, Azure kaynakları için toplanan verilere bu kaynaklara erişimi olan kullanıcılara da izin vekleyebilirsiniz.

Daha fazla bilgi için bkz . Azure İzleyici'de günlük verilerine ve çalışma alanlarına erişimi yönetme.

Log Analytics çalışma alanı içgörülerini görüntüleme

Log Analytics Çalışma Alanı İçgörüleri , çalışma alanı kullanımınızı, performansınızı, sistem durumunu, alımınızı, sorgularınızı ve değişiklik günlüğünüzü kapsamlı bir görünümle Log Analytics çalışma alanlarınızı yönetmenize ve iyileştirmenize yardımcı olur.

Log Analytics Çalışma Alanı içgörülerine genel bakış sekmesini gösteren ekran görüntüsü.

Log Analytics çalışma alanınıza eklediğiniz verileri dönüştürme

Azure İzleyici'ye gelen verileri tanımlayan veri toplama kuralları (DCR' ler), verileri çalışma alanına almadan önce filtrelemenize ve dönüştürmenize olanak sağlayan dönüştürmeler içerebilir. Tüm veri kaynakları henüz DCR'leri desteklemediğinden, her çalışma alanında bir çalışma alanı dönüştürme DCR'leri olabilir.

Çalışma alanı dönüştürme DCR'sindeki dönüştürmeler , bir çalışma alanı içindeki her tablo için tanımlanır ve birden çok kaynaktan gönderilmiş olsa bile bu tabloya gönderilen tüm verilere uygulanır. Bu dönüşümler yalnızca DCR kullanmayan iş akışları için geçerlidir. Örneğin Azure İzleyici aracısı, sanal makinelerden toplanan verileri tanımlamak için bir DCR kullanır. Bu veriler, çalışma alanında tanımlanan alım süresi dönüştürmelerine tabi olmayacaktır.

Örneğin, farklı Azure kaynakları için kaynak günlüklerini çalışma alanınıza gönderen tanılama ayarlarınız olabilir. Yalnızca istediğiniz kayıtlar için bu verileri filtreleyen kaynak günlüklerini toplayan tablo için bir dönüştürme oluşturabilirsiniz. Bu yöntem, ihtiyacınız olmayan kayıtlar için alım maliyetinden tasarruf etmenizi sağlar. Ayrıca, daha basit sorguları desteklemek için belirli sütunlardan önemli verileri ayıklamak ve çalışma alanındaki diğer sütunlarda depolamak isteyebilirsiniz.

Maliyet

Çalışma alanı oluşturmanın veya bakımının doğrudan maliyeti yoktur. Her tablonun tablo planına göre çalışma alanına alınan veriler ve veri saklama için ücretlendirilirsiniz.

Fiyatlandırma hakkında bilgi için bkz . Azure İzleyici fiyatlandırması. Maliyetlerinizi azaltma hakkında yönergeler için bkz . Azure İzleyici en iyi yöntemleri - Maliyet yönetimi. Log Analytics çalışma alanınızı Azure İzleyici dışındaki hizmetlerle kullanıyorsanız fiyatlandırma bilgileri için bu hizmetlerin belgelerine bakın.

Belirli iş gereksinimlerini karşılamak için Log Analytics çalışma alanı mimarisi tasarlama

Tüm veri koleksiyonunuz için tek bir çalışma alanı kullanabilirsiniz. Bununla birlikte, verileri belirli konumlarda depolamak, faturalamayı bölmek ve dayanıklılık için mevzuat veya uyumluluk gereksinimleri gibi belirli iş gereksinimlerine göre birden çok çalışma alanı da oluşturabilirsiniz.

Birden çok çalışma alanı oluşturmayla ilgili dikkat edilmesi gerekenler için bkz . Log Analytics çalışma alanı yapılandırması tasarlama.

Sonraki adımlar