Log Analytics çalışma alanı mimarisi tasarlama
Azure İzleyici ve Microsoft Sentinel kullanan birçok ortam için tek bir Log Analytics çalışma alanı yeterli olabilir. Ancak birçok kuruluş maliyetleri iyileştirmek ve farklı iş gereksinimlerini daha iyi karşılamak için birden çok çalışma alanı oluşturur. Bu makalede, tek bir çalışma alanının mı yoksa birden çok çalışma alanının mı kullanılacağını belirlemeye yönelik bir dizi ölçüt verilmiştir. Ayrıca, maliyetlerinizi iyileştirirken gereksinimlerinizi karşılamak için bu çalışma alanlarının yapılandırması ve yerleşimi de ele alınmaktadır.
Not
Bu makalede Azure İzleyici ve Microsoft Sentinel ele alınmaktadır çünkü birçok müşterinin tasarımında her ikisini de dikkate almaları gerekir. Karar verme ölçütlerinin çoğu her iki hizmet için de geçerlidir. Bu hizmetlerden yalnızca birini kullanıyorsanız, değerlendirmenizde diğerini yoksayabilirsiniz.
Aşağıda Azure İzleyici Günlüklerinin temelleri ve Azure İzleyici Günlükleri dağıtımınızı tasarlamaya yönelik en iyi yöntemler ve tasarım konuları hakkında bir video bulabilirsiniz:
Tasarım stratejisi
Tasarımınız her zaman tek bir çalışma alanıyla başlayıp birden çok çalışma alanını yönetmenin ve bunlardan veri sorgulamanın karmaşıklığını azaltmalıdır. Çalışma alanınızdaki veri miktarıyla ilgili performans sınırlaması yoktur. Birden çok hizmet ve veri kaynağı aynı çalışma alanına veri gönderebilir. Daha fazla çalışma alanı oluşturmak için ölçütleri belirledikçe tasarımınız gereksinimlerinizi karşılamak için en az sayıda çalışma alanı kullanmalıdır.
Çalışma alanı yapılandırması tasarlama, birden çok ölçütün değerlendirilmesini içerir. Ancak bazı ölçütler çakışıyor olabilir. Örneğin, her Azure bölgesinde ayrı bir çalışma alanı oluşturarak çıkış ücretlerini azaltabilirsiniz. Tek bir çalışma alanında birleştirmek, taahhüt katmanıyla ücretleri daha da azaltmanıza olanak tanıyabilir. Ölçütlerin her birini bağımsız olarak değerlendirin. Ortamınız için en etkili tasarımı belirlemek için gereksinimlerinizi ve önceliklerinizi göz önünde bulundurun.
Tasarım ölçütleri
Aşağıdaki tabloda, çalışma alanı mimarinizi tasarlarken göz önünde bulundurmanız gereken ölçütler yer alır. Aşağıdaki bölümlerde ölçütler açıklanmaktadır.
Ölçütler | Açıklama |
---|---|
İşletimsel ve güvenlik verileri | Azure İzleyici'deki işletimsel verileri Microsoft Sentinel'deki güvenlik verileriyle aynı çalışma alanında birleştirmeyi veya her birini kendi çalışma alanlarına ayırmayı seçebilirsiniz. Bunları birleştirmek tüm verilerinizde daha iyi görünürlük sağlarken, güvenlik standartlarınız güvenlik ekibinizin ayrılmış bir çalışma alanına sahip olması için bunları ayırmayı gerektirebilir. Ayrıca her stratejide maliyet etkileri de olabilir. |
Azure kiracıları | Birden çok Azure kiracınız varsa, genellikle her birinde bir çalışma alanı oluşturursunuz. Birkaç veri kaynağı izleme verilerini yalnızca aynı Azure kiracısında bulunan bir çalışma alanına gönderebilir. |
Azure bölgeleri | Her çalışma alanı belirli bir Azure bölgesinde bulunur. Verileri belirli konumlarda depolamak için mevzuat veya uyumluluk gereksinimleriniz olabilir. |
Veri sahipliği | Veri sahipliğini tanımlamak için ayrı çalışma alanları oluşturmayı seçebilirsiniz. Örneğin, yan kuruluşlara veya bağlı şirketlere göre çalışma alanları oluşturabilirsiniz. |
Faturalamayı bölme | Çalışma alanlarını ayrı aboneliklere yerleştirerek farklı taraflara faturalandırılabilirler. |
Veri saklama | Her çalışma alanı ve çalışma alanı içindeki her tablo için farklı bekletme ayarları ayarlayabilirsiniz. Aynı tablolara veri gönderen farklı kaynaklar için farklı bekletme ayarlarına ihtiyacınız varsa ayrı bir çalışma alanı gerekir. |
Taahhüt katmanları | Taahhüt katmanları, tek bir çalışma alanında en az günlük veri miktarına taahhüt vererek alım maliyetinizi azaltmanıza olanak sağlar. |
Eski aracı sınırlamaları | Eski sanal makine aracılarının bağlanabilecekleri çalışma alanı sayısıyla ilgili sınırlamaları vardır. |
Veri erişim denetimi | Çalışma alanına ve farklı kaynaklardan farklı tablolara ve verilere erişimi yapılandırın. |
Elastikiyet | Bölge hatası durumunda çalışma alanınızdaki verilerin kullanılabilir olduğundan emin olmak için, verileri farklı bölgelerdeki birden çok çalışma alanına alabilirsiniz. |
İşletimsel ve güvenlik verileri
Azure İzleyici'deki işletimsel verilerinizi Microsoft Sentinel'den gelen güvenlik verileriyle aynı çalışma alanında birleştirme veya her birinin kendi çalışma alanı içinde ayrılma kararı, güvenlik gereksinimlerinize ve ortamınız için olası maliyet etkilerine bağlıdır.
Ayrılmış çalışma alanları Azure İzleyici ve Microsoft Sentinel için ayrılmış çalışma alanları oluşturmak, operasyonel ve güvenlik ekipleri arasında verilerin sahipliğini ayırmanıza olanak tanır. Bu yaklaşım, bir çalışma alanında Microsoft Sentinel etkinleştirildiğinde Azure İzleyici tarafından toplanan işletimsel veriler olsa bile söz konusu çalışma alanındaki tüm veriler Microsoft Sentinel fiyatlandırmasına tabi olduğundan maliyetleri iyileştirmeye de yardımcı olabilir.
Microsoft Sentinel içeren bir çalışma alanı, 31 gün yerine üç ay ücretsiz veri saklama süresi alır. Bu senaryo genellikle Microsoft Sentinel içermeyen bir çalışma alanında işletimsel veriler için daha yüksek maliyetlerle sonuçlanmaktadır. Bkz. Azure İzleyici Günlükleri fiyatlandırma ayrıntıları.
Birleşik çalışma alanı Azure İzleyici ve Microsoft Sentinel'deki verilerinizi aynı çalışma alanında birleştirmek, tüm verilerinizde daha iyi görünürlük sağlayarak hem sorgularda hem de çalışma kitaplarında kolayca birleştirmenizi sağlar. Güvenlik verilerine erişimin belirli bir ekiple sınırlı olması gerekiyorsa, belirli kullanıcıların güvenlik verileri içeren tablolardan erişimini engellemek veya kullanıcıları kaynak bağlamı kullanarak çalışma alanına erişmelerini sınırlamak için tablo düzeyinde RBAC kullanabilirsiniz.
Bu yapılandırma, alım ücretlerinize indirim sağlayan bir taahhüt katmanına ulaşmanıza yardımcı olursa maliyet tasarrufuna neden olabilir. Örneğin, her birinde günde yaklaşık 50 GB alan işletimsel veriler ve güvenlik verilerine sahip bir kuruluş düşünün. Verileri aynı çalışma alanında birleştirmek, günde 100 GB'lık bir taahhüt katmanına izin verir. Bu senaryo, Azure İzleyici için %15 ve Microsoft Sentinel için %50 indirim sağlar.
Diğer ölçütler için ayrı çalışma alanları oluşturursanız, genellikle daha fazla çalışma alanı çifti oluşturursunuz. Örneğin, iki Azure kiracınız varsa, her kiracıda işletimsel ve güvenlik çalışma alanı olan dört çalışma alanı oluşturabilirsiniz.
- Hem Azure İzleyici'yi hem de Microsoft Sentinel'i kullanıyorsanız: Güvenlik ekibinizin gerektirdiği durumlarda veya maliyet tasarrufuyla sonuçlanırsa her bir çalışma alanını ayrılmış bir çalışma alanında ayırmayı göz önünde bulundurun. Birleştirilmiş izleme verilerinizin daha iyi görünür olması veya bir taahhüt katmanına ulaşmanıza yardımcı olması için ikisini birleştirmeyi göz önünde bulundurun.
- Hem Microsoft Sentinel hem de Bulut için Microsoft Defender kullanıyorsanız: Güvenlik verilerini tek bir yerde tutmak için her iki çözüm için de aynı çalışma alanını kullanmayı göz önünde bulundurun.
Azure kiracıları
Kaynakların çoğu izleme verilerini yalnızca aynı Azure kiracısında bulunan bir çalışma alanına gönderebilir. Azure İzleyici Aracısı veya Log Analytics aracılarını kullanan sanal makineler, ayrı Azure kiracılarındaki çalışma alanlarına veri gönderebilir. Bu senaryo bir hizmet sağlayıcısı olarak düşünülebilir.
- Tek bir Azure kiracınız varsa: Bu kiracı için tek bir çalışma alanı oluşturun.
- Birden çok Azure kiracınız varsa: Her kiracı için bir çalışma alanı oluşturun. Hizmet sağlayıcılarına yönelik stratejiler de dahil olmak üzere diğer seçenekler için bkz . Birden çok kiracı stratejisi.
Azure bölgeleri
Her Log Analytics çalışma alanı belirli bir Azure bölgesinde bulunur. Verileri belirli bir bölgede tutmak için düzenleme veya uyumluluk amaçlarınız olabilir. Örneğin, uluslararası bir şirket Birleşik Devletler ve Avrupa gibi her büyük coğrafi bölgede bir çalışma alanı bulabilir.
- Verileri belirli bir coğrafyada tutmak için gereksinimleriniz varsa: Bu gereksinimlere sahip her bölge için ayrı bir çalışma alanı oluşturun.
- Verileri belirli bir coğrafyada tutmak için gereksinimleriniz yoksa: Tüm bölgeler için tek bir çalışma alanı kullanın.
- Verileri çalışma alanınızın bölgesinin dışındaki bir coğrafyaya veya bölgeye gönderiyorsanız, gönderen kaynağın Azure'da bulunup bulunmadığına bakılmaksızın: Verilerinizle aynı coğrafyada veya bölgede bir çalışma alanı kullanmayı göz önünde bulundurun.
Ayrıca, başka bir bölgedeki bir kaynaktan çalışma alanına veri gönderirken uygulanabilecek olası bant genişliği ücretlerini de göz önünde bulundurun. Bu ücretler genellikle çoğu müşterinin veri alımı maliyetlerine göre küçük bir ücrettir. Bu ücretler genellikle bir sanal makineden çalışma alanına veri gönderilmesinden kaynaklanır. Tanılama ayarlarını kullanarak diğer Azure kaynaklarından verileri izlemek çıkış ücreti ödemez.
Maliyeti tahmin etmek ve hangi bölgelere ihtiyacınız olduğunu belirlemek için Azure fiyatlandırma hesaplayıcısını kullanın. Bant genişliği ücretleri önemliyse birden çok bölgede bulunan çalışma alanlarını göz önünde bulundurun.
- Bant genişliği ücretleri fazla karmaşıklığı haklı çıkarmak için yeterliyse: Sanal makinelerle her bölge için ayrı bir çalışma alanı oluşturun.
- Bant genişliği ücretleri fazladan karmaşıklığı haklı çıkarmak için yeterli değilse: Tüm bölgeler için tek bir çalışma alanı kullanın.
Veri sahipliği
Verileri ayırmanız veya sahipliğe göre sınırlar tanımlamanız gerekebilir. Örneğin, izleme verilerinin çizgisini belirlemesi gereken farklı yan kuruluşlarınız veya bağlı şirketleriniz olabilir.
- Veri ayırmaya ihtiyacınız varsa: Her veri sahibi için ayrı bir çalışma alanı kullanın.
- Veri ayırmaya ihtiyacınız yoksa: Tüm veri sahipleri için tek bir çalışma alanı kullanın.
Bölünmüş faturalama
Faturalamayı farklı taraflar arasında bölmeniz veya bir müşteriye veya dahili iş birimine geri ödeme yapmanız gerekebilir. Çalışma alanına göre ücretleri görüntülemek için Azure Maliyet Yönetimi + Faturalama kullanabilirsiniz. Azure kaynağına, kaynak grubuna veya aboneliğe göre faturalanabilir veri hacmini görüntülemek için günlük sorgusu da kullanabilirsiniz. Bu yaklaşım faturalama gereksinimleriniz için yeterli olabilir.
- Faturalamayı bölmeniz veya ücreti geri almanız gerekmiyorsa: Tüm maliyet sahipleri için tek bir çalışma alanı kullanın.
- Faturalamayı bölmeniz veya ücreti geri almanız gerekiyorsa: Azure Maliyet Yönetimi + Faturalama veya günlük sorgusu gereksinimleriniz için yeterince ayrıntılı maliyet raporlaması sağlayıp sağlamadığını göz önünde bulundurun. Aksi takdirde, her maliyet sahibi için ayrı bir çalışma alanı kullanın.
Veri saklama
Çalışma alanı için varsayılan veri saklama ayarlarını yapılandırabilir veya her tablo için farklı ayarlar yapılandırabilirsiniz. Belirli bir tablodaki farklı veri kümeleri için farklı ayarlara ihtiyacınız olabilir. Öyleyse, bu verileri her birinin benzersiz saklama ayarlarına sahip farklı çalışma alanlarına ayırmanız gerekir.
- Her tablodaki tüm veriler için aynı bekletme ayarlarını kullanabiliyorsanız: Tüm kaynaklar için tek bir çalışma alanı kullanın.
- Aynı tablodaki farklı kaynaklar için farklı bekletme ayarlarına ihtiyacınız varsa: Farklı kaynaklar için ayrı bir çalışma alanı kullanın.
Taahhüt katmanları
Taahhüt katmanları , belirli bir günlük veri miktarına taahhüt verdiğinizde çalışma alanı alma maliyetlerinize indirim sağlar. Belirli bir katmanın düzeyine ulaşmak için verileri tek bir çalışma alanında birleştirmeyi seçebilirsiniz. Ayrılmış bir kümeniz olmadığı sürece, birden çok çalışma alanına yayılan bu veri hacmi aynı katman için uygun olmaz.
Günlük en az 100 GB günlük alım işlemi gerçekleştirebiliyorsanız, ek işlevsellik ve performans sağlayan ayrılmış bir küme uygulamanız gerekir. Ayrılmış kümeler, bir taahhüt katmanı düzeyine ulaşmak için kümedeki birden çok çalışma alanından verileri birleştirmenize de olanak sağlar.
- Tüm kaynaklar arasında günde en az 100 GB alırsanız: Ayrılmış bir küme oluşturun ve uygun taahhüt katmanını ayarlayın.
- Kaynaklar arasında günde en az 100 GB alacaksanız: Taahhüt katmanından yararlanmak için bunları tek bir çalışma alanında birleştirmeyi göz önünde bulundurun.
Eski aracı sınırlamaları
Ek ücretler nedeniyle birden çok çalışma alanına yinelenen veri göndermekten kaçınmanız gerekir, ancak birden çok çalışma alanına bağlı sanal makineleriniz olabilir. En yaygın senaryo, Azure İzleyici ve Microsoft Sentinel için ayrı çalışma alanlarına bağlı bir aracıdır.
Azure İzleyici Aracısı ve Windows için Log Analytics aracısı birden çok çalışma alanına bağlanabilir. Linux için Log Analytics aracısı yalnızca tek bir çalışma alanına bağlanabilir.
- Linux için Log Analytics aracısını kullanıyorsanız: Azure İzleyici Aracısı'na geçiş yapın veya Linux makinelerinizin yalnızca tek bir çalışma alanına erişim gerektirdiğinden emin olun.
Veri erişim denetimi
Bir kullanıcıya çalışma alanı için erişim izni verdiğinizde, kullanıcının bu çalışma alanında yer alan tüm verilere erişimi olur. Bu erişim, tüm kaynaklar için verilere erişmesi gereken bir merkezi yönetim veya güvenlik ekibinin üyesi için uygundur. Çalışma alanına erişim, kaynak bağlamı rol tabanlı erişim denetimi (RBAC) ve tablo düzeyinde RBAC ile de belirlenir.
Kaynak bağlamı RBAC: Varsayılan olarak, bir kullanıcı Azure kaynağına okuma erişimine sahipse, bu kaynağın çalışma alanına gönderilen izleme verilerine yönelik izinleri devralır. Bu erişim düzeyi, kullanıcıların çalışma alanına açık erişim verilmeden yönetdikleri kaynaklar hakkındaki bilgilere erişmesine olanak tanır. Bu erişimi engellemeniz gerekiyorsa, erişim denetim modunu açık çalışma alanı izinleri gerektirecek şekilde değiştirebilirsiniz.
- Kullanıcıların kaynakları için verilere erişebilmesini istiyorsanız: Kaynak veya çalışma alanı izinlerini kullan seçeneğinin varsayılan erişim denetimi modunu koruyun.
- Tüm kullanıcılar için açıkça izin atamak istiyorsanız: Erişim denetimi modunu Çalışma alanı izinleri gerektir olarak değiştirin.
Tablo düzeyinde RBAC: Tablo düzeyinde RBAC ile çalışma alanında belirli tablolara erişim verebilir veya erişimi reddedebilirsiniz. Bu şekilde ortamınızdaki belirli durumlar için gereken ayrıntılı izinleri uygulayabilirsiniz.
Örneğin, bir iç denetim ekibine yalnızca Microsoft Sentinel tarafından toplanan belirli tablolara erişim izni vekleyebilirsiniz. Ya da kaynaklarıyla ilgili işletimsel verilere ihtiyaç duyan kaynak sahiplerine güvenlikle ilgili tablolara erişimi reddedebilirsiniz.
- Tabloya göre ayrıntılı erişim denetimine ihtiyacınız yoksa: Operasyon ve güvenlik ekibine kaynaklarına erişim verin ve kaynak sahiplerinin kaynakları için kaynak bağlamı RBAC kullanmasına izin verin.
- Tabloya göre ayrıntılı erişim denetimine ihtiyacınız varsa: Tablo düzeyinde RBAC kullanarak belirli tablolara erişim izni verin veya erişimi reddedin.
Daha fazla bilgi için bkz . Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.
Dayanıklılık
Bölge hatası durumunda çalışma alanınızdaki kritik verilerin kullanılabilir olduğundan emin olmak için, verilerinizin bir bölümünü veya tümünü farklı bölgelerdeki birden çok çalışma alanına alabilirsiniz.
Bu seçenek, her çalışma alanı için diğer hizmetler ve ürünlerle tümleştirmeyi ayrı ayrı yönetmeyi gerektirir. Veriler hata durumunda alternatif çalışma alanında kullanılabilir olsa da, uyarılar ve çalışma kitapları gibi verilere dayanan kaynaklar alternatif çalışma alanına geçmeyi bilmez. Azure DevOps'ta alternatif çalışma alanı yapılandırmasıyla veya bir yük devretme senaryosunda hızla etkinleştirilebilen devre dışı ilkeler olarak kritik kaynaklar için ARM şablonlarını depolamayı göz önünde bulundurun.
Birden çok çalışma alanıyla çalışma
Birçok tasarım birden çok çalışma alanı içerir. Örneğin, bir merkezi güvenlik operasyonları ekibi analiz kuralları veya çalışma kitapları gibi merkezi yapıtları yönetmek için kendi Microsoft Sentinel çalışma alanlarını kullanabilir.
Hem Azure İzleyici hem de Microsoft Sentinel, çalışma alanları arasında bu verileri çözümlemenize yardımcı olacak özellikler içerir. Daha fazla bilgi için bkz.
- Azure İzleyici'de birden çok çalışma alanı ve uygulama arasında günlük sorgusu oluşturma
- Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme
Her çalışma alanını adlandırırken, her çalışma alanının amacını kolayca kimliklendirebilmeniz için ada anlamlı bir gösterge eklemenizi öneririz.
Birden çok kiracı stratejisi
Microsoft hizmet sağlayıcıları (MSP'ler), bağımsız yazılım satıcıları (ISV' ler) ve büyük kuruluşlar dahil olmak üzere birden çok Azure kiracısına sahip ortamlar genellikle merkezi yönetim ekibinin diğer kiracılarda bulunan çalışma alanlarını yönetme erişimine sahip olduğu bir strateji gerektirir. Kiracıların her biri ayrı müşterileri veya farklı iş birimlerini temsil edebilir.
Not
Bulut Çözümü Sağlayıcısı (CSP) programının parçası olan iş ortakları ve hizmet sağlayıcıları için Azure İzleyici'de Log Analytics, Azure CSP aboneliklerinde kullanılabilen Azure hizmetlerinden biridir.
Bu işlev için iki temel strateji aşağıdaki bölümlerde açıklanmıştır.
Dağıtılmış mimari
Dağıtılmış mimaride, her Azure kiracısında bir Log Analytics çalışma alanı oluşturulur. Bu seçenek, sanal makineler dışındaki Azure hizmetlerini izliyorsanız kullanabileceğiniz tek seçenektir.
Hizmet sağlayıcısı yöneticilerinin müşteri kiracılarındaki çalışma alanlarına erişmesine izin vermek için iki seçenek vardır:
- Her müşteri kiracısına erişmek için Azure Lighthouse'ı kullanın. Hizmet sağlayıcısı yöneticileri, hizmet sağlayıcısının kiracısında bir Microsoft Entra kullanıcı grubuna dahil edilir. Bu gruba her müşteri için ekleme işlemi sırasında erişim verilir. Yöneticiler daha sonra her müşterinin kiracısında ayrı ayrı oturum açmak zorunda kalmak yerine kendi hizmet sağlayıcısı kiracısından her müşterinin çalışma alanlarına erişebilir. Daha fazla bilgi için bkz . Müşteri kaynaklarını uygun ölçekte izleme.
- Hizmet sağlayıcısındaki tek tek kullanıcıları Microsoft Entra konuk kullanıcıları (B2B) olarak ekleyin. Müşteri kiracı yöneticileri her hizmet sağlayıcısı yöneticisi için bireysel erişimi yönetir. Hizmet sağlayıcısı yöneticilerinin bu çalışma alanlarına erişebilmesi için Azure portalındaki her kiracının dizininde oturum açması gerekir.
Bu stratejinin avantajları:
- Günlükler her tür kaynaktan toplanabilir.
- Müşteri, Azure tarafından atanan kaynak yönetimiyle belirli izin düzeylerini onaylayabilir. Veya müşteri kendi Azure RBAC'sini kullanarak günlüklere erişimi yönetebilir.
- Her müşterinin çalışma alanı için bekletme ve veri üst sınırı gibi farklı ayarları olabilir.
- Mevzuat ve uyumluluk için müşteriler arasında yalıtım.
- Her çalışma alanının ücreti, müşterinin aboneliği için faturaya eklenir.
Bu stratejinin dezavantajları:
- Azure İzleyici çalışma kitapları gibi araçlarla müşteri kiracıları genelinde verileri merkezi olarak görselleştirmek ve analiz etmek daha yavaş deneyimlere neden olabilir. Özellikle 50'den fazla çalışma alanında verileri analiz ederken bu durum söz konusudur.
- Müşteriler Azure temsilcili kaynak yönetimi için eklenmiyorsa, hizmet sağlayıcısı yöneticilerinin müşteri dizininde sağlanması gerekir. Bu gereksinim, hizmet sağlayıcısının aynı anda birçok müşteri kiracısını yönetmesini daha zor hale getirir.
Merkezi
Hizmet sağlayıcısının aboneliğinde tek bir çalışma alanı oluşturulur. Bu seçenek yalnızca müşteri sanal makinelerinden veri toplayabilir. Sanal makinelere yüklenen aracılar günlüklerini bu merkezi çalışma alanına gönderecek şekilde yapılandırılır.
Bu stratejinin avantajları:
- Birçok müşteriyi yönetmek kolaydır.
- Hizmet sağlayıcısı, günlükler ve işlevler ve kaydedilmiş sorgular gibi çeşitli yapıtlar üzerinde tam sahiplik sahibidir.
- Bir hizmet sağlayıcısı tüm müşterileri arasında analiz gerçekleştirebilir.
Bu stratejinin dezavantajları:
- Günlükler yalnızca aracılı sanal makinelerden toplanabilir. PaaS, SaaS veya Azure Service Fabric veri kaynaklarıyla çalışmaz.
- Verileri tek bir çalışma alanını paylaştığından müşteriler arasında verileri ayırmak zor olabilir. Sorguların bilgisayarın tam etki alanı adını veya Azure abonelik kimliğini kullanması gerekir.
- Tüm müşterilerin tüm verileri tek bir fatura ve aynı saklama ve yapılandırma ayarlarıyla aynı bölgede depolanır.
Hibrit
Karma modelde her kiracının kendi çalışma alanı vardır. Raporlama ve analiz için merkezi bir konuma veri çekmek için bir mekanizma kullanılır. Bu veriler, günlük istatistikler gibi az sayıda veri türünü veya etkinliğin özetini içerebilir.
Günlükleri merkezi bir konuma uygulamak için iki seçenek vardır:
- Merkezi çalışma alanı: Hizmet sağlayıcısı kiracısında bir çalışma alanı oluşturur ve verileri kiracı çalışma alanlarından bu merkezi konuma getirmek için günlük alma API'siyle Sorgu API'sini kullanan bir betik kullanır. Bir diğer seçenek de verileri merkezi çalışma alanına kopyalamak için Azure Logic Apps'i kullanmaktır.
- Power BI: Kiracı çalışma alanları, Log Analytics çalışma alanı ile Power BI arasındaki tümleştirmeyi kullanarak verileri Power BI'a aktarır.
Sonraki adımlar
- Çalışma alanında veri erişimi tasarlama ve yapılandırma hakkında daha fazla bilgi edinin.
- Microsoft Sentinel için örnek çalışma alanı mimarilerini alın.
- İşte Log Analytics çalışma alanınız için uygun yapıyı tasarlamaya ilişkin bir video: ITOps Talk:Log Analytics çalışma alanı tasarımına ayrıntılı bakış