Azure 監視器記錄概觀 (機器翻譯)
Azure 監視器記錄是集中式軟體即服務 (SaaS) 平台,可用來收集、分析和處理 Azure 和非 Azure 資源與應用程式所產生的遙測資料。
您可以在一個 Log Analytics 工作區 (主要 Azure 監視器記錄資源) 中收集記錄、管理記錄資料模型和成本,以及取用不同類型的資料。 這表示您永遠不需要移動資料或管理其他儲存體,而且您可以視需要的時間長短保留不同的資料類型。
本文概述 Azure 監視器記錄的運作方式,並說明其如何解決組織中不同角色的需求和技能。
注意
Azure 監視器記錄是支援 Azure 監視器的兩個資料平台之一。 另一個是 Azure 監視器計量,此平台會將數值資料儲存在時間序列資料庫中。
Azure 監視器記錄的運作方式
Azure 監視器記錄為您提供下列工具:
- 使用 Azure 監視器資料收集方法收集任何資料。 根據需求轉換資料,以將成本最佳化、移除個人資料等等,並將資料路由至 Log Analytics 工作區中的資料表。
- 藉由設定 Log Analytics 工作區和記錄資料表,包括資料表結構描述、資料表方案、資料保留、資料彙總、誰可以存取哪些資料和記錄相關成本,來管理和最佳化記錄資料和成本。
- 以近乎即時的方式擷取資料,方法是使用 Kusto 查詢語言 (KQL) 或不需要 KQL 知識的 KQL 型工具和功能,例如 Log Analytics 使用者介面中的簡單模式、預先建置的策展監視體驗,稱為深入解析,以及預先定義的查詢。
- 靈活使用資料,針對廣泛使用案例,包括資料分析、疑難排解、警示、儀表板和報表、自訂應用程式,以及其他 Azure 或非 Azure 服務。
資料收集、路由和轉換
Azure 監視器的資料收集功能可讓您從 Azure、其他雲端和內部部署中執行的所有應用程式和資源收集資料。 強大的擷取管線可讓您篩選、轉換及將資料路由至 Log Analytics 工作區中的目的地資料表,以將成本、分析功能和查詢效能最佳化。
如需資料收集和轉換的詳細資訊,請參閱 Azure 監視器資料來源和資料收集方法和 Azure 監視器中的資料收集轉換。
Log Analytics 工作區
Log Analytics 工作區是資料存放區,保存您在其中收集資料的資料表。
若要解決使用 Log Analytics 工作區的各種角色的資料儲存體和使用量需求,您可以:
- 根據您的資料使用量和成本管理需求定義資料表方案。
- 針對每個資料表管理低成本長期保留和互動式保留。
- 針對工作區和特定資料表管理存取權。
- 在摘要資料表中使用摘要規則來彙總重要資料。 這可讓您將資料最佳化,以方便使用和取得可採取動作的深入解析,並將未經處理資料儲存在具有低成本資料表方案的資料表中,可儲存您需要的任意時間。
- 建立準備執行的儲存查詢、視覺效果,以及針對特定角色量身打造的警示。
您也可以設定網路隔離、跨區域複寫工作區,以及根據您的業務需求設計工作區結構。
資料表方案
您可以使用一個 Log Analytics 工作區針對任何用途儲存任何類型的記錄。 例如:
- 需要便宜長期儲存體進行稽核和合規性的大量、詳細資訊資料
- 開發人員進行疑難排解的應用程式和資源資料
- 調整和警示的重要事件和效能資料,以確保持續卓越營運和安全性
- 進階分析和機器學習的彙總長期資料趨勢
資料表方案可讓您根據在資料表中使用資料的頻率,以及您需要資料的分析類型,來管理資料成本。
此影片提供資料表方案如何在 Azure 監視器記錄中啟用多層式記錄:
以下圖表和資料表會比較分析、基本和輔助資料表方案。 如需互動式和長期保留的詳細資訊,請參閱管理 Log Analytics 工作區中的資料保留。 如需如何選取或修改資料表方案的詳細資訊,請參閱選取資料表方案。
| 功能 | 分析 | 基本 | 輔助 (預覽) |
|---|---|---|---|
| 適用對象 | 用於持續監視、即時偵測和效能分析的高價值資料。 | 疑難排解和事件回應所需的中等接觸資料。 | 低接觸資料,例如詳細資訊記錄,以及稽核和合規性所需的資料。 |
| 支援資料表類型 | 所有資料表類型 | 支援基本記錄的 Azure 資料表和 DCR 型自訂資料表 | DCR 型自訂資料表 |
| 擷取成本 | 標準 | 減少 | 最小 |
| 包含查詢價格 | ✅ | ❌ | ❌ |
| 最佳化查詢效能 | ✅ | ✅ | ❌ 速度緩慢的查詢。 適用於稽核。 未針對即時分析最佳化。 |
| 查詢功能 | 完整查詢功能。 | 單一資料表上的完整 Kusto 查詢語言 (KQL),您可以使用查閱從分析資料表擴充資料。 | 單一資料表上的完整 KQL,您可以使用查閱從分析資料表擴充資料。 |
| 警示 | ✅ | ❌ | ❌ |
| 深入解析 | ✅ | ❌ | ❌ |
| 儀表板 | ✅ | ✅ 不包含儀表板重新整理的每個查詢成本。 | 可能,但重新整理速度很慢,不包含儀表板重新整理的每個查詢成本。 |
| 資料匯出 | ✅ | ✅ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| 搜尋作業 | ✅ | ✅ | ✅ |
| 摘要規則 | ✅ | ✅ KQL 限制為單一資料表 | ✅ KQL 限制為單一資料表 |
| Restore | ✅ | ✅ | ❌ |
| 互動式保留 | 30 天 (針對 Microsoft Sentinel 和 Application Insights 為 90 天)。 可以按比例計算的每月長期保留費用延長至最多兩年。 |
30 天 | 30 天 |
| 保留總計 | 最多 12 年 | 最多 12 年 | 最多 12 年* *公開預覽限制:輔助方案保留總計目前固定為 365 天。 |
Kusto 查詢語言 (KQL) 和 Log Analytics
您可以使用 Kusto 查詢語言 (KQL) 查詢從 Log Analytics 工作區擷取資料,這是處理資料並傳回結果的唯讀要求。 KQL 是功能強大的工具,可快速分析數百萬筆記錄。 使用 KQL 來探索您的記錄、轉換和彙總資料、探索模式、識別異常和極端值等等。
Azure 入口網站中的 Log Analytics 是可用於執行記錄查詢及分析其結果的工具。 Log Analytics 簡單模式可讓不論 KQL 知識有多少的任何使用者,只要按一下即可從一或多個資料表擷取資料。 一組控制項可讓您使用直覺式試算表格式體驗中最熱門的 Azure 監視器記錄功能來探索和分析擷取的資料。
如果您熟悉 KQL,您可以使用 Log Analytics KQL 模式來編輯和建立查詢,然後可在 Azure 監視器功能中使用查詢,例如警示和活頁簿,或與其他使用者共用。
如需 Log Analytics 的詳細資訊,請參閱 Azure 監視器中的 Log Analytics 概觀。
內建深入解析和自訂儀表板、活頁簿和報表
許多 Azure 監視器的隨時可用、策劃的 Insights 體驗將資料儲存在 Azure 監視器記錄中,並以直覺式方式呈現此資料,讓您可以監視雲端和混合式應用程式及其支援元件的效能和可用性。
您也可以使用活頁簿、儀表板和 Power BI 建立自己的視覺效果和報表。
使用案例
下表描述您可以使用在 Azure 監視器記錄中收集的資料來衍生作業和商務價值的一些方式。
| 功能 | 描述 |
|---|---|
| 分析 | 在 Azure 入口網站中使用 Log Analytics 來撰寫 記錄查詢,並使用強大的分析引擎以互動方式分析記錄資料。 |
| 彙總 | 使用摘要規則,從您擷取的原始記錄資料彙總警示和分析所需的資訊。 這可讓您將成本、分析功能和查詢效能最佳化。 |
| 偵測和分析異常 | 使用內建或自訂異常偵測演算法來識別記錄資料中的異常模式或行為。 這有助於早期偵測潛在問題。 |
| Alert | 設定記錄搜尋警示規則或記錄的計量警示,以在發生特定條件時傳送通知或採取自動化動作。 |
| 視覺化 | 將轉譯為表格或圖表的查詢結果釘選到 Azure 儀表板。 建立活頁簿,以在互動式報告中與多組資料結合。 將查詢的結果匯出到 Power BI 以使用不同的視覺效果,並與 Azure 外部的人員共用。 將查詢的結果匯出至 Grafana 以使用其儀表板功能,並結合其他資料來源。 |
| 取得見解 | 深入解析可為特定資源和服務提供自訂的監視體驗。 |
| Retrieve | 從下列中存取記錄查詢結果:
|
| Import | 從 透過 REST API 的自訂應用程式,或是 .NET、Go、Java、JavaScript 或 Python 的用戶端程式庫中上傳記錄。 |
| Export | 設定自動將記錄資料匯出至 Azure 儲存體帳戶或 Azure 事件中樞。 建立工作流程來擷取記錄資料,並使用 Azure Logic Apps 將其複製到外部位置。 |
| 攜帶您自己的分析 | 使用筆記本分析 Azure 監視器記錄中的資料,以根據您在 Azure 監視器記錄中所收集的資料來建立簡化的多步驟流程。 這對於建置和執行機器學習管線、進階分析和疑難解答指南 (TSG) 以滿足支援需求等目的特別有用。 |
| 針對稽核和合規性保留資料 | 使用輔助方案將資料直接傳送至資料表,並延伸任何資料表中的資料保留期,以將資料保留最多 12 年。 成本低廉的輔助資料表方案和工作區中的長期保留可讓您降低成本,並在需要資料時快速且輕鬆地使用您的資料。 |
使用 Microsoft Sentinel 和適用於雲端的 Microsoft Defender
Microsoft Sentinel 和適用於雲端的 Microsoft Defender 會在 Azure 中執行安全性監視。
這些服務會將其資料儲存在 Azure 監視器記錄中,以便它可以與 Azure 監視器所收集的其他記錄資料一起進行分析。
深入了解
| 服務 | 其他相關資訊 |
|---|---|
| Microsoft Sentinel | |
| 適用於雲端的 Microsoft Defender |
下一步
- 了解記錄查詢,以從 Log Analytics 工作區擷取和分析資料。
- 了解 Azure 監視器中的計量。
- 深入了解可用於 Azure 中不同資源的監視資料。