Обзор рабочей области Log Analytics

Рабочая область Log Analytics — это хранилище данных, в котором можно собирать любые данные журнала из всех ресурсов и приложений, отличных от Azure. Параметры конфигурации рабочей области позволяют управлять всеми данными журнала в одной рабочей области, чтобы обеспечить соответствие требованиям операций, анализа и аудита различных пользователей в организации с помощью следующих действий:

• Функции Azure Monitor, такие как встроенные аналитические возможности, оповещения и автоматические действия
• Другие службы Azure, такие как Microsoft Sentinel, Microsoft Defender для облака и Logic Apps
• Средства Майкрософт, такие как Power BI и Excel
• Интеграция с пользовательскими и сторонними приложениями

В этой статье представлен обзор концепций, связанных с рабочими областями Log Analytics.

Таблицы логов

Каждая рабочая область Log Analytics содержит несколько таблиц, в которых журналы Azure Monitor хранят собранные данные.

Журналы Azure Monitor автоматически создают таблицы, необходимые для хранения данных мониторинга, собранных из среды Azure. Вы создаете пользовательские таблицы для хранения данных, собранных из ресурсов и приложений, не относящихся к Azure, на основе модели данных журнала, которые вы собираете, а также на основании того, как вы хотите хранить и использовать эти данные.

Параметры управления таблицами позволяют управлять доступом к определенным таблицам и управлять моделью данных, хранением и стоимостью данных в каждой таблице. Дополнительные сведения см. в разделе "Управление таблицами" в рабочей области Log Analytics.

Хранение данных

Рабочая область Log Analytics сохраняет данные в двух состояниях — интерактивное хранение и долгосрочное хранение.

В течение интерактивного периода хранения данные из таблицы извлекаются с помощью запросов, а данные доступны для визуализаций, оповещений и других функций и служб на основе плана таблицы.

Каждая таблица в рабочей области Log Analytics позволяет хранить данные до 12 лет по низкой цене с долгосрочным хранением. Извлечение определенных данных, необходимых из долгосрочного хранения в интерактивное хранение с помощью задания поиска. Это означает, что вы управляете данными журнала в одном месте, не перемещая данные во внешнее хранилище, и вы получаете полные возможности аналитики Azure Monitor на старых данных, когда это необходимо.

Дополнительные сведения см. в разделе "Управление хранением данных" в рабочей области Log Analytics.

Доступ к данным

Разрешение на доступ к данным в рабочей области Log Analytics определяется параметром режима управления доступом в каждой рабочей области. Вы можете предоставить пользователям явный доступ к рабочей области с помощью встроенной или настраиваемой роли. Также вы можете разрешить доступ к данным, собранным для ресурсов Azure, пользователям с доступом к этим ресурсам.

Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

Просмотр аналитических сведений о рабочей области Log Analytics

Log Analytics Workspace Insights помогает управлять и оптимизировать рабочие области Log Analytics, предоставляя полное представление об использовании, производительности, работоспособности, вводе данных, запросах и журналах изменений.

Преобразование данных, которые вы загружаете в рабочую область Log Analytics

Правила сбора данных (DCR), которые определяют данные, поступающие в Azure Monitor, могут содержать преобразования, позволяющие фильтровать и преобразовывать данные перед их передачей в рабочую область. Каждая рабочая область может иметь DCR преобразования рабочей области, так как еще не все источники данных поддерживают DCR.

Преобразования в DCR преобразовании рабочей области определяются для каждой таблицы и применяются ко всем данным, которые отправляются в эту таблицу, даже если они поступают из нескольких источников. Эти преобразования применяются только к рабочим процессам, которые еще не используют DCR. Например, агент Azure Monitor использует правило сбора данных, чтобы определить данные, собираемые с виртуальных машин. Эти данные не будут подвергаться никаким преобразованиям при загрузке, определённым в рабочем пространстве.

Например, у вас могут быть параметры диагностики, которые отправляют в рабочую область журналы ресурсов для различных ресурсов Azure. Можно создать преобразование для таблицы, собирающей журналы ресурсов, которое отфильтровывает в этих данных только нужные записи. Этот метод позволяет вам сэкономить затраты на ингестацию записей, которые вам не нужны. Также вам может потребоваться извлечь важные данные из определенных столбцов и сохранить их в других столбцах рабочей области для поддержки более простых запросов.

Себестоимость

Создание и обслуживание рабочей области не предусматривает прямых затрат. Плата за данные, которые вы вводите в рабочую область, а также за хранение данных взимается на основе плана таблицы каждой таблицы.

Сведения см. на странице цен на Azure Monitor. Рекомендации по снижению затрат см. в статье Рекомендации по Azure Monitor — управление затратами. Если вы используете рабочую область Log Analytics со службами, отличными от Azure Monitor, сведения о ценах см. в документации по этим службам.

Разработка архитектуры рабочей области Log Analytics для решения конкретных бизнес-потребностей

Вы можете использовать одно рабочее пространство для сбора всех данных. Однако можно также создать несколько рабочих областей на основе конкретных бизнес-требований, таких как нормативные или соответствующие требования для хранения данных в определенных расположениях, разделения выставления счетов и устойчивости.

Рекомендации по созданию нескольких рабочих областей см. в статье "Проектирование конфигурации рабочей области Log Analytics".

Следующие шаги

• Создайте новую рабочую область Log Analytics.
• Рекомендации по созданию нескольких рабочих областей см. в статье Проектирование конфигурации рабочей области Log Analytics.
• Узнайте о запросах журналов для извлечения и анализа данных из рабочей области службы Log Analytics.