Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Monitor Logs — централизованная облачная платформа (SaaS) для сбора, анализа и использования телеметрических данных, генерируемых ресурсами и приложениями как в Azure, так и вне его.
Вы можете собирать логи, управлять данными логов и затратами, а также использовать различные типы данных в одной рабочей области Log Analytics, основном ресурсе Azure Monitor Logs. Эта архитектура означает, что вам никогда не нужно перемещать данные или управлять другим хранилищем, и вы можете хранить различные типы данных до тех пор, пока вам потребуется.
В этой статье представлен обзор того, как работают журналы Azure Monitor, и объясняется, как они удовлетворяют потребности и навыки разных ролей в организации.
Примечание.
Azure Monitor журналы — это одна из частей платформы данных, поддерживающей Azure Monitor. Другая половина — Azure Monitor Metrics, в которой хранятся числовые данные в базе данных временных рядов.
Принцип работы журналов Azure Monitor
журналы Azure Monitor предоставляют следующие средства:
- Соберите любые данные с помощью методов сбора данных Azure Monitor. Преобразование данных на основе ваших потребностей в оптимизации затрат, удалении персональных данных и т. д. Перенаправьте данные в таблицы в рабочей области Log Analytics.
- Управляйте и оптимизируйте данные журнала и затраты путем настройки рабочего пространства Log Analytics и таблиц журналов, включая схемы таблиц, планы таблиц, хранение данных, агрегирование данных, кто имеет доступ к каким данным и затраты, связанные с журналами.
- Извлекайте данные в практически реальном времени с помощью языка запросов Kusto (KQL) или инструментов и функций на основе KQL, которые не требуют знаний KQL, таких как простой режим в интерфейсе пользователя Log Analytics, предварительно подготовленные решения для мониторинга, называемые Insights, а также предопределенные запросы.
- Использовать данные гибко для различных вариантов использования, включая анализ данных, устранение неполадок, оповещения, панели мониторинга и отчеты, пользовательские приложения и другие Azure или службы, отличные от Azure.
Сбор данных, маршрутизация и преобразование
возможности сбора данных Azure Monitor позволяют собирать данные из всех приложений и ресурсов, работающих в Azure, других облаках и локальной среде. Мощный конвейер приема позволяет фильтровать, преобразовывать и маршрутизацию данных в целевые таблицы в рабочей области Log Analytics для оптимизации затрат, возможностей аналитики и производительности запросов.
Диаграмма, показывающая сбор данных из источников и их преобразование и отправку в таблицы рабочего пространства Log Analytics.
Дополнительные сведения о сборе и преобразовании данных см. в разделах источники данных и методы сбора данных в Azure Monitor и трансформации сбора данных в Azure Monitor.
Рабочая область Log Analytics
Рабочая область Log Analytics — это хранилище данных, в котором хранятся таблицы, в которые собираются данные.
Для решения потребностей хранения данных и потребления различных пользователей, использующих рабочую область Log Analytics, можно:
- Определите планы таблиц на основе потребностей управления затратами и потребления данных.
- Управляйте недорогим долгосрочным хранением и хранением данных для аналитики для каждой таблицы.
- Управление доступом к рабочей области и определенным таблицам.
- Используйте сводные правила для агрегирования данных в сводных таблицах. Этот подход оптимизирует собранные данные с течением времени для практических аналитических сведений и использования в текущих анализах, панелях мониторинга и бизнес-отчетах.
- Создание готовых к выполнению сохраненных запросов, визуализаций и оповещений, адаптированных для конкретных лиц.
Вы также можете настроить сетевую изоляцию, реплицировать рабочую область в разных регионах и разработать архитектуру рабочей области на основе ваших бизнес-потребностей.
Планы таблиц
Одну рабочую область Log Analytics можно использовать для хранения любого типа журнала, необходимого для любой цели. Например:
- Подробные данные с большим объемом, которые требуют дешевого долгосрочного хранилища для аудита и соответствия требованиям
- Данные приложений и ресурсов для устранения неполадок разработчиками
- Ключевые данные о событиях и производительности для масштабирования и для оповещений, чтобы обеспечить постоянное оперативное совершенство и безопасность
- Агрегированные долгосрочные тенденции данных для расширенной аналитики и машинного обучения
Планы таблиц позволяют управлять затратами на данные на основе частоты использования данных в таблице и типах анализа, для которых требуются данные.
В следующем видео представлен обзор того, как таблицы планов позволяют включить многоуровневое ведение журнала в Azure Monitor Logs.
Схема и таблица сравнивают планы аналитики, базовых и вспомогательных таблиц. Сведения об интерактивном и долгосрочном хранении см. в разделе Манаж хранения данных в рабочей области Log Analytics. Сведения о выборе или изменении плана таблицы см. в разделе "Выбор плана таблицы".
| Компоненты | Аналитика | Базовая | Вспомогательный |
|---|---|---|---|
| Лучше всего подходит для | Высокозначные данные, используемые для непрерывного мониторинга, обнаружения в режиме реального времени и анализа производительности. | Данные со средним уровнем детализации, необходимые для устранения неполадок и реагирования на инциденты. | Данные с низким уровнем взаимодействия, такие как подробные журналы, и данные, необходимые для аудита и соблюдения нормативных требований. |
| Поддерживаемые типы таблиц | Все типы таблиц | Azure таблицы, поддерживающие базовые журналы и пользовательские таблицы на основе DCR | Пользовательские таблицы на основе DCR |
| Стоимость приема | Стандартные | Сниженная | Минимальные |
| Цена запроса включена | ✅ | ❌ | ❌ |
| Оптимизированная производительность запросов | ✅ | ✅ |
❌ Медленные запросы. Хорошо подходит для аудита. Не оптимизирован для анализа в режиме реального времени. |
| Возможности запросов | Полные возможности запроса. | Полный язык запросов Kusto (KQL) для одной таблицы, который можно расширить с помощью данных из таблицы Аналитики с использованием функции lookup. | Полный KQL в одной таблице, которую можно расширить данными из таблицы Analytics, используя поиск. |
| Оповещения | ✅ | ✅ (Простые уведомления журнала) | ❌ |
| Статистика | ✅ | ❌ | ❌ |
| Панели мониторинга | ✅ | ✅ Затраты на запрос обновлений панели мониторинга не включены.1 | Возможно, но она медленно обновляется, расходы на запрос при обновлении панели мониторинга не включены.1 |
| Экспорт данных | ✅ | ✅ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| Задания поиска | ✅ | ✅ | ✅ |
| Сводные правила | ✅ | ✅ KQL ограничен одной таблицей | ✅ KQL ограничен одной таблицей |
| Восстановить | ✅ | ✅ | ❌ |
| Политика хранения аналитических данных | 30 дней (90 дней для Microsoft Sentinel и Application Insights). Может быть продлено до двух лет по пропорциональной ежемесячной долгосрочной оплате хранения. |
Не применимо | Не применимо |
| Общее удержание | До 12 лет | До 12 лет | До 12 лет |
1 Базовые и Вспомогательные планы таблиц на данный момент поддерживают Рабочие книги и Grafana, а панели мониторинга Azure Monitor не поддерживаются.
Примечание.
Базовые и вспомогательные планы таблиц недоступны для рабочих областей в устаревших ценовых категориях.
Примечание.
Azure Monitor в настоящее время не поддерживает следующие функции в таблице вспомогательного плана:
- Репликация рабочей области Log Analytics; Azure Monitor не реплицирует данные в таблицах с вспомогательным планом во вторичную рабочую область. Данные не защищены от потери в случае регионального сбоя и недоступны, когда вы переключаетесь на вторичное рабочее пространство.
- Customer Lockbox для Microsoft Azure; Интерфейс Lockbox не применяется к таблицам на вспомогательном плане. Этот интерфейс обычно выполняет проверку и утверждение или отклонение запросов на доступ к данным клиента в ответ на запрос в службу поддержки, инициированный клиентом, или проблема, определяемая Майкрософт,
Язык запросов Kusto (KQL) и Log Analytics
Используйте запрос Kusto Query Language (KQL) для получения данных из рабочей области Log Analytics. Запросы KQL в Log Analytics — это запросы только для чтения, обрабатывающие данные и возвращающие результаты. Это мощный инструмент, который может быстро анализировать миллионы записей. Используйте KQL для изучения журналов, преобразования и агрегирования данных, выявления шаблонов, аномалий, выбросов и т. д.
Log Analytics — это средство на портале Azure для выполнения запросов журналов и анализа их результатов. Log Analytics простой режим позволяет любому пользователю независимо от их знаний KQL извлекать данные из одной или нескольких таблиц с одним щелчком мыши. Набор элементов управления позволяет просматривать и анализировать полученные данные с помощью наиболее популярных функций журналов Azure Monitor, предоставляя интуитивное взаимодействие в стиле электронной таблицы.
Если вы знакомы с KQL, вы можете использовать Log Analytics режим KQL для редактирования и создания запросов. Затем используйте эти запросы в функциях Azure Monitor, таких как оповещения и рабочие книги, или поделитесь ими с другими пользователями.
Дополнительные сведения о Log Analytics см. в разделе Overview Log Analytics in Azure Monitor.
Встроенные аналитические сведения и пользовательские панели мониторинга, книги и отчеты
Многие Azure Monitor ready-to-use, curated Insights experiences хранят данные в журналах Azure Monitor. Они представляют эти данные интуитивно понятным образом, чтобы отслеживать производительность и доступность облачных и гибридных приложений и их вспомогательных компонентов.
Создавайте собственные визуализации и отчеты с помощью рабочих книг, дашбордов и Power BI. Azure Monitor также интегрируется с Управление Azure для Grafana для предоставления встроенных панелей мониторинга Grafana на портале Azure для определенных служб, таких как База данных Azure для PostgreSQL. Эти панели мониторинга визуализируют метрики реального времени, такие как центральный процессор, хранилище и активные подключения. Они поддерживают сопоставление метрик с журналами ресурсов для устранения неполадок.
Совет
Вместо выполнения сложных запросов на большие наборы данных или длительные диапазоны времени используйте сводные правила для агрегирования данных для пользовательских панелей мониторинга, книг и отчетов. Сводные правила агрегируют данные из одной или нескольких таблиц по мере поступления данных в рабочую область Log Analytics. Визуализация агрегированных данных непосредственно из пользовательской таблицы сводных данных вместо запроса необработанных данных из одной или нескольких таблиц, повышает производительность запросов и уменьшает ошибки и время ожидания запросов.
Случаи использования
В этой таблице описаны некоторые способы использования данных, собранных в Azure Monitor журналах, для получения операционной и бизнес-ценности.
| Возможность | Описание |
|---|---|
| Анализировать | Используйте Log Analytics на портале Azure для записи запросов log и интерактивного анализа данных журнала с помощью мощного механизма анализа. |
| Агрегированное | Используйте сводные правила для агрегирования информации, необходимой для оповещения и анализа из необработанных данных журнала, которые вы собираете. Эта агрегирование оптимизирует затраты, возможности анализа и производительность запросов. |
| Обнаружение и анализ аномалий | Используйте встроенные или настраиваемые алгоритмы обнаружения аномалий для выявления необычных шаблонов или поведения в данных журнала. Этот подход помогает в начале обнаружения потенциальных проблем. |
| Предупреждение | Настройте правило генерации оповещений поиска по журналам или оповещение метрик для отправки уведомления или автоматического действия при возникновении определенного условия. |
| Визуализировать | Закрепите результаты запроса, отображаемые в виде таблиц или диаграмм, на панели Azure. Создайте рабочую книгу для объединения нескольких наборов данных в интерактивный отчет. Экспортируйте результаты запроса в Power BI для использования различных визуализаций и совместного использования с людьми за пределами Azure. Экспортируйте результаты запроса в решение Grafana, чтобы использовать его панель мониторинга и объединять результаты с данными из других источников. Некоторые службы Azure, такие как База данных Azure для PostgreSQL, также имеют встроенные панели мониторинга Grafana на портале Azure на основе Azure Monitor. |
| Получайте аналитику | Аналитика предоставляет настраиваемый интерфейс мониторинга для определенных ресурсов и служб. |
| Извлечь | Доступ к результатам запроса журнала из:
|
| Импорт | Отправка журналов из пользовательского приложения с помощью API REST или клиентской библиотеки для .NETGo, Java, JavaScript или Python. |
| Экспорт (Export) | Настройте автоматизированный экспорт данных журнала в учетную запись служба хранилища Azure или Центры событий Azure. Создайте рабочий процесс для получения данных журнала и скопируйте их во внешнее расположение с помощью Azure Logic Apps. |
| Принесите свой собственный анализ | Анализируйте данные в журналах Azure Monitor Logs, используя записную книжку для создания упрощённых многоэтапных процессов на основе данных, которые вы собираете в Azure Monitor Logs. Этот подход особенно полезен для таких целей, как создание и запуск конвейеров машинного обучения, расширенный анализ и руководства по устранению неполадок для потребностей службы поддержки. |
| Сохранение данных для аудита и соответствия требованиям | Отправляйте данные непосредственно в таблицу с вспомогательным планом и расширяйте срок хранения данных в любой таблице , чтобы хранить данные для аудита и соответствия требованиям до 12 лет. План вспомогательных таблиц с низкой стоимостью и долгосрочным хранением данных в рабочем пространстве позволяет сократить затраты и быстро и легко использовать данные при необходимости. |
Работа с Microsoft Sentinel и Microsoft Defender для облака
Microsoft Sentinel и Microsoft Defender для облака выполняют мониторинг безопасности в Azure.
Эти службы хранят свои данные в журналах Azure Monitor, чтобы вы могли анализировать их вместе с другими данными журналов, собранными Azure Monitor.
Подробнее
| Сервис | Дополнительные сведения |
|---|---|
| Microsoft Sentinel |
|
| Microsoft Defender для облака |
Связанный контент
- Узнайте о запросах log для получения и анализа данных из рабочей области Log Analytics.
- Узнайте о метриках в Azure Monitor.
- Узнайте о данных мониторинга, доступных для различных ресурсов в Azure.