Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Рабочие области Log Analytics в Azure Monitor — это централизованные репозитории для сбора, хранения и анализа данных журнала и производительности из различных источников в среде Azure. Эти рабочие области служат основным приемником данных для мониторинга сведений и поддержки расширенных возможностей запросов, визуализации и оповещений, которые помогут получить аналитические сведения о работоспособности и производительности рабочей нагрузки.
В этой статье предполагается, что в качестве архитектора вы понимаете важность комплексного мониторинга и наблюдаемости для рабочей нагрузки и выбрали рабочие области Log Analytics в рамках стратегии мониторинга. В этой статье приведены рекомендации по архитектуре, связанные с принципами столпов Well-Architected фреймворка Azure.
Область технологии
В этом обзоре рассматриваются взаимосвязанные решения для следующих ресурсов Azure:
- Рабочие области Log Analytics
Надежность
Цель компонента надежности заключается в обеспечении непрерывной функциональности путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка для проверки надежности. Определите свою релевантность бизнес-требований, учитывая характер приложения и критически важное значение его компонентов. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите ограничения служб для рабочих областей Log Analytics: В разделе ограничений службы описываются ограничения на сбор данных, хранение данных и другие аспекты службы. Эти ограничения помогают разработать эффективную стратегию наблюдения за рабочей нагрузкой. Убедитесь, что вы просматриваете ограничения службы Azure Monitor , так как многие функции, такие как запросы, работают в тандеме с рабочими областями Log Analytics.
Планирование устойчивости и восстановления рабочей области: Рабочие области Log Analytics являются региональными и не поддерживают встроенную поддержку межрегиональная избыточность или репликация. Параметры избыточности зоны доступности ограничены. Из-за этих ограничений необходимо определить требования к надежности рабочих областей и стратегизировать для удовлетворения этих целей.
Требования могут указывать на то, что рабочая область должна быть устойчивой к сбоям центра обработки данных или региональным сбоям. Или они могут указать, что вы должны иметь возможность восстановить данные в новой рабочей области в регионе отработки отказа.
Для каждого из этих сценариев требуются дополнительные ресурсы и процессы, поэтому тщательно рассмотрим, как сбалансировать целевые показатели надежности с затратами и сложностью.
Выберите нужные регионы развертывания, чтобы соответствовать вашим требованиям к надежности: Разверните рабочую область Log Analytics и конечные точки сбора данных (DCEs) с компонентами рабочей нагрузки, которые выдают операционные данные. При развертывании рабочей нагрузки следует сообщить о выбранном регионе, в котором будет развернута рабочая область и контроллеры домена.
Возможно, потребуется взвесить региональную доступность определенных функциональных возможностей Log Analytics, таких как выделенные кластеры, в отношении других факторов, которые более важны для надежности, затрат и требований к производительности рабочей нагрузки.
Исключите рабочие области из зависимостей критического пути: Рабочие области Log Analytics служат важными компонентами системы наблюдения, но их не следует включать в критически важный путь рабочей нагрузки. Эти рабочие области собирают и хранят операционные данные, необходимые для мониторинга и устранения неполадок. Однако основные функциональные возможности рабочей нагрузки должны оставаться независимо от доступности рабочей области. Это разделение архитектуры гарантирует, что системные сбои системы наблюдения не каскады в сбои среды выполнения рабочей нагрузки.
Убедитесь, что системы наблюдаемости работоспособны: Как и любой другой компонент рабочей нагрузки, убедитесь, что системы мониторинга и ведения журнала работают правильно. Чтобы обеспечить надежную наблюдаемость, включите функции, которые отправляют сигналы о работоспособности данных в команды операций. Настройте сигналы о работоспособности, относящиеся к рабочим областям Log Analytics и связанным ресурсам.
Рекомендации по конфигурации
| Рекомендация | Преимущества |
|---|---|
| Чтобы обеспечить высокую устойчивость данных рабочей области, разверните рабочие области Log Analytics в регионе , который поддерживает устойчивость данных. | Устойчивость данных распространяет реплики данных журнала между зонами доступности, которые обеспечивают защиту от сбоев центра обработки данных. |
| Рассмотрите возможность связывания рабочей области с выделенным кластером в одном регионе. | Даже если вы не собираете достаточно данных, чтобы оправдать выделенный кластер, этот предварительный региональный выбор помогает поддерживать будущий рост. |
| Разверните рабочую область в том же регионе, что и экземпляры рабочей нагрузки. Используйте контроллеры домена в том же регионе, что и рабочая область Log Analytics. Если рабочая нагрузка развернута в активной структуре, рассмотрите возможность использования нескольких рабочих областей и контроллеров домена, распределенных по регионам, в которых развернута рабочая нагрузка. |
Наличие рабочей области и контроллеров домена в том же регионе, что и рабочая нагрузка, снижает риск последствий сбоев в других регионах. Развертывание рабочих областей в нескольких регионах повышает сложность среды, но обеспечивает более высокую доступность для географически распределенных рабочих нагрузок. |
| Настройте многоадресную рассылку журналов для отправки критически важных данных в несколько рабочих областей в разных регионах, когда требуется доступность рабочей области во время региональных сбоев. Настройте правила сбора данных (DCR) и параметры диагностики , чтобы дублировать критически важные потоки журналов в рабочие области резервного копирования. Сохраните шаблоны Azure Resource Manager (шаблоны ARM) для оповещения ресурсов с альтернативными конфигурациями рабочей области, чтобы обеспечить быструю отработку отказа. |
Многоадресная рассылка журналов обеспечивает непрерывный доступ к критически важным операционным данным для устранения неполадок и реагирования на инциденты во время региональных сбоев. Этот доступ обеспечивает видимость работоспособности рабочей нагрузки при недоступности основной инфраструктуры мониторинга. Компромисс. Эта конфигурация приводит к дубликату приема и хранения, поэтому используйте его только для критически важных данных. |
| Если требуется защитить данные в центре обработки данных или регионе, настройте экспорт данных из рабочей области для сохранения данных в альтернативном расположении. Используйте параметры избыточности службы хранилища Azure, включая геоизбыточное хранилище (GRS) и геоизбыточное хранилище (GZRS), чтобы дополнительно реплицировать эти данные в другие регионы. Экспорт данных не обеспечивает устойчивость к инцидентам, влияющим на региональный конвейер приема данных. Если требуется экспорт таблиц, не поддерживаемых экспортом данных, можно использовать другие методы экспорта данных, включая Azure Logic Apps, для защиты данных. |
Исторические данные журнала операций могут не быть легко запрашиваемыми в экспортируемом состоянии. Однако это гарантирует, что данные сохраняются в течение длительного регионального сбоя и могут быть доступны и сохранены в течение длительного периода. |
| Для критически важных рабочих нагрузок рекомендуется реализовать федеративную модель рабочей области, которая использует несколько рабочих областей для обеспечения высокой доступности при возникновении регионального сбоя. Чтобы реализовать этот подход, следуйте инструкциям, описанным в статье "Моделирование работоспособности и наблюдаемость критически важных рабочих нагрузок в Azure " для разработки высоконадежных приложений в Azure. |
Методология проектирования включает в себя федеративную модель рабочей области с несколькими рабочими областями Log Analytics для обеспечения высокой доступности при наличии нескольких сбоев, включая сбой региона Azure. Эта стратегия устраняет затраты исходящего трафика между регионами, и рабочая нагрузка остается рабочей нагрузкой в состоянии сбоя региона. |
| Проектирование контроллеров домена с помощью единого принципа ответственности для обеспечения простого и минимизации преобразования правил DCR в контроллерах домена, как описано в рекомендациях по созданию правил сбора данных и управлению ими. Используйте композицию назначений правил для достижения требуемой области наблюдаемости для логического целевого объекта. |
При использовании узко ориентированных контроллеров домена он сводит к минимуму риск неправильной настройки правила с более широким эффектом. Он также ограничивает эффект только области, для которой был создан DCR. Преобразование может быть мощным и необходимым в некоторых сценариях, но это может быть сложно проверить и устранить неполадки языка запросов ключевых слов (KQL). |
| Настройте параметры ежедневного ограничения , чтобы предотвратить прием отключаемого при сохранении критически важных операционных данных. Задайте ограничение над типичным ежедневным объемом приема и создайте оповещения при приближении емкости для исследования до остановки сбора критически важных данных. Установите политики хранения данных , которые соответствуют требованиям к устранению неполадок и реагированию на инциденты. Этот подход сохраняет критически важные типы журналов в течение достаточного периода для поддержки анализа первопричин. |
Ежедневные ограничения помогают обеспечить непрерывную доступность важных данных по устранению неполадок во время сбоев и инцидентов, предотвращая нарушение конфигурации от нарушения критической коллекции журналов, необходимой для быстрого реагирования на инциденты. Правильные политики хранения поддерживают доступ к историческим операционным данным, необходимым для анализа эффективных первопричин, идентификации тенденций и распознавания шаблонов, которые поддерживают надежные операции рабочей нагрузки и быстрее время восстановления. |
| Используйте Log Analytics Workspace Insights для отслеживания объема приема, приема данных и ограничения данных, неответственных источников журналов и неудачных запросов, среди прочего. Создайте оповещения о состоянии работоспособности для упреждающего уведомления о недоступности рабочей области из-за сбоя центра обработки данных или регионального сбоя. |
Аналитика рабочей области помогает обеспечить успешное отслеживание работоспособности рабочих областей и упреждающее действие, если работоспособность рабочей нагрузки подвержена риску снижения. Как и во всех остальных компонентах рабочей нагрузки, важно знать метрики работоспособности и выявлять тенденции повышения надежности с течением времени. |
Безопасность
Цель компонента "Безопасность" — обеспечить конфиденциальности, целостности и доступности гарантии рабочей нагрузки.
Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию вокруг решения мониторинга и ведения журнала.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования, основываясь на контрольном списке проверки проектирования для безопасности, и выявляйте уязвимости и меры управления для улучшения состояния безопасности.
Ознакомьтесь с рекомендациями по обеспечению безопасности: Ознакомьтесь с рекомендациями по обеспечению безопасности в базовых показателях безопасности Azure Monitor и управлении доступом к рабочим областям Log Analytics .
Развертывание рабочих областей с сегментацией в качестве основы: Реализуйте сегментацию на уровне сети, данных и доступа. Сегментация помогает обеспечить изоляцию рабочих областей в соответствующей степени. Она также помогает защитить рабочие области от несанкционированного доступа к максимально возможной степени, несмотря на то, что бизнес-требования по-прежнему соответствуют вашим бизнес-требованиям для обеспечения надежности, оптимизации затрат, повышения эффективности работы и производительности.
Убедитесь, что рабочая область может выполнять аудит операций чтения и записи действий и связанных удостоверений: Злоумышленники могут воспользоваться просмотром операционных журналов. Скомпрометированное удостоверение может привести к атакам на внедрение журналов. Включите аудит операций, выполняемых с портала Azure или с помощью взаимодействий с API и связанных пользователей.
Если вы не настроены для аудита рабочей области, вы можете поставить организацию под угрозу нарушения требований соответствия требованиям.
Реализуйте надежные сетевые элементы управления: Помогите защитить сетевой доступ к рабочей области и журналам с помощью функций сетевой изоляции и брандмауэра. Недостаточно настроенные сетевые элементы управления повышают риск несанкционированного или вредоносного доступа.
Определите, какие типы данных требуют неизменяемости или долгосрочного хранения: Данные журнала должны рассматриваться с той же строгостью, что и данные рабочей нагрузки в рабочих системах. Включите данные журнала в методы классификации данных, чтобы обеспечить успешное хранение конфиденциальных данных журнала в соответствии с требованиями соответствия требованиям.
Защита неактивных данных журнала с помощью шифрования: Сегментация не будет полностью защищать конфиденциальность данных журнала. Если неавторизованный необработанный доступ возникает, шифрование неактивных данных журнала помогает предотвратить использование этих данных за пределами вашей рабочей области.
Защита конфиденциальных данных журнала с помощью обфускации: Как и данные рабочей нагрузки, находящиеся в рабочих системах, необходимо принять дополнительные меры, чтобы обеспечить хранение конфиденциальной информации для конфиденциальной информации, которая может быть намеренно или непреднамеренно присутствует в операционных журналах. При использовании методов маскирования можно скрыть конфиденциальные данные журнала от несанкционированного доступа.
Рекомендации по конфигурации
| Рекомендация | Преимущества |
|---|---|
| Используйте управляемые клиентом ключи для защиты данных и сохраненных запросов в рабочих областях, если требуется контроль над ключами шифрования. Для ключей, управляемых клиентом, требуется выделенный кластер , имеющий достаточный объем данных, чтобы быть экономичным. Сохраните ключи шифрования в Azure Key Vault и рассмотрите конкретные требования Microsoft Sentinel , если вы используете эту службу. |
Управляемые клиентом ключи обеспечивают контроль над жизненным циклом ключа и возможность отзыва доступа к данным, когда нормативные или организационные требования требует шифрования, управляемого клиентом. |
| Настройте аудит запросов журнала для отслеживания того, какие пользователи выполняют запросы. Используйте Log Analytics Workspace Insights для периодической проверки этих данных. Рекомендуется создавать правила генерации оповещений журнала для упреждающего уведомления пользователей при попытке несанкционированных пользователей выполнять запросы. |
Аудит запросов записывает сведения о каждом выполнении запроса в рабочей области и повышает уровень безопасности, обеспечивая немедленное получение несанкционированного доступа при его возникновении. |
| Используйте функцию приватного канала , чтобы ограничить обмен данными между источниками журналов и рабочими областями в частных сетях. | Частные каналы обеспечивают сетевую изоляцию и позволяют контролировать, какие виртуальные сети могут получить доступ к данной рабочей области. Этот подход повышает безопасность с помощью сегментации. |
| Используйте идентификатор Microsoft Entra вместо ключей API для доступа к API рабочей области при наличии. Используйте достаточно ограниченный доступ на основе идентификаторов Microsoft Entra для программного доступа. | Проверка подлинности идентификатора Microsoft Entra предоставляет путь аудита для каждого клиента для программного доступа, в отличие от доступа на основе ключей API к API запроса. |
| Задайте режим управления доступом для рабочей области , чтобы использовать разрешения ресурса или рабочей области. Этот контроль доступа позволяет владельцам ресурсов использовать контекст ресурсов для доступа к данным без явного доступа к рабочей области. Используйте управление доступом на основе ролей на уровне таблицы (RBAC) для пользователей, которым требуется доступ к набору таблиц в нескольких ресурсах. Назначьте соответствующую встроенную роль , чтобы предоставить администраторам разрешения рабочей области на уровне подписки, группы ресурсов или рабочей области в соответствии с их обязанностями. Дополнительные сведения о различных вариантах предоставления доступа к данным в рабочей области Log Analytics см. в статье "Управление доступом к рабочим областям Log Analytics ". |
Правильная конфигурация режима управления доступом упрощает конфигурацию рабочей области и помогает гарантировать, что пользователи не могут получить доступ к операционным данным, которые они не должны. Пользователи, имеющие разрешения на таблицу, могут получить доступ ко всем данным в таблице независимо от их разрешений ресурса. |
| Используйте экспорт данных для отправки данных в учетную запись хранения Azure с политиками неизменяемости для защиты от изменения данных. Определите конкретные типы данных, которые следует экспортировать на основе требований соответствия, аудита или безопасности, а также очистки данных по мере необходимости. |
Экспорт данных с политиками неизменяемости соответствует требованиям соответствия для долгосрочного хранения данных аудита. Данные в рабочей области Log Analytics не могут быть изменены, но их можно очистить. |
| Фильтрация записей, которые не должны собираться с помощью конфигурации для конкретного источника данных. Используйте преобразование , если следует удалить или запутать только определенные столбцы в данных. Если у вас есть стандарты, которые требуют, чтобы исходные данные были не изменены, можно использовать литерал H в запросах KQL для маскировки результатов запросов, отображаемых в книгах. |
Фильтрация и преобразование данных помогают обеспечить конфиденциальность конфиденциальности конфиденциальности конфиденциальных данных и соблюдать требования заранее. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих бизнес-целей. Они также помогут вам сделать компромиссы по мере необходимости в техническом проектировании, связанном с вашим решением мониторинга и ведения журналов.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка оценки для оптимизации затрат при инвестициях. Настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Выполнение упражнений по моделированию затрат: Эти упражнения помогут вам понять текущие затраты на рабочую область и прогнозировать затраты относительно роста рабочей области. Анализ тенденций роста рабочей нагрузки и обеспечение правильного прогнозирования будущих затрат на ведение журнала рабочих нагрузок.
Выберите подходящую модель выставления счетов: Используйте модель затрат, чтобы определить оптимальную модель выставления счетов для вашего сценария. Как вы используете рабочие области и как планируете использовать их при развитии рабочей нагрузки, определяет, подходит ли модель уровня обязательств или оплаты по мере использования или уровня обязательств лучше всего подходит для вашего сценария.
Помните, что вы можете выбрать разные модели выставления счетов для каждой рабочей области. Вы также можете объединить затраты на рабочую область в конкретных случаях, чтобы можно было детализировать анализ и принятие решений.
Соберите только нужный объем данных журнала: Регулярно проводите регулярный анализ параметров диагностики в ресурсах, конфигурации правила сбора данных и ведения журнала пользовательского кода приложения, чтобы не собирать ненужные данные журнала.
Обрабатывать непроизводственные среды по-разному, чем в рабочих средах: Проверьте непроизводственные среды, чтобы убедиться, что параметры диагностики и политики хранения настроены соответствующим образом. Эти параметры и политики часто могут быть значительно менее надежными, чем в рабочей среде, особенно для сред разработки и тестирования или песочницы.
Рекомендации по конфигурации
| Рекомендация | Преимущества |
|---|---|
| Настройте ценовую категорию для объема данных, собираемых каждой рабочей областью Log Analytics. Если вы собираете достаточно данных, используйте уровень обязательств для фиксации ежедневного минимума данных, собранных в обмен на более низкую ставку. Дополнительные сведения о уровнях обязательств и рекомендациях о том, как определить соответствующий уровень использования, см. в разделе " Вычисления затрат и параметры журналов Azure Monitor". Сведения о предполагаемых затратах на использование на разных ценовых категориях см. в разделе "Использование" и "Предполагаемые затраты". |
Уровни обязательств значительно снижают затраты по сравнению с ценами по мере использования при сборе достаточных ежедневных объемов данных для удовлетворения минимальных пороговых значений обязательств. |
| Если вы собираете достаточно данных между рабочими областями в одном регионе, свяжите их с выделенным кластером и объедините собранный объем с помощью цен на кластер. Настройте кластер для агрегирования объемов приема из нескольких рабочих областей для достижения экономически эффективных ценовых категорий. |
Выделенные кластеры с ценами на кластеры обеспечивают значительную экономию затрат при наличии нескольких рабочих областей в одном регионе. Эта настройка позволяет объединить объемы данных, чтобы достичь более высоких уровней обязательств и сократить затраты на прием гигабайт. |
| Настройте хранение и архивацию данных. Учитывайте конкретные требования к доступности данных для запросов журналов. Настройте архивные журналы для хранения данных до семи лет и по-прежнему доступ к ним иногда через задания поиска или путем восстановления набора данных в рабочей области. |
Настройка хранения и архивации данных значительно снижает затраты на долгосрочное хранение данных за пределами периода по умолчанию, сохраняя доступ к историческим данным при необходимости. |
| Используйте правила сводки для потоков данных с большим объемом для оптимизации затрат на хранение. Сводные правила позволяют обобщать потоки с высокой скоростью приема данных в аналитике, базовых или вспомогательных планах, предоставляя надежный анализ, панель мониторинга и долгосрочные возможности создания отчетов по обобщенным данным. Правила сводки позволяют использовать возможности автоматической суммирования данных, которые значительно сокращают затраты на хранение данных журнала с большим объемом при сохранении аналитических аналитических сведений с помощью агрегированных наборов данных. |
Сводные правила обеспечивают экономичное долгосрочное хранение данных путем создания многоуровневых архитектур данных, где высокочастотные необработанные данные суммируются для оптимизации хранилища. Организации могут сбалансировать экономичность с аналитическими требованиями, сохраняя подробные аналитические сведения с помощью агрегированных наборов данных при оптимизации долгосрочных расходов на хранение данных. |
| Если вы используете Microsoft Sentinel для анализа журналов безопасности, рассмотрите возможность использования отдельной рабочей области для хранения этих журналов. Ознакомьтесь с ценами На Microsoft Sentinel , чтобы понять последствия затрат. | Отдельные рабочие области помогают управлять затратами, разделяя журналы безопасности в соответствии с ценами На Microsoft Sentinel от операционных журналов, которые взимается по стандартным ценам Log Analytics. |
| Настройте таблицы, используемые для отладки, устранения неполадок и аудита в качестве базовых журналов. | Базовая конфигурация журналов обеспечивает более низкие затраты на прием для редко запрашиваемых таблиц, где расходы на запросы могут быть смещены путем уменьшения затрат на прием. |
| Захватить нужный объем данных, настроив параметры диагностики и контроллеры домена для сбора только важных операционных данных. Просмотрите источники данных каждого ресурса, чтобы обеспечить сбор данных, которые обеспечивают значение мониторинга, избегая ненужных данных. Рекомендации по настройке см. в статье "Оптимизация затрат" в Azure Monitor . |
Захват нужного объема данных снижает затраты, фокусируясь на операционных ценных данных при устранении шума. Этот подход гарантирует, что вы собираете важные метрики без оплаты данных, которые не способствуют достижению целей мониторинга. |
| Регулярно анализируйте данные об использовании рабочей области для выявления тенденций и аномалий. Используйте Log Analytics Workspace Insights , чтобы периодически просматривать объем данных, собранных в рабочей области. Дальнейший анализ сбора данных с помощью методов анализа использования в рабочей области Log Analytics , чтобы определить, могут ли другие конфигурации дополнительно уменьшить использование. |
Анализ регулярного использования помогает понять сбор данных в различных источниках, выявить аномалии и тенденции повышения, которые могут привести к превышению затрат и заранее управлять затратами при внедрении новых источников данных. |
| Создайте оповещение, когда сбор данных высок. Настройте упреждающие уведомления для чрезмерного использования. | Оповещения о высокой коллекции данных позволяют устранять потенциальные аномалии до конца периода выставления счетов, что помогает избежать непредвиденных счетов. |
| Настройте ежедневное ограничение , чтобы предотвратить прием из-за неправильной настройки или злоупотреблений, как описано в разделе "Когда использовать ежедневное ограничение". Создайте оповещения, чтобы уведомить вас о достижении ограничения и достижении процента, например 90 процентов емкости. |
Конфигурация ежедневного ограничения обеспечивает защиту от непредвиденных перерасходов бюджета, позволяя исследовать и устранять причину увеличения данных до отключения критически важных сборов данных. |
Операционное превосходство
Операционное совершенство в основном сосредоточено на процедурах, касающихся практик разработки , наблюдаемости и управления релизами.
Принципы проектирования операционного превосходства обеспечивают стратегию проектирования высокого уровня для достижения этих целей по отношению к операционным требованиям рабочей нагрузки.
Контрольный список разработки рабочей нагрузки
Запустите стратегию разработки на основе контрольного списка проверки разработки для определения процессов для наблюдения, тестирования и развертывания, связанных с рабочими областями Log Analytics.
Используйте инфраструктуру в качестве кода (IaC) для всех функций, связанных с рабочими областями Log Analytics рабочей нагрузки: Свести к минимуму риск человеческой ошибки, которая может возникать от ручного администрирования и эксплуатации коллекции журналов, приема, хранения и запросов функций, включая сохраненные запросы и пакеты запросов, автоматизируя как можно больше этих функций с помощью кода.
Кроме того, включите оповещения, сообщающие об изменениях состояния работоспособности и конфигурацию параметров диагностики для ресурсов, которые отправляют журналы в рабочие области в коде IaC. Включите код с другим кодом, связанным с рабочей нагрузкой, чтобы гарантировать, что ваши безопасные методики развертывания поддерживаются для управления рабочими областями.
Убедитесь, что рабочие области работоспособны и что вы получите уведомление о возникновении проблем: Как и любой другой компонент рабочей нагрузки, рабочие области могут столкнуться с проблемами. Эти проблемы могут потреблять ценное время и ресурсы для диагностики и исправления, и они могут не знать о состоянии рабочей нагрузки. Упреждающий мониторинг рабочих областей и устранение ранних проблем позволяют группам операций сократить время, затраченное на устранение неполадок и восстановление.
Отделите рабочую среду от непроизводственных рабочих нагрузок: Избегайте ненужной сложности, которая может привести к дополнительной работе для группы операций с помощью разных рабочих областей для рабочей среды, чем тех, которые используются средами непроизводства. Поступающие данные также могут привести к путанице, так как действия тестирования могут показаться событиями в рабочей среде.
Предпочитайте встроенные средства и функции для решений, отличных от Майкрософт: Используйте встроенные средства для расширения функциональных возможностей систем мониторинга и ведения журнала. Вам может потребоваться установить дополнительные конфигурации для поддержки таких требований, как возможность восстановления или суверенитет данных, которые недоступны вне поля с рабочими областями Log Analytics. В таких случаях используйте собственные средства Azure или Майкрософт, чтобы свести к минимуму количество средств, которые должна поддерживать ваша организация.
Рассматривайте рабочие области как статические, а не временные компоненты: Как и другие типы хранилищ данных, рабочие области не должны рассматриваться среди временных компонентов рабочей нагрузки. Платформа Well-Architected, как правило, предпочитает неизменяемую инфраструктуру и возможность быстро и легко заменить ресурсы в рабочей нагрузке в рамках развертываний. Но потеря данных рабочей области может быть катастрофической и необратимой.
По этой причине оставьте рабочие области вне пакетов развертывания, которые заменяют инфраструктуру во время обновлений и выполняют только обновления на месте в рабочих областях.
Убедитесь, что сотрудники по операциям обучены на языке запросов Kusto: При необходимости обучить сотрудников создавать или изменять запросы. Если операторы не могут записывать или изменять запросы, это может замедлить критическое устранение неполадок или другие функции, так как операторы должны полагаться на другие команды, чтобы сделать это для них.
Рекомендации по конфигурации
| Рекомендация | Преимущества |
|---|---|
| Разработка архитектуры рабочей области Log Analytics в соответствии с бизнес-требованиями, включая количество рабочих областей для создания и размещения. Если рабочая нагрузка использует централизованное предложение группы платформы, убедитесь, что вы устанавливаете все необходимые операционные доступы. |
Хорошо разработанная стратегия рабочей области обеспечивает максимальную эффективность работы рабочей нагрузки, ограничивая распределение операционных и безопасных данных, повышая видимость потенциальных проблем, упрощая определение шаблонов и минимизируя требования к обслуживанию. |
| Развертывание рабочих областей Log Analytics с помощью шаблонов IaC, таких как шаблоны ARM, Bicep или Terraform. Определите конфигурации рабочей области и сохраненные запросы в шаблонах, управляемых версией. Параметризируйте шаблоны для параметров, относящихся к среде, при сохранении стандартных базовых конфигураций. |
Шаблоны IaC устраняют смещение конфигурации между средами и сокращают ошибки развертывания с помощью согласованных повторяемых процессов. Управление версиями позволяет отслеживать изменения и упрощает отслеживание аудита для требований соответствия требованиям. |
| Реализуйте конвейеры непрерывной интеграции и непрерывной доставки (CI/CD), которые автоматизируют развертывания рабочих областей Log Analytics с помощью Azure Pipelines или GitHub Actions. Интеграция автоматического тестирования для проверки конфигураций рабочих областей перед развертыванием в рабочей среде. Код инфраструктуры рабочей области Колокат с репозиториями кода приложения для применения согласованных методов безопасного развертывания. |
Автоматизированные конвейеры CI/CD сокращают время развертывания, сохраняя согласованное качество с помощью проверки. Методы безопасного развертывания свести к минимуму риск человеческой ошибки и предоставляют возможности отката при возникновении проблем во время обновлений. |
| Применение стандартов конфигурации рабочей области с помощью политики Azure со встроенными политиками для рабочих областей Log Analytics. Создайте настраиваемые политики для требований для конкретной организации, таких как обязательные параметры диагностики и соглашения об именовании. Реализуйте назначения политик в соответствующих областях, чтобы автоматически применять правила управления к новым рабочим областям и обнаруживать смещение конфигурации. |
Применение политик обеспечивает согласованное управление всеми рабочими областями без ручного надзора, что снижает операционные издержки. Автоматическая проверка соответствия предотвращает проблемы безопасности и эксплуатации путем обнаружения смещения конфигурации. Стандартизованные конфигурации с помощью политик поддерживают масштабируемое управление рабочими областями и обеспечивают согласованное состояние аудита. |
| Используйте Log Analytics Workspace Insights для отслеживания работоспособности и производительности рабочих областей Log Analytics. Просмотрите сведения, которые Аналитика рабочих областей Log Analytics предоставляет регулярно для отслеживания работоспособности и работы каждой из рабочих областей. Создайте правила генерации оповещений на основе таблицы операций , чтобы заранее получать уведомления при возникновении операционной проблемы. Используйте рекомендуемые оповещения для рабочей области, чтобы упростить создание наиболее критически важных правил генерации оповещений . |
Log Analytics Workspace Insights предоставляет единое представление об использовании, производительности, работоспособности, агентах, запросах и журналах изменений для всех рабочих областей. Log Analytics Workspace Insights позволяет создавать легко понятные визуализации, такие как панели мониторинга или отчеты, которые группы операций и заинтересованные лица могут использовать для отслеживания работоспособности рабочей области. |
| Регулярное улучшение путем частого изменения параметров диагностики Azure в ресурсах , контроллерах доменах и подробности журналов приложений. Убедитесь, что вы оптимизируете стратегию сбора журналов с помощью частых проверок параметров ресурса. С операционной точки зрения обратите внимание на снижение шума в журналах, сосредоточив внимание на этих журналах, которые предоставляют полезную информацию о состоянии работоспособности ресурса. |
Методы непрерывного улучшения помогают операторам исследовать и устранять проблемы и обрабатывать подпрограммы, импровизированные или чрезвычайные задачи по мере их возникновения. Эти методики также сокращают объем журналов, фокусируя внимание на действиях, которые наиболее важны для вашей группы операций для отслеживания. |
Эффективность производительности
Эффективность производительности заключается в поддержании пользовательского опыта даже в условиях увеличения нагрузки за счёт управления ресурсами. Эта стратегия включает масштабирование ресурсов, определение и оптимизацию потенциальных узких мест и оптимизацию максимальной производительности.
Принципы проектирования эффективности производительности предлагают высокоуровневую стратегию для достижения этих целей по емкости с учетом ожидаемого использования.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка проектирования для эффективности производительности. Определите базовые показатели, основанные на ключевых показателях производительности для рабочих областей Log Analytics.
Ознакомьтесь с основами задержки приема данных журнала в Azure Monitor: Существует несколько факторов, которые влияют на задержку при приеме журналов в рабочие области. Многие из этих факторов присущи платформе Azure Monitor.
Общие сведения о факторах и обычном поведении задержки помогут вам задать соответствующие ожидания в группах операций рабочей нагрузки.
Разделите непроизводственные и рабочие рабочие нагрузки: Рабочие области, относящиеся к рабочей среде, устраняют любые издержки, которые могут возникнуть в непроизводственных системах. Разделение сокращает общий объем рабочей области, требуя меньше ресурсов для обработки данных журнала.
Выберите нужные регионы развертывания, чтобы соответствовать вашим требованиям к производительности: Разверните рабочую область Log Analytics и контроллеры домена, близкие к рабочей нагрузке. При развертывании рабочей нагрузки следует сообщить о выбранном регионе, в котором будет развернута рабочая область и контроллеры домена.
Возможно, вам потребуется взвесить преимущества производительности развертывания рабочих областей и контроллеров домена в том же регионе, что и ваша рабочая нагрузка в соответствии с требованиями к надежности, если вы уже развернули рабочую нагрузку в регионе, который не может поддерживать эти требования для данных журнала.
Рекомендации по конфигурации
| Рекомендация | Преимущества |
|---|---|
| Настройте аудит запросов журнала и используйте Log Analytics Workspace Insights для выявления медленных и неэффективных запросов. Дополнительные сведения о повышении производительности медленных запросов журналов см. в статье "Оптимизация запросов журналов" в Azure Monitor . |
Оптимизированные запросы возвращают результаты быстрее и используют меньше ресурсов на внутренней части, что также делает процессы, которые используют эти запросы более эффективными. |
| Используйте задания поиска для сложных аналитических запросов для больших наборов данных и долгосрочных данных хранения. Задания поиска — это асинхронные запросы, выполняемые на любых данных в рабочей области Log Analytics, включая данные из длительного периода хранения. Задания поиска создают новые таблицы аналитики в рабочей области, которые предоставляют результаты для дальнейших запросов. Эта возможность позволяет отделять аналитические рабочие нагрузки от операционного мониторинга, повышая производительность системы при сохранении комплексного доступа к данным. |
Задания поиска поддерживают сложный анализ исторических данных без влияния на производительность мониторинга в режиме реального времени. Они позволяют выделенной аналитической обработке с минимальными конфликтами ресурсов, позволяя группам безопасности и аналитикам выполнять интенсивные запросы к архивируемым данным при сохранении оперативного мониторинга реагирования. |
| Просмотрите ограничения службы Azure Monitor и ограничениярабочих областей Log Analytics , чтобы понять ограничения, которые могут повлиять на производительность и структуру рабочей области. Для устранения ограничений служб, которые могут потребовать использования нескольких рабочих областей, чтобы избежать достижения ограничений, связанных с одной рабочей областью. |
Понимание ограничений, которые могут повлиять на производительность вашей рабочей области, помогает правильно разработать их и сбалансировать решения по проектированию с учетом требований и целевых показателей для других основных компонентов. |
| Создайте контроллеры домена , относящиеся к типам источников данных, внутри одной или нескольких определенных областей наблюдаемости. Создайте отдельные контроллеры домена для повышения производительности и событий для оптимизации использования вычислительных ресурсов внутренней обработки. |
Отдельные контроллеры домена для производительности и событий помогают снизить нехватку ресурсов серверной части и предотвратить чрезмерное потребление вычислительных ресурсов, что может привести к тому, что агент Azure Monitor не отвечает. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с Log Analytics и его зависимостями. Некоторые из предыдущих рекомендаций можно проверять с помощью политики Azure. Например, можно проверить, установлены ли следующие элементы управления:
Кластеры Log Analytics шифруются с помощью ключей, управляемых клиентом.
Сохраненные запросы хранятся в учетных записях хранения клиентов для шифрования.
Рабочие области Log Analytics блокируют прием на основе идентификаторов, отличных от Майкрософт.
Рабочие области Log Analytics блокируют прием журналов и запросы из общедоступных сетей.
Конфигурации приватного канала правильно реализованы для безопасного доступа.
Для комплексного управления ознакомьтесь со встроенными определениями политики Azure для Log Analytics и другими политиками, которые могут повлиять на безопасность инфраструктуры мониторинга и ведения журнала.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации развертываний Azure.
Дополнительные сведения см. в разделе Помощник.