Log Analytics-Arbeitsbereich
Ein Log Analytics-Arbeitsbereich ist ein Datenspeicher, in dem Sie alle Arten von Protokolldaten aus all Ihren Azure- und Nicht-Azure-Ressourcen und -Anwendungen sammeln können. Mithilfe von Konfigurationsoptionen für Arbeitsbereiche können Sie alle Ihre Protokolldaten in einem Arbeitsbereich verwalten, um die Vorgänge, Analysen und Überwachungsanforderungen verschiedener Personas in Ihrer Organisation zu erfüllen:
- Azure Monitor-Features wie integrierte Einblicke,Warnungen und automatische Aktionen
- Andere Azure-Dienste, z. B. Microsoft Sentinel, Microsoft Defender für Cloud und Logik-Apps
- Microsoft-Tools wie Power BI und Excel
- Integration in benutzerdefinierte und Drittanbieteranwendungen
Dieser Artikel enthält eine Übersicht über Konzepte im Zusammenhang mit Log Analytics-Arbeitsbereichen.
Wichtig
Die Microsoft Sentinel-Dokumentation verwendet den Begriff Microsoft Sentinel-Arbeitsbereich. Dieser Arbeitsbereich ist derselbe Log Analytics-Arbeitsbereich, der in diesem Artikel beschrieben wird, jedoch ist er für Microsoft Sentinel aktiviert. Alle Daten im Arbeitsbereich unterliegen den Microsoft Sentinel-Preisen.
Protokolltabellen
Jeder Log Analytics-Arbeitsbereich enthält mehrere Tabellen, in denen Azure Monitor-Protokolle Daten speichert, die Sie sammeln.
Azure Monitor-Protokolle erstellt automatisch Tabellen, die zum Speichern von Überwachungsdaten erforderlich sind, die Sie in Ihrer Azure-Umgebung sammeln. Sie erstellen benutzerdefinierte Tabellen zum Speichern von Daten, die Sie aus Nicht-Azure-Ressourcen und -Anwendungen sammeln, basierend auf dem Datenmodell der von Ihnen gesammelten Protokolldaten und deren Speicherung und Verwendung.
Mithilfe von Tabellenverwaltungseinstellungen können Sie den Zugriff auf bestimmte Tabellen steuern und das Datenmodell, die Aufbewahrung und die Kosten der Daten in jeder Tabelle verwalten. Weitere Informationen finden Sie unter Verwalten von Tabellen in einem Log Analytics-Arbeitsbereich.
Datenaufbewahrung
Ein Log Analytics-Arbeitsbereich speichert Daten in zwei Zuständen – interaktive Aufbewahrung und langfristige Aufbewahrung.
Während des interaktiven Aufbewahrungszeitraums rufen Sie die Daten aus der Tabelle über Abfragen ab, und die Daten sind basierend auf dem Tabellenplan für Visualisierungen, Warnungen und andere Features und Dienste verfügbar.
Jede Tabelle in Ihrem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten bis zu 12 Jahre in kostengünstiger Langzeitaufbewahrung aufzubewahren. Rufen Sie bestimmte benötigte Daten von der Langzeitaufbewahrung in die interaktive Aufbewahrung ab, indem Sie einen Suchauftrag verwenden. Dies bedeutet, dass Sie Ihre Protokolldaten an einem Ort verwalten, ohne Daten in externen Speicher zu verschieben, und Sie erhalten die vollständigen Analysefunktionen von Azure Monitor zu älteren Daten, wenn Sie diese benötigen.
Weitere Informationen finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.
Datenzugriff
Die Berechtigung für den Zugriff auf Daten in einem Log Analytics-Arbeitsbereich wird durch die Einstellung des Zugriffssteuerungsmodus für jeden Arbeitsbereich definiert. Sie können Benutzern expliziten Zugriff auf den Arbeitsbereich gewähren, indem Sie eine integrierte oder benutzerdefinierte Rolle verwenden. Alternativ können Sie den Zugriff auf für Azure-Ressourcen gesammelte Daten Benutzenden mit Zugriff auf diese Ressourcen erlauben.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.
Anzeigen von Log Analytics-Arbeitsbereichserkenntnissen
Log Analytics Workspace Insights hilft Ihnen bei der Verwaltung und Optimierung Ihrer Log Analytics-Arbeitsbereiche mit einer umfassenden Übersicht über Ihre Arbeitsbereichsnutzung, Leistung, Integrität, Erfassung, Abfragen und Änderungsprotokoll.
Transformieren von Daten, die Sie in Ihrem Log Analytics-Arbeitsbereich erfassen
Datensammlungsregeln (DCRs), die definieren, welche Daten in Azure Monitor eingehen, können Transformationen enthalten, mit denen Sie Daten filtern und transformieren können, bevor sie in den Arbeitsbereich eingespeist werden. Da noch nicht alle Datenquellen DCRs unterstützen, kann jeder Arbeitsbereich ein DCR für die Transformation des Arbeitsbereichs haben.
Transformationen in der Arbeitsbereichstransformation DCR werden für jede Tabelle in einem Arbeitsbereich definiert und gelten für alle Daten, die an diese Tabelle gesendet werden, auch wenn sie aus mehreren Quellen gesendet werden. Erfassungszeittransformationen gelten nur für Workflows, die noch keine Datensammlungsregel verwenden. Der Azure Monitor-Agent verwendet z. B. einen DCR, um daten zu definieren, die von virtuellen Computern gesammelt werden. Diese Daten unterliegen keinen Erfassungszeittransformationen, die im Arbeitsbereich definiert sind.
Beispielsweise verfügen Sie möglicherweise über Diagnoseeinstellungen , die Ressourcenprotokolle für verschiedene Azure-Ressourcen an Ihren Arbeitsbereich senden. Sie können eine Transformation für die Tabelle erstellen, die die Ressourcenprotokolle sammelt, die diese Daten nur nach gewünschten Datensätzen filtern. Dadurch sparen Sie die Erfassungskosten für Datensätze, die Sie nicht benötigen. Sie könnten wichtige Daten auch aus bestimmten Spalten extrahieren und in anderen Spalten im Arbeitsbereich speichern, um einfachere Abfragen zu unterstützen.
Kosten
Es entstehen keine direkten Kosten durch das Erstellen oder Verwalten eines Arbeitsbereichs. Ihnen werden die im Arbeitsbereich erfassten Daten sowie die Datenaufbewahrung in Rechnung gestellt, basierend auf dem Tabellenplan jeder Tabelle.
Informationen zum Preis finden Sie unter Azure Monitor-Preise. Anleitungen zum Reduzieren Ihrer Kosten finden Sie unter "Bewährte Methoden für Azure Monitor – Kostenverwaltung". Wenn Sie Ihren Log Analytics-Arbeitsbereich mit anderen Diensten als Azure Monitor verwenden, finden Sie in der Dokumentation zu diesen Diensten die entsprechenden Preisinformationen.
Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur, um bestimmte geschäftliche Anforderungen zu erfüllen
Sie können einen einzigen Arbeitsbereich für Ihre gesamte Datensammlung verwenden. Sie können jedoch auch mehrere Arbeitsbereiche basierend auf bestimmten Geschäftsanforderungen erstellen, z. B. behördliche oder Complianceanforderungen zum Speichern von Daten an bestimmten Standorten, getrennte Abrechnung und Resilienz.