Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le aree di lavoro Log Analytics in Monitoraggio di Azure sono repository centralizzati per la raccolta, l'archiviazione e l'analisi dei dati di log e prestazioni da varie origini nell'ambiente Azure. Queste aree di lavoro fungono da sink di dati primario per il monitoraggio delle informazioni e supportano funzionalità avanzate di query, visualizzazione e avvisi per ottenere informazioni dettagliate sull'integrità e sulle prestazioni del carico di lavoro.
Questo articolo presuppone che in qualità di architetto sia importante comprendere l'importanza del monitoraggio completo e dell'osservabilità per il carico di lavoro e di aver scelto le aree di lavoro Log Analytics come parte della strategia di monitoraggio. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework .
Ambito della tecnologia
Questa revisione è incentrata sulle decisioni correlate per le risorse di Azure seguenti:
- Aree di lavoro Log Analytics
Affidabilità
Lo scopo del pilastro Affidabilità è fornire funzionalità continue attraverso la costruzione di una resilienza sufficiente e la capacità di recuperare rapidamente dai guasti.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione basandoti sulla checklist di revisione del progetto per l'affidabilità. Determinare la rilevanza per i requisiti aziendali tenendo presente la natura dell'applicazione e la criticità dei relativi componenti. Estendere la strategia per includere altri approcci in base alle esigenze.
Esaminare i limiti del servizio per le aree di lavoro Log Analytics: La sezione limiti del servizio illustra le restrizioni relative alla raccolta dei dati, alla conservazione dei dati e ad altri aspetti del servizio. Questi limiti consentono di progettare una strategia efficace di osservabilità del carico di lavoro. Assicurarsi di esaminare i limiti del servizio Monitoraggio di Azure perché molte funzioni, ad esempio le query, funzionano in combinazione con le aree di lavoro Log Analytics.
Pianificare la resilienza e il ripristino dell'area di lavoro: Le aree di lavoro Log Analytics sono a livello di area e non dispongono del supporto predefinito per la ridondanza o la replica tra aree. Le opzioni di ridondanza della zona di disponibilità sono limitate. A causa di queste limitazioni, è necessario determinare i requisiti di affidabilità delle aree di lavoro e strategare per soddisfare tali destinazioni.
I requisiti potrebbero prevedere che l'area di lavoro sia resiliente agli errori del data center o agli errori a livello di area. Oppure potrebbero prevedere che sia necessario essere in grado di ripristinare i dati in una nuova area di lavoro in un'area di failover.
Ognuno di questi scenari richiede risorse e processi aggiuntivi per avere successo, quindi valutare attentamente come bilanciare gli obiettivi di affidabilità con costi e complessità.
Scegliere le aree di distribuzione appropriate per soddisfare i requisiti di affidabilità: Distribuire l'area di lavoro Log Analytics e gli endpoint di raccolta dati con i componenti del carico di lavoro che generano dati operativi. Dove si distribuisce il carico di lavoro deve informare la scelta dell'area appropriata in cui distribuire l'area di lavoro e i controller di dominio.
Potrebbe essere necessario valutare la disponibilità a livello di area di funzionalità specifiche di Log Analytics, ad esempio cluster dedicati, rispetto ad altri fattori più centrali per l'affidabilità, i costi e i requisiti di prestazioni del carico di lavoro.
Escludere le aree di lavoro dalle dipendenze del percorso critico: Le aree di lavoro Log Analytics fungono da componenti importanti del sistema di osservabilità, ma non devono essere incluse nel percorso critico del carico di lavoro. Queste aree di lavoro raccolgono e archiviano i dati operativi essenziali per il monitoraggio e la risoluzione dei problemi. Tuttavia, la funzionalità di base del carico di lavoro deve rimanere indipendente dalla disponibilità dell'area di lavoro. Questa separazione dell'architettura garantisce che le interruzioni del sistema di osservabilità non si propagano in errori di runtime del carico di lavoro.
Assicurarsi che i sistemi di osservabilità siano integri: Come qualsiasi altro componente del carico di lavoro, assicurarsi che i sistemi di monitoraggio e registrazione funzionino correttamente. Per ottenere un'osservabilità affidabile, abilitare le funzionalità che inviano segnali di dati sull'integrità ai team operativi. Configurare i segnali di dati di integrità specifici per le aree di lavoro Log Analytics e le risorse associate.
Consigli sulla configurazione
| Raccomandazione | Beneficio |
|---|---|
| Per supportare una durabilità elevata dei dati dell'area di lavoro, distribuire le aree di lavoro Log Analytics in un'area che supporta la resilienza dei dati. | La resilienza dei dati distribuisce le repliche dei dati di log tra zone di disponibilità, che offrono protezione dalle interruzioni del data center. |
| Valutare la possibilità di collegare l'area di lavoro a un cluster dedicato nella stessa area. | Anche se non si raccolgono dati sufficienti per giustificare un cluster dedicato, questa scelta regionale preemptive consente di supportare la crescita futura. |
| Distribuire l'area di lavoro nella stessa area delle istanze del carico di lavoro. Usare controller di dominio nella stessa area dell'area di lavoro Log Analytics. Se il carico di lavoro viene distribuito in una progettazione attiva-attiva, è consigliabile usare più aree di lavoro e controller di dominio distribuiti tra le aree in cui viene distribuito il carico di lavoro. |
La presenza dell'area di lavoro e dei controller di dominio nella stessa area del carico di lavoro riduce il rischio di conseguenze in caso di interruzioni in altre aree. La distribuzione di aree di lavoro in più aree aggiunge complessità all'ambiente, ma offre una migliore disponibilità per i carichi di lavoro distribuiti geograficamente. |
| Configurare il multicast dei log per inviare dati critici a più aree di lavoro in aree diverse quando è necessaria la disponibilità dell'area di lavoro durante gli errori a livello di area. Configurare le regole di raccolta dati e le impostazioni di diagnostica per duplicare i flussi di log critici nelle aree di lavoro di backup. Archiviare i modelli di Azure Resource Manager per inviare avvisi alle risorse con configurazioni alternative dell'area di lavoro per abilitare il failover rapido. |
Il multicast dei log garantisce l'accesso continuo ai dati operativi critici per la risoluzione dei problemi e la risposta agli eventi imprevisti durante le interruzioni a livello di area. Questo accesso mantiene la visibilità sull'integrità del carico di lavoro quando l'infrastruttura di monitoraggio primario non è disponibile. Compromesso: questa configurazione comporta addebiti duplicati per l'inserimento e la conservazione, quindi usarla solo per i dati critici. |
| Se è necessario proteggere i dati in un data center o in un errore dell'area, configurare l'esportazione dei dati dall'area di lavoro per salvare i dati in una posizione alternativa. Usare le opzioni di ridondanza di Archiviazione di Azure, tra cui l'archiviazione con ridondanza geografica e l'archiviazione con ridondanza geografica della zona per replicare ulteriormente questi dati in altre aree. L'esportazione dei dati non offre resilienza contro gli eventi imprevisti che influiscono sulla pipeline di inserimento a livello di area. Se è necessaria l'esportazione di tabelle non supportate dall'esportazione dei dati, è possibile usare altri metodi di esportazione dei dati, tra cui App per la logica di Azure, per proteggere i dati. |
I dati dei log operativi cronologici potrebbero non essere facilmente eseguibili in modo da eseguire query nello stato esportato. Tuttavia, garantisce che i dati superino un'interruzione a livello di area prolungata e possano essere accessibili e conservati per un periodo prolungato. |
| Per i carichi di lavoro cruciali, prendere in considerazione l'implementazione di un modello di area di lavoro federato che usa più aree di lavoro per garantire la disponibilità elevata in caso di errore a livello di area. Per implementare questo approccio, seguire le indicazioni descritte in Modellazione dell'integrità e osservabilità dei carichi di lavoro cruciali in Azure per informazioni su come progettare applicazioni altamente affidabili in Azure. |
La metodologia di progettazione include un modello di area di lavoro federata con più aree di lavoro Log Analytics per offrire disponibilità elevata in caso di più errori, incluso l'errore di un'area di Azure. Questa strategia elimina i costi in uscita tra aree e il carico di lavoro rimane operativo durante un errore di area. |
| Progettare controller di dominio con un unico principio di responsabilità per mantenere semplici e ridotte al minimo la trasformazione delle regole DCR, come descritto in Procedure consigliate per la creazione e la gestione delle regole di raccolta dati. Usare la composizione delle assegnazioni di regole per ottenere l'ambito di osservabilità desiderato per la destinazione logica. |
Quando si usano controller di dominio con stato ridotto, riduce al minimo il rischio di errori di configurazione di una regola con un effetto più ampio. Limita inoltre l'effetto solo all'ambito per il quale è stato compilato il DCR. La trasformazione può essere potente e necessaria in alcuni scenari, ma può essere difficile testare e risolvere i problemi relativi al lavoro del linguaggio di query delle parole chiave (KQL). |
| Configurare le impostazioni relative al limite giornaliero per impedire l'inserimento in modalità runaway garantendo al tempo stesso che la raccolta dati operativa critica continui. Impostare il limite sopra il volume di inserimento giornaliero tipico e creare avvisi quando si avvicina la capacità da analizzare prima dell'arresto della raccolta dei dati critici. Stabilire criteri di conservazione dei dati allineati ai requisiti di risoluzione dei problemi e risposta agli eventi imprevisti. Questo approccio mantiene i tipi di log critici per periodi sufficienti per supportare l'analisi della causa radice. |
I limiti giornalieri consentono di garantire la disponibilità continua dei dati essenziali per la risoluzione dei problemi durante le interruzioni e gli eventi imprevisti impedendo la configurazione errata di interrompere la raccolta di log critici necessaria per la risposta rapida agli eventi imprevisti. I criteri di conservazione appropriati mantengono l'accesso ai dati operativi cronologici necessari per l'analisi efficace della causa radice, l'identificazione della tendenza e il riconoscimento dei modelli che supportano operazioni affidabili del carico di lavoro e tempi medi di ripristino più rapidi. |
| Usare Informazioni dettagliate sull'area di lavoro Log Analytics per tenere traccia del volume di inserimento, dei dati inseriti rispetto al limite di dati, delle origini di log non rispondenti e delle query non riuscite, tra gli altri dati. Creare avvisi sullo stato di integrità per notificare in modo proattivo se un'area di lavoro non è più disponibile a causa di un data center o di un errore a livello di area. |
Le informazioni dettagliate sull'area di lavoro consentono di monitorare correttamente l'integrità delle aree di lavoro e di agire in modo proattivo se l'integrità del carico di lavoro è a rischio di riduzione del livello. Come per tutti gli altri componenti del carico di lavoro, è fondamentale conoscere le metriche di integrità e identificare le tendenze per migliorare l'affidabilità nel tempo. |
Sicurezza
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere questi obiettivi applicando approcci alla progettazione tecnica intorno alla soluzione di monitoraggio e registrazione.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione in base alla checklist di revisione della progettazione per la sicurezza e identifica vulnerabilità e controlli per migliorare il profilo di sicurezza.
Esaminare le procedure consigliate per la sicurezza: Esaminare le procedure consigliate per la sicurezza negli articoli Baseline di sicurezza di Monitoraggio di Azure e Gestire l'accesso alle aree di lavoro Log Analytics .
Distribuire le aree di lavoro con la segmentazione come principio fondamentale: Implementare la segmentazione ai livelli di rete, dati e accesso. La segmentazione garantisce che le aree di lavoro siano isolate in base al grado appropriato. Consente inoltre di proteggere le aree di lavoro dall'accesso non autorizzato al massimo livello possibile, rispettando al tempo stesso i requisiti aziendali per l'affidabilità, l'ottimizzazione dei costi, l'eccellenza operativa e l'efficienza delle prestazioni.
Assicurarsi che sia possibile controllare le operazioni di lettura e scrittura dell'area di lavoro e le identità associate: Gli utenti malintenzionati possono trarre vantaggio dalla visualizzazione dei log operativi. Un'identità compromessa può causare attacchi di inserimento dei log. Abilitare il controllo delle operazioni eseguite dal portale di Azure o tramite interazioni con le API e gli utenti associati.
Se non si è configurati per controllare l'area di lavoro, è possibile che l'organizzazione sia a rischio di violazione dei requisiti di conformità.
Implementare controlli di rete affidabili: Proteggere l'accesso alla rete all'area di lavoro e ai log tramite funzioni firewall e isolamento della rete. I controlli di rete configurati in modo insufficiente aumentano il rischio di accesso non autorizzato o dannoso.
Determinare quali tipi di dati necessitano di immutabilità o conservazione a lungo termine: I dati di log devono essere trattati con lo stesso rigore dei dati del carico di lavoro all'interno dei sistemi di produzione. Includere i dati di log nelle procedure di classificazione dei dati per assicurarsi di archiviare correttamente i dati dei log sensibili in base ai requisiti di conformità.
Proteggere i dati di log inattivi tramite crittografia: La segmentazione da sola non proteggerà completamente la riservatezza dei dati di log. Se si verifica l'accesso non autorizzato, la crittografia dei dati di log inattivi consente di evitare che gli attori malintenzionati usino tali dati all'esterno dell'area di lavoro.
Proteggere i dati di log sensibili tramite offuscamento: Proprio come i dati del carico di lavoro che risiedono nei sistemi di produzione, è necessario adottare misure aggiuntive per garantire che la riservatezza venga mantenuta per informazioni riservate che potrebbero essere intenzionalmente o involontariamente presenti nei log operativi. Quando si usano metodi di offuscamento, consente di nascondere i dati di log sensibili dall'accesso non autorizzato.
Consigli sulla configurazione
| Raccomandazione | Beneficio |
|---|---|
| Usare chiavi gestite dal cliente per proteggere i dati e le query salvate nelle aree di lavoro quando è necessario controllare le chiavi di crittografia. Le chiavi gestite dal cliente richiedono un cluster dedicato con un volume di dati sufficiente per essere conveniente. Archiviare le chiavi di crittografia in Azure Key Vault e prendere in considerazione i requisiti specifici di Microsoft Sentinel se si usa tale servizio. |
Le chiavi gestite dal cliente forniscono il controllo sul ciclo di vita delle chiavi e la possibilità di revocare l'accesso ai dati quando i requisiti normativi o organizzativi impongono la crittografia controllata dal cliente. |
| Configurare il controllo delle query di log per tenere traccia degli utenti che eseguono query. Usare Log Analytics Workspace Insights per esaminare periodicamente questi dati. È consigliabile creare regole di avviso per le query di log per notificare in modo proattivo quando gli utenti non autorizzati tentano di eseguire query. |
Il controllo delle query registra i dettagli per ogni esecuzione di query in un'area di lavoro e rafforza il comportamento di sicurezza assicurando che l'accesso non autorizzato venga intercettato immediatamente se si verifica. |
| Usare la funzionalità di collegamento privato per limitare le comunicazioni tra le origini di log e le aree di lavoro alla rete privata. | I collegamenti privati forniscono l'isolamento della rete e consentono di controllare quali reti virtuali possono accedere a una determinata area di lavoro. Questo approccio migliora ulteriormente la sicurezza tramite la segmentazione. |
| Usare Microsoft Entra ID anziché le chiavi API per l'accesso all'API dell'area di lavoro, se disponibile. Usare l'accesso basato su ID Microsoft Entra con ambito sufficiente per l'accesso a livello di codice. | L'autenticazione microsoft Entra ID fornisce un audit trail per client per l'accesso a livello di codice, a differenza dell'accesso basato su chiave API alle API di query. |
| Impostare la modalità di controllo di accesso per l'area di lavoro su Usa autorizzazioni risorsa o area di lavoro. Questo controllo di accesso consente ai proprietari delle risorse di usare il contesto delle risorse per accedere ai dati senza concedere l'accesso esplicito all'area di lavoro. Usare il controllo degli accessi in base al ruolo a livello di tabella per gli utenti che richiedono l'accesso a un set di tabelle tra più risorse. Assegnare il ruolo predefinito appropriato per concedere le autorizzazioni dell'area di lavoro agli amministratori a livello di sottoscrizione, gruppo di risorse o area di lavoro in base all'ambito delle proprie responsabilità. Per altre informazioni sulle varie opzioni per concedere l'accesso ai dati nell'area di lavoro, vedere Gestire l'accesso alle aree di lavoro Log Analytics. |
La configurazione corretta della modalità di controllo di accesso semplifica la configurazione dell'area di lavoro e garantisce che gli utenti non possano accedere ai dati operativi che non devono. Gli utenti con autorizzazioni di tabella possono accedere a tutti i dati nella tabella indipendentemente dalle autorizzazioni delle risorse. |
| Usare l'esportazione dei dati per inviare dati a un account di archiviazione di Azure con criteri di immutabilità per proteggersi da manomissioni dei dati. Determinare i tipi di dati specifici che devono essere esportati in base ai requisiti di conformità, controllo o sicurezza e ripulire i dati in base alle esigenze. |
L'esportazione dei dati con criteri di immutabilità soddisfa i requisiti di conformità per la conservazione a lungo termine dei dati di controllo. I dati in un'area di lavoro Log Analytics non possono essere modificati, ma possono essere eliminati. |
| Filtrare i record che non devono essere raccolti usando la configurazione per l'origine dati specifica. Usare una trasformazione se devono essere rimosse o offuscate solo colonne specifiche nei dati. Se si dispone di standard che richiedono che i dati originali non vengano modificato, è possibile usare il valore letterale "h" nelle query KQL per offuscare i risultati delle query visualizzati nelle cartelle di lavoro. |
Il filtro e la trasformazione dei dati consentono di mantenere la riservatezza delle informazioni riservate e di rispettare i requisiti in modo proattivo. |
Ottimizzazione dei costi
L'ottimizzazione dei costi è incentrata su rilevare modelli di spesa, assegnare priorità agli investimenti in aree critiche e ottimizzare in altri per soddisfare il budget dell'organizzazione rispettando i requisiti aziendali.
I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi aziendali. Consentono inoltre di apportare compromessi in base alle esigenze nella progettazione tecnica relativa alla soluzione di monitoraggio e registrazione.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione basata sulla checklist di revisione del design per l'ottimizzazione dei costi negli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Eseguire esercizi di modellazione dei costi: Questi esercizi consentono di comprendere i costi correnti dell'area di lavoro e prevedere i costi relativi alla crescita dell'area di lavoro. Analizzare le tendenze di crescita nel carico di lavoro e assicurarsi di comprendere i piani per l'espansione del carico di lavoro per prevedere correttamente i costi di registrazione operativa futuri.
Scegliere il modello di fatturazione corretto: Usare il modello di costo per determinare il modello di fatturazione migliore per lo scenario. Il modo in cui attualmente si usano le aree di lavoro e come si prevede di usarle man mano che il carico di lavoro evolve determina se un modello di livello con pagamento in base al consumo o di impegno è più adatto per lo scenario in uso.
Tenere presente che è possibile scegliere modelli di fatturazione diversi per ogni area di lavoro. È anche possibile combinare i costi dell'area di lavoro in casi specifici, in modo da poter essere granulari nell'analisi e nel processo decisionale.
Raccogliere solo la giusta quantità di dati di log: Eseguire regolarmente l'analisi pianificata delle impostazioni di diagnostica sulle risorse, la configurazione delle regole di raccolta dati e la registrazione del codice dell'applicazione personalizzata per assicurarsi di non raccogliere dati di log non necessari.
Gestire gli ambienti non di produzione in modo diverso rispetto agli ambienti di produzione: Esaminare gli ambienti non di produzione per assicurarsi che le impostazioni di diagnostica e i criteri di conservazione siano configurati in modo appropriato. Queste impostazioni e criteri possono spesso essere notevolmente meno affidabili rispetto all'ambiente di produzione, soprattutto per gli ambienti di sviluppo/test o sandbox.
Consigli sulla configurazione
| Raccomandazione | Beneficio |
|---|---|
| Configurare il piano tariffario per la quantità di dati raccolti in genere da ogni area di lavoro Log Analytics. Se si raccolgono dati sufficienti, usare un livello di impegno per eseguire il commit a un minimo giornaliero di dati raccolti in cambio di un tasso inferiore. Per altre informazioni sui livelli di impegno e indicazioni su come determinare il livello di utilizzo appropriato, vedere Calcoli e opzioni dei costi dei log di Monitoraggio di Azure. Per visualizzare i costi stimati per l'utilizzo in piani tariffari diversi, vedere Utilizzo e costi stimati. |
I livelli di impegno riducono significativamente i costi rispetto ai prezzi con pagamento in base al consumo quando si raccolgono volumi di dati giornalieri sufficienti per soddisfare le soglie minime di impegno. |
| Se si raccolgono dati sufficienti tra aree di lavoro in una singola area, collegarli a un cluster dedicato e combinare il volume raccolto usando i prezzi del cluster. Configurare il cluster per aggregare i volumi di inserimento da più aree di lavoro per ottenere piani tariffari convenienti. |
I cluster dedicati con prezzi del cluster offrono notevoli risparmi sui costi quando si hanno più aree di lavoro nella stessa area. Questa configurazione consente di combinare i volumi di dati per raggiungere livelli di impegno più elevati e ridurre i costi di inserimento per gigabyte. |
| Configurare la conservazione e l'archiviazione dei dati. Prendere in considerazione i requisiti specifici per avere i dati facilmente disponibili per le query di log. Configurare i log archiviati per conservare i dati per un massimo di sette anni e accedervi occasionalmente tramite processi di ricerca o ripristinando un set di dati nell'area di lavoro. |
La configurazione di conservazione e archiviazione dei dati riduce significativamente i costi per la conservazione dei dati a lungo termine oltre il periodo predefinito mantenendo l'accesso ai dati cronologici quando necessario. |
| Usare le regole di riepilogo per i flussi di dati con volumi elevati per ottimizzare i costi di archiviazione. Le regole di riepilogo consentono di riepilogare flussi a velocità elevata di inserimento tra piani analitici, di base o ausiliari, offrendo analisi, dashboard e esperienze di creazione di report a lungo termine su dati riepilogati. Le regole di riepilogo consentono funzionalità di riepilogo dei dati automatizzate che riducono significativamente i costi di archiviazione per i dati di log con volumi elevati mantenendo al tempo stesso informazioni analitiche tramite set di dati aggregati. |
Le regole di riepilogo offrono una conservazione dei dati a lungo termine conveniente creando architetture di dati a livelli in cui i dati non elaborati ad alta frequenza vengono riepilogati per l'ottimizzazione dell'archiviazione. Le organizzazioni possono bilanciare l'efficienza dei costi con i requisiti analitici mantenendo informazioni dettagliate tramite set di dati aggregati ottimizzando al tempo stesso le spese di conservazione dei dati a lungo termine. |
| Se si usa Microsoft Sentinel per analizzare i log di sicurezza, è consigliabile usare un'area di lavoro separata per archiviare tali log. Esaminare i prezzi di Microsoft Sentinel per comprendere le implicazioni sui costi. | Le aree di lavoro separate consentono di controllare i costi separando i log di sicurezza soggetti ai prezzi di Microsoft Sentinel dai log operativi addebitati ai prezzi standard di Log Analytics. |
| Configurare le tabelle usate per il debug, la risoluzione dei problemi e il controllo come log di base. | La configurazione dei log di base offre costi di inserimento inferiori per le tabelle con query frequenti, in cui gli addebiti per le query possono essere compensati da costi di inserimento ridotti. |
| Acquisire la giusta quantità di dati configurando le impostazioni di diagnostica e i controller di dominio per raccogliere solo i dati operativi essenziali. Esaminare le origini dati di ogni risorsa per assicurarsi di raccogliere dati che forniscono valore di monitoraggio evitando dati non necessari. Per indicazioni sulla configurazione, vedere Ottimizzazione dei costi in Monitoraggio di Azure . |
L'acquisizione della giusta quantità di dati riduce i costi concentrandosi sui dati di valore operativo eliminando il rumore. Questo approccio garantisce di acquisire metriche essenziali senza pagare i dati che non contribuiscono al monitoraggio degli obiettivi. |
| Analizzare regolarmente i dati di utilizzo dell'area di lavoro per identificare tendenze e anomalie. Usare Log Analytics Workspace Insights per esaminare periodicamente la quantità di dati raccolti nell'area di lavoro. Analizzare ulteriormente la raccolta dei dati usando i metodi in Analizzare l'utilizzo nell'area di lavoro Log Analytics per determinare se altre configurazioni possono ridurre ulteriormente l'utilizzo. |
L'analisi di utilizzo regolare consente di comprendere la raccolta dei dati in varie origini, identificare le anomalie e le tendenze verso l'alto che potrebbero causare costi in eccesso e gestire in modo proattivo le spese quando si introducono nuove origini dati. |
| Creare un avviso quando la raccolta dati raggiunge quantità elevate. Configurare le notifiche proattive per un utilizzo eccessivo. | Gli avvisi di raccolta dati elevati consentono di risolvere potenziali anomalie prima della fine del periodo di fatturazione, evitando fatture impreviste. |
| Configurare un limite giornaliero per impedire l'inserimento in fuga a causa di errori di configurazione o abuso, come descritto in Quando usare un limite giornaliero. Creare avvisi per ricevere una notifica quando viene raggiunto il limite e quando viene raggiunta una percentuale, ad esempio la capacità del 90%. |
La configurazione del limite giornaliero offre protezione contro i sovraccarichi imprevisti del budget, offrendo al tempo stesso l'opportunità di analizzare e risolvere la causa di un aumento dei dati prima che la raccolta di dati critici venga arrestata. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle procedure per le pratiche di sviluppo , l'osservabilità e la gestione dei rilasci.
I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi in linea con i requisiti operativi del flusso di lavoro.
Elenco di controllo per la progettazione del carico di lavoro
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati alle aree di lavoro Log Analytics.
Usare l'infrastruttura come codice (IaC) per tutte le funzioni correlate alle aree di lavoro Log Analytics del carico di lavoro: Ridurre al minimo il rischio di errori umani che possono verificarsi dall'amministrazione manuale e dal funzionamento manuale della raccolta di log, dell'inserimento, dell'archiviazione e delle funzioni di query, incluse le query salvate e i query pack, automatizzando il maggior numero possibile di tali funzioni tramite il codice.
Includere anche avvisi che segnalano modifiche dello stato di integrità e la configurazione delle impostazioni di diagnostica per le risorse che inviano log alle aree di lavoro nel codice IaC. Includere il codice con l'altro codice correlato al carico di lavoro per assicurarsi che le procedure di distribuzione sicure vengano mantenute per la gestione delle aree di lavoro.
Assicurarsi che le aree di lavoro siano integre e di ricevere una notifica quando si verificano problemi: Come qualsiasi altro componente del carico di lavoro, le aree di lavoro possono riscontrare problemi. Questi problemi possono consumare tempo prezioso e risorse per diagnosticare e correggere e lasciare il team non a conoscenza dello stato del carico di lavoro di produzione. Il monitoraggio proattivo delle aree di lavoro e la mitigazione anticipata dei problemi consentono ai team operativi di ridurre il tempo dedicato alla risoluzione dei problemi e alle riparazioni.
Separare la produzione dai carichi di lavoro non di produzione: Evitare complessità superflue che possono causare lavoro aggiuntivo per un team operativo usando aree di lavoro diverse per l'ambiente di produzione rispetto a quelle usate dagli ambienti non di produzione. I dati in arrivo possono anche causare confusione perché le attività di test potrebbero sembrare eventi nell'ambiente di produzione.
Preferire strumenti e funzioni predefiniti rispetto alle soluzioni non Microsoft: Usare gli strumenti predefiniti per estendere le funzionalità dei sistemi di monitoraggio e registrazione. Potrebbe essere necessario inserire configurazioni aggiuntive per supportare requisiti come la recuperabilità o la sovranità dei dati che non sono disponibili automaticamente con le aree di lavoro Log Analytics. In questi casi, quando pratico, usare strumenti nativi di Azure o Microsoft per ridurre al minimo il numero di strumenti che l'organizzazione deve supportare.
Considerare le aree di lavoro come componenti statici anziché temporanei: Analogamente ad altri tipi di archivi dati, le aree di lavoro non devono essere considerate tra i componenti temporanei del carico di lavoro. Il framework Well-Architected in genere favorisce l'infrastruttura non modificabile e la possibilità di sostituire rapidamente e facilmente le risorse all'interno del carico di lavoro come parte delle distribuzioni. Tuttavia, la perdita di dati dell'area di lavoro può essere irreversibile e irreversibile.
Per questo motivo, lasciare le aree di lavoro fuori dai pacchetti di distribuzione che sostituiscono l'infrastruttura durante gli aggiornamenti e eseguono solo aggiornamenti sul posto nelle aree di lavoro.
Assicurarsi che il personale operativo sia addestrato nel linguaggio di query Kusto: Formare il personale per creare o modificare le query quando necessario. Se gli operatori non sono in grado di scrivere o modificare query, può rallentare la risoluzione dei problemi critici o altre funzioni perché gli operatori devono affidarsi ad altri team per eseguire questa operazione.
Consigli sulla configurazione
| Raccomandazione | Beneficio |
|---|---|
| Progettare l'architettura dell'area di lavoro Log Analytics per soddisfare i requisiti aziendali, incluso il numero di aree di lavoro da creare e dove inserirle. Se il carico di lavoro usa un'offerta centralizzata del team della piattaforma, assicurarsi di impostare tutto l'accesso operativo necessario. |
Una strategia ben progettata per l'area di lavoro ottimizza l'efficienza operativa del carico di lavoro limitando la distribuzione dei dati operativi e della sicurezza, aumentando la visibilità sui potenziali problemi, semplificando l'identificazione dei modelli e riducendo al minimo i requisiti di manutenzione. |
| Distribuire le aree di lavoro Log Analytics usando modelli IaC, ad esempio modelli arm, Bicep o Terraform. Definire le configurazioni dell'area di lavoro e le query salvate nei modelli controllati dalla versione. Parametrizzare i modelli per le impostazioni specifiche dell'ambiente mantenendo al contempo configurazioni di base standardizzate. |
I modelli IaC eliminano la deriva della configurazione tra ambienti e riducono gli errori di distribuzione tramite processi ripetibili coerenti. Il controllo della versione abilita il rilevamento delle modifiche e facilita i audit trail per i requisiti di conformità. |
| Implementare pipeline di integrazione continua e recapito continuo (CI/CD) che automatizzano le distribuzioni dell'area di lavoro Log Analytics tramite Azure Pipelines o GitHub Actions. Integrare test automatizzati per convalidare le configurazioni dell'area di lavoro prima della distribuzione di produzione. Colocare il codice dell'infrastruttura dell'area di lavoro con i repository di codice dell'applicazione per applicare procedure di distribuzione sicure coerenti. |
Le pipeline CI/CD automatizzate riducono il tempo di distribuzione mantenendo una qualità coerente tramite la convalida. Le procedure di distribuzione sicure riducono al minimo il rischio di errori umani e forniscono funzionalità di rollback quando si verificano problemi durante gli aggiornamenti. |
| Applicare gli standard di configurazione dell'area di lavoro usando Criteri di Azure con criteri predefiniti per le aree di lavoro Log Analytics. Creare criteri personalizzati per i requisiti specifici dell'organizzazione, ad esempio le impostazioni di diagnostica obbligatorie e le convenzioni di denominazione. Implementare assegnazioni di criteri in ambiti appropriati per applicare automaticamente le regole di governance alle nuove aree di lavoro e rilevare la deviazione della configurazione. |
L'applicazione dei criteri garantisce una governance coerente in tutte le aree di lavoro senza supervisione manuale, riducendo così il sovraccarico operativo. Il controllo di conformità automatizzato impedisce problemi operativi e di sicurezza rilevando la deviazione della configurazione. Le configurazioni standardizzate tramite criteri supportano la gestione scalabile dell'area di lavoro e consentono un comportamento di controllo coerente. |
| Usare Log Analytics Workspace Insights per tenere traccia dell'integrità e delle prestazioni delle aree di lavoro Log Analytics. Esaminare le informazioni fornite regolarmente da Log Analytics Workspace Insights per tenere traccia dell'integrità e del funzionamento di ognuna delle aree di lavoro. Creare regole di avviso basate sulla tabella delle operazioni per ricevere una notifica proattiva quando si verifica un problema operativo. Usare gli avvisi consigliati per l'area di lavoro per semplificare la creazione delle regole di avviso più critiche. |
Log Analytics Workspace Insights offre una visualizzazione unificata dell'utilizzo, delle prestazioni, dell'integrità, degli agenti, delle query e del log delle modifiche per tutte le aree di lavoro. Log Analytics Workspace Insights consente di creare visualizzazioni facilmente comprensibili come dashboard o report che i team operativi e gli stakeholder possono usare per tenere traccia dell'integrità dell'area di lavoro. |
| È consigliabile eseguire il miglioramento continuo rivedendo spesso le impostazioni di diagnostica di Azure sulle risorse, i controller di dominio e i dettagli del log applicazioni. Assicurarsi di ottimizzare la strategia di raccolta dei log tramite verifiche frequenti delle impostazioni delle risorse. Dal punto di vista operativo, cercare di ridurre il rumore nei log concentrandosi su tali log che forniscono informazioni utili sullo stato di integrità di una risorsa. |
Le procedure di miglioramento continuo aiutano gli operatori a analizzare e risolvere i problemi e gestire le attività di routine, improvvisate o di emergenza man mano che si verificano. Queste procedure riducono anche il volume dei log concentrandosi sulle attività più importanti per il team operativo da tenere traccia. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda mantenere l'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. Questa strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione di potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.
I principi di progettazione efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo per la progettazione del carico di lavoro
Inizia la tua strategia di progettazione basandoti sull'elenco di controllo per la revisione della progettazione per l'Efficienza delle Prestazioni. Definire una baseline basata su indicatori di prestazioni chiave per le aree di lavoro Log Analytics.
Acquisire familiarità con i concetti fondamentali della latenza di inserimento dei dati di log in Monitoraggio di Azure: Esistono diversi fattori che contribuiscono alla latenza durante l'inserimento dei log nelle aree di lavoro. Molti di questi fattori sono intrinseci alla piattaforma di Monitoraggio di Azure.
Comprendere i fattori e il comportamento di latenza normale consentono di impostare le aspettative appropriate all'interno dei team operativi del carico di lavoro.
Separare i carichi di lavoro non di produzione e di produzione: Le aree di lavoro specifiche della produzione attenuano qualsiasi sovraccarico che i sistemi non di produzione potrebbero introdurre. La separazione riduce il footprint complessivo delle aree di lavoro richiedendo meno risorse per gestire l'elaborazione dei dati dei log.
Scegliere le aree di distribuzione appropriate per soddisfare i requisiti di prestazioni: Distribuire l'area di lavoro Log Analytics e i controller di dominio vicini al carico di lavoro. Dove si distribuisce il carico di lavoro deve informare la scelta dell'area appropriata in cui distribuire l'area di lavoro e i controller di dominio.
Potrebbe essere necessario valutare i vantaggi delle prestazioni della distribuzione delle aree di lavoro e dei controller di dominio nella stessa area del carico di lavoro in base ai requisiti di affidabilità se il carico di lavoro è già stato distribuito in un'area che non può supportare tali requisiti per i dati di log.
Consigli sulla configurazione
| Raccomandazione | Beneficio |
|---|---|
| Configurare il controllo delle query di log e usare Informazioni dettagliate sull'area di lavoro Log Analytics per identificare query lente e inefficienti. Per indicazioni su come migliorare le prestazioni delle query di log lente, vedere Ottimizzare le query di log in Monitoraggio di Azure . |
Le query ottimizzate restituiscono risultati più veloci e usano meno risorse nel back-end, che rende anche più efficienti i processi che si basano su tali query. |
| Usare i processi di ricerca per query analitiche complesse su set di dati di grandi dimensioni e dati di conservazione a lungo termine. I processi di ricerca sono query asincrone eseguite su qualsiasi dato nell'area di lavoro Log Analytics, inclusi i dati del periodo di conservazione a lungo termine. I processi di ricerca creano nuove tabelle di Analisi all'interno dell'area di lavoro che rendono disponibili i risultati per altre query. Questa funzionalità consente di separare i carichi di lavoro analitici dal monitoraggio operativo, migliorando le prestazioni del sistema mantenendo al contempo l'accesso completo ai dati. |
I processi di ricerca supportano l'analisi cronologica complessa dei dati senza influire sulle prestazioni di monitoraggio in tempo reale. Consentono l'elaborazione analitica dedicata con conflitti minimi di risorse, consentendo ai team di sicurezza e agli analisti di eseguire query intensive sui dati archiviati mantenendo al tempo stesso la velocità di risposta del monitoraggio operativo. |
| Esaminare i limiti del servizio Monitoraggio di Azure e i limiti delle aree di lavoro Log Analytics per comprendere le restrizioni che potrebbero influire sulla progettazione delle prestazioni e dell'area di lavoro. Progettare in modo appropriato per attenuare i limiti del servizio, che potrebbero richiedere l'uso di più aree di lavoro per evitare di raggiungere limiti associati a una singola area di lavoro. |
Comprendere i limiti che potrebbero influire sulle prestazioni dell'area di lavoro consente di progettare in modo appropriato per attenuarli e bilanciare le decisioni di progettazione in base ai requisiti e agli obiettivi per altri pilastri. |
| Creare controller di dominio specifici per i tipi di origine dati all'interno di uno o più ambiti di osservabilità definiti. Creare controller di dominio separati per prestazioni ed eventi per ottimizzare l'utilizzo di calcolo dell'elaborazione back-end. |
I controller di dominio separati per le prestazioni e gli eventi consentono di ridurre l'esaurimento delle risorse back-end e impedire un consumo eccessivo di risorse di calcolo che potrebbero causare la mancata risposta dell'agente di Monitoraggio di Azure. |
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati a Log Analytics e alle relative dipendenze. È possibile controllare alcune delle raccomandazioni precedenti tramite Criteri di Azure. Ad esempio, è possibile verificare se sono presenti i controlli seguenti:
I cluster di Log Analytics vengono crittografati con chiavi gestite dal cliente.
Le query salvate vengono archiviate negli account di archiviazione dei clienti per la crittografia.
Le aree di lavoro di Log Analytics bloccano l'inserimento non basato su ID Entra di Microsoft.
Le aree di lavoro Log Analytics bloccano l'inserimento dei log e l'esecuzione di query da reti pubbliche.
Le configurazioni dei collegamenti privati vengono implementate correttamente per l'accesso sicuro.
Per una governance completa, esaminare le definizioni predefinite di Criteri di Azure per Log Analytics e altri criteri che potrebbero influire sulla sicurezza dell'infrastruttura di monitoraggio e registrazione.
Raccomandazioni di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure.
Per altre informazioni, vedere Advisor.