Azure Monitor日志是一种集中式软件即服务(SaaS)平台,用于收集、分析和处理Azure和非Azure资源和应用程序生成的遥测数据。
可以在一个 Log Analytics 工作区(主 Azure Monitor 日志资源)中收集日志、管理日志数据和成本,并使用不同类型的数据。 此体系结构意味着你永远不必移动数据或单独管理存储,并且可以根据需要保留不同的数据类型,无论时间长短。
本文概述了Azure Monitor日志的工作原理,并说明了它如何满足组织中不同角色的需求和技能。
注意
Azure Monitor日志是支持Azure Monitor的数据平台的一半。 另一半是Azure Monitor Metrics,将数值数据存储在时序数据库中。
Azure Monitor日志的工作原理
Azure Monitor日志提供了以下工具:
- 使用Azure Monitor数据收集方法收集任何数据。 根据需求转换数据,以优化成本、删除个人数据等。 将数据路由到Log Analytics工作区中的表。
- 管理并优化日志数据和成本,方法是配置Log Analytics工作区和日志表,包括表架构、表计划、数据保留、数据聚合、谁有权访问哪些数据和日志相关成本。
使用 Kusto 查询语言(KQL),或基于 KQL 的工具和功能(如 Log Analytics 用户界面中的简单模式、预构建的精选监控体验(称为 Insights)和预定义查询),以近实时方式检索数据。 - 灵活使用各种用例的数据,包括数据分析、故障排除、警报、仪表板和报表、自定义应用程序和其他Azure或非Azure服务。
数据收集、路由和转换
Azure Monitor的数据收集功能使你可以从Azure、其他云和本地运行的所有应用程序和资源收集数据。 强大的数据引入管道能够对您的 Log Analytics 工作区中的数据进行筛选、转换和路由到目标表,以优化成本、增强分析能力和提高查询性能。
有关数据收集和转换的详细信息,请参阅
Log Analytics工作区
Log Analytics 工作区是一个数据存储库,其中存储着用于收集数据的表。
若要解决使用 Log Analytics 工作区的多种角色的数据存储和消耗需求,可以:
- 根据数据消耗和成本管理需求定义表计划。
- 管理每个表的低成本长期数据保留和分析数据保留。
- 管理对工作区和特定表的访问。
- 创建针对特定角色定制的可随时运行的保存的查询、可视化效果,和警报。
还可以配置网络隔离、跨区域复制工作区,并根据业务需求设计工作区体系结构。
桌位安排
可以使用一个Log Analytics工作区存储任何用途所需的任何类型的日志。 例如:
- 大量详细且冗长的数据需要使用成本低廉的长期存储来满足审核和合规性要求
- 供开发人员用于故障排除的应用和资源数据
- 关键事件和性能数据用于扩展和警报,以确保持续的卓越运营和安全性
- 用于进行高级分析和机器学习的聚合长期数据趋势
使用表计划,可以根据表中的数据使用频率以及需要该数据的分析类型来管理数据成本。
该图表比较了分析表、基本表和辅助表计划。 有关交互式和长期保留的信息,请参阅 Log Analytics工作区中的管理数据保留。 有关如何选择或修改表计划的信息,请参阅“选择表计划”。
| 功能 | Analytics | 基本 | 辅助 |
|---|---|---|---|
| 最适用于 | 用于持续监视、实时检测和性能分析的高价值数据。 | 故障排除和事件响应所需的中等接触数据。 | 低接触数据,例如详细日志,以及审核和合规性所需的数据。 |
| 支持的表类型 | 所有表类型 | Azure 表支持基本日志以及基于 DCR 的自定义表 | 基于 DCR 的自定义表 |
| 引入成本 | 标准 | 已降低 | 最小 |
| 查询费用已包含 | ✅ | ❌ | ❌ |
| 优化查询性能 | ✅ | ✅ |
❌ 查询速度较慢。 适用于审核。 未针对实时分析进行优化。 |
| 查询功能 | 完整的查询功能。 | 基于单个表的完整 Kusto 查询语言 (KQL),你可以通过查找使用 Analytics 表中的数据对其进行扩展。 | 基于单个表的完整 KQL,你可以通过查找使用 Analytics 表中的数据对其进行扩展。 |
| 警报 | ✅ | ✅ (简单日志警报) | ❌ |
| 见解 | ✅ | ❌ | ❌ |
| 仪表盘 | ✅ | ✅ 不包括仪表板刷新的每个查询的成本。1 | 可能性存在,但是刷新速度缓慢,且每次查询的费用未包含在仪表板刷新中。1 |
| 数据导出 | ✅ | ✅ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| 搜索职位 | ✅ | ✅ | ✅ |
| 还原 | ✅ | ✅ | ❌ |
| 数据分析保留 | 30 天(Microsoft Sentinel和 Application Insights 的 90 天)。 可延长至两年,每月按比例收取长期保留费用。 |
不適用 | 不適用 |
| 总保留期 | 最长 12 年 | 最长 12 年 | 最长 12 年 |
1 基本表计划目前支持工作簿和 Grafana。
注意
目前,世纪互联运营的 Microsoft Azure 上不提供辅助表计划。
Kusto 查询语言(KQL)和Log Analytics
使用 Kusto 查询语言(KQL)查询从Log Analytics工作区获取数据。 Log Analytics中的 KQL 查询是处理数据和返回结果的只读请求。 它是一种功能强大的工具,可以快速分析数百万条记录。 使用 KQL 浏览日志、转换和聚合数据、发现模式、识别异常和离群值等。
Log Analytics是Azure门户中用于运行日志查询和分析其结果的工具。 Log Analytics简单模式允许任何用户,无论他们了解 KQL,都只需单击一次即可从一个或多个表中检索数据。 通过一组控件,可以在直观的电子表格式体验中使用最常用的Azure Monitor日志功能来浏览和分析检索的数据。
如果熟悉 KQL,可以使用 Log Analytics KQL 模式编辑和创建查询。 然后在Azure Monitor功能(如警报和工作簿)中使用这些查询,或与其他用户共享它们。
有关 Log Analytics 的详细信息,请参阅 Azure Monitor 中 Log Analytics 的概述。
内置分析和自定义的仪表板、工作簿和报表
Azure Monitor 的许多即用型、特选解决方案将数据存储在 Azure Monitor 日志中。 它们以直观的方式呈现此数据,以便可以监视云和混合应用程序及其支持组件的性能和可用性。
使用工作簿、仪表板和Power BI创建自己的可视化效果和报表。
用例
下表介绍了使用Azure Monitor日志中收集的数据来派生操作和业务价值的一些方法。
| 能力 | 说明 |
|---|---|
| 分析 | 在 Azure 门户中使用 Log Analytics 编写 log 查询并使用功能强大的分析引擎以交互方式分析日志数据。 |
| 警报 | 配置日志搜索预警规则或日志指标警报,以便在发生特定情况时发送通知或采取自动化操作。 |
| 可视化 | 将呈现为表或图表的查询结果固定到 Azure 仪表板。 创建 工作簿 以合并交互式报表中的多个数据集。 将查询的结果导出到 Power BI 以使用不同的可视化效果并与Azure外部的人员共享。 |
| 获取见解 | 洞察为特定的资源和服务提供自定义的监控体验。 |
| 检索 | 通过以下方式访问日志查询结果:
|
| 导入 | 通过 REST API 或适用于 .NET、Go、Java、JavaScript 或 Python 的客户端库,从自定义应用程序上传日志。 |
| 导出 | 配置自动导出日志数据到Azure 存储帐户或Azure 事件中心。 生成工作流以检索日志数据,并使用 Azure 逻辑应用 将其复制到外部位置。 |
| 自带分析 | 利用笔记本分析 Azure Monitor 日志中的数据,以便在您收集的数据基础上创建简化的多步骤过程。 此方法特别适用于高级分析和故障排除指南(TSG)等支持需求。 |
| 保留用于审核和合规性的数据 | 将数据直接发送到表,并将任何表中的数据保留期延长至 12 年,以便进行审计和合规。 |
与 Microsoft Sentinel 和 Microsoft Defender for Cloud 协作
Microsoft Sentinel 和 Microsoft Defender for Cloud在 Azure 中执行 Security monitoring。
这些服务将其数据存储在Azure Monitor日志中,以便通过Azure Monitor收集的其他日志数据对其进行分析。
了解详细信息
| 服务 | 详细信息 |
|---|---|
| Microsoft Sentinel | |
| Microsoft Defender for Cloud |
相关内容
- 了解 log 查询,从 Log Analytics 工作区检索和分析数据。
- 了解 Azure Monitor 中的指标。
- 了解 Azure 各种资源的可用监控数据。