使用英语阅读

通过

创建 Log Analytics 工作区

  • 项目

本文介绍如何创建 Log Analytics 工作区。 收集日志和数据时,信息将存储在工作区中。 工作区具有唯一的工作区 ID 和资源 ID。 给定资源组的工作区名称必须唯一。 创建工作区后,请配置数据源和解决方案以在其中存储数据。

要收集来自以下源的数据,需要 Log Analytics 工作区:

  • 订阅中的 Azure 资源。
  • 受 System Center Operations Manager 监视的本地计算机。
  • Configuration Manager 中的设备集合。
  • Azure 存储中的诊断或日志数据。

先决条件

要创建 Log Analytics 工作区,需要有含活动订阅的 Azure 帐户。 你可以免费创建一个帐户

所需的权限

需要有对要在其中创建 Log Analytics 工作区的资源组的 Microsoft.OperationalInsights/workspaces/write 权限,例如,Log Analytics 参与者内置角色所具有的权限。

创建工作区

以下示例使用 Microsoft.OperationalInsights 工作区模板在 Azure Monitor 中创建 Log Analytics 工作区。 有关 Azure 资源管理器模板的详细信息,请参阅 Azure 资源管理器模板

备注

有关可用示例的列表以及在 Azure 订阅中部署这些示例的指南,请参阅 Azure Monitor 的 Azure 资源管理器示例

模板文件

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "Name of the workspace."
      }
    },
    "sku": {
      "type": "string",
      "defaultValue": "pergb2018",
      "allowedValues": [
        "pergb2018",
        "Free",
        "Standalone",
        "PerNode",
        "Standard",
        "Premium"
      ],
      "metadata": {
        "description": "Pricing tier: PerGB2018 or legacy tiers (Free, Standalone, PerNode, Standard or Premium) which are not available to all customers."
      }
    },
    "location": {
      "type": "string",
      "metadata": {
        "description": "Specifies the location for the workspace."
      }
    },
    "retentionInDays": {
      "type": "int",
      "defaultValue": 120,
      "metadata": {
        "description": "Number of days to retain data."
      }
    },
    "resourcePermissions": {
      "type": "bool",
      "metadata": {
        "description": "true to use resource or workspace permissions. false to require workspace permissions."
      }
    },
    "heartbeatTableRetention": {
      "type": "int",
      "metadata": {
        "description": "Number of days to retain data in Heartbeat table."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2023-09-01",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "properties": {
        "sku": {
          "name": "[parameters('sku')]"
        },
        "retentionInDays": "[parameters('retentionInDays')]",
        "features": {
          "enableLogAccessUsingOnlyResourcePermissions": "[parameters('resourcePermissions')]"
        }
      }
    },
    {
      "type": "Microsoft.OperationalInsights/workspaces/tables",
      "apiVersion": "2022-10-01",
      "name": "[format('{0}/{1}', parameters('workspaceName'), 'Heartbeat')]",
      "properties": {
        "retentionInDays": "[parameters('heartbeatTableRetention')]"
      },
      "dependsOn": [
        "workspace"
      ]
    }
  ]
}

备注

如果指定“免费”定价层,则删除 retentionInDays 元素。

参数文件

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "sku": {
      "value": "pergb2018"
    },
    "location": {
      "value": "chinaeast2"
    },
    "resourcePermissions": {
      "value": true
    },
    "heartbeatTableRetention": {
      "value": 30
    }
  }
}

故障排除

如果创建了一个工作区,该工作区已在过去 14 天内删除且处于软删除状态,那么该操作可能会有不同的结果,具体取决于你的工作区配置:

  1. 如果你提供的工作区名称、资源组、订阅和区域与已删除的工作区中的相同,则将恢复你的工作区,包括其数据、配置和连接的代理。

  2. 资源组的工作区名称必须唯一。 如果使用已存在的或已软删除的工作区名称,则会返回错误。 若要永久删除已软删除的工作区名称,并创建一个同名的新工作区,请按以下步骤操作:

    1. 恢复工作区。
    2. 永久删除工作区。
    3. 使用相同的工作区名称创建新的工作区。

后续步骤

现在,你已有可用的工作区,可以配置监视遥测收集、运行日志搜索分析该数据,以及添加管理解决方案以提供更多数据和分析见解。 若要了解详细信息,请访问以下链接: