Un Log Analytics Workspace (Área de Trabajo de Log Analytics) es un contenedor de datos unificado y escalable dentro de Azure Monitor que:
- Centraliza registros (logs) y datos de telemetría
- Proporciona un motor de consulta basado en KQL (Kusto Query Language)
- Sirve como la capa de almacenamiento fundamental para Microsoft Sentinel
1. Arquitectura Técnica Detallada
Puede usar una sola área de trabajo para la recopilación de datos. Sin embargo, también puede crear varias áreas de trabajo basadas en requisitos empresariales específicos, como requisitos normativos o de cumplimiento, para almacenar datos en ubicaciones específicas, dividir la facturación y la resistencia.
Cada área de trabajo de Log Analytics contiene varias tablas en las que los registros de Azure Monitor almacenan los datos que se recopilan.
Puede crear tablas personalizadas para almacenar los datos que recopila de aplicaciones y recursos que no son de Azure, en función del modelo de datos de los datos de registro que recopila y de cómo desea almacenar y usar los datos.
Las tablas en Log Analytics Workspace están fundamentalmente compuestas por Extents y Column Stores, que trabajan conjuntamente para ofrecer alto rendimiento en consultas y eficiencia en almacenamiento.
🔹 1.1 Componentes Físicos
| Componente | Descripción | Tecnología Subyacente |
|---|---|---|
| Extents | Particiones físicas (~5GB) | Azure Data Explorer (ADX) |
| Column Stores | Almacenamiento columnares optimizado | Parquet-like format |
| Hot/Cold Storage | Niveles de acceso por temperatura | Azure Blob Storage |
2._ Azure Data Explorer (ADX), conocido internamente como «Kusto», es el motor de base de datos analítico en tiempo real que sustenta Log Analytics Workspace.
🔹 1.2 Estructura Lógica
| Nivel | Descripción | Ejemplo |
|---|---|---|
| Workspace | Contenedor raíz | eastus-law-001 (Región) |
| Tablas | Entidades de almacenamiento | SecurityEvent, CustomLog_CL |
| Columnas | Estructura por registro | TimeGenerated, Computer |
2. Características Clave
🔹 2.1 Modelo de Datos Híbrido
- Esquema fijo para tablas estándar (ej:
Syslog) - Esquema flexible para tablas personalizadas (ej:
MyApp_CLcon campos dinámicos)
🔹 2.2 Especificaciones Técnicas
| Parámetro | Límite | Notas |
|---|---|---|
| Tamaño máximo | Sin límite práctico | Escala a petabytes |
| Retención | Hasta 7 años | Configurable por tabla |
| Throughput ingesta | 500 MB/sec por workspace | Autoescalable |
3. Flujo de Datos Completo
Ejemplo de flujo de trabajo:
- Oficina principal local; VM 1. Este componente es una aplicación web con acceso a Internet y una página web de acceso público, y los agentes de Log Analytics y Dependency Agent instalados.
- Oficina principal local; VM 2. Este entorno de business-logic (lógica empresarial) no tiene acceso a Internet. Sin embargo, tiene instalados los agentes de Log Analytics y Dependency Agent.
- Oficina principal local; VM 3. Este componente es un almacén de datos sin acceso a Internet, pero con los agentes de Log Analytics y Dependency Agent instalados.
- Oficina principal local (Main office); puerta de enlace de Log Analytics (Log Analytics gateway). La puerta de enlace de Log Analytics recopila datos de registro y métricas de las tres VM locales y los entrega en el área de trabajo de Log Analytics a través del Protocolo de control de transmisión (TCP) en el puerto 443.
- Oficina principal local (Main office); firewall. El tráfico hacia y desde el entorno local se enruta a través del firewall.
- Puerta de enlace. La puerta de enlace proporciona conectividad a la sucursal.
- Sucursal local; VM 4. Este componente es la aplicación empresarial que se ejecuta sin acceso a Internet, pero con los agentes de Log Analytics y Dependency Agent instalados. El agente de Log Analytics instalado en la VM está configurado para transferir datos directamente al área de trabajo de Log Analytics sin necesidad de una puerta de enlace de Log Analytics.
- Sucursal local; puerta de enlace. Esta puerta de enlace conecta la sucursal con la oficina principal local a través de una red privada virtual (VPN).
- Proveedor de nube de terceros; VM 5. Este componente es una aplicación web con acceso a Internet, una página web de acceso público, y los agentes de Log Analytics y Dependency Agent instalados.
- Proveedor de nube de terceros; VM 6. Este componente es un entorno de almacén de datos sin acceso a Internet, pero con los agentes de Log Analytics y Dependency Agent instalados. No hay conectividad directa desde los entornos de proveedor de nube de terceros a los entornos locales.
- Azure; VMSS. Se trata de un conjunto de escalado creado mediante Azure Virtual Machine Scale Sets. Ejecuta una aplicación empresarial con los agentes de Log Analytics y de diagnóstico instalados.
- Azure; servidor de aplicaciones. Este servidor tiene una sola VM que ejecuta una aplicación empresarial, con los agentes de Log Analytics y de diagnóstico instalados.
- Métricas de Azure Monitor. Los datos recopilados por las métricas de Azure Monitor se almacenan en una base de datos de serie temporal que está optimizada para el análisis de los datos con marca de tiempo. También almacena métricas enviadas desde VM locales y VM de Azure.
- Azure Monitor; área de trabajo de Log Analytics. Esta área de trabajo almacena los registros enviados desde VM locales, VM de Azure y VM en proveedores de nube de terceros. El área de trabajo es un recurso de Azure donde se agregan los datos y sirve de límite administrativo para el acceso a estos datos. Posteriormente, otros servicios de Azure Monitor se conectan al área de trabajo de Log Analytics y usan los datos con distintos fines.
- Azure Monitor. Insights: Application Insights. Application Insights proporciona análisis de aplicaciones e información sobre su uso. En esta arquitectura de ejemplo, una prueba de ping de disponibilidad comprueba la disponibilidad de la aplicación web local. Las reglas de alertas están habilitadas para proporcionar la notificación de una prueba con errores.
- Azure Monitor. Insights: Azure Monitor para VM. Azure Monitor para VM supervisa el rendimiento y el estado de sus máquinas virtuales y conjuntos de escalado de máquinas virtuales. La supervisión incluye sus procesos en ejecución y las dependencias de otros recursos. En este escenario, Azure Monitor para VM proporcionará información sobre sus máquinas virtuales.
- Azure Monitor: análisis. Los datos de registro y métricas de las VM se consultan en las métricas de Azure Monitor y el área de trabajo de Log Analytics mediante el lenguaje de consulta de Kusto (KQL). Los resultados proporcionan información sobre la infraestructura, la topología y los recursos.
- Azure Monitor: visualizaciones. Azure Monitor usa herramientas de visualización para revisar los componentes de la infraestructura y la aplicación, y las comunicaciones entre los servicios de Azure Monitor. Entre las herramientas de visualización se incluyen Mapa de aplicación de Azure Application Insights, la característica Mapa de Azure Monitor para VM, libros de Azure Monitor y varias vistas Panel disponibles en Azure Monitor.
- Azure Monitor; integraciones. Azure Monitor se integra con una gran variedad de herramientas y extensiones de asociados y de terceros. Estas herramientas y extensiones se basan en las funcionalidades de Azure Monitor existentes, como las de análisis y visualizaciones, y las mejoran.
- Azure Monitor. Acciones: alertas. Las variaciones en los datos de métricas y registros pueden indicar la aparición de eventos. Las reglas definen las variantes de los datos que desencadenan las alertas, proporcionan notificaciones e inician respuestas de corrección. En esta arquitectura, cuando se desencadena una alerta, los runbooks de Automation corrigen automáticamente las VM locales y las VM de Azure. También existen acciones de webhooks, integración de administración de servicios y otros tipos de acciones disponibles.
- Azure Monitor. Acciones: escalabilidad automática. La escalabilidad automática agrega o elimina instancias de VM según la demanda, lo que mantiene el rendimiento y mejora la rentabilidad. En esta arquitectura, la escalabilidad automática tiene condiciones definidas en torno a la carga media de la CPU (en porcentaje). Si se cumplen las condiciones, la escalabilidad automática de Azure Monitor ajustará el conjunto de escalado según la demanda.
🔹 3.1 Proceso de Ingesta
- Normalización: Conversión a formato OMS (Operational Management Suite), es el proceso que convierte datos crudos a un esquema estandarizado.
- Indexación: Creación de índices invertidos
- Particionado: División en extents por tiempo
4. Integraciones importantes
🔹 4.1 Con Azure Monitor
Log Analytics Workspace funciona como el almacén de datos central para Azure Monitor, creando una relación simbiótica.
Fuente de datos (VMs, Apps, ...,etc.) <-- Azure Monitor (Recolección & Alertas) <--> Log Analytics Workspace (Almacenamiento & Consultas)
Conectores Esenciales:
- Azure Monitor Agente (AMA)
- Reemplaza a OMS (Operational Management Suite)/MMA(Microsoft Monitoring Agent)
- Envía datos a ambos sistemas simultáneamente.
- Diagnostic Settings
- Configuración por recurso Azure
🔹 4.2 Con Microsoft Sentinel
Microsoft Sentinel utiliza directamente Log Analytics Workspace como su almacén de datos subyacente, creando una relación simbiótica:
- Workspace = Foundation Layer:
- Almacena todos los datos brutos
- Proporciona motor KQL para detecciones
5. Gestión y Operaciones
🔹 5.1 Comandos ARM Clave
{
"type": "Microsoft.OperationalInsights/workspaces",
"apiVersion": "2022-10-01",
"properties": {
"sku": {
"name": "pergb2018"
},
"retentionInDays": 90,
"features": {
"enableLogAccessUsingOnlyResourcePermissions": true
}
}
}🔹 5.2 Monitoreo de Salud
WorkspaceDiagnostics
| where Operation == "Ingestion"
| summarize avg(LatencyInSeconds) by DataType6. Casos de Uso Avanzados
🔹 6.1 Multi-Homing
El Multi-Homing en Log Analytics Workspace se refiere a la capacidad de enviar datos desde una única fuente a múltiples workspaces simultáneamente, una funcionalidad crítica para escenarios empresariales complejos. Casos de uso típicos:
- Requisitos de soberanía de datos: Envío a workspaces en diferente regiones.
- Segregación de datos:
- Un workspace central para datos de seguridad
- Workspaces regionales para datos operacionales
- Respaldo redundante: Duplicación de datos para BC/DR
🔹 6.2 Arquitectura Hub-Spok
La arquitectura Hub-Spoke en Log Analytics organiza múltiples workspaces en una topología centralizada para gestión empresarial.
7. Seguridad y Cumplimiento
🔹 7.1 Modelo de Acceso
| Rol | Permisos |
|---|---|
| Reader | Solo consultas |
| Contributor | + Crear reglas de alerta |
| Custom | Control granular por tabla |
🔹 7.2 Encriptación
- SSE (Storage Service Encryption): Por defecto con claves Microsoft
- BYOK (Bring Your Own Key): Opcional con Azure Key Vault
8. Límites Críticos
- 500 tablas por workspace máximo
- 50,000 consultas/hora por workspace
- 5 minutos de latencia mínima en ingesta
Conclusión Final:
El Log Analytics Workspace es el corazón técnico del análisis de logs en Azure, combinando almacenamiento masivo con capacidades analíticas avanzadas. Su diseño único permite desde monitoreo básico hasta escenarios SOC enterprise.