Workspace de stockage et analyse de logs Azure interrogeable en KQL.
Azure Log Analytics est le composant central de Azure Monitor pour le stockage et l'analyse de logs. Un Log Analytics workspace est un conteneur logique de logs (tables, schémas, retention policies, access controls) interrogeable via KQL (Kusto Query Language). Centralise les logs de toutes sources Azure (Activity Logs, Diagnostic Logs, VMs via Azure Monitor Agent, AKS, Application Insights, Custom Logs).
Architecture : un workspace est créé dans une région Azure spécifique, avec son pricing tier, retention par table, daily cap optionnel, et access control via RBAC. Recommandation : 1 workspace centralisé par environnement (prod/non-prod) plutôt que dispersion, sauf contraintes data residency ou data sovereignty multi-region.
Tables principales : (1) AzureActivity — Activity Log subscription level (qui a fait quoi sur Azure Resource Manager) ; (2) AzureDiagnostics — legacy table multi-resource (deprecated, préférer resource-specific tables) ; (3) Heartbeat — VM connectivity status ; (4) Perf — performance counters VMs ; (5) Syslog/Event — logs OS Linux/Windows ; (6) AppRequests/AppDependencies/AppExceptions — App Insights ; (7) ContainerLog/KubeEvents — AKS via Container Insights ; (8) SecurityEvent — Windows security log via MDE ; (9) custom tables _CL pour apps custom.
KQL essentiel : pipeline operators (where, project, summarize, join, render, extend, parse), time series operations (make-series, series_decompose), advanced aggregations (percentile, dcount, hll), machine learning functions (autocluster, basket, anomalydetection). Très puissant et performant sur des TB de données. Documentation : aka.ms/kqlcheatsheet.
Features clés : (1) Cross-workspace queries — `workspace("prod").Heartbeat | join workspace("dev").Heartbeat` ; (2) Saved queries et functions réutilisables ; (3) Computer Groups dynamiques ; (4) Alert rules basées sur KQL queries scheduled ; (5) Workbooks pour dashboards interactifs ; (6) Logic Apps integration ; (7) PowerBI export ; (8) Azure Sentinel built sur Log Analytics ; (9) Data Collection Rules (DCR) modernes vs legacy Log Analytics agent ; (10) Tables Basic vs Analytics vs Archive (depuis 2022) — différents prix et capabilities (Basic less expensive but no alerts, no scheduled queries) ; (11) Auxiliary Logs (preview 2024) — ingestion massive low-cost pour data peu queryée.
Pricing : Analytics tier ~2.30\$/GB ingestion, commitment tiers (100 GB/jour → 196\$/jour vs 230\$ PAYG = 15% reduction, up to 5000 GB/jour 60% reduction). Retention first 31 days free, ensuite 0.10\$/GB-mois Analytics, 0.02\$/GB Archive. Compétences AZ-104, AZ-204, AZ-500, SC-200.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →