วิธีใช้ Log Analytics Workspace

Log Analytics Workspace เป็นหัวใจสำคัญของระบบ Monitoring และ Logging บน Azure เพราะเป็นพื้นที่ส่วนกลางที่ใช้เก็บข้อมูลจาก Windows Server 2025, Azure VM, Azure Arc Server, Azure Monitor Agent และบริการต่าง ๆ ของ Azure

เมื่อองค์กรเริ่มใช้งาน Azure Monitor หรือ Azure Arc ข้อมูลจำนวนมหาศาลจะถูกส่งมายัง Log Analytics Workspace ไม่ว่าจะเป็น Event Log, Performance Metrics, Security Event, Update Status หรือ Application Log ทำให้ผู้ดูแลระบบสามารถค้นหา วิเคราะห์ และตรวจสอบปัญหาได้จากศูนย์กลางเดียว

สำหรับองค์กรที่ต้องการสร้างระบบ Monitoring ระดับมืออาชีพ การเข้าใจ Log Analytics Workspace ถือเป็นพื้นฐานที่สำคัญมาก

① Log Analytics Workspace คืออะไร

Log Analytics Workspace คือพื้นที่จัดเก็บข้อมูล Log และ Metrics บน Azure

ทำหน้าที่เป็น

  • Data Repository
  • Query Engine
  • Analytics Platform
  • Monitoring Hub

ข้อมูลจาก Server และ Azure Services จะถูกส่งมารวมกันที่นี่

② Log Analytics Workspace ทำงานอย่างไร

กระบวนการทำงาน

Windows Server
→ Azure Monitor Agent
→ Data Collection Rule
→ Log Analytics Workspace
→ Query / Dashboard / Alert

ข้อมูลทั้งหมดจะถูกรวบรวมไว้ในจุดเดียว

ช่วยให้การบริหารจัดการง่ายขึ้นมาก

③ ข้อมูลประเภทใดที่เก็บได้

รองรับข้อมูลจำนวนมาก เช่น

  • Event Log
  • Security Log
  • CPU Metrics
  • Memory Metrics
  • Disk Metrics
  • Network Metrics
  • Azure Activity Logs
  • Defender Events
  • Sentinel Logs

ทำให้เป็นศูนย์กลางข้อมูลของทั้งองค์กร

④ สร้าง Log Analytics Workspace

เข้าสู่ Azure Portal

ค้นหา

Log Analytics Workspace

จากนั้นเลือก

Create

กำหนด

  • Subscription
  • Resource Group
  • Workspace Name
  • Region

แล้วกด Create

⑤ เชื่อม Windows Server 2025

Server สามารถส่งข้อมูลมายัง Workspace ผ่าน

  • Azure Arc
  • Azure Monitor Agent

เมื่อเชื่อมต่อแล้ว

ข้อมูลจะเริ่มไหลเข้าสู่ Workspace

โดยอัตโนมัติ

⑥ ตรวจสอบข้อมูลที่เข้ามา

ไปที่

Log Analytics Workspace
→ Logs

จะพบหน้าต่าง Query

ใช้ค้นหาข้อมูลต่าง ๆ ได้

⑦ ภาษา Query ที่ใช้

Log Analytics ใช้ภาษา

KQL
(Kusto Query Language)

เป็นภาษาที่ออกแบบมาเพื่อค้นหาข้อมูลจำนวนมาก

ได้อย่างรวดเร็ว

⑧ ดูข้อมูล Heartbeat

ตัวอย่าง Query

Heartbeat
| take 10

แสดงรายการ Server ล่าสุดที่ส่งข้อมูลเข้ามา

ช่วยตรวจสอบว่า Agent ยังทำงานอยู่หรือไม่

⑨ ดูรายการ Server ทั้งหมด

Query

Heartbeat
| summarize by Computer

จะแสดงรายชื่อ Server ที่ส่งข้อมูลเข้ามา

เหมาะสำหรับ Inventory Monitoring

⑩ ตรวจสอบ CPU

Query

Perf
| where CounterName == "% Processor Time"

ช่วยวิเคราะห์

  • CPU Load
  • Performance Trend
  • Resource Usage

ย้อนหลังได้

⑪ ตรวจสอบ Memory

Query

Perf
| where CounterName contains "Available MBytes"

ใช้ดู

  • RAM Usage
  • Memory Pressure
  • Capacity Planning

ของระบบ

⑫ ตรวจสอบ Disk

Query

Perf
| where ObjectName == "LogicalDisk"

ดูข้อมูล

  • Free Space
  • Used Space
  • Disk Utilization

ช่วยป้องกันปัญหา Disk เต็ม

⑬ ดู Event Log

Query

Event
| take 20

แสดง Event ล่าสุด

จาก Windows Server

ทั้งหมดในองค์กร

⑭ ค้นหา Error Event

Query

Event
| where EventLevelName == "Error"

ใช้วิเคราะห์

  • Application Error
  • Service Failure
  • Driver Problem

ได้อย่างรวดเร็ว

⑮ ค้นหา Failed Login

Query

SecurityEvent
| where EventID == 4625

ใช้ตรวจสอบ

ความพยายาม Login ล้มเหลว

ซึ่งเป็นข้อมูลสำคัญด้าน Security

⑯ ค้นหา Account Lockout

Query

SecurityEvent
| where EventID == 4740

ช่วยค้นหาบัญชีที่ถูกล็อก

จากการ Login ผิดหลายครั้ง

⑰ สร้าง Dashboard

ข้อมูลจาก Workspace สามารถนำไปสร้าง

  • Monitoring Dashboard
  • NOC Dashboard
  • Security Dashboard
  • Executive Dashboard

ได้จาก Azure Portal

ช่วยให้เห็นภาพรวมขององค์กร

⑱ สร้าง Alert

สามารถสร้าง Alert จาก Query

ตัวอย่าง

  • CPU > 90%
  • Disk < 10%
  • Failed Login มากกว่า 20 ครั้ง
  • Service หยุดทำงาน

Azure จะส่งการแจ้งเตือนทันที

⑲ ใช้งานร่วมกับ Microsoft Defender for Cloud

Workspace สามารถรับข้อมูลจาก

Microsoft Defender for Cloud

ช่วยวิเคราะห์

  • Security Event
  • Vulnerability
  • Threat Detection

จากศูนย์กลางเดียว

⑳ ใช้งานร่วมกับ Microsoft Sentinel

หากองค์กรต้องการระบบ SIEM

สามารถเชื่อมกับ

Microsoft Sentinel

ได้ทันที

โดย Sentinel จะใช้ข้อมูลจาก Workspace

ในการวิเคราะห์เหตุการณ์ด้านความปลอดภัย

㉑ ตรวจสอบค่าใช้จ่าย

Log Analytics มีค่าใช้จ่ายตามปริมาณข้อมูล

ควรตรวจสอบ

Data Ingestion
Retention
Storage

อย่างสม่ำเสมอ

เพื่อควบคุมงบประมาณ

㉒ Best Practices

แนวทางที่แนะนำ

  • แยก Workspace สำหรับ Production
  • เก็บ Security Log ทุกเครื่อง
  • เปิด Heartbeat Monitoring
  • ใช้ Alert สำหรับ Event สำคัญ
  • ตรวจสอบค่าใช้จ่ายทุกเดือน
  • ใช้ Retention Policy ให้เหมาะสม

comsiam แนะนำให้เริ่มต้นด้วยการเก็บ Security Log, System Log และ Performance Metrics ก่อน เพราะเป็นข้อมูลที่ให้ประโยชน์สูงสุดในการดูแล Windows Server 2025 และสามารถนำไปต่อยอดกับ Defender for Cloud หรือ Microsoft Sentinel ได้ในอนาคต

㉓ สรุป

Log Analytics Workspace เป็นศูนย์กลางการเก็บและวิเคราะห์ข้อมูลของ Azure Monitor โดยรองรับข้อมูลจาก Windows Server 2025, Azure Arc, Azure Monitor Agent และบริการต่าง ๆ ของ Azure ช่วยให้องค์กรสามารถค้นหา วิเคราะห์ สร้าง Dashboard และแจ้งเตือนจากข้อมูลจำนวนมหาศาลได้อย่างมีประสิทธิภาพ พร้อมรองรับการทำงานด้าน Security และ Monitoring ระดับองค์กร

㉔ คำถามชวนคิด

หากเกิดปัญหากับ Server เมื่อ 3 เดือนก่อน คุณสามารถค้นหา Event, Error และ Security Log ทั้งหมดได้ภายในไม่กี่วินาที หรือยังต้องค้นหาจากแต่ละเครื่องทีละตัว?

ป้ายกำกับ

Related Posts

Trending now
วิธีใช้ Problem-Solution Marketing ใน TikTok Affiliate ให้ยอดขายพุ่งโดยไม่ต้องขายตรง
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)