مشاركة عبر

البرنامج التعليمي: تكوين نهج استبقاء البيانات لجدول في مساحة عمل Log Analytics

  • مقالة

في هذا البرنامج التعليمي، ستقوم بتعيين نهج استبقاء لجدول في مساحة عمل Log Analytics التي تستخدمها ل Microsoft Sentinel أو Azure Monitor. تسمح لك هذه الخطوات بالاحتفاظ بالبيانات الأقدم والأقل استخداما في مساحة العمل بتكلفة مخفضة.

تحدد نهج الاستبقاء في مساحة عمل Log Analytics متى يتم نقل السجلات القديمة في جداول البيانات في مساحة العمل إلى حالة الاستبقاء طويل المدى المنخفض التكلفة والحد الأدنى من الوصول إليه (المعروف سابقا باسم الأرشيف). بشكل افتراضي، ترث جميع الجداول في مساحة العمل إعداد الاستبقاء التفاعلي لمساحة العمل وليس لها نهج استبقاء (أرشيف) طويل المدى. يمكنك تعديل نهج الاستبقاء التفاعلية وطويلة الأجل للجداول الفردية، باستثناء مساحات العمل في مستوى تسعير الإصدار التجريبي المجاني القديم.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • تعيين نهج الاستبقاء لجدول
  • مراجعة نهج الاستبقاء التفاعلية وطويلة الأجل

المتطلبات الأساسية

لإكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب أن يكون لديك الموارد والأدوار التالية.

  • إنشاء حساب في Azure ذي اشتراك نشط. أنشئ حساباً مجاناً.

  • حساب Azure مع الأدوار التالية:

    دور مدمج النطاق السبب
    مساهم Log Analytics أي من
    • الاشتراك
    • مجموعة الموارد
    • جدول
    		 لتعيين نهج الاستبقاء على الجداول في Log Analytics

  • مساحة عمل Log Analytics.

تعيين نهج الاستبقاء لجدول

في مساحة عمل Log Analytics، قم بتغيير نهج الاستبقاء التفاعلي لجدول SecurityEvent من الإعداد الافتراضي لمساحة العمل من 90 يوما إلى 180 يوما، ونهج الاستبقاء الإجمالي إلى 3 سنوات. إجمالي فترة الاستبقاء هي مجموع فترات الاستبقاء التفاعلية والطويلة الأجل (الأرشيف).

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مدخل Microsoft Azure، ابحث عن مساحات عمل Log Analytics وافتحها.

  3. حدد مساحة العمل المناسبة.

  4. ضمن Settings، حدد Tables.

  5. ابحث عن جدول SecurityEvent في القائمة، وافتح قائمة السياق (...).

  6. حدد إدارة الجدول.

    لقطة شاشة لخيار إدارة الجدول في قائمة السياق لجدول في طريقة عرض الجداول.

  7. ضمن إعدادات استبقاء البيانات، أدخل القيم التالية.

    الحقل القيمة
    الاستبقاء التفاعلي 180 أيام
    إجمالي فترة الاستبقاء 3 أعوام

    لقطة شاشة لإعدادات استبقاء البيانات التي تعرض التغييرات على الحقول ضمن قسم استبقاء البيانات.

    راجع أن الرسم البياني للوقت يوضح أن فترة الاستبقاء طويلة الأجل تساوي إجمالي فترة الاستبقاء بالأيام ناقص فترة الاستبقاء التفاعلي بالأيام. في هذه الحالة، 915 يوما، أو 2.5 سنة.

  8. حدد حفظ.

مراجعة نهج الاستبقاء التفاعلية والإجمالية

في صفحة الجداول، للجدول الذي قمت بتحديثه، راجع قيم الحقول للاحتفاظ التفاعلي واستبقاء الإجمالي.

لقطة شاشة لعرض الجدول تعرض أعمدة فترة الاستبقاء والأرشفة التفاعلية.

تنظيف الموارد

لم يتم إنشاء أي موارد ولكن قد ترغب في استعادة إعدادات استبقاء البيانات التي قمت بتغييرها.

اعتمادا على الإعدادات المعينة لمساحة العمل بأكملها، قد تتحمل الإعدادات المحدثة في هذا البرنامج التعليمي رسوما إضافية. لتجنب هذه الرسوم، قم باستعادة الإعدادات إلى قيمها الأصلية.

الخطوات التالية

تكوين نهج استبقاء البيانات التفاعلية وطويلة الأجل في سجلات Azure Monitor