إدارة استبقاء البيانات في مساحة عمل Log Analytics

2025-05-05

تحتفظ مساحة عمل Log Analytics بالبيانات في حالتين:

الاستبقاء التفاعلي: في هذه الحالة، تتوفر البيانات للمراقبة واستكشاف الأخطاء وإصلاحها والتحليلات شبه الحقيقية.
الاستبقاء طويل الأجل: في هذه الحالة منخفضة التكلفة، لا تتوفر البيانات لميزات خطة الجدول، ولكن يمكن الوصول إليها من خلال مهام البحث.

توضح هذه المقالة كيفية احتفاظ مساحات عمل Log Analytics بالبيانات وكيفية إدارة استبقاء البيانات للجداول في مساحة العمل الخاصة بك.

استبقاء تفاعلي وطويل الأجل وإجمالي

بشكل افتراضي، تحتفظ جميع الجداول في مساحة عمل Log Analytics بالبيانات لمدة 30 يوما، باستثناء جداول السجل مع الاحتفاظ الافتراضي لمدة 90 يوما. خلال هذه الفترة - فترة الاستبقاء التفاعلية - يمكنك استرداد البيانات من الجدول من خلال الاستعلامات، وتتوفر البيانات للمرئيات والتنبيهات والميزات والخدمات الأخرى، استنادا إلى خطة الجدول.

يمكنك تمديد فترة الاستبقاء التفاعلية للجداول باستخدام خطة التحليلات حتى عامين. الخطط الأساسية والإضافية لها فترة استبقاء تفاعلية ثابتة تبلغ 30 يوما.

إشعار

يمكنك تقليل فترة الاستبقاء التفاعلية لجداول التحليلات إلى أقل من أربعة أيام باستخدام واجهة برمجة التطبيقات أو CLI. ومع ذلك، نظرا إلى تضمين 31 يوما من الاستبقاء التفاعلي في سعر الاستيعاب، فإن خفض فترة الاستبقاء أقل من 31 يوما لا يقلل من التكاليف.

للاحتفاظ بالبيانات في نفس الجدول بعد فترة الاستبقاء التفاعلية، قم بتمديد إجمالي استبقاء الجدول حتى 12 عاما. في نهاية فترة الاستبقاء التفاعلية، تبقى البيانات في الجدول لبقية فترة الاستبقاء الإجمالية التي تقوم بتكوينها. خلال هذه الفترة - فترة الاستبقاء طويلة الأجل - قم بتشغيل مهمة بحث لاسترداد البيانات المحددة التي تحتاجها من الجدول وجعلها متاحة للاستعلامات التفاعلية في جدول نتائج البحث.

كيفية عمل تعديلات الاستبقاء

عند تقصير إجمالي الاحتفاظ بالجدول، تنتظر سجلات Azure Monitor 30 يوما قبل إزالة البيانات، حتى تتمكن من إرجاع التغيير وتجنب فقدان البيانات إذا قمت بخطأ في التكوين.

عند زيادة إجمالي الاستبقاء، تنطبق فترة الاستبقاء الجديدة على جميع البيانات التي تم إدخالها بالفعل في الجدول ولم تتم إزالتها بعد.

عند تغيير إعدادات الاستبقاء طويلة الأجل لجدول ببيانات موجودة، يصبح التغيير ساري المفعول على الفور.

مثال:

لديك جدول Analytics موجود مع 180 يوما من الاستبقاء التفاعلي وعدم الاستبقاء على المدى الطويل.
يمكنك تغيير الاستبقاء التفاعلي إلى 90 يوما دون تغيير إجمالي فترة الاستبقاء البالغة 180 يوما.
يعامل Azure Monitor تلقائيا ال 90 يوما المتبقية من الاستبقاء الإجمالي على أنها استبقاء منخفض التكلفة وطويل الأجل، بحيث لا تفقد البيانات التي عمرها من 90 إلى 180 يوما.

الأذونات المطلوبة

الإجراء	الأذونات المطلوبة
تكوين الاستبقاء التفاعلي الافتراضي لجداول التحليلات في مساحة عمل Log Analytics	`Microsoft.OperationalInsights/workspaces/write` والأذونات `microsoft.operationalinsights/workspaces/tables/write` إلى مساحة عمل Log Analytics، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال
الحصول على إعداد الاستبقاء حسب الجدول لمساحة عمل Log Analytics	`Microsoft.OperationalInsights/workspaces/tables/read` أذونات إلى مساحة عمل Log Analytics، كما هو منصوص عليه في الدور المضمن لقارئ Log Analytics، على سبيل المثال

تكوين فترة الاستبقاء التفاعلية الافتراضية لجداول التحليلات

فترة الاستبقاء التفاعلية الافتراضية لجميع الجداول في مساحة عمل Log Analytics هي 30 يوما. يمكنك تغيير الفترة التفاعلية الافتراضية لجداول التحليلات إلى ما يصل إلى عامين عن طريق تعديل إعداد استبقاء البيانات على مستوى مساحة العمل. تحتوي الجداول الأساسية والإضافية على فترة استبقاء تفاعلية ثابتة تبلغ 30 يوما.

يؤثر تغيير إعداد استبقاء البيانات الافتراضي على مستوى مساحة العمل تلقائيا على جميع جداول التحليلات التي لا يزال الإعداد الافتراضي ينطبق عليها في مساحة العمل الخاصة بك. إذا قمت بالفعل بتغيير الاستبقاء التفاعلي لجدول معين، فلن يتأثر هذا الجدول عند تغيير إعداد استبقاء البيانات الافتراضي لمساحة العمل.

هام

قد تحتفظ مساحات العمل التي لها استبقاء لمدة 30 يوما بالبيانات لمدة 31 يوما. إذا كنت بحاجة إلى الاحتفاظ بالبيانات لمدة 30 يوما فقط للامتثال لنهج الخصوصية، فقم بتكوين استبقاء مساحة العمل الافتراضي إلى 30 يوما باستخدام واجهة برمجة التطبيقات وتحديث immediatePurgeDataOn30Days خاصية مساحة العمل إلى true. هذه العملية مدعومة حاليا فقط باستخدام Workspaces - Update API.

لتعيين فترة الاستبقاء التفاعلية الافتراضية لجداول التحليلات داخل مساحة عمل Log Analytics:

من قائمة مساحات عمل Log Analytics في مدخل Microsoft Azure، حدد مساحة العمل الخاصة بك.
حدد الاستخدام والتكاليف المقدرة في الجزء الأيسر.
حدد استبقاء البيانات في أعلى الصفحة.
حرك شريط التمرير لزيادة أو تقليل عدد الأيام، ثم اختر موافق.

لتعيين فترة الاستبقاء التفاعلية الافتراضية لجداول التحليلات داخل مساحة عمل Log Analytics، اتصل ب Workspaces - Create Or Update API:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

نص الطلب

يشمل نص الطلب القيم في الجدول التالي.

اسم	كتابة	‏‏الوصف
`properties.retentionInDays`	العدد الصحيح	استبقاء بيانات مساحة العمل بالأيام. القيم المسموح بها هي لكل خطة تسعير. راجع وثائق مستويات التسعير للحصول على التفاصيل.
`location`	سلسلة	الموقع الجغرافي للمورد.
`immediatePurgeDataOn30Days`	منطقيه	العلامة التي تشير إلى ما إذا كانت البيانات تتم إزالتها على الفور بعد 30 يوما وغير قابلة للاسترداد. ينطبق فقط عند تعيين استبقاء مساحة العمل إلى 30 يوما.

مثال

يعين هذا المثال الاحتفاظ بمساحة العمل إلى الإعداد الافتراضي لمساحة العمل وهو 30 يوما ويضمن إزالة البيانات مباشرة بعد 30 يوما وغير قابلة للاسترداد.

طلب

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

لتعيين فترة الاستبقاء التفاعلية الافتراضية لجداول التحليلات داخل مساحة عمل Log Analytics، قم بتشغيل الأمر az monitor log-analytics workspace update وتمرير المعلمة --retention-time .

يعين هذا المثال الاحتفاظ التفاعلي للجدول إلى 30 يوما:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

استخدم الأمر cmdlet Set-AzOperationalInsightsWorkspace لتعيين فترة الاستبقاء التفاعلية الافتراضية لجداول Analytics داخل مساحة عمل Log Analytics. يعين هذا المثال فترة الاستبقاء التفاعلية الافتراضية إلى 30 يوما:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

تكوين الاستبقاء على مستوى الجدول

بشكل افتراضي، ترث جميع الجداول التي تحتوي على خطة بيانات Analytics إعداد الاستبقاء التفاعلي الافتراضي لمساحة عمل Log Analytics وليس لها استبقاء طويل الأجل. يمكنك زيادة فترة الاستبقاء التفاعلية لجداول التحليلات إلى ما يصل إلى 730 يوما بتكلفة إضافية.

لإضافة استبقاء طويل الأجل إلى جدول يحتوي على أي خطة بيانات، قم بتعيين إجمالي الاستبقاء إلى ما يصل إلى 12 عاما (4383 يوما).

إشعار

حاليا، يمكنك تعيين إجمالي الاستبقاء إلى ما يصل إلى 12 عاما من خلال مدخل Microsoft Azure وواجهة برمجة التطبيقات. تقتصر CLI وPowerShell على سبع سنوات؛ سيتبع ذلك الدعم لمدة 12 عاما.

لتعديل إعداد الاستبقاء لجدول في مدخل Microsoft Azure:

من قائمة مساحات عمل Log Analytics، حدد Tables.

تسرد شاشة الجداول كافة الجداول في مساحة العمل.
حدد قائمة السياق للجدول الذي تريد تكوينه وحدد إدارة الجدول.
قم بتكوين إعدادات الاستبقاء التفاعلي والاستبقاء الإجمالي في قسم إعدادات استبقاء البيانات في شاشة تكوين الجدول.

لتعديل إعداد الاستبقاء لجدول، قم باستدعاء Table - Update API:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

يمكنك استخدام إما PUT أو PATCH، مع الاختلاف التالي:

يتم وإلى retentionInDays القيمة الافتراضية إذا لم تقم بتعيين قيم غير خالية.
القيم أو retentionInDays إذا لم تحدد القيم.

نص الطلب

يشمل نص الطلب القيم في الجدول التالي.

اسم	كتابة	‏‏الوصف
properties.retentionInDays	العدد الصحيح	استبقاء بيانات الجدول بالأيام. يمكن أن تتراوح القيمة بين 4 و730. يؤدي تعيين هذه الخاصية إلى null إلى تطبيق فترة استبقاء مساحة العمل. بالنسبة لجدول Basic and Auxiliary Logs، تكون القيمة دائما 30.
properties.totalRetentionInDays	العدد الصحيح	إجمالي استبقاء البيانات في الجدول بما في ذلك الاستبقاء طويل المدى. يمكن أن تتراوح هذه القيمة بين 4 و730؛ أو 1095 أو 1460 أو 1826 أو 2191 أو 2556 أو 2922 أو 3288 أو 3653 أو 4018 أو 4383. قم بتعيين هذه الخاصية إلى فارغة إذا كنت لا تريد الاحتفاظ على المدى الطويل.

مثال

يعين هذا المثال الاحتفاظ التفاعلي للجدول إلى الإعداد الافتراضي لمساحة العمل وهو 30 يوما، وإجمالي الاستبقاء إلى عامين، مما يعني أن فترة الاستبقاء طويلة الأجل هي 23 شهرا.

طلب

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

نص الطلب

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

استجابه

رمز الحالة: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

لتعديل إعدادات استبقاء الجدول، قم بتشغيل الأمر az monitor log-analytics workspace table update وتمرير --retention-time المعلمات و --total-retention-time .

يعين هذا المثال الاستبقاء التفاعلي للجدول إلى 30 يوما، وإجمالي الاستبقاء إلى عامين، ما يعني أن فترة الاستبقاء طويلة الأجل هي 23 شهرا:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

لإعادة تطبيق قيمة الاستبقاء التفاعلية الافتراضية لمساحة العمل على الجدول وإعادة تعيين استبقائها الإجمالي إلى 0، قم بتشغيل الأمر az monitor log-analytics workspace table update مع تعيين المعلمتين --retention-time و--total-retention-time إلى -1.

على سبيل المثال:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

استخدم Update-AzOperationalInsightsTable cmdlet لتعديل إعدادات استبقاء الجدول. يعين هذا المثال الاستبقاء التفاعلي للجدول إلى 30 يوما، وإجمالي الاستبقاء إلى عامين، ما يعني أن فترة الاستبقاء طويلة الأجل هي 23 شهرا:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

لإعادة تطبيق قيمة الاستبقاء التفاعلية الافتراضية لمساحة العمل على الجدول وإعادة تعيين إجمالي استبقائه إلى 0، قم بتشغيل Update-AzOperationalInsightsTable cmdlet مع -RetentionInDays تعيين المعلمتين و -TotalRetentionInDays إلى -1.

على سبيل المثال:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

استخدم نموذج قالب ARM هذا وملف المعلمة لتحديث فترة الاستبقاء لجدول معين.

ملف القالب

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string",
      "defaultValue": "sampleWorkspace",
      "metadata": {
        "description": "The number of days to retain the data."
      }
    },
    "tableName": {
      "type": "string",
      "defaultValue": "sampleTable",
      "metadata": {
        "description": "The name of the Log Analytics table to modify."
      }
    },
    "retentionInDays": {
      "type": "int",
      "defaultValue": 30,
      "metadata": {
        "description": "The number of days to retain the data."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2025-02-01",
      "name": "[parameters('workspaceName')]",
      "location": "[resourceGroup().location]",
      "resources": [
        {
          "type": "Microsoft.OperationalInsights/workspaces/tables",
          "apiVersion": "2025-02-01",
          "name": "[concat(parameters('workspaceName'), '/', parameters('tableName'))]",
          "properties": {
            "retentionInDays": "[parameters('retentionInDays')]"
          },
          "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('workspaceName'))]" ]
        }
      ]
    }
  ]
}

ملف المعلمة

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "tableName": {
      "value": "AppRequests"
    },
    "retentionInDays": {
      "value": 120
    }
  }
}

الحصول على إعدادات الاستبقاء حسب الجدول

لعرض إعدادات استبقاء الجدول في مدخل Microsoft Azure، من قائمة مساحات عمل Log Analytics، حدد Tables.

تعرض شاشة الجداول فترات الاستبقاء التفاعلية وإجمالي فترات الاستبقاء لكافة الجداول في مساحة العمل.

للحصول على إعداد الاستبقاء لجدول معين (في هذا المثال، SecurityEvent)، استدع الجداول - الحصول على واجهة برمجة التطبيقات:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

للحصول على جميع إعدادات الاستبقاء على مستوى الجدول في مساحة العمل، لا تقم بتعيين اسم جدول.

على سبيل المثال:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

للحصول على إعداد الاستبقاء لجدول معين، قم بتشغيل الأمر az monitor log-analytics workspace table show .

على سبيل المثال:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

للحصول على إعداد الاستبقاء لجدول معين، قم بتشغيل Get-AzOperationalInsightsTable cmdlet.

على سبيل المثال:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

ماذا يحدث للبيانات عند حذف جدول في مساحة عمل Log Analytics؟

يمكن أن تحتوي مساحة عمل Log Analytics على عدة أنواع من الجداول. يختلف ما يحدث عند حذف الجدول لكل منها:

نوع الجدول	استبقاء البيانات	التوصيات
جدول Azure	يحتوي جدول Azure على سجلات من مورد Azure أو بيانات مطلوبة من قبل خدمة أو حل Azure ولا يمكن حذفها. عند إيقاف دفق البيانات من المورد أو الخدمة أو الحل، تظل البيانات في مساحة العمل حتى نهاية فترة الاستبقاء المحددة للجدول.	لتقليل الرسوم، قم بتعيين الاحتفاظ على مستوى الجدول إلى أربعة أيام قبل إيقاف دفق السجلات إلى الجدول.
جدول سجل مخصص (`table_CL`)	حذف مبدئي للجدول حتى نهاية الاحتفاظ على مستوى الجدول أو فترة استبقاء مساحة العمل الافتراضية. أثناء فترة الحذف المبدئي، تستمر في الدفع للاحتفاظ بالبيانات ويمكنك إعادة إنشاء الجدول والوصول إلى البيانات عن طريق إعداد جدول بنفس الاسم والمخطط. بعد أربعة عشر يوما من حذف جدول مخصص، يزيل Azure Monitor تكوين الاستبقاء على مستوى الجدول ويطبق الاحتفاظ الافتراضي لمساحة العمل.	لتقليل الرسوم، قم بتعيين الاحتفاظ على مستوى الجدول إلى أربعة أيام قبل حذف الجدول.
جدول نتائج البحث (`table_SRCH`)	يحذف الجدول والبيانات على الفور وبشكل دائم.
الجدول`(table_RST`المستعادة )	يحذف ذاكرة التخزين المؤقت الساخنة المتوفرة للاستعادة، ولكن لا يتم حذف بيانات الجدول المصدر.

سجل الجداول مع استبقاء افتراضي لمدة 90 يوما

بشكل افتراضي، Usage تحتفظ الجداول و AzureActivity بالبيانات لمدة 90 يوما على الأقل دون أي رسوم. عند زيادة الاحتفاظ بمساحة العمل إلى أكثر من 90 يوما، يمكنك أيضا زيادة الاحتفاظ بهذه الجداول. كما أن هذه الجداول خالية من رسوم نقل البيانات.

كما تحتفظ الجداول المتعلقة بموارد Application Insights بالبيانات لمدة 90 يوماً مجاناً. يمكنك ضبط الاحتفاظ بكل جدول من هذه الجداول بشكل فردي:

AppAvailabilityResults
AppBrowserTimings
AppDependencies
AppExceptions
AppEvents
AppMetrics
AppPageViews
AppPerformanceCounters
AppRequests
AppSystemEvents
AppTraces

نموذج الأسعار

يتم حساب رسوم إضافة الاستبقاء التفاعلي والاستبقاء طويل الأجل استنادا إلى حجم البيانات التي تحتفظ بها، بالجيجابايت، والرقم أو الأيام التي تحتفظ بالبيانات لها. بيانات السجل التي لا _IsBillable == false تخضع لرسوم الاستيعاب أو الاستبقاء.

لمزيد من المعلومات، راجعAzure Monitor pricing.

الخطوات التالية

تعلم المزيد عن:

مشاركة عبر

إدارة استبقاء البيانات في مساحة عمل Log Analytics

استبقاء تفاعلي وطويل الأجل وإجمالي

كيفية عمل تعديلات الاستبقاء

الأذونات المطلوبة

تكوين فترة الاستبقاء التفاعلية الافتراضية لجداول التحليلات

تكوين الاستبقاء على مستوى الجدول

الحصول على إعدادات الاستبقاء حسب الجدول

ماذا يحدث للبيانات عند حذف جدول في مساحة عمل Log Analytics؟

سجل الجداول مع استبقاء افتراضي لمدة 90 يوما

نموذج الأسعار

الخطوات التالية

الملاحظات

الموارد الإضافية