تكوين السجلات

مكتمل

هناك ثلاثة أنواع من السجلات الأساسية في Microsoft Sentinel:

  • Analytics Logs
  • السجلات الأساسية
  • أرشيف السجلات

يتم الاحتفاظ بالبيانات الموجودة في كل جدول في مساحة عمل Log Analytics لفترة زمنية محددة تتم بعدها إما إزالتها أو أرشفتها برسوم احتفاظ مخفضة. قم بتعيين وقت الاستبقاء لموازنة متطلباتك لتوفير البيانات مع تقليل تكلفة استبقاء البيانات.

للوصول إلى البيانات المؤرشفة، يتعين عليك أولاً استرداد البيانات منها في جدول Analytics Logs باستخدام إحدى الطرق التالية:

  • مهام البحث
  • استعادة

Diagram of different Workspace Log Types.

Analytical Logs

بشكل افتراضي، تكون جميع الجداول في مساحة العمل من نوع Analytics Logs، والتي تتوفر لجميع ميزات مساحة عمل Log Analytics وأي خدمات أخرى تستخدم مساحة العمل.

السجلات الأساسية

يمكنك تكوين جداول معينة كسجلات أساسية لتقليل تكلفة تخزين السجلات المطولة كبيرة الحجم التي تستخدمها لتصحيح الأخطاء واستكشاف الأخطاء وإصلاحها والتدقيق، ولكن ليس للتحليلات والتنبيهات. تحتوي الجداول التي تم تكوينها للسجلات الأساسية على تكلفة استيعاب أقل مقابل ميزات أقل. يتم الاحتفاظ بالسجلات الأساسية لمدة 8 أيام فقط.

حدود لغة KQL

تم تحسين الاستعلامات مقابل السجلات الأساسية لاسترداد البيانات البسيطة باستخدام مجموعة فرعية من لغة KQL، بما في ذلك عوامل التشغيل التالية:

  • حيث
  • extend
  • project
  • project-away
  • project-keep
  • project-rename
  • project-reorder
  • parse
  • parse-where

KQL التالية غير مدعومة:

  • join
  • union
  • التجميعات (تلخيص)

سجلات أساسية لدعم الجدول

جميع الجداول في Log Analytics هي جداول تحليلات، بشكل افتراضي. يمكنك تكوين جداول معينة لاستخدام السجلات الأساسية. لا يمكنك تكوين جدول للسجلات الأساسية إذا كان Azure Monitor يعتمد على هذا الجدول لميزات معينة.

يمكنك حاليا تكوين الجداول التالية للسجلات الأساسية:

  • جميع الجداول التي تم إنشاؤها باستخدام واجهة برمجة تطبيقات السجلات المخصصة المستندة إلى قاعدة تجميع البيانات (DCR).
  • ContainerLogV2، الذي تستخدمه الحاوية Insights والتي تتضمن سجلات السجل المستندة إلى النص المطول.
  • AppTraces، الذي يحتوي على سجلات حرة لتتبعات التطبيق في Application Insights.

إشعار

السجلات الأساسية قيد المعاينة حاليًا. سيتم تحديث وثائق الجداول المدعومة/المؤهلة بالمعلومات الحالية عندما تكون الميزة متوفرة بشكل عام.

تكوين نوع السجل

لضبط نوع السجل لجدول مؤهل، حدد إعدادات مساحة العمل في منطقة Microsoft Sentinel Settings.
توجد الشاشة التالية في مدخل Log Analytics.

  1. حدد علامة التبويب "Tables".
  2. حدد الجدول ثم ... في نهاية الصف.
  3. تحديد إدارة الجدول
  4. تغيير خطة الجدول.
  5. حدد حفظ

أرشيف السجلات

تتيح لك الأرشفة الاحتفاظ بالبيانات الأقدم والأقل استخدامًا في مساحة العمل بتكلفة مخفضة. تحتوي كل مساحة عمل على نهج استبقاء افتراضي يتم تطبيقه على جميع الجداول. يمكنك تعيين نهج استبقاء مختلف على جداول فردية.

Diagram of the Retention archive process.

أثناء فترة الاستبقاء التفاعلية، تتوفر البيانات للمراقبة واستكشاف الأخطاء وإصلاحها والتحليلات. عندما لم تعد تستخدم السجلات، ولكن ما تزال بحاجة إلى الاحتفاظ بالبيانات للتوافق أو التحقيق العرضي، قم بأرشفة السجلات لتوفير التكاليف. يمكنك الوصول إلى البيانات المؤرشفة عن طريق تشغيل مهمة بحث أو استعادة السجلات المؤرشفة.

تكوين استبقاء الجدول

لضبط أيام الاستبقاء لجدول، حدد إعدادات مساحة العمل في منطقة Microsoft Sentinel Settings.
توجد الشاشة التالية في مدخل Log Analytics.

  1. حدد علامة التبويب "Tables".
  2. حدد الجدول ثم ... في نهاية الصف.
  3. تحديد إدارة الجدول
  4. تغيير فترة الاستبقاء الإجمالية.
  5. حدد حفظ