Administración de tablas en un área de trabajo de Log Analytics

Un área de trabajo de Log Analytics permite recopilar datos de registros de recursos de Azure y que no son de Azure en un espacio para el análisis, el uso de otros servicios (como Sentinel) y para desencadenar alertas y acciones, por ejemplo, mediante Azure Logic Apps. El área de trabajo de Log Analytics consta de tablas, que puede configurar para administrar los costes del modelo de datos, el acceso a datos y el modelo de datos. En este artículo se explican las opciones de configuración de tabla en los registros de Azure Monitor y cómo establecer propiedades de tabla en función de sus necesidades de análisis de datos y administración de costos.

Propiedades de tabla

En este diagrama se proporciona información general sobre las opciones de configuración de tabla en los registros de Azure Monitor:

Tipo de tabla y esquema

El esquema de una tabla es el conjunto de columnas que componen la tabla, en la que los registros de Azure Monitor recopilan datos de registro de uno o varios orígenes de datos.

El área de trabajo de Log Analytics puede contener los siguientes tipos de tablas:

Tipo de tabla.	Origen de datos	Schema
Tabla de Azure	Registros de recursos de Azure o requeridos por servicios y soluciones de Azure.	Los registros de Azure Monitor crean tablas de Azure automáticamente en función de los servicios de Azure que use y la configuración de diagnóstico que configure para recursos específicos. Cada tabla de Azure tiene un esquema predefinido. Puede agregar columnas a una tabla de Azure para almacenar datos de registro transformados o enriquecerlos en la tabla de Azure con datos de otro origen.
Tabla personalizada	Recursos que no son de Azure y cualquier otro origen de datos, como los registros basados en archivos.	Puede definir el esquema de una tabla personalizada en función de cómo quiere almacenar los datos que recopile de un origen de datos determinado.
Search Results	Todos los datos almacenados en un área de trabajo de Log Analytics.	El esquema de una tabla de resultados de búsqueda se basa en la consulta que se define al ejecutar el trabajo de búsqueda. No se puede editar el esquema de las tablas de resultados de búsqueda existentes.
Registros restaurados	Los datos almacenados en una tabla específica en el área de trabajo de Log Analytics.	Una tabla de registros restaurada tiene el mismo esquema que la tabla desde la que se restauran los registros. No se puede editar el esquema de las tablas de registros restaurados existentes.

Plan de tabla

Configure el plan de una tabla en función de la frecuencia con la que accede a los datos de la tabla:

• El plan de Analytics es adecuado para la supervisión continua, la detección en tiempo real y el análisis de rendimiento. Este plan hace que los datos de registro estén disponibles para las consultas interactivas de varias tablas y el uso de características y servicios durante 30 días a dos años.
• El plan básico es adecuado para la solución de problemas y la respuesta a incidentes. Este plan ofrece consultas de ingesta con descuento y tablas únicas optimizadas durante 30 días.
• El plan auxiliar es adecuado para los datos con poca intervención, como los registros detallados y los datos necesarios para la auditoría y el cumplimiento. Este plan ofrece consultas de ingesta de bajo coste y tablas únicas optimizadas durante 30 días.

Para más información sobre los planes de tabla de registros de Azure Monitor, consulte Registros de Azure Monitor: planes de tabla.

Retención a largo plazo

La retención a largo plazo es una solución de bajo costo para mantener los datos que no usa regularmente en el área de trabajo para realizar investigaciones ocasionales o para el cumplimiento. Use la configuración de retención de nivel de tabla para agregar o ampliar la retención a largo plazo.

Para acceder a los datos en la retención a largo plazo, ejecute un trabajo de búsqueda.

Transformaciones en tiempo de ingesta

Reduzca los costos y el esfuerzo de análisis mediante reglas de recopilación de datos para filtrar y transformar los datos antes de la ingesta en función del esquema que defina para la tabla personalizada.

Nota:

Las tablas con el plan de tabla Auxiliar actualmente no admiten la transformación de datos. Para obtener más información, consulte Limitaciones de la versión preliminar pública del plan de tabla auxiliar.

Visualización de propiedades de tabla

Nota:

El nombre de la tabla distingue entre mayúsculas y minúsculas.

Portal

Para ver y establecer propiedades de tabla en Azure Portal:

1. En el área de trabajo de Log Analytics, seleccione Tablas.

   La pantalla Tablas presenta información de configuración de tablas para todas las tablas del área de trabajo de Log Analytics.

   

2. Seleccione los puntos suspensivos (…) situados a la derecha de una tabla para abrir el menú de administración de tablas.

   Las opciones de administración de tablas disponibles varían en función del tipo de tabla.

   1. Seleccione Administrar tabla para editar las propiedades de tabla.

   2. Seleccione Editar esquema para ver y editar el esquema de tabla.

API

Para ver las propiedades de tabla, llame a la API Tables - Get.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Cuerpo de la respuesta

Nombre	Escribir	Descripción
properties.plan	cadena	Plan de tabla. Analytics, Basic, o Auxiliary.
properties.retentionInDays	integer	Retención interactiva de la tabla en días. Para Basic y Auxiliiary, este valor es de 30 días. Para Analytics, el valor es de entre cuatro y 730 días.
properties.totalRetentionInDays	integer	La retención de datos total de la tabla, incluida la retención a largo plazo e interactiva.
properties.archiveRetentionInDays	integer	Período de retención a largo plazo de la tabla (de solo lectura, calculado).
properties.lastPlanModifiedDate	String	Última vez que se estableció el plan para esta tabla. Null si no se ha realizado ningún cambio desde la configuración predeterminada (solo lectura).

Solicitud de ejemplo

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Respuesta de muestra

Código de estado: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Para establecer las propiedades de tabla, llame a la API Tables - Create Or Update.

CLI de Azure

Para ver las propiedades de tabla mediante la CLI de Azure, ejecute el comando az monitor log-analytics workspace table show.

Por ejemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Para establecer las propiedades de tabla mediante la CLI de Azure, ejecute el comando az monitor log-analytics workspace table update.

PowerShell

Para ver las propiedades de tabla mediante PowerShell, ejecute:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Respuesta de muestra

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Use el cmdlet Update-AzOperationalInsightsTable para establecer las propiedades de tabla.

Pasos siguientes

Obtenga información sobre cómo:

• Establecimiento del plan de datos de registro de una tabla
• Adición de tablas y columnas personalizadas
• Configuración de la retención de datos
• Diseño de la arquitectura de áreas de trabajo