Správa tabulek v pracovním prostoru služby Log Analytics

Pracovní prostor služby Log Analytics umožňuje shromažďovat data protokolů z Azure a prostředků mimo Azure do jednoho prostoru pro analýzu, používat jiné služby, jako je Sentinel, a aktivovat výstrahy a akce, například pomocí Azure Logic Apps. Pracovní prostor služby Log Analytics se skládá z tabulek, které můžete nakonfigurovat pro správu datového modelu, přístupu k datům a nákladů souvisejících s protokoly. Tento článek vysvětluje možnosti konfigurace tabulek v protokolech služby Azure Monitor a způsob nastavení vlastností tabulky na základě potřeb analýzy dat a správy nákladů.

Vlastnosti tabulky

Tento diagram poskytuje přehled možností konfigurace tabulky v protokolech služby Azure Monitor:

Typ a schéma tabulky

Schéma tabulky je sada sloupců, které tvoří tabulku, do které protokoly služby Azure Monitor shromažďují data protokolů z jednoho nebo více zdrojů dat.

Pracovní prostor služby Log Analytics může obsahovat následující typy tabulek:

Typ tabulky	Zdroj dat	Schéma
Tabulka Azure	Protokoly z prostředků Azure nebo vyžadované službami a řešeními Azure	Protokoly Azure Monitoru vytvoří tabulky Azure automaticky na základě služeb Azure, které používáte, a nastavení diagnostiky, která nakonfigurujete pro konkrétní prostředky. Každá tabulka Azure má předdefinované schéma. Do tabulky Azure můžete přidat sloupce pro ukládání transformovaných dat protokolu nebo obohacení dat v tabulce Azure o data z jiného zdroje.
Vlastní tabulka	Prostředky mimo Azure a jakýkoli jiný zdroj dat, jako jsou protokoly založené na souborech.	Schéma vlastní tabulky můžete definovat na základě toho, jak chcete ukládat data, která shromažďujete z daného zdroje dat.
Výsledky hledání	Všechna data uložená v pracovním prostoru služby Log Analytics	Schéma tabulky výsledků hledání je založeno na dotazu, který definujete při spuštění úlohy vyhledávání. Schéma existujících tabulek výsledků hledání nelze upravit.
Obnovené protokoly	Data uložená v konkrétní tabulce v pracovním prostoru služby Log Analytics	Obnovená tabulka protokolů má stejné schéma jako tabulka, ze které obnovujete protokoly. Schéma existujících obnovených tabulek protokolů nelze upravit.

Tabulkový plán

Nakonfigurujte plán tabulky podle toho, jak často přistupujete k datům v tabulce:

• Plán Analýzy je vhodný pro průběžné monitorování, detekci v reálném čase a analýzu výkonu. Tento plán zpřístupňuje data protokolů pro interaktivní dotazy s více tabulkami a používá je pomocí funkcí a služeb po dobu 30 dnů až dvou let.
• Základní plán je vhodný pro řešení potíží a reakce na incidenty. Tento plán nabízí zlevněný příjem dat a optimalizované dotazy s jednou tabulkou po dobu 30 dnů.
• Pomocný plán je vhodný pro data s nízkým dotykem, jako jsou podrobné protokoly a data požadovaná pro auditování a dodržování předpisů. Tento plán nabízí 30 dnů příjem dat s nízkými náklady a neoptimalizované dotazy na jednoúčelovou tabulku.

Úplné podrobnosti o plánech tabulek protokolů služby Azure Monitor najdete v tématu Protokoly služby Azure Monitor: Plány tabulek.

Dlouhodobé uchovávání

Dlouhodobé uchovávání je nízkonákladové řešení pro uchovávání dat, která v pracovním prostoru nepoužíváte pravidelně pro účely dodržování předpisů nebo příležitostných šetření. K přidání nebo prodloužení dlouhodobého uchovávání použijte nastavení uchovávání na úrovni tabulky.

Pokud chcete získat přístup k datům v dlouhodobém uchovávání, spusťte úlohu vyhledávání.

Transformace v čase příjmu dat

Snižte náklady a analýzu úsilí pomocí pravidel shromažďování dat k odfiltrování a transformaci dat před příjmem dat na základě schématu, které definujete pro vlastní tabulku.

Poznámka:

Tabulky s plánem pomocné tabulky v současné době nepodporují transformaci dat. Další podrobnosti najdete v tématu Omezení plánu pomocných tabulek ve verzi Public Preview.

Zobrazení vlastností tabulky

Poznámka:

V názvu tabulky se rozlišují malá a velká písmena.

Azure Portal

Zobrazení a nastavení vlastností tabulky na webu Azure Portal:

1. V pracovním prostoru služby Log Analytics vyberte Tabulky.

   Na obrazovce Tabulky se zobrazí informace o konfiguraci tabulek pro všechny tabulky v pracovním prostoru služby Log Analytics.

   

2. Výběrem tří teček (...) napravo od tabulky otevřete nabídku správy tabulek.

   Dostupné možnosti správy tabulek se liší v závislosti na typu tabulky.

   1. Vyberte Spravovat tabulku a upravte vlastnosti tabulky.

   2. Výběrem možnosti Upravit schéma zobrazíte a upravíte schéma tabulky.

Rozhraní API

Pokud chcete zobrazit vlastnosti tabulky, zavolejte tabulky – Získat rozhraní API:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Text odpovědi

Name	Typ	Popis
properties.plan	string	Plán tabulky. Analytics, Basicnebo Auxiliary.
properties.retentionInDays	integer	Interaktivní uchovávání tabulky ve dnech. Pro Basic a Auxiliiary, tato hodnota je 30 dní. Hodnota je Analyticsmezi čtyřmi a 730 dny.
properties.totalRetentionInDays	integer	Celková doba uchovávání dat v tabulce, včetně interaktivního a dlouhodobého uchovávání.
properties.archiveRetentionInDays	integer	Období dlouhodobého uchovávání tabulky (počítané jen pro čtení).
properties.lastPlanModifiedDate	String	Čas posledního nastavení plánu pro tuto tabulku Null, pokud se žádná změna nikdy nedělala z výchozího nastavení (jen pro čtení).

Ukázkový požadavek

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Ukázková odpověď

Stavový kód: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Pokud chcete nastavit vlastnosti tabulky, zavolejte tabulky – Vytvoření nebo aktualizace rozhraní API.

Azure CLI

Pokud chcete zobrazit vlastnosti tabulky pomocí Azure CLI, spusťte příkaz az monitor log-analytics workspace table show .

Příklad:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Pokud chcete nastavit vlastnosti tabulky pomocí Azure CLI, spusťte příkaz az monitor log-analytics workspace table update .

PowerShell

Pokud chcete zobrazit vlastnosti tabulky pomocí PowerShellu, spusťte:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Ukázková odpověď

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

K nastavení vlastností tabulky použijte rutinu Update-AzOperationalInsightsTable .

Další kroky

Naučte se:

• Nastavení datového plánu protokolu tabulky
• Přidání vlastních tabulek a sloupců
• Konfigurace uchovávání dat
• Návrh architektury pracovního prostoru