Konfigurace protokolů
Microsoft Sentinel obsahuje tři primární typy protokolů:
- Analytické protokoly
- Základní protokoly
- Archivovat protokoly
Data v každé tabulce v pracovním prostoru služby Log Analytics se uchovávají po určitou dobu, po kterou se buď odeberou, nebo archivují s nižším poplatkem za uchovávání informací. Nastavte dobu uchovávání dat, abyste měli k dispozici data a snížili tak náklady na uchovávání dat.
Pokud chcete získat přístup k archivovaným datům, musíte nejprve načíst data z tabulky analytických protokolů pomocí jedné z následujících metod:
- Úlohy hledání
- Obnovení
Analytické protokoly
Ve výchozím nastavení jsou všechny tabulky v pracovním prostoru typu Analytické protokoly, které jsou dostupné všem funkcím pracovního prostoru služby Log Analytics a všem dalším službám, které pracovní prostor používají.
Základní protokoly
Určité tabulky můžete nakonfigurovat jako základní protokoly , abyste snížili náklady na ukládání podrobných protokolů s velkým objemem, které používáte pro ladění, odstraňování potíží a auditování, ale ne pro analýzy a výstrahy. Tabulky nakonfigurované pro základní protokoly mají nižší náklady na příjem dat výměnou za snížené funkce. Základní protokoly se uchovávají pouze po dobu 8 dnů.
Omezení jazyka KQL
Dotazy na základní protokoly jsou optimalizované pro jednoduché načítání dat pomocí podmnožin jazyka KQL, včetně následujících operátorů:
- kde
- Rozšířit
- projekt
- pryč od projektu
- zachování projektu
- přejmenování projektu
- změna pořadí projektu
- Analyzovat
- parse-where
Následující jazyk KQL se nepodporuje:
- join
- sjednocení
- aggregates (summarize)
Základní protokoly podpory tabulek
Všechny tabulky ve službě Log Analytics jsou ve výchozím nastavení tabulky Analytics. Konkrétní tabulky můžete nakonfigurovat tak, aby používaly základní protokoly. Tabulku pro základní protokoly nejde nakonfigurovat, pokud Azure Monitor spoléhá na tuto tabulku pro konkrétní funkce.
Pro základní protokoly můžete v současné době nakonfigurovat následující tabulky:
- Všechny tabulky vytvořené pomocí rozhraní API vlastních protokolů založených na DCR (Data Collection Rule)
- ContainerLogV2, který kontejner Přehledy používá a který obsahuje podrobné textové záznamy protokolu.
- AppTraces, které obsahují záznamy protokolu volného formátu pro trasování aplikací v application Přehledy.
Poznámka:
Základní protokoly jsou aktuálně ve verzi Preview. Dokumentace k podporovaným nebo způsobilým tabulkám se aktualizuje o aktuální informace, pokud je tato funkce obecně dostupná.
Konfigurace typu protokolu
Pokud chcete upravit typ protokolu pro opravňující tabulku, vyberte nastavení pracovního prostoru v oblasti Nastavení Microsoft Sentinelu.
Další obrazovka je na portálu Log Analytics.
- Vyberte kartu Tabulky.
- Vyberte tabulku a pak ... na konci řádku.
- Výběr možnosti Spravovat tabulku
- Změňte plán tabulky.
- Zvolte Uložit.
Archivovat protokoly
Archivace umožňuje zachovat starší a méně používaná data v pracovním prostoru s nižšími náklady. Každý pracovní prostor má výchozí zásady uchovávání informací, které se použijí pro všechny tabulky. U jednotlivých tabulek můžete nastavit jiné zásady uchovávání informací.
Během interaktivní doby uchovávání jsou data k dispozici pro monitorování, řešení potíží a analýzu. Pokud už protokoly nepoužíváte, ale přesto potřebujete zachovat data pro dodržování předpisů nebo příležitostné šetření, archivujte protokoly, abyste ušetřili náklady. K archivovaným datům můžete získat přístup spuštěním úlohy vyhledávání nebo obnovením archivovaných protokolů.
Konfigurace uchovávání tabulek
Pokud chcete upravit dny uchovávání pro tabulku, vyberte nastavení pracovního prostoru v oblasti Nastavení Microsoft Sentinelu.
Další obrazovka je na portálu Log Analytics.
- Vyberte kartu Tabulky.
- Vyberte tabulku a pak ... na konci řádku.
- Výběr možnosti Spravovat tabulku
- Změňte celkovou dobu uchovávání.
- Zvolte Uložit.