Tutorial: Konfigurieren einer Datenaufbewahrungsrichtlinie für eine Tabelle in einem Log Analytics-Arbeitsbereich
In diesem Tutorial legen Sie eine Aufbewahrungsrichtlinie für eine Tabelle in Ihrem Log Analytics-Arbeitsbereich fest, den Sie für Microsoft Sentinel oder Azure Monitor verwenden. Durch diese Schritte können Sie ältere, weniger verwendete Daten in Ihrem Arbeitsbereich zu geringeren Kosten behalten.
Aufbewahrungsrichtlinien in einem Log Analytics-Arbeitsbereich definieren, wann Daten im Arbeitsbereich entfernt oder archiviert werden sollen. Standardmäßig erben alle Tabellen in Ihrem Arbeitsbereich die interaktive Aufbewahrungseinstellung des Arbeitsbereichs und verfügen über keine Archivierungsrichtlinie. Sie können die Aufbewahrungs- und Archivierungsrichtlinien einzelner Tabellen ändern, mit Ausnahme von Arbeitsbereichen im Legacy-Tarif „Kostenlose Testversion“.
In diesem Tutorial lernen Sie Folgendes:
- Festlegen der Aufbewahrungsrichtlinie für eine Tabelle
- Überprüfen der Datenaufbewahrungs- und Archivierungsrichtlinie
Voraussetzungen
Um die Schritte in diesem Tutorial durchzuführen, benötigen Sie die folgenden Ressourcen und Rollen.
Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Azure-Konto mit den folgenden Rollen:
Integrierte Rolle Bereich `Reason` Log Analytics-Mitwirkender - Abonnement und/oder
- Ressourcengruppe und/ oder
- TabelleSo legen Sie eine Aufbewahrungsrichtlinie für Tabellen in Log Analytics fest Log Analytics-Arbeitsbereich.
Festlegen der Aufbewahrungsrichtlinie für eine Tabelle
Deaktivieren Sie in Ihrem Log Analytics-Arbeitsbereich die Vererbung der Arbeitsbereichseinstellung, sodass der Zeitraum für die interaktive Aufbewahrung auf 30 Tage festgelegt ist. Ändern Sie dann die Richtlinie für die gesamte Aufbewahrung für eine Tabelle wie SecurityEvents, um Daten für 30 Tage zu archivieren.
Melden Sie sich beim Azure-Portal an.
Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche, und öffnen Sie diese Option.
Wählen Sie den entsprechenden Arbeitsbereich aus.
Wählen Sie unter Einstellungen die Option Tabellen aus.
Öffnen Sie für eine Tabelle wie SecurityEvent das Kontextmenü (...).
Wählen Sie Tabelle verwalten aus.
Geben Sie unter Datenaufbewahrung die folgenden Werte ein:
Feld Wert Arbeitsbereichseinstellungen Deaktivieren Sie das Kontrollkästchen. Interaktive Aufbewahrung 30 Tage Gesamtaufbewahrungszeitraum 60 Tage Wählen Sie Speichern aus.
Überprüfen der Datenaufbewahrungs- und Archivierungsrichtlinie
Überprüfen Sie auf der Seite Tabellen für die von Ihnen aktualisierte Tabelle die Feldwerte für Interaktive Aufbewahrung und Archivierungszeitraum. Der Archivierungszeitraum entspricht dem Gesamtaufbewahrungszeitraum in Tagen minus der interaktiven Aufbewahrung in Tagen. Sie legen beispielsweise die folgenden Werte fest:
Feld | Wert |
---|---|
Interaktive Aufbewahrung | 30 Tage |
Gesamtaufbewahrungszeitraum | 60 Tage |
Auf der Seite Tabelle wird also der folgende Archivierungszeitraum von 30 Tagen angezeigt:
Bereinigen von Ressourcen
Es wurden keine Ressourcen erstellt, aber Sie sollten die von Ihnen geänderten Datenaufbewahrungseinstellungen wiederherstellen.
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für