Teilen über


Tutorial: Konfigurieren einer Datenaufbewahrungsrichtlinie für eine Tabelle in einem Log Analytics-Arbeitsbereich

In diesem Tutorial legen Sie eine Aufbewahrungsrichtlinie für eine Tabelle in Ihrem Log Analytics-Arbeitsbereich fest, den Sie für Microsoft Sentinel oder Azure Monitor verwenden. Durch diese Schritte können Sie ältere, weniger verwendete Daten in Ihrem Arbeitsbereich zu geringeren Kosten behalten.

Aufbewahrungsrichtlinien in einem Log Analytics-Arbeitsbereich definieren, wann Daten im Arbeitsbereich entfernt oder archiviert werden sollen. Standardmäßig erben alle Tabellen in Ihrem Arbeitsbereich die interaktive Aufbewahrungseinstellung des Arbeitsbereichs und verfügen über keine Archivierungsrichtlinie. Sie können die Aufbewahrungs- und Archivierungsrichtlinien einzelner Tabellen ändern, mit Ausnahme von Arbeitsbereichen im Legacy-Tarif „Kostenlose Testversion“.

In diesem Tutorial lernen Sie Folgendes:

  • Festlegen der Aufbewahrungsrichtlinie für eine Tabelle
  • Überprüfen der Datenaufbewahrungs- und Archivierungsrichtlinie

Voraussetzungen

Um die Schritte in diesem Tutorial durchzuführen, benötigen Sie die folgenden Ressourcen und Rollen.

  • Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

  • Azure-Konto mit den folgenden Rollen:

    Integrierte Rolle Bereich `Reason`
    Log Analytics-Mitwirkender - Abonnement und/oder
    - Ressourcengruppe und/ oder
    - Tabelle
    So legen Sie eine Aufbewahrungsrichtlinie für Tabellen in Log Analytics fest
  • Log Analytics-Arbeitsbereich.

Festlegen der Aufbewahrungsrichtlinie für eine Tabelle

Deaktivieren Sie in Ihrem Log Analytics-Arbeitsbereich die Vererbung der Arbeitsbereichseinstellung, sodass der Zeitraum für die interaktive Aufbewahrung auf 30 Tage festgelegt ist. Ändern Sie dann die Richtlinie für die gesamte Aufbewahrung für eine Tabelle wie SecurityEvents, um Daten für 30 Tage zu archivieren.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche, und öffnen Sie diese Option.

  3. Wählen Sie den entsprechenden Arbeitsbereich aus.

  4. Wählen Sie unter Einstellungen die Option Tabellen aus.

  5. Öffnen Sie für eine Tabelle wie SecurityEvent das Kontextmenü (...).

  6. Wählen Sie Tabelle verwalten aus. Screenshot: Option „Tabelle verwalten“ im Kontextmenü für eine Tabelle in der Tabellenansicht

  7. Geben Sie unter Datenaufbewahrung die folgenden Werte ein:

    Feld Wert
    Arbeitsbereichseinstellungen Deaktivieren Sie das Kontrollkästchen.
    Interaktive Aufbewahrung 30 Tage
    Gesamtaufbewahrungszeitraum 60 Tage

    Screenshot: Einstellungen für Datenaufbewahrung mit Änderungen an den Feldern im Abschnitt „Datenaufbewahrung“

  8. Wählen Sie Speichern aus.

Überprüfen der Datenaufbewahrungs- und Archivierungsrichtlinie

Überprüfen Sie auf der Seite Tabellen für die von Ihnen aktualisierte Tabelle die Feldwerte für Interaktive Aufbewahrung und Archivierungszeitraum. Der Archivierungszeitraum entspricht dem Gesamtaufbewahrungszeitraum in Tagen minus der interaktiven Aufbewahrung in Tagen. Sie legen beispielsweise die folgenden Werte fest:

Feld Wert
Interaktive Aufbewahrung 30 Tage
Gesamtaufbewahrungszeitraum 60 Tage

Auf der Seite Tabelle wird also der folgende Archivierungszeitraum von 30 Tagen angezeigt:

Screenshot: Tabellenansicht mit Spalten für den interaktiven Aufbewahrungszeitraum und den Archivierungszeitraum

Bereinigen von Ressourcen

Es wurden keine Ressourcen erstellt, aber Sie sollten die von Ihnen geänderten Datenaufbewahrungseinstellungen wiederherstellen.

Nächste Schritte