Wiederherstellen von Protokollen in Azure Monitor

Mit dem Wiederherstellungsvorgang wird ein bestimmter Zeitbereich von Daten in einer Tabelle im Cache für heiße Daten für Hochleistungsabfragen bereitgestellt. In diesem Artikel wird beschrieben, wie Daten wiederhergestellt, abgefragt und anschließend verworfen werden.

Berechtigungen

Um Daten aus einer archivierten Tabelle wiederherzustellen, benötigen Sie die Berechtigungen Microsoft.OperationalInsights/workspaces/tables/write und Microsoft.OperationalInsights/workspaces/restoreLogs/write für den Log Analytics-Arbeitsbereich, z. B. gemäß der integrierten Rolle „Log Analytics-Mitwirkender“.

Wiederherstellung von Protokollen

Verwenden Sie den Wiederherstellungsvorgang, um Daten in archivierten Protokollen abzufragen. Sie können den Wiederherstellungsvorgang auch verwenden, um leistungsstarke Abfragen innerhalb eines bestimmten Zeitbereichs für eine beliebige Analytics-Tabelle auszuführen, wenn die Protokollabfragen, die Sie für die Quelltabelle ausführen, nicht innerhalb des Timeouts für Protokollabfragen von zehn Minuten abgeschlossen werden können.

Hinweis

Die Wiederherstellung ist eine Methode für den Zugriff auf archivierte Daten. Verwenden Sie die Wiederherstellung, um Abfragen für eine Gruppe von Daten innerhalb eines bestimmten Zeitbereichs auszuführen. Verwenden Sie Suchaufträge, um auf Daten basierend auf bestimmten Kriterien zuzugreifen.

Funktionsweise der Wiederherstellung

Wenn Sie Daten wiederherstellen, geben Sie die Quelltabelle an, die die abzufragenden Daten enthält, und den Namen der neuen Zieltabelle, die erstellt werden soll.

Der Wiederherstellungsvorgang erstellt die Wiederherstellungstabelle und weist zusätzliche Computeressourcen zum Abfragen der wiederhergestellten Daten mit Hochleistungsabfragen zu, welche die vollständige KQL unterstützen.

Die Zieltabelle stellt eine Ansicht der zugrunde liegenden Quelldaten bereit, wirkt sich jedoch in keiner Weise darauf aus. Die Tabelle weist keine Aufbewahrungseinstellung auf, und Sie müssen die wiederhergestellten Daten explizit verwerfen, wenn Sie sie nicht mehr benötigen.

Wiederherstellen von Daten

API

Rufen Sie zum Wiederherstellen von Daten aus einer Tabelle die API Tabellen – Erstellen oder Aktualisieren auf. Der Name der Zieltabelle muss mit _RST enden.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{user defined name}_RST?api-version=2021-12-01-preview

Anforderungstext

Der Text der Anforderung muss die folgenden Werte enthalten:

Name	Typ	BESCHREIBUNG
properties.restoredLogs.sourceTable	Zeichenfolge	Tabelle mit den wiederherzustellenden Daten.
properties.restoredLogs.startRestoreTime	Zeichenfolge	Start des wiederherzustellenden Zeitbereichs.
properties.restoredLogs.endRestoreTime	Zeichenfolge	Ende des wiederherzustellenden Zeitbereichs.

Status der Tabellenwiederherstellung

Die Eigenschaft provisioningState gibt den aktuellen Status des Wiederherstellungsvorgangs für die Tabelle an. Die API gibt diese Eigenschaft zurück, wenn Sie die Wiederherstellung starten. Später können Sie diese Eigenschaft mithilfe eines GET-Vorgangs für die Tabelle abrufen. Die Eigenschaft provisioningState weist einen der folgenden Werte auf:

Wert	BESCHREIBUNG
Wird aktualisiert	Der Wiederherstellungsvorgang wird ausgeführt.
Erfolgreich	Der Wiederherstellungsvorgang ist abgeschlossen.
Wird gelöscht	Die wiederhergestellte Tabelle wird gelöscht.

Beispielanforderung

In diesem Beispiel werden Daten aus dem Monat Januar 2020 aus der Tabelle Usage in einer Tabelle namens Usage_RST wiederhergestellt.

Anforderung

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Usage_RST?api-version=2021-12-01-preview

Anforderungstext:

{
    "properties":  {
    "restoredLogs":  {
                      "startRestoreTime":  "2020-01-01T00:00:00Z",
                      "endRestoreTime":  "2020-01-31T00:00:00Z",
                      "sourceTable":  "Usage"
    }
  }
}

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Wiederherstellen von Daten aus einer Tabelle den Befehl az monitor log-analytics workspace table restore create aus.

Beispiel:

az monitor log-analytics workspace table restore create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name Heartbeat_RST --restore-source-table Heartbeat --start-restore-time "2022-01-01T00:00:00.000Z" --end-restore-time "2022-01-08T00:00:00.000Z" --no-wait

Abfragen wiederhergestellter Daten

Wiederhergestellte Protokolle behalten ihre ursprünglichen Zeitstempel bei. Wenn Sie eine Abfrage für wiederhergestellte Protokolle ausführen, legen Sie den Abfragezeitbereich basierend auf dem ursprünglichen Erstellungszeitpunkt der Daten fest.

Legen Sie den Abfragezeitbereich mit einer der folgenden Methoden fest:

• Auswählen von Benutzerdefiniert im Dropdownmenü Zeitbereich oben im Abfrage-Editor und Festlegen der Werte Von und Bis
  
  oder

• Angeben des Zeitbereichs in der Abfrage. Beispiel:

  let startTime =datetime(01/01/2022 8:00:00 PM);
  let endTime =datetime(01/05/2022 8:00:00 PM);
  TableName_RST
  | where TimeGenerated between(startTime .. endTime)
  

Verwerfen wiederhergestellter Daten

Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, um die wiederhergestellten Daten zu verwerfen, wenn sie nicht mehr benötigt werden.

Durch das Löschen der wiederhergestellten Tabelle werden die Daten in der Quelltabelle nicht gelöscht.

Hinweis

Wiederhergestellte Daten sind verfügbar, solange die zugrunde liegenden Quelldaten verfügbar sind. Wenn Sie die Quelltabelle aus dem Arbeitsbereich löschen oder der Aufbewahrungszeitraum der Quelltabelle endet, werden die Daten aus der wiederhergestellten Tabelle verworfen. Die leere Tabelle bleibt jedoch erhalten, wenn Sie sie nicht explizit löschen.

Einschränkungen

Die Wiederherstellung unterliegt den folgenden Einschränkungen.

Sie können Folgendes ausführen:

• Stellen Sie Daten aus einem Zeitraum von mindestens zwei Tagen wieder her.

• Wiederherstellen von bis zu 60 TB.

• Gleichzeitiges Ausführen von bis zu zwei Wiederherstellungsprozessen in einem Arbeitsbereich.

• Ausführen nur einer aktiven Wiederherstellung für eine bestimmte Tabelle zu einem bestimmten Zeitpunkt. Beim Ausführen einer zweiten Wiederherstellung für eine Tabelle, die bereits eine aktive Wiederherstellung aufweist, tritt ein Fehler auf.

• Führen Sie bis zu vier Wiederherstellungen pro Tabelle und Woche aus.

Preismodell

Die Gebühren für wiederhergestellte Protokolle richten sich nach der Menge der wiederhergestellten Daten und dem Zeitraum, über den Sie die Wiederherstellung aktiv ist. Somit sind die Preiseinheiten pro GB pro Tag. Datenwiederherstellungen werden für jeden UTC-Tag in Rechnung gestellt, an dem die Wiederherstellung aktiv ist.

• In Bezug auf die Gebühren gilt eine Mindestmenge von 2 TB pro Wiederherstellung. Wenn Sie weniger Daten wiederherstellen, werden Ihnen täglich mindestens 2 TB in Rechnung gestellt, bis die Wiederherstellung entfernt werden.

• Am ersten und letzte Tag, an denen die Wiederherstellung aktiv ist, werden Sie nur für den Teil des Tages in Rechnung gestellt, an dem die Wiederherstellung aktiv war.

• Die Mindestgebühr gilt für eine Wiederherstellungsdauer von 12 Stunden, auch wenn die Wiederherstellung weniger als 12 Stunden aktiv ist.

• Weitere Informationen zu Ihrem Datenwiederherstellungspreis finden Sie unter Azure Monitor-Preise auf der Registerkarte „Protokolle“.

Hier sind einige Beispiele zur Veranschaulichung von Kostenberechnungen für die Datenwiederherstellung:

1. Wenn Ihre Tabelle 500 GB pro Tag enthält und Sie 10 Tage Daten aus dieser Tabelle wiederherstellen, beträgt die Gesamtgröße Ihrer Wiederherstellung 5 TB. Diese 5 TB wiederhergestellter Daten werden Ihnen jeden Tag in Rechnung gestellt, bis Sie die wiederhergestellten Daten löschen. Ihre täglichen Kosten sind 5000 GB multipliziert mit Ihrem Datenwiederherstellungspreis (siehe Azure Monitor-Preise.)

2. Wenn stattdessen nur 700 GB Daten wiederhergestellt werden, wird für jeden Tag, an dem die Wiederherstellung aktiv ist, die Mindestwiederherstellungsebene von 2 TB in Rechnung gestellt. Ihre täglichen Kosten sind 2000 GB multipliziert mit Ihrem Datenwiederherstellungspreis.

3. Wenn eine 5 TB Datenwiederherstellung nur für 1 Stunde aktiv gehalten wird, wird sie für mindestens 12 Stunden in Rechnung gestellt. Die Kosten für diese Datenwiederherstellung sind5.000 GB multipliziert mit Ihrem Datenwiederherstellungspreis multipliziert mit 0,5 Tagen (das 12-Stunden-Minimum).

4. Wenn eine 700 GB Datenwiederherstellung nur für 1 Stunde aktiv gehalten wird, wird sie für mindestens 12 Stunden in Rechnung gestellt. Die Kosten für diese Datenwiederherstellung sind 2000 GB (die in Rechnung gestellte Mindestwiederherstellungsgröße) multipliziert mit Ihrem Datenwiederherstellungspreis multipliziert mit 0,5 Tagen (das 12-Stunden-Minimum).

Hinweis

Für die Abfrage wiederhergestellter Protokolle fallen keine Gebühren an, da es sich um Analytics-Protokolle handelt.

Nächste Schritte

• Erfahren Sie mehr über die Datenaufbewahrung und -archivierung.

• Informieren Sie sich über Suchaufträge. Dies ist eine weitere Methode zum Abrufen archivierter Daten.