Freigeben über

Tutorial: Konfigurieren einer Datenaufbewahrungsrichtlinie für eine Tabelle in einem Log Analytics-Arbeitsbereich

  • Artikel

In diesem Tutorial legen Sie eine Aufbewahrungsrichtlinie für eine Tabelle in Ihrem Log Analytics-Arbeitsbereich fest, den Sie für Microsoft Sentinel oder Azure Monitor verwenden. Durch diese Schritte können Sie ältere, weniger verwendete Daten in Ihrem Arbeitsbereich zu geringeren Kosten behalten.

Aufbewahrungsrichtlinien in einem Log Analytics-Arbeitsbereich definieren, wann alte Datensätze in Datentabellen im Arbeitsbereich in den kostengünstigen Zustand der Langzeitaufbewahrung mit minimalem Zugriff (früher als Archiv bezeichnet) überführt werden sollen. Standardmäßig erben alle Tabellen in Ihrem Arbeitsbereich die Einstellung für interaktive Aufbewahrung des Arbeitsbereichs und verfügen nicht über eine Richtlinie für Langzeitaufbewahrung (Archiv). Sie können die Richtlinien für interaktive und Langzeitaufbewahrung einzelner Tabellen ändern, mit Ausnahme von Arbeitsbereichen im Legacy-Tarif „Kostenlose Testversion“.

In diesem Tutorial lernen Sie Folgendes:

  • Festlegen der Aufbewahrungsrichtlinie für eine Tabelle
  • Überprüfen von Richtlinien für interaktive und Langzeitaufbewahrung

Voraussetzungen

Um die Schritte in diesem Tutorial durchzuführen, benötigen Sie die folgenden Ressourcen und Rollen.

  • Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

  • Azure-Konto mit den folgenden Rollen:

    Integrierte Rolle Bereich Ursache
    Log Analytics-Mitwirkender Beliebige aus
    • Subscription
    • Resource group
    • Tabelle
    		 So legen Sie eine Aufbewahrungsrichtlinie für Tabellen in Log Analytics fest

  • Log Analytics-Arbeitsbereich.

Festlegen der Aufbewahrungsrichtlinie für eine Tabelle

Ändern Sie in Ihrem Log Analytics-Arbeitsbereich die Richtlinie für interaktive Aufbewahrung der Tabelle SecurityEvent von 90 Tagen auf 180 Tage und die gesamte Aufbewahrungsrichtlinie auf 3 Jahre. Der Zeitraum für die gesamte Aufbewahrung ist eine Summe der interaktiven und langfristigen (Archiv) Aufbewahrungszeiträume.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche, und öffnen Sie diese Option.

  3. Wählen Sie den entsprechenden Arbeitsbereich aus.

  4. Wählen Sie unter Einstellungen die Option Tabellen aus.

  5. Suchen Sie die Tabelle SecurityEvent in der Liste, und öffnen Sie das Kontextmenü (...).

  6. Wählen Sie Tabelle verwalten aus.

    Screenshot: Option „Tabelle verwalten“ im Kontextmenü für eine Tabelle in der Tabellenansicht

  7. Geben Sie unter Datenaufbewahrungseinstellungen die folgenden Werte ein:

    Feld Wert
    Interaktive Aufbewahrung 180 Tage
    Gesamtaufbewahrungszeitraum 3 Jahre

    Screenshot: Einstellungen für Datenaufbewahrung mit Änderungen an den Feldern im Abschnitt „Datenaufbewahrung“

    Sie sehen im Zeitdiagramm, dass der Langzeitaufbewahrungszeitraum dem gesamten Aufbewahrungszeitraum in Tagen abzüglich des interaktiven Aufbewahrungszeitraums in Tagen entspricht. In diesem Fall sind das 915 Tage oder 2,5 Jahre.

  8. Wählen Sie Speichern.

Überprüfen von Richtlinien für interaktive und gesamte Aufbewahrung

Überprüfen Sie auf der Seite Tabellen für die aktualisierte Tabelle die Feldwerte für Interaktive Aufbewahrung und Gesamte Aufbewahrung.

Screenshot: Tabellenansicht mit Spalten für den interaktiven Aufbewahrungszeitraum und den Archivierungszeitraum

Bereinigen von Ressourcen

Es wurden keine Ressourcen erstellt, aber Sie sollten die von Ihnen geänderten Datenaufbewahrungseinstellungen wiederherstellen.

Je nach den Einstellungen, die für ihren gesamten Arbeitsbereich festgelegt sind, können die in diesem Tutorial aktualisierten Einstellungen zusätzliche Gebühren verursachen. Um diese Gebühren zu vermeiden, stellen Sie die Einstellungen auf ihre ursprünglichen Werte zurück.

Nächste Schritte

Konfigurieren von Richtlinien für die interaktive und langfristige Datenaufbewahrung in Azure Monitor-Protokollen