Share via

Tutorial: Configuración de una directiva de retención de datos para una tabla en un área de trabajo de Log Analytics

  • Artículo

En este tutorial, establecerá una directiva de retención para una tabla en el área de trabajo de Log Analytics que se usa para Microsoft Sentinel o Azure Monitor. Estos pasos le permiten mantener los datos más antiguos y menos usados en el área de trabajo a un costo reducido.

Las directivas de retención en un área de trabajo de Log Analytics definen cuándo quitar o archivar datos en un el área de trabajo. De forma predeterminada, todas las tablas del área de trabajo heredan la configuración de retención interactiva del área de trabajo y no tienen ninguna directiva de archivo. Puede modificar las directivas de retención y archivo de tablas individuales, excepto para las áreas de trabajo del plan de tarifa heredado de evaluación gratuita.

En este tutorial aprenderá a:

  • Establecimiento de la directiva de retención de una tabla
  • Revisión de la directiva de retención y archivado de datos

Requisitos previos

Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles.

  • Cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

  • Cuenta de Azure con los siguientes roles:

    Rol integrado Ámbito Motivo
    Colaborador de Log Analytics - Suscripción o
    - Grupo de recursos o
    - Tabla    		 Establecimiento de la directiva de retención en tablas de Log Analytics

  • Área de trabajo de Log Analytics.

Establecimiento de la directiva de retención de una tabla

En el área de trabajo de Log Analytics, desactive la configuración para heredar el área de trabajo y que así el período de retención interactivo se corrija a 30 días. A continuación, cambie la directiva de retención total de una tabla como SecurityEvents para archivar 30 días de datos.

  1. Inicie sesión en Azure Portal.

  2. En Azure Portal, busque y abra las áreas de trabajo de Log Analytics.

  3. Seleccione el área de trabajo apropiada.

  4. En Configuración, seleccione Tablas.

  5. En una tabla como SecurityEvent, abra el menú contextual (...).

  6. Seleccione Administrar tabla. Captura de pantalla de la opción Administrar tabla en el menú contextual de una tabla en la vista tablas.

  7. En Retención de datos, escriba los valores siguientes.

    Campo Valor
    Configuración del área de trabajo Desactivación de la casilla
    Retención interactiva 30 días
    Período de retención total 60 días

    Captura de pantalla de la configuración de retención de datos que muestra los cambios en los campos de la sección retención de datos.

  8. Seleccione Guardar.

Revisión de la directiva de retención y archivado de datos

En la página Tablas de la tabla que ha actualizado, revise los valores de campo de la retención interactiva y el período de archivo. El período de archivo es igual al período de retención total en días, menos la retención interactiva en días. Por ejemplo, establezca los valores siguientes:

Campo Valor
Retención interactiva 30 días
Período de retención total 60 días

Por lo tanto, la página Tabla muestra el siguiente período de archivo de 30 días.

Captura de pantalla de la vista de tabla que muestra las columnas de período de retención y archivo interactivos.

Limpieza de recursos

No se crearon recursos, pero es posible que quiera restaurar la configuración de retención de datos que cambió.

Pasos siguientes

Configuración de directivas de archivo y retención de datos en los registros de Azure Monitor