Configuración de una tabla con el plan auxiliar en el área de trabajo de Log Analytics (versión preliminar)

Artículo
30/09/2024

El plan de tabla auxiliar le permite ingerir y conservar datos en el área de trabajo de Log Analytics a un bajo coste. Los registros de Azure Monitor admiten actualmente el plan de tabla auxiliar en tablas personalizadas basadas en una regla de recopilación de datos (DCR) a las que se envían datos que se recopilan mediante un agente de Azure Monitor o la API de ingesta de registros.

En este artículo se explica cómo crear una tabla personalizada con el plan auxiliar en el área de trabajo de Log Analytics y configurar una regla de recopilación de datos que envía datos a esta tabla.

Este es un vídeo que explica algunos de los usos y ventajas del plan de tabla auxiliar:

Importante

Consulte limitaciones de la versión preliminar pública para ver las regiones admitidas y las limitaciones relacionadas con las tablas auxiliares y las reglas de recopilación de datos.

Requisitos previos

Para crear una tabla personalizada y recopilar datos de registro, necesita:

Un área de trabajo de Log Analytics en la que tenga al menos derechos de colaborador.
Un punto de conexión de recopilación de datos (DCE).
Todas las tablas de un área de trabajo de Log Analytics tienen una columna denominada TimeGenerated. Si los datos de registro sin procesar tienen una propiedad TimeGenerated, Azure Monitor usa este valor para identificar el tiempo de creación del registro. En el caso de una tabla con el plan Auxiliar, la columna TimeGenerated admite actualmente solo el formato ISO8601. Para obtener más información sobre el formato TimeGenerated, consulte formatos dateTime ISO 8601 admitidos.

Crear una tabla personalizada con el plan auxiliar

Para crear una tabla personalizada, llame a la API Tables - Create Or Update usando este comando:

HTTP

PUT https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group}/providers/Microsoft.OperationalInsights/workspaces/{workspace_name}/tables/{table name_CL}?api-version=2023-01-01-preview

Importante

Actualmente, solo la versión 2023-01-01-preview de la API le permite establecer el plan auxiliar de tabla.

Proporcione esta carga: actualice el nombre de la tabla y ajuste las columnas en función del esquema de la tabla:

JSON

 {
    "properties": {
        "schema": {
            "name": "table_name_CL",
            "columns": [
                {
                    "name": "TimeGenerated",
                    "type": "datetime"
                },
                {
                    "name": "StringProperty",
                    "type": "string"
                },
                {
                    "name": "IntProperty",
                    "type": "int"
                },
                 {
                    "name": "LongProperty",
                    "type": "long"
                },
                 {
                    "name": "RealProperty",
                    "type": "real"
                },
                 {
                    "name": "BooleanProperty",
                    "type": "boolean"
                },
                 {
                    "name": "GuidProperty",
                    "type": "real"
                },
                 {
                    "name": "DateTimeProperty",
                    "type": "datetime"
                }
            ]
        },
        "totalRetentionInDays": 365,
        "plan": "Auxiliary"
    }
}

Enviar datos a una tabla con el plan auxiliar

Actualmente hay dos maneras de ingerir datos en una tabla personalizada con el plan auxiliar:

Recopilación de registros de un archivo de texto con el agente de Azure Monitor / Recopilación de registros de un archivo JSON con el agente de Azure Monitor.

Si usa este método, la tabla personalizada solo debe tener dos columnas: TimeGenerated y RawData (de tipo string). La regla de recopilación de datos envía la totalidad de cada entrada de registro que recopila a la columna RawData y los registros de Azure Monitor rellenan automáticamente la columna TimeGenerated con la hora en que se ingiere el registro.

Enviar datos a Azure Monitor mediante la API de ingesta de registros.

Para usar este método:

Crear una tabla personalizada con el plan auxiliar tal como se describe en este artículo.

Siga los pasos que se describen en el Tutorial: Envío de datos a Azure Monitor usando la API de ingesta de registros para:

Crear una aplicación de Microsoft Entra.
Crear una regla de recopilación de datos con esta plantilla de ARM.

JSON

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "dataCollectionRuleName": {
            "type": "string",
            "metadata": {
                "description": "Specifies the name of the data collection rule to create."
            }
        },
        "location": {
            "type": "string",
            "metadata": {
                "description": "Specifies the region in which to create the data collection rule. The must be the same region as the destination Log Analytics workspace."
            }
        },
        "workspaceResourceId": {
            "type": "string",
            "metadata": {
                "description": "The Azure resource ID of the Log Analytics workspace in which you created a custom table with the Auxiliary plan."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "[parameters('dataCollectionRuleName')]",
            "location": "[parameters('location')]",
            "apiVersion": "2023-03-11",
            "kind": "Direct",
            "properties": {
                "streamDeclarations": {
                    "Custom-table_name_CL": {
                        "columns": [
                            {
                                "name": "TimeGenerated",
                                "type": "datetime"
                            },
                            {
                                "name": "StringProperty",
                                "type": "string"
                            },
                            {
                                "name": "IntProperty",
                                "type": "int"
                            },
                            {
                                "name": "LongProperty",
                                "type": "long"
                            },
                            {
                                "name": "RealProperty",
                                "type": "real"
                            },
                            {
                                "name": "BooleanProperty",
                                "type": "boolean"
                            },
                            {
                                "name": "GuidProperty",
                                "type": "real"
                            },
                            {
                                "name": "DateTimeProperty",
                                "type": "datetime"
                            }
                                ]
                                }
                            },
                "destinations": {
                    "logAnalytics": [
                        {
                            "workspaceResourceId": "[parameters('workspaceResourceId')]",
                            "name": "myworkspace"
                        }
                    ]
                },
                "dataFlows": [
                    {
                        "streams": [
                            "Custom-table_name_CL"
                        ],
                        "destinations": [
                            "myworkspace"
                        ]
                    }
                ]
            }
        }
    ],
    "outputs": {
        "dataCollectionRuleId": {
            "type": "string",
            "value": "[resourceId('Microsoft.Insights/dataCollectionRules', parameters('dataCollectionRuleName'))]"
        }
    }
}

Donde:

myworkspace es el nombre del área de trabajo de Log Analytics.
table_name_CL es el nombre de la tabla.
columns incluye las mismas columnas establecidas en Crear una tabla personalizada con el plan auxiliar.

Conceder permiso de aplicación para usar el DCR.

Limitaciones de la vista preliminar pública

Durante la versión preliminar pública, se aplican las siguientes limitaciones:

El plan auxiliar se está implementando gradualmente en todas las regiones y actualmente se admite en:

Región	Ubicaciones
América	Centro de Canadá
	Centro de EE. UU.
	Este de EE. UU.
	Este de EE. UU. 2
	Oeste de EE. UU.
	Oeste de EE. UU. 2
	Centro-sur de EE. UU.
	Centro-Norte de EE. UU
Asia-Pacífico	Este de Australia
	Sudeste de Australia
	Este de Asia
Europa	Oeste de Europa
	Norte de Europa
	Sur de Reino Unido
	Centro-oeste de Alemania
	Norte de Suiza
	Centro de Francia
	Este de Noruega
Oriente Medio	Centro de Israel

Puede establecer el plan auxiliar solo en tablas personalizadas basadas en reglas de recopilación de datos que creó mediante tablas : crear o actualizar API, versión 2023-01-01-preview.
Tablas con el plan auxiliar:
- Actualmente no se facturan. Actualmente no hay ningún cargo por la ingesta, las consultas, los trabajos de búsqueda y la retención a largo plazo.
- No admita columnas con datos dinámicos.
- Tener una retención total fija de 365 días.
- Solo admite el formato de fecha y hora ISO 8601.
Una regla de recopilación de datos que envía datos a una tabla con un plan auxiliar:
- Solo puede enviar datos a una sola tabla.
- No se puede incluir una transformación.
Los datos de ingesta de tablas auxiliares no están disponibles actualmente en la tabla de uso de los Registros de Azure Monitor. Para calcular el volumen de ingesta de datos, puede contar el número de registros de la tabla auxiliar mediante esta consulta:

Kusto
```
MyTable_CL
| summarize count()
```

Estas características no se admiten en la actualidad:

Característica	Detalles
Replicación del área de trabajo de Log Analytics	Azure Monitor no replica datos en tablas con el plan auxiliar en el área de trabajo secundaria. Por lo tanto, estos datos no están protegidos contra la pérdida de datos en caso de error regional y no están disponibles cuando se cambia a su área de trabajo secundaria.
Claves administradas por el cliente	Los datos de las tablas con el plan auxiliar se cifran con claves administradas por Microsoft, incluso si protege los datos en el resto del área de trabajo de Log Analytics mediante su propia clave de cifrado.
Caja de seguridad del cliente de Microsoft Azure	La interfaz de Lockbox, que le permite revisar y aprobar o rechazar solicitudes de acceso a datos de clientes en respuesta a una incidencia de soporte técnico iniciada por un cliente o a un problema identificado por Microsoft, no se aplica a las tablas con el plan auxiliar.

Pasos siguientes

Más información sobre:

Recursos adicionales

Documentación

Cuándo usar registros auxiliares en Microsoft Sentinel

Obtenga información sobre qué orígenes de registro pueden ser adecuados para la ingesta de registros auxiliares o de registro básico.
Ingesta y transformación de datos personalizados en Microsoft Sentinel

Obtenga más información sobre la forma en que las características personalizadas de ingesta de registros y transformación de datos pueden ayudarle a obtener datos en Microsoft Sentinel y darles la forma que desee.
Planes de retención de registros en Microsoft Sentinel

Obtenga información sobre los diferentes planes de retención de registros que están disponibles en Microsoft Sentinel y cómo están diseñados para usarse para garantizar la cobertura máxima con un gasto mínimo.
Transformación o personalización de datos en tiempo de ingesta en Microsoft Sentinel (versión preliminar)

Obtenga información sobre cómo configurar la transformación de datos en tiempo de ingesta de Azure Monitor para su uso con Microsoft Sentinel.
Agregar datos de Microsoft Sentinel con reglas de resumen

Aprenda a agregar grandes conjuntos de datos de Microsoft Sentinel en los niveles de registro con reglas de resumen.
Migración de Microsoft Sentinel: Ingesta de datos en la plataforma de destino

Aprenda a ingerir datos históricos en la plataforma de destino seleccionada.
Procedimientos recomendados para la recopilación de datos en Microsoft Sentinel

Obtenga información sobre los procedimientos recomendados que se deben emplear al conectar orígenes de datos a Microsoft Sentinel.
Transformaciones de Azure Monitor - Azure Monitor

Use transformaciones en una regla de recopilación de datos de Azure Monitor para filtrar y modificar los datos entrantes.

Cursos

Ruta de aprendizaje

Use advance techniques in canvas apps to perform custom updates and optimization - Training

Use advance techniques in canvas apps to perform custom updates and optimization

Certificación

Microsoft Certified: Azure Database Administrator Associate - Certifications

Administre una infraestructura de base de datos de SQL Server para bases de datos relacionales locales e híbridas en la nube mediante las ofertas de bases de datos relacionales PaaS de Microsoft.

Eventos

Compilación de aplicaciones y agentes de IA

17 mar, 21 - 21 mar, 10

Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.

Regístrese ahora

Compartir a través de