Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una regla de resumen permite agregar datos de registro a una cadencia regular y enviar los resultados agregados a una tabla de registro personalizada en el área de trabajo de Log Analytics. Use reglas de resumen para optimizar los datos para:
Análisis e informes, especialmente sobre grandes conjuntos de datos y intervalos de tiempo, según sea necesario para el análisis de seguridad e incidentes, informes empresariales mensuales o anuales, etc. Las consultas complejas en un conjunto de datos de gran tamaño suelen agotar el tiempo de espera. Es más fácil y eficaz analizar e informar sobre los datos resumidos limpios y agregados.
Ahorro de costos en registros detallados, que puede conservar durante tan poco o siempre que necesite en una tabla de registro básica barata y enviar datos resumidos a una tabla de Análisis para análisis e informes.
Seguridad y privacidad de datos mediante la eliminación o ofuscación de los detalles de privacidad en los datos que se pueden compartir resumidos y limitando el acceso a las tablas con datos sin procesar.
En este artículo se describe cómo funcionan las reglas de resumen y cómo definir y ver las reglas de resumen, y se proporcionan algunos ejemplos del uso y las ventajas de las reglas de resumen.
Este es un vídeo que proporciona información general sobre algunas de las ventajas de las reglas de resumen:
Funcionamiento de las reglas de resumen
Las reglas de resumen realizan el procesamiento por lotes directamente en el área de trabajo de Log Analytics. La regla de resumen agrega fragmentos de datos, definidos por tamaño de rango, en función de una consulta KQL y vuelve a analizar los resultados resumidos en una tabla personalizada con un Plan de registro de Analytics en el área de trabajo de Log Analytics.
Puede agregar datos de cualquier tabla, independientemente de si la tabla tiene un Plan de datos de Análisis o Básico. Azure Monitor crea el esquema de tabla de destino en función de la consulta que defina. Si la tabla de destino ya existe, Azure Monitor anexa las columnas necesarias para admitir los resultados de la consulta. Todas las tablas de destino también incluyen un conjunto de campos estándar con información de regla de resumen, entre las que se incluyen:
_RuleName: regla de resumen que generó la entrada de registro agregada._RuleLastModifiedTime: cuando se modificó por última vez la regla._BinSize: intervalo de agregación._BinStartTime: hora de inicio de la agregación.
Puede configurar hasta 30 reglas activas para agregar datos de varias tablas y enviar los datos agregados a tablas de destino independientes o a la misma tabla.
Puede exportar datos resumidos de una tabla de registro personalizada a una cuenta de almacenamiento o Event Hubs para realizar más integraciones mediante la definición de una regla de exportación de datos.
Ejemplo: Resumir datos ContainerLogsV2
Si va a supervisar contenedores, ingiere un gran volumen de registros detallados en la tabla ContainerLogsV2.
Puede usar esta consulta en la regla de resumen para agregar todas las entradas de registro únicas en un plazo de 60 minutos, manteniendo los datos útiles para el análisis y la eliminación de datos que no necesita:
ContainerLogV2 | summarize Count = count() by Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)
Estos son los datos sin procesar de la tabla ContainerLogsV2 :
Estos son los datos agregados que envía la regla de resumen a la tabla de destino:
En lugar de registrar cientos de entradas similares en un plazo de una hora, la tabla de destino muestra el recuento de cada entrada única, tal como se define en la consulta KQL. Establezca el Plan de datos básico en la ContainerLogsV2 tabla para la retención barata de los datos sin procesar y use los datos resumidos en la tabla de destino para sus necesidades de análisis.
Permisos necesarios
| Acción | Permisos necesarios |
|---|---|
| Crear o actualizar regla de resumen | Permisos Microsoft.Operationalinsights/workspaces/summarylogs/write para el área de trabajo de Log Analytics, según lo proporcionado por el rol integrado de colaborador de Log Analytics, por ejemplo |
| Crear o actualizar la tabla de destino | Permisos Microsoft.OperationalInsights/workspaces/tables/write para el área de trabajo de Log Analytics, según lo proporcionado por el rol integrado de colaborador de Log Analytics, por ejemplo |
| Habilitación de la operación de consulta en el área de trabajo | Los permisos Microsoft.OperationalInsights/workspaces/query/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
| Consultar todas las tablas del área de trabajo | Los permisos Microsoft.OperationalInsights/workspaces/query/*/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
| Consulta de registros en una tabla | Los permisos Microsoft.OperationalInsights/workspaces/query/<table>/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
| Consulta de registros en una tabla (acción de tabla) | Los permisos Microsoft.OperationalInsights/workspaces/tables/query/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
| Uso de consultas cifradas en una cuenta de almacenamiento administrada por el cliente | Microsoft.Storage/storageAccounts/* permisos para la cuenta de almacenamiento, tal como lo proporciona el Rol integrado Colaborador de la cuenta de almacenamiento, por ejemplo |
Consideraciones sobre la implementación
- El número máximo de reglas activas en un área de trabajo es 30.
- Actualmente, las reglas de resumen solo están disponibles en la nube pública.
- La regla de resumen procesa los datos entrantes y no se puede configurar en un intervalo de tiempo histórico.
- Cuando se agotan los reintentos de ejecución del rango, éste se omite y no se puede volver a ejecutar.
- No se admite la consulta de un área de trabajo de Log Analytics en otro inquilino mediante Lighthouse.
- No se admite la adición de la transformación del área de trabajo a la tabla de destino Reglas de resumen.
Modelo de precios
No hay ningún costo adicional para las reglas de resumen. Solo paga por la consulta y la ingesta de resultados en la tabla de destino, en función del plan de tabla de la tabla de origen en la que se ejecuta la consulta:
| Plan de la tabla fuente | Costo de consulta | Costo de ingesta de resultados de resumen |
|---|---|---|
| Análisis | Sin costo | Ingesta de registros de Analytics |
| Básica y auxiliar | Escaneo de datos | Ingesta de registros de Analytics |
Por ejemplo, el cálculo de costos de una regla por hora que devuelve 100 registros por cubo es:
| Plan de la tabla fuente | Cálculo del precio mensual |
|---|---|
| Análisis | Precio de ingesta x volumen de registro x número de registros x 24 horas x 30 días. |
| Básica y auxiliar | Precio de escaneo de datos x volumen escaneado + Precio de carga x volumen de registro x número de registros x 24 horas x 30 días. Para una regla que se ejecuta continuamente, todos los datos entrantes a la tabla de origen son escaneados. |
Para obtener más información, consulte Precios de Azure Monitor.
Crear o actualizar una regla de resumen
Los operadores que puede usar para resumir su consulta dependen del plan de la tabla de origen de la consulta.
- Analytics: admite todos los operadores y funciones de KQL, excepto para:
- consultas entre recursos, que usan las expresiones
workspaces(),app(),resource()y consultas entre servicios, que usan las expresionesADX()yARG(). - Complementos que vuelven a dar forma al esquema de datos, incluidos desempaquetar paquetes, estrechar y pivotar.
- consultas entre recursos, que usan las expresiones
- Básico: admite todos los operadores de KQL en una sola tabla. Puede unir hasta cinco tablas de Analytics mediante el operador de búsqueda.
- Functions: no se admiten funciones definidas por el usuario. Se admiten las funciones del sistema proporcionadas por Microsoft.
Las reglas de resumen son más beneficiosas en términos de costos y experiencias de consulta cuando el recuento de resultados o el volumen se reducen de manera significativa. Por ejemplo, se apunta a obtener un volumen de resultados de 0,01 % o menor que el origen. Antes de crear una regla, experimente la consulta en Log Analytics y compruebe lo siguiente:
- Compruebe que la consulta produce los resultados esperados y el esquema previsto.
- La consulta no alcanza ni está cerca de los límites de la API de consulta.
- El tamaño de un registro de los resultados es inferior a 1 MB.
Si la consulta está cerca de los límites de consulta, considere la posibilidad de usar un "tamaño de bin" más pequeño para procesar menos datos por contenedor. También puede modificar la consulta para devolver menos registros o campos con un volumen superior.
Al actualizar una consulta y hay menos campos en los resultados de resumen, Azure Monitor no quita automáticamente las columnas de la tabla de destino y debe eliminar columnas de la tabla manualmente.
Para crear o actualizar una regla de resumen, realice esta llamada API de PUT:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
En esta tabla se describen los parámetros de la regla de resumen:
| Parámetro | Valores válidos | Descripción |
|---|---|---|
ruleType |
User o System |
Especifica el tipo de regla. - User: reglas que defina. - System: reglas predefinidas administradas por los servicios de Azure. |
description |
Cadena | Describe la regla y su función. Este parámetro es útil cuando tiene varias reglas y puede ayudar con la administración de reglas. |
binSize |
20, 30, 60, 120, 180, 360, 720, o 1440 (minutos) |
Define el intervalo de agregación y el intervalo de tiempo de búsqueda. Por ejemplo, si establece "binSize": 120, puede obtener entradas para 02:00 to 04:00 y 04:00 to 06:00. |
query |
Consulta del lenguaje de consulta Kusto (KQL) | Define la consulta que se va a ejecutar en la regla. No es necesario especificar un intervalo de tiempo porque el parámetro binSize determina el intervalo de agregación; por ejemplo, si 02:00 to 03:00 es "binSize": 60. Si agrega un filtro de tiempo en la consulta, el tiempo que se usa en la consulta es la intersección entre el filtro y el tamaño de la papelera. |
destinationTable |
tablename_CL |
Especifica el nombre de la tabla de registro personalizada de destino. El valor de nombre debe tener el sufijo _CL. Azure Monitor crea la tabla en el área de trabajo, si aún no existe, en función de la consulta establecida en la regla. Si la tabla ya existe en el área de trabajo, Azure Monitor agrega las nuevas columnas introducidas en la consulta. Si los resultados de resumen incluyen un nombre de columna reservado, como TimeGenerated, _IsBillable, _ResourceId, TenantId, o Type - Azure Monitor anexa el prefijo _Original a los campos originales para conservar sus valores originales. |
binDelay (opcional) |
Entero (minutos) | Establece un tiempo de espera antes de la ejecución de la bin, normalmente útil cuando se ejecuta en datos de llegada tardía, también conocidos como latencia de ingesta, y permite que la mayoría de los datos lleguen. El retraso predeterminado es de tres y medio minutos al 10 % del valor binSize. Si sabe que los datos que consulta normalmente se ingieren con retraso, establezca el parámetro binDelay con el valor de retraso conocido o superior, hasta 1440 minutos. Para obtener más información, consulte Configurar la temporización de agregación.En algunos casos, Azure Monitor podría iniciar la ejecución de la bin ligeramente después del retraso establecido para garantizar la confiabilidad del servicio y el éxito de las consultas. |
binStartTime (opcional) |
Datetime en Formato de %Y-%n-%eT%H:%M %Z |
Especifica la fecha y hora de la ejecución inicial del rango. El valor puede comenzar en la fecha y hora de creación de la regla menos el valor de binSize o más tarde y en horas completas. Por ejemplo, si la fecha y hora es 2023-12-03T12:13Z y binSize es 1440, el valor de binStartTime válido más antiguo es 2023-12-02T13:00Z, y la agregación incluye datos registrados entre 02T13:00 y 03T13:00. En este escenario, las reglas comienzan a agregar una 03T13:00 más el retraso predeterminado o especificado. El parámetro binStartTime es útil en escenarios de resumen diarios. Supongamos que usted se encuentra en la zona horaria UTC-8 y crea una regla diaria en 2023-12-03T12:13Z. Quiere que la regla se complete antes de comenzar el día a las 8:00 (00:00 UTC). Establezca el parámetro binStartTime en 2023-12-02T22:00Z. La primera agregación incluye todos los datos registrados entre 02T:06:00 y 03T:06:00 local y la regla se ejecuta al mismo tiempo diariamente. Para obtener más información, consulte Configurar la temporización de agregación.Al actualizar las reglas, puede hacer lo siguiente: - Use el valor binStartTime existente o quite el parámetro binStartTime, en cuyo caso la ejecución continúa en función de la definición inicial.- Actualice la regla con un nuevo valor de binStartTime para establecer un nuevo valor de fecha y hora. |
displayName (opcional) |
Cadena | Especifica el nombre para mostrar de la regla en las experiencias de Azure Portal. |
timeSelector (opcional) |
TimeGenerated |
Define el campo de marca de tiempo que usa Azure Monitor para agregar datos. Por ejemplo, si establece "binSize": 120, puede obtener entradas con un valor de TimeGenerated entre 02:00 y 04:00. |
Configuración del tiempo de agregación
De manera predeterminada, la regla de resumen crea la primera agregación poco después de la próxima hora completa.
El breve retraso que Azure Monitor agrega cuentas para la latencia de ingesta, o el tiempo entre el momento en que se crean los datos en el sistema supervisado y el tiempo que está disponible para el análisis en Azure Monitor. De manera predeterminada, este retraso está entre tres y medio minutos y el 10 % del valor "tamaño de rango" antes de agregar cada rango. En la mayoría de los casos, este retraso garantiza que Azure Monitor agregue todos los datos registrados dentro de cada período de rango.
Por ejemplo:
Cree una regla de resumen con un tamaño de rango de 30 minutos a las 14:44.
La regla crea la primera agregación poco después de las 15:00 (por ejemplo, a las 15:04) para los datos registrados entre las 14:30 y las 15:00.
Cree una regla de resumen con un tamaño de rango de 720 minutos (12 horas) a las 14:44.
La regla crea la primera agregación a las 16:12 a 72 minutos (10 % del tamaño de 720 contenedores) después de 13:00, para los datos registrados entre 03:00 y 15:00.
Use los parámetros binStartTime y binDelay para cambiar el tiempo de la primera agregación y el retraso que Azure Monitor agrega antes de cada agregación.
En las secciones siguientes se proporcionan ejemplos de los intervalos de agregación predeterminados y las opciones de tiempo de agregación más avanzadas.
Uso del tiempo de agregación predeterminado
En este ejemplo, la regla de resumen se crea en el 2023-06-07 a las 14:44 y Azure Monitor agrega un retraso predeterminado de cuatro minutos.
| binSize (minutos) | Ejecución de regla inicial | Primera agregación | Segunda agregación |
|---|---|---|---|
| 1440 | 2023-06-07 15:04 | 2023-06-06 15:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 15:00 |
| 720 | 2023-06-07 15:04 | 2023-06-07 03:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 03:00 |
| 360 | 2023-06-07 15:04 | 2023-06-07 09:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 21:00 |
| 180 | 2023-06-07 15:04 | 2023-06-07 12:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 18:00 |
| 120 | 2023-06-07 15:04 | 2023-06-07 13:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 17:00 |
| 60 | 2023-06-07 15:04 | 2023-06-07 14:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 16:00 |
| 30 | 2023-06-07 15:04 | 2023-06-07 14:30 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:30 |
| 20 | 2023-06-07 15:04 | 2023-06-07 14:40 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:20 |
Establecimiento de parámetros de tiempo de agregación opcionales
En este ejemplo, la regla de resumen se crea en el 2023-06-07 a las 14:44 y la regla incluye estas opciones de configuración avanzadas:
binStartTime: 2023-06-08 07:00binDelay: 8 minutos
| binSize (minutos) | Ejecución de regla inicial | Primera agregación | Segunda agregación |
|---|---|---|---|
| 1440 | 2023-06-09 07:08 | 2023-06-08 07:00 - 2023-06-09 07:00 | 2023-06-09 07:00 - 2023-06-10 07:00 |
| 720 | 2023-06-08 19:08 | 2023-06-08 07:00 - 2023-06-08 19:00 | 2023-06-08 19:00 - 2023-06-09 07:00 |
| 360 | 2023-06-08 13:08 | 2023-06-08 07:00 - 2023-06-08 13:00 | 2023-06-08 13:00 - 2023-06-08 19:00 |
| 180 | 2023-06-08 10:08 | 2023-06-08 07:00 - 2023-06-08 10:00 | 2023-06-08 10:00 - 2023-06-08 13:00 |
| 120 | 2023-06-08 09:08 | 2023-06-08 07:00 - 2023-06-08 09:00 | 2023-06-08 09:00 - 2023-06-08 11:00 |
| 60 | 2023-06-08 08:08 | 2023-06-08 07:00 - 2023-06-08 08:00 | 2023-06-08 08:00 - 2023-06-08 09:00 |
| 30 | 2023-06-08 07:38 | 2023-06-08 07:00 - 2023-06-08 07:30 | 2023-06-08 07:30 - 2023-06-08 08:00 |
| 20 | 2023-06-08 07:28 | 2023-06-08 07:00 - 2023-06-08 07:20 | 2023-06-08 07:20 - 2023-06-08 07:40 |
Ver reglas de resumen
Utilice esta llamada de API GET para ver la configuración de una regla de resumen específica.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Use esta llamada API de GET para ver la configuración para ver la configuración de todas las reglas de resumen en el área de trabajo de Log Analytics:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Detener y reiniciar una regla de resumen
Puede detener una regla durante un período de tiempo; por ejemplo, si desea comprobar que los datos se ingieren en una tabla y no desea afectar a la tabla y los informes resumidos. Al reiniciar la regla, Azure Monitor comienza a procesar datos desde la próxima hora completa o en función del parámetro definido binStartTime (opcional).
Para detener una regla, use esta llamada API de POST:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
Para reiniciar la regla, use esta llamada a la API POST:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Eliminación de una regla de resumen
Puede tener hasta 30 reglas de resumen activas en el área de trabajo de Log Analytics. Si desea crear una nueva regla, pero ya tiene 30 reglas activas, debe detener o eliminar una regla de resumen activa.
Para eliminar una regla, use esta llamada API de DELETE:
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
Supervisión de reglas de resumen
Para supervisar las reglas de resumen, habilite la categoría Registros de resumen en la configuración de diagnóstico del área de trabajo de Log Analytics. Azure Monitor envía detalles de ejecución de reglas de resumen, incluida la ejecución de reglas de resumen, la información correcta y con errores, a la tablaLASummaryLogs del área de trabajo.
Se recomienda configurar reglas de alertas de registro para recibir notificaciones de errores de rango o cuando la ejecución del rango se acerca al tiempo de espera, como se muestra a continuación. Según el motivo del error, puede reducir el tamaño del segmento para procesar una menor cantidad de datos en cada ejecución o modificar la consulta para devolver menos registros o campos que contienen un volumen superior de datos.
Esta consulta devuelve ejecuciones con errores:
LASummaryLogs | where Status == "Failed"
Esta consulta devuelve el rango que se ejecuta donde el valor de QueryDurationMs es mayor que 0,9 x 600 000 milisegundos:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Comprobación de la integridad de los datos
Las reglas de resumen están diseñadas para la escala e incluyen un mecanismo de reintento para superar los errores transitorios de servicio o consulta relacionados con los límites de consulta, por ejemplo. El mecanismo de reintento realiza 10 intentos para agregar un contenedor fallido dentro de un período de ocho horas y omite un contenedor si se agotan los intentos. La regla se establece en isActive: false y se mantiene en espera después de ocho reintentos consecutivos. Si habilita reglas de resumen de supervisión, Azure Monitor registra un evento en la tabla LASummaryLogs del área de trabajo.
No se puede volver a ejecutar una ejecución del bin con errores, pero puede usar la siguiente consulta para ver las ejecuciones con errores:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
Esta consulta representa los resultados como un gráfico de tiempo:
Consulte la sección Reglas de resumen de supervisión para ver las opciones de solución de problemas de reglas y las alertas proactivas.
Encripte consultas de reglas resumen utilizando claves gestionadas por el cliente
Una consulta KQL puede contener información confidencial en los comentarios o en la sintaxis de la consulta. Para cifrar las consultas de reglas de resumen, vincule una cuenta de almacenamiento al área de trabajo de Log Analytics y use claves administradas por el cliente.
Consideraciones al trabajar con consultas cifradas:
- La vinculación de una cuenta de almacenamiento para cifrar las consultas no interrumpe las reglas existentes.
- De manera predeterminada, Azure Monitor almacena consultas de reglas de resumen en el almacenamiento de Log Analytics. Si tiene reglas de resumen existentes antes de vincular una cuenta de almacenamiento al área de trabajo de Log Analytics, actualice las reglas de resumen para que las consultas guarden las consultas existentes en la cuenta de almacenamiento.
- Las consultas que guarde en una cuenta de almacenamiento se encuentran en la tabla
CustomerConfigurationStoreTable. Estas consultas se consideran artefactos de servicio y su formato puede cambiar. - Puede usar la misma cuenta de almacenamiento para las consultas de reglas de resumen, las Consultas guardadas en Log Analytics, y las alertas de registro.
Solución de problemas de reglas de resumen
En esta sección se proporcionan sugerencias para solucionar problemas de reglas de resumen.
Tabla de destino de regla de resumen eliminada accidentalmente
Si elimina la tabla de destino mientras la regla de resumen está activa, la regla se suspende y Azure Monitor envía un evento a la tabla LASummaryLogs con un mensaje que indica que se suspendió la regla.
Si no necesita los resultados de resumen en la tabla de destino, elimine la regla y la tabla. Si necesita recuperar los resultados de resumen, siga los pasos descritos en la sección Crear o actualizar reglas de resumen para volver a crear la tabla. La tabla de destino se restaura, incluidos los datos ingeridos antes de la eliminación, en función de la directiva de retención de la tabla.
Si no necesita los resultados de resumen en la tabla de destino, elimine la regla y la tabla. Si necesita los resultados de resumen, siga los pasos descritos en la sección Crear o actualizar reglas de resumen para volver a crear la tabla de destino y restaurar todos los datos, incluidos los datos ingeridos antes de la eliminación, en función de la directiva de retención de la tabla.
La consulta usa operadores que crean nuevas columnas en la tabla de destino
El esquema de la tabla de destino se define al crear o actualizar una regla de resumen. Si la consulta de la regla de resumen incluye operadores que permiten la expansión del esquema de salida en función de los datos entrantes, por ejemplo, si la consulta usa la función arg_max(expression, *): Azure Monitor no agrega nuevas columnas a la tabla de destino después de crear o actualizar la regla de resumen y se quitarán los datos de salida que requieren estas columnas. Para agregar los nuevos campos a la tabla de destino, actualizar la regla de resumen o agregar manualmente una columna a la tabla.
Los datos de las columnas eliminadas permanecen en el área de trabajo en función de la configuración de retención de la tabla.
Al quitar un campo de la consulta, las columnas y los datos permanecen en el destino y en función del período de retención definidos en la tabla o el área de trabajo. Si no necesita las columnas eliminadas en la tabla de destino, elimine las columnas del esquema de la tabla. Si, a continuación, agrega columnas con el mismo nombre, los datos que no sean más antiguos que el período de retención volverán a aparecer.
Contenido relacionado
- Obtenga más información sobre Planes de datos de registros de Azure Monitor.
- Consulte un tutorial sobre el uso del modo KQL en Log Analytics.
- Acceda a la documentación de referencia completa de KQL.