Administración de la retención de datos en un área de trabajo de Log Analytics
Artículo
Un área de trabajo de Log Analytics conserva los datos en dos estados:
Retención interactiva: en este estado, los datos están disponibles para la supervisión, la solución de problemas y el análisis casi en tiempo real.
Retención a largo plazo: en este estado de bajo coste, los datos no están disponibles para las características del plan de tablas, pero se puede acceder a ellos a través de trabajos de búsqueda.
En este artículo se explica cómo las áreas de trabajo de Log Analytics conservan los datos y cómo administrar la retención de datos de las tablas del área de trabajo.
Retención interactiva, a largo plazo y total
De manera predeterminada, todas las tablas de un área de trabajo de Log Analytics retienen los datos durante 30 días, excepto las tablas de registro con una retención predeterminada de 90 días. Durante este periodo (el periodo de retención interactivo) puede recuperar los datos de la tabla mediante consultas, y los datos están disponibles para visualizaciones, alertas y otras características y servicios, según el plan de la tabla.
Puede ampliar el período de retención interactivo de tablas con el plan de Analytics hasta dos años. Los planes Básico y Auxiliar tienen un período de retención interactivo fijo de 30 días.
Nota
Puede reducir el periodo de retención interactiva de las tablas de Analytics a tan solo cuatro días usando la API o la CLI. Sin embargo, dado que se incluyen 31 días de retención interactiva en el precio de ingesta, reducir el período de retención por debajo de 31 días no reduce los costos.
Para conservar los datos en la misma tabla más allá del período de retención interactivo, extienda la retención total de la tabla hasta 12 años. Al final del período de retención interactivo, los datos permanecen en la tabla durante el resto del período de retención total que configure. Durante este periodo (el periodo de retención a largo plazo), ejecute un trabajo de búsqueda para recuperar los datos específicos que necesita de la tabla y ponerlos a disposición de las consultas interactivas en una tabla de resultados de búsqueda.
Funcionamiento de las modificaciones de retención
Cuando acorta la retención total de una tabla, Azure Monitor Logs espera 30 días antes de eliminar los datos, para que pueda revertir el cambio y evitar la pérdida de datos si cometió un error en la configuración.
Al aumentar la retención total, el nuevo periodo de retención se aplica a todos los datos que ya se habían ingerido en la tabla y aún no se habían eliminado.
Al cambiar la configuración de retención a largo plazo de una tabla con datos existentes, el cambio surte efecto inmediatamente.
Ejemplo:
Tiene una tabla de Analytics existente con 180 días de retención interactiva y ninguna retención a largo plazo.
Puede cambiar la retención interactiva a 90 días sin cambiar el período total de retención de 180 días.
Azure Monitor trata automáticamente los 90 días restantes de retención total como retención a bajo costo y a largo plazo, de modo que los datos de 90 a 180 días de antigüedad no se pierdan.
Permisos necesarios
Acción
Permisos requeridos
Configuración de la retención interactiva predeterminada para tablas de Analytics en un área de trabajo de Log Analytics
Los permisos Microsoft.OperationalInsights/workspaces/write y microsoft.operationalinsights/workspaces/tables/write del área de trabajo de Log Analytics, según lo proporcionado por el rol integrado de colaborador de Log Analytics, por ejemplo
Obtención de la configuración de retención por tabla para un área de trabajo de Log Analytics
Los permisos Microsoft.OperationalInsights/workspaces/tables/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo
Configuración del período de retención interactivo predeterminado de las tablas de Analytics
El período de retención interactivo predeterminado de todas las tablas de un área de trabajo de Log Analytics es de 30 días. Puede cambiar el período interactivo predeterminado de tablas de Analytics hasta dos años modificando la configuración de retención de datos de nivel de área de trabajo. Las tablas básicas y auxiliares tienen un período de retención interactivo fijo de 30 días.
El cambio de la configuración predeterminada de retención de datos de nivel de área de trabajo afecta automáticamente a todas las tablas de Analytics a las que la configuración predeterminada todavía se aplica en el área de trabajo. Si ya ha cambiado la retención interactiva de una tabla determinada, esa tabla no se ve afectada al cambiar la configuración de retención de datos predeterminada del área de trabajo.
Importante
Las áreas de trabajo con retención de 30 días pueden mantener los datos durante 31 días. Si necesita conservar los datos durante 30 días solo para cumplir una directiva de privacidad, configure la retención predeterminada del área de trabajo en 30 días mediante la API y actualice la propiedad del área de trabajo immediatePurgeDataOn30Days a true. Actualmente, esta operación solo se admite mediante la API Áreas de trabajo: actualizar.
Para establecer el período de retención interactivo predeterminado de las tablas de Analytics dentro de un área de trabajo de Log Analytics:
En el menú Áreas de trabajo de Log Analytics de Azure Portal, seleccione el área de trabajo.
Seleccione Uso y costos estimados en el panel izquierdo.
Seleccione Retención de datos en la parte superior de la página.
Mueva el control deslizante para aumentar o disminuir el número de días y, después, seleccione Aceptar.
Para establecer el periodo de retención interactivo predeterminado de las tablas de Analytics dentro de un área de trabajo de Log Analytics, llame a Áreas de trabajo: crear o actualizar API:
El cuerpo de la solicitud incluye los valores de la tabla siguiente.
Nombre
Escribir
Descripción
properties.retentionInDays
integer
Retención de datos del área de trabajo en días. Los valores permitidos son por plan de precios. Consulte la documentación sobre planes de tarifas para obtener más información.
location
string
Ubicación geográfica del recurso.
immediatePurgeDataOn30Days
boolean
Marca que indica si los datos se quitan inmediatamente después de 30 días y no se pueden recuperar. Solo se aplica cuando la retención del área de trabajo se establece en 30 días.
Ejemplo
En este ejemplo, se establece la retención del área de trabajo en el valor predeterminado del área de trabajo en 30 días y se garantiza que los datos se quiten inmediatamente después de 30 días y no se puedan recuperar.
Para establecer el periodo de retención interactivo predeterminado de las tablas de Analytics dentro de un área de trabajo de Log Analytics, ejecute el comando az monitor log-analytics workspace update y pase el parámetro --retention-time.
En este ejemplo, se establece la retención interactiva de la tabla en 30 días:
Utilice el cmdlet Set-AzOperationalInsightsWorkspace para establecer el periodo de retención interactivo predeterminado de las tablas de Analytics dentro de un área de trabajo de Log Analytics. Este ejemplo establece el periodo de retención interactivo predeterminado en 30 días:
Para agregar la retención a largo plazo a una tabla con cualquier plan de datos, establezca retención total en hasta 12 años (4 383 días). El plan de Tabla auxiliar se encuentra actualmente en versión preliminar pública, durante la cual la retención total del plan se fija en 365 días.
Nota
Actualmente, puede establecer la retención total en un máximo de 12 años mediante Azure Portal y la API. La CLI y PowerShell están limitados a siete años; el soporte técnico continuará durante 12 años.
Para modificar la configuración de retención de una tabla en Azure Portal:
En el menú Áreas de trabajo de Log Analytics, seleccione Tablas.
La pantalla Tablas muestra todas las tablas del área de trabajo.
Seleccione el menú contextual de la tabla que quiera configurar y seleccione Administrar tabla.
Establezca la configuración de retención interactiva y retención total en la sección Configuración de retención de datos de la pantalla de configuración de la tabla.
Para modificar la configuración de retención de una tabla, llame a Tablas: Actualizar API:
Puede usar PUT o PATCH, con la siguiente diferencia:
PUT API establece retentionInDays y totalRetentionInDays en el valor predeterminado si no establece valores distintos de NULL.
PATCH API no cambia los valores retentionInDays o totalRetentionInDays si no se especifican valores.
Cuerpo de la solicitud
El cuerpo de la solicitud incluye los valores de la tabla siguiente.
Nombre
Escribir
Descripción
properties.retentionInDays
integer
Retención de datos de la tabla en días. Este valor puede encontrarse entre 4 y 730. Establecer esta propiedad en null aplica el período de retención del área de trabajo. Para una tabla Registros básicos y auxiliares, el valor es siempre 30.
properties.totalRetentionInDays
integer
La retención de datos total de la tabla, incluida la retención a largo plazo. Este valor puede estar entre 4 y 730; o 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 o 4383. Establezca esta propiedad en null si no quiere una retención a largo plazo.
Ejemplo
Este ejemplo establece la retención interactiva predeterminada de la tabla en 30 días en las áreas de trabajo y la retención total en dos años, lo que significa que el periodo de retención a largo plazo es de 23 meses.
Para modificar la configuración de retención de una tabla, ejecute el comando az monitor log-analytics workspace table update y pase los parámetros --retention-time y --total-retention-time.
Este ejemplo establece la retención interactiva de la tabla en 30 días y la retención total en dos años, lo que significa que el periodo de retención a largo plazo es de 23 meses:
Para volver a aplicar el valor predeterminado de retención interactiva del área de trabajo a la tabla y restablecer su retención total a 0, ejecute el comando az monitor log-analytics workspace table update con los parámetros --retention-time y --total-retention-time establecidos en -1.
Use el cmdlet Update-AzOperationalInsightsTable para modificar la configuración de retención de una tabla. Este ejemplo establece la retención interactiva de la tabla en 30 días y la retención total en dos años, lo que significa que el periodo de retención a largo plazo es de 23 meses:
Para volver a aplicar el valor predeterminado de retención interactiva del área de trabajo a la tabla y restablecer su retención total a 0, ejecute el cmdlet Update-AzOperationalInsightsTable con los parámetros -RetentionInDays y -TotalRetentionInDays establecidos en -1.
Para ver la configuración de retención de una tabla en Azure Portal, en el menú Espacios de trabajo de Log Analytics, seleccione Tablas.
La pantalla Tablas muestra los periodos de retención interactivos y totales de todas las tablas de las áreas de trabajo.
Para obtener la directiva de retención de una tabla determinada (en este ejemplo, SecurityEvent), llame a la API Tables - Get:
GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01
Para obtener todas las configuraciones de retención a nivel de tabla en su área de trabajo, no establezca un nombre de tabla.
Por ejemplo:
GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01
¿Qué ocurre con los datos al eliminar una tabla en un área de trabajo de Log Analytics?
Un área de trabajo de Log Analytics puede contener varios tipos de tablas. Lo que sucede cuando se elimina la tabla es diferente para cada una:
Tipo de tabla.
Retención de datos
Recomendaciones
Tabla de Azure
Una tabla de Azure contiene registros de un recurso o datos de Azure requeridos por un servicio o solución de Azure y no se puede eliminar. Al detener la transmisión de datos desde el recurso, el servicio o la solución, los datos permanecen en el área de trabajo hasta el final del período de retención definido para la tabla.
Para minimizar los cargos, establezca la retención de nivel de tabla en cuatro días antes de detener la transmisión de registros en la tabla.
Elimina temporalmente la tabla hasta el final de la retención de nivel de tabla o el período de retención del área de trabajo predeterminado. Durante el período de eliminación temporal, seguirá pagando por la retención de datos y puede volver a crear la tabla y acceder a los datos configurando una tabla con el mismo nombre y esquema. Catorce días después de eliminar una tabla personalizada, Azure Monitor quita la configuración de retención de nivel de tabla y aplica la retención predeterminada del área de trabajo.
Para minimizar los cargos, establezca la retención de nivel de tabla en cuatro días antes de eliminar la tabla.
Elimina la caché frecuente aprovisionada para la restauración, pero no se eliminan los datos de la tabla de origen.
Tablas de registro con retención predeterminada de 90 días
De manera predeterminada, las tablas de Usage y AzureActivity conservan los datos durante al menos 90 días sin coste alguno. Cuando aumenta la retención de las áreas de trabajo a más de 90 días, también aumenta la retención de estas tablas. A estas tablas tampoco se le aplican los cargos de ingesta de datos.
Las tablas relacionadas con los recursos de Application Insights también mantienen los datos durante 90 días sin cargo alguno. Puede ajustar la retención de cada una de estas tablas individualmente:
AppAvailabilityResults
AppBrowserTimings
AppDependencies
AppExceptions
AppEvents
AppMetrics
AppPageViews
AppPerformanceCounters
AppRequests
AppSystemEvents
AppTraces
Modelo de precios
El cargo por añadir la retención interactiva y la retención a largo plazo se calcula en función del volumen de datos que retenga, en GB, y del número de días durante los que retenga los datos. Los datos de registro que tienen _IsBillable == false no están sujetos a cargos por ingesta o retención.
En este módulo, aprenderá a crear y configurar el acceso a un área de trabajo de Log Analytics. También aprenderá a configurar la retención de datos y a habilitar las alertas de estado de mantenimiento de un área de trabajo de Log Analytics.