Administración de tablas en un área de trabajo de Log Analytics

Un área de trabajo de Log Analytics permite recopilar registros de recursos de Azure y que no son de Azure en un espacio para el análisis de datos, el uso de otros servicios (como Sentinel) y para desencadenar alertas y acciones, por ejemplo, mediante Azure Logic Apps. El área de trabajo de Log Analytics consta de tablas, que puede configurar para administrar los costos relacionados con los registros y el modelo de datos. En este artículo se explican las opciones de configuración de tabla en los registros de Azure Monitor y cómo establecer propiedades de tabla en función de sus necesidades de análisis de datos y administración de costos.

Permisos necesarios

Debe tener permisos de microsoft.operationalinsights/workspaces/tables/write para los espacios de trabajo de Log Analytics que administre, tal y como le proporciona el rol incorporado de Colaborador de Log Analytics, por ejemplo.

Propiedades de tabla

En este diagrama se proporciona información general sobre las opciones de configuración de tabla en los registros de Azure Monitor:

Tipo de tabla y esquema

El esquema de una tabla es el conjunto de columnas que componen la tabla, en la que los registros de Azure Monitor recopilan datos de registro de uno o varios orígenes de datos.

El área de trabajo de Log Analytics puede contener los siguientes tipos de tablas:

Tipo de tabla.	Origen de datos	Schema
Tabla de Azure	Registros de recursos de Azure o requeridos por servicios y soluciones de Azure.	Los registros de Azure Monitor crean tablas de Azure automáticamente en función de los servicios de Azure que use y la configuración de diagnóstico que configure para recursos específicos. Cada tabla de Azure tiene un esquema predefinido. Puede agregar columnas a una tabla de Azure para almacenar datos de registro transformados o enriquecerlos en la tabla de Azure con datos de otro origen.
Tabla personalizada	Recursos que no son de Azure y cualquier otro origen de datos, como los registros basados en archivos.	Puede definir el esquema de una tabla personalizada en función de cómo quiere almacenar los datos que recopile de un origen de datos determinado.
Search Results	Todos los datos almacenados en un área de trabajo de Log Analytics.	El esquema de una tabla de resultados de búsqueda se basa en la consulta que se define al ejecutar el trabajo de búsqueda. No se puede editar el esquema de las tablas de resultados de búsqueda existentes.
Registros restaurados	Registros archivados.	Una tabla de registros restaurada tiene el mismo esquema que la tabla desde la que se restauran los registros. No se puede editar el esquema de las tablas de registros restaurados existentes.

Plan de datos de registro

Configure el plan de datos de registro de una tabla en función de la frecuencia con la que accede a los datos de la tabla:

• El plan Analytics hace que los datos de registro estén disponibles para las consultas interactivas y el uso de características y servicios.
• El plan de datos de registro Básico proporciona una forma de bajo costo para ingerir y conservar registros para la solución de problemas, la depuración, auditorías y cumplimiento.

Retención y archivado

El archivado es una solución de bajo costo para mantener los datos que ya no se usan regularmente en el área de trabajo para realizar investigaciones ocasionales o para el cumplimiento. Establezca directivas de retención de nivel de tabla para invalidar la directiva de retención del área de trabajo predeterminada y archivar los datos en el área de trabajo.

Para acceder a los datos archivados, ejecute un trabajo de búsqueda o restaure los datos para un intervalo de tiempo específico.

Transformaciones en tiempo de ingesta

Reduzca los costos y el esfuerzo de análisis mediante reglas de recopilación de datos para filtrar y transformar los datos antes de la ingesta en función del esquema que defina para la tabla personalizada.

Visualización de propiedades de tabla

Nota:

El nombre de la tabla distingue entre mayúsculas y minúsculas.

Portal

Para ver y establecer propiedades de tabla en Azure Portal:

1. En el área de trabajo de Log Analytics, seleccione Tablas.

   La pantalla Tablas presenta información de configuración de tablas para todas las tablas del área de trabajo de Log Analytics.

   

2. Seleccione los puntos suspensivos (…) situados a la derecha de una tabla para abrir el menú de administración de tablas.

   Las opciones de administración de tablas disponibles varían en función del tipo de tabla.

   1. Seleccione Administrar tabla para editar las propiedades de tabla.

   2. Seleccione Editar esquema para ver y editar el esquema de tabla.

API

Para ver las propiedades de tabla, llame a la API Tables - Get.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Cuerpo de la respuesta

Nombre	Type	Descripción
properties.plan	cadena	Plan de tabla. Analytics o Basic.
properties.retentionInDays	integer	Retención de datos de la tabla en días. En Basic Logs, el valor es de ocho días, fijo. En Analytics Logs, el valor es de entre 4 y 730 días.
properties.totalRetentionInDays	integer	Retención de datos de la tabla que también incluye el período de archivo.
properties.archiveRetentionInDays	integer	Período de archivado de la tabla (de solo lectura, calculado).
properties.lastPlanModifiedDate	String	Última vez que se estableció el plan para esta tabla. Null si no se ha realizado ningún cambio desde la configuración predeterminada (solo lectura).

Solicitud de ejemplo

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Respuesta de muestra

Código de estado: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Para establecer las propiedades de tabla, llame a la API Tables - Create Or Update.

CLI de Azure

Para ver las propiedades de tabla mediante la CLI de Azure, ejecute el comando az monitor log-analytics workspace table show.

Por ejemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Para establecer las propiedades de tabla mediante la CLI de Azure, ejecute el comando az monitor log-analytics workspace table update.

PowerShell

Para ver las propiedades de tabla mediante PowerShell, ejecute:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Respuesta de muestra

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Use el cmdlet Update-AzOperationalInsightsTable para establecer las propiedades de tabla.

Pasos siguientes

Obtenga información sobre cómo:

• Establecimiento del plan de datos de registro de una tabla
• Adición de tablas y columnas personalizadas
• Establecimiento de retención y archivado
• Diseño de la arquitectura de áreas de trabajo