Tutoriel : Configurer une stratégie de rétention des données pour une table dans un espace de travail Log Analytics
Dans ce tutoriel, vous allez définir une stratégie de rétention pour une table dans votre espace de travail Log Analytics que vous utilisez pour Microsoft Sentinel ou Azure Monitor. Ces étapes vous permettent de conserver à moindre coût des données plus anciennes et moins utilisées dans votre espace de travail.
Les stratégies de rétention d’un espace de travail Log Analytics définissent quand passer des anciens enregistrements dans les tables de données de l’espace de travail à l’état de conservation à long terme (anciennement appelée archive) à faible coût et à accès minimal. Par défaut, toutes les tables de votre espace de travail héritent du paramètre de la rétention interactive et n’ont aucune stratégie de rétention à long terme (archive). Vous pouvez modifier des stratégies de rétention interactive et à long terme des tables individuelles, à l’exception des espaces de travail du niveau tarifaire hérité de l’essai gratuit.
Dans ce tutoriel, vous allez apprendre à :
- Définir la stratégie de rétention pour une table
- Évaluer les stratégies de rétention interactive et à long terme
Prérequis
Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants.
Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Compte Azure avec les rôles suivants :
Rôle intégré Étendue Motif Contributeur Log Analytics N'importe quelle valeur avec - Abonnement
- Resource group
- Table
Pour définir la stratégie de rétention sur les tables dans Log Analytics Espace de travail Log Analytics.
Définir la stratégie de rétention pour une table
Dans votre espace de travail Log Analytics, modifiez la stratégie de rétention interactive de la table SecurityEvent de l’espace de travail par défaut de 90 jours à 180 jours et la stratégie de rétention totale à 3 ans. La période de rétention totale est une somme des périodes de rétention interactive et à long terme (archive).
Connectez-vous au portail Azure.
Dans le portail Azure, recherchez et ouvrez Espaces de travail Log Analytics.
Sélectionnez l’espace de travail approprié.
Sous Paramètres, sélectionnez Tables.
Recherchez la table SecurityEvent dans la liste et ouvrez le menu contextuel (...).
Sélectionnez Gérer la table.
Sous Paramètres de conservation des données, entrez les valeurs suivantes.
Champ Valeur Conservation interactive 180 jours Période de rétention totale 3 ans Vérifiez que le graphique de temps indique que la période de conservation à long terme est égale à la période de rétention totale en jours moins la période de rétention interactive en jours. Dans ce cas, 915 jours ou 2,5 ans.
Cliquez sur Enregistrer.
Évaluer les stratégies de rétention interactive et totales
Dans la page Tables de la table que vous avez mise à jour, passez en revue les valeurs des champs pour la Rétention interactive et la Rétention totale.
Nettoyer les ressources
Aucune ressource n’a été créée, mais vous pouvez restaurer les paramètres de conservation des données que vous avez modifiés.
Selon les paramètres définis pour l’ensemble de votre espace de travail, les paramètres mis à jour dans ce tutoriel risquent d’entraîner des frais supplémentaires. Pour éviter ces frais, restaurez les paramètres avec leurs valeurs d’origine.