Gérer des tables dans un espace de travail Log Analytics

Un espace de travail Log Analytics vous permet de collecter des journaux à partir de ressources Azure et non-Azure dans un espace pour l’analyse des données, pour une utilisation par d’autres services, comme Sentinel, et pour déclencher des alertes et des actions, par exemple à l’aide d’Azure Logic Apps. L’espace de travail Log Analytics se compose de tables que vous pouvez configurer pour gérer votre modèle de données et les coûts liés aux journaux. Cet article décrit les options de configuration de table dans Azure Monitor Logs et explique comment définir les propriétés de table en fonction de vos besoins en matière d’analyse des données et de gestion des coûts.

Autorisations requises

Vous devez disposer d’autorisations microsoft.operationalinsights/workspaces/tables/write dans les espaces de travail Log Analytics que vous gérez, comme fourni par le Rôle intégré Contributeur Log Analytics, par exemple.

Propriétés des tables

Ce diagramme fournit une vue d’ensemble des options de configuration de table dans Azure Monitor Logs :

Type de table et schéma

Le schéma d’une table est l’ensemble de colonnes qui composent la table, dans lesquelles Azure Monitor Logs collecte des données de journal à partir d’une ou de plusieurs sources de données.

Votre espace de travail Log Analytics peut contenir les types de tables suivants :

Type de la table	Source de données	schéma
Table Azure	Journaux à partir de ressources Azure ou requis par des services et solutions Azure.	Azure Monitor Logs crée automatiquement des tables Azure en fonction des services Azure que vous utilisez et des paramètres de diagnostic que vous configurez pour des ressources spécifiques. Chaque table Azure a un schéma prédéfini. Vous pouvez ajouter des colonnes à une table Azure pour stocker des données de journal transformées ou enrichir les données de la table Azure avec des données provenant d’une autre source.
Table personnalisée	Ressources non-Azure et toute autre source de données, comme des journaux basés sur des fichiers.	Vous pouvez définir le schéma d’une table personnalisée en fonction de la façon dont vous souhaitez stocker les données que vous collectez à partir d’une source de données spécifique.
Résultats de la recherche	Toutes les données stockées dans un espace de travail Log Analytics.	Le schéma d’une table de résultats de recherche est basé sur la requête que vous définissez lorsque vous exécutez le travail de recherche. Vous ne pouvez pas modifier le schéma de tables de résultats de recherche existantes.
Journaux restaurés	Journaux archivés.	Une table de journaux restaurés a le même schéma que la table à partir de laquelle vous restaurez les journaux. Vous ne pouvez pas modifier le schéma de tables de journaux restaurés existantes.

Plan de données de journal

Configurez le plan de données des journaux d’une table en fonction de la fréquence à laquelle vous accédez aux données de la table :

• Le plan Analytique rend les données de journal disponibles pour des requêtes interactives et pour être utilisées par des fonctionnalités et des services.
• Le plan de données de journal De base offre un moyen peu coûteux d’ingérer et de conserver des journaux à des fins de résolution des problèmes, de débogage, d’audit et de conformité.

Conservation et archivage

L’archivage est une solution à faible coût pour conserver les données que vous n’utilisez plus régulièrement dans votre espace de travail, à des fins de conformité ou d’investigation occasionnelle. Définissez la rétention au niveau de la table pour remplacer la rétention par défaut de l’espace de travail et pour archiver les données au sein de votre espace de travail.

Pour accéder à des données archivées, exécutez un travail de recherche ou restaurez des données pour une période spécifique.

Transformations de la durée d’ingestion

Réduisez les coûts et l’effort d’analyse en utilisant des règles de collecte de données pour filtrer et transformer les données avant l’ingestion en fonction du schéma que vous définissez pour votre table personnalisée.

Afficher les propriétés d’une table

Remarque

Le nom de la table respecte la casse.

Portail

Pour afficher et définir les propriétés d’une table dans le portail Azure :

1. Dans votre espace de travail Log Analytics, sélectionnez Tables.

   L’écran Tables présente les informations de configuration de table pour toutes les tables de votre espace de travail Log Analytics.

   

2. Sélectionnez les points de suspension (...) à droite d’une table pour ouvrir le menu de gestion de table.

   Les options de gestion de table disponibles varient selon le type de table.

   1. Sélectionnez Gérer la table pour modifier les propriétés de la table.

   2. Sélectionnez Modifier le schéma pour afficher et modifier le schéma de la table.

API

Pour afficher les propriétés d’une table, appelez l’API Tables - Obtenir :

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Corps de la demande

Nom	Type	Description
properties.plan	string	Plan de la table. Analytics ou Basic.
properties.retentionInDays	entier	Conservation des données de la table en jours. Dans Basic Logs, la valeur est de 8 jours fixes. Dans Analytics Logs, la valeur est comprise entre quatre et 730 jours.
properties.totalRetentionInDays	entier	Conservation des données de la table qui inclut également la période d’archivage.
properties.archiveRetentionInDays	entier	Période d’archivage de la table (en lecture seule, calculée).
properties.lastPlanModifiedDate	String	Dernière fois que le plan a été défini pour cette table. Null si aucune modification n’a été effectuée par rapport aux paramètres par défaut (lecture seule).

Exemple de requête

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Exemple de réponse

Code d’état : 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Pour définir les propriétés d’une table, appelez l’API Tables - Créer ou mettre à jour.

Azure CLI

Pour afficher les propriétés de table en utilisant Azure CLI, exécutez la commande az monitor log-analytics workspace table show.

Par exemple :

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Pour définir les propriétés d’une table en utilisant Azure CLI, exécutez la commande az monitor log-analytics workspace table update.

PowerShell

Pour afficher les propriétés d’une table en utilisant PowerShell, exécutez :

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Exemple de réponse

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Utilisez l’applet de commande Update-AzOperationalInsightsTable pour définir les propriétés de la table.

Étapes suivantes

Découvrez comment :

• Définir un plan de données de journal d’une table
• Ajouter des tables et des colonnes personnalisées
• Définir la conservation et l’archivage
• Concevoir une architecture d’espace de travail