Mengonfigurasi Log
Ada tiga jenis log utama di Microsoft Sentinel:
- Analytics Logs
- Log Dasar
- Log Arsip
Data di setiap tabel di ruang kerja Log Analytics disimpan untuk jangka waktu tertentu setelah dihapus atau diarsipkan dengan biaya retensi yang dikurangi. Atur waktu retensi untuk menyeimbangkan kebutuhan Anda agar data tersedia dengan mengurangi biaya untuk retensi data.
Untuk mengakses data yang diarsipkan, Anda harus terlebih dahulu mengambil data dari arsip dalam tabel Log Analytics menggunakan salah satu metode berikut:
- Tugas Pencarian
- Pulihkan
Log Analitis
Secara default, semua tabel di ruang kerja berjenis Log Analitik, yang tersedia untuk semua fitur ruang kerja Analitik Log dan layanan lain yang menggunakan ruang kerja.
Log Dasar
Anda dapat mengonfigurasi tabel tertentu sebagai Log Dasar untuk mengurangi biaya penyimpanan log verbose bervolume tinggi yang Anda gunakan untuk penelusuran kesalahan, pemecahan masalah, dan audit, tetapi tidak untuk analitik dan peringatan. Tabel yang dikonfigurasi untuk Log Dasar memiliki biaya penyerapan yang lebih rendah dengan imbalan fitur yang dikurangi. Log dasar hanya disimpan selama 8 hari.
Batas bahasa KQL
Kueri terhadap Log Dasar dioptimalkan untuk pengambilan data sederhana menggunakan subset bahasa KQL, termasuk operator berikut:
- lokasi
- perpanjang
- proyek
- project-away
- project-keep
- project-rename
- project-reorder
- Mengurai
- parse-where
KQL berikut tidak didukung:
- join
- penyatuan
- agregat (ringkas)
Tabel mendukung Log Dasar
Semua tabel di Log Analytics Anda adalah tabel Analytics, secara default. Anda dapat mengonfigurasi tabel tertentu untuk menggunakan Basic Logs. Anda tidak dapat mengonfigurasi tabel untuk Basic Logs jika Azure Monitor mengandalkan tabel tersebut untuk fitur tertentu.
Saat ini Anda dapat mengonfigurasi tabel berikut untuk Basic Logs:
- Semua tabel yang dibuat dengan API log kustom berbasis Aturan Pengumpulan Data (DCR) .
- ContainerLogV2, yang digunakan wawasan kontainer dan yang menyertakan catatan log berbasis teks berlebihan.
- AppTraces, yang berisi rekaman log bentuk bebas untuk pelacakan aplikasi di Application Insights.
Catatan
Log Dasar saat ini sedang dalam Pratinjau. Dokumentasi tabel yang didukung/memenuhi syarat akan diperbarui dengan informasi saat ini saat fitur Tersedia Secara Umum.
Mengonfigurasi jenis log
Untuk menyesuaikan jenis log untuk tabel yang memenuhi syarat, pilih pengaturan ruang kerja di area Pengaturan Microsoft Sentinel.
Layar berikutnya ada di portal Analitik Log.
- Pilih tab "Tabel".
- Pilih tabel kemudian ... di akhir baris.
- Pilih Kelola tabel
- Ubah paket Tabel.
- Pilih Simpan
Log Arsip
Pengarsipan memungkinkan Anda menyimpan data yang lebih lama dan kurang digunakan di ruang kerja dengan biaya lebih rendah. Setiap ruang kerja memiliki kebijakan retensi default yang diterapkan ke semua tabel. Anda dapat mengatur kebijakan retensi yang berbeda pada tabel individual.
Selama periode retensi interaktif, data tersedia untuk pemantauan, pemecahan masalah, dan analitik. Saat Anda tidak lagi menggunakan log, tetapi masih perlu menyimpan data untuk kepatuhan atau penyelidikan sesekali, arsipkan log untuk menghemat biaya. Anda dapat mengakses data yang diarsipkan dengan menjalankan pekerjaan pencarian atau memulihkan log yang diarsipkan.
Mengonfigurasi retensi tabel
Untuk menyesuaikan hari retensi untuk tabel, pilih pengaturan ruang kerja di area Pengaturan Microsoft Sentinel.
Layar berikutnya ada di portal Analitik Log.
- Pilih tab "Tabel".
- Pilih tabel kemudian ... di akhir baris.
- Pilih Kelola tabel
- Ubah Total periode retensi.
- Pilih Simpan