Delen via

Zelfstudie: Een beleid voor gegevensretentie configureren voor een tabel in een Log Analytics-werkruimte

  • Artikel

In deze zelfstudie stelt u een bewaarbeleid in voor een tabel in uw Log Analytics-werkruimte die u gebruikt voor Microsoft Sentinel of Azure Monitor. Met deze stappen kunt u oudere, minder gebruikte gegevens in uw werkruimte bewaren tegen lagere kosten.

Bewaarbeleid in een Log Analytics-werkruimte bepaalt wanneer gegevens in de werkruimte moeten worden verwijderd of gearchiveerd. Standaard nemen alle tabellen in uw werkruimte de interactieve bewaarinstelling van de werkruimte over en hebben ze geen archiefbeleid. U kunt het bewaar- en archiefbeleid van afzonderlijke tabellen wijzigen, met uitzondering van werkruimten in de verouderde prijscategorie Gratis proefversie.

In deze zelfstudie leert u het volgende:

  • Het bewaarbeleid voor een tabel instellen
  • Beleid voor gegevensretentie en archief controleren

Vereisten

Als u de stappen in deze zelfstudie wilt voltooien, moet u over de volgende resources en rollen beschikken.

  • Azure-account met een actief abonnement. Gratis een account maken

  • Azure-account met de volgende rollen:

    Ingebouwde rol Bereik Reden
    Log Analytics-inzender - Abonnement en/of
    - Resourcegroep en/of
    - Tabel    		 Bewaarbeleid instellen voor tabellen in Log Analytics

  • Log Analytics-werkruimte.

Het bewaarbeleid voor een tabel instellen

Schakel in uw Log Analytics-werkruimte de instelling De werkruimte overnemen uit, zodat de interactieve bewaarperiode is vastgesteld op 30 dagen. Wijzig vervolgens het totale bewaarbeleid voor een tabel zoals SecurityEvents om 30 dagen aan gegevens te archiveren.

  1. Meld u aan bij de Azure-portal.

  2. Zoek en open Log Analytics-werkruimten in de Azure Portal.

  3. Selecteer de juiste werkruimte.

  4. Selecteer onder Instellingende optie Tabellen.

  5. Open in een tabel zoals SecurityEvent het contextmenu (...).

  6. Selecteer Tabel beheren. Schermopname van de optie Tabel beheren in het contextmenu voor een tabel in de tabelweergave.

  7. Voer onder Gegevensretentie de volgende waarden in.

    Veld Waarde
    Werkplekinstellingen Schakel het selectievakje uit
    Interactieve retentie 30 dagen
    Totale bewaarperiode 60 dagen

    Schermopname van de instellingen voor gegevensretentie met de wijzigingen in de velden onder de sectie gegevensretentie.

  8. Selecteer Opslaan.

Beleid voor gegevensretentie en archief controleren

Controleer op de pagina Tabellen voor de tabel die u hebt bijgewerkt de veldwaarden voor Interactieve retentie en Archiefperiode. De archiefperiode is gelijk aan de totale bewaarperiode in dagen minus de interactieve retentie in dagen. U stelt bijvoorbeeld de volgende waarden in:

Veld Waarde
Interactieve retentie 30 dagen
Totale bewaarperiode 60 dagen

Op de pagina Tabel wordt dus de volgende archiefperiode van 30 dagen weergegeven.

Schermopname van de tabelweergave met de kolommen interactieve retentie en archiefperiode.

Resources opschonen

Er zijn geen resources gemaakt, maar mogelijk wilt u de instellingen voor gegevensretentie herstellen die u hebt gewijzigd.

Volgende stappen

Gegevensretentie en archiefbeleid configureren in Azure Monitor-logboeken