Zelfstudie: Een beleid voor gegevensretentie configureren voor een tabel in een Log Analytics-werkruimte
In deze zelfstudie stelt u een bewaarbeleid in voor een tabel in uw Log Analytics-werkruimte die u gebruikt voor Microsoft Sentinel of Azure Monitor. Met deze stappen kunt u oudere, minder gebruikte gegevens in uw werkruimte bewaren tegen lagere kosten.
Bewaarbeleid in een Log Analytics-werkruimte bepaalt wanneer gegevens in de werkruimte moeten worden verwijderd of gearchiveerd. Standaard nemen alle tabellen in uw werkruimte de interactieve bewaarinstelling van de werkruimte over en hebben ze geen archiefbeleid. U kunt het bewaar- en archiefbeleid van afzonderlijke tabellen wijzigen, met uitzondering van werkruimten in de verouderde prijscategorie Gratis proefversie.
In deze zelfstudie leert u het volgende:
- Het bewaarbeleid voor een tabel instellen
- Beleid voor gegevensretentie en archief controleren
Vereisten
Als u de stappen in deze zelfstudie wilt voltooien, moet u over de volgende resources en rollen beschikken.
Azure-account met een actief abonnement. Gratis een account maken
Azure-account met de volgende rollen:
Ingebouwde rol Bereik Reden Log Analytics-inzender - Abonnement en/of
- Resourcegroep en/of
- TabelBewaarbeleid instellen voor tabellen in Log Analytics Log Analytics-werkruimte.
Het bewaarbeleid voor een tabel instellen
Schakel in uw Log Analytics-werkruimte de instelling De werkruimte overnemen uit, zodat de interactieve bewaarperiode is vastgesteld op 30 dagen. Wijzig vervolgens het totale bewaarbeleid voor een tabel zoals SecurityEvents om 30 dagen aan gegevens te archiveren.
Meld u aan bij de Azure-portal.
Zoek en open Log Analytics-werkruimten in de Azure Portal.
Selecteer de juiste werkruimte.
Selecteer onder Instellingende optie Tabellen.
Open in een tabel zoals SecurityEvent het contextmenu (...).
Selecteer Tabel beheren.
Voer onder Gegevensretentie de volgende waarden in.
Veld Waarde Werkplekinstellingen Schakel het selectievakje uit Interactieve retentie 30 dagen Totale bewaarperiode 60 dagen Selecteer Opslaan.
Beleid voor gegevensretentie en archief controleren
Controleer op de pagina Tabellen voor de tabel die u hebt bijgewerkt de veldwaarden voor Interactieve retentie en Archiefperiode. De archiefperiode is gelijk aan de totale bewaarperiode in dagen minus de interactieve retentie in dagen. U stelt bijvoorbeeld de volgende waarden in:
Veld | Waarde |
---|---|
Interactieve retentie | 30 dagen |
Totale bewaarperiode | 60 dagen |
Op de pagina Tabel wordt dus de volgende archiefperiode van 30 dagen weergegeven.
Resources opschonen
Er zijn geen resources gemaakt, maar mogelijk wilt u de instellingen voor gegevensretentie herstellen die u hebt gewijzigd.