Tabellen beheren in een Log Analytics-werkruimte

Met een Log Analytics-werkruimte kunt u logboeken van Azure- en niet-Azure-resources verzamelen in één ruimte voor gegevensanalyse, door andere services, zoals Sentinel, en waarschuwingen en acties activeren, bijvoorbeeld met behulp van Azure Logic Apps. De Log Analytics-werkruimte bestaat uit tabellen die u kunt configureren voor het beheren van uw gegevensmodel en aan logboek gerelateerde kosten. In dit artikel worden de tabelconfiguratieopties in Azure Monitor-logboeken uitgelegd en wordt uitgelegd hoe u tabeleigenschappen instelt op basis van uw behoeften voor gegevensanalyse en kostenbeheer.

Vereiste machtigingen

U moet bijvoorbeeld machtigingen hebben microsoft.operationalinsights/workspaces/tables/write voor de Log Analytics-werkruimten die u beheert, zoals is opgegeven door de ingebouwde rol Log Analytics-inzender.

Tabeleigenschappen

Dit diagram biedt een overzicht van de tabelconfiguratieopties in Azure Monitor-logboeken:

Tabeltype en schema

Het schema van een tabel is de set kolommen waaruit de tabel bestaat, waarin Azure Monitor-logboeken logboekgegevens uit een of meer gegevensbronnen verzamelen.

Uw Log Analytics-werkruimte kan de volgende typen tabellen bevatten:

Tabeltype	Gegevensbron	Schema
Azure-tabel	Logboeken van Azure-resources of vereist voor Azure-services en -oplossingen.	Azure Monitor-logboeken maken automatisch Azure-tabellen op basis van Azure-services die u gebruikt en diagnostische instellingen die u configureert voor specifieke resources. Elke Azure-tabel heeft een vooraf gedefinieerd schema. U kunt kolommen toevoegen aan een Azure-tabel om getransformeerde logboekgegevens op te slaan of gegevens in de Azure-tabel te verrijken met gegevens uit een andere bron.
Aangepaste tabel	Niet-Azure-resources en andere gegevensbronnen, zoals logboeken op basis van bestanden.	U kunt het schema van een aangepaste tabel definiëren op basis van hoe u gegevens wilt opslaan die u verzamelt uit een bepaalde gegevensbron.
Zoekresultaten	Alle gegevens die zijn opgeslagen in een Log Analytics-werkruimte.	Het schema van een tabel met zoekresultaten is gebaseerd op de query die u definieert wanneer u de zoektaak uitvoert. U kunt het schema van bestaande tabellen met zoekresultaten niet bewerken.
Herstelde logboeken	Gearchiveerde logboeken.	Een tabel met herstelde logboeken heeft hetzelfde schema als de tabel waaruit u logboeken herstelt. U kunt het schema van bestaande herstelde logboektabellen niet bewerken.

Logboekgegevensplan

Configureer het logboekgegevensplan van een tabel op basis van hoe vaak u toegang hebt tot de gegevens in de tabel:

• Het Analytics-plan maakt logboekgegevens beschikbaar voor interactieve query's en wordt gebruikt door functies en services.
• Het basisgegevensplan voor logboeken biedt een voordelige manier om logboeken op te nemen en te bewaren voor probleemoplossing, foutopsporing, controle en naleving.

Bewaren en archiveren

Archiveren is een voordelige oplossing voor het bewaren van gegevens die u niet meer regelmatig in uw werkruimte gebruikt voor naleving of incidenteel onderzoek. Stel retentie op tabelniveau in om de standaardretentie van werkruimten te overschrijven en gegevens in uw werkruimte te archiveren.

Als u toegang wilt krijgen tot gearchiveerde gegevens, voert u een zoektaak uit of herstelt u gegevens voor een specifiek tijdsbereik.

Opnametijdtransformaties

Verminder de kosten en analyse door gegevensverzamelingsregels te gebruiken om gegevens uit te filteren en te transformeren voordat u gegevens opneemt op basis van het schema dat u definieert voor uw aangepaste tabel.

Tabeleigenschappen weergeven

Notitie

De tabelnaam is hoofdlettergevoelig.

Portal

Tabeleigenschappen weergeven en instellen in Azure Portal:

1. Selecteer Tabellen in uw Log Analytics-werkruimte.

   Het scherm Tabellen bevat informatie over tabelconfiguratie voor alle tabellen in uw Log Analytics-werkruimte.

   

2. Selecteer het beletselteken (...) rechts van een tabel om het menu Tabelbeheer te openen.

   De beschikbare opties voor tabelbeheer variëren op basis van het tabeltype.

   1. Selecteer Tabel beheren om de tabeleigenschappen te bewerken.

   2. Selecteer Schema bewerken om het tabelschema weer te geven en te bewerken.

API

Als u tabeleigenschappen wilt weergeven, roept u de tabellen - API ophalen aan:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Hoofdtekst van antwoord

Naam	Type	Omschrijving
properties.plan	tekenreeks	Het tabelplan. Analytics of Basic.
properties.retentionInDays	geheel getal	De gegevensretentie van de tabel in dagen. In Basic Logs, de waarde is acht dagen, vast. In Analytics Logs, de waarde is tussen vier en 730 dagen.
properties.totalRetentionInDays	geheel getal	De gegevensretentie van de tabel die ook de archiefperiode omvat.
properties.archiveRetentionInDays	geheel getal	De archiefperiode van de tabel (alleen-lezen, berekend).
properties.lastPlanModifiedDate	String	De laatste keer dat het plan voor deze tabel is ingesteld. Null als er ooit geen wijziging is uitgevoerd vanuit de standaardinstellingen (alleen-lezen).

Voorbeeldaanvraag

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Voorbeeldrespons

Statuscode: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Als u tabeleigenschappen wilt instellen, roept u de Tabellen - API maken of bijwerken aan.

Azure-CLI

Als u tabeleigenschappen wilt weergeven met behulp van Azure CLI, voert u de opdracht az monitor log-analytics workspace table show uit.

Bijvoorbeeld:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Als u tabeleigenschappen wilt instellen met behulp van Azure CLI, voert u de opdracht az monitor log-analytics workspace table update uit.

PowerShell

Als u tabeleigenschappen wilt weergeven met Behulp van PowerShell, voert u het volgende uit:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Voorbeeldrespons

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Gebruik de cmdlet Update-AzOperationalInsightsTable om tabeleigenschappen in te stellen.

Volgende stappen

Leer hoe u het volgende doet:

• Het logboekgegevensplan van een tabel instellen
• Aangepaste tabellen en kolommen toevoegen
• Bewaar- en archiefinstellingen instellen
• Een werkruimtearchitectuur ontwerpen