Tabellen beheren in een Log Analytics-werkruimte

Met een Log Analytics-werkruimte kunt u logboekgegevens verzamelen van Azure- en niet-Azure-resources in één ruimte voor analyse, die worden gebruikt door andere services, zoals Sentinel, en om waarschuwingen en acties te activeren, bijvoorbeeld met behulp van Azure Logic Apps. De Log Analytics-werkruimte bestaat uit tabellen, die u kunt configureren voor het beheren van uw gegevensmodel, gegevenstoegang en aan logboek gerelateerde kosten. In dit artikel worden de tabelconfiguratieopties in Azure Monitor-logboeken uitgelegd en wordt uitgelegd hoe u tabeleigenschappen instelt op basis van uw behoeften voor gegevensanalyse en kostenbeheer.

Tabeleigenschappen

Dit diagram biedt een overzicht van de tabelconfiguratieopties in Azure Monitor-logboeken:

Tabeltype en schema

Het schema van een tabel is de set kolommen waaruit de tabel bestaat, waarin Azure Monitor-logboeken logboekgegevens uit een of meer gegevensbronnen verzamelen.

Uw Log Analytics-werkruimte kan de volgende typen tabellen bevatten:

Tabeltype	Gegevensbron	Schema
Azure-tabel	Logboeken van Azure-resources of vereist voor Azure-services en -oplossingen.	Azure Monitor-logboeken maken automatisch Azure-tabellen op basis van Azure-services die u gebruikt en diagnostische instellingen die u configureert voor specifieke resources. Elke Azure-tabel heeft een vooraf gedefinieerd schema. U kunt kolommen toevoegen aan een Azure-tabel om getransformeerde logboekgegevens op te slaan of gegevens in de Azure-tabel te verrijken met gegevens uit een andere bron.
Aangepaste tabel	Niet-Azure-resources en andere gegevensbronnen, zoals logboeken op basis van bestanden.	U kunt het schema van een aangepaste tabel definiëren op basis van hoe u gegevens wilt opslaan die u verzamelt uit een bepaalde gegevensbron.
Zoekresultaten	Alle gegevens die zijn opgeslagen in een Log Analytics-werkruimte.	Het schema van een tabel met zoekresultaten is gebaseerd op de query die u definieert wanneer u de zoektaak uitvoert. U kunt het schema van bestaande tabellen met zoekresultaten niet bewerken.
Herstelde logboeken	Gegevens die zijn opgeslagen in een specifieke tabel in een Log Analytics-werkruimte.	Een tabel met herstelde logboeken heeft hetzelfde schema als de tabel waaruit u logboeken herstelt. U kunt het schema van bestaande herstelde logboektabellen niet bewerken.

Tabelplan

Configureer het plan van een tabel op basis van hoe vaak u toegang hebt tot de gegevens in de tabel:

• Het analyseplan is geschikt voor continue bewaking, realtime detectie en prestatieanalyse. Dit plan maakt logboekgegevens beschikbaar voor interactieve query's met meerdere tabellen en wordt gedurende 30 dagen tot twee jaar gebruikt door functies en services.
• Het Basic-plan is geschikt voor het oplossen van problemen en het reageren op incidenten. Dit abonnement biedt 30 dagen korting op opname en geoptimaliseerde query's met één tabel.
• Het hulpplan is geschikt voor gegevens met weinig aanraking, zoals uitgebreide logboeken en gegevens die nodig zijn voor controle en naleving. Dit plan biedt 30 dagen voordelige opname- en niet-geoptimaliseerde query's met één tabel.

Zie Azure Monitor-logboeken: tabelplannen voor volledige informatie over Azure Monitor-logboeken.

Langetermijnretentie

Langetermijnretentie is een goedkope oplossing voor het bewaren van gegevens die u niet regelmatig in uw werkruimte gebruikt voor naleving of incidenteel onderzoek. Gebruik bewaarinstellingen op tabelniveau om langetermijnretentie toe te voegen of uit te breiden.

Voer een zoektaak uit om toegang te krijgen tot gegevens in langetermijnretentie.

Opnametijdtransformaties

Verminder de kosten en analyse door gegevensverzamelingsregels te gebruiken om gegevens uit te filteren en te transformeren voordat u gegevens opneemt op basis van het schema dat u definieert voor uw aangepaste tabel.

Notitie

Tabellen met het hulptabelplan ondersteunen momenteel geen gegevenstransformatie. Zie Beperkingen voor openbare preview-versie van hulptabelabonnementen voor meer informatie.

Tabeleigenschappen weergeven

Notitie

De tabelnaam is hoofdlettergevoelig.

Portal

Tabeleigenschappen weergeven en instellen in Azure Portal:

1. Selecteer Tabellen in uw Log Analytics-werkruimte.

   Het scherm Tabellen bevat informatie over tabelconfiguratie voor alle tabellen in uw Log Analytics-werkruimte.

   

2. Selecteer het beletselteken (...) rechts van een tabel om het menu Tabelbeheer te openen.

   De beschikbare opties voor tabelbeheer variëren op basis van het tabeltype.

   1. Selecteer Tabel beheren om de tabeleigenschappen te bewerken.

   2. Selecteer Schema bewerken om het tabelschema weer te geven en te bewerken.

API

Als u tabeleigenschappen wilt weergeven, roept u de tabellen - API ophalen aan:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Hoofdtekst van antwoord

Name	Type	Description
properties.plan	tekenreeks	Het tabelplan. Analytics, of BasicAuxiliary.
properties.retentionInDays	geheel getal	De interactieve bewaarperiode van de tabel in dagen. Voor Basic en Auxiliiary, deze waarde is 30 dagen. Voor Analyticsis de waarde tussen vier en 730 dagen.
properties.totalRetentionInDays	geheel getal	De totale gegevensretentie van de tabel, inclusief interactieve en langetermijnretentie.
properties.archiveRetentionInDays	geheel getal	De langetermijnretentieperiode van de tabel (alleen-lezen, berekend).
properties.lastPlanModifiedDate	String	De laatste keer dat het plan voor deze tabel is ingesteld. Null als er ooit geen wijziging is uitgevoerd vanuit de standaardinstellingen (alleen-lezen).

Voorbeeldaanvraag

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Voorbeeldrespons

Statuscode: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Als u tabeleigenschappen wilt instellen, roept u de Tabellen - API maken of bijwerken aan.

Azure-CLI

Als u tabeleigenschappen wilt weergeven met behulp van Azure CLI, voert u de opdracht az monitor log-analytics workspace table show uit.

Voorbeeld:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Als u tabeleigenschappen wilt instellen met behulp van Azure CLI, voert u de opdracht az monitor log-analytics workspace table update uit.

Powershell

Als u tabeleigenschappen wilt weergeven met Behulp van PowerShell, voert u het volgende uit:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Voorbeeldrespons

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Gebruik de cmdlet Update-AzOperationalInsightsTable om tabeleigenschappen in te stellen.

Volgende stappen

Leer hoe u het volgende doet:

• Het logboekgegevensplan van een tabel instellen
• Aangepaste tabellen en kolommen toevoegen
• Gegevensretentie configureren
• Een werkruimtearchitectuur ontwerpen