Logboeken herstellen in Azure Monitor

De herstelbewerking maakt een specifiek tijdsbereik van gegevens in een tabel beschikbaar in de hot-cache voor query's met hoge prestaties. In dit artikel wordt beschreven hoe u gegevens herstelt, query's uitvoert op die gegevens en vervolgens de gegevens sluit wanneer u klaar bent.

Machtigingen

Als u gegevens uit een gearchiveerde tabel wilt herstellen, hebt u de Log Analytics-werkruimte en machtigingen nodig Microsoft.OperationalInsights/workspaces/tables/writeMicrosoft.OperationalInsights/workspaces/restoreLogs/write , bijvoorbeeld die zijn opgegeven door de ingebouwde rol Log Analytics-inzender.

Logboeken herstellen

Gebruik de herstelbewerking om query's uit te voeren op gegevens in gearchiveerde logboeken. U kunt de herstelbewerking ook gebruiken om krachtige query's uit te voeren binnen een bepaald tijdsbereik op een Analytics-tabel wanneer de logboekquery's die u uitvoert op de brontabel, niet kunnen worden voltooid binnen de time-out van de logboekquery van 10 minuten.

Notitie

Herstellen is één methode voor toegang tot gearchiveerde gegevens. Gebruik herstel om query's uit te voeren op een set gegevens binnen een bepaald tijdsbereik. Gebruik zoektaken om toegang te krijgen tot gegevens op basis van specifieke criteria.

Wat doet een herstelopdracht?

Wanneer u gegevens herstelt, geeft u de brontabel op die de gegevens bevat die u wilt opvragen en de naam van de nieuwe doeltabel die moet worden gemaakt.

Met de herstelbewerking maakt u de hersteltabel en wijst u extra rekenresources toe voor het uitvoeren van query's op de herstelde gegevens met behulp van query's met hoge prestaties die volledige KQL ondersteunen.

De doeltabel biedt een weergave van de onderliggende brongegevens, maar heeft geen invloed op deze gegevens. De tabel heeft geen bewaarinstelling en u moet de herstelde gegevens expliciet sluiten wanneer u deze niet meer nodig hebt.

Gegevens terugzetten

API

Als u gegevens uit een tabel wilt herstellen, roept u de Tabellen - API maken of bijwerken aan. De naam van de doeltabel moet eindigen op _RST.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{user defined name}_RST?api-version=2021-12-01-preview

Aanvraagbody

De hoofdtekst van de aanvraag moet de volgende waarden bevatten:

Name	Type	Description
properties.restoredLogs.sourceTable	tekenreeks	Tabel met de gegevens die u wilt herstellen.
properties.restoredLogs.startRestoreTime	tekenreeks	Begin van het tijdsbereik dat moet worden hersteld.
properties.restoredLogs.endRestoreTime	tekenreeks	Einde van het tijdsbereik dat moet worden hersteld.

Tabelstatus herstellen

De eigenschap provisioningState geeft de huidige status van de hersteltabelbewerking aan. De API retourneert deze eigenschap wanneer u de herstelbewerking start en u kunt deze eigenschap later ophalen met behulp van een GET-bewerking in de tabel. De eigenschap provisioningState heeft een van de volgende waarden:

Weergegeven als	Beschrijving
Bijwerken	Herstelbewerking wordt uitgevoerd.
Geslaagd	De herstelbewerking is voltooid.
Verwijderen	De herstelde tabel verwijderen.

Voorbeeldaanvraag

In dit voorbeeld worden gegevens uit de maand januari 2020 uit de tabel Gebruik hersteld naar een tabel met de naam Usage_RST.

Aanvragen

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Usage_RST?api-version=2021-12-01-preview

Aanvraagbody:

{
    "properties":  {
    "restoredLogs":  {
                      "startRestoreTime":  "2020-01-01T00:00:00Z",
                      "endRestoreTime":  "2020-01-31T00:00:00Z",
                      "sourceTable":  "Usage"
    }
  }
}

CLI

Als u gegevens uit een tabel wilt herstellen, voert u de opdracht az monitor log-analytics workspace table restore create uit .

Voorbeeld:

az monitor log-analytics workspace table restore create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name Heartbeat_RST --restore-source-table Heartbeat --start-restore-time "2022-01-01T00:00:00.000Z" --end-restore-time "2022-01-08T00:00:00.000Z" --no-wait

Herstelde gegevens opvragen

Herstelde logboeken behouden hun oorspronkelijke tijdstempels. Wanneer u een query uitvoert op herstelde logboeken, stelt u het tijdsbereik van de query in op basis van het tijdstip waarop de gegevens oorspronkelijk zijn gegenereerd.

Stel het tijdsbereik van de query in op:

• Selecteer Aangepast in de vervolgkeuzelijst Tijdsbereik bovenaan de queryeditor en stel waarden van en naar in.
  
  or

• Het tijdsbereik in de query opgeven. Voorbeeld:

  let startTime =datetime(01/01/2022 8:00:00 PM);
  let endTime =datetime(01/05/2022 8:00:00 PM);
  TableName_RST
  | where TimeGenerated between(startTime .. endTime)
  

Herstelde gegevens sluiten

Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen om herstelde gegevens te verwijderen wanneer u deze niet meer nodig hebt.

Als u de herstelde tabel verwijdert, worden de gegevens in de brontabel niet verwijderd.

Notitie

Herstelde gegevens zijn beschikbaar zolang de onderliggende brongegevens beschikbaar zijn. Wanneer u de brontabel verwijdert uit de werkruimte of wanneer de bewaarperiode van de brontabel afloopt, worden de gegevens uit de herstelde tabel verwijderd. De lege tabel blijft echter behouden als u deze niet expliciet verwijdert.

Beperkingen

Herstellen is onderhevig aan de volgende beperkingen.

U kunt:

• Gegevens herstellen uit een periode van ten minste twee dagen.

• Herstel tot 60 TB.

• Voer gelijktijdig twee herstelprocessen in een werkruimte uit.

• Voer op een bepaald moment slechts één actieve herstelbewerking uit op een specifieke tabel. Het uitvoeren van een tweede herstelbewerking op een tabel die al een actief herstel heeft, mislukt.

• Voer maximaal vier herstelbewerkingen per tabel per week uit.

Prijsmodel

De kosten voor herstelde logboeken zijn gebaseerd op het aantal gegevens dat u herstelt en de duur waarvoor de herstelbewerking actief is. Gegevensherstel wordt gefactureerd op elke UTC-dag dat de herstelbewerking actief is.

• Kosten zijn onderhevig aan een minimaal hersteld gegevensvolume van 2 TB per herstel. Als u minder gegevens herstelt, worden er elke dag kosten in rekening gebracht voor het minimum van 2 TB totdat de herstelbewerking wordt gesloten.

• Op de eerste en laatste dagen dat de herstelbewerking actief is, worden de kosten naar rato berekend op basis van de periode dat de herstelbewerking actief is.

• De minimale kosten zijn voor een herstelduur van 12 uur, zelfs als de herstelbewerking gedurende minder dan 12 uur actief is.

• Zie prijzen voor Azure Monitor voor meer informatie.

Als uw tabel bijvoorbeeld 500 GB per dag bevat en u 10 dagen gegevens uit die tabel herstelt, worden er elke dag 5 TB herstelde gegevens in rekening gebracht totdat u de herstelde gegevens verwijdert.

Notitie

Er worden geen kosten in rekening gebracht voor het uitvoeren van query's op herstelde logboeken omdat het Analytics-logboeken zijn.

Volgende stappen

• Meer informatie over het bewaren en archiveren van gegevens.
• Meer informatie over zoektaken. Dit is een andere methode voor het ophalen van gearchiveerde gegevens.