Zarządzanie tabelami w obszarze roboczym usługi Log Analytics

Obszar roboczy usługi Log Analytics umożliwia zbieranie dzienników z platformy Azure i zasobów spoza platformy Azure w jednym miejscu na potrzeby analizy danych, korzystanie z innych usług, takich jak Sentinel, oraz wyzwalanie alertów i akcji, na przykład przy użyciu usługi Azure Logic Apps. Obszar roboczy usługi Log Analytics składa się z tabel, które można skonfigurować do zarządzania modelem danych i kosztami powiązanymi z dziennikiem. W tym artykule opisano opcje konfiguracji tabeli w dziennikach usługi Azure Monitor oraz sposób ustawiania właściwości tabeli na podstawie potrzeb związanych z analizą danych i zarządzaniem kosztami.

Wymagane uprawnienia

Musisz mieć microsoft.operationalinsights/workspaces/tables/write uprawnienia do obszarów roboczych usługi Log Analytics, którymi zarządzasz, zgodnie z wbudowaną rolą Współautor usługi Log Analytics.

Właściwości tabeli

Ten diagram zawiera omówienie opcji konfiguracji tabeli w dziennikach usługi Azure Monitor:

Typ tabeli i schemat

Schemat tabeli to zestaw kolumn, które tworzą tabelę, w której dzienniki usługi Azure Monitor zbierają dane dziennika z co najmniej jednego źródła danych.

Obszar roboczy usługi Log Analytics może zawierać następujące typy tabel:

Typ tabeli	Źródło danych	Schemat
Tabela platformy Azure	Dzienniki z zasobów platformy Azure lub wymagane przez usługi i rozwiązania platformy Azure.	Dzienniki usługi Azure Monitor automatycznie tworzą tabele platformy Azure na podstawie używanych usług platformy Azure i ustawień diagnostycznych skonfigurowanych dla określonych zasobów. Każda tabela platformy Azure ma wstępnie zdefiniowany schemat. Możesz dodawać kolumny do tabeli platformy Azure w celu przechowywania przekształconych danych dziennika lub wzbogacania danych w tabeli platformy Azure przy użyciu danych z innego źródła.
Tabela niestandardowa	Zasoby spoza platformy Azure i inne źródła danych, takie jak dzienniki oparte na plikach.	Schemat tabeli niestandardowej można zdefiniować na podstawie sposobu przechowywania danych zbieranych z danego źródła danych.
Wyniki wyszukiwania	Wszystkie dane przechowywane w obszarze roboczym usługi Log Analytics.	Schemat tabeli wyników wyszukiwania jest oparty na zapytaniu zdefiniowanym podczas uruchamiania zadania wyszukiwania. Nie można edytować schematu istniejących tabel wyników wyszukiwania.
Przywrócone dzienniki	Zarchiwizowane dzienniki.	Przywrócona tabela dzienników ma ten sam schemat co tabela, z której są przywracane dzienniki. Nie można edytować schematu istniejących przywróconych tabel dzienników.

Plan danych dziennika

Skonfiguruj plan danych dziennika tabeli na podstawie częstotliwości uzyskiwania dostępu do danych w tabeli:

• Plan analizy udostępnia dane dziennika na potrzeby interakcyjnych zapytań i używania ich przez funkcje i usługi.
• Podstawowy plan danych dziennika zapewnia niski koszt pozyskiwania i przechowywania dzienników na potrzeby rozwiązywania problemów, debugowania, inspekcji i zgodności.

Przechowywanie i archiwizowanie

Archiwizowanie to tanie rozwiązanie do przechowywania danych, które nie są już regularnie używane w obszarze roboczym w celu zapewnienia zgodności lub okazjonalnych badań. Ustaw przechowywanie na poziomie tabeli, aby zastąpić domyślne przechowywanie obszaru roboczego i archiwizować dane w obszarze roboczym.

Aby uzyskać dostęp do zarchiwizowanych danych, uruchom zadanie wyszukiwania lub przywróć dane dla określonego zakresu czasu.

Przekształcenia czasu pozyskiwania

Zmniejszenie kosztów i nakładu pracy na analizę przy użyciu reguł zbierania danych w celu filtrowania i przekształcania danych przed pozyskiwaniem na podstawie schematu zdefiniowanego dla tabeli niestandardowej.

Wyświetlanie właściwości tabeli

Uwaga

W nazwie tabeli jest rozróżniana wielkość liter.

Portal

Aby wyświetlić i ustawić właściwości tabeli w witrynie Azure Portal:

1. W obszarze roboczym usługi Log Analytics wybierz pozycję Tabele.

   Na ekranie Tabele przedstawiono informacje o konfiguracji tabeli dla wszystkich tabel w obszarze roboczym usługi Log Analytics.

   

2. Wybierz wielokropek (...) po prawej stronie tabeli, aby otworzyć menu zarządzania tabelami.

   Dostępne opcje zarządzania tabelami różnią się w zależności od typu tabeli.

   1. Wybierz pozycję Zarządzaj tabelą , aby edytować właściwości tabeli.

   2. Wybierz pozycję Edytuj schemat , aby wyświetlić i edytować schemat tabeli.

API

Aby wyświetlić właściwości tabeli, wywołaj tabele — Pobierz interfejs API:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Treść odpowiedzi

Imię i nazwisko/nazwa	Pisz	Opis
properties.plan	string	Plan tabeli. Analytics lub Basic.
properties.retentionInDays	integer	Przechowywanie danych w tabeli w dniach. W Basic Logspliku wartość to osiem dni, stała. W Analytics Logspliku wartość wynosi od czterech do 730 dni.
properties.totalRetentionInDays	integer	Przechowywanie danych w tabeli, które obejmuje również okres archiwum.
properties.archiveRetentionInDays	integer	Okres archiwum tabeli (obliczany tylko do odczytu).
properties.lastPlanModifiedDate	Ciąg	Ostatni raz, kiedy plan został ustawiony dla tej tabeli. Wartość null, jeśli nie wprowadzono żadnych zmian z ustawień domyślnych (tylko do odczytu).

Przykładowe żądanie

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Przykładowa odpowiedź

Kod stanu: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Aby ustawić właściwości tabeli, wywołaj interfejs API Tabele — tworzenie lub aktualizowanie.

Interfejs wiersza polecenia platformy Azure

Aby wyświetlić właściwości tabeli przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom polecenie az monitor log-analytics workspace table show .

Przykład:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Aby ustawić właściwości tabeli przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom polecenie az monitor log-analytics workspace table update .

Program PowerShell

Aby wyświetlić właściwości tabeli przy użyciu programu PowerShell, uruchom polecenie:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Przykładowa odpowiedź

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Użyj polecenia cmdlet Update-AzOperational Szczegółowe informacje Table, aby ustawić właściwości tabeli.

Następne kroki

Instrukcje:

• Ustawianie planu danych dziennika tabeli
• Dodawanie tabel niestandardowych i kolumn
• Ustawianie przechowywania i archiwizacji
• Projektowanie architektury obszaru roboczego