Zarządzanie tabelami w obszarze roboczym usługi Log Analytics

Obszar roboczy usługi Log Analytics umożliwia zbieranie danych dzienników z platformy Azure i zasobów spoza platformy Azure w jednym miejscu na potrzeby analizy, korzystanie z innych usług, takich jak Sentinel, oraz wyzwalanie alertów i akcji, na przykład przy użyciu usługi Azure Logic Apps. Obszar roboczy usługi Log Analytics składa się z tabel, które można skonfigurować do zarządzania modelem danych, dostępem do danych i kosztami powiązanymi z dziennikiem. W tym artykule opisano opcje konfiguracji tabeli w dziennikach usługi Azure Monitor oraz sposób ustawiania właściwości tabeli na podstawie potrzeb związanych z analizą danych i zarządzaniem kosztami.

Właściwości tabeli

Ten diagram zawiera omówienie opcji konfiguracji tabeli w dziennikach usługi Azure Monitor:

Typ tabeli i schemat

Schemat tabeli to zestaw kolumn, które tworzą tabelę, w której dzienniki usługi Azure Monitor zbierają dane dziennika z co najmniej jednego źródła danych.

Obszar roboczy usługi Log Analytics może zawierać następujące typy tabel:

Typ tabeli	Źródło danych	Schemat
Tabela platformy Azure	Dzienniki z zasobów platformy Azure lub wymagane przez usługi i rozwiązania platformy Azure.	Dzienniki usługi Azure Monitor automatycznie tworzą tabele platformy Azure na podstawie używanych usług platformy Azure i ustawień diagnostycznych skonfigurowanych dla określonych zasobów. Każda tabela platformy Azure ma wstępnie zdefiniowany schemat. Możesz dodawać kolumny do tabeli platformy Azure w celu przechowywania przekształconych danych dziennika lub wzbogacania danych w tabeli platformy Azure przy użyciu danych z innego źródła.
Tabela niestandardowa	Zasoby spoza platformy Azure i inne źródła danych, takie jak dzienniki oparte na plikach.	Schemat tabeli niestandardowej można zdefiniować na podstawie sposobu przechowywania danych zbieranych z danego źródła danych.
Wyniki wyszukiwania	Wszystkie dane przechowywane w obszarze roboczym usługi Log Analytics.	Schemat tabeli wyników wyszukiwania jest oparty na zapytaniu zdefiniowanym podczas uruchamiania zadania wyszukiwania. Nie można edytować schematu istniejących tabel wyników wyszukiwania.
Przywrócone dzienniki	Dane przechowywane w określonej tabeli w obszarze roboczym usługi Log Analytics.	Przywrócona tabela dzienników ma ten sam schemat co tabela, z której są przywracane dzienniki. Nie można edytować schematu istniejących przywróconych tabel dzienników.

Plan tabeli

Skonfiguruj plan tabeli na podstawie częstotliwości uzyskiwania dostępu do danych w tabeli:

• Plan analizy jest odpowiedni do ciągłego monitorowania, wykrywania w czasie rzeczywistym i analizy wydajności. Ten plan udostępnia dane dziennika dla interakcyjnych zapytań obejmujących wiele tabel i używają ich przez funkcje i usługi przez 30 dni do dwóch lat.
• Plan podstawowy jest odpowiedni do rozwiązywania problemów i reagowania na zdarzenia. Ten plan oferuje obniżone pozyskiwanie i zoptymalizowane zapytania z jedną tabelą przez 30 dni.
• Plan pomocniczy jest odpowiedni dla danych o niskim dotknięciu, takich jak pełne dzienniki i dane wymagane do inspekcji i zgodności. Ten plan oferuje niskie koszty pozyskiwania i niezoptymalizowane zapytania z jedną tabelą przez 30 dni.

Aby uzyskać szczegółowe informacje na temat planów tabel dzienników usługi Azure Monitor, zobacz Dzienniki usługi Azure Monitor: plany tabel.

Długoterminowe przechowywanie

Długoterminowe przechowywanie to tanie rozwiązanie do przechowywania danych, które nie są regularnie używane w obszarze roboczym w celu zapewnienia zgodności ani okazjonalnych badań. Użyj ustawień przechowywania na poziomie tabeli, aby dodać lub przedłużyć długoterminowe przechowywanie.

Aby uzyskać dostęp do danych w długoterminowym przechowywaniu, uruchom zadanie wyszukiwania.

Przekształcenia czasu pozyskiwania

Zmniejszenie kosztów i nakładu pracy na analizę przy użyciu reguł zbierania danych w celu filtrowania i przekształcania danych przed pozyskiwaniem na podstawie schematu zdefiniowanego dla tabeli niestandardowej.

Uwaga

Tabele z planem tabeli pomocniczej nie obsługują obecnie przekształcania danych. Aby uzyskać więcej informacji, zobacz Temat Ograniczenia publicznej wersji zapoznawczej planu tabeli pomocniczej.

Wyświetlanie właściwości tabeli

Uwaga

W nazwie tabeli jest rozróżniana wielkość liter.

Portal

Aby wyświetlić i ustawić właściwości tabeli w witrynie Azure Portal:

1. W obszarze roboczym usługi Log Analytics wybierz pozycję Tabele.

   Na ekranie Tabele przedstawiono informacje o konfiguracji tabeli dla wszystkich tabel w obszarze roboczym usługi Log Analytics.

   

2. Wybierz wielokropek (...) po prawej stronie tabeli, aby otworzyć menu zarządzania tabelami.

   Dostępne opcje zarządzania tabelami różnią się w zależności od typu tabeli.

   1. Wybierz pozycję Zarządzaj tabelą , aby edytować właściwości tabeli.

   2. Wybierz pozycję Edytuj schemat , aby wyświetlić i edytować schemat tabeli.

API

Aby wyświetlić właściwości tabeli, wywołaj tabele — Pobierz interfejs API:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Treść odpowiedzi

Nazwisko	Pisz	Opis
properties.plan	string	Plan tabeli. Analytics, Basiclub Auxiliary.
properties.retentionInDays	integer	Interakcyjne przechowywanie tabeli w dniach. W przypadku Basic wartości i Auxiliiaryta wartość to 30 dni. W przypadku Analyticsparametru wartość wynosi od czterech do 730 dni.
properties.totalRetentionInDays	integer	Łączne przechowywanie danych w tabeli, w tym przechowywanie interakcyjne i długoterminowe.
properties.archiveRetentionInDays	integer	Długoterminowy okres przechowywania tabeli (obliczany tylko do odczytu).
properties.lastPlanModifiedDate	String	Ostatni raz, kiedy plan został ustawiony dla tej tabeli. Wartość null, jeśli nie wprowadzono żadnych zmian z ustawień domyślnych (tylko do odczytu).

Przykładowe żądanie

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Przykładowa odpowiedź

Kod stanu: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Aby ustawić właściwości tabeli, wywołaj interfejs API Tabele — tworzenie lub aktualizowanie.

Interfejs wiersza polecenia platformy Azure

Aby wyświetlić właściwości tabeli przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom polecenie az monitor log-analytics workspace table show .

Na przykład:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Aby ustawić właściwości tabeli przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom polecenie az monitor log-analytics workspace table update .

Program PowerShell

Aby wyświetlić właściwości tabeli przy użyciu programu PowerShell, uruchom polecenie:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Przykładowa odpowiedź

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Użyj polecenia cmdlet Update-AzOperationalInsightsTable, aby ustawić właściwości tabeli.

Następne kroki

Instrukcje:

• Ustawianie planu danych dziennika tabeli
• Dodawanie tabel niestandardowych i kolumn
• Konfigurowanie przechowywania danych
• Projektowanie architektury obszaru roboczego