Share via

Tutorial: Configurar uma política de retenção de dados para uma tabela em um workspace do Log Analytics

  • Artigo

Neste tutorial, você vai definir uma política de retenção para uma tabela no workspace do Log Analytics que você usa para o Microsoft Sentinel ou o Azure Monitor. Essas etapas permitem que você mantenha os dados mais antigos e menos usados em seu workspace a um custo reduzido.

As políticas de retenção em um workspace do Log Analytics definem quando remover ou arquivar dados no workspace. Por padrão, todas as tabelas no workspace herdam a configuração de retenção interativa do workspace e não têm nenhuma política de arquivo morto. Você pode modificar as políticas de retenção e arquivos de tabelas individuais, exceto para workspaces no tipo de preço de avaliação gratuita herdado.

Neste tutorial, você aprenderá como:

  • Definir a política de retenção e arquivamento para uma tabela
  • Examinar a política de retenção e arquivamento de dados

Pré-requisitos

Para concluir as etapas neste tutorial, você deve ter os seguintes recursos e funções.

  • Conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

  • Conta do Azure com as seguintes funções:

    Função interna Escopo Motivo
    Contribuidor do Log Analytics – Assinatura e/ou
    – Grupo de recursos e/ou
    – Tabela    		 Para definir a política de retenção em tabelas no Log Analytics

  • Workspace do Log Analytics.

Definir a política de retenção e arquivamento para uma tabela

No workspace do Log Analytics, desmarque a configuração de workspace para que o período de retenção interativa seja corrigido para 30 dias. Então altere a política de retenção total de uma tabela como SecurityEvents para arquivar 30 dias de dados.

  1. Entre no portal do Azure.

  2. No portal do Azure, pesquise e abra Workspaces do Log Analytics.

  3. Selecione o workspace apropriado.

  4. Em Configurações, selecione Tabelas.

  5. Em uma tabela como SecurityEvent, abra o menu de contexto (...).

  6. Selecionar Gerenciar tabela. Captura de tela da opção gerenciar tabela no menu de contexto de uma tabela no modo de exibição de tabelas.

  7. Em Retenção de dados, insira os valores a seguir.

    Campo Valor
    Configurações de local de trabalho Desmarque a caixa de seleção
    Retenção interativa 30 dias
    Período total de retenção 60 dias

    Captura de tela das configurações de retenção de dados que mostra as alterações nos campos na seção de retenção de dados.

  8. Selecione Salvar.

Examinar a política de retenção e arquivamento de dados

Na página Tabelas da tabela atualizada, examine os valores de campo para Retenção interativa e Período de arquivo morto. O período de arquivo morto é igual ao período de retenção total em dias menos a retenção interativa em dias. Por exemplo, você define os seguintes valores:

Campo Valor
Retenção interativa 30 dias
Período total de retenção 60 dias

Portanto, a página Tabela mostra o período de arquivamento de 30 dias a seguir.

Captura de tela do modo de exibição de tabela que mostra as colunas interativas de retenção e período de arquivamento.

Limpar os recursos

Nenhum recurso foi criado, mas talvez você queira restaurar as configurações de retenção de dados alteradas.

Próximas etapas

Configurar políticas de arquivamento e retenção de dados em logs do Azure Monitor