Arquivamento e retenção de dados em Logs do Azure Monitor

Os Logs do Azure Monitor retêm dados em dois estados:

• Retenção interativa: Permite manter logs do Analytics para consultas interativas de até 2 anos.
• Arquivar: Permite manter os dados mais antigos e menos usados em seu workspace a um custo reduzido. Você pode acessar dados no estado arquivado usando trabalhos de pesquisa e restauração. Você pode manter os dados no estado arquivado por até 12 anos.

Este artigo descreve como configurar o arquivamento e a retenção de dados.

Como funcionam o arquivamento e a retenção

Cada workspace tem uma configuração de retenção padrão que é aplicada a todas as tabelas. Você pode configurar uma configuração de retenção diferente em tabelas individuais.

Durante o período de retenção interativo, os dados ficam disponíveis para monitoramento, solução de problemas e análise. Quando você deixar de usar os logs, mas ainda precisar manter os dados para conformidade ou investigação ocasional, arquive os logs para economizar custos.

Os dados arquivados permanecem na mesma tabela, juntamente com os dados disponíveis para consultas interativas. Quando você define um período de retenção total maior que o período de retenção interativa, o Log Analytics arquiva automaticamente os dados relevantes imediatamente ao término do período de retenção.

Você pode acessar os dados arquivados executando um trabalho de pesquisa ou restaurando logs arquivados.

Observação

O período de arquivamento só pode ser definido no nível de tabela, não no nível do workspace.

Ajustes nas configurações de retenção e arquivamento

Quando você reduz uma configuração de retenção existente, o Azure Monitor aguarda 30 dias antes de remover os dados, para que você possa reverter a alteração e evitar a perda de dados em caso de erro na configuração. Você pode limpar dados imediatamente quando necessário.

Quando você aumenta a configuração de retenção, o novo período de retenção se aplica a todos os dados que já foram ingeridos na tabela e ainda não foram limpos ou removidos.

Se você alterar as configurações de arquivo em uma tabela contendo dados, os dados relevantes na tabela também serão afetados imediatamente. Por exemplo, você pode ter uma tabela existente com 180 dias de retenção interativa e nenhum período de arquivamento. Você decide alterar a configuração de retenção para 90 dias de retenção interativa sem alterar o período total de retenção de 180 dias. O Log Analytics arquiva imediatamente todos os dados com mais de 90 dias e nenhum dos dados é excluído.

O que acontece com os dados quando você exclui uma tabela em um workspace do Log Analytics

Um workspace do Log Analytics pode conter vários tipos de tabelas. O que acontece quando você exclui a tabela é diferente para cada um:

Tipo de tabela	Retenção de dados	Recomendações
Tabela do Azure	Uma tabela do Azure contém logs de um recurso ou dados do Azure exigidos por um serviço ou solução do Azure e não pode ser excluído. Quando você para de transmitir dados do recurso, serviço ou solução, os dados permanecem no workspace até o final do período de retenção definido para a tabela ou para a retenção padrão do workspace, se você não definir a retenção a nível de tabela.	Para minimizar os encargos, defina a retenção no nível da tabela como quatro dias antes de interromper a transmissão de logs para a tabela.
Tabela restaurada(table_RST)	Exclui o cache de acesso frequente provisionado para a restauração, mas os dados da tabela de origem não são excluídos.
Tabela de resultados da pesquisa (table_SRCH)	Exclui a tabela e os dados de forma imediata e permanente.
Tabela de log personalizada (table_CL)	Exclui a tabela temporariamente até o final da retenção no nível da tabela ou do período de retenção padrão do workspace. Durante o período de exclusão temporária, você continua pagando pela retenção de dados e pode recriar a tabela e acessar os dados configurando uma tabela com o mesmo nome e esquema. Quatorze dias depois de excluir uma tabela personalizada, o Azure Monitor remove a configuração de retenção no nível da tabela e aplica a retenção do workspace padrão.	Para minimizar os encargos, defina a retenção no nível da tabela como quatro dias antes de excluir a tabela.

Permissões necessárias

Ação	Permissões necessárias
Configurar políticas de arquivamento e retenção de dados em um workspace do Log Analytics	As permissões Microsoft.OperationalInsights/workspaces/write e microsoft.operationalinsights/workspaces/tables/write para os workspaces do Log Analytics, conforme fornecidas pela função integrada de Colaborador do Log Analytics, por exemplo
Obter a política de retenção e arquivamento por tabela para um workspace do Log Analytics	As permissões Microsoft.OperationalInsights/workspaces/tables/read para os workspaces do Log Analytics, conforme fornecidas pela função integrada Leitor do Log Analytics, por exemplo
Limpar dados de um workspace do Log Analytics	As permissões Microsoft.OperationalInsights/workspaces/purge/action para os workspaces do Log Analytics, conforme fornecidas pela função integrada de Colaborador do Log Analytics, por exemplo

Configurar a retenção de workspace padrão

Você pode definir a retenção padrão de um espaço de trabalho do Log Analytics no portal do Azure para 30, 31, 60, 90, 120, 180, 270, 365, 550 e 730 dias. Você pode aplicar uma configuração diferente a tabelas específicas configurando a retenção e o arquivamento no nível da tabela. Se estiver na camada gratuita, você precisará atualizar para a camada paga a fim de alterar o período de retenção de dados.

Importante

Workspaces com uma retenção de 30 dias podem manter os dados por 31 dias. Se você precisar reter dados por 30 dias apenas para cumprir uma política de privacidade, configure a retenção do workspace padrão para 30 dias usando a API e atualize a propriedade do workspace immediatePurgeDataOn30Days para true. No momento, essa operação só tem suporte usando os Workspaces – Atualizar a API.

Portal

Para configurar a retenção de workspace padrão:

1. No menu Workspace do Log Analytics no portal do Azure, selecione seu workspace.

2. Selecione Uso e custos estimados no painel esquerdo.

3. Selecione Retenção de dados na parte superior da página.

   

4. Mova o controle deslizante para aumentar ou diminuir o número de dias e escolha OK.

API

Para definir a duração da retenção e do arquivamento para uma tabela, chame os Workspaces – Criar ou atualizar a API:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

Corpo da solicitação

O corpo da solicitação inclui os valores na tabela a seguir.

Nome	Tipo	Descrição
properties.retentionInDays	Número inteiro	A retenção de dados do workspace em dias. Os valores permitidos são por plano de preços. Consulte a documentação dos tipos de preços para obter detalhes.
location	string	A localização geográfica do recurso.
immediatePurgeDataOn30Days	boolean	Sinalizador que indica se os dados são imediatamente removidos após 30 dias e não podem ser recuperados. Aplicável somente quando a retenção do workspace é definida como 30 dias.

Exemplo

Este exemplo define a retenção do workspace para o padrão do workspace de 30 dias e garante que os dados sejam removidos imediatamente após 30 dias e não possam ser recuperados.

Solicitação

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

CLI

Para definir a duração da retenção e do arquivamento de uma tabela, execute o comando az monitor log-analytics workspace update e passe os parâmetros --retention-time.

Este exemplo define a retenção interativa da tabela para 30 dias, e a retenção total como de dois anos, o que significa que a duração do arquivo é de 23 meses:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Use o cmdlet Set-AzOperationalInsightsWorkspace para definir a retenção para um workspace. Esse exemplo define a retenção do workspace como 30 dias:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Configurar a retenção e o arquivo morto no nível da tabela

Por padrão, todas as tabelas no workspace herdam a configuração de retenção interativa do workspace e não têm arquivo. Você pode modificar as configurações de retenção e arquivos de tabelas individuais, exceto para workspaces no tipo de preço de avaliação gratuita herdado.

O plano de dados de log da Análise inclui 31 dias de retenção interativa para espaço de trabalho em tipos de preço de geração atual (Camadas de pagamento conforme o uso e compromisso, bem como as camadas herdadas autônomas e por nó). Você pode aumentar o período de retenção interativa para até 730 dias a um custo adicional. Se necessário, você pode reduzir o período de retenção interativo para apenas quatro dias usando a API ou a CLI. No entanto, como 31 dias de retenção interativa estão incluídos no preço de ingestão, reduzir o período de retenção abaixo de 31 dias não reduz os custos. Você pode definir o período de arquivamento para um tempo de retenção total de até 4.383 dias (12 anos).

Observação

Atualmente, você pode definir a retenção total para até 12 anos por meio da API e do portal do Azure. A CLI e o PowerShell são limitados a sete anos; o suporte aos 12 anos ficará disponível em breve.

Portal

Para definir a duração da retenção e do arquivamento para uma tabela no portal do Azure:

1. No menu Workspaces do Log Analytics, selecione Tabelas.

   A tela Tabelas lista todas as tabelas no workspace.

2. Selecione o menu de contexto da tabela que você deseja configurar e selecione Gerenciar tabela.

   

3. Configure a duração de retenção e arquivamento na seção Definições de retenção de dados da tela de configuração da tabela.

   

API

Para definir a duração da retenção e do arquivamento para uma tabela, chame a API de Tabelas - Atualizar:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

Observação

Você não especifica explicitamente a duração do arquivamento na chamada à API. Em vez disso, você define a retenção total, que é a soma da retenção interativa mais a duração do arquivamento.

Você pode usar PUT ou PATCH, com a seguinte diferença:

• A API Put define retentionInDays e totalRetentionInDays como valor padrão se você não definir valores não nulos.
• A API PATCH não altera os valores retentionInDays ou totalRetentionInDays se você não especificar valores.

Corpo da solicitação

O corpo da solicitação inclui os valores na tabela a seguir.

Nome	Tipo	Descrição
properties.retentionInDays	inteiro	A retenção de dados da tabela em dias. Esse valor pode estar entre 4 e 730. Definir essa propriedade como nula aplica o período de retenção do workspace. Para uma tabela de logs básicos, o valor é sempre 8.
properties.totalRetentionInDays	inteiro	A retenção de dados total da tabela, incluindo o período de arquivamento. Esse valor pode estar entre 4 e 730; ou 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 ou 4383. Defina essa propriedade como nula se não quiser arquivar dados.

Exemplo

Este exemplo define a retenção interativa da tabela como o padrão de workspace de 30 dias, e a retenção total como de dois anos, o que significa que a duração do arquivo é de 23 meses.

Solicitação

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

Corpo da solicitação

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Resposta

Código de status: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

CLI

Para definir a duração da retenção e do arquivamento de uma tabela, execute o comando az monitor log-analytics workspace table update e passe os parâmetros --retention-time e --total-retention-time.

Este exemplo define a retenção interativa da tabela para 30 dias, e a retenção total como de dois anos, o que significa que a duração do arquivo é de 23 meses:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Para reaplicar o valor de retenção interativa padrão do espaço de trabalho à tabela e redefinir sua retenção total como 0, execute o comando az monitor log-analytics workspace table update com os parâmetros --retention-time e --total-retention-time definidos como -1.

Por exemplo:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Use o cmdlet Update-AzOperationalInsightsTable para definir a duração de retenção e arquivamento de uma tabela. Este exemplo define a retenção interativa da tabela para 30 dias, e a retenção total como de dois anos, o que significa que a duração do arquivo é de 23 meses:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Para reaplicar o valor de retenção interativo padrão do espaço de trabalho à tabela e redefinir sua retenção total para 0, execute o cmdlet Update-AzOperationalInsightsTable com os parâmetros -RetentionInDays e -TotalRetentionInDays definidos como -1.

Por exemplo:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Obter configurações de retenção e arquivo por tabela

Portal

Para exibir a duração de retenção e arquivamento de uma tabela no portal do Azure, no menu workspaces do Log Analytics, selecione Tabelas.

A tela Tabelas mostra o período interativo de retenção e arquivamento para todas as tabelas no workspace.

API

Para obter a configuração de retenção de uma tabela específica (neste exemplo, SecurityEvent), chame a API Tabelas - Obter:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Para obter todas as configurações de retenção no nível de tabela em seu workspace, não defina um nome de tabela.

Por exemplo:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

CLI

Para obter a configuração de retenção de uma tabela específica, execute o comando az monitor log-analytics workspace table show.

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Para obter a configuração de retenção de uma tabela específica, execute o cmdlet Get-AzOperationalInsightsTable.

Por exemplo:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Tabelas com períodos de retenção exclusivos

Por padrão, dois tipos de dados – Usage e AzureActivity – mantêm dados por pelo menos 90 dias sem encargos. Ao aumentar a retenção do workspace para mais de 90 dias, a você também aumenta a retenção desses tipos de dados. Também não são cobrados encargos de ingestão de dados para esses tipos de dados.

Tabelas relacionadas a recursos do Application Insights também mantêm os dados por 90 dias sem encargos. Você pode ajustar a retenção de cada uma dessas tabelas individualmente:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Modelo de preços

A cobrança pela manutenção de logs arquivados é calculada com base no volume de dados que você arquiva, em GB, e no número ou dias para os quais você arquiva os dados. Os dados de log que têm _IsBillable == false não estão sujeitos a cobrança de retenção ou arquivamento.

Para saber mais, confira Preço do Azure Monitor.

Próximas etapas

Saiba mais sobre:

• Gerenciamento de dados pessoais nos Logs do Azure Monitor
• Criar um trabalho de pesquisa para recuperar os dados de arquivamento que correspondem a critérios específicos
• Restaure dados de arquivamento em um intervalo de tempo específico