Gerenciar a retenção de dados em um workspace do Log Analytics

Um workspace do Log Analytics retém dados em dois estados:

• Retenção interativa: nesse estado, os dados estão disponíveis para monitoramento, solução de problemas e análise quase em tempo real.
• Retenção de longo prazo: nesse estado de baixo custo, os dados não estão disponíveis para funcionalidades do plano de tabela, mas podem ser acessados por meio de tarefas de busca.

Este artigo explica como os workspaces do Log Analytics retêm dados e como gerenciar a retenção de dados das tabelas no seu workspace.

Retenção interativa, de longo prazo e total

Por padrão, todas as tabelas em um workspace do Log Analytics retêm dados por 30 dias, exceto para tabelas de log com retenção padrão de 90 dias. Durante esse período de retenção interativa, você pode recuperar os dados da tabela por meio de consultas e os dados ficam disponíveis para visualizações, alertas e outros recursos e serviços, com base no plano da tabela.

Você pode estender o período de retenção interativa das tabelas com o Plano de análise por até dois anos. Os Planos básico e auxiliar têm um período de retenção interativo fixo de 30 dias.

Observação

Se precisar diminuir o período de retenção interativa das tabelas do Analytics para até quatro dias, você pode usar a API ou a CLI. No entanto, como 31 dias de retenção interativa estão incluídos no preço de ingestão, reduzir o período de retenção abaixo de 31 dias não reduz os custos.

Para reter dados na mesma tabela além do período de retenção interativa, estenda a retenção total da tabela por até 12 anos. Ao final do período de retenção interativa, os dados permanecem na tabela pelo restante do período de retenção total configurado. Durante o período de retenção de longo prazo, execute um trabalho de pesquisa para recuperar os dados específicos que você precisa da tabela e disponibilize-os para consultas interativas em uma tabela de resultados da pesquisa.

Como funcionam as modificações de retenção

Quando você reduz a retenção total de uma tabela, os Logs do Azure Monitor aguardam 30 dias antes de remover os dados, permitindo que você reverta a alteração e evite perda de dados se cometer um erro de configuração.

Quando você aumenta a retenção total, o novo período de retenção se aplica a todos os dados já ingeridos pela tabela e que ainda não foram removidos.

Quando você altera as configurações de retenção de longo prazo de uma tabela que já possui dados, a alteração entra em vigor imediatamente.

Exemplo:

• Você tem uma tabela do Analytics com 180 dias de retenção interativa e nenhuma retenção de longo prazo.
• Você altera a retenção interativa para 90 dias sem mudar o período de retenção total de 180 dias.
• O Azure Monitor trata automaticamente os 90 dias restantes da retenção total como retenção de baixo custo e de longo prazo, garantindo que os dados de 90 a 180 dias não sejam perdidos.

Permissões necessárias

Ação	Permissões necessárias
Configurar a retenção interativa padrão para tabelas do Analytics em um workspace do Log Analytics	As permissões Microsoft.OperationalInsights/workspaces/write e microsoft.operationalinsights/workspaces/tables/write para os workspaces do Log Analytics, conforme fornecidas pela função interna de Colaborador do Log Analytics, por exemplo
Obter a configuração de retenção por tabela para um workspace do Log Analytics	As permissões Microsoft.OperationalInsights/workspaces/tables/read para o workspace do Log Analytics, conforme fornecidas pela função interna de Leitor do Log Analytics, por exemplo

Configurar o período de retenção interativa padrão das tabelas do Analytics

O período de retenção interativa padrão de todas as tabelas em um workspace do Log Analytics é de 30 dias. Você pode alterar o período de retenção interativa padrão das Tabelas de análise para até dois anos ajustando a configuração de retenção de dados do workspace. As Tabelas básicas e auxiliares têm um período de retenção interativo fixo de 30 dias.

Alterar a configuração de retenção de dados no nível do workspace padrão afeta automaticamente todas as Tabelas de análise às quais a configuração padrão ainda se aplica em seu workspace. Mas, se você já alterou a retenção interativa de uma tabela específica, essa tabela não será afetada pelas mudanças na configuração padrão de retenção de dados do workspace.

Importante

Workspaces com retenção de 30 dias podem manter os dados por 31 dias. Se você precisar reter dados por 30 dias apenas para cumprir uma política de privacidade, configure a retenção do workspace padrão para 30 dias usando a API e atualize a propriedade do workspace immediatePurgeDataOn30Days para true. No momento, essa operação só tem suporte usando os Workspaces – Atualizar a API.

Portal

Para definir o período de retenção interativa padrão das Tabelas de análise um workspace do Log Analytics:

1. No menu espaços de trabalho do Log Analytics no portal do Azure, selecione seu espaço de trabalho.

2. Selecione Uso e custos estimados no painel esquerdo.

3. Selecione Retenção de Dados na parte superior da página.

   

4. Mova o controle deslizante para aumentar ou diminuir o número de dias e selecione OK.

API

Para definir o período de retenção interativa padrão das Tabelas de análise em um workspace do Log Analytics, chame a Workspaces - API de criação ou atualização:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

Corpo da solicitação

O corpo da solicitação inclui os valores na tabela a seguir.

Nome	Tipo	Descrição
properties.retentionInDays	Número inteiro	A retenção de dados do workspace em dias. Os valores permitidos são por plano de preços. Consulte a documentação dos tipos de preços para obter detalhes.
location	cadeia de caracteres	A localização geográfica do recurso.
immediatePurgeDataOn30Days	booliano	Sinalizador que indica se os dados são removidos imediatamente após 30 dias e não podem ser recuperados. Aplicável somente quando a retenção do workspace é definida como 30 dias.

Exemplo

Este exemplo define a retenção do workspace para o padrão do workspace de 30 dias e garante que os dados sejam removidos logo após esse período de 30 dias e não possam ser recuperados.

Pedir

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

CLI

Para definir o período de retenção interativa padrão das tabelas do Analytics em um workspace do Log Analytics, execute o comando az monitor log-analytics workspace update e passe o parâmetro --retention-time.

Este exemplo define a retenção interativa da tabela como 30 dias:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Use o cmdlet Set-AzOperationalInsightsWorkspace para definir o período de retenção interativa padrão das Tabelas de análise em um workspace do Log Analytics. Esse exemplo define o período padrão de retenção interativa para 30 dias:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Configurar a retenção em nível de tabela

Por padrão, todas as tabelas com o plano de dados do Analytics herdam a configuração de retenção interativa padrão do espaço de trabalho do Log Analytics e não têm retenção de longo prazo. Você pode aumentar o período de retenção interativa das tabelas de Análise para até 730 dias a um custo extra.

Para adicionar retenção de longo prazo a uma tabela com qualquer plano de dados, defina a retenção total para até 12 anos (4.383 dias).

Observação

Atualmente, você pode definir a retenção total para até 12 anos por meio da API e do portal do Azure. A CLI e o PowerShell são limitados a sete anos; o suporte aos 12 anos ficará disponível em breve.

Portal

Para modificar a configuração de retenção de uma tabela no portal do Azure:

1. No menu Workspaces do Log Analytics, selecione Tabelas.

   A tela Tabelas lista todas as tabelas no espaço de trabalho.

2. Selecione o menu de contexto da tabela que você deseja configurar e selecione Gerenciar tabela.

   

3. Defina a retenção interativa e as configurações de retenção total na seção Configurações de retenção de dados da tela de configuração da tabela.

   

API

Para modificar a configuração de retenção de uma tabela, chame as Tabelas – Atualizar API:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

Você pode usar PUT ou PATCH, com a seguinte diferença:

• A API PUT define retentionInDays e totalRetentionInDays o valor padrão se você não definir valores não nulos.
• A API PATCH não alterará os valores retentionInDays ou totalRetentionInDays se você não especificar valores.

Corpo da solicitação

O corpo da solicitação inclui os valores na tabela a seguir.

Nome	Tipo	Descrição
properties.retentionInDays	Número inteiro	A retenção de dados da tabela em dias. Esse valor pode estar entre 4 e 730. Definir essa propriedade como nula aplica o período de retenção do workspace. Para uma tabela de Logs Básicos e Auxiliares, o valor é sempre 30.
properties.totalRetentionInDays	Número inteiro	A retenção de dados total da tabela, incluindo a retenção de longo prazo. Esse valor pode estar entre 4 e 730; ou 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 ou 4383. Defina essa propriedade como nula se não quiser retenção de longo prazo.

Exemplo

Este exemplo define a retenção interativa da tabela para o padrão de 30 dias do workspace, e a retenção total para de dois anos, o que significa que o período de retenção de longo prazo é de 23 meses.

Pedir

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

Corpo da solicitação

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Resposta

Código de status: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

CLI

Para modificar as configurações de retenção de uma tabela, execute o comando az monitor log-analytics workspace table update e passe os parâmetros --retention-time e --total-retention-time.

Esse exemplo define a retenção interativa da tabela para 30 dias, e a retenção total para dois anos, o que significa que o período de retenção de longo prazo é de 23 meses:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Para reaplicar o valor de retenção interativa padrão do workspace à tabela e redefinir sua retenção total para 0, execute o comando az monitor log-analytics workspace table update com os parâmetros --retention-time e --total-retention-time definidos como -1.

Por exemplo:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Use o cmdlet Update-AzOperationalInsightsTable para modificar as configurações de retenção de uma tabela. Esse exemplo define a retenção interativa da tabela para 30 dias, e a retenção total para dois anos, o que significa que o período de retenção de longo prazo é de 23 meses:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Para reaplicar o valor de retenção interativa padrão do workspace na tabela e redefinir sua retenção total para 0, execute o cmdlet Update-AzOperationalInsightsTable com os parâmetros -RetentionInDays e -TotalRetentionInDays definidos como -1.

Por exemplo:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Modelo do Resource Manager

Use este modelo arm de exemplo e o arquivo de parâmetro para atualizar o período de retenção de uma tabela específica.

Arquivo de modelo

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string",
      "defaultValue": "sampleWorkspace",
      "metadata": {
        "description": "The number of days to retain the data."
      }
    },
    "tableName": {
      "type": "string",
      "defaultValue": "sampleTable",
      "metadata": {
        "description": "The name of the Log Analytics table to modify."
      }
    },
    "retentionInDays": {
      "type": "int",
      "defaultValue": 30,
      "metadata": {
        "description": "The number of days to retain the data."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2025-02-01",
      "name": "[parameters('workspaceName')]",
      "location": "[resourceGroup().location]",
      "resources": [
        {
          "type": "Microsoft.OperationalInsights/workspaces/tables",
          "apiVersion": "2025-02-01",
          "name": "[concat(parameters('workspaceName'), '/', parameters('tableName'))]",
          "properties": {
            "retentionInDays": "[parameters('retentionInDays')]"
          },
          "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('workspaceName'))]" ]
        }
      ]
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "tableName": {
      "value": "AppRequests"
    },
    "retentionInDays": {
      "value": 120
    }
  }
}

Obter configurações de retenção por tabela

Portal

Para exibir as configurações de retenção de uma tabela no portal do Azure, no menu workspaces do Log Analytics , selecione Tabelas.

A tela Tabelas mostra os períodos de retenção interativa e total para todas as tabelas no espaço de trabalho.

API

Para obter a configuração de retenção de uma tabela específica (neste exemplo, SecurityEvent), chame a API Tables - Get:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Para obter todas as configurações de retenção no nível de tabela em seu workspace, não defina um nome de tabela.

Por exemplo:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

CLI

Para obter a configuração de retenção de uma tabela específica, execute o comando az monitor log-analytics workspace table show.

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Para obter a configuração de retenção de uma tabela específica, execute o cmdlet Get-AzOperationalInsightsTable .

Por exemplo:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

O que acontece com os dados quando você exclui uma tabela em um workspace do Log Analytics?

Um workspace do Log Analytics pode conter vários tipos de tabelas. O que acontece quando você exclui a tabela é diferente para cada um:

Tipo de tabela	Retenção de dados	Recomendações
Tabela do Azure	Uma tabela do Azure contém logs de um recurso ou dados do Azure exigidos por um serviço ou solução do Azure e não pode ser excluído. Quando você para de transmitir dados do recurso, serviço ou solução, os dados permanecem no workspace até o final do período de retenção definido para a tabela.	Para minimizar os encargos, defina a retenção no nível da tabela como quatro dias antes de interromper a transmissão de logs para a tabela.
Tabela de log personalizada (table_CL)	Exclui a tabela temporariamente até o final da retenção no nível da tabela ou do período de retenção padrão do workspace. Durante o período de exclusão temporária, você continua pagando pela retenção de dados e pode recriar a tabela e acessar os dados configurando uma tabela com o mesmo nome e esquema. Quatorze dias depois de excluir uma tabela personalizada, o Azure Monitor remove a configuração de retenção no nível da tabela e aplica a retenção do workspace padrão.	Para minimizar os encargos, defina a retenção no nível da tabela como quatro dias antes de excluir a tabela.
Tabela de resultados da pesquisa (table_SRCH)	Exclui a tabela e os dados de forma imediata e permanente.
Tabela restaurada(table_RST)	Exclui o cache de acesso frequente provisionado para a restauração, mas os dados da tabela de origem não são excluídos.

Tabelas de log com retenção padrão de 90 dias

Por padrão, as tabelas Usage e AzureActivity mantêm os dados por no mínimo 90 dias sem custos adicionais. Ao aumentar a retenção do workspace para mais de 90 dias, a você também aumenta a retenção dessas tabelas. Também não são cobrados encargos de ingestão de dados para esses tipos de dados.

Tabelas relacionadas a recursos do Application Insights também mantêm os dados por 90 dias sem encargos. Você pode ajustar a retenção de cada uma dessas tabelas individualmente:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Modelo de preços

Os custos para adicionar retenção interativa e de longo prazo são calculados com base no volume de dados retidos, em GB, e na quantidade de dias que os dados são retidos. Dados de log que possuem _IsBillable == false não estão sujeitos a cobranças de ingestão ou retenção.

Para obter mais informações, consulte os preços do Azure Monitor.

Próximas etapas

Saiba mais sobre:

• Gerenciamento de dados pessoais nos Logs do Azure Monitor
• Criando uma tarefa de pesquisa para recuperar dados que correspondam a critérios específicos
• Restaurar dados para um intervalo de tempo específico