Tutorial: Configurar uma política de retenção de dados para uma tabela em um workspace do Log Analytics
Neste tutorial, você vai definir uma política de retenção para uma tabela no workspace do Log Analytics que você usa para o Microsoft Sentinel ou o Azure Monitor. Essas etapas permitem que você mantenha os dados mais antigos e menos usados em seu workspace a um custo reduzido.
As políticas de retenção em um workspace do Log Analytics definem quando os registros antigos nas tabelas de dados devem ser transferidos para o estado de retenção de longo prazo (anteriormente conhecido como arquivo morto), que oferece baixo custo e acesso mínimo. Por padrão, todas as tabelas no workspace herdam a configuração de retenção interativa do workspace e não têm nenhuma política de retenção de longo prazo (arquivo morto). Você pode modificar as políticas de retenção interativa e de longo prazo, exceto para workspaces no tipo de preço de avaliação gratuita herdado.
Neste tutorial, você aprenderá a:
- Definir a política de retenção e arquivamento para uma tabela
- Revise as políticas de retenção interativa e de longo prazo
Pré-requisitos
Para concluir as etapas neste tutorial, você deve ter os seguintes recursos e funções.
Conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Conta do Azure com as seguintes funções:
Função interna Escopo Motivo Colaborador do Log Analytics Qualquer de - Subscription
- Grupo de recursos
- Tabela
Para definir a política de retenção em tabelas no Log Analytics Workspace do Log Analytics.
Definir a política de retenção e arquivamento para uma tabela
No seu workspace do Log Analytics, altere a política de retenção interativa da tabela SecurityEvent do padrão de 90 dias para 180 dias, e a política de retenção total para 3 anos. O período de retenção total é a soma dos períodos de retenção interativa e de longo prazo (arquivo morto).
Entre no portal do Azure.
No portal do Azure, pesquise e abra Workspaces do Log Analytics.
Selecione o workspace apropriado.
Em Configurações, selecione Tabelas.
Localize a tabela SecurityEvent na lista e abra o menu de contexto (...).
Selecionar Gerenciar tabela.
Em Configurações de retenção de dados, insira os valores a seguir.
Campo Valor Retenção interativa 180 dias Período total de retenção 3 anos Observe que o gráfico de tempo mostra que o período de retenção de longo prazo é igual ao período de retenção total em dias menos a retenção interativa em dias. Neste caso, 915 dias, ou 2,5 anos.
Selecione Salvar.
Revise as políticas de retenção interativa e total
Na página Tabelas da tabela atualizada, revise os valores de campo para Retenção interativa e Retenção total.
Limpar os recursos
Nenhum recurso foi criado, mas talvez você queira restaurar as configurações de retenção de dados alteradas.