Gerenciar tabelas em um espaço de trabalho do Log Analytics

Um espaço de trabalho do Log Analytics permite coletar logs de recursos do Azure e de outros recursos em um espaço para análise de dados, uso por outros serviços, como o Sentinel, e disparar alertas e ações, por exemplo, usando Aplicativos Lógicos do Azure. O espaço de trabalho do Log Analytics consiste em tabelas, que você pode configurar para gerenciar seu modelo de dados e custos relacionados ao log. Este artigo explica as opções de configuração de tabela nos Logs do Azure Monitor e como definir propriedades de tabela com base em suas necessidades de análise de dados e gerenciamento de custos.

Permissões necessárias

Você deve ter microsoft.operationalinsights/workspaces/tables/write permissões para os espaços de trabalho do Log Analytics que gerencia, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.

Propriedades da tabela

Este diagrama fornece uma visão geral das opções de configuração de tabela nos Logs do Azure Monitor:

Tipo de tabela e esquema

O esquema de uma tabela é o conjunto de colunas que compõem a tabela, no qual o Azure Monitor Logs coleta dados de log de uma ou mais fontes de dados.

Seu espaço de trabalho do Log Analytics pode conter os seguintes tipos de tabelas:

Tipo de tabela	Data source	Esquema
Tabela do Azure	Logs de recursos do Azure ou exigidos pelos serviços e soluções do Azure.	O Azure Monitor Logs cria tabelas do Azure automaticamente com base nos serviços do Azure que você usa e nas configurações de diagnóstico definidas para recursos específicos. Cada tabela do Azure tem um esquema predefinido. Você pode adicionar colunas a uma tabela do Azure para armazenar dados de log transformados ou enriquecer dados na tabela do Azure com dados de outra fonte.
Tabela personalizada	Recursos que não sejam do Azure e qualquer outra fonte de dados, como logs baseados em arquivo.	Você pode definir o esquema de uma tabela personalizada com base em como deseja armazenar os dados coletados de uma determinada fonte de dados.
Resultados da pesquisa	Todos os dados armazenados em um espaço de trabalho do Log Analytics.	O esquema de uma tabela de resultados de pesquisa baseia-se na consulta que você define quando executa o trabalho de pesquisa. Não é possível editar o esquema de tabelas de resultados de pesquisa existentes.
Logs restaurados	Registos arquivados.	Uma tabela de logs restaurada tem o mesmo esquema da tabela a partir da qual você restaura logs. Não é possível editar o esquema de tabelas de logs restauradas existentes.

Plano de dados de log

Configure o plano de dados de log de uma tabela com base na frequência com que você acessa os dados na tabela:

• O plano do Google Analytics disponibiliza dados de log para consultas interativas e uso por recursos e serviços.
• O plano de dados de log básico fornece uma maneira de baixo custo de ingerir e reter logs para solução de problemas, depuração, auditoria e conformidade.

Retenção e arquivamento

O arquivamento é uma solução de baixo custo para manter dados que você não usa mais regularmente em seu espaço de trabalho para fins de conformidade ou investigação ocasional. Defina a retenção no nível da tabela para substituir a retenção do espaço de trabalho padrão e arquivar dados em seu espaço de trabalho.

Para acessar dados arquivados, execute um trabalho de pesquisa ou restaure dados para um intervalo de tempo específico.

Transformações no tempo de ingestão

Reduza os custos e o esforço de análise usando regras de coleta de dados para filtrar e transformar dados antes da ingestão com base no esquema definido para sua tabela personalizada.

Ver propriedades da tabela

Nota

O nome da tabela diferencia maiúsculas de minúsculas.

Portal

Para exibir e definir propriedades de tabela no portal do Azure:

1. No espaço de trabalho do Log Analytics, selecione Tabelas.

   A tela Tabelas apresenta informações de configuração de tabela para todas as tabelas no espaço de trabalho do Log Analytics.

   

2. Selecione as reticências (...) à direita de uma tabela para abrir o menu de gerenciamento de tabelas.

   As opções de gerenciamento de tabela disponíveis variam de acordo com o tipo de tabela.

   1. Selecione Gerenciar tabela para editar as propriedades da tabela .

   2. Selecione Editar esquema para visualizar e editar o esquema da tabela.

API

Para exibir as propriedades da tabela, chame Tables - Get API:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Corpo de resposta

Name	Tipo	Description
propriedades.plan	string	O plano de tabela. Analytics ou Basic.
properties.retentionInDays	integer	A retenção de dados da tabela em dias. Na Basic Logs, o valor é de oito dias, fixo. Na Analytics Logs, o valor fica entre quatro e 730 dias.
propriedades.totalRetentionInDays	integer	A retenção de dados da tabela que também inclui o período de arquivamento.
properties.archiveRetentionInDays	integer	O período de arquivo da tabela (somente leitura, calculado).
properties.lastPlanModifiedDate	String	Última vez em que o plano foi definido para esta mesa. Nulo se nenhuma alteração tiver sido feita a partir das configurações padrão (somente leitura).

Pedido de amostra

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Resposta de amostra

Código de status: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Para definir as propriedades da tabela, chame a API Tabelas - Criar ou Atualizar.

CLI do Azure

Para exibir as propriedades da tabela usando a CLI do Azure, execute o comando az monitor log-analytics workspace table show .

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Para definir as propriedades da tabela usando a CLI do Azure, execute o comando az monitor log-analytics workspace table update .

PowerShell

Para exibir as propriedades da tabela usando o PowerShell, execute:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Resposta de amostra

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Use o cmdlet Update-AzOperationalInsightsTable para definir as propriedades da tabela.

Próximos passos

Aprenda a:

• Definir o plano de dados de log de uma tabela
• Adicionar tabelas e colunas personalizadas
• Definir retenção e arquivamento
• Projetar uma arquitetura de espaço de trabalho