Восстановление журналов в Azure Monitor

  • Статья

Операция восстановления выводит в таблице данные за определенный диапазон времени в оперативном кэше для высокопроизводительных запросов. В этой статье описано, как восстановить данные, запросить эти данные и закрыть их по завершении операции.

Разрешения

Чтобы восстановить данные из архивной таблицы, вам потребуется Microsoft.OperationalInsights/workspaces/tables/write и Microsoft.OperationalInsights/workspaces/restoreLogs/write разрешения для рабочей области Log Analytics, например, как указано встроенной ролью участника Log Analytics.

Когда нужно восстанавливать журналы

Выполняйте операцию восстановления для запроса данных в архивных журналах. Операцию восстановления можно также использовать для запроса данных за определенный период времени в любой таблице Analytics, когда запросы журнала, выполняемые в исходной таблице, не могут завершиться в течение 10-минутного периода, установленного для их выполнения.

Примечание.

Операция восстановления — это один из методов доступа к архивным данным. Используйте ее для выполнения запросов к набору данных за определенный период времени. Для доступа к данным на основе определенных критериев используйте функцию поиска заданий.

Что делает задание восстановления?

При восстановлении данных необходимо указать исходную таблицу с данными, к которым выполняется запрос, и целевую таблицу, которая будет создана.

Операция восстановления создает таблицу восстановления и выделяет дополнительные вычислительные ресурсы для запроса восстановленных данных с помощью высокопроизводительных запросов, поддерживающих полный KQL.

Целевая таблица определяет представление базовых исходных данных, но никак не влияет на них. Таблица не имеет параметра хранения, а вам необходимо явным образом закрыть восстановленные данные, если они больше не нужны.

восстановление данных.

Чтобы восстановить данные из таблицы, вызовите API создания или изменения таблиц. Имя целевой таблицы должно заканчиваться на _RST.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{user defined name}_RST?api-version=2021-12-01-preview

Текст запроса

Текст запроса должен содержать следующие значения:

Имя. Тип Описание
properties.restoredLogs.sourceTable строка Таблица с восстанавливаемыми данными.
properties.restoredLogs.startRestoreTime строка Начало диапазона времени для восстановления.
properties.restoredLogs.endRestoreTime строка Окончание диапазона времени для восстановления.

Состояние таблицы с восстанавливаемыми данными

Свойство provisioningState указывает текущее состояние операции восстановления. API возвращает это свойство при запуске восстановления. Вы также можете получить это свойство впоследствии с помощью операции GET для таблицы. Свойство provisioningState имеет одно из следующих значений:

значение Описание
Обновление Выполняется операция восстановления.
Выполнено Восстановление выполнено.
Удаление Удаление таблицы с восстановленными данными.

Образец запроса

В этом примере восстанавливаются данные за январь 2020 из таблицы Usage в таблицу с именем Usage_RST.

Запросить

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Usage_RST?api-version=2021-12-01-preview

Текст запроса:

{
    "properties":  {
    "restoredLogs":  {
                      "startRestoreTime":  "2020-01-01T00:00:00Z",
                      "endRestoreTime":  "2020-01-31T00:00:00Z",
                      "sourceTable":  "Usage"
    }
  }
}

Запрос к восстановленным данным

В восстановленных журналах сохраняются исходные метки времени. При выполнении запросов к восстановленным журналам задавайте диапазон времени запроса на основе времени создания данных.

Задать для запроса диапазон времени можно одним из следующих способов:

  • Выберите Настраиваемый в раскрывающемся списке Диапазон времени в верхней части редактора запросов и задайте значения С и По.

    or

  • Укажите диапазон времени в запросе. Например:

    let startTime =datetime(01/01/2022 8:00:00 PM);
let endTime =datetime(01/05/2022 8:00:00 PM);
TableName_RST
| where TimeGenerated between(startTime .. endTime)

Закрытие восстановленных данных

Чтобы сэкономить затраты, рекомендуется удалить восстановленную таблицу , чтобы закрыть восстановленные данные, если она больше не нужна.

Удаление таблицы с восстановленными данными не приводит к удалению данных из исходной таблицы.

Примечание.

Восстановленные данные доступны при условии доступности базовых исходных данных. При удалении исходной таблицы из рабочей области или по окончании срока хранения исходной таблицы восстановленные данные в таблице будут закрыты. Но при этом пустая таблица сохранится, если вы не удалите ее.

Ограничения

Операция восстановления имеет указанные ниже ограничения.

Вы можете:

  • Восстановление данных по крайней мере за два дня.

  • Восстановление данных: до 60 ТБ.

  • одновременно запустить не более двух процессов восстановления в одной рабочей области;

  • одновременно выполнять только одну операцию восстановления с одной таблицей Выполнение второго восстановления в таблице, которая уже имеет активное восстановление, завершается сбоем.

  • Выполните до четырех операций восстановления на таблицу в неделю.

Модель ценообразования

Плата за восстановленные журналы зависит от объема восстанавливаемых данных и длительности, для которой выполняется восстановление. Таким образом, единицы цены за ГБ в день. Плата за восстановление данных взимается в каждый день в формате UTC, который активен.

  • Плата взимается с минимальным объемом восстановленных данных 2 ТБ на восстановление. Если вы восстанавливаете меньше данных, вы будете взиматься за 2 ТБ минимум каждый день, пока восстановление не будет прекращено.

  • В первые и последние дни, когда восстановление активно, выставляется счет только за часть дня, когда восстановление было активным.

  • Минимальная плата составляет 12-часовую длительность восстановления, даже если восстановление активно менее 12 часов.

  • Дополнительные сведения о цене восстановления данных см . на вкладке "Журналы" на вкладке "Журналы" в Azure Monitor .

Ниже приведены некоторые примеры для иллюстрации вычислений затрат на восстановление данных:

  1. Если таблица содержит 500 ГБ в день и восстанавливаете 10 дней данных из этой таблицы, общий размер восстановления составляет 5 ТБ. Плата взимается за это 5 ТБ восстановленных данных каждый день, пока не уволите восстановленные данные. Ваша ежедневная стоимость составляет 5000 ГБ, умноженная на цену восстановления данных (см . цены на Azure Monitor).

  2. Если вместо этого восстанавливается только 700 ГБ данных, каждый день, когда восстановление активно взимается за минимальный уровень восстановления ТБ 2 ТБ. Ваша ежедневная стоимость составляет 2000 ГБ, умноженная на цену восстановления данных.

  3. Если восстановление данных в течение 5 ТБ сохраняется только в течение 1 часа, плата взимается за 12-часовой минимум. Стоимость этого восстановления данных составляет 5000 ГБ, умноженная на цену восстановления данных, умноженную на 0,5 дня (минимум 12 часов).

  4. Если восстановление данных размером 700 ГБ сохраняется только в течение 1 часа, плата взимается за 12-часовой минимум. Стоимость этого восстановления данных составляет 2000 ГБ (минимальный размер оплачиваемого восстановления), умноженный на цену восстановления данных, умноженную на 0,5 дня (минимальное минимальное значение 12-часового).

Примечание.

Плата за запросы восстановленных журналов не взимается, так как они являются журналами Аналитики.

Следующие шаги