Поделиться через

Руководство. Настройка политики хранения данных для таблицы в рабочей области Log Analytics

  • Статья

В этом руководстве вы настроите политику хранения для таблицы в рабочей области Log Analytics, которая используется для Microsoft Sentinel или Azure Monitor. Эти действия позволяют хранить старые и менее используемые данные в рабочей области по сниженным затратам.

Политики хранения в рабочей области Log Analytics определяют, когда следует удалять или архивировать данные в рабочей области. По умолчанию все таблицы в рабочей области наследуют интерактивный параметр хранения рабочей области и не имеют политики архивации. Можно задать политики хранения для отдельных таблиц, за исключением рабочих областей в устаревшей ценовой категории бесплатной пробной версии.

В этом руководстве описано следующее:

  • Настройка политики хранения для таблицы
  • Проверка политики хранения и архивации данных

Предварительные требования

Для работы с этим руководством вам потребуются следующие ресурсы и роли.

  • Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

  • Учетная запись Azure со следующими ролями:

    Встроенные роли Область Причина
    Участник Log Analytics — Подписка и (или
    ) — группа ресурсов и(или
    ) таблица    		 Настройка политики хранения для таблиц в Log Analytics

  • Рабочая область Log Analytics.

Настройка политики хранения для таблицы

В рабочей области Log Analytics снимите флажок наследовать рабочую область, чтобы период интерактивного хранения был зафиксирован до 30 дней. Затем измените общую политику хранения для такой таблицы, как SecurityEvents , чтобы архивировать данные за 30 дней.

  1. Войдите на портал Azure.

  2. В портал Azure найдите и откройте рабочие области Log Analytics.

  3. Выберите соответствующую рабочую область.

  4. В разделе Параметры выберите Таблицы.

  5. В таблице, например SecurityEvent, откройте контекстное меню (...).

  6. Выберите Управление таблицей. Снимок экрана: параметр управления таблицей в контекстном меню для таблицы в представлении таблиц.

  7. В разделе Хранение данных введите следующие значения.

    Поле Значение
    Параметры рабочего места Снимите флажок
    Интерактивное хранение 30 дней
    Общий период хранения 60 дней

    Снимок экрана: параметры хранения данных, на котором показаны изменения полей в разделе хранения данных.

  8. Щелкните Сохранить.

Проверка политики хранения и архивации данных

На странице Таблицы для обновленной таблицы просмотрите значения полей Интерактивное хранение и Период архивирования. Архивный период равен общему периоду хранения в днях за вычетом интерактивного хранения в днях. Например, вы задали следующие значения:

Поле Значение
Интерактивное хранение 30 дней
Общий период хранения 60 дней

Таким образом, на странице Таблица отображается следующий архивный период в 30 дней.

Снимок экрана: представление таблицы, в котором показаны интерактивные столбцы периода хранения и периода архивации.

Очистка ресурсов

Ресурсы не созданы, но может потребоваться восстановить измененные параметры хранения данных.

Дальнейшие действия

Настройка политик хранения и архивации данных в журналах Azure Monitor