Управление таблицами в рабочей области Log Analytics

Рабочая область Log Analytics позволяет собирать данные журнала из ресурсов Azure и не Azure в одно пространство для анализа, использовать другие службы, такие как Sentinel, а также активировать оповещения и действия, например с помощью Azure Logic Apps. Рабочая область Log Analytics состоит из таблиц, которые можно настроить для управления моделью данных, доступом к данным и затратами, связанными с журналами. В этой статье описываются параметры конфигурации таблицы в журналах Azure Monitor и настройка свойств таблицы в зависимости от потребностей в анализе данных и управлении затратами.

Свойства таблицы

На этой схеме представлен обзор параметров конфигурации таблицы в журналах Azure Monitor:

Тип таблицы и схема

Схема таблицы — это набор столбцов, составляющих таблицу, в которую журналы Azure Monitor собирают данные журнала из одного или нескольких источников данных.

Рабочая область Log Analytics может содержать следующие типы таблиц:

Тип таблицы	Источник данных	Схема
Таблица Azure	Журналы из ресурсов Azure или необходимые для служб и решений Azure.	Журналы Azure Monitor автоматически создают таблицы Azure на основе используемых служб Azure и параметров диагностики, настроенных для определенных ресурсов. Каждая таблица Azure имеет предопределенную схему. Столбцы можно добавить в таблицу Azure для хранения преобразованных данных журнала или обогащения данных в таблице Azure с данными из другого источника.
Пользовательская таблица	Ресурсы, отличные от Azure, и любой другой источник данных, например журналы на основе файлов.	Вы можете определить схему настраиваемой таблицы на основе того, как вы хотите хранить данные, собранные из заданного источника данных.
Результаты поиска	Все данные, хранящиеся в рабочей области Log Analytics.	Схема таблицы результатов поиска основана на запросе, определяемом при запуске задания поиска. Невозможно изменить схему существующих таблиц результатов поиска.
Восстановленные журналы	Данные, хранящиеся в определенной таблице в рабочей области Log Analytics.	Восстановленная таблица журналов имеет ту же схему, что и таблица, из которой восстанавливаются журналы. Невозможно изменить схему существующих восстановленных таблиц журналов.

План таблицы

Настройте план таблицы на основе частоты доступа к данным в таблице:

• План аналитики подходит для непрерывного мониторинга, обнаружения в режиме реального времени и анализа производительности. Этот план делает данные журнала доступными для интерактивных запросов с несколькими таблицами и используются функциями и службами в течение 30 дней до двух лет.
• Базовый план подходит для устранения неполадок и реагирования на инциденты. Этот план предлагает скидки на прием и оптимизированные одно табличные запросы в течение 30 дней.
• Вспомогательный план подходит для низко сенсорных данных, таких как подробные журналы и данные, необходимые для аудита и соответствия требованиям. Этот план предлагает низкооценные приемы и неоптимизированные запросы с одной таблицей в течение 30 дней.

Полные сведения о планах таблиц журналов Azure Monitor см. в журналах Azure Monitor: планы таблиц.

Длительное хранение

Долгосрочное хранение — это решение с низкой стоимостью для хранения данных, которые не используются регулярно в рабочей области для соответствия требованиям или случайного исследования. Используйте параметры хранения на уровне таблицы для добавления или расширения долгосрочного хранения.

Чтобы получить доступ к данным в долгосрочном хранении, запустите задание поиска.

Преобразования во время приема

Сокращение затрат и усилий по анализу с помощью правил сбора данных для фильтрации и преобразования данных перед приемом на основе схемы, определяемой для пользовательской таблицы.

Примечание

Таблицы с планом вспомогательной таблицы в настоящее время не поддерживают преобразование данных. Дополнительные сведения см. в статье об ограничениях общедоступной предварительной версии плана вспомогательной таблицы.

Просмотр свойств таблицы

Примечание

Имя таблицы вводится с учетом регистра.

Портал

Чтобы просмотреть и задать свойства таблицы в портал Azure:

1. В рабочей области Log Analytics выберите "Таблицы".

   На экране "Таблицы" представлены сведения о конфигурации таблицы для всех таблиц в рабочей области Log Analytics.

   

2. Щелкните многоточие (...) справа от таблицы, чтобы открыть меню управления таблицами.

   Доступные параметры управления таблицами зависят от типа таблицы.

   1. Выберите " Управление таблицей ", чтобы изменить свойства таблицы.

   2. Выберите "Изменить схему ", чтобы просмотреть и изменить схему таблицы.

API

Чтобы просмотреть свойства таблицы, вызовите таблицу — get API:

HTTP

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Текст ответа

Имя.	Тип	Описание
properties.plan	строка	План таблицы. Analytics, Basic или Auxiliary.
properties.retentionInDays	integer	Интерактивное хранение таблицы в днях. Для Basic и Auxiliiary, это значение составляет 30 дней. Для Analyticsэтого значение составляет от четырех до 730 дней.
properties.totalRetentionInDays	integer	Общее хранение данных таблицы, включая интерактивное и долгосрочное хранение.
properties.archiveRetentionInDays	integer	Долгосрочный период хранения таблицы (только для чтения, вычисляемый).
properties.lastPlanModifiedDate	Строка	Последнее время, когда план был задан для этой таблицы. Значение NULL, если изменение не было сделано из параметров по умолчанию (только для чтения).

Образец запроса

HTTP

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Пример ответа

Код состояния: 200.

HTTP

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Чтобы задать свойства таблицы, вызовите API создания или обновления таблиц.

Azure CLI

Чтобы просмотреть свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace table show .

Например:

Azure CLI

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Чтобы задать свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace update .

PowerShell

Чтобы просмотреть свойства таблицы с помощью PowerShell, выполните следующую команду:

PowerShell

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Пример ответа

JSON

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Используйте командлет Update-AzOperationalInsightsTable для задания свойств таблицы.

Следующие шаги

Вы узнаете, как выполнять следующие задачи:

• Настройка плана данных журнала таблицы
• Добавление настраиваемых таблиц и столбцов
• Настройка хранения данных
• Проектирование архитектуры рабочей области