Управление таблицами в рабочей области Log Analytics

Рабочая область Log Analytics позволяет собирать журналы из ресурсов Azure и не Azure в одно пространство для анализа данных, использовать другие службы, такие как Sentinel, а также активировать оповещения и действия, например с помощью Azure Logic Apps. Рабочая область Log Analytics состоит из таблиц, которые можно настроить для управления моделью данных и затратами, связанными с журналами. В этой статье описываются параметры конфигурации таблицы в журналах Azure Monitor и настройка свойств таблицы в зависимости от потребностей в анализе данных и управлении затратами.

Требуемые разрешения

У вас должны быть microsoft.operationalinsights/workspaces/tables/write разрешения на управляемые рабочие области Log Analytics, как указано встроенной ролью участника Log Analytics, например.

Свойства таблицы

На этой схеме представлен обзор параметров конфигурации таблицы в журналах Azure Monitor:

Тип таблицы и схема

Схема таблицы — это набор столбцов, составляющих таблицу, в которую журналы Azure Monitor собирают данные журнала из одного или нескольких источников данных.

Рабочая область Log Analytics может содержать следующие типы таблиц:

Тип таблицы	Источник данных	Схема
Таблица Azure	Журналы из ресурсов Azure или необходимые для служб и решений Azure.	Журналы Azure Monitor автоматически создают таблицы Azure на основе используемых служб Azure и параметров диагностики, настроенных для определенных ресурсов. Каждая таблица Azure имеет предопределенную схему. Столбцы можно добавить в таблицу Azure для хранения преобразованных данных журнала или обогащения данных в таблице Azure с данными из другого источника.
Пользовательская таблица	Ресурсы, отличные от Azure, и любой другой источник данных, например журналы на основе файлов.	Вы можете определить схему настраиваемой таблицы на основе того, как вы хотите хранить данные, собранные из заданного источника данных.
Результаты поиска	Все данные, хранящиеся в рабочей области Log Analytics.	Схема таблицы результатов поиска основана на запросе, определяемом при запуске задания поиска. Невозможно изменить схему существующих таблиц результатов поиска.
Восстановленные журналы	Архивированные журналы.	Восстановленная таблица журналов имеет ту же схему, что и таблица, из которой восстанавливаются журналы. Невозможно изменить схему существующих восстановленных таблиц журналов.

План данных журнала

Настройте план данных журнала таблицы на основе частоты доступа к данным в таблице:

• План аналитики предоставляет данные журнала для интерактивных запросов и используется функциями и службами.
• План данных журнала "Базовый" предоставляет недорогой способ приема и хранения журналов для устранения неполадок, отладки, аудита и соответствия требованиям.

Хранение и архив

Архивация — это решение с низкой стоимостью для хранения данных, которые больше не используются в рабочей области для соответствия требованиям или случайных исследований. Задайте для хранения на уровне таблицы переопределение хранения рабочей области по умолчанию и архивирования данных в рабочей области.

Чтобы получить доступ к архивным данным, запустите задание поиска или восстановите данные для определенного диапазона времени.

Преобразования во время приема

Сокращение затрат и усилий по анализу с помощью правил сбора данных для фильтрации и преобразования данных перед приемом на основе схемы, определяемой для пользовательской таблицы.

Просмотр свойств таблицы

Примечание.

Имя таблицы вводится с учетом регистра.

Портал

Чтобы просмотреть и задать свойства таблицы в портал Azure:

1. В рабочей области Log Analytics выберите "Таблицы".

   На экране "Таблицы" представлены сведения о конфигурации таблицы для всех таблиц в рабочей области Log Analytics.

   

2. Щелкните многоточие (...) справа от таблицы, чтобы открыть меню управления таблицами.

   Доступные параметры управления таблицами зависят от типа таблицы.

   1. Выберите " Управление таблицей ", чтобы изменить свойства таблицы.

   2. Выберите "Изменить схему ", чтобы просмотреть и изменить схему таблицы.

API

Чтобы просмотреть свойства таблицы, вызовите таблицу — get API:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Текст ответа

Имя.	Тип	Описание
properties.plan	строка	План таблицы. Analytics или Basic.
properties.retentionInDays	integer	Срок хранения данных в таблице в днях. В Basic Logs, значение равно 8 дням, исправлено. В Analytics Logsэтом случае значение составляет от четырех до 730 дней.
properties.totalRetentionInDays	integer	Хранение данных таблицы, включающее также период архива.
properties.archiveRetentionInDays	integer	Период архивирования данных для таблицы (только для чтения, вычисляемое значение).
properties.lastPlanModifiedDate	Строка	Последнее время, когда план был задан для этой таблицы. Значение NULL, если изменение не было сделано из параметров по умолчанию (только для чтения).

Образец запроса

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Пример ответа

Код состояния: 200.

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Чтобы задать свойства таблицы, вызовите API создания или обновления таблиц.

Azure CLI

Чтобы просмотреть свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace table show .

Например:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Чтобы задать свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace update .

PowerShell

Чтобы просмотреть свойства таблицы с помощью PowerShell, выполните следующую команду:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Пример ответа

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Используйте командлет Update-AzOperational Аналитика Table, чтобы задать свойства таблицы.

Следующие шаги

Вы узнаете, как выполнять следующие задачи:

• Настройка плана данных журнала таблицы
• Добавление настраиваемых таблиц и столбцов
• Настройка хранения и архива
• Проектирование архитектуры рабочей области