Поделиться через

Руководство. Настройка политики хранения данных для таблицы в рабочей области Log Analytics

  • Статья

В этом руководстве вы настроите политику хранения для таблицы в рабочей области Log Analytics, используемой для Microsoft Sentinel или Azure Monitor. Эти действия позволяют хранить старые, менее используемые данные в рабочей области с меньшими затратами.

Политики хранения в рабочей области Log Analytics определяют, когда следует переходить старые записи в таблицах данных в рабочей области с низкими затратами, минимальным доступом к долгосрочному хранению (ранее известному как архив). По умолчанию все таблицы в рабочей области наследуют интерактивный параметр хранения рабочей области и не имеют долгосрочной политики хранения (архива). Вы можете изменить интерактивные и долгосрочные политики хранения отдельных таблиц, за исключением рабочих областей в устаревшей ценовой категории "Бесплатная пробная версия".

В этом руководстве описано следующее:

  • Настройка политики хранения для таблицы
  • Просмотр интерактивных и долгосрочных политик хранения

Необходимые компоненты

Для работы с этим руководством вам потребуются следующие ресурсы и роли.

  • Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

  • Учетная запись Azure со следующими ролями:

    Встроенная роль Область Причина
    Участник Log Analytics Любой из
    • Подписка
    • Группа ресурсов
    • Таблица
    		 Настройка политики хранения в таблицах в Log Analytics

  • область Azure Log Analytics.

Настройка политики хранения для таблицы

В рабочей области Log Analytics измените интерактивную политику хранения таблицы SecurityEvent с 90 дней по умолчанию на 90 дней до 180 дней и общую политику хранения до 3 лет. Общий срок хранения — это сумма интерактивных и долгосрочных (архивных) периодов хранения.

  1. Войдите на портал Azure.

  2. В портал Azure найдите и откройте рабочие области Log Analytics.

  3. Выберите соответствующую рабочую область.

  4. В разделе "Параметры" выберите "Таблицы".

  5. Найдите таблицу SecurityEvent в списке и откройте контекстное меню (...).

  6. Выберите " Управление таблицей".

    Снимок экрана: параметр управления таблицами в контекстном меню таблицы в представлении таблиц.

  7. В разделе "Параметры хранения данных" введите следующие значения.

    Поле значение
    Интерактивное хранение 180 дней
    Общий срок хранения 3 года

    Снимок экрана: параметры хранения данных, показывающие изменения полей в разделе хранения данных.

    Обратитесь к тому, что график времени показывает, что долгосрочный период хранения равен общему периоду хранения в днях минус интерактивный период хранения в днях. В этом случае 915 дней или 2,5 года.

  8. Выберите Сохранить.

Просмотр интерактивных и общих политик хранения

На странице "Таблицы" для обновленной таблицы просмотрите значения полей для интерактивного хранения и общего хранения.

Снимок экрана: представление таблицы, в котором показаны столбцы интерактивного хранения и архивного периода.

Очистка ресурсов

Ресурсы не были созданы, но может потребоваться восстановить измененные параметры хранения данных.

Следующие шаги

Настройка интерактивных и долгосрочных политик хранения данных в журналах Azure Monitor