Hantera tabeller på en Log Analytics-arbetsyta
Med en Log Analytics-arbetsyta kan du samla in loggar från Azure- och icke-Azure-resurser till ett utrymme för dataanalys, använda andra tjänster, till exempel Sentinel, och utlösa aviseringar och åtgärder, till exempel med hjälp av Azure Logic Apps. Log Analytics-arbetsytan består av tabeller som du kan konfigurera för att hantera din datamodell och loggrelaterade kostnader. Den här artikeln beskriver konfigurationsalternativen för tabeller i Azure Monitor-loggar och hur du anger tabellegenskaper baserat på dina dataanalys- och kostnadshanteringsbehov.
Behörigheter som krävs
Du måste ha microsoft.operationalinsights/workspaces/tables/write behörighet till de Log Analytics-arbetsytor som du hanterar, till exempel den inbyggda rollen Log Analytics-deltagare.
Tabellegenskaper
Det här diagrammet ger en översikt över tabellkonfigurationsalternativen i Azure Monitor-loggar:
Tabelltyp och schema
En tabells schema är den uppsättning kolumner som utgör tabellen, där Azure Monitor-loggar samlar in loggdata från en eller flera datakällor.
Log Analytics-arbetsytan kan innehålla följande typer av tabeller:
| Tabelltyp | Data source | Schema |
|---|---|---|
| Azure Table | Loggar från Azure-resurser eller som krävs av Azure-tjänster och -lösningar. | Azure Monitor-loggar skapar Azure-tabeller automatiskt baserat på Azure-tjänster som du använder och diagnostikinställningar som du konfigurerar för specifika resurser. Varje Azure-tabell har ett fördefinierat schema. Du kan lägga till kolumner i en Azure-tabell för att lagra transformerade loggdata eller berika data i Azure-tabellen med data från en annan källa. |
| Anpassad tabell | Icke-Azure-resurser och andra datakällor, till exempel filbaserade loggar. | Du kan definiera en anpassad tabells schema baserat på hur du vill lagra data som du samlar in från en viss datakälla. |
| Sökresultat | Alla data som lagras på en Log Analytics-arbetsyta. | Schemat för en sökresultattabell baseras på den fråga som du definierar när du kör sökjobbet. Du kan inte redigera schemat för befintliga sökresultattabeller. |
| Återställde loggar | Arkiverade loggar. | En återställd loggtabell har samma schema som tabellen som du återställer loggar från. Du kan inte redigera schemat för befintliga återställde loggtabeller. |
Loggdataplan
Konfigurera en tabells loggdataplan baserat på hur ofta du kommer åt data i tabellen:
- Analysplanen gör loggdata tillgängliga för interaktiva frågor och används av funktioner och tjänster.
- Den grundläggande loggdataplanen är ett billigt sätt att mata in och behålla loggar för felsökning, felsökning, granskning och efterlevnad.
Kvarhållning och arkivering
Arkivering är en billig lösning för att lagra data som du inte längre använder regelbundet på din arbetsyta för efterlevnad eller tillfälliga undersökningar. Ange kvarhållning på tabellnivå för att åsidosätta standardkvarhållningen av arbetsytan och för att arkivera data på din arbetsyta.
Om du vill komma åt arkiverade data kör du ett sökjobb eller återställer data för ett visst tidsintervall.
Inmatningstidstransformeringar
Minska kostnaderna och analysarbetet genom att använda datainsamlingsregler för att filtrera bort och transformera data före inmatning baserat på det schema som du definierar för din anpassade tabell.
Visa tabellegenskaper
Kommentar
Tabellnamnet är skiftlägeskänsligt.
Så här visar och anger du tabellegenskaper i Azure-portalen:
Från Log Analytics-arbetsytan väljer du Tabeller.
Skärmen Tabeller visar tabellkonfigurationsinformation för alla tabeller i Log Analytics-arbetsytan.
Välj ellipsen (...) till höger om en tabell för att öppna menyn för tabellhantering.
Tillgängliga alternativ för tabellhantering varierar beroende på tabelltyp.
Välj Hantera tabell för att redigera tabellegenskaperna.
Välj Redigera schema för att visa och redigera tabellschemat.
Nästa steg
Lär dig att: