Datakvarhållning och arkivering i Azure Monitor-loggar

Azure Monitor-loggar behåller data i två tillstånd:

• Interaktiv kvarhållning: Låter dig behålla Analysloggar för interaktiva frågor på upp till två år.
• Arkiv: Låter dig behålla äldre, mindre använda data på din arbetsyta till en lägre kostnad. Du kan komma åt data i det arkiverade tillståndet med hjälp av sökjobb och återställning. Du kan lagra data i arkiverat tillstånd i upp till 12 år.

Den här artikeln beskriver hur du konfigurerar datakvarhållning och arkivering.

Så här fungerar kvarhållning och arkivering

Varje arbetsyta har en standardinställning för kvarhållning som tillämpas på alla tabeller. Du kan konfigurera en annan kvarhållningsinställning för enskilda tabeller.

Under den interaktiva kvarhållningsperioden är data tillgängliga för övervakning, felsökning och analys. När du inte längre använder loggarna, men ändå behöver behålla data för efterlevnad eller enstaka undersökningar, arkiverar du loggarna för att spara kostnader.

Arkiverade data finns kvar i samma tabell, tillsammans med de data som är tillgängliga för interaktiva frågor. När du anger en total kvarhållningsperiod som är längre än den interaktiva kvarhållningsperioden arkiverar Log Analytics automatiskt relevanta data omedelbart i slutet av kvarhållningsperioden.

Du kan komma åt arkiverade data genom att köra ett sökjobb eller återställa arkiverade loggar.

Kommentar

Arkivperioden kan bara anges på tabellnivå, inte på arbetsytenivå.

Justeringar av kvarhållnings- och arkivinställningar

När du förkortar en befintlig kvarhållningsinställning väntar Azure Monitor 30 dagar innan du tar bort data, så att du kan återställa ändringen och undvika dataförlust i händelse av ett fel i konfigurationen. Du kan rensa data omedelbart när det behövs.

När du ökar kvarhållningsinställningen gäller den nya kvarhållningsperioden för alla data som redan har matats in i tabellen och som ännu inte har rensats eller tagits bort.

Om du ändrar arkivinställningarna i en tabell med befintliga data påverkas även relevanta data i tabellen omedelbart. Du kan till exempel ha en befintlig tabell med 180 dagars interaktiv kvarhållning och ingen arkivperiod. Du bestämmer dig för att ändra kvarhållningsinställningen till 90 dagars interaktiv kvarhållning utan att ändra den totala kvarhållningsperioden på 180 dagar. Log Analytics arkiverar omedelbart data som är äldre än 90 dagar och ingen av data tas bort.

Vad händer med data när du tar bort en tabell på en Log Analytics-arbetsyta

En Log Analytics-arbetsyta kan innehålla flera typer av tabeller. Vad som händer när du tar bort tabellen är olika för varje:

Tabelltyp	Datakvarhållning	Rekommendationer
Azure Table	En Azure-tabell innehåller loggar från en Azure-resurs eller data som krävs av en Azure-tjänst eller lösning och kan inte tas bort. När du slutar strömma data från resursen, tjänsten eller lösningen finns data kvar på arbetsytan till slutet av den kvarhållningsperiod som definierats för tabellen eller för standardkvarhållning av arbetsytor, om du inte definierar kvarhållning på tabellnivå.	För att minimera avgifterna anger du kvarhållning på tabellnivå till fyra dagar innan du stoppar strömmande loggar till tabellen.
Återställd tabell(table_RST)	Tar bort den frekventa cache som har etablerats för återställningen, men källtabelldata tas inte bort.
Sökresultattabell (table_SRCH)	Tar bort tabellen och data omedelbart och permanent.
Anpassad loggtabell (table_CL)	Mjuk tar bort tabellen till slutet av kvarhållningen på tabellnivå eller standardkvarhållningsperioden för arbetsytan. Under perioden för mjuk borttagning fortsätter du att betala för datakvarhållning och kan återskapa tabellen och komma åt data genom att konfigurera en tabell med samma namn och schema. Fjorton dagar efter att du har tagit bort en anpassad tabell tar Azure Monitor bort kvarhållningskonfigurationen på tabellnivå och tillämpar standardkvarhållningen för arbetsytan.	För att minimera avgifterna anger du kvarhållning på tabellnivå till fyra dagar innan du tar bort tabellen.

Behörigheter som krävs

Åtgärd	Behörigheter som krävs
Konfigurera principer för datakvarhållning och arkivering för en Log Analytics-arbetsyta	Microsoft.OperationalInsights/workspaces/write och microsoft.operationalinsights/workspaces/tables/write behörigheter till Log Analytics-arbetsytan, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Hämta kvarhållnings- och arkivprincipen per tabell för en Log Analytics-arbetsyta	Microsoft.OperationalInsights/workspaces/tables/read behörigheter till Log Analytics-arbetsytan, enligt den inbyggda rollen Log Analytics Reader, till exempel
Rensa data från en Log Analytics-arbetsyta	Microsoft.OperationalInsights/workspaces/purge/action behörigheter till Log Analytics-arbetsytan enligt den inbyggda rollen Log Analytics-deltagare, till exempel

Konfigurera standardkvarhållning av arbetsytor

Du kan ange standardkvarhållning för en Log Analytics-arbetsyta i Azure-portalen till 30, 31, 60, 90, 120, 180, 270, 365, 550 och 730 dagar. Du kan använda en annan inställning för specifika tabeller genom att konfigurera kvarhållning och arkiv på tabellnivå. Om du är på den kostnadsfria nivån måste du uppgradera till den betalda nivån för att ändra datakvarhållningsperioden.

Viktigt!

Arbetsytor med kvarhållning på 30 dagar kan behålla data i 31 dagar. Om du bara behöver behålla data i 30 dagar för att följa en sekretesspolicy konfigurerar du standardkvarhållningen för arbetsytan till 30 dagar med hjälp av API:et och uppdaterar immediatePurgeDataOn30Days egenskapen för arbetsytan till true. Den här åtgärden stöds för närvarande endast med hjälp av API:et Workspaces – Update.

Portal

Så här anger du standardkvarhållning för arbetsytan:

1. På menyn Log Analytics-arbetsytor i Azure-portalen väljer du din arbetsyta.

2. Välj Användning och uppskattade kostnader i det vänstra fönstret.

3. Välj Datakvarhållning överst på sidan.

   

4. Flytta skjutreglaget för att öka eller minska antalet dagar och välj sedan OK.

API

Om du vill ange kvarhållnings- och arkivvaraktigheten för en tabell anropar du API:et Arbetsytor – Skapa eller uppdatera:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

Begärandetext

Begärandetexten innehåller värdena i följande tabell.

Namn	Type	Beskrivning
properties.retentionInDays	integer	Datakvarhållning för arbetsytan i dagar. Tillåtna värden är per prisplan. Mer information finns i dokumentationen om prisnivåer.
location	sträng	Resursens geo-plats.
immediatePurgeDataOn30Days	boolean	Flagga som anger om data omedelbart tas bort efter 30 dagar och inte kan återställas. Gäller endast när kvarhållning av arbetsytor är inställt på 30 dagar.

Exempel

I det här exemplet anges arbetsytans kvarhållning till standardvärdet för arbetsytan på 30 dagar och säkerställer att data tas bort omedelbart efter 30 dagar och inte kan återställas.

Begär

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

CLI

Om du vill ange kvarhållnings- och arkivvaraktigheten för en tabell kör du kommandot az monitor log-analytics workspace update och skickar parametern --retention-time .

I det här exemplet anges tabellens interaktiva kvarhållning till 30 dagar och den totala kvarhållningen till två år, vilket innebär att arkivvaraktigheten är 23 månader:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Använd cmdleten Set-AzOperationalInsightsWorkspace för att ange kvarhållning för en arbetsyta. I det här exemplet anges kvarhållningen för arbetsytan till 30 dagar:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Konfigurera kvarhållning och arkivering på tabellnivå

Som standard ärver alla tabeller i arbetsytan arbetsytans interaktiva kvarhållningsinställning och har inget arkiv. Du kan ändra kvarhållnings- och arkivinställningarna för enskilda tabeller, förutom arbetsytor i den äldre prisnivån för kostnadsfri utvärderingsversion.

Analysloggdataplanen innehåller 31 dagars interaktiv kvarhållning för arbetsytor på den aktuella generationens prisnivåer (betala per användning och åtagandenivåer samt äldre fristående och per nod-nivåer). Du kan öka den interaktiva kvarhållningsperioden till upp till 730 dagar till en extra kostnad. Om det behövs kan du minska den interaktiva kvarhållningsperioden till så lite som fyra dagar med hjälp av API:et eller CLI. Men eftersom 31 dagars interaktiv kvarhållning ingår i inmatningspriset minskar inte kostnaderna om du sänker kvarhållningsperioden under 31 dagar. Du kan ange arkivperioden till en total kvarhållningstid på upp till 4 383 dagar (12 år).

Kommentar

För närvarande kan du ange total kvarhållning till upp till 12 år via Azure-portalen och API:et. CLI och PowerShell är begränsade till sju år. 12 år kommer att följa.

Portal

Så här anger du kvarhållnings- och arkivvaraktigheten för en tabell i Azure-portalen:

1. På menyn Log Analytics-arbetsytor väljer du Tabeller.

   På skärmen Tabeller visas alla tabeller i arbetsytan.

2. Välj snabbmenyn för den tabell som du vill konfigurera och välj Hantera tabell.

   

3. Konfigurera kvarhållnings- och arkivvaraktigheten i avsnittet Inställningar för datakvarhållning på skärmen för tabellkonfiguration.

   

API

Om du vill ange kvarhållnings- och arkivvaraktigheten för en tabell anropar du API:et Tabeller – Uppdatering:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

Kommentar

Du anger inte uttryckligen arkivvaraktigheten i API-anropet. I stället anger du den totala kvarhållningen, vilket är summan av den interaktiva kvarhållningen plus arkivvaraktigheten.

Du kan använda PUT eller PATCH med följande skillnad:

• PUT-API:et anger retentionInDays och totalRetentionInDays till standardvärdet om du inte anger icke-null-värden.
• PATCH-API:et retentionInDays ändrar inte värdena eller totalRetentionInDays om du inte anger värden.

Begärandetext

Begärandetexten innehåller värdena i följande tabell.

Namn	Type	Beskrivning
properties.retentionInDays	integer	Tabellens datakvarhållning i dagar. Det här värdet kan vara mellan 4 och 730. Om du anger den här egenskapen till null tillämpas kvarhållningsperioden för arbetsytan. För tabellen Grundläggande loggar är värdet alltid 8.
properties.totalRetentionInDays	integer	Tabellens totala datakvarhållning inklusive arkivperiod. Det här värdet kan vara mellan 4 och 730. eller 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 eller 4383. Ange den här egenskapen till null om du inte vill arkivera data.

Exempel

I det här exemplet anges tabellens interaktiva kvarhållning till arbetsytans standardvärde på 30 dagar och den totala kvarhållningen till två år, vilket innebär att arkivvaraktigheten är 23 månader.

Begär

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

Begärandetext

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Response

Statuskod: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

CLI

Om du vill ange kvarhållnings- och arkivvaraktigheten för en tabell kör du kommandot az monitor log-analytics workspace table update och skickar parametrarna --retention-time och --total-retention-time .

I det här exemplet anges tabellens interaktiva kvarhållning till 30 dagar och den totala kvarhållningen till två år, vilket innebär att arkivvaraktigheten är 23 månader:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Om du vill tillämpa arbetsytans standardvärde för interaktiv kvarhållning på tabellen igen och återställa den totala kvarhållningen till 0 kör du kommandot az monitor log-analytics workspace table update med parametrarna --retention-time och --total-retention-time inställda på -1.

Till exempel:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Använd cmdleten Update-AzOperationalInsightsTable för att ange kvarhållnings- och arkivvaraktigheten för en tabell. I det här exemplet anges tabellens interaktiva kvarhållning till 30 dagar och den totala kvarhållningen till två år, vilket innebär att arkivvaraktigheten är 23 månader:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Om du vill tillämpa arbetsytans standardvärde för interaktiv kvarhållning på tabellen igen och återställa den totala kvarhållningen till 0 kör du cmdleten Update-AzOperationalInsightsTable med parametrarna -RetentionInDays och -TotalRetentionInDays inställda på -1.

Till exempel:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Hämta kvarhållnings- och arkivinställningar per tabell

Portal

Om du vill visa kvarhållnings- och arkivvaraktigheten för en tabell i Azure-portalen går du till Log Analytics-arbetsytemenyn och väljer Tabeller.

Skärmen Tabeller visar den interaktiva kvarhållnings- och arkivperioden för alla tabeller på arbetsytan.

API

Om du vill hämta kvarhållningsinställningen för en viss tabell (i det här exemplet SecurityEvent) anropar du Api:et Tabeller – Hämta :

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Ange inte ett tabellnamn för att hämta alla kvarhållningsinställningar på tabellnivå i arbetsytan.

Till exempel:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

CLI

Om du vill hämta kvarhållningsinställningen för en viss tabell kör du kommandot az monitor log-analytics workspace table show .

Till exempel:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Om du vill hämta kvarhållningsinställningen för en viss tabell kör du cmdleten Get-AzOperationalInsightsTable .

Till exempel:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Tabeller med unika kvarhållningsperioder

Som standard behåller två datatyper Usage och AzureActivity, data i minst 90 dagar utan kostnad. När du ökar kvarhållningen av arbetsytan till mer än 90 dagar ökar du också kvarhållningen av dessa datatyper. Dessa tabeller är också kostnadsfria från datainmatningsavgifter.

Tabeller relaterade till Application Insights-resurser behåller även data i 90 dagar utan kostnad. Du kan justera kvarhållningen av var och en av dessa tabeller individuellt:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Prismodell

Avgiften för att underhålla arkiverade loggar beräknas baserat på mängden data som du arkiverar, i GB och antalet eller dagarna som du arkiverar data för. Loggdata som inte omfattas _IsBillable == false av kvarhållnings- eller arkivavgifter.

Mer information finns i Prissättning för Azure Monitor.

Nästa steg

Läs mer om:

• Hantera personliga data i Azure Monitor-loggar
• Skapa ett sökjobb för att hämta arkivdata som matchar specifika villkor
• Återställa arkivdata inom ett visst tidsintervall