Aracılığıyla paylaş

Öğretici: Log Analytics çalışma alanında bir tablo için veri saklama ilkesi yapılandırma

  • Makale

Bu öğreticide, Log Analytics çalışma alanınızda Microsoft Sentinel veya Azure İzleyici için kullandığınız bir tablo için bekletme ilkesi ayarlayacaksınız. Bu adımlar, çalışma alanınızda daha eski ve daha az kullanılan verileri daha düşük maliyetle tutmanıza olanak sağlar.

Log Analytics çalışma alanında bekletme ilkeleri, çalışma alanı içindeki veri tablolarındaki eski kayıtların düşük maliyetli, en düşük erişimli uzun süreli saklama (eski adı arşiv) durumuna ne zaman geçirileceklerini tanımlar. Varsayılan olarak, çalışma alanınızdaki tüm tablolar çalışma alanının etkileşimli saklama ayarını devralır ve uzun süreli saklama (arşiv) ilkesi yoktur. Eski Ücretsiz Deneme fiyatlandırma katmanındaki çalışma alanları dışında tek tek tabloların etkileşimli ve uzun süreli saklama ilkelerini değiştirebilirsiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Tablo için bekletme ilkesini ayarlama
  • Etkileşimli ve uzun süreli saklama ilkelerini gözden geçirin

Önkoşullar

Bu öğreticideki adımları tamamlamak için aşağıdaki kaynaklara ve rollere sahip olmanız gerekir.

  • Etkin aboneliği olan Azure hesabı. Ücretsiz hesap oluşturun.

  • Aşağıdaki rollere sahip Azure hesabı:

    Yerleşik Rol Kapsam Nedeni
    Log Analytics Katkıda Bulunan Herhangi biri
    • Abonelik
    • Kaynak grubu
    • Tablo
    		 Log Analytics'te tablolarda bekletme ilkesi ayarlamak için

  • Log Analytics çalışma alanı.

Tablo için bekletme ilkesini ayarlama

Log Analytics çalışma alanınızda SecurityEvent tablosunun etkileşimli bekletme ilkesini çalışma alanı varsayılanı olan 90 gün olan 180 gün ve toplam bekletme ilkesini 3 yıl olarak değiştirin. Toplam saklama süresi, etkileşimli ve uzun süreli (arşiv) saklama sürelerinin toplamıdır.

  1. Azure Portal’ında oturum açın.

  2. Azure portalında Log Analytics çalışma alanlarını arayın ve açın.

  3. Uygun çalışma alanını seçin.

  4. Ayarlar'ın altında Tablolar'ı seçin.

  5. Listede SecurityEvent tablosunu bulun ve bağlam menüsünü (...) açın.

  6. Tabloyu yönet'i seçin.

    Tablolar görünümündeki bir tablonun bağlam menüsündeki Tabloyu yönet seçeneğinin ekran görüntüsü.

  7. Veri saklama ayarları'nın altında aşağıdaki değerleri girin.

    Alan Değer
    Etkileşimli saklama 180 gün
    Toplam saklama süresi 3 yıl

    Veri saklama bölümünün altındaki alanlarda yapılan değişiklikleri gösteren veri saklama ayarlarının ekran görüntüsü.

    Zaman grafiğinde, uzun süreli saklama süresinin gün cinsinden toplam saklama süresine eşit olduğunu ve gün cinsinden etkileşimli saklama süresini gösterdiğine bakın. Bu durumda, 915 gün veya 2,5 yıl.

  8. Kaydet'i seçin.

Etkileşimli ve toplam saklama ilkelerini gözden geçirme

Güncelleştirdiğiniz tablonun Tablolar sayfasında Etkileşimli saklama ve Toplam saklama için alan değerlerini gözden geçirin.

Etkileşimli saklama ve arşiv dönemi sütunlarını gösteren tablo görünümünün ekran görüntüsü.

Kaynakları temizleme

Kaynak oluşturulmadı, ancak değiştirdiğiniz veri saklama ayarlarını geri yüklemek isteyebilirsiniz.

Sonraki adımlar

Azure İzleyici Günlüklerinde etkileşimli ve uzun süreli veri saklama ilkelerini yapılandırma