Log Analytics çalışma alanında veri saklamayı yönetme

Log Analytics çalışma alanı verileri iki durumda tutar:

• Analiz saklama: Bu durumda veriler izleme, sorun giderme ve neredeyse gerçek zamanlı analiz için kullanılabilir.
• Uzun süreli saklama: Bu düşük maliyetli durumda, tablo planı özellikleri için veriler kullanılamaz, ancak arama işleri aracılığıyla erişilebilir.

Bu makalede Log Analytics çalışma alanlarının verileri nasıl tuttuğu ve çalışma alanınızdaki tabloların veri saklamasını nasıl yönetecekleri açıklanır.

Analiz, uzun süreli ve toplam saklama

Varsayılan olarak, Log Analytics çalışma alanında bulunan tüm tablolar, 90 günlük varsayılan saklama süresine sahip günlük tabloları dışında verileri 30 gün boyunca tutar. Analytics planına sahip tablolar, verilerinizi bu Analytics saklama süresi boyunca gerçek zamanlı sorgular için kullanılabilir hale getirir. Tüm tablo planları depolanan verileri sorgular veya arama işleri aracılığıyla alabilir ve veriler tablo planına göre görselleştirmeler, uyarılar ve diğer özellikler ve hizmetler için kullanılabilir.

Analytics planıyla tabloların analiz saklama süresini iki yıla kadar uzatabilirsiniz. Temel plan tablolarının sorgular için sabit süresi 30 gündür, Yardımcı plan tabloları ise toplam saklama süresi için sorgulanabilir. Ancak hem Temel hem de Yardımcı tabloların dikkate alınması gereken ek noktalar vardır. Daha fazla bilgi için bkz. Temel ve Yardımcı tablolardaki verileri sorgulama.

Not

API veya CLI kullanarak Analytics tablolarının analiz saklama süresini dört güne kadar azaltabilirsiniz. Ancak 31 günlük analiz saklama süresi alım fiyatına dahil olduğundan saklama süresini 31 günün altına düşürmek maliyetleri azaltmaz.

Aynı tablodaki verileri varsayılan saklama süresinin ötesinde tutmak için tablonun toplam saklama süresini 12 yıla kadar uzatın. Analiz saklama süresinin sonunda veriler, yapılandırdığınız toplam saklama süresinin geri kalanında tabloda kalır. Uzun süreli saklama süresi olan bu süre boyunca, tablodan ihtiyacınız olan belirli verileri almak ve arama sonuçları tablosundaki etkileşimli sorgular için kullanılabilir hale getirmek için bir arama işi çalıştırın.

Tutma değişiklikleri nasıl işler?

Bir tablonun toplam saklama süresini kısalttığınızda, Azure İzleyici Günlükleri verileri kaldırmadan önce 30 gün bekler, böylece yapılandırmada hata yaptıysanız değişikliği geri alabilir ve veri kaybını önleyebilirsiniz.

Toplam saklama süresini artırdığınızda, yeni saklama süresi tabloya zaten alınmış olan ve henüz kaldırılmayan tüm veriler için geçerlidir.

Mevcut verilerle bir tablonun uzun süreli saklama ayarlarını değiştirdiğinizde, değişiklik hemen geçerli olur.

Example:

• 180 günlük analiz saklama süresine sahip ve uzun süreli saklama süresi olmayan mevcut bir Analytics tablonuz var.
• 180 günlük toplam saklama süresini değiştirmeden analiz saklama süresini 90 gün olarak değiştirirsiniz.
• Azure İzleyici, 90-180 günlük verilerin kaybolmaması için kalan 90 günlük toplam saklama süresini otomatik olarak düşük maliyetli, uzun süreli saklama olarak değerlendirir.

Gerekli izinler

Eylem	Gerekli izinler
Log Analytics çalışma alanında Analytics tabloları için varsayılan analiz saklamayı yapılandırma	Microsoft.OperationalInsights/workspaces/writeve microsoft.operationalinsights/workspaces/tables/write Log Analytics çalışma alanı izinleri, örneğin Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır
Log Analytics çalışma alanı için tabloya göre bekletme ayarını alma	Microsoft.OperationalInsights/workspaces/tables/read Log Analytics çalışma alanına yönelik izinler, örneğin Log Analytics okuyucusu yerleşik rolü tarafından sağlanan

Analytics tablolarının varsayılan analiz saklama süresini yapılandırma

Log Analytics çalışma alanında Analytics tablolarının varsayılan saklama süresi 30 gündür. Çalışma alanı düzeyinde veri saklama ayarını değiştirerek Analytics tablolarının varsayılan analiz süresini iki yıla kadar değiştirebilirsiniz. Temel ve Yardımcı tablolar yalnızca varsayılan olarak 30 gün olan toplam saklama süresine sahiptir.

Varsayılan çalışma alanı düzeyinde veri saklama ayarının değiştirilmesi, çalışma alanınızda varsayılan ayarın geçerli olduğu tüm Analytics tablolarını otomatik olarak etkiler. Belirli bir tablonun analiz saklama süresini zaten değiştirdiyseniz, çalışma alanı varsayılan veri saklama ayarını değiştirdiğinizde bu tablo etkilenmez.

Önemli

30 günlük saklama süresine sahip çalışma alanları verileri 31 gün boyunca tutabilir. Verileri yalnızca bir gizlilik ilkesine uymak için 30 gün boyunca saklamanız gerekiyorsa, API'yi kullanarak varsayılan çalışma alanı saklamayı 30 gün olarak yapılandırın ve çalışma alanı özelliğini olarak immediatePurgeDataOn30Daysgüncelleştirintrue. Bu işlem şu anda yalnızca Çalışma Alanları - Güncelleştirme API'sini kullanarak desteklenmektedir.

Portal

Log Analytics çalışma alanı içindeki Analytics tablolarının varsayılan analiz saklama süresini ayarlamak için:

1. Azure portalındaki Log Analytics çalışma alanları menüsünden çalışma alanınızı seçin.

2. Ayarlar bölümünde sol bölmede Kullanım ve tahmini maliyetler'i seçin.

3. Sayfanın üst kısmındaki Veri Saklama'ya tıklayın.

   

4. Gün sayısını artırmak veya azaltmak için kaydırıcıyı hareket ettirin ve tamam'ı seçin.

API

Log Analytics çalışma alanında Analytics tablolarının varsayılan analiz saklama süresini ayarlamak için Çalışma Alanları - Oluşturma veya Güncelleştirme API'sini çağırın:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

İstek gövdesi

İstek gövdesi aşağıdaki tabloda yer alan değerleri içerir.

Adı	Tür	Açıklama
properties.retentionInDays	tam sayı	Çalışma alanı verilerini gün olarak saklama. İzin verilen değerler fiyatlandırma planına göredir. Ayrıntılar için fiyatlandırma katmanları belgelerine bakın.
location	Dize	Kaynağın coğrafi konumu.
immediatePurgeDataOn30Days	Boolean	Verilerin 30 gün sonra hemen kaldırılıp kaldırılmadığını ve kurtarılamaz olduğunu gösteren bayrak. Yalnızca çalışma alanı saklama 30 gün olarak ayarlandığında geçerlidir.

Örnek

Bu örnek, çalışma alanının saklama süresini varsayılan olarak 30 gün olarak ayarlar ve verilerin 30 gün sonra hemen kaldırılmasını ve kurtarılamaz olmasını sağlar.

Talep

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
    "properties": {
        "retentionInDays": 30,
        "features": {"immediatePurgeDataOn30Days": true}
    },
    "location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
    "properties": {
        ...
        "retentionInDays": 30,
        "features": {
            "legacy": 0,
            "searchVersion": 1,
            "immediatePurgeDataOn30Days": true,
            ...
        }
    },
    ...
}

CLI

Log Analytics çalışma alanı içindeki Analytics tablolarının varsayılan analiz saklama süresini ayarlamak için az monitor log-analytics workspace update komutunu çalıştırın ve parametresini --retention-time geçirin.

Bu örnek, tablonun analiz saklama süresini 30 güne ayarlar:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Log Analytics çalışma alanı içindeki Analytics tablolarının varsayılan analiz saklama süresini ayarlamak için Set-AzOperationalInsightsWorkspace cmdlet'ini kullanın. Bu örnek, varsayılan analiz saklama süresini 30 güne ayarlar:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Tablo düzeyinde saklamayı yapılandırma

Varsayılan olarak, Analytics veri planına sahip tüm tablolar Log Analytics çalışma alanının varsayılan saklama ayarını devralır ve uzun süreli saklamaya sahip değildir. Analytics tablolarının analiz saklama süresini ek maliyetle 730 güne kadar artırabilirsiniz.

Herhangi bir veri planına sahip bir tabloya uzun süreli saklama eklemek için toplam saklama süresini 12 yıla (4.383 gün) kadar ayarlayın.

Not

Şu anda Azure portalı ve API aracılığıyla toplam saklama süresini 12 yıla kadar ayarlayabilirsiniz. CLI ve PowerShell yedi yılla sınırlıdır; 12 yıl boyunca destek alacaktır.

Portal

Azure portalında bir tablonun bekletme ayarını değiştirmek için:

1. Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.

   Tablolar ekranında çalışma alanı içindeki tüm tablolar listelenir.

2. Yapılandırmak istediğiniz tablonun bağlam menüsünü ve ardından Tabloyu yönet'i seçin.

   

3. Tablo yapılandırma ekranının Veri saklama ayarları bölümünde analiz saklama ve toplam saklama ayarlarını yapılandırın.

   

API

Tablonun bekletme ayarını değiştirmek için Tablolar - Güncelleştirme API'sini çağırın:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

AŞAĞıDAKI farkla PUT veya PATCH kullanabilirsiniz:

• NULL olmayan değerler ayarlamazsanız PUT API'sini retentionInDays ve totalRetentionInDays varsayılan değere ayarlar.
• Değer belirtmezseniz PATCH API'si retentionInDays veya totalRetentionInDays değerlerini değiştirmez.

İstek gövdesi

İstek gövdesi aşağıdaki tabloda yer alan değerleri içerir.

Adı	Tür	Açıklama
özellikler.retentionInDays	tam sayı	Tablonun gün içindeki veri saklama süresi. Bu değer 4 ile 730 arasında olabilir. Bu özelliği null olarak ayarlamak çalışma alanı saklama süresini uygular. Temel ve Yardımcı Günlükler tablosu için değer her zaman 30'dur.
properties.toplamTutmaSüresiGün	tam sayı	Tablonun toplam veri saklama süresi, uzun süreli saklamayı da içermektedir. Bu değer 4 ile 730 arasında olabilir; veya 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 veya 4383. Uzun süreli saklama istemiyorsanız bu özelliği null olarak ayarlayın.

Örnek

Bu örnek, tablonun analiz saklama süresini çalışma alanı varsayılanı olan 30 gün ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir.

Talep

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

İstek gövdesi

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Yanıt

Durum kodu: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
    ...
}

CLI

Tablonun bekletme ayarlarını değiştirmek için az monitor log-analytics workspace table update komutunu çalıştırın

Bu örnek, tablonun analiz saklama süresini 30 güne ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Çalışma alanının varsayılan bekletme değerini tabloya yeniden uygulamak ve toplam bekletmeyi 0 olarak sıfırlama yapmak için, ve --retention-time parametreleri --total-retention-time olarak ayarlanmış şekilde -1 komutunu çalıştırın.

Örneğin:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Tablonun bekletme ayarlarını değiştirmek için Update-AzOperationalInsightsTable cmdlet'ini kullanın. Bu örnek, tablonun analiz saklama süresini 30 güne ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Çalışma alanının varsayılan bekletme değerini tabloya yeniden uygulamak ve toplam bekletmesini 0 olarak sıfırlamak için, ve -RetentionInDays parametrelerini -TotalRetentionInDays olarak ayarlayıp -1 cmdlet'ini çalıştırın.

Örneğin:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

ARM (JSON)

Belirli bir tablonun bekletme süresini güncelleştirmek için bu örnek ARM (JSON) şablonunu ve parametre dosyasını kullanın.

Şablon dosyası

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "type": "string",
            "defaultValue": "sampleWorkspace",
            "metadata": {
                "description": "The number of days to retain the data."
            }
        },
        "tableName": {
            "type": "string",
            "defaultValue": "sampleTable",
            "metadata": {
                "description": "The name of the Log Analytics table to modify."
            }
        },
        "retentionInDays": {
            "type": "int",
            "defaultValue": 30,
            "metadata": {
                "description": "The number of days to retain the data."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.OperationalInsights/workspaces",
            "apiVersion": "2025-02-01",
            "name": "[parameters('workspaceName')]",
            "location": "[resourceGroup().location]",
            "resources": [
                {
                    "type": "Microsoft.OperationalInsights/workspaces/tables",
                    "apiVersion": "2025-02-01",
                    "name": "[concat(parameters('workspaceName'), '/', parameters('tableName'))]",
                    "properties": {
                        "retentionInDays": "[parameters('retentionInDays')]"
                    },
                    "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('workspaceName'))]" ]
                }
            ]
        }
    ]
}

Parametre dosyası

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "value": "MyWorkspace"
        },
        "tableName": {
            "value": "AppRequests"
        },
        "retentionInDays": {
            "value": 120
        }
    }
}

Biceps

Belirli bir tablonun bekletme süresini güncelleştirmek için bu örnek Bicep şablonunu ve parametre dosyasını kullanın.

Şablon dosyası

@description('The number of days to retain the data.')
param workspaceName string = 'sampleWorkspace'

@description('The name of the Log Analytics table to modify.')
param tableName string = 'sampleTable'

@description('The number of days to retain the data.')
param retentionInDays int = 30

resource workspace 'Microsoft.OperationalInsights/workspaces@2025-02-01' = {
    name: workspaceName
    location: resourceGroup().location
}

resource workspaceName_table 'Microsoft.OperationalInsights/workspaces/tables@2025-02-01' = {
    parent: workspace
    name: '${tableName}'
    properties: {
        retentionInDays: retentionInDays
    }
}

Parametre dosyası

using './<template-name>.bicep'

param workspaceName string = 'MyWorkspace'
param tableName string = 'AppRequests'
param retentionInDays int = 120

Tablo bazında veri bekletme ayarlarını al

Portal

Azure portalında bir tablonun bekletme ayarlarını görüntülemek için Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.

Tablolar ekranı, çalışma alanı içindeki tüm tablolar için analiz saklama ve toplam saklama sürelerini gösterir.

API

Belirli bir tablonun bekletme ayarını almak için (bu örnekte, SecurityEvent), Tablolar - Get API'sini çağırın:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Çalışma alanınızdaki tüm tablo düzeyinde saklama ayarlarını görmek için tablo adı belirlememelisiniz.

Örneğin:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

CLI

Belirli bir tablonun bekletme ayarını almak için az monitor log-analytics workspace table show komutunu çalıştırın.

Örneğin:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Belirli bir tablonun bekletme ayarını almak için Get-AzOperationalInsightsTable cmdlet'ini çalıştırın.

Örneğin:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Log Analytics çalışma alanında bir tabloyu sildiğinizde verilere ne olur?

Log Analytics çalışma alanı birkaç tür tablo içerebilir. Tabloyu sildiğinizde her biri için farklı olan ne olur:

Tablo türü	Veri muhafazası	Öneriler	Kurtarma
Azure tablosu	Azure tablosu bir Azure kaynağından veya çözümünden günlükleri tutar. Kaynağınızdan veya çözümünüzden veri göndermeyi durdurduğunuzda, veriler tablo için tanımlanan saklama süresinin sonuna kadar çalışma alanında kalır ve buna göre ücretlendirilir.	Ücretleri azaltmak için , tablo düzeyinde saklamayı dört gün (desteklenen en düşük süre) olarak ayarlayın. Silinen tablo kaldırılması gereken bir çözümle ilişkiliyse (örneğin, Sentinel), dört günlük saklama süresi geçtikten sonra çözümü kaldırın.	Çözümü etkinleştirin. Veri kurtarma, tablo saklamaya tabidir.
Özel log tablosu (table_CL)	Özel günlük tablosu günlük alma API'sinden veya HTTP veri toplayıcı API'sinden (kullanım dışı) günlükleri tutar. Tabloyu sildiğinizde, tablo adı on beş gün boyunca ayrılmış olarak kalır. Analytics veya Temel planlarda tablo silindiğinde veriler silinmez. Tablo saklama, bekletme ücretlerinin tablodaki saklamaya bağlı kaldığı on beş gün sonra çalışma alanı saklama olarak ayarlanır. Yardımcı planda bir tablo silindiğinde, veriler on beş gün sonra kalıcı olarak silinir.	Ücretleri en aza indirmek için tablo düzeyinde saklamayı dört gün olarak ayarlayın ve veriler kırpıldıktan dört gün sonra tabloyu silin.	Analiz veya Temel planlar: Tabloyu aynı ad ve şemayla oluşturun. Veri kurtarma, tablo saklamaya tabidir. Yardımcı plan: Geçici silme döneminde tabloyu aynı ad ve şemayla oluşturun.
Arama sonuçları tablosu (table_SRCH)	Tabloyu ve verileri hemen ve kalıcı olarak siler.
Geri yüklenen tablo(table_RST)	Geri yükleme için sağlanan sık erişimli önbelleği siler, ancak kaynak tablo verileri silinmez.

90 günlük varsayılan saklama ile günlük tabloları

Varsayılan olarak, Usage ve AzureActivity tabloları verileri en az 90 gün boyunca ücretsiz olarak tutar. Çalışma alanı saklama süresini 90 günden fazla artırdığınızda, bu tabloların saklama süresini de artırırsınız. Bu tablolar ayrıca veri alımı ücretlerinden de ücretsizdir.

Application Insights kaynaklarıyla ilgili tablolar da verileri 90 gün boyunca ücretsiz olarak tutar. Bu tabloların her birinin saklama süresini tek tek ayarlayabilirsiniz:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Fiyatlandırma modeli

Analiz ve uzun süreli saklama, GB veri hacmine ve verilerin saklandığı gün sayısına göre hesaplanır. Veri saklama için faturalama günlük olarak gerçekleşir (UTC saat dilimindeki günlere göre). _IsBillable == false içeren günlük verileri, veri alımı veya saklama ücretlerine tabi değildir.

Daha fazla bilgi için aşağıdaki makalelere bakın:

• Bekletme faturalaması.
• Azure İzleyici saklama fiyatlandırması.

İlgili içerik

Aşağıdakiler hakkında daha fazla bilgi edinin:

• Azure İzleyici Günlüklerinde kişisel verileri yönetme
• Belirli ölçütlere uyan verileri almak için arama işi oluşturma
• Belirli bir zaman aralığı için verileri geri yükleme