Log Analytics çalışma alanında veri saklamayı yönetme

Log Analytics çalışma alanı verileri iki durumda tutar:

• Etkileşimli saklama: Bu durumda veriler izleme, sorun giderme ve neredeyse gerçek zamanlı analiz için kullanılabilir.
• Uzun süreli saklama: Bu düşük maliyetli durumda, tablo planı özellikleri için veriler kullanılamaz, ancak arama işleri aracılığıyla erişilebilir.

Bu makalede Log Analytics çalışma alanlarının verileri nasıl tuttuğu ve çalışma alanınızdaki tabloların veri saklamasını nasıl yönetecekleri açıklanır.

Etkileşimli, uzun süreli ve toplam saklama

Varsayılan olarak, Log Analytics çalışma alanında bulunan tüm tablolar, 90 günlük varsayılan saklama süresine sahip günlük tabloları dışında verileri 30 gün boyunca tutar. Etkileşimli saklama süresi olan bu süre boyunca, sorgular aracılığıyla tablodan verileri alabilirsiniz ve veriler tablo planına bağlı olarak görselleştirmeler, uyarılar ve diğer özellikler ve hizmetler için kullanılabilir.

Analytics planıyla tabloların etkileşimli saklama süresini iki yıla kadar uzatabilirsiniz. Temel ve Yardımcı planların 30 günlük sabit etkileşimli saklama süresi vardır.

Not

API veya CLI kullanarak Analytics tablolarının etkileşimli saklama süresini dört güne kadar azaltabilirsiniz. Ancak alım fiyatına 31 günlük etkileşimli saklama dahil olduğundan saklama süresini 31 günün altına düşürmek maliyetleri düşürmez.

Verileri etkileşimli saklama süresinin ötesinde aynı tabloda tutmak için tablonun toplam saklama süresini 12 yıla kadar uzatın. Etkileşimli saklama süresinin sonunda, veriler yapılandırdığınız toplam saklama süresinin geri kalanında tabloda kalır. Uzun süreli saklama süresi olan bu süre boyunca, tablodan ihtiyacınız olan belirli verileri almak ve arama sonuçları tablosundaki etkileşimli sorgular için kullanılabilir hale getirmek için bir arama işi çalıştırın.

Bekletme değişiklikleri nasıl çalışır?

Bir tablonun toplam saklama süresini kısalttığınızda, Azure İzleyici Günlükleri verileri kaldırmadan önce 30 gün bekler, böylece yapılandırmada hata yaptıysanız değişikliği geri alabilir ve veri kaybını önleyebilirsiniz.

Toplam saklama süresini artırdığınızda, yeni saklama süresi tabloya zaten alınmış olan ve henüz kaldırılmayan tüm veriler için geçerlidir.

Mevcut verilerle bir tablonun uzun süreli saklama ayarlarını değiştirdiğinizde, değişiklik hemen geçerli olur.

Örnek:

• 180 günlük etkileşimli saklama süresine ve uzun süreli saklama süresine sahip olmayan mevcut bir Analytics tablonuz var.
• 180 günlük toplam saklama süresini değiştirmeden etkileşimli saklamayı 90 gün olarak değiştirirsiniz.
• Azure İzleyici, 90-180 günlük verilerin kaybolmaması için kalan 90 günlük toplam saklama süresini otomatik olarak düşük maliyetli, uzun süreli saklama olarak değerlendirir.

Gerekli izinler

Eylem	Gerekli izinler
Log Analytics çalışma alanında Analytics tabloları için varsayılan etkileşimli saklamayı yapılandırma	Microsoft.OperationalInsights/workspaces/writeve microsoft.operationalinsights/workspaces/tables/write Log Analytics çalışma alanı izinleri, örneğin Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır
Log Analytics çalışma alanı için tabloya göre bekletme ayarını alma	Microsoft.OperationalInsights/workspaces/tables/readLog Analytics okuyucusu yerleşik rolü tarafından sağlanan Log Analytics çalışma alanına yönelik izinler, örneğin

Analytics tablolarının varsayılan etkileşimli saklama süresini yapılandırma

Log Analytics çalışma alanında tüm tabloların varsayılan etkileşimli saklama süresi 30 gündür. Çalışma alanı düzeyinde veri saklama ayarını değiştirerek Analytics tablolarının varsayılan etkileşimli süresini iki yıla kadar değiştirebilirsiniz. Temel ve Yardımcı tabloların 30 günlük sabit etkileşimli saklama süresi vardır.

Varsayılan çalışma alanı düzeyinde veri saklama ayarının değiştirilmesi, çalışma alanınızda varsayılan ayarın geçerli olduğu tüm Analytics tablolarını otomatik olarak etkiler. Belirli bir tablonun etkileşimli saklama süresini zaten değiştirdiyseniz, çalışma alanı varsayılan veri saklama ayarını değiştirdiğinizde bu tablo etkilenmez.

Önemli

30 günlük saklama süresine sahip çalışma alanları verileri 31 gün boyunca tutabilir. Verileri yalnızca bir gizlilik ilkesine uymak için 30 gün boyunca saklamanız gerekiyorsa, API'yi kullanarak varsayılan çalışma alanı saklamayı 30 gün olarak yapılandırın ve çalışma alanı özelliğini olarak truegüncelleştirinimmediatePurgeDataOn30Days. Bu işlem şu anda yalnızca Çalışma Alanları - Güncelleştirme API'sini kullanarak desteklenmektedir.

Portal

Log Analytics çalışma alanında Analytics tablolarının varsayılan etkileşimli saklama süresini ayarlamak için:

1. Azure portalındaki Log Analytics çalışma alanları menüsünden çalışma alanınızı seçin.

2. Sol bölmede Kullanım ve tahmini maliyetler'i seçin.

3. Sayfanın üst kısmındaki Veri Saklama'ya tıklayın.

   

4. Gün sayısını artırmak veya azaltmak için kaydırıcıyı hareket ettirin ve tamam'ı seçin.

API

Log Analytics çalışma alanı içindeki Analytics tablolarının varsayılan etkileşimli saklama süresini ayarlamak için Çalışma Alanları - Oluşturma veya Güncelleştirme API'sini çağırın:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

İstek gövdesi

İstek gövdesi aşağıdaki tabloda yer alan değerleri içerir.

Adı	Tür	Açıklama
properties.retentionInDays	integer	Çalışma alanı verilerini gün olarak saklama. İzin verilen değerler fiyatlandırma planına göredir. Ayrıntılar için fiyatlandırma katmanları belgelerine bakın.
location	Dize	Kaynağın coğrafi konumu.
immediatePurgeDataOn30Days	boolean	Verilerin 30 gün sonra hemen kaldırılıp kaldırılmadığını ve kurtarılamaz olduğunu gösteren bayrak. Yalnızca çalışma alanı saklama 30 gün olarak ayarlandığında geçerlidir.

Örnek

Bu örnek, çalışma alanının saklama süresini varsayılan olarak 30 gün olarak ayarlar ve verilerin 30 gün sonra hemen kaldırılmasını ve kurtarılamaz olmasını sağlar.

İste

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

CLI

Log Analytics çalışma alanında Analytics tablolarının varsayılan etkileşimli saklama süresini ayarlamak için az monitor log-analytics workspace update komutunu çalıştırın ve parametresini --retention-time geçirin.

Bu örnek, tablonun etkileşimli saklama süresini 30 güne ayarlar:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Log Analytics çalışma alanı içindeki Analytics tablolarının varsayılan etkileşimli saklama süresini ayarlamak için Set-AzOperationalInsightsWorkspace cmdlet'ini kullanın. Bu örnek, varsayılan etkileşimli saklama süresini 30 güne ayarlar:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Tablo düzeyinde saklamayı yapılandırma

Varsayılan olarak, Analytics veri planına sahip tüm tablolar Log Analytics çalışma alanının varsayılan etkileşimli saklama ayarını devralır ve uzun süreli saklamaya sahip değildir. Ek maliyetle Analytics tablolarının etkileşimli saklama süresini 730 güne kadar artırabilirsiniz.

Herhangi bir veri planına sahip bir tabloya uzun süreli saklama eklemek için toplam saklama süresini 12 yıla (4.383 gün) kadar ayarlayın. Yardımcı tablo planı şu anda genel önizleme aşamasındadır ve bu süre boyunca planın toplam saklama süresi 365 günde sabittir.

Not

Şu anda Azure portalı ve API aracılığıyla toplam saklama süresini 12 yıla kadar ayarlayabilirsiniz. CLI ve PowerShell yedi yılla sınırlıdır; 12 yıl boyunca destek alacaktır.

Portal

Azure portalında bir tablonun bekletme ayarını değiştirmek için:

1. Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.

   Tablolar ekranında çalışma alanı içindeki tüm tablolar listelenir.

2. Yapılandırmak istediğiniz tablonun bağlam menüsünü ve ardından Tabloyu yönet'i seçin.

   

3. Tablo yapılandırma ekranının Veri saklama ayarları bölümünde etkileşimli saklama ve toplam saklama ayarlarını yapılandırın.

   

API

Tablonun bekletme ayarını değiştirmek için Tablolar - Güncelleştirme API'sini çağırın:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

AŞAĞıDAKI farkla PUT veya PATCH kullanabilirsiniz:

• NULL olmayan değerler ayarlamazsanız PUT API'sini retentionInDays ve totalRetentionInDays varsayılan değere ayarlar.
• Değer belirtmezseniz PATCH API'si retentionInDays veya totalRetentionInDays değerlerini değiştirmez.

İstek gövdesi

İstek gövdesi aşağıdaki tabloda yer alan değerleri içerir.

Adı	Tür	Açıklama
properties.retentionInDays	integer	Tablonun gün içindeki veri saklama süresi. Bu değer 4 ile 730 arasında olabilir. Bu özelliği null olarak ayarlamak çalışma alanı saklama süresini uygular. Temel Günlükler tablosu için değer her zaman 8'dir.
properties.totalRetentionInDays	integer	Tablonun uzun süreli saklama dahil olmak üzere toplam veri saklaması. Bu değer 4 ile 730 arasında olabilir; veya 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 veya 4383. Uzun süreli saklama istemiyorsanız bu özelliği null olarak ayarlayın.

Örnek

Bu örnek, tablonun etkileşimli saklama süresini çalışma alanı varsayılanı olan 30 gün ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir.

İste

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

İstek gövdesi

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Response

Durum kodu: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

CLI

Tablonun bekletme ayarlarını değiştirmek için az monitor log-analytics workspace table update komutunu çalıştırın ve ve --total-retention-time parametrelerini geçirin--retention-time.

Bu örnek, tablonun etkileşimli saklama süresini 30 güne ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Çalışma alanının varsayılan etkileşimli bekletme değerini tabloya yeniden uygulamak ve toplam saklama alanını 0 olarak sıfırlamak için az monitor log-analytics workspace table update komutunu --retention-time ve --total-retention-time parametreleri olarak -1ayarlayın.

Örneğin:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Tablonun bekletme ayarlarını değiştirmek için Update-AzOperationalInsightsTable cmdlet'ini kullanın. Bu örnek, tablonun etkileşimli saklama süresini 30 güne ve toplam saklama süresini iki yıla ayarlar; bu da uzun süreli saklama süresinin 23 ay olduğu anlamına gelir:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Çalışma alanının varsayılan etkileşimli bekletme değerini tabloya yeniden uygulamak ve toplam saklama alanını 0 olarak sıfırlamak için, ve -TotalRetentionInDays parametreleri olarak ayarlanmış Update-AzOperationalInsightsTable cmdlet'ini -1-RetentionInDays çalıştırın.

Örneğin:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Tabloya göre bekletme ayarlarını alma

Portal

Azure portalında bir tablonun bekletme ayarlarını görüntülemek için Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.

Tablolar ekranında, çalışma alanı içindeki tüm tablolar için etkileşimli saklama ve toplam saklama süreleri gösterilir.

API

Belirli bir tablonun bekletme ayarını almak için (bu örnekte, SecurityEvent), Tablolar - Get API'sini çağırın:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Çalışma alanınızdaki tüm tablo düzeyinde bekletme ayarlarını almak için tablo adı ayarlamayın.

Örneğin:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

CLI

Belirli bir tablonun bekletme ayarını almak için az monitor log-analytics workspace table show komutunu çalıştırın.

Örneğin:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Belirli bir tablonun bekletme ayarını almak için Get-AzOperationalInsightsTable cmdlet'ini çalıştırın.

Örneğin:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Log Analytics çalışma alanında bir tabloyu sildiğinizde verilere ne olur?

Log Analytics çalışma alanı birkaç tür tablo içerebilir. Tabloyu sildiğinizde her biri için farklı olan ne olur:

Tablo türü	Veri saklama	Öneriler
Azure tablosu	Azure tablosu bir Azure kaynağından veya Bir Azure hizmeti veya çözümü tarafından gerekli olan verilerden günlükleri tutar ve silinemez. Kaynaktan, hizmetten veya çözümden veri akışını durdurduğunuzda, veriler tablo için tanımlanan bekletme süresinin sonuna kadar çalışma alanında kalır.	Ücretleri en aza indirmek için tablo düzeyinde saklamayı, tabloya günlük akışını durdurmadan önce dört gün olarak ayarlayın.
Özel günlük tablosu (table_CL)	Geçici olarak, tablo düzeyinde saklama veya varsayılan çalışma alanı saklama süresinin sonuna kadar tabloyu siler. Geçici silme süresi boyunca, veri saklama için ödeme yapmaya devam edebilirsiniz ve tabloyu yeniden oluşturabilir ve aynı ad ve şemaya sahip bir tablo ayarlayarak verilere erişebilirsiniz. Özel tabloyu sildikten on dört gün sonra Azure İzleyici, tablo düzeyinde bekletme yapılandırmasını kaldırır ve varsayılan çalışma alanı saklamayı uygular.	Ücretleri en aza indirmek için, tabloyu silmeden önce tablo düzeyinde saklamayı dört gün olarak ayarlayın.
Arama sonuçları tablosu (table_SRCH)	Tabloyu ve verileri hemen ve kalıcı olarak siler.
Geri yüklenen tablo (table_RST)	Geri yükleme için sağlanan sık erişimli önbelleği siler, ancak kaynak tablo verileri silinmez.

90 günlük varsayılan saklama ile tabloları günlüğe kaydetme

Varsayılan olarak ve AzureActivity tabloları verileri Usage en az 90 gün boyunca ücretsiz olarak tutar. Çalışma alanı saklama süresini 90 günden fazla artırdığınızda, bu tabloların saklama süresini de artırırsınız. Bu tablolar ayrıca veri alımı ücretlerinden de ücretsizdir.

Application Insights kaynaklarıyla ilgili tablolar da verileri 90 gün boyunca ücretsiz olarak tutar. Bu tabloların her birinin saklama süresini tek tek ayarlayabilirsiniz:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Fiyatlandırma modeli

Etkileşimli saklama ve uzun süreli saklama ekleme ücreti, tuttuğun veri hacmine, GB olarak ve verileri tuttuğun sayı veya gün sayısına göre hesaplanır. Veri alımı veya saklama ücretlerine tabi olmayan günlük verileri _IsBillable == false .

Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin:

• Azure İzleyici Günlüklerinde kişisel verileri yönetme
• Belirli ölçütlere uyan yardımcı verileri almak için arama işi oluşturma
• Belirli bir zaman aralığı için yardımcı katmandan verileri geri yükleme