Log Analytics çalışma alanında tabloları yönetme

Log Analytics çalışma alanı, Veri analizi için Azure'dan ve Azure dışı kaynaklardan günlükleri tek bir alanda toplamanıza, Sentinel gibi diğer hizmetler tarafından kullanılmasına ve uyarıları ve eylemleri (örneğin Azure Logic Apps kullanarak) tetiklemenize olanak tanır. Log Analytics çalışma alanı, veri modelinizi ve günlükle ilgili maliyetleri yönetmek için yapılandırabileceğiniz tablolardan oluşur. Bu makalede, Azure İzleyici Günlükleri'ndeki tablo yapılandırma seçenekleri ve veri çözümlemenize ve maliyet yönetimi gereksinimlerinize göre tablo özelliklerinin nasıl ayarlanacağı açıklanmaktadır.

Gerekli izinler

Örneğin Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlandığı gibi yönettiğiniz Log Analytics çalışma alanları için izinlere sahip microsoft.operationalinsights/workspaces/tables/write olmanız gerekir.

Tablo özellikleri

Bu diyagram, Azure İzleyici Günlüklerindeki tablo yapılandırma seçeneklerine genel bir bakış sağlar:

Tablo türü ve şema

Tablonun şeması, Azure İzleyici Günlüklerinin bir veya daha fazla veri kaynağından günlük verilerini topladığı tabloyu oluşturan sütun kümesidir.

Log Analytics çalışma alanınız aşağıdaki tablo türlerini içerebilir:

Tablo türü	Data source	Şema
Azure tablosu	Azure kaynaklarından günlükler veya Azure hizmetleri ve çözümleri için gereklidir.	Azure İzleyici Günlükleri, kullandığınız Azure hizmetlerini ve belirli kaynaklar için yapılandırdığınız tanılama ayarlarını temel alarak Azure tablolarını otomatik olarak oluşturur. Her Azure tablosunun önceden tanımlanmış bir şeması vardır. Dönüştürülmüş günlük verilerini depolamak veya Azure tablosundaki verileri başka bir kaynaktan alınan verilerle zenginleştirmek için Azure tablosuna sütunlar ekleyebilirsiniz.
Özel tablo	Azure dışı kaynaklar ve dosya tabanlı günlükler gibi diğer veri kaynakları.	Belirli bir veri kaynağından topladığınız verileri nasıl depolamak istediğinize bağlı olarak özel bir tablonun şemasını tanımlayabilirsiniz.
Sonuçlarda ara	Log Analytics çalışma alanında depolanan tüm veriler.	Arama sonuçları tablosunun şeması, arama işini çalıştırdığınızda tanımladığınız sorguyu temel alır. Mevcut arama sonuçları tablolarının şemasını düzenleyemezsiniz.
Geri yüklenen günlükler	Arşivlenmiş günlükler.	Geri yüklenen günlükler tablosu, günlükleri geri yüklediğiniz tabloyla aynı şemaya sahiptir. Mevcut geri yüklenen günlükler tablolarının şemasını düzenleyemezsiniz.

Günlük veri planı

Tablodaki verilere ne sıklıkta erişdiğinize bağlı olarak tablonun günlük veri planını yapılandırın:

• Analiz planı, günlük verilerini etkileşimli sorgular için kullanılabilir hale getirir ve özellikler ve hizmetler tarafından kullanılır.
• Temel günlük verileri planı, sorun giderme, hata ayıklama, denetim ve uyumluluk için günlükleri almak ve tutmak için düşük maliyetli bir yol sağlar.

Bekletme ve arşiv

Arşivleme, artık düzenli olarak kullanmadığınız verileri uyumluluk veya ara sıra araştırma amacıyla çalışma alanınızda tutmaya yönelik düşük maliyetli bir çözümdür. Varsayılan çalışma alanı saklamayı geçersiz kılmak ve çalışma alanınızdaki verileri arşivlemek için tablo düzeyinde saklamayı ayarlayın.

Arşivlenmiş verilere erişmek için bir arama işi çalıştırın veya belirli bir zaman aralığı için verileri geri yükleyin.

Alma zamanı dönüştürmeleri

Özel tablonuz için tanımladığınız şemaya göre veri alımından önce verileri filtrelemek ve dönüştürmek için veri toplama kurallarını kullanarak maliyetleri ve analiz çalışmalarını azaltın.

Tablo özelliklerini görüntüleme

Dekont

Tablo adı büyük/küçük harfe duyarlıdır.

Portal

Azure portalında tablo özelliklerini görüntülemek ve ayarlamak için:

1. Log Analytics çalışma alanınızdan Tablolar'ı seçin.

   Tablolar ekranı, Log Analytics çalışma alanınızdaki tüm tablolar için tablo yapılandırma bilgilerini sunar.

   

2. Tablo yönetimi menüsünü açmak için tablonun sağındaki üç noktayı (...) seçin.

   Kullanılabilir tablo yönetimi seçenekleri, tablo türüne göre değişir.

   1. Tablo özelliklerini düzenlemek için Tabloyu yönet'i seçin.

   2. Tablo şemasını görüntülemek ve düzenlemek için Şemayı düzenle'yi seçin.

API

Tablo özelliklerini görüntülemek için Tablolar - Get API'sini çağırın:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Yanıt gövdesi

Veri Akışı Adı	Tür	Tanım
properties.plan	Dize	Tablo planı. Analytics veya Basic.
properties.retentionInDays	integer	Tablonun gün içindeki veri saklama süresi. içinde Basic Logsdeğer sekiz gündür ve sabittir. içinde Analytics Logsdeğeri dört ile 730 gün arasındadır.
properties.totalRetentionInDays	integer	Tablonun arşiv süresini de içeren veri saklaması.
properties.archiveRetentionInDays	integer	Tablonun arşiv dönemi (salt okunur, hesaplanmış).
properties.lastPlanModifiedDate	String	Plan bu tablo için en son ayarlandığında. Varsayılan ayarlardan hiçbir değişiklik yapılmadıysa null (salt okunur).

Örnek isteği

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Örnek yanıt

Durum kodu: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Tablo özelliklerini ayarlamak için Tablolar - Oluşturma veya Güncelleştirme API'sini çağırın.

Azure CLI

Azure CLI kullanarak tablo özelliklerini görüntülemek için az monitor log-analytics workspace table show komutunu çalıştırın.

Örnek:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Azure CLI kullanarak tablo özelliklerini ayarlamak için az monitor log-analytics workspace table update komutunu çalıştırın.

PowerShell

PowerShell kullanarak tablo özelliklerini görüntülemek için şunu çalıştırın:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Örnek yanıt

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Tablo özelliklerini ayarlamak için Update-AzOperational Analizler Table cmdlet'ini kullanın.

Sonraki adımlar

Şunları nasıl yapacağınızı öğrenin:

• Tablonun günlük veri planını ayarlama
• Özel tablo ve sütun ekleme
• Bekletme ve arşiv ayarlama
• Çalışma alanı mimarisi tasarlama