Günlükleri yapılandırma

  • 3 dakika

Microsoft Sentinel'de üç birincil günlük türü vardır:

  • Analiz Günlükleri
  • Temel Günlükler
  • Arşiv Günlükleri

Log Analytics çalışma alanında yer alan her tablodaki veriler, belirli bir süre boyunca saklanır ve bu sürenin ardından daha düşük bir saklama ücretiyle kaldırılır veya arşivlendirilir. Veri saklama maliyetinizi azaltarak verilerin kullanılabilir olması gereksiniminizi dengelemek için bekletme süresini ayarlayın.

Arşivlenen verilere erişmek için önce aşağıdaki yöntemlerden birini kullanarak bir Analytics Günlükleri tablosundan veri almanız gerekir:

  • arama işleri
  • Geri Yükleme

Diagram of different Workspace Log Types.

Analiz Günlükleri

Varsayılan olarak, bir çalışma alanında yer alan tüm tablolar, Log Analytics çalışma alanının tüm özellikleri ve çalışma alanını kullanan diğer hizmetler için kullanılabilen Analiz Günlükleri türündedir.

Temel Günlükler

Hata ayıklama, sorun giderme ve denetim için kullandığınız yüksek hacimli ayrıntılı günlükleri depolama maliyetini azaltmak için belirli tabloları Temel Günlükler olarak yapılandırabilirsiniz ancak analiz ve uyarılar için kullanamazsınız. Temel Günlükler için yapılandırılan tabloların daha düşük özellikler karşılığında daha düşük bir alım maliyeti vardır. Temel günlükler yalnızca 8 gün boyunca saklanır.

KQL dil sınırları

Temel Günlüklere yönelik sorgular, aşağıdaki işleçler de dahil olmak üzere KQL dilinin bir alt kümesi kullanılarak basit veri alma için iyileştirilmiştir:

  • burada:
  • Genişlet -mek
  • proje
  • proje dışı
  • project-keep
  • project-rename
  • project-reorder
  • Ayrıştı -rma
  • parse-where

Aşağıdaki KQL desteklenmez:

  • join
  • birleşim
  • toplamalar (özetleme)

Tablo desteği Temel Günlükler

Log Analytics'inizdeki tüm tablolar varsayılan olarak Analytics tablolarıdır. Belirli tabloları Temel Günlükler'i kullanacak şekilde yapılandırabilirsiniz. Azure İzleyici belirli özellikler için bu tabloyu kullanıyorsa Temel Günlükler için tablo yapılandıramazsınız.

Temel Günlükler için şimdi aşağıdaki tabloları yapılandırabilirsiniz:

  • Veri Toplama Kuralı (DCR) tabanlı özel günlükler API’siyle oluşturulan tüm tablolar.
  • Container Analizler tarafından kullanılan ve ayrıntılı metin tabanlı günlük kayıtlarını içeren ContainerLogV2.
  • Uygulama Analizler uygulama izlemeleri için serbest biçimli günlük kayıtları içeren AppTraces.

Dekont

Temel Günlükler şu anda Önizleme aşamasındadır. Desteklenen/uygun tablolar belgeleri, özellik Genel Kullanıma sunulduğunda geçerli bilgilerle güncelleştirilir.

Günlük türünü yapılandırma

Uygun bir tablonun günlük türünü ayarlamak için Microsoft Sentinel Ayarlar alanında çalışma alanı ayarlarını seçin.
Sonraki ekran Log Analytics portalındadır.

  1. "Tablolar" sekmesini seçin.
  2. Satırın sonundaki tabloyu ve ardından ... öğesini seçin.
  3. Tabloyu yönet'i seçin
  4. Tablo planını değiştirin.
  5. Kaydet'i seçin.

Arşiv Günlükleri

Arşivleme, çalışma alanınızda daha eski ve daha az kullanılan verileri daha düşük maliyetle tutmanızı sağlar. Her çalışma alanının tüm tablolara uygulanan bir varsayılan bekletme ilkesi vardır. Tek tek tablolarda farklı bir bekletme ilkesi ayarlayabilirsiniz.

Diagram of the Retention archive process.

Etkileşimli saklama süresi boyunca, izleme, sorun giderme ve analiz için veriler kullanılabilir. Günlükleri artık kullanmadığınızda ancak yine de verileri uyumluluk veya zaman zaman araştırma için saklamanız gerektiğinde, maliyet tasarrufu sağlamak için günlükleri arşivleyebilirsiniz. Bir arama işi çalıştırarak veya arşivlenmiş günlükleri geri yükleyerek arşivlenmiş verilere erişebilirsiniz.

Tablo saklamayı yapılandırma

Bir tablonun bekletme günlerini ayarlamak için Microsoft Sentinel Ayarlar alanında çalışma alanı ayarlarını seçin.
Sonraki ekran Log Analytics portalındadır.

  1. "Tablolar" sekmesini seçin.
  2. Satırın sonundaki tabloyu ve ardından ... öğesini seçin.
  3. Tabloyu yönet'i seçin
  4. Toplam saklama süresini değiştirin.
  5. Kaydet'i seçin.