分享方式:

Azure 監視器記錄中的資料保留和封存

  • 文章

Azure 監視器記錄會保留兩種狀態的資料:

  • 互動式保留:可讓您保留互動式查詢的分析記錄,最長 2 年。
  • 封存:可讓您以較低的成本保留工作區中較舊、較少使用的資料。 您可以使用搜尋作業來存取封存狀態中的資料,然後將其還原。 您可以將資料保持在封存狀態,最長 12 年。

預設免費層保留期間為 30 天的「互動式保留期」。

本文描述如何設定資料保留和封存。

保留和封存的運作方式

每個工作區都有套用至所有資料表的預設保留設定。 您可以在個別資料表上設定不同的保留設定。

圖表顯示資料保留期和封存期的概觀。

在互動式保留期間,資料可用於監視、疑難排解和分析。 當您不會再用到這些記錄,但仍然需要保留資料以符合合規性規範或用於偶爾的調查時,請將記錄封存以節省成本。

封存的資料會與可用於互動式查詢的資料一同保留於相同資料表中。 當您設定的總保留期間比互動式保留期間還長時,Log Analytics 就會在保留期間結束時立即自動封存相關資料。

您可以執行搜尋作業還原封存的記錄來存取封存的資料。

注意

封存期只能在資料表層級設定,不能在工作區層級設定。

保留和封存設定的調整

當您縮短現有的保留設定時,Azure 監視器會在移除資料之前等候 30 天,以便您可以在設定發生錯誤時還原變更並避免遺失資料。 您可以視需要立即清除資料

當您增加保留設定時,新的保留期間會套用至已擷取至資料表且尚未清除或移除的所有資料。

如果您在包含現有資料的資料表上變更封存設定,該資料表中的相關資料也會立即受到影響。 例如,您目前可能有一個資料表,其互動式保留為 180 天且沒有封存期間。 您決定將保留設定變更為 90 天的互動式保留,而不會變更 180 天的總保留期間。 Log Analytics 會立即封存所有超過 90 天的資料,且不會刪除任何資料。

當您刪除 Log Analytics 工作區中的資料表時,資料所發生的情況

Log Analytics 工作區可以包含數種資料表類型。 刪除資料表時所發生的情況依每個資料表而異:

資料表類型 資料保留 建議
Azure 資料表 Azure 資料表會保存 Azure 服務或解決方案所需之 Azure 資源或資料的記錄,且無法刪除。 當您停止從資源、服務或解決方案串流資料時,如果未定義資料表層級保留期,資料會保留在工作區中,直到為資料表或預設工作區保留期定義的保留期間結束為止。 若要將費用降至最低,請將資料表層級保留期設定為四天,再停止將記錄串流至資料表。
還原的資料表(table_RST 刪除為了還原而佈建的熱快取,但不會刪除來源資料表資料。
搜尋結果資料表 (table_SRCH) 立即並永久刪除資料表和資料。
自訂記錄資料表 (table_CL) 虛刪除資料表,直到資料表層級保留期或預設工作區保留期間結束為止。 在虛刪除期間,您繼續支付資料保留費用,並可藉由設定具有相同名稱和結構描述的資料表來重新建立資料表並存取資料。 刪除自訂資料表後十四天,Azure 監視器會移除資料表層級保留期設定,並套用預設工作區保留期。 若要將費用降至最低,請將資料表層級保留期設定為四天,再刪除資料表。

需要的權限

動作 需要的權限
設定 Log Analytics 工作區的資料保留和封存原則 例如,Log Analytics 參與者內建角色所提供的 Log Analytics 工作區 Microsoft.OperationalInsights/workspaces/writemicrosoft.operationalinsights/workspaces/tables/write 權限
透過資料表取得 Log Analytics 工作區的保留和封存原則 例如,Log Analytics 讀者內建角色所提供的 Log Analytics 工作區 Microsoft.OperationalInsights/workspaces/tables/read 權限
從 Log Analytics 工作區清除資料 例如,Log Analytics 參與者內建角色所提供的 Log Analytics 工作區 Microsoft.OperationalInsights/workspaces/purge/action 權限

設定預設工作區保留

您可以將 Azure 入口網站中 Log Analytics 工作區的預設保留設定為 30、31、60、90、120、180、270、365、550 和 730 天。 您可以在資料表層級設定保留和封存原則,以將不同的設定套用至特定資料表。 如果您是在「免費層」上,則必須升級至付費層,才能變更資料保留期間。

重要

具有 30 天保留期的工作區可能會將資料保留 31 天。 如果您需要僅保留資料 30 天以符合隱私權原則,請使用 API 將預設工作區保留期設定為 30 天,並將 immediatePurgeDataOn30Days 工作區屬性更新為 true。 目前只支援使用工作區 - 更新 API 進行此作業。

若要設定預設工作區保留:

  1. 從 Azure 入口網站中的 [Log Analytics 工作區] 功能表選取您的工作區。

  2. 在左窗格中,選取 [使用方式和估計成本]

  3. 選取頁面頂端的 [資料保留]

    螢幕擷取畫面顯示正在變更工作區資料保留設定。

  4. 移動滑桿來增加或減少天數,然後選取 [確定]

在資料表層級設定保留和封存

根據預設,工作區中的所有資料表都會繼承工作區的互動式保留設定,而且沒有任何封存。 您可以修改個別資料表的保留和封存設定,但舊版免費試用定價層中的工作區除外。

Analytics 記錄資料方案包含目前世代定價層 (隨用隨付和定額層,以及舊版獨立層和每一節點層) 中的 31 天互動式工作區保留期。 您可以支付額外成本,將互動式保留期間最長增加到 730 天。 如有需要,您可以使用 API 或 CLI,將互動式保留期間減少為短短四天。 不過,由於 31 天的互動式保留期包含在擷取價格中,因此將保留期間降低到 31 天以下並不會減少成本。 您可以將封存期設定為最長 4,383 天 (12 年) 的總保留時間。

注意

目前,您可以透過 Azure 入口網站和 API 將總保留期最長設定為 12 年。 CLI 和 PowerShell 限制為七年;支援 12 年將會隨之而來。

在 Azure 入口網站中,設定資料表的保留和封存持續期間:

  1. 從 [Log Analytics 工作區] 功能表選取 [資料表]

    [資料表] 畫面會列出工作區中的所有資料表。

  2. 選取您要設定之資料表的捷徑功能表,然後選取 [管理資料表]

    螢幕擷取畫面顯示工作區內其中一個資料表的 [管理資料表] 按鈕。

  3. 在資料表設定畫面的 [資料保留設定] 區段中設定保留和封存持續時間。

    螢幕擷取畫面顯示資料表設定畫面上的資料保留設定。

透過資料表取得保留和封存設定

若要在 Azure 入口網站中檢視資料表的保留和封存持續時間,請從 [Log Analytics 工作區] 功能表選取 [資料表]

[資料表] 畫面會顯示工作區中所有資料表的互動式保留期和封存期。

螢幕擷取畫面顯示工作區內其中一個資料表的 [管理資料表] 按鈕。

具有唯一保留期間的資料表

根據預設,兩種資料類型 (UsageAzureActivity) 至少免費將資料保留 90 天。 當您將工作區保留期增加至超過 90 天時,您也會增加這些資料類型的保留期。 這些資料表也不會有資料擷取費用。

與 Application Insights 資源相關的資料表也會免費將資料保留 90 天。 您可以個別調整其中每個資料表的保留:

  • AppAvailabilityResults
  • AppBrowserTimings
  • AppDependencies
  • AppExceptions
  • AppEvents
  • AppMetrics
  • AppPageViews
  • AppPerformanceCounters
  • AppRequests
  • AppSystemEvents
  • AppTraces

計價模式

維護封存記錄的費用會根據您封存的資料量 (以 GB 為單位) 和您封存資料的天數來計算。 具有 _IsBillable == false 的記錄資料不需支付保留或封存費用。

如需詳細資訊,請參閱 Azure 監視器計量價格

下一步

深入了解: