教學課程:在 Log Analytics 工作區中設定資料表的資料保留原則
在本教學課程中,您將為 Log Analytics 工作區中用於 Microsoft Sentinel 或 Azure 監視器的資料表設定保留原則。 這些步驟可供您以較低的成本保留工作區中較舊、較少使用的資料。
Log Analytics 工作區中的保留原則會定義何時將工作區的資料表中的舊記錄轉換為低成本、最低存取長期保留 (先前稱為封存) 狀態。 根據預設,工作區中的所有資料表都會繼承工作區的「互動式保留」設定,而且沒有長期保留 (封存) 原則。 您可以修改個別資料表的互動式和長期保留原則,但舊版免費試用定價層中的工作區除外。
在本教學課程中,您會了解如何:
- 設定資料表的保留原則
- 檢閱互動式和長期保留原則
必要條件
若要完成本教學課程中的步驟,您必須具備下列資源和角色。
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
具備下列角色的 Azure 帳戶:
內建角色 範圍 原因 Log Analytics 參與者 任何 - 訂用帳戶
- 資源群組
- Table
在 Log Analytics 中設定資料表的保留原則 Log Analytics 工作區。
設定資料表的保留原則
在您的 Log Analytics 工作區中,將 SecurityEvent 資料表的互動式保留原則從工作區預設值 90 天變更為 180 天,並將保留總計原則變更為 3 年。 「保留總計」期間是「互動式」和「長期」(封存) 保留期間的總和。
登入 Azure 入口網站。
在 Azure 入口網站中,搜尋並開啟 Log Analytics 工作區。
選取適當的工作區。
在 [設定] 底下,選取 [資料表]。
在清單中尋找 SecurityEvent 資料表,然後開啟操作功能表 (...)。
選取管理資料表。
![資料表檢視中資料表操作功能表上 [管理資料表] 選項的螢幕擷取畫面。](media/configure-data-retention/data-retention-tables.png)
在 [資料保留設定] 之下,輸入下列值。
欄位 值 互動式保留 180 天 保留期間總計 3 年 
請注意,時間圖顯示長期保留期間等於保留總計期間 (天數) 減去互動式保留期間 (天數)。 在此情況下,915 天或 2.5 年。
選取 [儲存]。
檢閱互動式和保留總計原則
在您更新資料表的 [資料表] 頁面上,檢閱 [互動式保留] 和 [保留總計] 的欄位值。
清除資源
未建立任何資源,但您可能想要還原您變更的資料保留設定。