管理 Log Analytics 工作區中的資料表

發行項
10/15/2024

Log Analytics 工作區可讓您將記錄資料從 Azure 和非 Azure 資源收集到一個空間以進行分析、提供其他服務 (例如 Sentinel) 使用，以及觸發警示和動作，例如使用 Azure Logic Apps。 Log Analytics 工作區由資料表組成，您可以設定這些資料表來管理資料模型、資料存取以及記錄相關成本。本文說明 Azure 監視器記錄中的資料表設定選項，以及如何根據您的資料分析和成本管理需求來設定資料表屬性。

資料表屬性

下圖提供 Azure 監視器記錄中的資料表設定選項概觀：

資料表類型和結構描述

資料表的結構描述是組成資料表的資料行集合，Azure 監視器記錄會將一或多個資料來源的記錄資料收集到這裡。

Log Analytics 工作區可以包含下列類型的資料表：

資料表類型	資料來源	結構描述
Azure 資料表	來自 Azure 資源的記錄，或 Azure 服務和解決方案需要的記錄。	Azure 監視器記錄會根據您使用的 Azure 服務以及針對特定資源設定的診斷設定，自動建立 Azure 資料表。每個 Azure 資料表都有預先定義的結構描述。您可以將資料行新增至 Azure 資料表，以儲存轉換後的記錄資料，或使用其他來源的資料來擴充 Azure 資料表中的資料。
自訂資料表	非 Azure 資源和任何其他資料來源，例如檔案型記錄。	您可以根據您想要的，儲存指定來源資料集合的方式，定義自訂資料表的結構描述。
搜尋結果	儲存在 Log Analytics 工作區中的所有資料。	搜尋結果資料表的結構描述是以您在執行搜尋作業時所定義的查詢為基礎。您無法編輯現有搜尋結果資料表的結構描述。
還原的記錄	儲存在 Log Analytics 工作區中特定資料表的資料。	還原的記錄資料表和還原記錄的資料表有相同的結構描述。您無法編輯現有已還原記錄資料表的結構描述。

資料表方案

根據存取資料表中資料的頻率，設定資料表的方案：

分析方案適用於持續監視、即時偵測和效能分析。此方案讓功能與服務得以使用記錄資料並用於互動式多資料表查詢，時間從 30 天到 2 年。
基本方案適用於疑難排解和事件回應。此方案提供折扣擷取和最佳化單一資料表查詢 30 天。
輔助方案適用於低接觸資料，例如詳細資訊記錄，以及稽核和合規性所需的資料。此方案提供低成本擷取和未最佳化單一資料表查詢 30 天。

如需 Azure 監視器記錄資料表方案的完整詳細資料，請參閱 Azure 監視器記錄：資料表方案。

長期保留

長期保留是低成本的解決方案，可保留工作區中未經常使用的資料，供合規性或偶爾調查之用。使用資料表層級保留設定來增加或延長長期保留。

若要存取長期保留中的資料，請執行搜尋作業。

擷取時間轉換

使用資料收集規則先篩選及轉換資料，再根據您為自訂資料表定義的結構描述擷取資料，以降低成本和分析工作量。

注意

輔助資料表方案的資料表目前不支援資料轉換。如需詳細資訊，請參閱輔助資料表方案公開預覽限制。

檢視資料表屬性

注意

資料表名稱會區分大小寫。

若要在 Azure 入口網站中檢視並設定資料表屬性：

在您的 Log Analytics 工作區，選取 [資料表]。

[資料表] 畫面會顯示 Log Analytics 工作區中所有資料表的資料設定資訊。
選取資料表右方的省略符號 (...)，開啟資料表管理功能表。

可使用的資料表管理選項會根據資料表類型而有所不同。
1. 選取 [管理資料表]，編輯資料表屬性。
2. 選取 [編輯結構描述]，檢視並編輯資料結構描述。

若要檢視資料表屬性，請呼叫資料表 - 取得 API：

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

回應本文

名稱	類型	描述
properties.plan	string	資料表方案。 `Analytics`、`Basic` 或 `Auxiliary`。
properties.retentionInDays	整數	資料表的互動式保留天數。針對 `Basic` 和 `Auxiliiary`，此值為 30 天。針對 `Analytics`，此值介於 4 到 730 天之間。
properties.totalRetentionInDays	整數	資料表的資料保留總計，包括互動式和長期保留。
properties.archiveRetentionInDays	整數	資料表的長期保留期間 (唯讀、計算)。
properties.lastPlanModifiedDate	String	上次為此資料表設定方案的時間。如果從未變更預設設定，則為 Null (唯讀)。

範例要求

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

範例回覆

狀態碼：200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

若要設定資料表屬性，請呼叫資料表 - 建立或更新 API。

若要使用 Azure CLI 檢視資料表屬性，請執行 az monitor log-analytics workspace table show 命令。

例如：

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table

若要使用 Azure CLI 設定資料表屬性，請執行 az monitor log-analytics workspace table update 命令。

若要使用 PowerShell 檢視資料表屬性，請執行：

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET

範例回覆

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

使用 Update-AzOperationalInsightsTable Cmdlet 設定資料表屬性。

下一步

了解如何：

共用方式為