Azure 監視器記錄中的數據保留和封存

  • 發行項

Azure 監視器記錄會保留兩種狀態的數據:

  • 互動式保留:可讓您保留分析記錄,以進行 長達 2 年的互動式查詢
  • 封存:可讓您以較低的成本將工作區中較舊、較少使用的數據保留在工作區中。 您可以使用搜尋作業和還原,以封存狀態存取數據。 您可以將資料保持在封存狀態長達 12 年。

本文說明如何設定數據保留和封存。

保留和封存的運作方式

每個工作區都有套用至所有數據表的預設保留設定。 您可以在個別資料表上設定不同的保留設定。

顯示數據保留期和封存期間概觀的圖表。

在互動式保留期間,資料可用於監視、疑難排解和分析。 當您不會再用到這些記錄,但仍然需要保留資料以符合合規性規範或用於偶爾的調查時,請將記錄封存以節省成本。

封存的資料會與可用於互動式查詢的資料一同保留於相同資料表中。 當您設定的總保留期間比互動式保留期間還長時,Log Analytics 就會在保留期間結束時立即自動封存相關資料。

您可以執行搜尋作業還原封存的記錄,來存取封存的數據。

注意

封存期間只能在數據表層級設定,而不是在工作區層級設定。

保留和封存設定的調整

當您縮短現有的保留設定時,Azure 監視器會在移除數據之前等候 30 天,以便還原變更,並避免在設定發生錯誤時遺失數據。 您可以 視需要立即清除資料

當您增加保留設定時,新的保留期間會套用至已內嵌至數據表且尚未清除或移除的所有數據。

如果您在包含現有資料的資料表上變更封存設定,該資料表中的相關資料也會立即受到影響。 例如,您目前可能有一個資料表,其互動式保留為 180 天且沒有封存期間。 您決定將保留設定變更為90天的互動式保留期,而不會變更180天的總保留期間。 Log Analytics 會立即封存所有超過 90 天的資料,且不會刪除任何資料。

當您刪除 Log Analytics 工作區中的數據表時,數據會發生什麼事

Log Analytics 工作區可以包含數 種類型的數據表。 當您針對每個資料表刪除資料表時,會發生什麼情況:

資料表類型 資料保留 建議
Azure 資料表 Azure 資料表會保存來自 Azure 服務或解決方案所需之 Azure 資源或數據的記錄,且無法刪除。 當您停止從資源、服務或解決方案串流數據時,如果未定義數據表層級保留期,數據會保留在工作區中,直到為數據表或預設工作區保留定義的保留期間結束為止。 若要將費用降至最低,請將數據表層級保留設定為停止將記錄串流至數據表前四天。
已還原的數據表(table_RST 刪除為還原布建的熱快取,但不會刪除源數據表數據。
搜尋結果資料表table_SRCH 立即和永久刪除資料表和數據。
自訂記錄資料表table_CL 虛刪除數據表,直到數據表層級保留期結束或預設工作區保留期間為止。 在虛刪除期間,您可以繼續支付數據保留費用,並可藉由設定具有相同名稱和架構的數據表來重新建立數據表並存取數據。 刪除自訂數據表後十四天,Azure 監視器會移除資料表層級的保留設定,並套用預設工作區保留。 若要將費用降至最低,請將數據表層級保留設定為刪除數據表前四天。

需要的權限

動作 需要的權限
設定 Log Analytics 工作區的數據保留和封存原則 Microsoft.OperationalInsights/workspaces/writeLog microsoft.operationalinsights/workspaces/tables/write Analytics 工作區的許可權,例如 Log Analytics 參與者內建角色所提供的許可權
依數據表取得 Log Analytics 工作區的保留和封存原則 Microsoft.OperationalInsights/workspaces/tables/readLog Analytics 工作區的許可權,例如 Log Analytics 讀取器內建角色所提供的許可權
從 Log Analytics 工作區清除數據 Microsoft.OperationalInsights/workspaces/purge/actionLog Analytics 工作區的許可權,例如 Log Analytics 參與者內建角色所提供的許可權

設定預設工作區保留期

您可以在 Azure 入口網站 中將 Log Analytics 工作區的預設保留期設定為 30、31、60、90、120、180、270、365、550 和 730 天。 您可以藉由 在資料表層級設定保留和封存,將不同的設定套用至特定數據表。 如果您位於 免費 層,您必須升級至付費層,以變更數據保留期間。

重要

保留 30 天的工作區可能會保留 31 天的數據。 如果您需要只保留 30 天的數據以符合隱私策略,請使用 API 將預設工作區保留期設定為 30 天,並將工作區屬性更新 immediatePurgeDataOn30Daystrue。 此作業目前僅支援使用 工作區 - 更新 API

若要設定預設工作區保留期:

  1. 從 Azure 入口網站的Log Analytics工作區功能表中,選取您的工作區。

  2. 在左窗格中,選取 [使用方式和估計成本]

  3. 選取頁面頂端的 [資料保留]

    顯示變更工作區數據保留設定的螢幕快照。

  4. 移動滑桿以增加或減少天數,然後選取 [ 確定]。

在數據表層級設定保留和封存

根據預設,工作區中的所有數據表都會繼承工作區的互動式保留設定,而且沒有封存。 您可以修改個別數據表的保留和封存設定,但舊版免費試用定價層中的工作區除外。

分析記錄數據計劃包含目前世代定價層中工作區的互動式保留期 31 天(隨用隨付和承諾層,以及舊版獨立和每一節點層)。 您可以額外 成本將互動式保留期間增加到最多 730 天。 如有需要,您可以使用 API 或 CLI,將互動式保留期間減少為短短四天。 不過,由於 31 天的互動式保留包含在擷取價格中,因此降低低於 31 天的保留期間並不會降低成本。 您可以將封存期間設定為最多 4,383 天(12 年)的總保留時間。

注意

目前,您可以透過 Azure 入口網站 和 API,將總保留期設定為最多 12 年。 CLI 和 PowerShell 限制為七年;支援 12 年將會隨之而來。

在 Azure 入口網站中,設定資料表的保留和封存持續期間:

  1. 從 [Log Analytics 工作區] 功能表選取 [資料表]

    [ 數據表] 畫面會列出工作區中的所有數據表。

  2. 選取您要設定之資料表的捷徑功能表,然後選取 [管理資料表]

    顯示工作區中其中一個數據表之 [管理數據表] 按鈕的螢幕快照。

  3. 在數據表組態畫面的 [數據保留設定 ] 區段中設定保留和封存持續時間。

    顯示數據表組態畫面上數據保留設定的螢幕快照。

依數據表取得保留和封存設定

若要檢視 Azure 入口網站 中數據表的保留和封存持續時間,請從 [Log Analytics 工作區] 功能選取 [數據表]。

[ 資料表] 畫面會顯示工作區中所有數據表的互動式保留期和封存期間。

顯示工作區中其中一個數據表之 [管理數據表] 按鈕的螢幕快照。

具有唯一保留期限的數據表

根據預設,兩種數據類型 UsageAzureActivity,不收取任何費用,將數據保留至少90天。 當您將工作區保留期增加到90天以上時,也會增加這些數據類型的保留期。 這些數據表也不受數據擷取費用。

與 Application Insights 資源相關的數據表也會不收取任何費用將數據保留 90 天。 您可以個別調整每個資料表的保留期:

  • AppAvailabilityResults
  • AppBrowserTimings
  • AppDependencies
  • AppExceptions
  • AppEvents
  • AppMetrics
  • AppPageViews
  • AppPerformanceCounters
  • AppRequests
  • AppSystemEvents
  • AppTraces

定價模式

維護封存記錄的費用是根據您封存的數據量、以 GB 為單位,以及您封存數據的數目或天數來計算。 沒有 _IsBillable == false 保留或封存費用的記錄數據。

如需詳細資訊,請參閱 Azure 監視器計量價格

下一步

深入了解: