教學課程:在 Log Analytics 工作區中設定資料表的資料保留原則
在本教學課程中,您將為 Log Analytics 工作區中用於 Microsoft Sentinel 或 Azure 監視器的資料表設定保留原則。 這些步驟可供您以較低的成本保留工作區中較舊、較少使用的資料。
Log Analytics 工作區中的保留原則會定義何時移除或封存工作區中的資料。 根據預設,您工作區中的所有資料表都會繼承工作區的互動式保留設定,且沒有封存原則。 您可以修改個別資料表的保留和封存原則,但舊版免費試用定價層中的工作區除外。
在本教學課程中,您會了解如何:
- 設定資料表的保留原則
- 檢閱資料保留和封存原則
必要條件
若要完成本教學課程中的步驟,您必須具備下列資源和角色。
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
具備下列角色的 Azure 帳戶:
內建角色 範圍 原因 Log Analytics Contributor - 訂用帳戶和/或
- 資源群組和/或
- 資料表在 Log Analytics 中設定資料表的保留原則 Log Analytics 工作區。
設定資料表的保留原則
在您的 Log Analytics 工作區中,清除繼承工作區設定,讓互動式保留固定為 30 天。 然後,將 SecurityEvents 等資料表的總保留原則變更為封存 30 天的資料。
登入 Azure 入口網站。
在 Azure 入口網站中,搜尋並開啟 Log Analytics 工作區。
選取適當的工作區。
在 [設定] 底下,選取 [資料表]。
在 SecurityEvent 之類的資料表上,開啟操作功能表 (...)。
選取管理資料表。
在 [資料保留] 下,輸入下列值。
欄位 值 工作場所設定畫面 清除核取方塊。 互動式保留 30 天 保留期間總計 60 天 選取 [儲存]。
檢閱資料保留和封存原則
在您更新之資料表的 [資料表] 頁面上,檢閱 [互動式保留] 和 [封存期間] 的欄位值。 封存期間等於天數的總保留期間減去互動式保留天數。 例如,您可以設定下列值:
欄位 | 值 |
---|---|
互動式保留 | 30 天 |
保留期間總計 | 60 天 |
因此 [資料表] 頁面會顯示下列 30 天的封存期間。
清除資源
未建立任何資源,但您可能想要還原您變更的資料保留設定。