共用方式為

教學課程:在 Log Analytics 工作區中設定資料表的資料保留原則

  • 發行項

在本教學課程中,您將為 Log Analytics 工作區中用於 Microsoft Sentinel 或 Azure 監視器的資料表設定保留原則。 這些步驟可供您以較低的成本保留工作區中較舊、較少使用的資料。

Log Analytics 工作區中的保留原則會定義何時移除或封存工作區中的資料。 根據預設,您工作區中的所有資料表都會繼承工作區的互動式保留設定,且沒有封存原則。 您可以修改個別資料表的保留和封存原則,但舊版免費試用定價層中的工作區除外。

在本教學課程中,您會了解如何:

  • 設定資料表的保留原則
  • 檢閱資料保留和封存原則

必要條件

若要完成本教學課程中的步驟,您必須具備下列資源和角色。

  • 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶

  • 具備下列角色的 Azure 帳戶:

    內建角色 範圍 原因
    Log Analytics Contributor - 訂用帳戶和/或
    - 資源群組和/或
    - 資料表    		 在 Log Analytics 中設定資料表的保留原則

  • Log Analytics 工作區。

設定資料表的保留原則

在您的 Log Analytics 工作區中,清除繼承工作區設定,讓互動式保留固定為 30 天。 然後,將 SecurityEvents 等資料表的總保留原則變更為封存 30 天的資料。

  1. 登入 Azure 入口網站

  2. 在 Azure 入口網站中,搜尋並開啟 Log Analytics 工作區

  3. 選取適當的工作區。

  4. 在 [設定] 底下,選取 [資料表]

  5. SecurityEvent 之類的資料表上,開啟操作功能表 (...)。

  6. 選取管理資料表Screenshot of the manage table option on the context menu for a table in the tables view.

  7. 在 [資料保留] 下,輸入下列值。

    欄位
    工作場所設定畫面 清除核取方塊。
    互動式保留 30 天
    保留期間總計 60 天

    Screenshot of the data retention settings that shows the changes to the fields under the data retention section.

  8. 選取 [儲存]。

檢閱資料保留和封存原則

在您更新之資料表的 [資料表] 頁面上,檢閱 [互動式保留] 和 [封存期間] 的欄位值。 封存期間等於天數的總保留期間減去互動式保留天數。 例如,您可以設定下列值:

欄位
互動式保留 30 天
保留期間總計 60 天

因此 [資料表] 頁面會顯示下列 30 天的封存期間。

Screenshot of the table view that shows the interactive retention and archive period columns.

清除資源

未建立任何資源,但您可能想要還原您變更的資料保留設定。

下一步

在 Azure 監視器記錄中設定資料保留和封存原則