Share via

教程:为 Log Analytics 工作区中的表配置数据保留策略

  • 项目

在本教程中,你将为 Log Analytics 工作区中用于 Microsoft Sentinel 或 Azure Monitor 的表设置保留策略。 通过这些步骤,可以在工作区中以较低成本保留较少使用的较旧数据。

Log Analytics 工作区中的保留策略定义何时要在工作区中删除或存档数据。 在默认情况下,工作区中的所有表都会继承工作区的交互式保留期设置,并且没有存档策略。 你可以修改单个表的保留期和存档策略,旧的免费试用版定价层中的工作区除外。

在本教程中,你将了解:

  • 设置表的保留策略
  • 查看数据保留和存档策略

先决条件

若要完成本教程中的步骤,必须具备以下资源和角色。

  • 具有活动订阅的 Azure 帐户。 创建试用帐户

  • 具有以下角色的 Azure 帐户:

    内置角色 范围 原因
    Log Analytics 参与者 - 订阅和/或
    - 资源组和/或
    - 表    		 为 Log Analytics 中的表设置保留策略

  • Log Analytics 工作区。

设置表的保留策略

在 Log Analytics 工作区中,清除继承的工作区设置,使交互式保留期固定为 30 天。 然后将表(如 SecurityEvents)的总保留期策略更改为存档 30 天的数据。

  1. 登录 Azure 门户

  2. 在 Azure 门户中,搜索并打开“Log Analytics 工作区”。

  3. 选择合适的工作区。

  4. 在“设置”下,选择“表”。

  5. 在 SecurityEvent 等表中,打开上下文菜单 (...)。

  6. 选择“管理表”。 Screenshot of the manage table option on the context menu for a table in the tables view.

  7. 在“数据保留”下,输入以下值。

    字段
    工作区设置 清除该复选框
    交互式保留期 30 天
    总保留期 60 天

    Screenshot of the data retention settings that shows the changes to the fields under the data retention section.

  8. 选择“保存”。

查看数据保留和存档策略

在更新的表的“表”页上,查看“交互式保留期”和“存档期”的字段值。 存档期等于总保留期(以天为单位)减去交互式保留期(以天为单位)。 例如,设置以下值:

字段
交互式保留期 30 天
总保留期 60 天

因此,“表”页显示以下存档期为 30 天。

Screenshot of the table view that shows the interactive retention and archive period columns.

清理资源

未创建任何资源,但你可能需要还原你更改的数据保留设置。

后续步骤

在 Azure Monitor 日志中配置数据保留和存档策略