教程:为 Log Analytics 工作区中的表配置数据保留策略
在本教程中,你将为 Log Analytics 工作区中用于 Microsoft Sentinel 或 Azure Monitor 的表设置保留策略。 通过这些步骤,可以在工作区中以较低成本保留较少使用的较旧数据。
Log Analytics 工作区中的保留策略定义何时要在工作区中删除或存档数据。 在默认情况下,工作区中的所有表都会继承工作区的交互式保留期设置,并且没有存档策略。 你可以修改单个表的保留期和存档策略,旧的免费试用版定价层中的工作区除外。
在本教程中,你将了解:
- 设置表的保留策略
- 查看数据保留和存档策略
先决条件
若要完成本教程中的步骤,必须具备以下资源和角色。
具有活动订阅的 Azure 帐户。 创建试用帐户。
具有以下角色的 Azure 帐户:
内置角色 范围 原因 Log Analytics 参与者 - 订阅和/或
- 资源组和/或
- 表为 Log Analytics 中的表设置保留策略 Log Analytics 工作区。
设置表的保留策略
在 Log Analytics 工作区中,清除继承的工作区设置,使交互式保留期固定为 30 天。 然后将表(如 SecurityEvents)的总保留期策略更改为存档 30 天的数据。
登录 Azure 门户。
在 Azure 门户中,搜索并打开“Log Analytics 工作区”。
选择合适的工作区。
在“设置”下,选择“表”。
在 SecurityEvent 等表中,打开上下文菜单 (...)。
选择“管理表”。
在“数据保留”下,输入以下值。
字段 值 工作区设置 清除该复选框 交互式保留期 30 天 总保留期 60 天 选择“保存”。
查看数据保留和存档策略
在更新的表的“表”页上,查看“交互式保留期”和“存档期”的字段值。 存档期等于总保留期(以天为单位)减去交互式保留期(以天为单位)。 例如,设置以下值:
字段 | 值 |
---|---|
交互式保留期 | 30 天 |
总保留期 | 60 天 |
因此,“表”页显示以下存档期为 30 天。
清理资源
未创建任何资源,但你可能需要还原你更改的数据保留设置。