管理 Log Analytics 工作区中的表

项目
11/27/2023

使用 Log Analytics 工作区，你可以将来自 Azure 资源和非 Azure 资源的日志收集到一个空间中，以便通过某种方式（例如通过 Azure 逻辑应用）进行数据分析，供其他服务使用。 Log Analytics 工作区由表组成，可以配置表来管理数据模型和日志相关成本。本文介绍 Azure Monitor 日志中的表配置选项，以及如何根据数据分析和成本管理需求设置表属性。

所需的权限

你必须对所管理的 Log Analytics 工作区具有 microsoft.operationalinsights/workspaces/tables/write 权限，例如，由 Log Analytics 参与者内置角色所提供的权限。

表属性

此图概述了 Azure Monitor 日志中的表配置选项：

表类型和架构

表的架构是构成表的列的集合，Azure Monitor 日志将日志数据从一个或多个数据源收集到其中。

Log Analytics 工作区可以包含以下类型的表：

表类型	数据源	架构
Azure 表	来自 Azure 资源的日志或 Azure 服务和解决方案所需的日志。	Azure Monitor 日志根据你使用的 Azure 服务和为特定资源配置的诊断设置自动创建 Azure 表。每个 Azure 表都有一个预定义的架构。可以将列添加到 Azure 表，以存储转换后的日志数据，或使用来自其他源的数据扩充 Azure 表中的数据。
自定义表	非 Azure 资源和任何其他数据源，例如基于文件的日志。	对于从给定数据源收集的数据，可以根据你所希望的数据存储方式定义自定义表的架构。
搜索结果	所有数据存储在 Log Analytics 工作区中。	搜索结果表的架构基于运行搜索作业时定义的查询。无法编辑现有搜索结果表的架构。
还原的日志	存档的日志。	还原日志表与你从中还原日志的表具有相同的架构。无法编辑现有还原日志表的架构。

日志数据计划

根据你访问表中数据的频率配置表的日志数据计划：

“分析”计划使日志数据可供交互式查询使用，以及供功能和服务使用。
“基本”日志数据计划提供了一种低成本方式来引入和保留日志，以便进行故障排除、调试、审核和实现合规性。

保留和存档

存档是一种低成本解决方案，用于保留不再经常在工作区中用于合规性或偶尔调查的数据。设置表级保留以替代默认工作区保留并存档工作区中的数据。

若要访问存档的数据，请运行搜索作业或在特定时间范围内还原数据。

引入时转换

通过使用数据收集规则根据你为自定义表定义的架构在引入之前筛选和转换数据，降低成本和分析工作量。

查看表属性

注意

表名称区分大小写。

在 Azure 门户中查看和设置表属性：

从 Log Analytics 工作区中，选择“表”。

“表”屏幕显示 Log Analytics 工作区中所有表的表配置信息。
选择表右侧的省略号 (...) 以打开表管理菜单。

可用的表管理选项因表类型而异。
1. 选择“管理表”以编辑表属性。
2. 选择“编辑架构”以查看和编辑表架构。

若要查看表属性，请调用表 - 获取 API：

GET https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

响应正文

名称	Type	说明
properties.plan	字符串	表计划。 `Analytics` 或 `Basic`。
properties.retentionInDays	integer	表的数据保留期（以天表示）。在 `Basic Logs` 中，该值为 8 天，固定值。在 `Analytics Logs` 中，该值介于 4 到 730 天之间。
properties.totalRetentionInDays	integer	表的数据保留期还包括存档期。
properties.archiveRetentionInDays	integer	表的存档期（只读、已计算）。
properties.lastPlanModifiedDate	String	上次为此表设置计划的时间。如果从未对默认设置进行任何更改，则为 NULL（只读）。

示例请求

GET https://management.chinacloudapi.cn/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

示例响应

状态代码：200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

若要设置表属性，请调用表 - 创建或更新 API。

若要使用 Azure CLI 查看表属性，请运行 az monitor log-analytics workspace table show 命令。

例如：

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table

若要使用 Azure CLI 设置表属性，请运行 az monitor log-analytics workspace table update 命令。

若要使用 PowerShell 查看表属性，请运行：

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET

示例响应

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

使用 Update-AzOperationalInsightsTable cmdlet 设置表属性。

后续步骤

了解如何：