教程:为 Log Analytics 工作区中的表配置数据保留策略

在本教程中,你将为 Log Analytics 工作区中用于 Microsoft Sentinel 或 Azure Monitor 的表设置保留策略。 通过这些步骤,可以在工作区中以较低成本保留较少使用的较旧数据。

Log Analytics 工作区中的保留策略定义何时将工作区中数据表中的旧记录转换为低成本、访问量最小的“长期保留”(以前称为存档)状态。 在默认情况下,工作区中的所有表都会继承工作区的交互式保留期设置,并且没有长期保留(存档)策略。 你可以修改各个表的交互式和长期保留策略,旧的免费试用版定价层中的工作区除外。

本教程介绍如何执行下列操作:

  • 设置表的保留策略
  • 查看交互式和长期保留策略

先决条件

若要完成本教程中的步骤,必须具备以下资源和角色。

  • 具有活动订阅的 Azure 帐户。 创建试用帐户

  • 具有以下角色的 Azure 帐户:

    内置角色 范围 原因
    Log Analytics 参与者 任何
    • 订阅
    • 资源组
    为 Log Analytics 中的表设置保留策略
  • Log Analytics 工作区。

设置表的保留策略

在 Log Analytics 工作区中,将 SecurityEvent 表的交互式保留期策略从工作区默认值 90 天更改为 180 天,将总保留期策略更改为 3 年。 总保留期是交互式和长期(存档)保留期的总和。

  1. 登录到 Azure 门户

  2. 在 Azure 门户中,搜索并打开“Log Analytics 工作区”。

  3. 选择合适的工作区。

  4. 在“设置”下,选择“表”。

  5. 在列表中找到 SecurityEvent 表,然后打开上下文菜单 (...)。

  6. 选择“管理表”。

    表视图中某个表的上下文菜单上的“管理表”选项的屏幕截图。

  7. 在“数据保留设置”下,输入以下值。

    字段
    交互式保留期 180 天
    总保留期 3 年

    显示对数据保留部分下字段所做的更改的数据保留设置的屏幕截图。

    请注意,时间图显示,长期保留期等于总保留期(以天为单位)减去交互式保留期(以天为单位)。 在本例中为 915 天或 2.5 年。

  8. 选择“保存”。

查看交互式和总保留期策略

在更新的表的“表”页上,查看“交互式保留期”和“总保留期”的字段值

显示交互式保留期和存档周期列的表视图的屏幕截图。

清理资源

未创建任何资源,但你可能需要还原你更改的数据保留设置。

后续步骤