Verwalten von Tabellen in einem Log Analytics-Arbeitsbereich

Mit einem Log Analytics-Arbeitsbereich können Sie Protokolldaten von Azure- und Nicht-Azure-Ressourcen für die Analyse, die Verwendung durch andere Dienste wie Sentinel sowie zum Auslösen von Warnungen und Aktionen, z. B. mithilfe von Azure Logic Apps, zentral erfassen. Der Log Analytics-Arbeitsbereich besteht aus Tabellen, die Sie zum Verwalten Ihres Datenmodells, Datenzugriffs und protokollbezogener Kosten konfigurieren können. In diesem Artikel werden die Tabellenkonfigurationsoptionen in Azure Monitor-Protokollen und das Festlegen von Tabelleneigenschaften abhängig von Ihren Anforderungen an die Datenanalyse und das Kostenmanagement erläutert.

Tabelleneigenschaften

Dieses Diagramm enthält eine Übersicht über die Tabellenkonfigurationsoptionen in Azure Monitor-Protokolle:

Diagramm, das die Tabellenkonfigurationsoptionen wie Tabellentyp, -schema und -plan sowie interaktive und Langzeitaufbewahrung veranschaulicht.

Tabellentyp und -schema

Das Schema einer Tabelle umfasst die Spalten, die die Tabelle bilden, in die Azure Monitor-Protokolle Protokolldaten aus Datenquellen erfasst.

Der Log Analytics-Arbeitsbereich kann die folgenden Tabellentypen enthalten:

Tabellentyp Datenquellen- Schema
Azure-Tabelle Protokolle von Azure-Ressourcen oder Protokolle, die von Azure-Diensten und -Lösungen benötigt werden. Azure Monitor-Protokolle erstellt abhängig von den verwendeten Azure-Diensten und den für bestimmte Ressourcen konfigurierten Diagnoseeinstellungen automatisch Azure-Tabellen. Jede Azure-Tabelle verfügt über ein vordefiniertes Schema. Sie können Spalten zu einer Azure-Tabelle hinzufügen, um transformierte Protokolldaten zu speichern oder Daten in der Azure-Tabelle mit Daten aus einer anderen Quelle anzureichern.
Benutzerdefinierte Tabelle Nicht-Azure-Ressourcen und beliebige andere Datenquellen, z. B. dateibasierte Protokolle Sie können das Schema einer benutzerdefinierten Tabelle abhängig davon definieren, wie Sie Daten speichern möchten, die Sie aus einer bestimmten Datenquelle erfassen.
Suchergebnisse Alle in einem Log Analytics-Arbeitsbereich gespeicherten Daten Das Schema einer Suchergebnistabelle hängt von der Abfrage ab, die Sie beim Ausführen des Suchauftrags definieren. Sie können das Schema vorhandener Suchergebnistabellen nicht bearbeiten.
Wiederhergestellte Protokolle Daten, die in einer bestimmten Tabelle in einem Log Analytics-Arbeitsbereich gespeichert sind. Eine Tabelle für wiederhergestellte Protokollen weist das gleiche Schema wie die Tabelle auf, aus der Sie Protokolle wiederherstellen. Sie können das Schema vorhandener wiederhergestellter Protokolltabellen nicht bearbeiten.

Tabellenplan

Konfigurieren Sie den Plan einer Tabelle abhängig davon, wie oft Sie auf die Daten in der Tabelle zugreifen:

  • Der Analytics-Plan eignet sich für eine kontinuierliche Überwachung, Echtzeiterkennung und Leistungsanalyse. Dieser Plan stellt Protokolldaten für interaktive Abfragen mehrerer Tabellen und die Verwendung durch Features und Dienste für 30 Tage bis zwei Jahre zur Verfügung.
  • Der Basic-Plan eignet sich für die Problembehandlung und die Reaktion auf Vorfälle. Dieser Plan bietet rabattierte Aufnahme- und optimierte Einzeltabellenabfragen für 30 Tage.
  • Der Hilfsplan ist für Daten mit geringer Fingereingabe geeignet, z. B. ausführliche Protokolle und Daten, die für die Überwachung und Compliance erforderlich sind. Dieser Plan bietet kostengünstige Erfassung und nicht optimierte Einzeltabellenabfragen für 30 Tage.

Ausführliche Informationen zu Azure Monitor Logs-Tabellenplänen finden Sie unter Azure Monitor Logs: Tabellenpläne.

Langfristige Aufbewahrung

Die Langzeitaufbewahrung ist eine kostengünstige Lösung zum Aufbewahren von Daten, die Sie in Ihrem Arbeitsbereich nicht regelmäßig für Compliance oder gelegentliche Untersuchungen verwenden. Verwenden Sie Aufbewahrungseinstellungen auf Tabellenebene, um eine Langzeitaufbewahrung hinzuzufügen oder zu erweitern.

Um auf Daten in Langzeitaufbewahrung zuzugreifen, führen Sie einen Suchauftrag aus.

Erfassungszeittransformationen

Reduzieren Sie Kosten und Analyseaufwand, indem Sie Datensammlungsregeln verwenden, um Daten vor der Erfassung basierend auf dem für die benutzerdefinierte Tabelle definierten Schema herauszufiltern und zu transformieren.

Hinweis

Tabellen mit dem Hilfstabellenplan unterstützen derzeit keine Datentransformation. Weitere Informationen finden Sie unter Einschränkungen der öffentlichen Vorschauversion für Tabellenpläne.

Anzeigen von Tabelleneigenschaften

Hinweis

Beim Tabellennamen ist die Groß-/Kleinschreibung relevant.

So können Sie Tabelleneigenschaften im Azure-Portal anzeigen und festlegen:

  1. Wählen Sie in Ihrem Log Analytics-Arbeitsbereich Tabellen aus.

    Im Bildschirm Tabellen werden Tabellenkonfigurationsinformationen für alle Tabellen in Ihrem Log Analytics-Arbeitsbereich angezeigt.

    Screenshot: Bildschirm „Tabelle“ für einen Log Analytics-Arbeitsbereich.

  2. Wählen Sie rechts neben einer Tabelle die Auslassungspunkte (...) aus, um das Menü zum Verwalten von Tabellen zu öffnen.

    Die verfügbaren Tabellenverwaltungsoptionen variieren je nach Tabellentyp.

    1. Wählen Sie Tabelle verwalten aus, um die Tabelleneigenschaften zu bearbeiten.

    2. Wählen Sie Schema bearbeiten aus, um das Tabellenschema anzuzeigen und zu bearbeiten.

Nächste Schritte

In diesem Artikel werden folgende Themen erläutert: