Gérer des tables dans un espace de travail Log Analytics

Un espace de travail Log Analytics vous permet de collecter des journaux à partir de ressources Azure et non-Azure dans un espace pour des analyses, pour une utilisation par d’autres services, tels que Sentinel, et pour déclencher des alertes et des actions, par exemple à l’aide d’Azure Logic Apps. L’espace de travail Log Analytics se compose de tables que vous pouvez configurer pour gérer votre modèle de données, l’accès aux données et les coûts liés aux journaux. Cet article décrit les options de configuration de table dans Azure Monitor Logs et explique comment définir les propriétés de table en fonction de vos besoins en matière d’analyse des données et de gestion des coûts.

Propriétés des tables

Ce diagramme fournit une vue d’ensemble des options de configuration de table dans Azure Monitor Logs :

Diagramme montrant les options de configuration de table, notamment le type, le schéma, le plan et les stratégies de conservation à long terme et d’archivage de table.

Type de table et schéma

Le schéma d’une table est l’ensemble de colonnes qui composent la table, dans lesquelles Azure Monitor Logs collecte des données de journal à partir d’une ou de plusieurs sources de données.

Votre espace de travail Log Analytics peut contenir les types de tables suivants :

Type de la table Source de données schéma
Table Azure Journaux à partir de ressources Azure ou requis par des services et solutions Azure. Azure Monitor Logs crée automatiquement des tables Azure en fonction des services Azure que vous utilisez et des paramètres de diagnostic que vous configurez pour des ressources spécifiques. Chaque table Azure a un schéma prédéfini. Vous pouvez ajouter des colonnes à une table Azure pour stocker des données de journal transformées ou enrichir les données de la table Azure avec des données provenant d’une autre source.
Table personnalisée Ressources non-Azure et toute autre source de données, comme des journaux basés sur des fichiers. Vous pouvez définir le schéma d’une table personnalisée en fonction de la façon dont vous souhaitez stocker les données que vous collectez à partir d’une source de données spécifique.
Résultats de la recherche Toutes les données stockées dans un espace de travail Log Analytics. Le schéma d’une table de résultats de recherche est basé sur la requête que vous définissez lorsque vous exécutez le travail de recherche. Vous ne pouvez pas modifier le schéma de tables de résultats de recherche existantes.
Journaux restaurés Les données sont stockées dans une table d’espace de travail Log Analytics. Une table de journaux restaurés a le même schéma que la table à partir de laquelle vous restaurez les journaux. Vous ne pouvez pas modifier le schéma de tables de journaux restaurés existantes.

Plan de table

Configurez le plan d’une table en fonction de la fréquence à laquelle vous accédez aux données de la table :

  • Le plan Analytics convient au monitoring continu, à la détection en temps réel et à l’analyse des performances. Ce plan rend les données de journal disponibles pour des requêtes à plusieurs tables interactives et pour être utilisées par des fonctionnalités et des services pendant entre 30 jours et deux ans.
  • Le plan Essentiel convient à la résolution des problèmes et à la réponse aux incidents. Ce plan offre une ingestion à prix réduit et des requêtes à table unique optimisées pendant 30 jours.
  • Le plan Auxiliaire convient aux données à faible interaction tactile, telles que les journaux détaillés et les données requises pour l’audit et la conformité. Ce plan offre une ingestion économique et des requêtes à table unique non optimisées pendant 30 jours.

Pour obtenir des informations complètes sur les plans de table d’Azure Monitor, consultez Journaux Azure Monitor : plans de table.

Rétention à long terme

La conservation à long terme est une solution économique pour conserver les données que vous n’utilisez pas régulièrement dans votre espace de travail, à des fins de conformité ou d’enquête occasionnelle. Utilisez les paramètres de conservation des données au niveau des tables pour ajouter ou étendre la conservation à long terme.

Pour accéder à des données dans la conservation à long terme, exécutez un travail de recherche.

Transformations de la durée d’ingestion

Réduisez les coûts et l’effort d’analyse en utilisant des règles de collecte de données pour filtrer et transformer les données avant l’ingestion en fonction du schéma que vous définissez pour votre table personnalisée.

Remarque

Les tables avec le Plan de table auxiliaire ne prennent actuellement pas en charge la transformation des données. Pour obtenir d’autres informations, consultez Limitations de la préversion publique du plan de table auxiliaire.

Afficher les propriétés d’une table

Remarque

Le nom de la table respecte la casse.

Pour afficher et définir les propriétés d’une table dans le portail Azure :

  1. Dans votre espace de travail Log Analytics, sélectionnez Tables.

    L’écran Tables présente les informations de configuration de table pour toutes les tables de votre espace de travail Log Analytics.

    Capture d’écran montrant l’écran Tables pour un espace de travail Log Analytics.

  2. Sélectionnez les points de suspension (...) à droite d’une table pour ouvrir le menu de gestion de table.

    Les options de gestion de table disponibles varient selon le type de table.

    1. Sélectionnez Gérer la table pour modifier les propriétés de la table.

    2. Sélectionnez Modifier le schéma pour afficher et modifier le schéma de la table.

Étapes suivantes

Découvrez comment :