Tutorial: Configurar uma política de retenção de dados para uma tabela em um workspace do Log Analytics

  • Artigo

Neste tutorial, você vai definir uma política de retenção para uma tabela no workspace do Log Analytics que você usa para o Microsoft Sentinel ou o Azure Monitor. Essas etapas permitem que você mantenha os dados mais antigos e menos usados em seu workspace a um custo reduzido.

As políticas de retenção em um workspace do Log Analytics definem quando os registros antigos nas tabelas de dados devem ser transferidos para o estado de retenção de longo prazo (anteriormente conhecido como arquivo morto), que oferece baixo custo e acesso mínimo. Por padrão, todas as tabelas no workspace herdam a configuração de retenção interativa do workspace e não têm nenhuma política de retenção de longo prazo (arquivo morto). Você pode modificar as políticas de retenção interativa e de longo prazo, exceto para workspaces no tipo de preço de avaliação gratuita herdado.

Neste tutorial, você aprenderá a:

  • Definir a política de retenção e arquivamento para uma tabela
  • Revise as políticas de retenção interativa e de longo prazo

Pré-requisitos

Para concluir as etapas neste tutorial, você deve ter os seguintes recursos e funções.

  • Conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

  • Conta do Azure com as seguintes funções:

    Função interna Escopo Motivo
    Colaborador do Log Analytics Qualquer de
    • Subscription
    • Grupo de recursos
    • Tabela
    		 Para definir a política de retenção em tabelas no Log Analytics

  • Workspace do Log Analytics.

Definir a política de retenção e arquivamento para uma tabela

No seu workspace do Log Analytics, altere a política de retenção interativa da tabela SecurityEvent do padrão de 90 dias para 180 dias, e a política de retenção total para 3 anos. O período de retenção total é a soma dos períodos de retenção interativa e de longo prazo (arquivo morto).

  1. Entre no portal do Azure.

  2. No portal do Azure, pesquise e abra Workspaces do Log Analytics.

  3. Selecione o workspace apropriado.

  4. Em Configurações, selecione Tabelas.

  5. Localize a tabela SecurityEvent na lista e abra o menu de contexto (...).

  6. Selecionar Gerenciar tabela.

    Captura de tela da opção gerenciar tabela no menu de contexto de uma tabela no modo de exibição de tabelas.

  7. Em Configurações de retenção de dados, insira os valores a seguir.

    Campo Valor
    Retenção interativa 180 dias
    Período total de retenção 3 anos

    Captura de tela das configurações de retenção de dados que mostra as alterações nos campos na seção de retenção de dados.

    Observe que o gráfico de tempo mostra que o período de retenção de longo prazo é igual ao período de retenção total em dias menos a retenção interativa em dias. Neste caso, 915 dias, ou 2,5 anos.

  8. Selecione Salvar.

Revise as políticas de retenção interativa e total

Na página Tabelas da tabela atualizada, revise os valores de campo para Retenção interativa e Retenção total.

Captura de tela do modo de exibição de tabela que mostra as colunas interativas de retenção e período de arquivamento.

Limpar os recursos

Nenhum recurso foi criado, mas talvez você queira restaurar as configurações de retenção de dados alteradas.

Próximas etapas

Configurar as políticas de retenção de dados interativa e de longo prazo nos Logs do Azure Monitor