Управление таблицами в рабочей области Log Analytics

Рабочая область Log Analytics позволяет собирать данные журнала из ресурсов Azure и не Azure в одно пространство для анализа, использовать другие службы, такие как Sentinel, а также активировать оповещения и действия, например с помощью Azure Logic Apps. Рабочая область Log Analytics состоит из таблиц, которые можно настроить для управления моделью данных, доступом к данным и затратами, связанными с журналами. В этой статье описываются параметры конфигурации таблицы в журналах Azure Monitor и настройка свойств таблицы в зависимости от потребностей в анализе данных и управлении затратами.

Свойства таблицы

На этой схеме представлен обзор параметров конфигурации таблицы в журналах Azure Monitor:

Схема, на которой показаны параметры конфигурации таблицы, включая тип таблицы, схему, план и интерактивное и долгосрочное хранение.

Тип таблицы и схема

Схема таблицы — это набор столбцов, составляющих таблицу, в которую журналы Azure Monitor собирают данные журнала из одного или нескольких источников данных.

Рабочая область Log Analytics может содержать следующие типы таблиц:

Тип таблицы Источник данных Схема
Таблица Azure Журналы из ресурсов Azure или необходимые для служб и решений Azure. Журналы Azure Monitor автоматически создают таблицы Azure на основе используемых служб Azure и параметров диагностики, настроенных для определенных ресурсов. Каждая таблица Azure имеет предопределенную схему. Столбцы можно добавить в таблицу Azure для хранения преобразованных данных журнала или обогащения данных в таблице Azure с данными из другого источника.
Пользовательская таблица Ресурсы, отличные от Azure, и любой другой источник данных, например журналы на основе файлов. Вы можете определить схему настраиваемой таблицы на основе того, как вы хотите хранить данные, собранные из заданного источника данных.
Результаты поиска Все данные, хранящиеся в рабочей области Log Analytics. Схема таблицы результатов поиска основана на запросе, определяемом при запуске задания поиска. Невозможно изменить схему существующих таблиц результатов поиска.
Восстановленные журналы Данные, хранящиеся в определенной таблице в рабочей области Log Analytics. Восстановленная таблица журналов имеет ту же схему, что и таблица, из которой восстанавливаются журналы. Невозможно изменить схему существующих восстановленных таблиц журналов.

План таблицы

Настройте план таблицы на основе частоты доступа к данным в таблице:

  • План аналитики подходит для непрерывного мониторинга, обнаружения в режиме реального времени и анализа производительности. Этот план делает данные журнала доступными для интерактивных запросов с несколькими таблицами и используются функциями и службами в течение 30 дней до двух лет.
  • Базовый план подходит для устранения неполадок и реагирования на инциденты. Этот план предлагает скидки на прием и оптимизированные одно табличные запросы в течение 30 дней.
  • Вспомогательный план подходит для низко сенсорных данных, таких как подробные журналы и данные, необходимые для аудита и соответствия требованиям. Этот план предлагает низкооценные приемы и неоптимизированные запросы с одной таблицей в течение 30 дней.

Полные сведения о планах таблиц журналов Azure Monitor см. в журналах Azure Monitor: планы таблиц.

Длительное хранение

Долгосрочное хранение — это решение с низкой стоимостью для хранения данных, которые не используются регулярно в рабочей области для соответствия требованиям или случайного исследования. Используйте параметры хранения на уровне таблицы для добавления или расширения долгосрочного хранения.

Чтобы получить доступ к данным в долгосрочном хранении, запустите задание поиска.

Преобразования во время приема

Сокращение затрат и усилий по анализу с помощью правил сбора данных для фильтрации и преобразования данных перед приемом на основе схемы, определяемой для пользовательской таблицы.

Примечание.

Таблицы с планом вспомогательной таблицы в настоящее время не поддерживают преобразование данных. Дополнительные сведения см. в статье об ограничениях общедоступной предварительной версии плана вспомогательной таблицы.

Просмотр свойств таблицы

Примечание.

Имя таблицы вводится с учетом регистра.

Чтобы просмотреть и задать свойства таблицы в портал Azure:

  1. В рабочей области Log Analytics выберите "Таблицы".

    На экране "Таблицы" представлены сведения о конфигурации таблицы для всех таблиц в рабочей области Log Analytics.

    Снимок экрана: экран

  2. Щелкните многоточие (...) справа от таблицы, чтобы открыть меню управления таблицами.

    Доступные параметры управления таблицами зависят от типа таблицы.

    1. Выберите " Управление таблицей ", чтобы изменить свойства таблицы.

    2. Выберите "Изменить схему ", чтобы просмотреть и изменить схему таблицы.

Следующие шаги

Вы узнаете, как выполнять следующие задачи: