Hantera tabeller på en Log Analytics-arbetsyta
Med en Log Analytics-arbetsyta kan du samla in loggdata från Azure- och icke-Azure-resurser till ett utrymme för analys, använda andra tjänster, till exempel Sentinel, och utlösa aviseringar och åtgärder, till exempel med hjälp av Azure Logic Apps. Log Analytics-arbetsytan består av tabeller som du kan konfigurera för att hantera din datamodell, dataåtkomst och loggrelaterade kostnader. Den här artikeln beskriver konfigurationsalternativen för tabeller i Azure Monitor-loggar och hur du anger tabellegenskaper baserat på dina dataanalys- och kostnadshanteringsbehov.
Tabellegenskaper
Det här diagrammet ger en översikt över tabellkonfigurationsalternativen i Azure Monitor-loggar:
Tabelltyp och schema
En tabells schema är den uppsättning kolumner som utgör tabellen, där Azure Monitor-loggar samlar in loggdata från en eller flera datakällor.
Log Analytics-arbetsytan kan innehålla följande typer av tabeller:
Tabelltyp | Data source | Schema |
---|---|---|
Azure Table | Loggar från Azure-resurser eller som krävs av Azure-tjänster och -lösningar. | Azure Monitor-loggar skapar Azure-tabeller automatiskt baserat på Azure-tjänster som du använder och diagnostikinställningar som du konfigurerar för specifika resurser. Varje Azure-tabell har ett fördefinierat schema. Du kan lägga till kolumner i en Azure-tabell för att lagra transformerade loggdata eller berika data i Azure-tabellen med data från en annan källa. |
Anpassad tabell | Icke-Azure-resurser och andra datakällor, till exempel filbaserade loggar. | Du kan definiera en anpassad tabells schema baserat på hur du vill lagra data som du samlar in från en viss datakälla. |
Sökresultat | Alla data som lagras på en Log Analytics-arbetsyta. | Schemat för en sökresultattabell baseras på den fråga som du definierar när du kör sökjobbet. Du kan inte redigera schemat för befintliga sökresultattabeller. |
Återställde loggar | Data som lagras i en specifik tabell på en Log Analytics-arbetsyta. | En återställd loggtabell har samma schema som tabellen som du återställer loggar från. Du kan inte redigera schemat för befintliga återställde loggtabeller. |
Tabellplan
Konfigurera en tabells plan baserat på hur ofta du kommer åt data i tabellen:
- Analysplanen lämpar sig för kontinuerlig övervakning, realtidsidentifiering och prestandaanalys. Den här planen gör loggdata tillgängliga för interaktiva frågor med flera tabeller och används av funktioner och tjänster i 30 dagar till två år.
- Basic-planen lämpar sig för felsökning och incidenthantering. Den här planen erbjuder rabatterad inmatning och optimerade frågor med en tabell i 30 dagar.
- Extraplanen lämpar sig för lågtrycksdata, till exempel utförliga loggar och data som krävs för granskning och efterlevnad. Den här planen erbjuder lågkostnadsinmatning och ooptimerade frågor med en tabell i 30 dagar.
Fullständig information om tabellplaner för Azure Monitor-loggar finns i Azure Monitor-loggar: Tabellplaner.
Långsiktig kvarhållning
Långsiktig kvarhållning är en billig lösning för att behålla data som du inte använder regelbundet på din arbetsyta för efterlevnad eller tillfälliga undersökningar. Använd kvarhållningsinställningar på tabellnivå för att lägga till eller utöka långsiktig kvarhållning.
Kör ett sökjobb för att komma åt data i långsiktig kvarhållning.
Inmatningstidstransformeringar
Minska kostnaderna och analysarbetet genom att använda datainsamlingsregler för att filtrera bort och transformera data före inmatning baserat på det schema som du definierar för din anpassade tabell.
Kommentar
Tabeller med tabellplanen Auxiliary stöder för närvarande inte datatransformering. Mer information finns i Begränsningar för förhandsversionen av extratabellplan.
Visa tabellegenskaper
Kommentar
Tabellnamnet är skiftlägeskänsligt.
Så här visar och anger du tabellegenskaper i Azure Portal:
Från Log Analytics-arbetsytan väljer du Tabeller.
Skärmen Tabeller visar tabellkonfigurationsinformation för alla tabeller i Log Analytics-arbetsytan.
Välj ellipsen (...) till höger om en tabell för att öppna menyn för tabellhantering.
Tillgängliga alternativ för tabellhantering varierar beroende på tabelltyp.
Välj Hantera tabell för att redigera tabellegenskaperna.
Välj Redigera schema för att visa och redigera tabellschemat.
Nästa steg
Lär dig att: