Verwalten von Tabellen in einem Log Analytics-Arbeitsbereich

Mit einem Log Analytics-Arbeitsbereich können Sie Protokolle von Azure- und Nicht-Azure-Ressourcen für die Datenanalyse, die Verwendung durch andere Dienste wie Sentinel sowie zum Auslösen von Warnungen und Aktionen, z. B. mithilfe von Azure Logic Apps, zentral erfassen. Der Log Analytics-Arbeitsbereich besteht aus Tabellen, die Sie zum Verwalten Ihres Datenmodells und protokollbezogener Kosten konfigurieren können. In diesem Artikel werden die Tabellenkonfigurationsoptionen in Azure Monitor-Protokollen und das Festlegen von Tabelleneigenschaften abhängig von Ihren Anforderungen an die Datenanalyse und das Kostenmanagement erläutert.

Erforderliche Berechtigungen

Sie müssen über microsoft.operationalinsights/workspaces/tables/write-Berechtigungen für die Log Analytics-Arbeitsbereiche verfügen, die Sie verwalten, wie sie z. B. von der integrierten Log Analytics-Mitwirkender-Rolle bereitgestellt werden.

Tabelleneigenschaften

Dieses Diagramm enthält eine Übersicht über die Tabellenkonfigurationsoptionen in Azure Monitor-Protokolle:

Tabellentyp und -schema

Das Schema einer Tabelle umfasst die Spalten, die die Tabelle bilden, in die Azure Monitor-Protokolle Protokolldaten aus Datenquellen erfasst.

Der Log Analytics-Arbeitsbereich kann die folgenden Tabellentypen enthalten:

Tabellentyp	Datenquellen-	Schema
Azure-Tabelle	Protokolle von Azure-Ressourcen oder Protokolle, die von Azure-Diensten und -Lösungen benötigt werden.	Azure Monitor-Protokolle erstellt abhängig von den verwendeten Azure-Diensten und den für bestimmte Ressourcen konfigurierten Diagnoseeinstellungen automatisch Azure-Tabellen. Jede Azure-Tabelle verfügt über ein vordefiniertes Schema. Sie können Spalten zu einer Azure-Tabelle hinzufügen, um transformierte Protokolldaten zu speichern oder Daten in der Azure-Tabelle mit Daten aus einer anderen Quelle anzureichern.
Benutzerdefinierte Tabelle	Nicht-Azure-Ressourcen und beliebige andere Datenquellen, z. B. dateibasierte Protokolle	Sie können das Schema einer benutzerdefinierten Tabelle abhängig davon definieren, wie Sie Daten speichern möchten, die Sie aus einer bestimmten Datenquelle erfassen.
Suchergebnisse	Alle in einem Log Analytics-Arbeitsbereich gespeicherten Daten	Das Schema einer Suchergebnistabelle hängt von der Abfrage ab, die Sie beim Ausführen des Suchauftrags definieren. Sie können das Schema vorhandener Suchergebnistabellen nicht bearbeiten.
Wiederhergestellte Protokolle	Archivierte Protokolle.	Eine Tabelle für wiederhergestellte Protokollen weist das gleiche Schema wie die Tabelle auf, aus der Sie Protokolle wiederherstellen. Sie können das Schema vorhandener wiederhergestellter Protokolltabellen nicht bearbeiten.

Protokolldatenplan

Konfigurieren Sie den Protokolldatenplan einer Tabelle abhängig davon, wie oft Sie auf die Daten in der Tabelle zugreifen:

• Der Analyseplan stellt Protokolldaten für interaktive Abfragen und die Verwendung durch Features und Dienste zur Verfügung.
• Der Standardplan für Protokolldaten bietet eine kostengünstige Möglichkeit zum Erfassen und Aufbewahren von Protokollen für Problembehandlung, Debugging, Überwachung und Compliance.

Aufbewahrung und Archivierung

Die Archivierung ist eine kostengünstige Lösung zum Aufbewahren von Daten, die Sie in Ihrem Arbeitsbereich nicht mehr regelmäßig für Compliance oder gelegentliche Untersuchungen verwenden. Legen Sie die Aufbewahrung auf Tabellenebene fest, um die Standardaufbewahrung für Arbeitsbereiche außer Kraft zu setzen und Daten in Ihrem Arbeitsbereich zu archivieren.

Führen Sie einen Suchauftrag aus oder stellen Sie Daten für einen bestimmten Zeitraum wieder her, um auf archivierte Daten zuzugreifen.

Erfassungszeittransformationen

Reduzieren Sie Kosten und Analyseaufwand, indem Sie Datensammlungsregeln verwenden, um Daten vor der Erfassung basierend auf dem für die benutzerdefinierte Tabelle definierten Schema herauszufiltern und zu transformieren.

Anzeigen von Tabelleneigenschaften

Hinweis

Beim Tabellennamen ist die Groß-/Kleinschreibung relevant.

Portal

So können Sie Tabelleneigenschaften im Azure-Portal anzeigen und festlegen:

1. Wählen Sie in Ihrem Log Analytics-Arbeitsbereich Tabellen aus.

   Im Bildschirm Tabellen werden Tabellenkonfigurationsinformationen für alle Tabellen in Ihrem Log Analytics-Arbeitsbereich angezeigt.

   

2. Wählen Sie rechts neben einer Tabelle die Auslassungspunkte (...) aus, um das Menü zum Verwalten von Tabellen zu öffnen.

   Die verfügbaren Tabellenverwaltungsoptionen variieren je nach Tabellentyp.

   1. Wählen Sie Tabelle verwalten aus, um die Tabelleneigenschaften zu bearbeiten.

   2. Wählen Sie Schema bearbeiten aus, um das Tabellenschema anzuzeigen und zu bearbeiten.

API

Um Tabelleneigenschaften anzuzeigen, rufen Sie die API Tables – Get auf:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Antworttext

Name	Typ	BESCHREIBUNG
properties.plan	Zeichenfolge	Der Tabellenplan. Entweder Analytics oder Basic
properties.retentionInDays	integer	Die Datenaufbewahrung der Tabelle in Tagen. In Basic Logs ist der Wert auf acht Tage festgelegt. In Analytics Logs liegt der Wert zwischen 4 und 730 Tagen.
properties.totalRetentionInDays	integer	Die Datenaufbewahrung der Tabelle, die auch den Archivzeitraum enthält.
properties.archiveRetentionInDays	integer	Der Archivzeitraum der Tabelle (schreibgeschützt, berechnet)
properties.lastPlanModifiedDate	String	Zeitpunkt, zu dem der Plan für diese Tabelle zuletzt festgelegt wurde. NULL, wenn keine Änderung an den Standardeinstellungen durchgeführt wurde (schreibgeschützt).

Beispielanforderung

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Beispiel für eine Antwort

Statuscode: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Um Tabelleneigenschaften festzulegen, rufen Sie die API Tables – Create Or Update auf.

Azure-Befehlszeilenschnittstelle

Um Tabelleneigenschaften mithilfe der Azure CLI anzuzeigen, führen Sie den Befehl az monitor log-analytics workspace table show aus.

Beispiel:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Um Tabelleneigenschaften mithilfe der Azure CLI festzulegen, führen Sie den Befehl az monitor log-analytics workspace table update aus.

PowerShell

Um Tabelleneigenschaften mithilfe von PowerShell anzuzeigen, führen Sie folgenden Befehl aus:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Beispiel für eine Antwort

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Verwenden Sie das Cmdlet Update-AzOperationalInsightsTable, um Tabelleneigenschaften festzulegen.

Nächste Schritte

In diesem Artikel werden folgende Themen erläutert:

• Festlegen des Protokolldatenplans einer Tabelle
• Hinzufügen benutzerdefinierter Tabellen und Spalten
• Festlegen von Aufbewahrung und Archivierung
• Entwerfen einer Architektur für Arbeitsbereiche