Datenaufbewahrung und Archivierung in Azure Monitor-Protokollen

Azure Monitor-Protokolle speichern Daten in zwei Zuständen:

• Interaktive Aufbewahrung: Ermöglicht Ihnen die Aufbewahrung von Analyseprotokollen für interaktive Abfragen für einen Zeitraum von bis zu 2 Jahren.
• Archiv: Ermöglicht es Ihnen, ältere, weniger häufig verwendete Daten zu geringeren Kosten in Ihrem Arbeitsbereich aufzubewahren. Sie können mithilfe von Suchaufträgen und über die Wiederherstellung auf Daten im archivierten Zustand zugreifen. Sie können Daten bis zu 12 Jahre lang archivieren.

In diesem Artikel wird beschrieben, wie Sie die Datenaufbewahrung und -archivierung konfigurieren.

Funktionsweise von Aufbewahrung und Archivierung

Jeder Arbeitsbereich verfügt über eine Standardeinstellung für die Aufbewahrung, die auf sämtliche Tabellen angewendet wird. Sie können für einzelne Tabellen eine andere Aufbewahrungseinstellung festlegen.

Im interaktiven Aufbewahrungszeitraum stehen Daten für Überwachung, Problembehandlung und Analyse zur Verfügung. Wenn Sie die Protokolle nicht mehr verwenden, die Daten aber trotzdem für die Compliance oder zur gelegentlichen Untersuchung behalten müssen, archivieren Sie die Protokolle, um Kosten zu sparen.

Archivierte Daten bleiben neben den Daten, die für interaktive Abfragen verfügbar sind, in derselben Tabelle. Wenn Sie einen Gesamtaufbewahrungszeitraum festlegen, der länger als der interaktive Aufbewahrungszeitraum ist, archiviert Log Analytics die relevanten Daten sofort am Ende des Aufbewahrungszeitraums automatisch.

Sie können auf archivierte Daten zugreifen, indem Sie einen Suchauftrag ausführen oder archivierte Protokolle wiederherstellen.

Hinweis

Der Archivierungszeitraum kann nur auf Tabellenebene und nicht auf Arbeitsbereichsebene festgelegt werden.

Anpassungen der Aufbewahrungs- und Archiveinstellungen

Wenn Sie eine vorhandene Aufbewahrungseinstellung verkürzen, wartet Azure Monitor 30 Tage, bevor die Daten entfernt werden. Auf diese Weise können Sie die Änderung rückgängig machen und einen Datenverlust im Falle eines Konfigurationsfehlers vermeiden. Sie können bei Bedarf sofort Daten bereinigen.

Wenn Sie die Aufbewahrungsdauer verlängern, gilt der neue Aufbewahrungszeitraum für alle Daten, die bereits in der Tabelle erfasst wurden und noch nicht bereinigt oder entfernt wurden.

Wenn Sie die Archiveinstellungen einer Tabelle mit vorhandenen Daten ändern, wirkt sich das ebenfalls sofort auf die relevanten Daten in der Tabelle aus. Beispielsweise besitzen Sie unter Umständen eine Tabelle mit einem interaktiven Aufbewahrungszeitraum von 180 Tagen ohne Archivierungszeitraum. Sie entscheiden sich dafür, die Aufbewahrungseinstellung auf eine interaktive Aufbewahrung von 90 Tagen festzulegen, ohne den Gesamtaufbewahrungszeitraum von 180 Tagen zu ändern. Log Analytics archiviert alle Daten, die älter als 90 Tage sind, sofort, und keine der Daten werden gelöscht.

Was geschieht mit Daten, wenn Sie eine Tabelle in einem Log Analytics-Arbeitsbereich löschen?

Der Log Analytics-Arbeitsbereich kann die mehrere Tabellentypen enthalten. Was beim Löschen der Tabelle geschieht, ist jeweils unterschiedlich:

Tabellentyp	Datenaufbewahrung	Empfehlungen
Azure-Tabelle	Eine Azure-Tabelle enthält Protokolle aus einer Azure-Ressource oder Daten, die von einem Azure-Dienst oder einer Azure-Lösung benötigt werden und nicht gelöscht werden können. Wenn Sie das Streaming von Daten aus der Ressource, dem Dienst oder der Lösung beenden und keine Aufbewahrung auf Tabellenebene definiert haben, verbleiben die Daten bis zum Ende des Aufbewahrungszeitraums, der für die Tabelle oder für die Standardarbeitsbereichsaufbewahrung definiert ist, im Arbeitsbereich.	Für geringere Gebühren, sollten Sie die Aufbewahrung auf Tabellenebene auf vier Tage festlegen, bevor Sie das Streaming von Protokollen an die Tabelle beenden.
Wiederhergestellte Tabelle(table_RST)	Löscht den für die Wiederherstellung bereitgestellten Hot Cache, die Quelltabellendaten werden jedoch nicht gelöscht.
Suchergebnistabelle (table_SRCH)	Löscht die Tabelle und die Daten sofort und dauerhaft.
Benutzerdefinierte Protokolltabelle (table_CL)	Löscht die Tabelle vorläufig bis zum Ende der Aufbewahrungsdauer auf Tabellenebene oder des standardmäßigen Aufbewahrungszeitraums für Arbeitsbereiche. Im Zeitraum des vorläufigen Löschens zahlen Sie weiterhin für die Datenaufbewahrung und können die Tabelle neu erstellen und auf die Daten zugreifen, indem Sie eine Tabelle mit demselben Namen und Schema einrichten. Vierzehn Tage nach dem Löschen einer benutzerdefinierten Tabelle entfernt Azure Monitor die Aufbewahrungskonfiguration auf Tabellenebene und wendet die Standardarbeitsbereichsaufbewahrung an.	Für geringere Gebühren, sollten Sie die Aufbewahrung auf Tabellenebene auf vier Tage festlegen, bevor Sie die Tabelle löschen.

Erforderliche Berechtigungen

Aktion	Erforderliche Berechtigungen
Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien für einen Log Analytics-Arbeitsbereich	Microsoft.OperationalInsights/workspaces/write- und microsoft.operationalinsights/workspaces/tables/write-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden
Abrufen der Aufbewahrungs- und Archivrichtlinie nach Tabelle für einen Log Analytics-Arbeitsbereich	Microsoft.OperationalInsights/workspaces/tables/read-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden
Löschen von Daten aus einem Log Analytics-Arbeitsbereich	Microsoft.OperationalInsights/workspaces/purge/action-Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden

Konfigurieren der Standardaufbewahrung für Arbeitsbereiche

Sie können die Standardaufbewahrung für einen Log Analytics-Arbeitsbereich im Azure-Portal auf 30, 31, 60, 90, 120, 180, 270, 365, 550 und 730 Tage festlegen. Sie können für bestimmte Tabellen eine andere Einstellung festlegen, indem Sie die Aufbewahrung und Archivierung auf Tabellenebene konfigurieren. Wenn Sie den kostenlosen Tarif verwenden, müssen Sie ein Upgrade auf den kostenpflichtigen Tarif durchführen, um die Datenaufbewahrungsdauer zu ändern.

Wichtig

Arbeitsbereiche mit einer Aufbewahrung von 30 Tagen können Daten 31 Tage lang aufbewahren. Wenn Sie Daten zur Einhaltung einer Datenschutzrichtlinie nur für 30 Tage aufbewahren müssen, konfigurieren Sie die Standardarbeitsbereichsaufbewahrung mithilfe der API auf 30 Tage und aktualisieren Sie die immediatePurgeDataOn30Days Arbeitsbereichseigenschaft auf true. Dieser Vorgang wird derzeit über die Arbeitsbereiche – Update-API unterstützt.

Portal

So legen Sie die Standardaufbewahrung für Arbeitsbereiche fest

1. Wählen Sie im Azure-Portal im Menü Logs Analytics-Arbeitsbereiche Ihren Arbeitsbereich aus.

2. Wählen Sie im linken Bereich Nutzung und geschätzte Kosten aus.

3. Wählen Sie oben auf der Seite die Option Datenaufbewahrung aus.

   

4. Passen Sie mithilfe des Schiebereglers die Anzahl von Tagen an, und wählen Sie anschließend OK aus.

API

Rufen Sie zum Festlegen der Aufbewahrungs- und Archivdauer für eine Tabelle die Arbeitsbereiche – Erstellen- oder Update-API auf:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

Anforderungstext

Der Anforderungstext enthält die Werte in der folgenden Tabelle.

Name	Typ	Beschreibung
properties.retentionInDays	integer	Die Aufbewahrung von Arbeitsbereichsdaten in Tagen. Zulässige Werte sind pro Preisplan. Ausführliche Informationen finden Sie in der Dokumentation zum Tarif.
location	Zeichenfolge	Der geografische Standort der Ressource.
immediatePurgeDataOn30Days	boolean	Flag, das angibt, ob Daten nach 30 Tagen sofort entfernt werden und nicht wiederherstellbar sind. Gilt nur, wenn die Arbeitsbereichsaufbewahrung auf 30 Tage festgelegt ist.

Beispiel

In diesem Beispiel wird die Aufbewahrung des Arbeitsbereichs auf die Standardeinstellung des Arbeitsbereichs von 30 Tagen festgelegt und sichergestellt, dass Daten nach 30 Tagen sofort entfernt und nicht wiederhergestellt werden können.

Anforderung

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...
    },
    ...

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Festlegen der Aufbewahrungs- und Archivierungsdauer für eine Tabelle den Befehl az monitor log-analytics workspace update aus, und übergeben Sie den Parameter --retention-time.

In diesem Beispiel wird die interaktive Aufbewahrungsdauer der Tabelle auf 30 Tage festgelegt, und die Gesamtaufbewahrungsdauer wird auf zwei Jahre festgelegt, d. h., die Archivierungsdauer beträgt 23 Monate:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

PowerShell

Verwenden Sie das Cmdlet Set-AzOperationalInsightsWorkspace, um die Aufbewahrung für einen Arbeitsbereich festzulegen. In diesem Beispiel wird die Aufbewahrung des Arbeitsbereichs auf 30 Tage festgelegt:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Konfigurieren der Aufbewahrung und Archivierung auf Tabellenebene

Standardmäßig erben alle Tabellen in Ihrem Arbeitsbereich die Einstellung für die interaktive Speicherung des Arbeitsbereichs und verfügen über kein Archiv. Sie können die Einstellungen für die Aufbewahrung und Archivierung einzelner Tabellen ändern, mit Ausnahme von Arbeitsbereichen im Legacytarif für die kostenlose Testversion.

Der Analyseprotokoll-Datenplan umfasst 31 Tage interaktive Aufbewahrung für Arbeitsbereiche in den Preisstufen der aktuellen Generation (nutzungsbasierte Bezahlung und Mindestabnahme sowie die Legacy-Tarife „Eigenständig“ und „Pro Knoten“). Sie können den interaktiven Aufbewahrungszeitraum gegen Aufpreis auf bis zu 730 Tage erhöhen. Bei Bedarf können Sie den Zeitraum für die interaktive Aufbewahrung über die API oder CLI auf bis zu vier Tage verkürzen. Da jedoch im Preis für die Erfassung 31 Tage interaktive Aufbewahrung inbegriffen sind, führt eine Senkung des Aufbewahrungszeitraums unter 31 Tage nicht zu einer Kostensenkung. Sie können den Archivierungszeitraum auf eine Gesamtaufbewahrungszeit von bis zu 4.383 Tagen (12 Jahre) einstellen.

Hinweis

Derzeit können Sie die Gesamtaufbewahrung auf bis zu 12 Jahre über das Azure-Portal und die API festlegen. CLI und PowerShell sind auf sieben Jahre begrenzt; Unterstützung für 12 Jahre wird folgen.

Portal

Zum Festlegen der Aufbewahrungs- und Archivierungsdauer für eine Tabelle im Azure-Portal gehen Sie folgendermaßen vor:

1. Wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

   Auf dem Bildschirm Tabellen werden alle Tabellen im Arbeitsbereich aufgelistet.

2. Wählen Sie das Kontextmenü für die Tabelle, die Sie konfigurieren möchten, und dann Tabelle verwalten aus.

   

3. Konfigurieren Sie die Aufbewahrungs- und Archivierungsdauer im Abschnitt Einstellungen für Datenaufbewahrung des Tabellenkonfigurationsbildschirms.

   

API

Rufen Sie zum Festlegen der Aufbewahrungs- und Archivdauer für eine Tabelle die Tables – Update-API (Tabellen – Update) auf:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

Hinweis

Sie geben die Archivdauer beim API-Aufruf nicht explizit an. Stattdessen legen Sie die Gesamtaufbewahrungsdauer fest, bei der es sich um die Summe der interaktiven Aufbewahrungsdauer plus der Archivierungsdauer handelt.

Sie können entweder PUT oder PATCH verwenden. Der Unterschied ist der folgende:

• Die PUT-API legt retentionInDays und totalRetentionInDays auf den Standardwert fest, wenn Sie keine Werte festlegen, die nicht NULL sind.
• Die PATCH-API ändert die Werte von retentionInDays oder totalRetentionInDays nicht, wenn Sie keine Werte angeben.

Anforderungstext

Der Anforderungstext enthält die Werte in der folgenden Tabelle.

Name	Typ	BESCHREIBUNG
properties.retentionInDays	integer	Die Datenaufbewahrung der Tabelle in Tagen. Dieser Wert kann zwischen 4 und 730 liegen. Wenn Sie diese Eigenschaft auf NULL festlegen, wird standardmäßig der Aufbewahrungszeitraum des Arbeitsbereichs verwendet. Für eine Tabelle mit grundlegenden Protokollen ist der Wert immer 8.
properties.totalRetentionInDays	integer	Die gesamte Datenaufbewahrung der Tabelle, einschließlich des Archivzeitraums Dieser Wert kann zwischen 4 und 730 oder bei 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 oder 4383 liegen. Legen Sie diese Eigenschaft auf NULL fest, wenn Sie keine Daten archivieren möchten.

Beispiel

In diesem Beispiel wird die interaktive Aufbewahrungsdauer der Tabelle auf den für Arbeitsbereiche geltenden Standardwert von 30 Tagen festgelegt, und die Gesamtaufbewahrungsdauer wird auf zwei Jahre festgelegt, d. h., die Archivierungsdauer beträgt 23 Monate.

Anforderung

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

Anforderungstext

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Antwort

Statuscode: 200

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Festlegen der Aufbewahrungs- und Archivierungsdauer für eine Tabelle den Befehl az monitor log-analytics workspace table update aus, und übergeben Sie die Parameter --retention-time und --total-retention-time.

In diesem Beispiel wird die interaktive Aufbewahrungsdauer der Tabelle auf 30 Tage festgelegt, und die Gesamtaufbewahrungsdauer wird auf zwei Jahre festgelegt, d. h., die Archivierungsdauer beträgt 23 Monate:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Wenn Sie den interaktiven Standardaufbewahrungswert des Arbeitsbereichs erneut auf die Tabelle anwenden und die Gesamtaufbewahrungsdauer auf „0“ zurücksetzen möchten, führen Sie den Befehl az monitor log-analytics workspace table update aus, und legen Sie dabei die Parameter --retention-time und --total-retention-time auf -1 fest.

Beispiel:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

PowerShell

Verwenden Sie das Cmdlet Update-AzOperationalInsightsTable, um die Aufbewahrungs- und Archivdauer für eine Tabelle festzulegen. In diesem Beispiel wird die interaktive Aufbewahrungsdauer der Tabelle auf 30 Tage festgelegt, und die Gesamtaufbewahrungsdauer wird auf zwei Jahre festgelegt, d. h., die Archivierungsdauer beträgt 23 Monate:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Wenn Sie den interaktiven Standardaufbewahrungswert des Arbeitsbereichs erneut auf die Tabelle anwenden und die Gesamtaufbewahrungsdauer auf „0“ zurücksetzen möchten, führen Sie das Cmdlet Update-AzOperationalInsightsTable aus, und legen Sie dabei die Parameter -RetentionInDays und -TotalRetentionInDays auf -1 fest.

Beispiel:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Abrufen der Einstellungen für Aufbewahrung und Archivierung nach Tabelle

Portal

Zum Anzeigen der Aufbewahrungs- und Archivierungsdauer für eine Tabelle im Azure-Portal wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

Der Bildschirm Tabellen zeigt den interaktiven Aufbewahrungs- und Archivierungszeitraum für alle Tabellen im Arbeitsbereich an.

API

Um die Aufbewahrungseinstellung einer bestimmten Tabelle (in diesem Beispiel SecurityEvent) zu erhalten, rufen Sie die Tables – Get-API auf:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Um alle Aufbewahrungseinstellungen auf Tabellenebene in Ihrem Arbeitsbereich abzurufen, legen Sie keinen Tabellennamen fest.

Beispiel:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um die Aufbewahrungseinstellung einer bestimmten Tabelle abzurufen, führen Sie den Befehl az monitor log-analytics workspace table show aus.

Beispiel:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

PowerShell

Wenn Sie die Aufbewahrungseinstellung einer bestimmten Tabelle abrufen möchten, führen Sie das Cmdlet Get-AzOperationalInsightsTable aus.

Zum Beispiel:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Tabellen mit eindeutigen Aufbewahrungszeiträumen

Standardmäßig bewahren zwei Datentypen (Usage und AzureActivity) Daten mindestens 90 Tage lang kostenlos auf. Wenn Sie die Aufbewahrung des Arbeitsbereichs auf mehr als 90 Tage verlängern, verlängern Sie auch die Aufbewahrung dieser Datentypen. Für diese Tabellen werden auch keine Gebühren für die Datenerfassung erhoben.

Tabellen, die zu Application Insights-Ressourcen gehören, bewahren Daten ebenfalls kostenlos 90 Tage lang auf. Sie können die Aufbewahrungsdauer für jede dieser Tabellen einzeln anpassen:

• AppAvailabilityResults
• AppBrowserTimings
• AppDependencies
• AppExceptions
• AppEvents
• AppMetrics
• AppPageViews
• AppPerformanceCounters
• AppRequests
• AppSystemEvents
• AppTraces

Preismodell

Die Gebühr für die Verwaltung archivierter Protokolle wird basierend auf dem archivierten Datenvolumen in GB und der Anzahl von Tagen berechnet, für die Sie die Daten archivieren. Protokolldaten, die _IsBillable == false haben, unterliegen nicht Aufbewahrungs- oder Archivgebühren.

Weitere Informationen finden Sie unter Azure Monitor-Preise.

Nächste Schritte

Weitere Informationen:

• Verwalten personenbezogener Daten in Azure Monitor-Protokollen
• Erstellen eines Suchauftrags, um archivierte Daten abzurufen, die bestimmten Kriterien entsprechen
• Stellen Sie Archivdaten innerhalb eines bestimmten Zeitbereichs wieder her.