Configurer les journaux

  • 3 minutes

Il existe trois principaux types de journaux dans Microsoft Sentinel :

  • Journaux d’analytique
  • Journaux de base
  • Journaux d’activité d’archivage

Les données de chaque table d’un espace de travail log Analytics sont conservées pendant une période de temps spécifiée, à l’issue de laquelle elles sont supprimées ou archivées avec des frais de conservation réduits. Définissez la durée de conservation de façon à trouver l’équilibre entre votre exigence de disponibilité des données et la réduction de vos coûts de conservation des données.

Pour accéder aux données archivées, vous devez d’abord y récupérer les données dans une table Journaux d’analytique à l’aide de l’une des méthodes suivantes :

  • Rechercher dans les travaux
  • Restaurer

Diagram of different Workspace Log Types.

Journaux analytiques

Par défaut, toutes les tables d’un espace de travail sont de type Journaux analytiques, lesquelles sont disponibles pour toutes les fonctionnalités d’un espace de travail Log Analytics et tout autre service utilisant l’espace de travail.

Journaux de base

Vous pouvez configurer certaines tables comme Journaux de base pour éviter le coût de stockage de gros volumes de journaux détaillés servant au débogage, à la résolution des problèmes et aux audits, mais pas à l’analytique ni aux alertes. Les tables configurées sur Journaux de base présentent un coût d’ingestion inférieur en contrepartie de fonctionnalités réduites. Les journaux de base sont uniquement conservés pendant 8 jours.

Limites du langage KQL

Les requêtes portant sur les journaux de base sont optimisées pour une extraction simple des données à l’aide d’un sous-ensemble du langage KQL, notamment les opérateurs suivants :

  • extend
  • project
  • project-away
  • project-keep
  • project-rename
  • project-reorder
  • parse
  • parse-where

Le langage KQL suivant n’est pas pris en charge :

  • join
  • union
  • aggregates (summarize)

Journaux de base prenant en charge les tables

Par défaut, toutes les tables de votre espace de travail Log Analytics sont des tables Analytique. Vous pouvez configurer une table en particulier de sorte qu’elle utilise les journaux de base, à moins qu’Azure Monitor ne s’appuie sur cette table pour des fonctionnalités spécifiques.

Les tables suivantes sont actuellement configurables sur Journaux de base :

  • Toutes les tables créées avec l’API des journaux personnalisés basés sur des règles de collecte de données (DCR) .
  • ContainerLogV2, utilisé par Container Insights et contenant des enregistrements de journal de type texte détaillés.
  • AppTraces, qui contient des enregistrements de journal de forme libre pour les traces d’application dans Application Insights.

Notes

Les journaux de base sont actuellement en préversion. La documentation sur les tables prises en charge/éligibles sera mise à jour avec les informations actuelles lorsque la fonctionnalité sera en disponibilité générale.

Configurer le type de journal

Pour ajuster le type de journal d’une table éligible, sélectionnez les paramètres de l’espace de travail dans la zone Paramètres Microsoft Sentinel.
L’écran suivant se trouve dans le portail Log Analytics.

  1. Sélectionnez l’onglet « Tables ».
  2. Sélectionnez la table, puis ... à la fin de la ligne.
  3. Sélectionner Gérer la table
  4. Modifiez le Plan de table.
  5. Sélectionnez Enregistrer.

Journaux d’activité d’archivage

L’archivage vous permet de conserver à moindre coût des données plus anciennes et moins utilisées dans votre espace de travail. Chaque espace de travail a une stratégie de rétention par défaut qui s’applique à toutes les tables. Vous pouvez définir une stratégie de rétention différente sur des tables individuelles.

Diagram of the Retention archive process.

Pendant la période de rétention interactive, les données sont disponibles pour la supervision, la résolution des problèmes et l’analytique. Quand vous n’utilisez plus les journaux, mais que vous avez encore besoin de conserver les données à des fins de conformité ou pour les consulter occasionnellement, archivez les journaux afin de réduire les coûts. Vous pouvez accéder aux données archivées en exécutant un travail de recherche ou en restaurant les journaux archivés.

Configurer la conservation des tables

Pour ajuster les jours de conservation d’une table, sélectionnez les paramètres de l’espace de travail dans la zone Paramètres Microsoft Sentinel.
L’écran suivant se trouve dans le portail Log Analytics.

  1. Sélectionnez l’onglet « Tables ».
  2. Sélectionnez la table, puis ... à la fin de la ligne.
  3. Sélectionner Gérer la table
  4. Changez la Période totale de conservation.
  5. Sélectionnez Enregistrer.