Naplók konfigurálása
A Microsoft Sentinel három elsődleges naplótípust tartalmaz:
- Elemzési naplók
- Alapszintű naplók
- Archív naplók
A Log Analytics-munkaterületek egyes tábláiban lévő adatok egy meghatározott ideig maradnak meg, amely után azokat eltávolítják vagy csökkentett megőrzési díjjal archiválják. Állítsa be a megőrzési időt az adatok rendelkezésre állására vonatkozó követelmény egyensúlyának beállításához az adatmegőrzés költségeinek csökkentésével.
Az archivált adatok eléréséhez először le kell kérnie az adatokat egy Elemzési naplók táblából az alábbi módszerek egyikével:
- Keresési feladatok
- Restore
Elemzési naplók
Alapértelmezés szerint a munkaterület összes táblája Elemzési naplók típusú, amelyek a Log Analytics-munkaterület összes funkciója és a munkaterületet használó egyéb szolgáltatások számára érhetők el.
Alapszintű naplók
Bizonyos táblákat alapszintű naplókként konfigurálhat, így csökkentheti a hibakereséshez, hibaelhárításhoz és naplózáshoz használt, nagy mennyiségű részletes naplók tárolásának költségeit, elemzésekhez és riasztásokhoz azonban nem. Az alapszintű naplókhoz konfigurált táblák alacsonyabb betöltési költséggel rendelkeznek a csökkentett funkciókért cserébe. Az alapszintű naplók csak 8 napig maradnak meg.
KQL nyelvi korlátok
Az alapszintű naplók lekérdezései egyszerű adatlekérésre vannak optimalizálva a KQL nyelv egy részhalmazával, beleértve a következő operátorokat:
- ebben:
- Kiterjesztése
- projekt
- projekteltávol
- projekt-megtartás
- projekt átnevezése
- projekt-átrendezés
- Elemez
- elemzés-hol
A következő KQL nem támogatott:
- Csatlakozás
- unió
- összesítések (összegzés)
Táblatámogatás – Alapszintű naplók
A Log Analytics összes táblája alapértelmezés szerint elemzési táblák. Bizonyos táblákat alapszintű naplók használatára konfigurálhat. Az alapszintű naplókhoz nem konfigurálhat táblát, ha az Azure Monitor adott funkciókra támaszkodik.
Az alapszintű naplókhoz jelenleg az alábbi táblákat konfigurálhatja:
- Minden tábla az adatgyűjtési szabályra (DCR) épülő egyéni naplók API-jával jön létre.
- ContainerLogV2, amelyet a Container Elemzések használ, és amely részletes szöveges naplórekordokat tartalmaz.
- AppTraces, amely az alkalmazáskövetések szabadkézi naplórekordjait tartalmazza az Alkalmazás Elemzések.
Megjegyzés:
Az alapszintű naplók jelenleg előzetes verzióban érhetők el. A támogatott/jogosult táblák dokumentációja frissül az aktuális információkkal, ha a funkció általánosan elérhető.
Naplótípus konfigurálása
Ha módosítani szeretné egy jogosult tábla naplótípusát, válassza ki a munkaterület beállításait a Microsoft Sentinel Gépház területen.
A következő képernyő a Log Analytics portálon látható.
- Válassza a "Táblák" lapot.
- Jelölje ki a táblázatot, majd ... a sor végén.
- A Tábla kezelése elemet választva
- Módosítsa a táblázattervet.
- Select Save
Archív naplók
Az archiválás lehetővé teszi, hogy a munkaterületen tárolt régebbi, kevésbé használt adatok alacsonyabb költséggel legyenek tárolva. Minden munkaterülethez tartozik egy alapértelmezett adatmegőrzési szabályzat, amely az összes táblára vonatkozik. Az egyes táblákon eltérő adatmegőrzési szabályzatot állíthat be.
Az interaktív megőrzési időszak alatt az adatok monitorozáshoz, hibaelhárításhoz és elemzéshez érhetők el. Ha már nem használja a naplókat, de továbbra is meg kell őriznie az adatokat a megfelelőség vagy az alkalmi vizsgálat érdekében, a költségek csökkentése érdekében archiválja a naplókat. Az archivált adatokat keresési feladat futtatásával vagy archivált naplók visszaállításával érheti el.
Táblamegőrzés konfigurálása
Ha módosítani szeretné egy tábla adatmegőrzési napjait, válassza ki a munkaterület beállításait a Microsoft Sentinel Gépház területén.
A következő képernyő a Log Analytics portálon látható.
- Válassza a "Táblák" lapot.
- Jelölje ki a táblázatot, majd ... a sor végén.
- A Tábla kezelése elemet választva
- Módosítsa a teljes megőrzési időtartamot.
- Select Save