Gerenciar tabelas em um workspace do Log Analytics

Um workspace do Log Analytics permite coletar logs de recursos do Azure e não Azure em um espaço para análise de dados, o uso por outros serviços, como o Sentinel, e disparar alertas e ações, por exemplo, usando Aplicativos Lógicos do Azure. O workspace do Log Analytics é composto por tabelas, que você pode configurar para gerenciar o modelo de dados e os custos relacionados a logs. Este artigo explica as opções de configuração de tabela nos Logs do Azure Monitor e como definir as propriedades de tabela com base em suas necessidades de análise de dados e gerenciamento de custos.

Permissões necessárias

Você deve ter permissões microsoft.operationalinsights/workspaces/tables/write para os workspaces do Log Analytics que você gerencia, conforme fornecido pela função interna de Colaborador do Log Analytics, por exemplo.

Propriedades da tabela

Este diagrama fornece uma visão geral das opções de configuração de tabela nos Logs do Azure Monitor:

Tipo e esquema de tabela

O esquema de uma tabela é o conjunto de colunas que compõem a tabela, em que os Logs do Azure Monitor coletam dados de log de uma ou mais fontes de dados.

Seu workspace do Log Analytics pode conter os seguintes tipos de tabelas:

Tipo de tabela	Fonte de dados	Esquema
Tabela do Azure	Logs de recursos do Azure ou exigidos por serviços e soluções do Azure.	Os Logs do Azure Monitor criam tabelas do Azure automaticamente com base nos serviços do Azure que você usa e nas configurações de diagnóstico que configura para recursos específicos. Cada tabela do Azure tem um esquema predefinido. Você pode adicionar colunas a uma tabela do Azure para armazenar dados de log transformados ou enriquecer dados na tabela do Azure com dados de outra fonte.
Tabela personalizada	Recursos que não são do Azure e qualquer outra fonte de dados, como logs baseados em arquivos.	Você pode definir o esquema de uma tabela personalizada com base em como deseja armazenar os dados coletados de uma determinada fonte de dados.
Resultados da Pesquisa	Todos os dados armazenados em um workspace do Log Analytics.	O esquema de uma tabela de resultados de pesquisa baseia-se na consulta que você define ao executar o trabalho de pesquisa. Não é possível editar o esquema de tabelas de resultados de pesquisa existentes.
Logs restaurados	Logs arquivados.	Uma tabela de logs restaurada tem o mesmo esquema da tabela da qual você restaura os logs. Não é possível editar o esquema de tabelas de logs restauradas existentes.

Planos de dados de log

Configure o plano de dados de log de uma tabela com base na frequência com que você acessa os dados na tabela:

• O plano de Análise disponibiliza dados de log para consultas interativas e uso por recursos e serviços.
• O plano de dados de log Básico fornece uma maneira de baixo custo de ingerir e reter logs para solução de problemas, depuração, auditoria e conformidade.

Retenção e arquivamento

O arquivamento é uma solução de baixo custo para manter os dados que você não usa regularmente em seu workspace para conformidade ou investigação ocasional. Definir políticas de retenção no nível da tabela para substituir a política de retenção do espaço de trabalho padrão e arquivar dados no seu espaço de trabalho.

Para acessar dados arquivados, execute um trabalho de pesquisa ou restaure dados para um intervalo de tempo específico.

Transformações de tempo-ingestão

Reduza os custos e o esforço de análise usando regras de coleta de dados para filtrar e transformar dados antes da ingestão com base no esquema definido para sua tabela personalizada.

Exibir propriedades da tabela

Observação

O nome da tabela diferencia maiúsculas de minúsculas.

Portal

Para exibir e definir propriedades de tabela no portal do Azure:

1. No workspace do Log Analytics, selecione Tabelas.

   A tela Tabelas apresenta informações de configuração de tabela referentes a todas as tabelas no workspace do Log Analytics.

   

2. Selecione as reticências (...) à direita de uma tabela para abrir o menu de gerenciamento de tabela.

   As opções de gerenciamento de tabela disponíveis variam de acordo com o tipo de tabela.

   1. Selecione Gerenciar tabela para editar as propriedades da tabela.

   2. Selecione Editar esquema para exibir e editar o esquema da tabela.

API

Para exibir as propriedades da tabela, chame a API Tabelas – Obter:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

Corpo da resposta

Nome	Digitar	Descrição
properties.plan	string	O plano de tabela. Analytics ou Basic.
properties.retentionInDays	inteiro	A retenção de dados da tabela em dias. Em Basic Logs, o valor é de oito dias, fixo. Em Analytics Logs, o valor está entre quatro e 730 dias.
properties.totalRetentionInDays	inteiro	A retenção de dados da tabela que também inclui o período de arquivamento.
properties.archiveRetentionInDays	inteiro	O período de arquivamento da tabela (somente leitura, calculado).
properties.lastPlanModifiedDate	String	Última vez em que o plano foi definido para esta tabela. Nulo, se nenhuma alteração já tiver sido feita nas configurações padrão (somente leitura).

Solicitação de exemplo

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

Resposta de exemplo

Código de status: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Para definir as propriedades da tabela, chame a API Tabelas – Criar ou Atualizar.

CLI do Azure

Para exibir as propriedades da tabela usando a CLI do Azure, execute o comando az monitor log-analytics workspace table show.

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

Para definir as propriedades da tabela usando a CLI do Azure, execute o comando az monitor log-analytics workspace table update.

PowerShell

Para exibir as propriedades da tabela usando o PowerShell, execute:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

Resposta de exemplo

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

Use o cmdlet Update-AzOperationalInsightsTable para definir as propriedades da tabela.

Próximas etapas

Saiba como:

• Definir o plano de dados de log de uma tabela
• Adicionar tabelas e colunas personalizadas
• Definir retenção e arquivar
• Projetar uma arquitetura de workspace