Återskapa loggar i Azure Monitor

Återställningsåtgärden gör ett visst tidsintervall med data i en tabell tillgängligt i den frekventa cachen för frågor med höga prestanda. Den här artikeln beskriver hur du återställer data, frågar efter dessa data och sedan stänger av data när du är klar.

Behörigheter

För att återställa data från en arkiverad tabell behöver Microsoft.OperationalInsights/workspaces/tables/write du och Microsoft.OperationalInsights/workspaces/restoreLogs/write behörigheter till Log Analytics-arbetsytan, till exempel enligt den inbyggda rollen Log Analytics-deltagare.

När loggar ska återställas

Använd återställningsåtgärden för att fråga efter data i arkiverade loggar. Du kan också använda återställningsåtgärden för att köra kraftfulla frågor inom ett visst tidsintervall i en Analytics-tabell när loggfrågorna som du kör i källtabellen inte kan slutföras inom tidsgränsen för loggfrågan på 10 minuter.

Kommentar

Återställning är en metod för att komma åt arkiverade data. Använd återställning för att köra frågor mot en uppsättning data inom ett visst tidsintervall. Använd Sökjobb för att komma åt data baserat på specifika kriterier.

Vad gör en återställning?

När du återställer data anger du den källtabell som innehåller de data som du vill fråga efter och namnet på den nya måltabellen som ska skapas.

Återställningsåtgärden skapar återställningstabellen och allokerar extra beräkningsresurser för att köra frågor mot återställde data med hjälp av högpresterande frågor som stöder fullständig KQL.

Måltabellen innehåller en vy över underliggande källdata, men påverkar den inte på något sätt. Tabellen har ingen kvarhållningsinställning och du måste uttryckligen stänga de återställde data när du inte längre behöver dem.

Återställa data

API

Om du vill återställa data från en tabell anropar du API:et Tabeller – Skapa eller Uppdatera . Namnet på måltabellen måste sluta med _RST.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{user defined name}_RST?api-version=2021-12-01-preview

Begärandetext

Brödtexten i begäran måste innehålla följande värden:

Namn	Type	Beskrivning
properties.restoredLogs.sourceTable	sträng	Tabell med data som ska återställas.
properties.restoredLogs.startRestoreTime	sträng	Start av tidsintervallet som ska återställas.
properties.restoredLogs.endRestoreTime	sträng	Slutet av det tidsintervall som ska återställas.

Återställ tabellstatus

Egenskapen provisioningState anger det aktuella tillståndet för återställningstabellåtgärden. API:et returnerar den här egenskapen när du startar återställningen och du kan hämta den här egenskapen senare med hjälp av en GET-åtgärd i tabellen. Egenskapen provisioningState har något av följande värden:

Värde	beskrivning
Uppdatera	Återställning pågår.
Lyckades	Återställningen har slutförts.
Tas bort	Tar bort den återställde tabellen.

Exempelbegäran

Det här exemplet återställer data från januari 2020 från tabellen Användning till en tabell med namnet Usage_RST.

Begär

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Usage_RST?api-version=2021-12-01-preview

Begärandetext:

{
    "properties":  {
    "restoredLogs":  {
                      "startRestoreTime":  "2020-01-01T00:00:00Z",
                      "endRestoreTime":  "2020-01-31T00:00:00Z",
                      "sourceTable":  "Usage"
    }
  }
}

CLI

Om du vill återställa data från en tabell kör du kommandot az monitor log-analytics workspace table restore create .

Till exempel:

az monitor log-analytics workspace table restore create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name Heartbeat_RST --restore-source-table Heartbeat --start-restore-time "2022-01-01T00:00:00.000Z" --end-restore-time "2022-01-08T00:00:00.000Z" --no-wait

Fråga återställde data

Återställde loggar behåller sina ursprungliga tidsstämplar. När du kör en fråga i återställda loggar anger du frågetidsintervallet baserat på när data ursprungligen genererades.

Ange frågetidsintervallet efter något av följande:

• Välj Anpassad i listrutan Tidsintervall överst i frågeredigeraren och ange värden från och till.
  
  eller

• Ange tidsintervallet i frågan. Till exempel:

  let startTime =datetime(01/01/2022 8:00:00 PM);
  let endTime =datetime(01/05/2022 8:00:00 PM);
  TableName_RST
  | where TimeGenerated between(startTime .. endTime)
  

Stäng återställde data

För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen för att stänga av återställd data när du inte längre behöver den.

Om du tar bort den återställde tabellen tas inte data i källtabellen bort.

Kommentar

Återställde data är tillgängliga så länge som underliggande källdata är tillgängliga. När du tar bort källtabellen från arbetsytan eller när källtabellens kvarhållningsperiod slutar, ignoreras data från den återställda tabellen. Den tomma tabellen finns dock kvar om du inte tar bort den explicit.

Begränsningar

Återställningen omfattas av följande begränsningar.

Du kan:

• Återställa data från en period på minst två dagar.

• Återställ upp till 60 TB.

• Kör upp till två återställningsprocesser på en arbetsyta samtidigt.

• Kör endast en aktiv återställning på en viss tabell vid en viss tidpunkt. Det går inte att köra en andra återställning i en tabell som redan har en aktiv återställning.

• Utför upp till fyra återställningar per tabell och vecka.

Prismodell

Avgiften för återställde loggar baseras på mängden data som du återställer och hur länge återställningen är aktiv. Därför är prisenheterna per GB per dag. Dataåterställningar faktureras varje UTC-dag som återställningen är aktiv.

• Avgifterna omfattas av en minsta återställd datavolym på 2 TB per återställning. Om du återställer mindre data debiteras du minst 2 TB varje dag tills återställningen stängs.

• Under de första och sista dagarna som återställningen är aktiv debiteras du bara för den del av dagen då återställningen var aktiv.

• Den lägsta avgiften är för en återställningstid på 12 timmar, även om återställningen är aktiv i mindre än 12 timmar.

• Mer information om dataåterställningspriset finns i Prissättning för Azure Monitor på fliken Loggar.

Här följer några exempel som illustrerar kostnadsberäkningar för dataåterställning:

1. Om tabellen innehåller 500 GB per dag och du återställer 10 dagars data från tabellen är den totala återställningsstorleken 5 TB. Du debiteras för dessa 5 TB återställde data varje dag tills du stänger de återställde data. Din dagliga kostnad är 5 000 GB multiplicerat med priset för dataåterställning (se Prissättning för Azure Monitor.)

2. Om i stället endast 700 GB data återställs debiteras varje dag som återställningen är aktiv för den minsta återställningsnivån på 2 TB. Din dagliga kostnad är 2 000 GB multiplicerat med priset för dataåterställning.

3. Om en dataåterställning på 5 TB endast hålls aktiv i 1 timme debiteras den för minst 12 timmar. Kostnaden för den här dataåterställningen är 5 000 GB multiplicerat med priset för dataåterställning multiplicerat med 0,5 dagar (minst 12 timmar).

4. Om en dataåterställning på 700 GB endast hålls aktiv i 1 timme debiteras den för minst 12 timmar. Kostnaden för den här dataåterställningen är 2 000 GB (den minsta fakturerade återställningsstorleken) multiplicerat med dataåterställningspriset multiplicerat med 0,5 dagar (minst 12 timmar).

Kommentar

Det kostar ingenting att köra frågor mot återställde loggar eftersom de är Analysloggar.

Nästa steg

• Läs mer om datakvarhållning och arkivering av data.

• Lär dig mer om sökjobb, vilket är en annan metod för att hämta arkiverade data.