管理 Log Analytics 工作區中的資料表

Log Analytics 工作區可讓您將記錄從 Azure 和非 Azure 資源收集到一個空間以進行資料分析、提供其他服務 (例如 Sentinel) 使用，以及觸發警示和動作，例如使用 Azure Logic Apps。 Log Analytics 工作區由資料表組成，您可以設定這些資料表來管理資料模型以及記錄相關成本。 本文說明 Azure 監視器記錄中的資料表設定選項，以及如何根據您的資料分析和成本管理需求來設定資料表屬性。

需要的權限

您必須擁有所管理 Log Analytics 工作區的 microsoft.operationalinsights/workspaces/tables/write 權限，例如 Log Analytics 參與者內建角色所提供的權限。

資料表屬性

下圖提供 Azure 監視器記錄中的資料表設定選項概觀：

資料表類型和結構描述

資料表的結構描述是組成資料表的資料行集合，Azure 監視器記錄會將一或多個資料來源的記錄資料收集到這裡。

Log Analytics 工作區可以包含下列類型的資料表：

資料表類型	資料來源	結構描述
Azure 資料表	來自 Azure 資源的記錄，或 Azure 服務和解決方案需要的記錄。	Azure 監視器記錄會根據您使用的 Azure 服務以及針對特定資源設定的診斷設定，自動建立 Azure 資料表。 每個 Azure 資料表都有預先定義的結構描述。 您可以將資料行新增至 Azure 資料表，以儲存轉換後的記錄資料，或使用其他來源的資料來擴充 Azure 資料表中的資料。
自訂資料表	非 Azure 資源和任何其他資料來源，例如檔案型記錄。	您可以根據您想要的，儲存指定來源資料集合的方式，定義自訂資料表的結構描述。
搜尋結果	儲存在 Log Analytics 工作區中的所有資料。	搜尋結果資料表的結構描述是以您在執行搜尋作業時所定義的查詢為基礎。 您無法編輯現有搜尋結果資料表的結構描述。
還原的記錄	封存的記錄。	還原的記錄資料表和還原記錄的資料表有相同的結構描述。 您無法編輯現有已還原記錄資料表的結構描述。

記錄資料方案

根據您存取資料表中資料的頻率，設定資料表的記錄資料方案：

• 分析方案則讓功能與服務得以使用記錄資料並用於互動式查詢。
• 基本記錄資料方案讓您以低成本的方式，擷取並保留記錄，以供疑難排解、偵錯、稽核和合規性之用。

保留和封存

封存是低成本的解決方案，可保留工作區中不再經常使用的資料，供合規性或偶爾調查之用。 設定資料表層級保留以覆寫預設的工作區保留，並封存工作區內的資料。

若要存取封存的資料，請執行搜尋作業或還原特定時間範圍的資料。

擷取時間轉換

使用資料收集規則先篩選及轉換資料，再根據您為自訂資料表定義的結構描述擷取資料，以降低成本和分析工作量。

檢視資料表屬性

注意

資料表名稱會區分大小寫。

入口網站

若要在 Azure 入口網站中檢視並設定資料表屬性：

1. 在您的 Log Analytics 工作區，選取 [資料表]。

   [資料表] 畫面會顯示 Log Analytics 工作區中所有資料表的資料設定資訊。

   

2. 選取資料表右方的省略符號 (...)，開啟資料表管理功能表。

   可使用的資料表管理選項會根據資料表類型而有所不同。

   1. 選取 [管理資料表]，編輯資料表屬性。

   2. 選取 [編輯結構描述]，檢視並編輯資料結構描述。

API

若要檢視資料表屬性，請呼叫資料表 - 取得 API：

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

回應本文

名稱	類型​​	描述
properties.plan	string	資料表方案。 Analytics 或 Basic。
properties.retentionInDays	整數	資料表的資料保留天數。 在 Basic Logs 中，此值固定為八天。 在 Analytics Logs 中，此值介於四到 730 天之間。
properties.totalRetentionInDays	整數	資料表的資料保留期也包含封存期。
properties.archiveRetentionInDays	整數	資料表的封存期間 (唯讀、已計算)。
properties.lastPlanModifiedDate	String	上次為此資料表設定方案的時間。 如果從未變更預設設定，則為 Null (唯讀)。

範例要求

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

範例回覆

狀態碼：200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

若要設定資料表屬性，請呼叫資料表 - 建立或更新 API。

Azure CLI

若要使用 Azure CLI 檢視資料表屬性，請執行 az monitor log-analytics workspace table show 命令。

例如：

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table  

若要使用 Azure CLI 設定資料表屬性，請執行 az monitor log-analytics workspace table update 命令。

PowerShell

若要使用 PowerShell 檢視資料表屬性，請執行：

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET 

範例回覆

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

使用 Update-AzOperationalInsightsTable Cmdlet 設定資料表屬性。

下一步

了解如何：

• 設定資料表的記錄資料方案
• 新增自訂資料表和資料行
• 設定保留和封存
• 設計工作區架構