Konfigurieren von Protokollen

  • 3 Minuten

Es gibt drei Hauptprotokolltypen in Microsoft Sentinel:

  • Analyseprotokolle
  • Standardprotokolle
  • Archivprotokolle

Daten in jeder Tabelle eines Log Analytics-Arbeitsbereichs werden für einen bestimmten Zeitraum aufbewahrt, nach dem sie entweder entfernt oder mit einer reduzierten Aufbewahrungsgebühr archiviert werden. Legen Sie die Aufbewahrungsdauer fest, um Ihre Anforderung, Daten verfügbar zu haben, mit der Reduzierung der Kosten für die Datenaufbewahrung auszugleichen.

Um auf archivierte Daten zugreifen zu können, müssen Sie Daten zunächst mithilfe einer der folgenden Methoden in einer Analytics-Protokolltabelle aus dem Archiv abrufen:

  • Suchaufträge
  • Restore

Diagram of different Workspace Log Types.

Analyseprotokolle

Standardmäßig sind alle Tabellen in einem Arbeitsbereich Analyseprotokolle, die für alle Features eines Log Analytics-Arbeitsbereichs und alle anderen Dienste verfügbar sind, die diesen Arbeitsbereich verwenden.

Standardprotokolle

Sie können bestimmte Tabellen als Basisprotokolle konfigurieren, um die Kosten für das Speichern ausführlicher Protokolle mit hohem Volumen zu reduzieren, die Sie zum Debuggen, zur Problembehandlung und zur Überwachung, jedoch nicht für Analysen und Warnungen verwenden. Tabellen, die als Standardprotokolle konfiguriert sind, bieten niedrigere Erfassungskosten, allerdings auch weniger Features. Basisprotokolle werden nur 8 Tage lang gespeichert.

KQL-Spracheinschränkungen

Abfragen für Basisprotokolle sind für den einfachen Datenabruf mit einer Teilmenge der KQL-Sprache optimiert, einschließlich der folgenden Operatoren:

  • where
  • extend
  • Projekt
  • project-away
  • project-keep
  • project-rename
  • project-reorder
  • parse
  • parse-where

Die folgenden KQL-Befehle werden nicht unterstützt:

  • join
  • union
  • aggregates (summarize)

Tabellenunterstützung für Basisprotokolle

Alle Tabellen in Log Analytics sind standardmäßig Analytics-Tabellen. Sie können bestimmte Tabellen für die Verwendung von Standardprotokollen konfigurieren. Sie können keine Tabelle für Standardprotokolle konfigurieren, wenn Azure Monitor diese Tabelle für bestimmte Features benötigt.

Aktuell können Sie die folgenden Tabellen für Standardprotokolle konfigurieren:

  • Alle Tabellen, die mit Datensammlungregel (DCR)-basierten benutzerdefinierten Protokollen-API erstellt wurden.
  • ContainerLogV2, das von Container Insights verwendet wird und ausführliche textbasierte Protokolldatensätze enthält.
  • AppTraces, die Freiformprotokolldatensätze für die Anwendungsüberwachung in Application Insights enthält

Hinweis

Basisprotokolle befinden sich derzeit in der Vorschau. Die Dokumentation zu unterstützten bzw. berechtigten Tabellen wird mit aktuellen Informationen aktualisiert, sobald das Feature allgemein verfügbar ist.

Konfigurieren des Protokolltyps

Wenn Sie den Protokolltyp für eine berechtigte Tabelle anpassen möchten, wählen Sie die Arbeitsbereichseinstellungen im Einstellungsbereich von Microsoft Sentinel aus.
Der nächste Bildschirm befindet sich im Log Analytics-Portal.

  1. Wählen Sie die Registerkarte „Tabellen“ aus.
  2. Wählen Sie die Tabelle und dann ... am Ende der Zeile aus.
  3. Wählen Sie „Manage table“ (Tabelle verwalten) aus.
  4. Ändern Sie den Tabellenplan.
  5. Wählen Sie Speichern aus.

Archivprotokolle

Durch das Archivieren können Sie ältere, weniger verwendete Daten in Ihrem Arbeitsbereich zu geringeren Kosten behalten. Jeder Arbeitsbereich verfügt über eine Standardaufbewahrungsrichtlinie, die auf alle Tabellen angewendet wird. Sie können eine andere Aufbewahrungsrichtlinie für einzelne Tabellen festlegen.

Diagram of the Retention archive process.

Im interaktiven Aufbewahrungszeitraum stehen Daten für Überwachung, Problembehandlung und Analyse zur Verfügung. Wenn Sie die Protokolle nicht mehr verwenden, die Daten aber trotzdem für die Compliance oder zur gelegentlichen Untersuchung behalten müssen, archivieren Sie die Protokolle, um Kosten zu sparen. Sie können auf archivierte Daten zugreifen, indem Sie einen Suchauftrag ausführen oder archivierte Protokolle wiederherstellen.

Konfigurieren der Tabellenaufbewahrung

Wählen Sie zum Anpassen der Aufbewahrungsdauer einer Tabelle die Arbeitsbereichseinstellungen im Einstellungsbereich von Microsoft Sentinel aus.
Der nächste Bildschirm befindet sich im Log Analytics-Portal.

  1. Wählen Sie die Registerkarte „Tabellen“ aus.
  2. Wählen Sie die Tabelle und dann ... am Ende der Zeile aus.
  3. Wählen Sie „Manage table“ (Tabelle verwalten) aus.
  4. Ändern Sie den Total retention period (gesamten Aufbewahrungszeitraum).
  5. Wählen Sie Speichern aus.