Configuración de registros

  • 3 minutos

Hay tres tipos de registro principales en Microsoft Sentinel:

  • Registros de análisis
  • Registros básicos
  • Registros de archivo

Los datos de cada tabla de un área de trabajo de Log Analytics se conservan durante un período de tiempo especificado después del cual se quitan o archivan por una tarifa de retención reducida. Establezca el tiempo de retención para equilibrar sus requisitos de tener datos disponibles con la reducción del costo de la retención de datos.

Para acceder a los datos archivados, primero debe recuperar datos de ellos en una tabla de registros de análisis mediante algunos de los métodos siguientes:

  • Buscar trabajos
  • Restauración

Diagram of different Workspace Log Types.

Registros analíticos

De manera predeterminada, todas las tablas de un área de trabajo son del tipo Registros analíticos, que están disponibles para todas las características de un área de trabajo de Log Analytics y cualquier otro servicio que use el área de trabajo.

Registros básicos

Puede configurar determinadas tablas como Registros básicos para reducir el costo de almacenar registros detallados de gran volumen que se usan para la depuración, la solución de problemas y la auditoría, pero no para análisis ni alertas. Las tablas configuradas para los registros básicos cuestan menos que la ingesta a cambio de características reducidas. Los registros básicos solo se conservan 8 días.

Límites del lenguaje KQL

Las consultas en registros básicos están optimizadas para la recuperación de datos sencilla mediante un subconjunto del lenguaje KQL, incluidos los operadores siguientes:

  • where
  • extend
  • project
  • project-away
  • project-keep
  • project-rename
  • project-reorder
  • parse
  • parse-where

El siguiente KQL no se admite:

  • join
  • union
  • agregados (resumen)

Compatibilidad de las tablas con los registros básicos

De forma predeterminada, todas las tablas de Log Analytics son tablas de análisis. Puede configurar tablas concretas para usar registros básicos. No se puede configurar una tabla para registros básicos si Azure Monitor se basa en esa tabla para características específicas.

Actualmente puede configurar las siguientes tablas para registros básicos:

  • Todas las tablas creadas con la API de registros personalizados basada en reglas de recopilación de datos (DCR) .
  • ContainerLogV2, que Container Insights usa y que incluye registros detallados basados en texto.
  • AppTraces, que contiene registros de forma libre para seguimientos de aplicaciones en Application Insights.

Nota:

Los registros básicos se encuentran actualmente en versión preliminar. La documentación de las tablas admitidas o aptas se actualizará con la información actual cuando la característica esté disponible con carácter general.

Configuración del tipo de registro

Para ajustar el tipo de registro de una tabla apta, seleccione la configuración del área de trabajo en el área de configuración de Microsoft Sentinel.
La pantalla siguiente se encuentra en el portal de Log Analytics.

  1. Seleccione la pestaña "Tablas".
  2. Seleccione la tabla y, a continuación, seleccione al final de la fila.
  3. Seleccione Administrar tabla.
  4. Cambie el Plan de tabla.
  5. Seleccione Guardar.

Registros de archivo

El archivado permite mantener datos más antiguos y menos usados en el área de trabajo a un costo reducido. Cada área de trabajo tiene una directiva de retención predeterminada que se aplica a todas las tablas. Puede establecer una directiva de retención diferente en tablas individuales.

Diagram of the Retention archive process.

Durante el período de retención interactiva, los datos están disponibles para la supervisión, la solución de problemas y el análisis. Cuando ya no use los registros, pero siga necesitando conservar los datos por motivos de cumplimiento o investigación ocasional, archive los registros para ahorrar costos. Puede acceder a los datos archivados mediante la ejecución de un trabajo de búsqueda o la restauración de registros archivados.

Configuración de la retención de la tabla

Para ajustar los días de retención de una tabla, seleccione la configuración del área de trabajo en el área de configuración de Microsoft Sentinel.
La pantalla siguiente se encuentra en el portal de Log Analytics.

  1. Seleccione la pestaña "Tablas".
  2. Seleccione la tabla y, a continuación, seleccione al final de la fila.
  3. Seleccione Administrar tabla.
  4. Cambie el Período de retención total.
  5. Seleccione Guardar.