ログを構成する
Microsoft Sentinel には、次の 3 種類の主要なログがあります。
- 分析ログ
- 基本ログ
- アーカイブ ログ
Log Analytics ワークスペース内の各テーブルのデータは、指定された期間保持され、その後は、削除されるか、より少ない保持料金でアーカイブされます。 データを使用可能にしておく要件と、データ保持コストの削減とのバランスが取れるようなリテンション期間を設定します。
アーカイブされたデータにアクセスするには、まず次のいずれかの方法を使用して、アーカイブから Analytics Logs テーブルにデータを取得する必要があります。
- ジョブの検索
- 復元
分析ログ
既定では、ワークスペース内のすべてのテーブルは Analytics ログ タイプであり、Log Analytics ワークスペースのすべての機能と、ワークスペースを使用するその他のサービスで使用できます。
基本ログ
特定のテーブルを基本ログとして構成すると、デバッグ、トラブルシューティング、監査に使用する大容量の詳細ログを格納するコストを削減できます。これらは分析やアラートには使用されません。 基本ログ用に構成されたテーブルでは、機能を減らす代わりに、取り込みコストが少なくなります。 基本ログは 8 日間のみ保持されます。
KQL 言語の制限
基本ログに対するクエリは、次の演算子を含む KQL 言語のサブセットを使用した単純なデータ取得用に最適化されています。
- where
- extend
- project
- project-away
- project-keep
- project-rename
- project-reorder
- parse
- parse-where
次の KQL はサポートされていません。
- join
- union
- 集約 (集計)
基本的なログをサポートするテーブル
既定では、Log Analytics 内のすべてのテーブルが分析テーブルです。 基本ログを使用するように特定のテーブルを構成できます。 Azure Monitor が特定の機能についてテーブルに依存している場合、基本ログ用にそのテーブルを構成することはできません。
現在、基本ログ用に次のテーブルを構成できます。
- データ収集ルール (DCR) ベースのカスタム ログ API を使用して作成されたすべてのテーブル。
- ContainerLogV2。これは、Container Insights で使用され、詳細なテキストベースのログ レコードが含まれます。
- AppTraces。これは、Application Insights のアプリケーション トレースの自由形式のログレコードを含んでいます。
注意
基本ログは現在、"プレビュー" の段階にあります。 サポートされている/適格なテーブルのドキュメントは、機能が "一般公開" されている場合に最新の情報で更新されます。
ログの種類を構成する
対象テーブルのログの種類を調整するには、[Microsoft Sentinel 設定] 領域でワークスペース設定を選択します。
次の画面は Log Analytics ポータルにあります。
- [テーブル] タブを選択します。
- テーブルを選択し、行の末尾にある省略記号 ... を選択します。
- [管理] テーブルを選択する
- "テーブル プラン" を変更します。
- [保存] を選択する
アーカイブ ログ
アーカイブを実行することで、ワークスペース内のアクセス頻度の低下した古いデータをより低コストで保持できます。 各ワークスペースには、すべてのテーブルに適用される既定の保持ポリシーがあります。 個々のテーブルに別々の保持ポリシーを設定できます。
インタラクティブな保持期間中は、監視、トラブルシューティング、分析にデータを使用できます。 ログを使用しなくなったが、コンプライアンスや不定期の調査のためにデータを保持する必要がある場合は、ログをアーカイブすることでコストを節約できます。 アーカイブされたデータには、検索ジョブを実行するか、アーカイブされたログを復元することでアクセスできます。
テーブルのデータ保有期間を構成する
テーブルのデータ保有日数を調整するには、Microsoft Sentinel 設定領域のワークスペース設定を選択します。
次の画面は Log Analytics ポータルにあります。
- [テーブル] タブを選択します。
- テーブルを選択し、行の末尾にある省略記号 ... を選択します。
- [管理] テーブルを選択する
- "保持期間合計" を変更します。
- [保存] を選択する