Logboeken configureren

  • 3 minuten

Er zijn drie primaire logboektypen in Microsoft Sentinel:

  • Analyselogboeken
  • Basislogboeken
  • Logboeken archiveren

Gegevens in elke tabel in een Log Analytics-werkruimte worden gedurende een opgegeven periode bewaard, waarna deze worden verwijderd of gearchiveerd met een gereduceerde bewaarkosten. Stel de bewaartijd in om uw behoeften te verdelen over het beschikbaar maken van gegevens met het verlagen van uw kosten voor het bewaren van gegevens.

Als u toegang wilt krijgen tot gearchiveerde gegevens, moet u er eerst gegevens uit ophalen in een tabel Met analytics-logboeken met een van de volgende methoden:

  • Zoektaken
  • Herstellen

Diagram of different Workspace Log Types.

Analytische logboeken

Standaard zijn alle tabellen in een werkruimte van het type Analytics-logboeken, die beschikbaar zijn voor alle functies van een Log Analytics-werkruimte en alle andere services die gebruikmaken van de werkruimte.

Basislogboeken

U kunt bepaalde tabellen configureren als basislogboeken om de kosten te verlagen voor het opslaan van uitgebreide logboeken met grote volumes die u gebruikt voor foutopsporing, probleemoplossing en controle, maar niet voor analyses en waarschuwingen. Tabellen die zijn geconfigureerd voor basislogboeken, hebben een lagere opnamekosten in ruil voor verminderde functies. Basislogboeken worden slechts 8 dagen bewaard.

KQL-taallimieten

Query's op basislogboeken zijn geoptimaliseerd voor eenvoudige gegevens ophalen met behulp van een subset van de KQL-taal, met inbegrip van de volgende operators:

  • waar
  • uitbreiden
  • project
  • project-away
  • project-keep
  • projectnaam wijzigen
  • project opnieuw ordenen
  • parseren
  • parse-where

De volgende KQL wordt niet ondersteund:

  • join
  • union
  • aggregaties (samenvatten)

Tabelondersteuning voor basislogboeken

Alle tabellen in uw Log Analytics zijn standaard Analytics-tabellen. U kunt bepaalde tabellen configureren voor het gebruik van basislogboeken. U kunt geen tabel configureren voor basislogboeken als Azure Monitor afhankelijk is van die tabel voor specifieke functies.

U kunt op dit moment de volgende tabellen configureren voor basislogboeken:

  • Alle tabellen die zijn gemaakt met de API voor op DCR (Data Collection Rule) gebaseerde aangepaste logboeken.
  • ContainerLogV2, die Container Insights gebruikt en die uitgebreide logboekrecords op basis van tekst bevatten.
  • AppTraces, die vrije-vormlogboekrecords bevatten voor toepassingstraceringen in Application Insights.

Notitie

Basislogboeken zijn momenteel beschikbaar als preview-versie. De documentatie over ondersteunde/in aanmerking komende tabellen wordt bijgewerkt met actuele informatie wanneer de functie algemeen beschikbaar is.

Logboektype configureren

Als u het logboektype voor een in aanmerking komende tabel wilt aanpassen, selecteert u de werkruimte-instellingen in het Instellingen gebied van Microsoft Sentinel.
Het volgende scherm bevindt zich in de Log Analytics-portal.

  1. Selecteer het tabblad Tabellen.
  2. Selecteer de tabel en vervolgens ... aan het einde van de rij.
  3. Tabel beheren selecteren
  4. Wijzig het tabelplan.
  5. Selecteer Opslaan

Logboeken archiveren

Met archivering kunt u oudere, minder gebruikte gegevens in uw werkruimte tegen lagere kosten bewaren. Elke werkruimte heeft een standaardretentiebeleid dat wordt toegepast op alle tabellen. U kunt een ander bewaarbeleid instellen voor afzonderlijke tabellen.

Diagram of the Retention archive process.

Tijdens de interactieve bewaarperiode zijn gegevens beschikbaar voor bewaking, probleemoplossing en analyse. Wanneer u de logboeken niet meer gebruikt, maar de gegevens toch moet bewaren voor naleving of incidenteel onderzoek, archivert u de logboeken om kosten te besparen. U hebt toegang tot gearchiveerde gegevens door een zoektaak uit te voeren of gearchiveerde logboeken te herstellen.

Tabelretentie configureren

Als u de bewaardagen voor een tabel wilt aanpassen, selecteert u de werkruimte-instellingen in het Instellingen gebied van Microsoft Sentinel.
Het volgende scherm bevindt zich in de Log Analytics-portal.

  1. Selecteer het tabblad Tabellen.
  2. Selecteer de tabel en vervolgens ... aan het einde van de rij.
  3. Tabel beheren selecteren
  4. Wijzig de totale bewaarperiode.
  5. Selecteer Opslaan