Configurar logs
Há três tipos de logs primários no Microsoft Sentinel:
- Logs de análise
- Logs básicos
- Logs de arquivo
Os dados de cada tabela em um workspace do Log Analytics são retidos por um período de tempo especificado após o qual eles serão removidos ou arquivados com um valor de retenção reduzido. Definir o tempo de retenção para equilibrar sua necessidade de ter dados disponíveis com redução do custo de retenção de dados.
Para acessar dados arquivados, você deve primeiro recuperar dados em uma tabela de logs de análise usando um dos seguintes métodos:
- Trabalhos de pesquisa
- Restaurar
Logs de análise
Por padrão, todas as tabelas em um workspace são do tipo Logs de análise, que ficam disponíveis a todos os recursos de um workspace do Log Analytics e a outros serviços que usam o workspace.
Logs básicos
Você pode configurar determinadas tabelas como Logs básicos para reduzir o custo do armazenamento de logs detalhados de alto volume que são usados para depuração, solução de problemas e auditoria, mas não para análise e alertas. As tabelas configuradas para logs básicos têm um custo de ingestão menor em troca de recursos reduzidos. Os logs básicos ficam retidos por apenas oito dias.
Limites de linguagem KQL
As consultas de Logs básicos são otimizadas para recuperação de dados simples usando um subconjunto da linguagem KQL, incluindo os seguintes operadores:
- onde
- extend
- project
- project-away
- project-keep
- project-rename
- project-reorder
- analisar
- parse-where
Não há suporte para o seguinte KQL:
- join
- union
- agregações (resumir)
Tabela com suporte a Logs básicos
Todas as tabelas no Log Analytics são tabelas de análise, por padrão. Você pode configurar tabelas específicas para usar logs básicos. Você não poderá configurar uma tabela para logs básicos se o Azure Monitor depender dessa tabela para recursos específicos.
No momento, você pode configurar as seguintes tabelas para logs básicos:
- Todas as tabelas criadas com a API de logs personalizados baseada em DCR (regra de coleta de dados) .
- ContainerLogV2, que os Insights do contêiner usam e que incluem registros detalhados de log baseados em texto.
- AppTraces, que contém registros de log de forma livre para rastreamentos de aplicativo no Application Insights.
Observação
No momento, os Logs básicos estão em versão prévia. A documentação de tabelas compatíveis/qualificadas será atualizada com as informações atuais quando o recurso estiver em disponibilidade geral.
Configurar o tipo de log
Para ajustar o tipo de log de uma tabela qualificada, selecione as configurações do workspace na área Configurações do Microsoft Sentinel.
A próxima tela está no portal do Log Analytics.
- Selecione a guia "Tabelas".
- Selecione a tabela e depois ... no final da linha.
- Selecionar Gerenciar tabela
- Altere o Plano da tabela.
- Selecione Salvar
Logs de arquivo
O arquivamento permite manter os dados mais antigos e menos usados em seu workspace a um custo reduzido. Cada workspace tem uma política de retenção padrão que é aplicada a todas as tabelas. Você pode definir uma política de retenção diferente em tabelas individuais.
Durante o período de retenção interativo, os dados ficam disponíveis para monitoramento, solução de problemas e análise. Quando você deixar de usar os logs, mas ainda precisar manter os dados para conformidade ou investigação ocasional, arquive os logs para economizar custos. Você pode acessar os dados arquivados executando um trabalho de pesquisa ou restaurando logs arquivados.
Configurar a retenção da tabela
Para ajustar os dias de retenção de uma tabela, selecione as configurações do workspace na área Configurações do Microsoft Sentinel.
A próxima tela está no portal do Log Analytics.
- Selecione a guia "Tabelas".
- Selecione a tabela e depois ... no final da linha.
- Selecionar Gerenciar tabela
- Altere o Período de retenção total.
- Selecione Salvar