Configurar logs
Há três tipos de log principais no Microsoft Sentinel:
- Analytics Logs
- Logs básicos
- Arquivar Logs
Os dados em cada tabela em um espaço de trabalho do Log Analytics são retidos por um período de tempo especificado, após o qual são removidos ou arquivados com uma taxa de retenção reduzida. Defina o tempo de retenção para equilibrar sua necessidade de ter dados disponíveis com a redução do custo de retenção de dados.
Para acessar dados arquivados, você deve primeiro recuperar dados deles em uma tabela de Logs do Google Analytics usando um dos seguintes métodos:
- Pesquisar Empregos
- Restauro
Registos analíticos
Por padrão, todas as tabelas em um espaço de trabalho são do tipo Logs do Google Analytics, que estão disponíveis para todos os recursos de um espaço de trabalho do Log Analytics e quaisquer outros serviços que usam o espaço de trabalho.
Logs básicos
Você pode configurar determinadas tabelas como Logs Básicos para reduzir o custo de armazenamento de logs detalhados de alto volume usados para depuração, solução de problemas e auditoria, mas não para análises e alertas. As tabelas configuradas para Logs Básicos têm um custo de ingestão mais baixo em troca de recursos reduzidos. Os logs básicos são retidos apenas por 8 dias.
Limites de linguagem KQL
As consultas em logs básicos são otimizadas para recuperação de dados simples usando um subconjunto da linguagem KQL, incluindo os seguintes operadores:
- em que
- estender
- projeto
- projeto-fora
- manutenção do projeto
- projeto-renomear
- projeto-reordenação
- analisar
- analisar-onde
O seguinte KQL não é suportado:
- join
- união
- agregados (resumir)
Suporte de tabela Logs básicos
Todas as tabelas do Log Analytics são tabelas do Google Analytics, por padrão. Você pode configurar tabelas específicas para usar logs básicos. Não é possível configurar uma tabela para Logs Básicos se o Azure Monitor depender dessa tabela para recursos específicos.
Pode configurar as seguintes tabelas para Registos Básicos:
- Todas as tabelas criadas com a API Registos personalizados baseados na Regra de Recolha de Dados (DCR) .
- ContainerLogV2, que o Container Insights usa e que inclui registros de log detalhados baseados em texto.
- AppTraces, que contêm registros de log de forma livre para rastreamentos de aplicativos no Application Insights.
Nota
Os Logs Básicos estão atualmente em Visualização. A documentação das tabelas suportadas/elegíveis será atualizada com as informações atuais quando o recurso estiver disponível em geral.
Configurar tipo de log
Para ajustar o tipo de log para uma tabela qualificada , selecione as configurações do espaço de trabalho na área Configurações do Microsoft Sentinel.
A próxima tela está no portal do Log Analytics.
- Selecione a guia "Tabelas".
- Selecione a tabela e, em seguida, ... no final da linha.
- Selecione Gerenciar tabela
- Altere o plano Tabela.
- Selecione Guardar
Arquivar Logs
O arquivamento permite que você mantenha dados mais antigos e menos usados em seu espaço de trabalho a um custo reduzido. Cada espaço de trabalho tem uma política de retenção padrão que é aplicada a todas as tabelas. Você pode definir uma política de retenção diferente em tabelas individuais.
Durante o período de retenção interativa, os dados estão disponíveis para monitoramento, solução de problemas e análise. Quando você não usa mais os logs, mas ainda precisa manter os dados para conformidade ou investigação ocasional, arquive os logs para economizar custos. Você pode acessar dados arquivados executando um trabalho de pesquisa ou restaurando logs arquivados.
Configurar retenção de tabela
Para ajustar os dias de retenção de uma tabela, selecione as configurações do espaço de trabalho na área Configurações do Microsoft Sentinel.
A próxima tela está no portal do Log Analytics.
- Selecione a guia "Tabelas".
- Selecione a tabela e, em seguida, ... no final da linha.
- Selecione Gerenciar tabela
- Altere o período de retenção total.
- Selecione Guardar