你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Sentinel 中配置交互式和长期数据保留
在上一个部署步骤中,你启用了用户和实体行为分析 (UEBA) 功能,以简化分析过程。 本文介绍如何设置交互式和长期数据保留,以确保组织可以长期保留重要数据。 本文是 Microsoft Sentinel 部署指南的一部分。
配置数据保留
保留策略定义了何时删除 Log Analytics 工作区中的数据或将其标记为长期保留。 通过长期保留,可以在工作区中以较低成本保留较少使用的较旧数据。 若要设置数据保留计划,请查阅 Microsoft Sentinel 中的日志保留计划,并根据用例使用以下一种或两种方法:
- 为一个或多个表配置交互式和长期数据保留(一次为一个表配置)
- 同时为多个表配置数据保留
后续步骤
本文介绍了如何设置交互式和长期数据保留。