配置日志
Microsoft Sentinel 中有三种主要日志类型:
- 分析日志
- 基本日志
- 存档日志
Log Analytics 工作区中每个表内的数据将保留指定的一段时间,超过该时间段后会将其删除,或按降低的保留费用存档。 设置保留时间,以在“让数据可用”与“降低数据保留成本”的需求之间保持平衡。
若要访问存档的数据,必须先使用以下方法之一在“分析日志”表中检索该数据:
- 搜索作业
- 还原
分析日志
默认情况下,工作区中的所有表都是分析日志类型,可用于 Log Analytics 工作区的所有功能以及使用该工作区的任何其他服务。
基本日志
可以将某些表配置为基本日志,从而降低存储用于调试、故障排除和审计但不用于分析和警报的大量详细日志的成本。 为“基本日志”配置的表的数据引入成本较低,但代价是功能有所降低。 基本日志仅保留 8 天。
KQL 语言限制
针对基本日志的查询使用 KQL 语言的一个子集(包括以下运算符),为简单数据检索进行了优化:
- where
- extend
- project
- project-away
- project-keep
- project-rename
- project-reorder
- parse
- parse-where
不支持以下 KQL:
- join
- union
- aggregates (summarize)
表支持基本日志
默认情况下,Log Analytics 中所有表都是 Analytics 表。 可以将特定表配置为使用基本日志。 如果 Azure Monitor 依赖该表来实现特定功能,则无法为基本日志配置表。
目前,可以为基本日志配置以下表:
- 使用基于数据收集规则 (DCR) 的自定义日志 API 创建的所有表。
- 容器见解使用的 ContainerLogV2,其中包括基于文本的详细日志记录。
- AppTraces,其中包含 Application Insights 中应用程序跟踪的自由格式日志记录。
注意
基本日志目前以预览版提供。 当该功能正式发布时,将使用当前信息更新受支持/符合条件的表文档。
配置日志类型
若要为某个符合条件的表调整日志类型,请选择“Microsoft Sentinel 设置”区域中的“工作区设置”。
下一个屏幕位于 Log Analytics 门户中。
- 选择“表”选项卡。
- 选择“表”,然后选择行末尾的“…”。
- 选择“管理表”
- 更改“表计划”。
- 选择“保存”
存档日志
通过存档,可以在工作区中以较低成本保留较少使用的较旧数据。 每个工作区都有一个应用于所有表的默认保留策略。 可以在单个表上设置不同的保留策略。
在交互式保留期内,数据可用于监视、故障排除和分析。 如果不再使用日志,但仍需要保留数据以实现合规性或偶尔进行调查,请存档日志以节省成本。 可以通过运行搜索作业或还原存档的日志来访问存档的数据。
配置保留期
要调整表的保留天数,请在“Microsoft Sentinel 设置”区域中选择“工作区设置”。
下一个屏幕位于 Log Analytics 门户中。
- 选择“表”选项卡。
- 选择“表”,然后选择行末尾的“…”。
- 选择“管理表”
- 更改“总保留期”。
- 选择“保存”