設定記錄
Microsoft Sentinel 中有三個主要記錄類型:
- 分析記錄
- 基本記錄
- 封存記錄
Log Analytics 工作區中每個資料表中的資料都會保留一段指定的時間,在那之後系統便會將其移除,或是以較低的保留費用來加以封存。 設定保留時間,以在使資料保持可用和降低資料保留成本之間取得平衡。
若要存取封存的資料,您必須先使用下列其中一種方法,從分析記錄資料表中擷取資料:
- 搜尋作業
- 還原
分析記錄
根據預設,工作區中的所有資料表都是分析記錄類型,其可供 Log Analytics 工作區的所有功能,以及使用該工作區的任何其他服務使用。
基本記錄
您可以將某些資料表設定為基本記錄,以降低儲存用於偵錯、疑難排解和稽核之大量詳細資訊記錄的成本,但其不適用於分析和警示。 針對基本記錄所設定的資料表會以較少的功能為代價,換取較低的擷取成本。 基本記錄只會保留 8 天。
KQL 語言限制
針對基本記錄的查詢會針對使用 KQL 語言子集的簡單資料擷取進行最佳化,其中包括下列運算子:
- where
- extend
- 專案
- project-away
- project-keep
- project-rename
- project-reorder
- parse (剖析)
- parse-where
不支援下列 KQL:
- join
- union
- aggregates (summarize)
資料表支援基本記錄
Log Analytics 中的所有資料表預設都是分析資料表。 您可以將特定的資料表設定成使用基本記錄。 如果 Azure 監視器仰賴某個資料表提供特定功能,您便無法將該資料表設定為使用基本記錄。
您目前可以針對基本記錄設定下列資料表:
- 所有資料表使用資料收集規則 (DCR) 型自訂記錄 API 建立。
- ContainerLogV2,這是容器見解所使用的資料表,且包括詳細資訊文字型記錄檔記錄。
- AppTraces,其中包含適用於 Application Insights 中應用程式追蹤的自由格式記錄檔記錄。
注意
基本記錄目前處於「預覽狀態」。 當此功能「正式推出」時,將會以最新的資訊更新支援/符合資格之資料表的文件。
設定記錄類型
若要調整記錄類型來使資料表符合資格,請選取 Microsoft Sentinel [設定] 區域中的工作區設定。
下一個畫面是在 Log Analytics 入口網站中。
- 選取 [資料表] 索引標籤。
- 選取資料表,然後選取列尾的 [...]。
- 選取受控資料表
- 變更 [資料表方案]。
- 選取儲存
封存記錄
封存可讓您以較低的成本保留工作區中較舊、較少使用的資料。 每個工作區都有會套用至所有資料表的預設保留原則。 您可以在個別的資料表上設定不同的保留原則。
在互動式保留期間,資料可供用於監視、疑難排解和分析。 當您不會再用到這些記錄,但仍然需要保留資料以符合合規性規範或用於偶爾的調查時,請將記錄封存以節省成本。 您可以執行搜尋作業或還原封存的記錄來存取封存的資料。
設定資料表保留
若要調整資料表的保留天數,請選取 Microsoft Sentinel [設定] 區域中的工作區設定。
下一個畫面是在 Log Analytics 入口網站中。
- 選取 [資料表] 索引標籤。
- 選取資料表,然後選取列尾的 [...]。
- 選取受控資料表
- 變更 [總保留期間]。
- 選取儲存