إدارة الجداول في مساحة عمل Log Analytics

مقالة
11/05/2024

تتيح لك مساحة عمل Log Analytics جمع بيانات السجل من Azure والموارد غير التابعة ل Azure في مساحة واحدة للتحليل، واستخدامها من قبل خدمات أخرى، مثل Sentinel، وتشغيل التنبيهات والإجراءات، على سبيل المثال، باستخدام Azure Logic Apps. تتكون مساحة عمل Log Analytics من جداول، يمكنك تكوينها لإدارة نموذج البيانات والوصول إلى البيانات والتكاليف المتعلقة بالسجل. تشرح هذه المقالة خيارات تكوين الجدول في سجلات Azure Monitor وكيفية تعيين خصائص الجدول استنادا إلى تحليل البيانات واحتياجات إدارة التكلفة.

خصائص الجدول

يوفر هذا الرسم التخطيطي نظرة عامة على خيارات تكوين الجدول في سجلات Azure Monitor:

نوع الجدول والمخطط

مخطط الجدول هو مجموعة من الأعمدة التي تشكل الجدول، حيث تجمع سجلات Azure Monitor بيانات السجل من مصدر بيانات واحد أو أكثر.

يمكن أن تحتوي مساحة عمل Log Analytics على الأنواع التالية من الجداول:

نوع الجدول	Data source	مخطط
جدول Azure	سجلات من موارد Azure أو مطلوبة من قبل خدمات وحلول Azure.	تنشئ سجلات Azure Monitor جداول Azure تلقائيا استنادا إلى خدمات Azure التي تستخدمها وإعدادات التشخيص التي تقوم بتكوينها لموارد معينة. يحتوي كل جدول Azure على مخطط محدد مسبقا. يمكنك إضافة أعمدة إلى جدول Azure لتخزين بيانات السجل المحولة أو إثراء البيانات في جدول Azure ببيانات من مصدر آخر.
جدول مخصص	موارد غير Azure وأي مصدر بيانات آخر، مثل السجلات المستندة إلى الملفات.	يمكنك تعريف مخطط جدول مخصص استنادا إلى الطريقة التي تريد بها تخزين البيانات التي تجمعها من مصدر بيانات معين.
نتائج البحث	جميع البيانات المخزنة في مساحة عمل Log Analytics.	يستند مخطط جدول نتائج البحث إلى الاستعلام الذي تحدده عند تشغيل مهمة البحث. لا يمكنك تحرير مخطط جداول نتائج البحث الموجودة.
السجلات المستعادة	البيانات المخزنة في جدول معين في مساحة عمل Log Analytics.	يحتوي جدول السجلات المستعادة على نفس المخطط مثل الجدول الذي تقوم باستعادة السجلات منه. لا يمكنك تحرير مخطط جداول السجلات المستعادة الموجودة.

خطة الجدول

تكوين خطة جدول استنادا إلى عدد المرات التي تصل فيها إلى البيانات في الجدول:

خطة التحليلات مناسبة للمراقبة المستمرة والكشف في الوقت الحقيقي وتحليلات الأداء. تتيح هذه الخطة بيانات السجل للاستعلامات التفاعلية متعددة الجداول وتستخدمها الميزات والخدمات لمدة 30 يوما إلى عامين.
الخطة الأساسية مناسبة لاستكشاف الأخطاء وإصلاحها والاستجابة للحوادث. تقدم هذه الخطة استيعابا مخفضا واستعلامات محسنة لجدول واحد لمدة 30 يوما.
الخطة الإضافية مناسبة للبيانات ذات اللمس المنخفض، مثل السجلات المطولة والبيانات المطلوبة للتدقيق والتوافق. توفر هذه الخطة استيعابا منخفض التكلفة واستعلامات جدول واحد غير مفتوحة لمدة 30 يوما.

للحصول على تفاصيل كاملة حول خطط جدول Azure Monitor Logs، راجع سجلات Azure Monitor: خطط الجدول.

الاستبقاء على المدى الطويل

الاستبقاء على المدى الطويل هو حل منخفض التكلفة للحفاظ على البيانات التي لا تستخدمها بانتظام في مساحة العمل الخاصة بك للتوافق أو التحقيق العرضي. استخدم إعدادات الاستبقاء على مستوى الجدول لإضافة استبقاء طويل الأجل أو توسيعه.

للوصول إلى البيانات في الاحتفاظ طويل الأجل، قم بتشغيل مهمة بحث.

تحويلات وقت الاستيعاب

تقليل التكاليف وجهد التحليل باستخدام قواعد جمع البيانات لتصفية البيانات وتحويلها قبل الاستيعاب استنادا إلى المخطط الذي تحدده للجدول المخصص.

إشعار

لا تدعم الجداول التي تحتوي على خطة الجدول المساعد حاليا تحويل البيانات. لمزيد من التفاصيل، راجع قيود المعاينة العامة لخطة الجدول الإضافية.

عرض خصائص الجدول

إشعار

اسم الجدول حساس لحالة الأحرف.

لعرض خصائص الجدول وتعيينها في مدخل Microsoft Azure:

من مساحة عمل Log Analytics، حدد Tables.

تعرض شاشة الجداول معلومات تكوين الجدول لكافة الجداول في مساحة عمل Log Analytics.
حدد علامة الحذف (...) على يمين الجدول لفتح قائمة إدارة الجدول.

تختلف خيارات إدارة الجدول المتوفرة استنادا إلى نوع الجدول.
1. حدد إدارة الجدول لتحرير خصائص الجدول.
2. حدد تحرير المخطط لعرض مخطط الجدول وتحريره.

لعرض خصائص الجدول، اتصل بالجداول - الحصول على واجهة برمجة التطبيقات:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2021-12-01-preview

نص الاستجابة

Name	كتابة	‏‏الوصف
properties.plan	سلسلة	خطة الجدول. `Analytics`أو `Basic`أو .`Auxiliary`
properties.retentionInDays	integer	الاحتفاظ التفاعلي للجدول بالأيام. بالنسبة إلى `Basic` و `Auxiliiary`، تبلغ هذه القيمة 30 يوما. بالنسبة إلى `Analytics`، تتراوح القيمة بين أربعة أيام و730 يوما.
properties.totalRetentionInDays	integer	إجمالي استبقاء البيانات في الجدول، بما في ذلك الاستبقاء التفاعلي وطويل الأجل.
properties.archiveRetentionInDays	integer	فترة الاستبقاء طويلة الأجل للجدول (للقراءة فقط، محسوبة).
properties.lastPlanModifiedDate	السلسلة‬	آخر مرة تم فيها تعيين الخطة لهذا الجدول. قيمة خالية إذا لم يتم إجراء أي تغيير من الإعدادات الافتراضية (للقراءة فقط).

نموذج الطلب

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2021-12-01-preview

نموذج الاستجابة

رمز الحالة: 200

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

لتعيين خصائص الجدول، اتصل بالجداول - إنشاء أو تحديث واجهة برمجة التطبيقات.

لعرض خصائص الجدول باستخدام Azure CLI، قم بتشغيل الأمر az monitor log-analytics workspace table show .

على سبيل المثال:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table

لتعيين خصائص الجدول باستخدام Azure CLI، قم بتشغيل الأمر az monitor log-analytics workspace table update .

لعرض خصائص الجدول باستخدام PowerShell، قم بتشغيل:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2021-12-01-preview" -Method GET

نموذج الاستجابة

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        <OMITTED>
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/{guid}/resourceGroups/{rg name}/providers/Microsoft.OperationalInsights/workspaces/{ws id}/tables/Heartbeat",
  "name": "Heartbeat"
}

استخدم Update-AzOperationalInsightsTable cmdlet لتعيين خصائص الجدول.

الخطوات التالية

تعلم كيف:

مشاركة عبر