Управление хранением данных в рабочей области Log Analytics

2025-07-22

Рабочая область Log Analytics сохраняет данные в двух состояниях:

Хранение аналитики. В этом состоянии данные доступны для мониторинга, устранения неполадок и аналитики в режиме реального времени.
Долгосрочное хранение. В этом состоянии с низкой стоимостью данные недоступны для функций плана таблиц, но доступ к ним можно получить с помощью заданий поиска.

В этой статье объясняется, как рабочие области Log Analytics хранят данные и как управлять хранением данных в рабочей области.

Аналитика, долгосрочное и общее хранение

По умолчанию все таблицы в рабочей области Log Analytics хранят данные в течение 30 дней, за исключением таблиц журналов с хранением по умолчанию 90 дней. Таблицы с планом аналитики делают данные доступными для запросов в режиме реального времени в течение этого периода хранения Аналитики. Все планы таблиц могут извлекать сохраненные данные с помощью запросов или заданий поиска, а данные доступны для визуализаций, оповещений и других функций и служб на основе плана таблицы.

Вы можете продлить срок хранения таблиц аналитики с помощью плана аналитики до двух лет. Базовые таблицы планов имеют фиксированный период 30 дней для запросов, а вспомогательные таблицы планов можно запрашивать на общий период хранения. Однако и базовые, и вспомогательные таблицы имеют дополнительные рекомендации. Дополнительные сведения см. в разделе «Запрос данных» в таблицах «Базовая» и «Вспомогательная».

Примечание.

Вы можете уменьшить срок хранения аналитических таблиц до 4 дней с помощью API или CLI. Однако, так как 31 день сохранения данных входит в стоимость приема данных, уменьшение периода сохранения ниже 31 дня не снижает затрат.

Чтобы сохранить данные в той же таблице за пределами срока хранения по умолчанию, расширьте общий срок хранения таблицы до 12 лет. В конце периода хранения аналитики данные остаются в таблице на оставшуюся часть настраиваемого периода хранения. В течение этого периода — долгосрочный период хранения — запустите задание поиска, чтобы получить определенные данные, необходимые из таблицы, и сделать его доступным для интерактивных запросов в таблице результатов поиска.

Как работают изменения хранения

При сокращении общего срока хранения таблицы журналы Azure Monitor ожидают 30 дней до удаления данных, чтобы восстановить изменение и избежать потери данных при возникновении ошибки в конфигурации.

При увеличении общего срока хранения новый период хранения применяется ко всем данным, которые уже были приема в таблицу и еще не удалены.

При изменении параметров долгосрочного хранения таблицы с существующими данными изменения вступает в силу немедленно.

Пример:

У вас есть таблица аналитики с хранением аналитики в течение 180 дней и без возможности долгосрочного хранения.
Вы изменяете срок хранения аналитики на 90 дней, не изменяя общий срок хранения 180 дней.
Azure Monitor автоматически обрабатывает оставшиеся 90 дней общего хранения как низкое, долгосрочное хранение, чтобы данные, которые 90-180 дней не были потеряны.

Требуемые разрешения

Действие	Требуемые разрешения
Настройка хранения аналитики по умолчанию для таблиц Аналитики в рабочей области Log Analytics	`Microsoft.OperationalInsights/workspaces/write` и `microsoft.operationalinsights/workspaces/tables/write` разрешения для рабочей области Log Analytics, как указано встроенной ролью Участника Log Analytics, например
Получение параметра хранения по таблице для рабочей области Log Analytics	`Microsoft.OperationalInsights/workspaces/tables/read`разрешения на рабочую область Log Analytics, как указано встроенной ролью Log Analytics Reader, например

Настройка периода хранения аналитики по умолчанию таблиц Аналитики

Срок хранения таблиц Аналитики по умолчанию в рабочей области Log Analytics составляет 30 дней. Вы можете изменить период аналитики по умолчанию таблиц Аналитики до двух лет, изменив параметр хранения данных на уровне рабочей области. Базовые и вспомогательные таблицы имеют только общий период хранения, который составляет 30 дней по умолчанию.

Изменение параметра хранения данных на уровне рабочей области по умолчанию автоматически влияет на все таблицы Аналитики, к которым по-прежнему применяется параметр по умолчанию в рабочей области. Если вы уже изменили хранение аналитики определенной таблицы, эта таблица не затрагивается при изменении параметра хранения данных по умолчанию рабочей области.

Внимание

Рабочие области с 30-дневным хранением могут хранить данные в течение 31 дней. Если необходимо хранить данные только в течение 30 дней, чтобы соответствовать политике конфиденциальности, настройте срок хранения рабочей области по умолчанию до 30 дней с помощью API и обновите immediatePurgeDataOn30Days свойство рабочей области до true. Эта операция в настоящее время поддерживается только с помощью рабочих областей — API обновления.

Чтобы задать период хранения аналитики по умолчанию таблиц Аналитики в рабочей области Log Analytics:

В меню рабочих областей Log Analytics в портал Azure выберите рабочую область.
В разделе "Параметры" выберите "Использование" и "Предполагаемые затраты " на левой панели.
В верхней части страницы выберите Хранение данных.
Воспользуйтесь ползунком, чтобы увеличить или уменьшить количество дней, а затем нажмите кнопку ОК.

Чтобы задать период хранения аналитики по умолчанию таблиц Аналитики в рабочей области Log Analytics, вызовите рабочие области — создание или обновление API:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

Текст запроса

Текст запроса содержит значения, приведенные в следующей таблице.

Имя.	Тип	Описание
`properties.retentionInDays`	целое число	Хранение данных рабочей области в днях. Допустимые значения — на тарифный план. Дополнительные сведения см. в документации по ценовой категории.
`location`	строка	Географическое расположение ресурса.
`immediatePurgeDataOn30Days`	булевый	Флаг, указывающий, удаляются ли данные сразу через 30 дней и не могут быть удалены. Применимо только в том случае, если срок хранения рабочей области имеет значение 30 дней.

Пример

В этом примере срок хранения рабочей области устанавливается на 30 дней по умолчанию и гарантирует, что данные немедленно удаляются через 30 дней и не будут удалены.

Запросить

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01

{
  "properties": {
    "retentionInDays": 30,
    "features": {"immediatePurgeDataOn30Days": true}
    },
"location": "australiasoutheast"
}

**Response**

Status code: 200

```http
{
  "properties": {
    ...
    "retentionInDays": 30,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "immediatePurgeDataOn30Days": true,
      ...}
    },
    ...
}

Чтобы задать период хранения аналитики по умолчанию таблиц Аналитики в рабочей области Log Analytics, выполните команду az monitor log-analytics workspace update и передайте --retention-time параметр.

Этот пример задает срок хранения аналитики таблицы на 30 дней:

az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace

Используйте командлет Set-AzOperationalInsightsWorkspace, чтобы задать период хранения таблиц аналитики по умолчанию в рабочей области Log Analytics. В этом примере задается период хранения аналитики по умолчанию 30 дней:

Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30

Настройка хранения на уровне таблицы

По умолчанию все таблицы с планом данных Аналитики наследуют параметр хранения по умолчанию рабочей области Log Analytics и не имеют долгосрочного хранения. Вы можете увеличить срок хранения аналитических таблиц до 730 дней с дополнительными затратами.

Чтобы добавить долгосрочное хранение в таблицу с любым планом данных, установите общий срок хранения до 12 лет (4383 дня).

Примечание.

В настоящее время можно настроить общее хранение до 12 лет через портал Azure и API. Интерфейс командной строки и PowerShell ограничены 7 годами; будет поддерживаться 12 лет.

Чтобы изменить параметр хранения таблицы в портал Azure, выполните следующие действия.

В меню рабочих областей Log Analytics выберите "Таблицы".

На экране "Таблицы" перечислены все таблицы в рабочей области.
Выберите контекстное меню для таблицы, которую вы хотите настроить, и щелкните Управление таблицей.
Настройте параметры хранения аналитики и общего срока хранения в разделе параметров хранения данных на экране конфигурации таблицы.

Чтобы изменить параметр хранения таблицы, вызовите API обновления таблиц:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01

Можно использовать либо PUT, либо PATCH, со следующим отличием.

API PUT задает retentionInDays и totalRetentionInDays значение по умолчанию, если не заданы значения, отличные от NULL.
API PATCH не изменяет retentionInDays значения или totalRetentionInDays значения, если вы не указываете значения.

Текст запроса

Текст запроса содержит значения, приведенные в следующей таблице.

Имя.	Тип	Описание
свойства.сохранениеВДнях	целое число	Срок хранения данных в таблице в днях. Значение может находиться в диапазоне от 4 до 730. Если для этого свойства задано значение NULL, применяется период хранения рабочей области. Для таблицы базовых и вспомогательных журналов значение всегда равно 30.
свойства.общийСрокХраненияВДнях	целое число	Общее хранение данных таблицы, включая долгосрочное хранение. Это значение может быть от 4 до 730; или 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 или 4383. Задайте для этого свойства значение NULL, если не требуется долгосрочное хранение.

Пример

В этом примере аналитика таблицы задает срок хранения рабочей области по умолчанию 30 дней, а общий срок хранения — два года, что означает, что длительный срок хранения составляет 23 месяца.

Запросить

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01

Текст запроса

{
    "properties": {
        "retentionInDays": null,
        "totalRetentionInDays": 730
    }
}

Ответ

Код состояния: 200.

{
    "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 730,
        "archiveRetentionInDays": 700,
        ...        
    },
   ...
}

Чтобы изменить параметры хранения таблицы, выполните команду az monitor log-analytics workspace update и передайте --retention-time параметры.--total-retention-time

В этом примере задается срок хранения аналитики таблицы на 30 дней, а общий срок хранения — два года, что означает, что срок хранения составляет 23 месяца:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730

Чтобы повторно применить значение хранения рабочей области по умолчанию к таблице и сбросить его общий срок хранения до 0, выполните команду az monitor log-analytics workspace table update с параметрами --retention-time и --total-retention-time, установленными на -1.

Например:

az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1

Используйте командлет Update-AzOperationalInsightsTable для изменения параметров хранения таблицы. В этом примере задается срок хранения аналитики таблицы на 30 дней, а общий срок хранения — два года, что означает, что срок хранения составляет 23 месяца:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730

Чтобы повторно применить значение хранения рабочей области по умолчанию к таблице и сбросить его общее значение хранения до 0, выполните командлет Update-AzOperationalInsightsTable с параметрами -RetentionInDays, -TotalRetentionInDays заданными -1.

Например:

Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1

Используйте этот пример шаблона ARM и файла параметров для обновления периода хранения для определенной таблицы.

Файл шаблона

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string",
      "defaultValue": "sampleWorkspace",
      "metadata": {
        "description": "The number of days to retain the data."
      }
    },
    "tableName": {
      "type": "string",
      "defaultValue": "sampleTable",
      "metadata": {
        "description": "The name of the Log Analytics table to modify."
      }
    },
    "retentionInDays": {
      "type": "int",
      "defaultValue": 30,
      "metadata": {
        "description": "The number of days to retain the data."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2025-02-01",
      "name": "[parameters('workspaceName')]",
      "location": "[resourceGroup().location]",
      "resources": [
        {
          "type": "Microsoft.OperationalInsights/workspaces/tables",
          "apiVersion": "2025-02-01",
          "name": "[concat(parameters('workspaceName'), '/', parameters('tableName'))]",
          "properties": {
            "retentionInDays": "[parameters('retentionInDays')]"
          },
          "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('workspaceName'))]" ]
        }
      ]
    }
  ]
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "MyWorkspace"
    },
    "tableName": {
      "value": "AppRequests"
    },
    "retentionInDays": {
      "value": 120
    }
  }
}

Получение параметров хранения по таблице

Чтобы просмотреть параметры хранения таблицы в портал Azure, в меню рабочих областей Log Analytics выберите "Таблицы".

На экране "Таблицы " показаны сроки хранения аналитики и общее время хранения для всех таблиц в рабочей области.

Чтобы получить параметр хранения определенной таблицы (в этом примере), SecurityEventвызовите таблицу — Get API:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01

Чтобы получить все параметры хранения на уровне таблицы в рабочей области, не устанавливайте имя таблицы.

Например:

GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01

Чтобы получить параметр хранения определенной таблицы, выполните команду az monitor log-analytics workspace table show .

Например:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent

Чтобы получить параметр хранения определенной таблицы, выполните командлет Get-AzOperationalInsightsTable .

Например:

Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent

Что происходит с данными при удалении таблицы в рабочей области Log Analytics?

Рабочая область Log Analytics может содержать несколько типов таблиц. Что происходит при удалении таблицы по-разному для каждого из них:

Тип таблицы	Хранение данных	Рекомендации	Восстановление
Таблица Azure	Таблица Azure содержит журналы из ресурса Или данных Azure, необходимых службе Или решению Azure, и их нельзя удалить. При остановке потоковой передачи данных из ресурса, службы или решения данные остаются в рабочей области до конца периода хранения, определенного для таблицы, и взимается соответствующим образом.	Чтобы свести к минимуму расходы, задайте срок хранения на уровне таблицы четыре дня в соответствующих таблицах перед отключением решения, например Sentinel.	Включите решение. Восстановление данных зависит от политики удержания таблиц.
Настраиваемая таблица журналов (`table_CL`)	Пользовательская таблица журналов содержит журналы из API приема журналов или устаревшего API сборщика данных HTTP. При удалении таблицы имя таблицы сохраняется зарезервированным в течение 14 дней и освобождается по истечении срока. Удаление таблицы в плане "Аналитика " или "Базовый " не удаляет данные в таблице и через 14 дней срок хранения наследует хранение рабочей области. Удаление таблицы в вспомогательном плане приводит к безвозвратному удалению данных через четырнадцать дней: срок хранения наследует параметры хранения рабочей области, но расходы за хранение продолжают начисляться и привязаны к сроку хранения в таблицах.	Чтобы свести к минимуму расходы, установите срок хранения на уровне таблицы четыре дня перед удалением таблицы.	Аналитические или Базовые планы: создайте таблицу с тем же именем и схемой. Восстановление данных зависит от политики удержания таблиц. Вспомогательный план: создайте таблицу с тем же именем и схемой в период обратимого удаления.
Таблица результатов поиска (`table_SRCH`)	Удаляет таблицу и данные немедленно и окончательно.
Восстановленная таблица`(table_RST`)	Удаляет горячий кэш, подготовленный для восстановления, но данные исходной таблицы не удаляются.

Таблицы журналов с 90-дневным хранением по умолчанию

По умолчанию таблицы UsageAzureActivity хранят данные не менее 90 дней без платы. При увеличении срока хранения рабочей области до более 90 дней также увеличивается срок хранения этих таблиц. Плата за прием данных для этих таблиц также не взимается.

Таблицы, связанные с ресурсами Application Insights, также хранят данные в течение 90 дней без оплаты. Вы можете настроить хранение каждой из этих таблиц по отдельности:

AppAvailabilityResults
AppBrowserTimings
AppDependencies
AppExceptions
AppEvents
AppMetrics
AppPageViews
AppPerformanceCounters
AppRequests
AppSystemEvents
AppTraces

Модель ценообразования

Плата за добавление хранения аналитики и долгосрочного хранения рассчитывается на основе объема данных, сохраняемого в ГБ, и количества дней, в течение которых данные хранятся. Данные журнала, которые _IsBillable == false не подлежат приему или сбору за хранение.

Дополнительные сведения см. на странице цен на Azure Monitor.

Дополнительные сведения:

Поделиться через

Управление хранением данных в рабочей области Log Analytics

Аналитика, долгосрочное и общее хранение

Как работают изменения хранения

Требуемые разрешения

Настройка периода хранения аналитики по умолчанию таблиц Аналитики

Настройка хранения на уровне таблицы

Получение параметров хранения по таблице

Что происходит с данными при удалении таблицы в рабочей области Log Analytics?

Таблицы журналов с 90-дневным хранением по умолчанию

Модель ценообразования

Связанный контент

Обратная связь

Дополнительные ресурсы