Рабочая область Log Analytics сохраняет данные в двух состояниях:
-
Хранение аналитики. В этом состоянии данные доступны для мониторинга, устранения неполадок и аналитики в режиме реального времени.
-
Долгосрочное хранение. В этом состоянии с низкой стоимостью данные недоступны для функций плана таблиц, но доступ к ним можно получить с помощью заданий поиска.
В этой статье объясняется, как рабочие области Log Analytics хранят данные и как управлять хранением данных в рабочей области.
Аналитика, долгосрочное и общее хранение
По умолчанию все таблицы в рабочей области Log Analytics хранят данные в течение 30 дней, за исключением таблиц журналов с хранением по умолчанию 90 дней. Таблицы с планом аналитики делают данные доступными для запросов в режиме реального времени в течение этого периода хранения Аналитики. Все планы таблиц могут извлекать сохраненные данные с помощью запросов или заданий поиска, а данные доступны для визуализаций, оповещений и других функций и служб на основе плана таблицы.
Вы можете продлить срок хранения таблиц аналитики с помощью плана аналитики до двух лет. Базовые таблицы планов имеют фиксированный период 30 дней для запросов, а вспомогательные таблицы планов можно запрашивать на общий период хранения. Однако и базовые, и вспомогательные таблицы имеют дополнительные рекомендации. Дополнительные сведения см. в разделе «Запрос данных» в таблицах «Базовая» и «Вспомогательная».
Примечание.
Вы можете уменьшить срок хранения аналитических таблиц до 4 дней с помощью API или CLI. Однако, так как 31 день сохранения данных входит в стоимость приема данных, уменьшение периода сохранения ниже 31 дня не снижает затрат.
Чтобы сохранить данные в той же таблице за пределами срока хранения по умолчанию, расширьте общий срок хранения таблицы до 12 лет. В конце периода хранения аналитики данные остаются в таблице на оставшуюся часть настраиваемого периода хранения. В течение этого периода — долгосрочный период хранения — запустите задание поиска, чтобы получить определенные данные, необходимые из таблицы, и сделать его доступным для интерактивных запросов в таблице результатов поиска.
Как работают модификации сохранения
При сокращении общего срока хранения таблицы журналы Azure Monitor ожидают 30 дней до удаления данных, чтобы восстановить изменение и избежать потери данных при возникновении ошибки в конфигурации.
Когда вы увеличиваете общий срок хранения, новый период хранения применяется ко всем данным, которые уже были загружены в таблицу и еще не были удалены.
При изменении параметров долгосрочного хранения таблицы с существующими данными изменения вступает в силу немедленно.
Example:
- У вас есть таблица аналитики с хранением аналитики в течение 180 дней и без возможности долгосрочного хранения.
- Вы изменяете срок хранения аналитики на 90 дней, не изменяя общий срок хранения 180 дней.
- Azure Monitor автоматически обрабатывает оставшиеся 90 дней хранения как низкозатратное, долгосрочное хранение, чтобы данные в возрасте от 90 до 180 дней не терялись.
Требуемые разрешения
| Действие |
Требуемые разрешения |
| Настройка хранения аналитики по умолчанию для таблиц Аналитики в рабочей области Log Analytics |
Microsoft.OperationalInsights/workspaces/write и microsoft.operationalinsights/workspaces/tables/write разрешения для рабочей области Log Analytics, как указано встроенной ролью Участника Log Analytics, например |
| Получите настройку хранения по таблице для рабочей области Log Analytics |
Microsoft.OperationalInsights/workspaces/tables/readразрешения на рабочую область Log Analytics, как указано в описании встроенной роли Log Analytics Reader, например |
Срок хранения таблиц Аналитики по умолчанию в рабочей области Log Analytics составляет 30 дней. Вы можете изменить период аналитики по умолчанию таблиц Аналитики до двух лет, изменив параметр хранения данных на уровне рабочей области. Базовые и вспомогательные таблицы имеют только общий период хранения, который составляет 30 дней по умолчанию.
Изменение параметра хранения данных на уровне рабочей области по умолчанию автоматически влияет на все таблицы Аналитики, к которым по-прежнему применяется параметр по умолчанию в рабочей области. Если вы уже изменили хранение аналитики определенной таблицы, эта таблица не затрагивается при изменении параметра хранения данных по умолчанию рабочей области.
Внимание
Рабочие области с 30-дневным хранением могут хранить данные в течение 31 дней. Если необходимо хранить данные только в течение 30 дней, чтобы соответствовать политике конфиденциальности, настройте срок хранения рабочей области по умолчанию до 30 дней с помощью API и обновите immediatePurgeDataOn30Days свойство рабочей области до true. Эта операция в настоящее время поддерживается только с помощью Workspaces - Update API.
В следующих примерах для интерактивного хранения таблицы задано значение 30 дней.
Чтобы задать период хранения аналитики по умолчанию таблиц Аналитики в рабочей области Log Analytics:
В меню рабочих областей Log Analytics в портале Azure выберите вашу рабочую область.
В разделе "Параметры" выберите "Использование" и "Предполагаемые затраты " на левой панели.
В верхней части страницы выберите Хранение данных.
Воспользуйтесь ползунком, чтобы увеличить или уменьшить количество дней, а затем нажмите кнопку ОК.
В следующем примере Azure CLI используется команда az monitor log-analytics workspace update. Он задает период интерактивного хранения по умолчанию для таблиц Аналитики в рабочей области Log Analytics с помощью параметра --retention-time.
# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
retentionInDays="30"
# Update the default workspace retention
az monitor log-analytics workspace update \
--resource-group "$resourceGroupName" \
--workspace-name "$workspaceName" \
--retention-time "$retentionInDays"
Примечание.
команды Azure CLI используют конечную точку Azure Resource Manager из текущего контекста CLI, поэтому management.azure.com не требуется указывать в синтаксисе команды.
В следующем примере Azure PowerShell используется командлет Set-AzOperationalInsightsWorkspace. Он задает период интерактивного хранения по умолчанию для таблиц Аналитики в рабочей области Log Analytics с помощью параметра -RetentionInDays.
# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$retentionInDays = "30"
# Define parameters for Set-AzOperationalInsightsWorkspace
$setAzOperationalInsightsWorkspaceParams = @{
ResourceGroupName = $resourceGroupName
Name = $workspaceName
RetentionInDays = $retentionInDays
}
# Update the default workspace retention
Set-AzOperationalInsightsWorkspace @setAzOperationalInsightsWorkspaceParams
Примечание.
командлеты Azure PowerShell используют конечную точку Azure Resource Manager из текущего контекста Az, поэтому management.azure.com не требуется указывать в синтаксисе командлета.
В следующем примере REST используется операция REST API Workspaces - Update. Он задает интерактивный период хранения по умолчанию для таблиц Аналитики в рабочей области Log Analytics.
Он также гарантирует, что данные немедленно удаляются через 30 дней и не могут быть удалены.
PATCH https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Content-Type: application/json
{
"properties": {
"retentionInDays": 30,
"features": {
"immediatePurgeDataOn30Days": true
}
}
}
Свойства текста запроса:
Текст запроса содержит значения, приведенные в следующей таблице.
| Имя. |
Тип |
Описание |
properties.retentionInDays |
целое число |
Срок хранения данных рабочей области в днях. Допустимые значения зависят от тарифного плана. Дополнительные сведения см. в документации по ценовой категории. |
properties.features.immediatePurgeDataOn30Days |
булевый |
Флаг, указывающий, удаляются ли данные через 30 дней и не подлежат восстановлению. Применимо только в том случае, если срок хранения рабочей области имеет значение 30 дней. |
Пример ответа:
Код состояния: 200.
{
"properties": {
"retentionInDays": 30,
"features": {
"legacy": 0,
"searchVersion": 1,
"immediatePurgeDataOn30Days": true
}
}
}
В следующем примере Bicep используется тип ресурса Microsoft.OperationalInsights workspaces. Он задает интерактивный период хранения по умолчанию для таблиц Аналитики в рабочей области Log Analytics.
param workspaceName string = '<WorkspaceName>'
param azureRegion string = '<AzureRegion>'
param retentionInDays int = 30
resource logAnalyticsWorkspace 'Microsoft.OperationalInsights/workspaces@2025-07-01' = {
name: workspaceName
location: azureRegion
properties: {
retentionInDays: retentionInDays
}
}
В следующем примере ARM (JSON) используется тип ресурса Microsoft.OperationalInsights workspaces. Он задает интерактивный период хранения по умолчанию для таблиц Аналитики в рабочей области Log Analytics.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"defaultValue": "<WorkspaceName>"
},
"azureRegion": {
"type": "string",
"defaultValue": "<AzureRegion>"
},
"retentionInDays": {
"type": "int",
"defaultValue": 30
}
},
"resources": [
{
"type": "Microsoft.OperationalInsights/workspaces",
"apiVersion": "2025-07-01",
"name": "[parameters('workspaceName')]",
"location": "[parameters('azureRegion')]",
"properties": {
"retentionInDays": "[parameters('retentionInDays')]"
}
}
]
}
По умолчанию все таблицы с планом данных Аналитики наследуют параметр хранения по умолчанию рабочей области Log Analytics и не имеют долгосрочного хранения. Вы можете увеличить срок хранения аналитических таблиц до 730 дней с дополнительными затратами.
Чтобы добавить долгосрочное хранение в таблицу с любым планом данных, установите общий срок хранения до 12 лет (4383 дня).
Примечание.
В настоящее время можно настроить общее хранение до 12 лет через портал Azure и API. Интерфейс командной строки и PowerShell ограничены 7 годами; будет поддерживаться 12 лет.
В следующих примерах для интерактивного хранения таблицы задано значение 30 дней, а общий срок хранения составляет два года (730 дней), что означает, что срок хранения в долгосрочной перспективе составляет 23 месяца.
Чтобы изменить параметр хранения таблицы в портал Azure, выполните следующие действия.
В меню рабочих областей Log Analytics выберите "Таблицы".
На экране "Таблицы" перечислены все таблицы в рабочей области.
Выберите контекстное меню для таблицы, которую вы хотите настроить, и щелкните Управление таблицей.
Настройте параметры хранения аналитики и общего срока хранения в разделе параметров хранения данных на экране конфигурации таблицы.
В следующем примере Azure CLI используется команда az monitor log-analytics workspace table update. Он изменяет параметры хранения для определенной таблицы с помощью --retention-time параметров и --total-retention-time параметров.
Настройка пользовательского хранения:
# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
tableName="<TableName>"
retentionInDays="30"
totalRetentionInDays="730"
# Update the table retention settings
az monitor log-analytics workspace table update \
--resource-group "$resourceGroupName" \
--workspace-name "$workspaceName" \
--name "$tableName" \
--retention-time "$retentionInDays" \
--total-retention-time "$totalRetentionInDays"
Сбросить до настроек рабочей области по умолчанию:
Чтобы повторно применить значение хранения рабочей области по умолчанию к таблице и сбросить его общий срок хранения до 0, выполните команду az monitor log-analytics workspace table update с параметрами --retention-time и --total-retention-time, установленными на -1.
# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
tableName="<TableName>"
retentionInDays="-1"
totalRetentionInDays="-1"
# Update the table retention settings
az monitor log-analytics workspace table update \
--resource-group "$resourceGroupName" \
--workspace-name "$workspaceName" \
--name "$tableName" \
--retention-time "$retentionInDays" \
--total-retention-time "$totalRetentionInDays"
В следующем примере Azure PowerShell показано использование командлета Update-AzOperationalInsightsTable. Он изменяет параметры хранения для определенной таблицы с помощью -RetentionInDays параметров и -TotalRetentionInDays параметров.
Настройка пользовательского хранения:
# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$tableName = "<TableName>"
$retentionInDays = "30"
$totalRetentionInDays = "730"
# Define parameters for Update-AzOperationalInsightsTable
$updateAzOperationalInsightsTableParams = @{
ResourceGroupName = $resourceGroupName
WorkspaceName = $workspaceName
TableName = $tableName
RetentionInDays = $retentionInDays
TotalRetentionInDays = $totalRetentionInDays
}
# Update the table retention settings
Update-AzOperationalInsightsTable @updateAzOperationalInsightsTableParams
Сброс к настройкам рабочей области по умолчанию:
Чтобы повторно применить значение хранения рабочей области по умолчанию к таблице и сбросить его общее значение хранения до 0, выполните командлет Update-AzOperationalInsightsTable с параметрами -RetentionInDays, -TotalRetentionInDays заданными -1.
# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$tableName = "<TableName>"
$retentionInDays = "-1"
$totalRetentionInDays = "-1"
# Define parameters for Update-AzOperationalInsightsTable
$updateAzOperationalInsightsTableParams = @{
ResourceGroupName = $resourceGroupName
WorkspaceName = $workspaceName
TableName = $tableName
RetentionInDays = $retentionInDays
TotalRetentionInDays = $totalRetentionInDays
}
# Update the table retention settings
Update-AzOperationalInsightsTable @updateAzOperationalInsightsTableParams
В следующем примере REST используется операция REST API Tables - Update. Он изменяет параметры хранения для определенной таблицы.
Можно использовать либо PUT, либо PATCH, со следующим отличием.
- API PUT задает
retentionInDays и totalRetentionInDays значение по умолчанию, если не заданы значения, отличные от NULL.
-
PATCH API не изменяет значения
retentionInDays или totalRetentionInDays, если вы их не указываете.
PATCH https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}/tables/{TableName}?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Content-Type: application/json
{
"properties": {
"retentionInDays": 30,
"totalRetentionInDays": 730
}
}
Свойства текста запроса:
Текст запроса содержит значения, приведенные в следующей таблице.
| Имя. |
Тип |
Описание |
properties.retentionInDays |
целое число |
Срок хранения данных в таблице в днях. Значение может находиться в диапазоне от 4 до 730.
Если для этого свойства задано значение NULL, применяется период хранения рабочей области. Для таблицы базовых и вспомогательных журналов значение всегда равно 30. |
properties.totalRetentionInDays |
целое число |
Общее хранение данных таблицы, включая долгосрочное хранение. Это значение может быть от 4 до 730; или 1095, 1460, 1826, 2191, 2556, 2922, 3288, 3653, 4018 или 4383. Задайте для этого свойства значение NULL, если не требуется долгосрочное хранение. |
Пример ответа:
Код состояния: 200.
{
"properties": {
"retentionInDays": 30,
"totalRetentionInDays": 730,
"archiveRetentionInDays": 700,
},
}
В следующем примере Bicep используется тип ресурса Microsoft.OperationalInsights workspaces/tables. Он изменяет параметры хранения для определенной таблицы.
param workspaceName string = '<WorkspaceName>'
param tableName string = '<TableName>'
param retentionInDays int = 30
param totalRetentionInDays int = 730
resource logAnalyticsWorkspace 'Microsoft.OperationalInsights/workspaces@2025-07-01' existing = {
name: workspaceName
}
resource workspaceTable 'Microsoft.OperationalInsights/workspaces/tables@2025-07-01' = {
parent: logAnalyticsWorkspace
name: tableName
properties: {
retentionInDays: retentionInDays
totalRetentionInDays: totalRetentionInDays
}
}
В следующем примере ARM (JSON) используется тип ресурса Microsoft.OperationalInsights workspaces/tables. Он изменяет параметры хранения для определенной таблицы.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"defaultValue": "<WorkspaceName>"
},
"tableName": {
"type": "string",
"defaultValue": "<TableName>"
},
"retentionInDays": {
"type": "int",
"defaultValue": 30
},
"totalRetentionInDays": {
"type": "int",
"defaultValue": 730
}
},
"resources": [
{
"type": "Microsoft.OperationalInsights/workspaces/tables",
"apiVersion": "2025-07-01",
"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('tableName'))]",
"properties": {
"retentionInDays": "[parameters('retentionInDays')]",
"totalRetentionInDays": "[parameters('totalRetentionInDays')]"
}
}
]
}
Получение параметров хранения по таблице
Чтобы просмотреть параметры хранения таблицы в портале Azure, в меню рабочих областей Log Analytics выберите «Таблицы».
На экране "Таблицы " показаны сроки хранения аналитики и общее время хранения для всех таблиц в рабочей области.
В приведенном ниже примере Azure CLI используется команда az monitor log-analytics workspace table show. Он извлекает параметр хранения определенной таблицы.
# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
tableName="<TableName>"
# Retrieve the table retention settings
az monitor log-analytics workspace table show \
--resource-group "$resourceGroupName" \
--workspace-name "$workspaceName" \
--name "$tableName"
В следующем примере Azure PowerShell используется командлет Get-AzOperationalInsightsTable. Он извлекает параметр хранения определенной таблицы.
# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$tableName = "<TableName>"
# Define parameters for Get-AzOperationalInsightsTable
$getAzOperationalInsightsTableParams = @{
ResourceGroupName = $resourceGroupName
WorkspaceName = $workspaceName
TableName = $tableName
}
# Retrieve the table retention settings
Get-AzOperationalInsightsTable @getAzOperationalInsightsTableParams
В следующем примере REST используется операция REST API Tables - Get. Он извлекает параметр хранения определенной таблицы.
GET https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}/tables/{TableName}?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Чтобы получить все параметры хранения на уровне таблицы в рабочей области, не устанавливайте имя таблицы.
GET https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}/tables?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Что происходит с данными при удалении таблицы в рабочей области Log Analytics?
Рабочая область Log Analytics может содержать несколько типов таблиц. Что происходит при удалении таблицы по-разному для каждого из них:
| Тип таблицы |
Хранение данных |
Рекомендации |
Восстановление |
| Таблица Azure |
Таблица Azure содержит журналы из ресурса или решения Azure. При остановке отправки данных из ресурса или решения данные остаются в рабочей области до конца срока хранения, определенного для таблицы, и плата взимается соответствующим образом. |
Чтобы сократить расходы, установите срок хранения на уровне таблицы на четыре дня, что является минимальным поддерживаемым периодом. Если удаленная таблица связана с решением, которое должно быть удалено (например, Sentinel), удалите решение после четырехдневного периода хранения. |
Включите решение. Восстановление данных зависит от политики удержания таблиц. |
Настраиваемая таблица журналов (table_CL) |
Пользовательская таблица журналов содержит журналы из API приема журналов или устаревшего API сборщика данных HTTP.
При удалении таблицы имя таблицы остается зарезервированным в течение пятнадцати дней. Удаление таблицы в планах Analytics или Basic не удаляет данные. Срок хранения таблицы становится равным сроку хранения рабочей области через пятнадцать дней, при этом расходы на хранение соответствуют политике хранения, указанной в таблице.
Удаление таблицы в вспомогательном плане удаляет данные безвозвратно после пятнадцати дней. |
Чтобы свести к минимуму расходы, задайте срок хранения на уровне таблицы четыре дня и удалите таблицу через четыре дня при обрезке данных. |
Аналитические или Базовые планы: создайте таблицу с тем же именем и схемой. Восстановление данных зависит от политики удержания таблиц.
Вспомогательный план: создайте таблицу с тем же именем и схемой в период обратимого удаления. |
Таблица результатов поиска (table_SRCH) |
Удаляет таблицу и данные немедленно и окончательно. |
|
|
Восстановленная таблица(table_RST) |
Удаляет горячий кэш, подготовленный для восстановления, но данные исходной таблицы не удаляются. |
|
|
Таблицы журналов с 90-дневным хранением по умолчанию
По умолчанию таблицы UsageAzureActivity хранят данные не менее 90 дней без платы. При увеличении срока хранения рабочей области до более 90 дней также увеличивается срок хранения этих таблиц. Плата за прием данных для этих таблиц также не взимается.
Таблицы, связанные с ресурсами Application Insights, также хранят данные в течение 90 дней без оплаты. Вы можете настроить хранение каждой из этих таблиц по отдельности:
AppAvailabilityResultsAppBrowserTimingsAppDependenciesAppExceptionsAppEventsAppMetricsAppPageViewsAppPerformanceCountersAppRequestsAppSystemEventsAppTraces
Модель ценообразования
Аналитика и долгосрочное хранение вычисляются на основе объема данных в ГБ и количества дней хранения данных. Выставление счетов за хранение данных происходит ежедневно (в зависимости от дней в часовом поясе UTC). Данные журнала, которые _IsBillable == false, не облагаются сборами за запись или хранение.
Дополнительные сведения см. в следующих статьях:
Связанный контент
Дополнительные сведения:
