Управление таблицами в рабочей области Log Analytics

2025-06-20

Рабочая область Log Analytics позволяет собирать данные журнала из ресурсов Azure и не Azure в одно пространство для анализа, использовать другие службы, такие как Sentinel, а также активировать оповещения и действия, например с помощью Azure Logic Apps. Рабочая область Log Analytics состоит из таблиц, которые можно настроить для управления моделью данных, доступом к данным и затратами, связанными с журналами. В этой статье описываются параметры конфигурации таблицы в журналах Azure Monitor и настройка свойств таблицы в зависимости от потребностей в анализе данных и управлении затратами.

Свойства таблицы

На этой схеме представлен обзор параметров конфигурации таблицы в журналах Azure Monitor:

Тип таблицы и схема

Схема таблицы — это набор столбцов, составляющих таблицу, в которую служба Azure Monitor собирает данные журнала из одного или нескольких источников данных.

Рабочая область Log Analytics может содержать следующие типы таблиц:

Тип таблицы	Источник данных	Схема
Таблица Azure	Журналы из ресурсов Azure или журналы, необходимые для служб и решений Azure.	Журналы Azure Monitor автоматически создают таблицы Azure на основе используемых служб Azure и параметров диагностики, настроенных для определенных ресурсов. Каждая таблица Azure имеет предопределенную схему. Столбцы можно добавить в таблицу Azure для хранения преобразованных данных журнала или обогащения данных в таблице Azure с данными из другого источника.
Пользовательская таблица	Ресурсы, отличные от Azure, и любой другой источник данных, например журналы на основе файлов.	Вы можете определить схему настраиваемой таблицы на основе того, как вы хотите хранить данные, собранные из заданного источника данных.
Результаты поиска	Все данные, хранящиеся в рабочей области Log Analytics.	Схема таблицы результатов поиска основана на запросе, определяемом при запуске задания поиска. Невозможно изменить схему существующих таблиц результатов поиска.
Восстановленные журналы	Данные, хранящиеся в определенной таблице в рабочей области Log Analytics.	Восстановленная таблица журналов имеет ту же схему, что и таблица, из которой восстанавливаются журналы. Невозможно изменить схему существующих восстановленных таблиц журналов.

План таблицы

Настройте план таблицы на основе частоты доступа к данным в таблице:

План аналитики подходит для непрерывного мониторинга, обнаружения в режиме реального времени и анализа производительности. Этот план делает данные журнала доступными для интерактивных запросов с несколькими таблицами и для использования функциями и службами в течение от 30 дней до двух лет.
Базовый план подходит для устранения неполадок и реагирования на инциденты. Этот план предлагает скидку на прием и оптимизированные однотабличные запросы в течение 30-ти дней.
Вспомогательный план подходит для данных, не требующих частого доступа, таких как подробные журналы и данные, необходимые для аудита и соответствия нормативным требованиям. Этот план предлагает низкозатратный приём данных и неоптимизированные запросы для одной таблицы в течение 30 дней.

Полные сведения о планах таблиц журналов Azure Monitor см. в разделе Azure Monitor Logs: планы таблиц.

Длительное хранение

Долгосрочное хранение — это решение с низкой стоимостью для хранения данных, которые не используются регулярно в рабочей области для соответствия требованиям или случайного исследования. Используйте параметры хранения на уровне таблицы для добавления или расширения долгосрочного хранения.

Чтобы получить доступ к данным в долгосрочном хранении, выполните поисковый запрос.

Преобразования во время приема

Снизьте затраты и усилия на анализ, используя правила сбора данных для фильтрации и преобразования данных перед загрузкой на основе схемы, которую вы определяете для своей пользовательской таблицы.

Просмотр свойств таблицы

Примечание.

Название таблицы чувствительно к регистру.

Чтобы просмотреть и задать свойства таблицы в портал Azure:

В рабочей области Log Analytics выберите "Таблицы".

На экране "Таблицы" представлены сведения о конфигурации таблицы для всех таблиц в рабочей области Log Analytics.
Щелкните многоточие (...) справа от таблицы, чтобы открыть меню управления таблицами.

Доступные параметры управления таблицами зависят от типа таблицы.
1. Выберите " Управление таблицей ", чтобы изменить свойства таблицы.
2. Выберите "Изменить схему ", чтобы просмотреть и изменить схему таблицы.

Чтобы просмотреть свойства таблицы, вызовите Tables - Get API.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version={api-version}

Текст ответа

Имя.	Тип	Описание
свойства.план	строка	План таблицы. `Analytics`, `Basic` или `Auxiliary`.
свойства.сохранениеВДнях	целое число	Интерактивное хранение таблицы в днях. Для `Basic` и `Auxiliiary`, это значение составляет 30 дней. Для `Analytics`этого значение составляет от четырех до 730 дней.
свойства.общийСрокХраненияВДнях	целое число	Общее хранение данных таблицы, включая интерактивное и долгосрочное хранение.
свойства.срокАрхивногоХраненияВДнях	целое число	Долгосрочный период хранения таблицы (только для чтения, вычисляемый).
свойства.датаПоследнегоИзмененияПлана	Строка	Последнее время, когда план был задан для этой таблицы. Значение NULL, если изменение не было сделано из параметров по умолчанию (только для чтения).

Образец запроса

GET https://management.azure.com/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/ContainerLogV2?api-version=2025-02-01

Пример ответа

Код состояния: 200.

{
    "properties": {
        "retentionInDays": 8,
        "totalRetentionInDays": 8,
        "archiveRetentionInDays": 0,
        "plan": "Basic",
        "lastPlanModifiedDate": "2022-01-01T14:34:04.37",
        "schema": {...},
        "provisioningState": "Succeeded"        
    },
    "id": "subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace",
    "name": "ContainerLogV2"
}

Чтобы задать свойства таблицы, вызовите API создания или обновления таблиц.

Чтобы просмотреть свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace table show .

Например:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --output table

Чтобы задать свойства таблицы с помощью Azure CLI, выполните команду az monitor log-analytics workspace table update.

Чтобы просмотреть свойства таблицы с помощью PowerShell, выполните следующую команду:

Invoke-AzRestMethod -Path "/subscriptions/ContosoSID/resourcegroups/ContosoRG/providers/microsoft.operationalinsights/workspaces/ContosoWorkspace/tables/Heartbeat?api-version=2025-02-01" -Method GET

Пример ответа

{
  "properties": {
    "totalRetentionInDays": 30,
    "archiveRetentionInDays": 0,
    "plan": "Analytics",
    "retentionInDaysAsDefault": true,
    "totalRetentionInDaysAsDefault": true,
    "schema": {
      "tableSubType": "Any",
      "name": "Heartbeat",
      "tableType": "Microsoft",
      "standardColumns": [
        {
          "name": "TenantId",
          "type": "guid",
          "description": "ID of the workspace that stores this record.",
          "isDefaultDisplay": true,
          "isHidden": true
        },
        {
          "name": "SourceSystem",
          "type": "string",
          "description": "Type of agent the data was collected from. Possible values are OpsManager (Windows agent) or Linux.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "TimeGenerated",
          "type": "datetime",
          "description": "Date and time the record was created.",
          "isDefaultDisplay": true,
          "isHidden": false
        },
        {
          "name": "ComputerPrivateIPs",
          "type": "dynamic",
          "description": "The list of private IP addresses of the computer.",
          "isDefaultDisplay": true,
          "isHidden": false
        }
      ],
      "solutions": [
        "LogManagement"
      ],
      "isTroubleshootingAllowed": false
    },
    "provisioningState": "Succeeded",
    "retentionInDays": 30
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Heartbeat",
  "name": "Heartbeat"
}

Используйте командлет Update-AzOperationalInsightsTable для задания свойств таблицы.

Следующие шаги

Вы узнаете, как выполнять следующие задачи: