Compartir a través de

Tutorial: Configuración de una directiva de retención de datos para una tabla en un área de trabajo de Log Analytics

  • Artículo

En este tutorial, establecerá una directiva de retención para una tabla en el área de trabajo de Log Analytics que se usa para Microsoft Sentinel o Azure Monitor. Estos pasos le permiten mantener los datos más antiguos y menos usados en el área de trabajo a un costo reducido.

Las directivas de retención de un área de trabajo de Log Analytics definen cuándo realizar la transición de registros antiguos en tablas de datos del área de trabajo al estado de retención a bajo costo, de acceso mínimo y con una retención a largo plazo (anteriormente conocido como archivo). De forma predeterminada, todas las tablas del área de trabajo heredan la configuración de retención interactiva del área de trabajo y no tienen ninguna directiva de retención a largo plazo (archivo). Puede modificar las directivas de retención interactivas y a largo plazo de tablas individuales, excepto las áreas de trabajo del plan de tarifa de evaluación gratuita heredada.

En este tutorial, aprenderá a:

  • Establecimiento de la directiva de retención de una tabla
  • Revisión de directivas de retención interactivas y a largo plazo

Requisitos previos

Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles.

  • Cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

  • Cuenta de Azure con los siguientes roles:

    Rol integrado Ámbito Motivo
    Colaborador de Log Analytics Cualquiera de
    • Subscription
    • Resource group
    • Tabla
    		 Establecimiento de la directiva de retención en tablas de Log Analytics

  • Área de trabajo de Log Analytics.

Establecimiento de la directiva de retención de una tabla

En el área de trabajo de Log Analytics, cambie la directiva de retención interactiva de la tabla SecurityEvent del área de trabajo predeterminada de 90 a 180 días y la directiva de retención total a 3 años. El período de retención total es la suma de los períodos de retención interactivos y a largo plazo (archivo).

  1. Inicie sesión en Azure Portal.

  2. En Azure Portal, busque y abra las áreas de trabajo de Log Analytics.

  3. Seleccione el área de trabajo apropiada.

  4. En Configuración, seleccione Tablas.

  5. Busque la tabla SecurityEvent en la lista y abra el menú contextual (...).

  6. Seleccione Administrar tabla.

    Captura de pantalla de la opción Administrar tabla en el menú contextual de una tabla en la vista tablas.

  7. En la configuración Retención de datos, escriba los valores siguientes.

    Campo Valor
    Retención interactiva 180 días
    Período de retención total 3 años

    Captura de pantalla de la configuración de retención de datos que muestra los cambios en los campos de la sección retención de datos.

    En el gráfico de tiempo puede ver que el período de retención a largo plazo es igual al período de retención total en días menos el período de retención interactivo en días. En este caso, 915 días o 2,5 años.

  8. Seleccione Guardar.

Revisión de directivas de retención interactivas y totales

En la página Tablas de la tabla que ha actualizado, revise los valores de campo de Retención interactiva y Retención total.

Captura de pantalla de la vista de tabla que muestra las columnas de período de retención y archivo interactivos.

Limpieza de recursos

No se crearon recursos, pero es posible que quiera restaurar la configuración de retención de datos que cambió.

Pasos siguientes

Configurar directivas de retención de datos interactivas y a largo plazo en registros de Azure Monitor