Configurar uma política de retenção de dados em uma tabela do Log Analytics workspace

Fala pessoal tudo bem com vcs!

Neste tutorial, iremos definir uma política de retenção para uma tabela no workspace do Log Analytics que utilizamos no Microsoft Sentinel ou o Azure Monitor. Essas etapas permitem que você mantenha os dados mais antigos e menos usados em seu workspace a um custo reduzido.

As políticas de retenção em um workspace do Log Analytics definem quando remover ou arquivar dados no workspace. Por padrão, todas as tabelas no workspace herdam a configuração de retenção interativa do workspace e não têm nenhuma política de arquivo morto. Você pode modificar as políticas de retenção e arquivos de tabelas individuais, exceto para workspaces no tipo de preço de avaliação gratuita herdado.

Obs. Este passo a passo poderá ser utilizado para ajustes de sua política de retenção do seu Workspace.

Então vamos lá!

Definindo a política de retenção e arquivamento para uma tabela

1 – No portal do Azure, pesquise e abra Log Analytics workspaces.

2 – Selecione o workspace que conectamos com Sentinel nos posts anteriores.
Obs. Em nossa POC será o log-azrarc-eastus-001.

3 – Dentro do nosso workspace, vá até Settings e clique em Tables.

4 – Procure pela tabela SecurityEvent e clique no menu de contexto (…).

5 – Na janela que irá abrir, clique em Manage table.

6 – Desmarque a opção, Use default workspace settings.

7 – Agora podemos alterar o campo Interactive retention, mater os 30 dias ou alterar o valor com a observação dos custos gerados.

8 – Vamos manter os 30 dias e em Total retention period, altere o valor conforme necessidade e clique em Save.

Examinando a política de retenção e arquivamento de dados

Iremos validar o Interactive retention e o Archive period.
O período de arquivo morto é igual ao período de retenção total em dias menos a retenção interativa em dias. Por exemplo, você define os seguintes valores:

CampoValor
Retenção interativa30 dias
Período total de retenção1 ano

Portanto, a página Tabela mostra o período de arquivamento de 30 dias a seguir.

Ajustes nas configurações de retenção e arquivamento

Quando você reduz uma política de retenção existente, o Azure Monitor aguarda 30 dias antes de remover os dados, para que você possa reverter a alteração e evitar a perda de dados em caso de erro na configuração.

Quando você aumenta a política de retenção, o novo período de retenção se aplica a todos os dados que já foram ingeridos na tabela e ainda não foram limpos ou removidos.

Se você alterar as configurações de arquivo em uma tabela contendo dados, os dados relevantes na tabela também serão afetados imediatamente. Por exemplo, você pode ter uma tabela existente com 180 dias de retenção interativa e nenhum período de arquivamento. Você decide alterar a política de retenção para 90 dias de retenção interativa sem alterar o período total de retenção de 180 dias. O Log Analytics arquiva imediatamente todos os dados com mais de 90 dias e nenhum dos dados é excluído.

Configurar a política de retenção de workspace padrão

Podemos definir a política de retenção padrão do workspace no portal do Azure para 30, 31, 60, 90, 120, 180, 270, 365, 550 e 730 dias.

Para configurar a política de retenção de workspace padrão:

1 – No menu Workspace do Log Analytics no portal do Azure, selecione, Usage and estimated costs.

2 – Na parte superior clique em Data Retention e em seguida mova o controle deslizante para aumentar ou diminuir o número de dias e escolha OK para salvar a configuração.

Conclusão

Neste post, aprendemos a habilitar a retenção de uma tabela no workspace do Log Analytics configurado com nosso Microsoft Sentinel e como alterar o padrão das políticas em Uso e custos estimados.

É muito importante estar bem alinhado com as políticas interna de suia organização para manter os registros salvos do seu ambiente.

Até a próxima!

Gostou do conteúdo? Compartilhe!

Seja o primeiro a comentar em "Configurar uma política de retenção de dados em uma tabela do Log Analytics workspace"

Deixe um comentário

Seu endereço de e-mail não será publicado.


*


Ficou com alguma dúvida ?