根據數據類型增長Azure Log Analytics的數據保留時間

在平常的運維工做中，日誌是咱們分析系統運行狀況、問題定位、系統優化分析等操做的主要數據源頭。同時在不少客戶的實際場景中，爲了知足公司的審計等要求，也會須要對某種特定類型的日誌數據進行持久的存儲，如SecurityEvent等，從而知足公司的合規性。對於此類的需求，其實咱們有多種方式能夠知足，好比使用某些企業級的日誌收集系統等。那麼在Azure中，咱們如何來持久的保存某些類型的日誌記錄呢？

其實在2019年10月8日，微軟宣佈支持每種數據類型獨立增長保留時間。這意味着，若是要爲SecurityEvent日誌收集價值6個月的日誌數據，則能夠獨立於其餘數據類型的保留期限進行收集。具體能夠參考官方文檔，在撰寫本文檔時，要增長每種數據類型的保留時間，就須要利用Rest API進行這些更改。

須要注意的是：Usage 和 AzureActivity 不能使用數據類型設置自定義保留策略。默認狀況下，它們會保留90天，而且保留90天是免費的。這些數據類型也免收數據攝取費用。他們將最多保留默認的工做空間或90天。

接下來讓咱們看看它是如何工做的，首先經過使用以前的方法來研究如何經過使用門戶來增長保留，而後如何利用Rest API來爲每種數據類型配置此功能。

經過Azure Portal調整保留時間
登陸到Azure門戶後，進入Log Analytics Workspace。爲了配置您的數據保留，您將須要導航至「使用和估計成本」，而後導航至「數據保留」：

而後會彈出「數據保留選項卡」：

能夠看出，咱們能夠滑動滑塊來增長數據的保留週期。超過31天或更低的價格都包含在咱們的訂價計劃中。所以，假設咱們要捕獲6個月的SecurityEvent日誌數據，但咱們想保留30天的其餘全部數據保留時間。在2019年10月8日以前，這是不可能的。若是必須收集6個月的SecurityEvent Log數據，咱們將有兩個選擇：

• 將數據保留增長到6個月，並將Log Analytics Workspace中的全部數據保留6個月。不利的一面是將全部數據保留6個月的成本增長。
• 僅爲Azure SecurityEvent日誌數據建立另外一個Log Analytics Workspace，並將數據保留時間設置爲6個月，而收集全部其餘數據類型的數據的另外一個Log Analytics Workspace保留30天。

可是因爲此新功能於2019年10月8日推出，所以再也不須要限於以上兩個選項。

經過Rest API根據數據類型調整保留時間

接下來咱們將使用ARMClient這個工具來進行一些必要的Rest API調用，從而幫助咱們實現將SecurityEvent日誌的保留時間增長到6個月，同時全部其餘類型的日誌保留時間不變。咱們將使用Chocolatey安裝ARMClient。命令以下：

choco install armclient --source=https://chocolatey.org/api/v2/

安裝後，能夠經過在命令提示符或PowerShell提示符中鍵入ARMClient來驗證安裝是否成功：

接下來咱們看下如何使用ARMClient配置每種數據類型的保留

讓咱們使用如下命令登陸PowerShell中的Azure訂閱（此命令將彈出「現代身份驗證」表單，要求輸入組織ID用戶名和密碼）：

ARMClient Login

登陸成功後運行以下命令定義變量：

$Subscription = "00000000-0000-0000-0000-00000000000"
$ResourceGroup = "analytics-rg"
$LogAnalyticsName = "demo0327-LogAnalyticsWS"

而後運行以下命令來將保留時間設置爲180天

ARMClient Put /subscriptions/$Subscription/resourceGroups/$ResourceGroup/providers/Microsoft.OperationalInsights/workspaces/$LogAnalyticsName/Tables/SecurityEvent?api-version=2017-04-26-preview "{properties: {retentionInDays: 180}}"

如今，咱們的Log Analytics Workspace中爲SecurityEvent收集的數據將保留180天，而沒有指定的tentionInInDays屬性的全部數據將保留咱們在門戶中配置的30天。