مشاركة عبر


استعلامات التدقيق في Azure Monitor Logs

تفاصيل سجلات تدقيق استعلام السجل التي توفر بيانات تتبع الاستخدام حول استعلامات السجل التي يتم تشغيلها في Azure Monitor. يتضمن ذلك معلومات مثل عند تشغيل الاستعلام، ومن قام بتشغيله، والأداة المستخدمة، ونص الاستعلام، وإحصائيات الأداء التي تصف تنفيذ الاستعلام.

تكوين تدقيق الاستعلام

يتم تمكين تدقيق الاستعلام بواسطة إعداد تشخيصي على مساحة عمل Log Analytics. يتيح لك ذلك إرسال بيانات التدقيق إلى مساحة العمل الحالية أو أي مساحة عمل أخرى في اشتراكك، إلى مراكز الأحداث في Azure لإرسالها خارج Azure، أو إلى Azure Storage للأرشفة.

مدخل Azure

قم بالوصول إلى إعداد التشخيص لمساحة عمل Log Analytics في مدخل Microsoft Azure في أي من المواقع التالية:

  • من القائمة Azure Monitor، حدد إعدادات التشخيص، ثم حدد موقع مساحة العمل وحددها.

    لقطة شاشة لإعدادات التشخيص Azure Monitor.

  • من القائمة تسجيل مساحات عمل Analytics ، حدد مساحة العمل، ثم حدد إعدادات التشخيص .

    لقطة شاشة لإعدادات التشخيص مساحة عمل Log Analytics.

قالب إدارة الموارد

يمكنك الحصول على نموذج لـ Azure Resource Manager من إعداد التشخيص لمساحة عمل تحليلات السجل .

بيانات التدقيق

يتم إنشاء سجل تدقيق في كل مرة يتم فيها تشغيل استعلام. إذا أرسلت البيانات إلى مساحة عمل Log Analytics، فسيتم تخزينها في جدول يسمى LAQueryLogs. يصف الجدول التالي الخصائص في كل سجل من بيانات التدقيق.

الحقل ‏‏الوصف
TimeGenerated وقت UTC عندما تم تقديم الاستعلام.
CorrelationId معرف فريد لتحديد الاستعلام. يمكن استخدامها في سيناريوهات استكشاف الأخطاء وإصلاحها عند الاتصال بـ Microsoft للحصول على المساعدة.
AADObjectId معرف Microsoft Entra لحساب المستخدم الذي بدأ الاستعلام.
AADTenantId معرف مستأجر حساب المستخدم الذي بدأ الاستعلام.
AADEmail البريد الإلكتروني الخاص بمستأجر حساب المستخدم الذي بدأ الاستعلام.
AADClientId المعرف والاسم الذي تم حله للتطبيق المستخدم لبدء الاستعلام.
RequestClientApp تم حل اسم التطبيق المستخدم لبدء الاستعلام. لمزيد من المعلومات، راجع طلب تطبيق العميل.
QueryTimeRangeStart بدء النطاق الزمني المحدد للاستعلام. قد لا يتم ملء هذا في سيناريوهات معينة مثل وقت بدء الاستعلام من سجل التحليلات، ويتم تحديد النطاق الزمني داخل الاستعلام بدلاً من منتقي الوقت.
QueryTimeRangeEnd نهاية النطاق الزمني المحدد للاستعلام. قد لا يتم ملء هذا في سيناريوهات معينة مثل وقت بدء الاستعلام من سجل التحليلات، ويتم تحديد النطاق الزمني داخل الاستعلام بدلاً من منتقي الوقت.
نص الاستعلام نص الاستعلام الذي تم تشغيله.
RequestTarget تم استخدام URL API لإرسال الاستعلام.
RequestContext قائمة الموارد التي طلب الاستعلام تشغيلها. يحتوي على ما يصل إلى ثلاث مصفوفات سلاسل: مساحات العمل والتطبيقات والموارد. ستظهر الاستعلامات التي تستهدف مجموعة الموارد أو الاشتراكات على أنها موارد . يتضمن الهدف ضمنياً من قبل RequestTarget.
سيتم تضمين معرف المورد لكل مورد إذا كان يمكن حله. قد لا يمكن حلها إذا تم إرجاع خطأ في الوصول إلى المورد. في هذه الحالة، سيتم استخدام النص المحدد من الاستعلام.
إذا كان الاستعلام يستخدم اسماً غامضاً، مثل اسم مساحة عمل موجود في اشتراكات متعددة، فسيتم استخدام هذا الاسم الغامض.
RequestContextFilters مجموعة عوامل التصفية المحددة كجزء من استدعاء الاستعلام. يتضمن ما يصل إلى ثلاثة صفائف سلسلة ممكنة:
- ResourceTypes - نوع المورد للحد من نطاق الاستعلام
- مساحات العمل - قائمة مساحات العمل لحصر الاستعلام عليها
- WorkspaceRegions - قائمة مناطق مساحة العمل للحد من الاستعلام
ResponseCode تم إرجاع رمز استجابة HTTP عند تقديم الاستعلام.
ResponseDurationMs حان وقت رد الفعل.
ResponseRowCount إجمالي عدد الصفوف التي تم إرجاعها بواسطة الاستعلام.
StatsCPUTimeMs إجمالي وقت الحوسبة المستخدم للحوسبة والتحليل وجلب البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.
StatsDataProcessedKB مقدار البيانات التي تم الوصول إليها لمعالجة الاستعلام. يتأثر بحجم الجدول الهدف، والفترة الزمنية المستخدمة، وعوامل التصفية المطبقة، وعدد الأعمدة المشار إليها. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.
StatsDataProcessedStart وقت أقدم البيانات التي تم الوصول إليها لمعالجة الاستعلام. تأثرت بالاستعلام عن النطاق الزمني وعوامل التصفية المطبقة. قد يكون هذا أكبر من النطاق الزمني الصريح بسبب تقسيم البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.
StatsDataProcessedEnd وقت أحدث البيانات التي تم الوصول إليها لمعالجة الاستعلام. تأثرت بالاستعلام عن النطاق الزمني وعوامل التصفية المطبقة. قد يكون هذا أكبر من النطاق الزمني الصريح بسبب تقسيم البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.
StatsWorkspaceCount عدد مساحات العمل التي تم الوصول إليها بواسطة الاستعلام. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.
StatsRegionCount عدد المناطق التي تم الوصول إليها بواسطة الاستعلام. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200.

طلب تطبيق العميل

RequestClientApp ‏‏الوصف
AAPBI تكامل Log Analytics مع Power BI.
AppAnalytics تجارب Log Analytics في مدخل Microsoft Azure.
AppInsightsPortalExtension المصنفات أو رؤى التطبيق.
ASC_Portal Microsoft Defender for Cloud.
ASI_Portal الحارس.
AzureAutomation أتمتة Azure.
AzureMonitorLogsConnector موصل سجلات Azure Monitor.
csharpsdk واجهة برمجة تطبيقات استعلام Log Analytics.
مسودة-مراقبة سجل إنشاء تنبيه البحث في مدخل Microsoft Azure.
Grafana موصل Grafana.
IbizaExtension تجارب Log Analytics في مدخل Microsoft Azure.
infraInsights/container نتائج تحليلات الحاوية.
infraInsights/vm نتائج تحليلات الجهاز الظاهري.
LogAnalyticsExtension لوحة معلومات Azure.
LogAnalyticsPSClient واجهة برمجة تطبيقات استعلام Log Analytics.
OmsAnalyticsPBI تكامل Log Analytics مع Power BI.
PowerBIConnector تكامل Log Analytics مع Power BI.
Sentinel-Investigation-Queries الحارس.
Sentinel-DataCollectionAggregator الحارس.
Sentinel-analyticsManagement-customerQuery الحارس.
‏‏غير معروف واجهة برمجة تطبيقات استعلام Log Analytics.
إدارة التحديث إدارة التحديثات.

الاعتبارات

  • يتم تسجيل الاستعلامات فقط عند تنفيذها في سياق مستخدم. لن يتم تسجيل أي خدمة إلى خدمة داخل Azure. المجموعتان الأساسيتان من الاستعلامات التي يشملها هذا الاستثناء هي حسابات الفواتير وتنفيذ التنبيهات الآلية. في حالة التنبيهات، لن يتم تسجيل استعلام التنبيه المجدول نفسه فقط؛ يتم تنفيذ التنفيذ الأولي للتنبيه في شاشة إنشاء التنبيه في سياق المستخدم، وسيكون متاحا لأغراض التدقيق.
  • لا تتوفر إحصائيات الأداء للاستعلامات الواردة من وكيل Azure Data Explorer. سيستمر ملء جميع البيانات الأخرى لطلبات البحث هذه.
  • لن يكون للتلميح h على السلاسل التي تعتيم القيم الحرفية للسلسلة تأثير على سجلات تدقيق الاستعلام. سيتم التقاط الاستعلامات تماماً كما تم إرسالها دون أن يتم التشويش على السلسلة. يجب عليك التأكد من أن المستخدمين الذين لديهم حقوق امتثال لرؤية هذه البيانات هم فقط القادرون على القيام بذلك باستخدام أوضاع Kubernetes RBAC أو Azure RBAC المتنوعة المتاحة في مساحات عمل سجل التحليلات.
  • بالنسبة إلى الاستعلامات التي تتضمن بيانات من مساحات عمل متعددة، سيتم تسجيل الاستعلام فقط في مساحات العمل التي يمتلك المستخدم حق الوصول إليها.

التكاليف

لا توجد تكلفة ل Azure Diagnostic Extension، ولكن قد تتحمل رسوما مقابل البيانات التي تم تناولها. تحقق من تسعير Azure Monitor للوجهة التي تجمع فيها البيانات.

الخطوات التالية