استعلامات التدقيق في Azure Monitor Logs
تفاصيل سجلات تدقيق استعلام السجل التي توفر بيانات تتبع الاستخدام حول استعلامات السجل التي يتم تشغيلها في Azure Monitor. يتضمن ذلك معلومات مثل عند تشغيل الاستعلام، ومن قام بتشغيله، والأداة المستخدمة، ونص الاستعلام، وإحصائيات الأداء التي تصف تنفيذ الاستعلام.
تكوين تدقيق الاستعلام
يتم تمكين تدقيق الاستعلام بواسطة إعداد تشخيصي على مساحة عمل Log Analytics. يتيح لك ذلك إرسال بيانات التدقيق إلى مساحة العمل الحالية أو أي مساحة عمل أخرى في اشتراكك، إلى مراكز الأحداث في Azure لإرسالها خارج Azure، أو إلى Azure Storage للأرشفة.
مدخل Azure
قم بالوصول إلى إعداد التشخيص لمساحة عمل Log Analytics في مدخل Microsoft Azure في أي من المواقع التالية:
من القائمة Azure Monitor، حدد إعدادات التشخيص، ثم حدد موقع مساحة العمل وحددها.
من القائمة تسجيل مساحات عمل Analytics ، حدد مساحة العمل، ثم حدد إعدادات التشخيص .
قالب إدارة الموارد
يمكنك الحصول على نموذج لـ Azure Resource Manager من إعداد التشخيص لمساحة عمل تحليلات السجل .
بيانات التدقيق
يتم إنشاء سجل تدقيق في كل مرة يتم فيها تشغيل استعلام. إذا أرسلت البيانات إلى مساحة عمل Log Analytics، فسيتم تخزينها في جدول يسمى LAQueryLogs. يصف الجدول التالي الخصائص في كل سجل من بيانات التدقيق.
| الحقل | الوصف |
|---|---|
| TimeGenerated | وقت UTC عندما تم تقديم الاستعلام. |
| CorrelationId | معرف فريد لتحديد الاستعلام. يمكن استخدامها في سيناريوهات استكشاف الأخطاء وإصلاحها عند الاتصال بـ Microsoft للحصول على المساعدة. |
| AADObjectId | معرف Microsoft Entra لحساب المستخدم الذي بدأ الاستعلام. |
| AADTenantId | معرف مستأجر حساب المستخدم الذي بدأ الاستعلام. |
| AADEmail | البريد الإلكتروني الخاص بمستأجر حساب المستخدم الذي بدأ الاستعلام. |
| AADClientId | المعرف والاسم الذي تم حله للتطبيق المستخدم لبدء الاستعلام. |
| RequestClientApp | تم حل اسم التطبيق المستخدم لبدء الاستعلام. لمزيد من المعلومات، راجع طلب تطبيق العميل. |
| QueryTimeRangeStart | بدء النطاق الزمني المحدد للاستعلام. قد لا يتم ملء هذا في سيناريوهات معينة مثل وقت بدء الاستعلام من سجل التحليلات، ويتم تحديد النطاق الزمني داخل الاستعلام بدلاً من منتقي الوقت. |
| QueryTimeRangeEnd | نهاية النطاق الزمني المحدد للاستعلام. قد لا يتم ملء هذا في سيناريوهات معينة مثل وقت بدء الاستعلام من سجل التحليلات، ويتم تحديد النطاق الزمني داخل الاستعلام بدلاً من منتقي الوقت. |
| نص الاستعلام | نص الاستعلام الذي تم تشغيله. |
| RequestTarget | تم استخدام URL API لإرسال الاستعلام. |
| RequestContext | قائمة الموارد التي طلب الاستعلام تشغيلها. يحتوي على ما يصل إلى ثلاث مصفوفات سلاسل: مساحات العمل والتطبيقات والموارد. ستظهر الاستعلامات التي تستهدف مجموعة الموارد أو الاشتراكات على أنها موارد . يتضمن الهدف ضمنياً من قبل RequestTarget. سيتم تضمين معرف المورد لكل مورد إذا كان يمكن حله. قد لا يمكن حلها إذا تم إرجاع خطأ في الوصول إلى المورد. في هذه الحالة، سيتم استخدام النص المحدد من الاستعلام. إذا كان الاستعلام يستخدم اسماً غامضاً، مثل اسم مساحة عمل موجود في اشتراكات متعددة، فسيتم استخدام هذا الاسم الغامض. |
| RequestContextFilters | مجموعة عوامل التصفية المحددة كجزء من استدعاء الاستعلام. يتضمن ما يصل إلى ثلاثة صفائف سلسلة ممكنة: - ResourceTypes - نوع المورد للحد من نطاق الاستعلام - مساحات العمل - قائمة مساحات العمل لحصر الاستعلام عليها - WorkspaceRegions - قائمة مناطق مساحة العمل للحد من الاستعلام |
| ResponseCode | تم إرجاع رمز استجابة HTTP عند تقديم الاستعلام. |
| ResponseDurationMs | حان وقت رد الفعل. |
| ResponseRowCount | إجمالي عدد الصفوف التي تم إرجاعها بواسطة الاستعلام. |
| StatsCPUTimeMs | إجمالي وقت الحوسبة المستخدم للحوسبة والتحليل وجلب البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
| StatsDataProcessedKB | مقدار البيانات التي تم الوصول إليها لمعالجة الاستعلام. يتأثر بحجم الجدول الهدف، والفترة الزمنية المستخدمة، وعوامل التصفية المطبقة، وعدد الأعمدة المشار إليها. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
| StatsDataProcessedStart | وقت أقدم البيانات التي تم الوصول إليها لمعالجة الاستعلام. تأثرت بالاستعلام عن النطاق الزمني وعوامل التصفية المطبقة. قد يكون هذا أكبر من النطاق الزمني الصريح بسبب تقسيم البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
| StatsDataProcessedEnd | وقت أحدث البيانات التي تم الوصول إليها لمعالجة الاستعلام. تأثرت بالاستعلام عن النطاق الزمني وعوامل التصفية المطبقة. قد يكون هذا أكبر من النطاق الزمني الصريح بسبب تقسيم البيانات. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
| StatsWorkspaceCount | عدد مساحات العمل التي تم الوصول إليها بواسطة الاستعلام. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
| StatsRegionCount | عدد المناطق التي تم الوصول إليها بواسطة الاستعلام. يتم ملؤها فقط إذا عاد الاستعلام برمز الحالة 200. |
طلب تطبيق العميل
| RequestClientApp | الوصف |
|---|---|
| AAPBI | تكامل Log Analytics مع Power BI. |
| AppAnalytics | تجارب Log Analytics في مدخل Microsoft Azure. |
| AppInsightsPortalExtension | المصنفات أو رؤى التطبيق. |
| ASC_Portal | Microsoft Defender for Cloud. |
| ASI_Portal | الحارس. |
| AzureAutomation | أتمتة Azure. |
| AzureMonitorLogsConnector | موصل سجلات Azure Monitor. |
| csharpsdk | واجهة برمجة تطبيقات استعلام Log Analytics. |
| مسودة-مراقبة | سجل إنشاء تنبيه البحث في مدخل Microsoft Azure. |
| Grafana | موصل Grafana. |
| IbizaExtension | تجارب Log Analytics في مدخل Microsoft Azure. |
| infraInsights/container | نتائج تحليلات الحاوية. |
| infraInsights/vm | نتائج تحليلات الجهاز الظاهري. |
| LogAnalyticsExtension | لوحة معلومات Azure. |
| LogAnalyticsPSClient | واجهة برمجة تطبيقات استعلام Log Analytics. |
| OmsAnalyticsPBI | تكامل Log Analytics مع Power BI. |
| PowerBIConnector | تكامل Log Analytics مع Power BI. |
| Sentinel-Investigation-Queries | الحارس. |
| Sentinel-DataCollectionAggregator | الحارس. |
| Sentinel-analyticsManagement-customerQuery | الحارس. |
| غير معروف | واجهة برمجة تطبيقات استعلام Log Analytics. |
| إدارة التحديث | إدارة التحديثات. |
الاعتبارات
- يتم تسجيل الاستعلامات فقط عند تنفيذها في سياق مستخدم. لن يتم تسجيل أي خدمة إلى خدمة داخل Azure. المجموعتان الأساسيتان من الاستعلامات التي يشملها هذا الاستثناء هي حسابات الفواتير وتنفيذ التنبيهات الآلية. في حالة التنبيهات، لن يتم تسجيل استعلام التنبيه المجدول نفسه فقط؛ يتم تنفيذ التنفيذ الأولي للتنبيه في شاشة إنشاء التنبيه في سياق المستخدم، وسيكون متاحا لأغراض التدقيق.
- لا تتوفر إحصائيات الأداء للاستعلامات الواردة من وكيل Azure Data Explorer. سيستمر ملء جميع البيانات الأخرى لطلبات البحث هذه.
- لن يكون للتلميح h على السلاسل التي تعتيم القيم الحرفية للسلسلة تأثير على سجلات تدقيق الاستعلام. سيتم التقاط الاستعلامات تماماً كما تم إرسالها دون أن يتم التشويش على السلسلة. يجب عليك التأكد من أن المستخدمين الذين لديهم حقوق امتثال لرؤية هذه البيانات هم فقط القادرون على القيام بذلك باستخدام أوضاع Kubernetes RBAC أو Azure RBAC المتنوعة المتاحة في مساحات عمل سجل التحليلات.
- بالنسبة إلى الاستعلامات التي تتضمن بيانات من مساحات عمل متعددة، سيتم تسجيل الاستعلام فقط في مساحات العمل التي يمتلك المستخدم حق الوصول إليها.
التكاليف
لا توجد تكلفة ل Azure Diagnostic Extension، ولكن قد تتحمل رسوما مقابل البيانات التي تم تناولها. تحقق من تسعير Azure Monitor للوجهة التي تجمع فيها البيانات.
الخطوات التالية
- تعرّف على المزيد حول الإعدادات التشخيصية.
- تعرف على المزيد حول تحسين استعلامات السجل.