Standardní sloupce v protokolech služby Azure Monitor

Data v protokolech služby Azure Monitor se ukládají jako sada záznamů v pracovním prostoru služby Log Analytics nebo v aplikaci Přehledy aplikace, přičemž každý z nich má konkrétní datový typ, který má jedinečnou sadu sloupců. Mnoho datových typů bude mít standardní sloupce, které jsou společné pro více typů. Tento článek popisuje tyto sloupce a poskytuje příklady jejich použití v dotazech.

Aplikace založené na pracovních prostorech v aplikaci Přehledy ukládají svá data do pracovního prostoru služby Log Analytics a používají stejné standardní sloupce jako ostatní tabulky v pracovním prostoru. Klasické aplikace ukládají svá data samostatně a mají různé standardní sloupce, jak je uvedeno v tomto článku.

Poznámka:

Některé ze standardních sloupců se v zobrazení schématu ani v IntelliSense v Log Analytics nezobrazí a nezobrazí se ve výsledcích dotazu, pokud explicitně nezadáte sloupec ve výstupu.

TenantId

Sloupec TenantId obsahuje ID pracovního prostoru pro pracovní prostor služby Log Analytics.

TimeGenerated

Sloupec TimeGenerated obsahuje datum a čas vytvoření záznamu zdrojem dat. Další podrobnosti najdete v tématu Čas příjmu dat protokolů ve službě Azure Monitor .

TimeGenerated poskytuje společný sloupec, který se používá k filtrování nebo sumarizaci podle času. Když vyberete časový rozsah zobrazení nebo řídicího panelu na webu Azure Portal, použije k filtrování výsledků TimeGenerated .

Poznámka:

Tabulky podporující klasickou aplikaci Přehledy prostředky používají místo sloupce TimeGenerated sloupec Časové razítko.

Poznámka:

Hodnota TimeGenerated nemůže být starší než 2 dny před přijatým časem nebo více než den v budoucnu. Pokud je v nějaké situaci hodnota starší než 2 dny nebo více než den v budoucnu, bude nahrazena skutečným časem přijetí.

Příklady

Následující dotaz vrátí počet chybových událostí vytvořených pro každý den v předchozím týdnu.

Event
| where EventLevelName == "Error" 
| where TimeGenerated between(startofweek(ago(7days))..endofweek(ago(7days))) 
| summarize count() by bin(TimeGenerated, 1day) 
| sort by TimeGenerated asc 

_TimeReceived

Sloupec _TimeReceived obsahuje datum a čas přijetí záznamu bodem příjmu služby Azure Monitor v cloudu Azure. To může být užitečné pro identifikaci problémů s latencí mezi zdrojem dat a cloudem. Příkladem může být problém se sítí, který způsobuje zpoždění při odesílání dat z agenta. Další podrobnosti najdete v tématu Čas příjmu dat protokolů ve službě Azure Monitor .

Poznámka:

Sloupec _TimeReceived se vypočítá při každém použití. Tento proces je náročný na prostředky. Nepoužívejte ho k filtrování velkého počtu záznamů. Opakované použití této funkce může vést ke zvýšení doby trvání provádění dotazů.

Následující dotaz poskytuje průměrnou latenci po hodinách pro záznamy událostí z agenta. To zahrnuje čas od agenta do cloudu a celkovou dobu, po které má záznam být dostupný pro dotazy protokolu.

Event
| where TimeGenerated > ago(1d) 
| project TimeGenerated, TimeReceived = _TimeReceived, IngestionTime = ingestion_time() 
| extend AgentLatency = toreal(datetime_diff('Millisecond',TimeReceived,TimeGenerated)) / 1000
| extend TotalLatency = toreal(datetime_diff('Millisecond',IngestionTime,TimeGenerated)) / 1000
| summarize avg(AgentLatency), avg(TotalLatency) by bin(TimeGenerated,1hr)

Typ

Sloupec Typ obsahuje název tabulky, ze které byl záznam načten, ze kterého lze také považovat za typ záznamu. Tento sloupec je užitečný v dotazech, které kombinují záznamy z více tabulek, například těch, které používají search operátor, k rozlišení záznamů různých typů. $table lze v některých dotazech použít místo typu.

Poznámka:

Tabulky podporující klasickou aplikaci Přehledy prostředky používají sloupec itemType místo sloupce Typ.

Příklady

Následující dotaz vrátí počet záznamů podle typu shromažďovaného za poslední hodinu.

search * 
| where TimeGenerated > ago(1h)
| summarize count() by Type

_Itemid

Sloupec _ItemId obsahuje jedinečný identifikátor záznamu.

_ResourceId

Sloupec _ResourceId obsahuje jedinečný identifikátor prostředku, ke kterému je záznam přidružený. Tím získáte standardní sloupec, který můžete použít k určení rozsahu dotazu jenom na záznamy z konkrétního prostředku nebo ke spojení souvisejících dat mezi více tabulkami.

U prostředků Azure je hodnota _ResourceId adresa URL ID prostředku Azure. Sloupec je omezený na prostředky Azure, včetně prostředků Azure Arc , nebo na vlastní protokoly, které během příjmu dat označily ID prostředku.

Poznámka:

Některé datové typy už obsahují pole, která obsahují ID prostředku Azure nebo alespoň jeho části, jako je ID předplatného. I když jsou tato pole udržována kvůli zpětné kompatibilitě, doporučujeme použít _ResourceId k provádění křížové korelace, protože bude konzistentnější.

Příklady

Následující dotaz spojuje údaje o výkonu a událostech pro každý počítač. Zobrazuje všechny události s ID 101 a využitím procesoru nad 50 %.

Perf 
| where CounterName == "% User Time" and CounterValue  > 50 and _ResourceId != "" 
| join kind=inner (     
    Event 
    | where EventID == 101 
) on _ResourceId

Následující dotaz spojí záznamy AzureActivity s záznamy SecurityEvent . Zobrazuje všechny operace aktivit s uživateli, kteří byli přihlášeni k těmto počítačům.

AzureActivity 
| where  
    OperationName in ("Restart Virtual Machine", "Create or Update Virtual Machine", "Delete Virtual Machine")  
    and ActivityStatus == "Succeeded"  
| join kind= leftouter (    
   SecurityEvent 
   | where EventID == 4624  
   | summarize LoggedOnAccounts = makeset(Account) by _ResourceId 
) on _ResourceId  

Následující dotaz analyzuje _ResourceId a agreguje fakturované datové svazky na skupinu prostředků Azure.

union withsource = tt * 
| where _IsBillable == true 
| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   
| summarize Bytes=sum(_BilledSize) by resourceGroup | sort by Bytes nulls last 

Tyto union withsource = tt * dotazy používejte střídmě, protože provádění kontrol napříč datovými typy je nákladné.

Vždy je efektivnější použít sloupec _SubscriptionId, než ho extrahovat parsováním sloupce _ResourceId.

_SubscriptionId

Sloupec _SubscriptionId obsahuje ID předplatného prostředku, ke kterému je záznam přidružený. Tím získáte standardní sloupec, který můžete použít k určení rozsahu dotazu jenom na záznamy z konkrétního předplatného nebo porovnat různá předplatná.

U prostředků Azure je hodnota __SubscriptionId součástí předplatného adresy URL ID prostředku Azure. Sloupec je omezený na prostředky Azure, včetně prostředků Azure Arc , nebo na vlastní protokoly, které během příjmu dat označily ID předplatného.

Poznámka:

Některé datové typy již mají pole, která obsahují ID předplatného Azure . I když jsou tato pole udržována kvůli zpětné kompatibilitě, doporučujeme použít sloupec _SubscriptionId k provádění křížové korelace, protože bude konzistentnější.

Příklady

Následující dotaz zkoumá údaje o výkonu pro počítače konkrétního předplatného.

Perf 
| where TimeGenerated > ago(24h) and CounterName == "memoryAllocatableBytes"
| where _SubscriptionId == "ebb79bc0-aa86-44a7-8111-cabbe0c43993"
| summarize avgMemoryAllocatableBytes = avg(CounterValue) by Computer

Následující dotaz analyzuje _ResourceId a agreguje fakturované datové svazky na předplatné Azure.

union withsource = tt * 
| where _IsBillable == true 
| summarize Bytes=sum(_BilledSize) by _SubscriptionId | sort by Bytes nulls last 

Tyto union withsource = tt * dotazy používejte střídmě, protože provádění kontrol napříč datovými typy je nákladné.

_IsBillable

Sloupec _IsBillable určuje, jestli se ingestovaná data považují za fakturovatelná. U dat s _IsBillable , která false se rovnají, se neúčtují poplatky za příjem dat, uchovávání nebo archivaci.

Příklady

Pokud chcete získat seznam počítačů odesílaných fakturovanými datovými typy, použijte následující dotaz:

Poznámka:

Použití dotazů s union withsource = tt * střídmým způsobem jako prohledávání napříč datovými typy je nákladné provést.

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Můžete ho rozšířit, aby se vrátil počet počítačů za hodinu, které odesílají fakturované datové typy:

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

_BilledSize

Sloupec _BilledSize určuje velikost v bajtech dat, která se budou účtovat vašemu účtu Azure, pokud _IsBillable je pravdivá. Další informace o způsobu výpočtu fakturované velikosti najdete v výpočtu velikosti dat.

Příklady

Pokud chcete zobrazit velikost fakturovatelných událostí přijatých na počítač, použijte _BilledSize sloupec, který poskytuje velikost v bajtech:

union withsource = tt * 
| where _IsBillable == true 
| summarize Bytes=sum(_BilledSize) by  Computer | sort by Bytes nulls last 

Pokud chcete zobrazit velikost fakturovatelných událostí přijatých na předplatné, použijte následující dotaz:

union withsource=table * 
| where _IsBillable == true 
| summarize Bytes=sum(_BilledSize) by  _SubscriptionId | sort by Bytes nulls last 

Pokud chcete zobrazit velikost fakturovatelných událostí přijatých pro každou skupinu prostředků, použijte následující dotaz:

union withsource=table * 
| where _IsBillable == true 
| parse _ResourceId with "/subscriptions/" SubscriptionId "/resourcegroups/" ResourceGroupName "/" *
| summarize Bytes=sum(_BilledSize) by  _SubscriptionId, ResourceGroupName | sort by Bytes nulls last 

Pokud chcete zobrazit počet přijatých událostí na počítač, použijte následující dotaz:

union withsource = tt *
| summarize count() by Computer | sort by count_ nulls last

Pokud chcete zobrazit počet fakturovatelných událostí přijatých na počítač, použijte následující dotaz:

union withsource = tt * 
| where _IsBillable == true 
| summarize count() by Computer  | sort by count_ nulls last

Pokud chcete zobrazit počet fakturovatelných datových typů z konkrétního počítače, použijte následující dotaz:

union withsource = tt *
| where Computer == "computer name"
| where _IsBillable == true 
| summarize count() by tt | sort by count_ nulls last 

Další kroky

• Přečtěte si další informace o ukládání dat protokolu služby Azure Monitor.
• Získejte lekci o psaní dotazů protokolu.
• Získejte lekci o spojování tabulek v dotazech protokolu.