Agregar datos en un área de trabajo de Log Analytics mediante reglas de resumen

Una regla de resumen le permite agregar datos de registro a una cadencia regular y enviar los resultados agregados a una tabla de registro personalizada en el área de trabajo de Log Analytics. Use reglas de resumen para optimizar los datos para:

Análisis e informes, especialmente sobre grandes conjuntos de datos y intervalos de tiempo, por ejemplo, análisis de seguridad e incidentes o informes empresariales mensuales y anuales. Las consultas complejas en un conjunto de datos de gran tamaño suelen agotar el tiempo de espera. Es más fácil y eficaz analizar e informar sobre los datos resumidos limpios y agregados.
Ahorro de costes en registros detallados, que puede conservar durante el tiempo que necesite en una tabla Basic de bajo coste, mientras envía datos resumidos a una tabla Analytics para analizarlos y generar informes.
Seguridad y privacidad de datos mediante la eliminación o ofuscación de los detalles de privacidad en los datos que se pueden compartir resumidos y limitando el acceso a las tablas con datos sin procesar.

En este artículo se describe cómo funcionan las reglas de resumen y cómo definir y ver las reglas de resumen, y se proporcionan algunos ejemplos del uso y las ventajas de las reglas de resumen.

Este es un vídeo que proporciona información general sobre algunas de las ventajas de las reglas de resumen:

Funcionamiento de las reglas de resumen

Las reglas de resumen realizan el procesamiento por lotes directamente en el área de trabajo de Log Analytics. La regla de resumen agrega fragmentos de datos, definidos por tamaño de rango, en función de una consulta KQL y vuelve a analizar los resultados resumidos en una tabla personalizada con un Plan de registro de Analytics en el área de trabajo de Log Analytics.

Las reglas de resumen agregan datos de cualquier tabla, independientemente de si la tabla tiene un plan de datos de Análisis o Básico. Azure Monitor crea el esquema de tabla de destino en función de la consulta que defina. Si la tabla de destino ya existe, Azure Monitor anexa las columnas necesarias para admitir los resultados de la consulta. Todas las tablas de destino también incluyen un conjunto de campos estándar con información de regla de resumen, entre las que se incluyen:

_RuleName: regla de resumen que generó la entrada de registro agregada.
_RuleLastModifiedTime: cuando se modificó por última vez la regla.
_BinSize: intervalo de agregación.
_BinStartTime: hora de inicio de la agregación.

Configure hasta 100 reglas activas para agregar datos de varias tablas y enviar los datos agregados a tablas de destino independientes o a la misma tabla.

Para exportar datos resumidos de una tabla de registro personalizada a una cuenta de almacenamiento o Event Hubs para realizar integraciones adicionales, defina una regla de exportación de datos.

Ejemplo: Resumir datos containerLogV2

Si va a supervisar contenedores, ingiere un gran volumen de registros detallados en la tabla ContainerLogV2.

Puede utilizar esta consulta en su regla de resumen para agregar registros únicos en un intervalo de 60 minutos y enviar a la tabla de destino solo los datos útiles para el análisis:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Estos son los datos sin procesar de la tabla ContainerLogV2 :

Estos son los datos agregados que envía la regla de resumen a la tabla de destino:

En lugar de registrar cientos de entradas similares en un plazo de una hora, la tabla de destino muestra el recuento de cada entrada única, tal como se define en la consulta KQL. Establezca el plan de datos básico en la ContainerLogV2 tabla para la retención de bajo costo de los datos sin procesar y use los datos resumidos en la tabla de destino para sus necesidades de análisis.

Permisos necesarios

Acción	Permisos necesarios
Crear o actualizar regla de resumen	`Microsoft.Operationalinsights/workspaces/summarylogs/write` permisos para el área de trabajo de Log Analytics, tal y como lo proporciona el rol integrado de Log Analytics Contributor, por ejemplo
Crear o actualizar la tabla de destino	`Microsoft.OperationalInsights/workspaces/tables/write` permisos para el área de trabajo de Log Analytics, tal y como lo proporciona el rol integrado de Log Analytics Contributor, por ejemplo
Habilitación de la operación de consulta en el área de trabajo	Los permisos `Microsoft.OperationalInsights/workspaces/query/read` del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo
Consultar todas las tablas del área de trabajo	Los permisos `Microsoft.OperationalInsights/workspaces/query/*/read` del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo
Consulta de registros en una tabla	Los permisos `Microsoft.OperationalInsights/workspaces/query/<table>/read` del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo
Consulta de registros en una tabla (acción de tabla)	Los permisos `Microsoft.OperationalInsights/workspaces/tables/query/read` del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo
Uso de consultas cifradas en una cuenta de almacenamiento administrada por el cliente	`Microsoft.Storage/storageAccounts/*` permisos para la cuenta de almacenamiento, tal como lo proporciona el Rol integrado Colaborador de la cuenta de almacenamiento, por ejemplo

Consideraciones sobre la implementación

El número máximo de reglas activas en un área de trabajo es 100.
Actualmente, las reglas de resumen solo están disponibles en la nube pública.
La regla de resumen procesa los datos entrantes y no permite un intervalo de tiempo histórico. Los datos solo se pueden procesar desde un pasado reciente hasta 24 horas. Esto corresponde a un máximo binSize de 1440 minutos cuando binStartTime se establece en la ventana completa de 24 horas.
No se admite crear una regla de resumen mediante una consulta que abarque otro inquilino en Lighthouse.
No se admite añadir la transformación del espacio de trabajo a la tabla de destino de una regla de resumen.
No se admite el uso union * y isfuzzy=true en las consultas de reglas de resumen.

Modelo de precios de reglas de resumen

Las reglas de resumen no conllevan ningún costo adicional. Solo paga por la consulta y la ingesta de resultados en la tabla de destino, en función del plan de tabla de la tabla de origen en la que se ejecuta la consulta:

Plan de la tabla fuente	Costo de consulta	Costo de ingesta de resultados de resumen
Análisis	Sin costo	Ingesta de registros de Analytics
Básica y auxiliar	Escaneo de datos	Ingesta de registros de Analytics

Por ejemplo, el cálculo de costos de una regla por hora que devuelve 100 registros por cubo es:

Plan de la tabla fuente	Cálculo del precio mensual
Análisis	Precio de ingesta x volumen de registro x número de registros x 24 horas x 30 días.
Básica y auxiliar	Precio de escaneo de datos x volumen escaneado + Precio de carga x volumen de registro x número de registros x 24 horas x 30 días. Para una regla que se ejecuta continuamente, todos los datos entrantes a la tabla de origen son escaneados.

Para obtener más información, consulte precios Azure Monitor.

Crear o actualizar una regla de resumen

Los operadores disponibles en la consulta de regla de resumen dependen del plan de la tabla de origen de la consulta.

Analytics: admite todos los operadores y funciones de KQL, excepto para:
- consultas entre recursos, que usan las expresiones workspaces(), app(), resource() y consultas entre servicios, que usan las expresiones ADX() y ARG().
- Complementos que vuelven a dar forma al esquema de datos, incluidos desempaquetar paquetes, estrechar y pivotar.
Básico: admite todos los operadores de KQL en una sola tabla. Combine hasta cinco tablas de Analytics mediante el operador de búsqueda .
Functions: no se admiten funciones definidas por el usuario. Se admiten las funciones del sistema proporcionadas por Microsoft.

Las reglas de resumen ofrecen los mayores beneficios en costes y consultas cuando la consulta de la regla incluye el operador summarize y el número de resultados o el volumen se reducen significativamente. Por ejemplo, apunte a un volumen de resultados de 0,01% o menos del origen. Antes de crear una regla, pruebe la consulta en Log Analytics y compruebe lo siguiente:

La consulta genera los resultados y el esquema previstos.
La consulta no alcanza ni se acerca a los límites de la API de consulta. Si la consulta está cerca de los límites establecidos, considere usar un binSize más pequeño para procesar menos datos por intervalo. Como alternativa, modifique la consulta para devolver menos registros o menos campos de gran volumen.
El tamaño del registro en los resultados es inferior a 1 MB.

Nota:

No use un filtro de tiempo en una consulta de regla de resumen porque la consulta ya funciona con el intervalo de tiempo definido por el tamaño de la bandeja. Si agrega un filtro de tiempo, se combina con el tamaño de la papelera, lo que hace que solo se use el período de tiempo superpuesto.

Al actualizar una consulta y los resultados de resumen contienen menos campos, Azure Monitor no quita automáticamente las columnas de la tabla de destino. Elimine las columnas de la tabla manualmente si es necesario.

Para crear o actualizar una regla de resumen:

En el portal Azure, vaya al área de trabajo de Log Analytics.
En el menú de la izquierda, en Configuración, seleccione Reglas de resumen.
Seleccione + Crear para crear una nueva regla de resumen.
Rellene la tabla Nombre de regla, Descripción y Destino y, a continuación, seleccione Siguiente: Establecer lógica de regla.
El paso Lógica de reglas comienza en el entorno de consultas de Log Analytics. Cree y pruebe la consulta aquí y, a continuación, aplique una vez que genere los resultados esperados.
Seleccione el valor de Resumen de ejecución cada que corresponde a binSize y ajuste otras opciones de programación según sea necesario. A continuación , seleccione Siguiente: Revisar y crear.
Revise la configuración de la regla de resumen y, a continuación, seleccione Crear.

Use el comando siguiente para crear o actualizar una regla de resumen mediante CLI de Azure. <RuleName> se convierte en la propiedad name de la regla, mientras que el valor opcional displayName es un nombre intuitivo que se muestra en Azure Portal para facilitar su identificación.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

az rest --method put --url "$url" --body @body.json

Guarde el siguiente json como body.json en el mismo directorio antes de ejecutar el comando:

{
  "properties": {
    "ruleType": "User",
    "description": "My test rule",
    "ruleDefinition": {
      "query": "StorageBlobLogs | summarize count() by AccountName",
      "binSize": 30,
      "destinationTable": "MySummaryLogs_CL"
    }
  }
}

Use el comando siguiente para crear o actualizar una regla de resumen mediante Azure PowerShell. El <RuleName> se convierte en la propiedad name de la regla, mientras que el elemento opcional displayName es un nombre descriptivo que se muestra en Azure Portal para identificarla más fácilmente.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

$body = @{
    properties = @{
        ruleType = "User"
        description = "My test rule"
        ruleDefinition = @{
            query = "StorageBlobLogs | summarize count() by AccountName"
            binSize = 30
            destinationTable = "MySummaryLogs_CL"
        }
    }
} | ConvertTo-Json -Depth 10

Invoke-AzRestMethod -Method PUT -Path $url -Payload $body

Utilice la siguiente solicitud PUT para el grupo de operaciones API de administración de registrosReglas de resumen para create or update una regla de resumen. El <RuleName> se convierte en la propiedad name de la regla, mientras que el displayName opcional es un nombre descriptivo que se muestra en el portal de Azure para facilitar su identificación.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

{
  "properties": {
    "ruleType": "User",
    "description": "My test rule",
    "ruleDefinition": {
      "query": "StorageBlobLogs | summarize count() by AccountName",
      "binSize": 30,
      "destinationTable": "MySummaryLogs_CL"
    }
  }
}

Use esta plantilla para crear o actualizar una regla de resumen. Para obtener más información sobre el uso e implementación de plantillas de Azure Resource Manager, consulte Azure Resource Manager templates. El parámetro summaryRuleName, que corresponde a la entrada <RuleName>, se convierte en la propiedad name de la regla, mientras que el displayName opcional es un nombre descriptivo que se muestra en Azure Portal para facilitar su identificación.

Crear o actualizar una plantilla de regla de resumen

Archivo de plantilla

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "displayName": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The summary rule display name when provided."
    //   }
    // },
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2025-07-01",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Archivo de parámetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "<WorkspaceName>"
    },
    "summaryRuleName": {
      "value": "<RuleName>"
    },
    "description": {
      "value": "My rule description"
    },
    "location": {
      "value": "<AzureRegion>" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Propiedades de las reglas de resumen

En esta tabla se describen los parámetros disponibles para la creación y administración de reglas de resumen.

Parámetro	Valores válidos	Descripción
`ruleType`	`User` o `System`	Especifica el tipo de regla. - `User`: reglas que defina. - `System`: reglas predefinidas administradas por servicios de Azure.
`description`	Cadena	Describe la regla y su función. Este parámetro es útil cuando tiene varias reglas y puede ayudar con la administración de reglas.
`binSize`	`20`, `30`, `60`, `120`, `180`, `360`, `720`, o `1440` (minutos)	Define el intervalo de agregación y el intervalo de tiempo de búsqueda. Por ejemplo, si establece `"binSize": 120`, puede obtener entradas para `02:00 to 04:00` y `04:00 to 06:00`.
`query`	Consulta del lenguaje de consulta Kusto (KQL)	Define la consulta que se va a ejecutar en la regla. No es necesario especificar un intervalo de tiempo porque el parámetro `binSize` determina el intervalo de agregación, por ejemplo, `02:00 to 03:00` si `"binSize": 60`. Si agrega un filtro de tiempo en la consulta, el intervalo de tiempo usado en la consulta es la intersección entre el filtro y el tamaño de la bandeja.
`destinationTable`	tablename_CL	Especifica el nombre de la tabla de registro personalizada de destino. El valor de nombre debe tener el sufijo `_CL`. Azure Monitor crea la tabla en el área de trabajo, si aún no existe, en función de la consulta establecida en la regla. Si la tabla ya existe en el área de trabajo, Azure Monitor agrega nuevas columnas introducidas en la consulta. Si los resultados de resumen incluyen un nombre de columna reservado , como `TimeGenerated`, `_IsBillable`, `_ResourceId`, `TenantId` o `Type` - Azure Monitor anexa el prefijo `_Original` a los campos originales para conservar sus valores originales.
`binDelay` (opcional)	Entero (minutos)	Establece un tiempo de espera antes de la ejecución de la bin, normalmente útil cuando se ejecuta en datos de llegada tardía, también conocidos como latencia de ingesta, y permite que la mayoría de los datos lleguen. El retraso predeterminado es de tres y medio minutos al 10 % del valor `binSize`. Si sabe que los datos que consulta normalmente se ingieren con retraso, establezca el parámetro `binDelay` con el valor de retraso conocido o superior, hasta 1440 minutos. Para obtener más información, consulte Configurar la temporización de agregación. En algunos casos, Azure Monitor podría iniciar la ejecución de la bin ligeramente después del retraso establecido para garantizar la confiabilidad del servicio y el éxito de las consultas.
`retryBinStartTime`	Datetime en Formato de `%Y-%n-%eT%H:%M %Z`	Vuelva a ejecutar un contenedor según el `retryBinStartTime` proporcionado. El resto de las definiciones de la regla se mantienen según la última actualización. El valor elegido `retryBinStartTime` debe ser posterior `RuleLastModifiedTime` y caber dentro de las divisiones de `binSize`. Por ejemplo, si la `binSize` de la regla es de 20 minutos, podría establecer `retryBinStartTime` en "2026-02-16T10:00:00Z", "2026-02-16T10:20:00Z" o "2026-02-16T10:40:00Z".
`binStartTime` (opcional)	Datetime en Formato de `%Y-%n-%eT%H:%M %Z`	Especifica la fecha y hora de la ejecución inicial del rango. El valor puede comenzar en la fecha y hora de creación de la regla menos el valor de `binSize` o más tarde y en horas completas. Por ejemplo, si la fecha y hora es `2023-12-03T12:13Z` y `binSize` es 1440, el valor de `binStartTime` válido más antiguo es `2023-12-02T13:00Z`, y la agregación incluye datos registrados entre 02T13:00 y 03T13:00. En este escenario, las reglas comienzan a agregar una 03T13:00 más el retraso predeterminado o especificado. El parámetro `binStartTime` es útil en escenarios de resumen diarios. Supongamos que usted se encuentra en la zona horaria UTC-8 y crea una regla diaria en `2023-12-03T12:13Z`. Quiere que la regla se complete antes de comenzar el día a las 8:00 (00:00 UTC). Establezca el parámetro `binStartTime` en `2023-12-02T22:00Z`. La primera agregación incluye todos los datos registrados entre 02T:06:00 y 03T:06:00 local y la regla se ejecuta al mismo tiempo diariamente. Para obtener más información, consulte Configurar la temporización de agregación. Al actualizar las reglas, elija una de las siguientes opciones: - Use el valor `binStartTime` existente o quite el parámetro `binStartTime`, en cuyo caso la ejecución continúa en función de la definición inicial. - Actualice la regla con un nuevo valor de `binStartTime` para establecer un nuevo valor de fecha y hora.
`name`	Cadena	Especifica el nombre de la regla. El nombre debe ser único en el área de trabajo y puede contener letras, números, caracteres de subrayado, guiones y puntos (sin espacios). El valor de nombre se usa en el `_RuleName` campo de la tabla de destino.
`displayName` (opcional)	Cadena	Especifica el nombre de la regla para mostrar en experiencias del portal de Azure.
`timeSelector` (opcional)	`TimeGenerated`	Define el campo de marca de tiempo que Azure Monitor usa para agregar datos. Por ejemplo, si establece `"binSize": 120`, puede obtener entradas con un valor de `TimeGenerated` entre `02:00` y `04:00`.

Configuración del tiempo de agregación

De manera predeterminada, la regla de resumen crea la primera agregación poco después de la próxima hora completa.

El breve retraso que añade Azure Monitor se debe a la latencia de ingestión, que es el tiempo que transcurre entre el momento en que se crean los datos en el sistema supervisado y el momento en que están disponibles para su análisis en Azure Monitor. De forma predeterminada, este retraso oscila entre tres minutos y medio y el 10 % del valor del tamaño del intervalo antes de agregar los datos de cada intervalo. En la mayoría de los casos, este retraso garantiza que Azure Monitor agregue todos los datos registrados dentro de cada período de rango.

Por ejemplo:

Cree una regla de resumen con un tamaño de rango de 30 minutos a las 14:44. La primera agregación se genera a las 15:04, que es la próxima hora completa más 4 minutos de retraso.
Cree una regla de resumen con un tamaño de intervalo de 720 minutos a las 14:44. La primera agregación se genera a las 16:12, que es la próxima hora completa más 72 minutos (10% del intervalo de 720).

Use los parámetros binStartTime y binDelay para cambiar la temporalización de la primera agregación y el retraso que Azure Monitor agrega antes de cada proceso de agregación.

En las secciones siguientes se proporcionan ejemplos de los intervalos de agregación predeterminados y las opciones de tiempo de agregación más avanzadas.

Uso del tiempo de agregación predeterminado

En este ejemplo, la regla de resumen se crea en 2023-06-07 a las 14:44 y Azure Monitor agrega un retraso predeterminado de cuatro minutos.

binSize (minutos)	Ejecución de regla inicial	Primera agregación	Segunda agregación
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
120	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Establecimiento de parámetros de tiempo de agregación opcionales

En este ejemplo, la regla de resumen se crea en 2023-06-07 a las 14:44 y la regla incluye estas opciones de configuración avanzadas:

binStartTime: 08-06-2023 07:00
binDelay: 8 minutos

binSize (minutos)	Ejecución de regla inicial	Primera agregación	Segunda agregación
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
120	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	08-06-20203 07:00 - 08-06-2023 08:00	08-06-2023 08:00 - 08-06-2023 09:00
30	2023-06-08 07:38	08-06-2023 07:00 - 08-06-2023 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Ver todas las reglas de resumen

Vea o enumere todas las reglas de resumen del área de trabajo. La displayName propiedad de la regla de resumen visible en el portal de Azure es diferente de la name propiedad usada en las llamadas API, especialmente si se creó a través del portal. La name propiedad es el identificador único de la regla y se usa en llamadas API para administrar la regla, mientras que displayName es un nombre descriptivo que se muestra en el portal de Azure para facilitar la identificación.

En el portal Azure, vaya al área de trabajo de Log Analytics.
En el menú de la izquierda, en Configuración>Reglas de resumen.
Agregue Filter para ajustar las reglas de resumen que se muestran.

Use el comando siguiente para ver todas las reglas de resumen mediante CLI de Azure.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs?api-version=$apiVersion"

az rest --method get --url "$url"

Use el comando siguiente para ver todas las reglas de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs?api-version=$apiVersion"

Invoke-AzRestMethod -Method GET -Path $url

Use la siguiente GET solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para view todas las reglas de resumen.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

Visualización de una regla de resumen

Vea o actualice la configuración de una regla de resumen específica.

En el portal de Azure, para ver los detalles de una regla de resumen específica, debe seleccionar Editar.

En el menú de la izquierda, en Configuración, seleccione Reglas de resumen.
Seleccione los puntos suspensivos (...) junto a la regla de resumen que desea ver en la lista.
Seleccione Editar para ver la configuración de la regla de resumen.
Seleccione Siguiente: Establezca la lógica de regla para ver la consulta usada en la regla de resumen.

Use el comando siguiente para ver una regla de resumen mediante CLI de Azure. <RuleName> es la name propiedad de la regla, mientras que displayName es un nombre descriptivo que se muestra en el portal de Azure para facilitar la identificación.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

az rest --method get --url "$url"

Use el comando siguiente para ver una regla de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

Invoke-AzRestMethod -Method GET -Path $url

Use la siguiente GET solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para view crear una regla de resumen.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

Detener una regla de resumen

Detenga una regla durante un período de tiempo. Un ejemplo de caso de uso es si desea comprobar que los datos se cargan en una tabla sin afectar a la tabla de resumen ni a los informes.

Para detener una regla:

En el menú de la izquierda, en Configuración, seleccione Reglas de resumen.
Seleccione el icono de puntos suspensivos (...) situado junto a la regla de resumen de la lista que desea ver.
Seleccione Detener y confirme los cambios de estado en Inactivo.

Use el comando siguiente para detener una regla de resumen mediante CLI de Azure.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName/stop?api-version=$apiVersion"

az rest --method post --url "$url"

Use el comando siguiente para detener una regla de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName/stop?api-version=$apiVersion"

Invoke-AzRestMethod -Method POST -Path $url

Use la siguiente POST solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para stop crear una regla de resumen.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}/stop?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

Iniciar una regla de resumen

Al reiniciar la regla, Azure Monitor comienza a procesar datos desde la próxima hora completa o en función del parámetro definido binStartTime (opcional).

Para iniciar una regla:

En el menú de la izquierda, en Configuración, seleccione Reglas de resumen.
Seleccione el icono de puntos suspensivos (...) situado junto a la regla de resumen de la lista que desea ver.
Seleccione Iniciar y confirme los cambios de estado en Activo.

Use el comando siguiente para iniciar una regla de resumen mediante CLI de Azure.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName/start?api-version=$apiVersion"

az rest --method post --url "$url"

Use el comando siguiente para iniciar una regla de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName/start?api-version=$apiVersion"

Invoke-AzRestMethod -Method POST -Path $url

Use la siguiente POST solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para start crear una regla de resumen.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}/start?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

Eliminación de una regla de resumen

Un área de trabajo de Log Analytics admite hasta 100 reglas de resumen activas. Si ya tiene 100 reglas activas y desea crear una nueva, primero debe detener o eliminar una regla de resumen activa.

Para eliminar una regla:

En el menú de la izquierda, en Configuración, seleccione Reglas de resumen.
Seleccione el icono de puntos suspensivos (...) situado junto a la regla de resumen de la lista que desea ver.
Seleccione Eliminar.

Use el comando siguiente para eliminar una regla de resumen mediante CLI de Azure.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

az rest --method delete --url "$url"

Use el comando siguiente para eliminar una regla de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

Invoke-AzRestMethod -Method DELETE -Path $url

Use la siguiente DELETE solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para delete crear una regla de resumen.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

Supervisión de reglas de resumen

Para supervisar las reglas de resumen, habilite la categoría Summary Logs en la configuración de diagnóstico del área de trabajo de Log Analytics. Azure Monitor envía detalles de ejecución de reglas de resumen, incluida la ejecución de reglas de resumen, la información correcta y con errores, a la tablaLASummaryLogs del área de trabajo.

Configure reglas de alerta de registros para recibir notificaciones de errores de bin o cuando la ejecución del bin esté a punto de agotar el tiempo de espera, como se muestra en los ejemplos siguientes. En función del motivo del error, reduzca el tamaño del contenedor para procesar menos datos en cada ejecución o modifique la consulta para devolver menos registros o menos campos de gran volumen.

Esta consulta devuelve ejecuciones con errores:

LASummaryLogs | where Status == "Failed"

Esta consulta devuelve las ejecuciones del contenedor en las que el valor de QueryDurationMs supera el 90 % del tiempo máximo de ejecución de la consulta:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Comprobación de la integridad de los datos

Las reglas de resumen están diseñadas para la escala e incluyen un mecanismo de reintento para superar los errores transitorios de servicio o consulta relacionados con los límites de consulta. El mecanismo de reintento realiza 10 intentos de agregar un contenedor con error en un plazo de ocho horas y omite el contenedor si se agotan todos los intentos. La regla se establece en isActive: false y se mantiene en espera después de ocho reintentos consecutivos.

Si habilita la configuración de diagnóstico para supervisar las reglas de resumen, Azure Monitor registra eventos en la tabla del LASummaryLogs área de trabajo, lo que le permite ver las ejecuciones y reintentar las con errores. Vea las ejecuciones mediante la siguiente consulta o a través del portal.

let startTime = datetime("2024-02-16");
let endTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endTime step stepSize
| render timechart

Esta consulta representa los resultados como un gráfico de tiempo:

Consulte la sección Reglas de resumen de supervisión para ver las opciones de solución de problemas de reglas y las alertas proactivas.

Volver a intentar el contenedor de reglas de resumen

Las reglas de resumen están diseñadas para la escala e incluyen un mecanismo de reintento para superar problemas transitorios del servicio o errores de límite de consultas. Cuando se hayan agotado los reintentos del servicio, vuelva a ejecutar manualmente la ejecución fallida (o bin).

Seleccione los puntos suspensivos (...) situados en el extremo derecho de la regla de resumen que desea reintentar.
Seleccione Ver ejecuciones en el menú.
Cambie el filtro para mostrar ejecuciones con errores .
Busque el tiempo de ejecución que desea reintentar y seleccione los puntos suspensivos (...) al final de la fila.
Seleccione Volver a ejecutar este contenedor.

Para volver a intentar una ejecución específica de una regla de resumen, busque el BinStartTime de la bandeja que produjo un error y proporcione como valor retryBinStartTime . Por ejemplo, si tiene una regla de resumen con un valor de binSize de 60 minutos y desea volver a procesar el intervalo que incluye datos de 2026-02-16T10:00:00Z a 2026-02-16T11:00:00Z, establezca el valor de retryBinStartTime en 2026-02-16T10:00:00Z.

Use el siguiente comando para volver a ejecutar el contenedor de reglas de resumen con CLI de Azure.

# User input variables - update values in <AngleBrackets>
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
ruleName="<RuleName>"
apiVersion="2025-07-01"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build request URL
path="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
provider="Microsoft.OperationalInsights/workspaces/$workspaceName"
url="$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

az rest --method put --url "$url" --body @body.json

Guarde el siguiente JSON como body.json, sustituyendo el valor de retryBinStartTime por BinStartTime para volver a intentarlo:

{
  "properties": {
    "retryBinStartTime": "2026-02-16T10:00:00Z"
  }
}

Use el siguiente comando para reintentar un contenedor de reglas de resumen mediante Azure PowerShell.

# User input variables - update values in <AngleBrackets>
$resourceGroupName = '<ResourceGroupName>'
$workspaceName = '<WorkspaceName>'
$ruleName = '<RuleName>'
$retryBinStartTime = "2026-02-16T10:00:00Z"
$apiVersion = "2025-07-01"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build request URL
$path = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName"
$provider = "Microsoft.OperationalInsights/workspaces/$workspaceName"
$url = "$path/providers/$provider/summarylogs/$ruleName?api-version=$apiVersion"

$body = @{
    properties = @{
        retryBinStartTime = $retryBinStartTime
    }
} | ConvertTo-Json -Depth 10

Invoke-AzRestMethod -Method PUT -Path $url -Payload $body

Utilice la siguiente PUT solicitud para el grupo de operaciones API de administración de registrosReglas de resumen para retry un intervalo de regla de resumen.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: Bearer {token}
Content-Type: application/json

{
  "properties": {
    "retryBinStartTime": "2026-02-16T10:00:00Z"
  }
}

Para reintentar una ejecución específica de una regla de resumen, busque el BinStartTime del bin que falló y proporciónelo como el valor retryBinStartTime. Por ejemplo, si tiene una regla de resumen con un valor de binSize de 60 minutos y desea volver a procesar el intervalo que incluye datos de 2026-02-16T10:00:00Z a 2026-02-16T11:00:00Z, establezca el valor de retryBinStartTime en 2026-02-16T10:00:00Z.

Use esta plantilla y parámetros para reintentar un contenedor:

Volver a intentar una regla de resumen bin

Archivo de plantilla

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "string"
    },
    "ruleName": {
      "type": "string"
    },
    "retryBinStartTime": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summarylogs",
      "apiVersion": "2025-07-01",
      "name": "[format('{0}/{1}', parameters('workspaceName'), parameters('ruleName'))]",
      "properties": {
        "retryBinStartTime": "[parameters('retryBinStartTime')]"
      }
    }
  ]
}

Archivo de parámetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "my-law-workspace"
    },
    "ruleName": {
      "value": "my-summary-rule"
    },
    "retryBinStartTime": {
      "value": "<YYYY-MM-DDTHH:mm:ssZ>"
    }
  }
}

Encripte consultas de reglas resumen utilizando claves gestionadas por el cliente

Una consulta KQL puede contener información confidencial en los comentarios o en la sintaxis de la consulta. Para cifrar las consultas de reglas de resumen, vincular una cuenta de almacenamiento al área de trabajo de Log Analytics y usar claves administradas por el cliente.

Consideraciones al trabajar con consultas cifradas:

La vinculación de una cuenta de almacenamiento para cifrar las consultas no interrumpe las reglas existentes.
De forma predeterminada, Azure Monitor almacena consultas de reglas de resumen en almacenamiento de Log Analytics. Si tiene reglas de resumen existentes antes de vincular una cuenta de almacenamiento al área de trabajo de Log Analytics, actualice esas reglas para que las consultas se guarden en la cuenta de almacenamiento.
Las consultas que guarde en una cuenta de almacenamiento se encuentran en la tabla CustomerConfigurationStoreTable. Estas consultas se consideran artefactos de servicio y su formato puede cambiar.
La misma cuenta de almacenamiento admite consultas de reglas de resumen, consultas guardadas en Log Analytics y alertas de registro.

Solución de problemas de reglas de resumen

En esta sección se proporcionan sugerencias para solucionar problemas de reglas de resumen.

Tabla de destino de regla de resumen eliminada accidentalmente

Si elimina la tabla de destino mientras la regla de resumen está activa, la regla se suspende y Azure Monitor envía un evento a la tabla LASummaryLogs con un mensaje que indica que se suspendió la regla.

Si no necesita los resultados de resumen en la tabla de destino, elimine la regla y la tabla. Si necesita los resultados de resumen, siga los pasos descritos en la sección Crear o actualizar reglas de resumen para volver a crear la tabla de destino y restaurar todos los datos, incluidos los datos ingeridos antes de la eliminación, en función de la directiva de retención de la tabla.

La consulta usa operadores que crean nuevas columnas en la tabla de destino

El esquema de la tabla de destino se define al crear o actualizar una regla de resumen. Si la consulta incluye operadores que permiten la expansión del esquema de salida en función de los datos entrantes (por ejemplo, la arg_max(expression, *) función), Azure Monitor no agrega nuevas columnas a la tabla de destino después de crear o actualizar la regla y se quitan los datos de salida que requieren estas columnas. Para agregar los nuevos campos a la tabla de destino, actualizar la regla de resumen o agregar manualmente una columna a la tabla.

Los datos de las columnas eliminadas permanecen en el área de trabajo en función de la configuración de retención de la tabla.

Al quitar un campo de la consulta, las columnas y los datos permanecen en la tabla de destino en función del período de retención definido en la tabla o área de trabajo. Si no necesita las columnas quitadas de la tabla de destino, elimine las columnas del esquema de tabla. Si agrega columnas con el mismo nombre, los datos que no sean anteriores al período de retención aparecerán de nuevo.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-06-15