Interroger des données parmi des espaces de travail, des applications et des ressources Log Analytics dans Azure Monitor
Il existe deux façons d’interroger des données à partir de plusieurs espaces de travail, applications et ressources :
- Spécifiez explicitement l’espace de travail, l’application ou les informations de ressource à l’aide des espaces workspace(), app() ou resource(), comme décrit dans cet article.
- Implicitement, en utilisant des requêtes de contexte de ressource. Lorsque vous interrogez dans le contexte d’une ressource, d’un groupe de ressources ou d’un abonnement spécifiques, la requête récupère les données pertinentes de tous les espaces de travail contenant des données pour ces ressources. Les requêtes de contexte de ressource ne récupèrent pas de données à partir de ressources Application Insights classiques.
Cet article explique comment utiliser les expressions workspace()
, app()
et resource()
pour interroger des données à partir de plusieurs espaces de travail, applications et ressources Log Analytics.
Si vous gérez des abonnements dans d’autres locataires Microsoft Entra via Azure Lighthouse, vous pouvez inclure dans vos requêtes des espaces de travail Log Analytics créés dans ces locataires clients.
Important
Si vous utilisez une ressource Application Insights basée sur un espace de travail, les données de télémétrie sont stockées dans un espace de travail Log Analytics avec toutes les autres données de journal. Utilisez l’expression workspace()
pour interroger des données à partir d’applications dans plusieurs espaces de travail. Vous n’avez pas besoin de requête entre espaces de travail pour interroger des données de plusieurs applications dans le même espace de travail.
Action | Autorisations requises |
---|---|
Vérifier l’état de l’espace de travail | Les autorisations Microsoft.OperationalInsights/workspaces/query/*/read dans les espaces de travail Log Analytics que vous interrogez, comme fourni par le rôle intégré de Lecteur Log Analytics, par exemple. |
Enregistrement d’une requête | Autorisations microsoft.operationalinsights/querypacks/queries/action pour le pack de requêtes dans lequel vous souhaitez l’enregistrer, comme indiqué par le rôle intégré du Contributeur Log Analytics, par exemple. |
- Les requêtes entre ressources et entre services ne prennent pas en charge les fonctions paramétrables et les fonctions dont la définition inclut d’autres expressions entre espaces de travail ou entre services, notamment
adx()
,arg()
,resource()
,workspace()
etapp()
. - Vous pouvez inclure jusqu’à 100 espace de travail Log Analytics ou ressources Application Insights dans une requête unique.
- L’interrogation d’un grand nombre de ressources peut ralentir considérablement la requête.
- Les requêtes entre ressources dans les alertes de recherche dans les journaux sont uniquement prises en charge dans l’API scheduledQueryRules. Si vous utilisez l’API Log Analytics Alerts héritée, vous devez basculer sur l’API actuelle.
- Les références aux ressources croisées, comme un autre espace de travail, doivent être explicites et ne peuvent pas être paramétrisées.
Cette section explique comment interroger des espaces de travail, des applications et des ressources à l’aide de fonctions avec et sans utiliser de fonction.
Vous pouvez interroger plusieurs ressources depuis l’une de vos instances de ressource. Ces ressources peuvent être des espaces de travail et des applications combinés.
Exemple de requête sur trois espaces de travail :
union
Update,
workspace("00000000-0000-0000-0000-000000000001").Update,
workspace("00000000-0000-0000-0000-000000000002").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification
Pour plus d’informations sur les opérateurs union, where et summarize, consultez opérateur union, opérateur whereet opérateur summarize.
Quand vous utilisez une requête inter-ressources pour mettre en corrélation des données provenant de plusieurs espaces de travail Log Analytics et composants Application Insights, la requête peut devenir complexe et difficile à gérer. Vous devez utiliser des fonctions de requête de journal Azure Monitor pour séparer la logique de la requête de l’étendue des ressources de la requête. Cette méthode simplifie la structure de votre requête. L’exemple suivant montre comment superviser plusieurs composants Application Insights et visualiser le nombre de ressources ayant échoué par nom d’application.
Créez une requête semblable à l’exemple suivant qui fait référence à l’étendue des composants Application Insights. La commande withsource= SourceApp
ajoute une colonne qui désigne le nom de l’application ayant envoyé le journal. Enregistrez cette requête en tant que fonction avec l’alias applicationsScoping
.
// crossResource function that scopes my Application Insights components
union withsource= SourceApp
app('00000000-0000-0000-0000-000000000000').requests,
app('00000000-0000-0000-0000-000000000001').requests,
app('00000000-0000-0000-0000-000000000002').requests,
app('00000000-0000-0000-0000-000000000003').requests,
app('00000000-0000-0000-0000-000000000004').requests
Vous pouvez à présent utiliser cette fonction dans une requête inter-ressources, comme dans l’exemple suivant. L’alias de fonction applicationsScoping
retourne l’union de la table requests à partir de toutes les applications définies. Ensuite, la requête filtre les demandes ayant échoué et permet de visualiser les tendances par application. L’opérateur parse
est facultatif dans cet exemple. Il extrait le nom de l’application de la propriété SourceApp
.
applicationsScoping
| where timestamp > ago(12h)
| where success == 'False'
| parse SourceApp with * '(' applicationId ')' *
| summarize count() by applicationId, bin(timestamp, 1h)
| render timechart
Notes
Cette méthode ne peut pas être utilisée avec les alertes de recherche dans les journaux, car la validation d’accès des ressources de règle d’alerte, notamment les espaces de travail et les applications, s’effectue au moment de la création de l’alerte. L’ajout de nouvelles ressources à la fonction après la création de l’alerte n’est pas pris en charge. Si vous préférez utiliser la fonction pour déterminer l’étendue des ressources dans les alertes de recherche dans les journaux, vous devez modifier la règle d’alerte dans le portail ou en utilisant un modèle Azure Resource Manager pour mettre à jour les ressources incluses dans l’étendue. Vous pouvez également inclure la liste des ressources dans la requête d’alerte de recherche dans les journaux.
Utilisez l’expression workspace()
, afin de récupérer des données à partir d’un espace de travail spécifique du même groupe de ressources, d’un autre groupe de ressources ou d’un autre abonnement. Vous pouvez utiliser cette expression pour inclure des données de journal dans une requête Application Insights et pour interroger des données de plusieurs espaces de travail dans une requête de journal.
workspace(
Identificateur)
*Identifier*
: permet d’identifier l’espace de travail en utilisant l’un des formats du tableau suivant.
Identificateur | Description | Exemple |
---|---|---|
id | GUID de l’espace de travail | espace de travail (« 00000000-0000-0000-0000-000000000000 ») |
ID de la ressource Azure | Identificateur de la ressource Azure | espace de travail(« /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/Contoso/providers/Microsoft.OperationalInsights/workspaces/contosoretail ») |
workspace("00000000-0000-0000-0000-000000000000").Update | count
workspace("/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/Contoso/providers/Microsoft.OperationalInsights/workspaces/contosoretail").Event | count
union
( workspace("00000000-0000-0000-0000-000000000000").Heartbeat | where Computer == "myComputer"),
(app("00000000-0000-0000-0000-000000000000").requests | where cloud_RoleInstance == "myRoleInstance")
| count
union
(workspace("00000000-0000-0000-0000-000000000000").Heartbeat), (app("00000000-0000-0000-0000-000000000000").requests) | where TimeGenerated between(todatetime("2023-03-08 15:00:00") .. todatetime("2023-04-08 15:05:00"))
Utilisez l’expression app
pour récupérer des données à partir d’une ressource Application Insights classique du même groupe de ressources, d’un autre groupe de ressources ou d’un autre abonnement. Si vous utilisez une ressource Application Insights basée sur un espace de travail, les données de télémétrie sont stockées dans un espace de travail Log Analytics avec toutes les autres données de journal. Utilisez l’expression workspace()
pour interroger des données à partir d’applications dans plusieurs espaces de travail. Vous n’avez pas besoin de requête entre espaces de travail pour interroger des données de plusieurs applications dans le même espace de travail.
app(
Identificateur)
*Identifier*
: permet d’identifier l’application à l’aide de l’un des formats du tableau ci-dessous.
Identificateur | Description | Exemple |
---|---|---|
id | GUID de l’application | app (« 00000000-0000-0000-0000-000000000000 ») |
ID de la ressource Azure | Identificateur de la ressource Azure | application(« /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/Fabrikam/providers/microsoft.insights/components/fabrikamapp ») |
app("00000000-0000-0000-0000-000000000000").requests | count
app("/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/Fabrikam/providers/microsoft.insights/components/fabrikamapp").requests | count
union
(workspace("00000000-0000-0000-0000-000000000000").Heartbeat | where Computer == "myComputer"),
(app("00000000-0000-0000-0000-000000000000").requests | where cloud_RoleInstance == "myColumnInstance")
| count
union
(workspace("00000000-0000-0000-0000-000000000000").Heartbeat), (app("00000000-0000-0000-0000-000000000000").requests)
| where TimeGenerated between(todatetime("2023-03-08 15:00:00") .. todatetime("2023-04-08 15:05:00"))
L’expression resource
est utilisée dans une requête Azure Monitor limitée à une ressource pour récupérer des données d’autres ressources.
resource(
Identificateur)
*Identifier*
: permet d’identifier la ressource, le groupe de ressources ou l’abonnement à partir duquel mettre les données en corrélation.
Identificateur | Description | Exemple |
---|---|---|
Ressource | Inclut des données relatives à la ressource. | resource("/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcesgroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm") |
Groupe de ressources ou abonnement | Inclut des données relatives à la ressource et à toutes les ressources qu’il contient. | resource("/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcesgroups/myresourcegroup) |
union (Heartbeat),(resource("/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcesgroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm").Heartbeat) | summarize count() by _ResourceId, TenantId
union (Heartbeat),(resource("/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcesgroups/myresourcegroup").Heartbeat) | summarize count() by _ResourceId, TenantId
Pour une vue d’ensemble des requêtes de journal et de la manière dont les données de journal d’Azure Monitor sont structurées, voir Analyser les données de journal dans Azure Monitor.