AzureDiagnostics
Stocke les journaux de ressources pour les services Azure qui utilisent le mode Azure Diagnostics. Les journaux de ressources décrivent le fonctionnement interne des ressources Azure.
Le journal des ressources de chaque service Azure possède un ensemble unique de colonnes. La table AzureDiagnostics comprend les colonnes les plus courantes utilisées par les services Azure. Si un journal des ressources contient une colonne qui n’existe pas encore dans la table AzureDiagnostics, cette colonne est ajoutée la première fois que les données sont collectées. Si le nombre maximal de 500 colonnes est atteint, les données des colonnes supplémentaires sont ajoutées à une colonne dynamique.
Les services Azure qui utilisent le mode spécifique aux ressources stockent des données dans une table spécifique à ce service et n’utilisent pas la table AzureDiagnostics. Consultez les types de ressources ci-dessous pour les services qui utilisent chaque méthode. Pour plus d’informations sur les différences, consultez les journaux des ressources Azure.
Remarque
La table AzureDiagnostics est une table de journaux personnalisée créée exclusivement par le pipeline Azure Monitor la première fois qu’une ressource Azure commence à envoyer des journaux en mode Diagnostics Azure. Contrairement à d’autres tables, la table AzureDiagnostics ne peut pas être créée via un modèle ARM ou une API de tables. Par conséquent, il n’est pas possible de modifier les valeurs de rétention par défaut de la table avant sa création.
Colonne AdditionalFields
Contrairement à d’autres tables, AzureDiagnostics est beaucoup plus susceptible de dépasser la limite de 500 colonnes imposée pour n’importe quelle table d’un espace de travail Log Analytics en raison d’un large éventail de ressources Azure capables d’envoyer des données à cette table. Pour vous assurer qu’aucune donnée n’est perdue en raison du nombre de colonnes actives dépassant cette limite de 500 colonnes, la création de colonnes AzureDiagnostics est gérée de différentes manières par d’autres tables.
La table AzureDiagnostics de chaque espace de travail contient au minimum 200 colonnes. Pour les espaces de travail créés avant le 19 janvier 2021, la table contient également toutes les colonnes déjà en place avant cette date. Lorsque les données sont envoyées à une colonne qui n’est pas déjà en place :
- Si le nombre total de colonnes dans AzureDiagnostics dans l’espace de travail actuel ne dépasse pas 500, une nouvelle colonne est créée comme avec n’importe quelle autre table.
- Si le nombre total de colonnes est supérieur ou égal à 500, les données excédentaires sont ajoutées à une colonne de conteneur de propriétés dynamique appelée AdditionalFields en tant que propriété.
Exemple
Pour illustrer ce comportement, imaginez qu’à partir de (date de déploiement) la table AzureDiagnostics dans notre workpsace se présente comme suit :
| Colonne 1 | Colonne 2 | Colonne 3 | ... | Colonne 498 |
|---|---|---|---|---|
| abc | def | 123 | ... | 456 |
| ... | ... | ... | ... | ... |
Ressource qui envoie des données à AzureDiagnostics puis ajoute une nouvelle dimension à ses données qu’ils appellent NewInfo1. Étant donné que la table comporte toujours moins de 500 colonnes, la première fois qu’un événement se produit qui contient des données pour cette nouvelle dimension ajoute une nouvelle colonne à la table :
| Colonne 1 | Colonne 2 | Colonne 3 | ... | Colonne 498 | NewInfo1_s |
|---|---|---|---|---|---|
| abc | def | 123 | ... | 456 | xyz |
| ... | ... | ... | ... | ... | ... |
Vous pouvez retourner ces nouvelles données dans une requête simple :
AzureDiagnostics | where NewInfo1_s == "xyz"
À une date ultérieure, une autre ressource envoie des données à AzureDiagnostics qui ajoute de nouvelles dimensions appelées NewInfo2 et NewInfo3. Étant donné que la table a atteint 500 colonnes dans cet espace de travail, les nouvelles données entrent dans la colonne AdditionalFields :
| Colonne 1 | Colonne 2 | Colonne 3 | ... | Colonne 498 | NewInfo1_s | AdditionalFields |
|---|---|---|---|---|---|---|
| abc | def | 123 | ... | 456 | xyz | {"NewInfo2 » :"789 »,"NewInfo3 » :"qwerty"} |
| ... | ... | ... | ... | ... | ... | ... |
Vous pouvez toujours interroger ces données, mais vous devez l’extraire du conteneur de propriétés à l’aide de l’un des opérateurs de propriétés dynamiques dans KQL :
AzureDiagnostics
| where AdditionalFields.NewInfo2 == "789" and AdditionalFields.NewInfo3 == "qwerty"
Conseils sur l’utilisation de la AdditionalFields colonne
Bien que les meilleures pratiques de requête générales telles que le filtrage toujours par heure comme la première clause de la requête soient suivies, il existe d’autres recommandations que vous devez prendre en compte lors de l’utilisation de AdditionalFields :
- Vous devez taper des données decast avant d’effectuer d’autres opérations sur celle-ci. Par exemple, si une colonne existe appelée Perf1Sec_i ainsi qu’une propriété dans AdditionalFields appelée Perf2Sec et que vous souhaitez calculer le nombre total de perf en ajoutant les deux valeurs, utilisez quelque chose comme :
AzureDiagnostics | extend TotalPerfSec = Perf1Sec_i + toint(AdditionalFields.Perf2Sec) | ..... - Utilisez les clauses where pour réduire le volume de données au plus petit possible avant d’écrire une logique complexe afin d’améliorer considérablement les performances. TimeGenerated est une colonne qui doit toujours être réduite à la plus petite fenêtre possible. Dans le cas d’AzureDiagnostics , un filtre supplémentaire doit également être inclus en haut de la requête autour des types de ressources interrogés à l’aide de la colonne ResourceType .
- Lors de l’interrogation de très grands volumes de données, il est parfois plus efficace d’effectuer un filtre sur AdditionalFields dans son ensemble plutôt que de l’analyser. Par exemple, pour de grands volumes de données
AzureDiagnostics | where AdditionalFields has "Perf2Sec"est souvent plus efficace queAzureDiagnostics | where isnotnull(toint(AdditionalFields.Perf2Sec)).
Mode Diagnostics Azure
Les services suivants utilisent le mode diagnostics Azure pour leurs journaux de ressources et envoient des données à la table Diagnostics Azure.
- Analysis Services
- Application Gateways
- Comptes Automation
- Serveurs Azure Database for MariaDB
- Serveurs Azure Database pour MySQL
- Serveurs Azure Database pour PostgreSQL
- Serveurs Azure Database pour PostgreSQL v2
- Comptes Batch
- Profils CDN
- Cognitive Services
- Data Lake Analytics
- DataLake Storage Gen1
- Services de provisionnement des appareils
- Digital Twins
- Rubriques Event Grid
- Event Hubs
- Circuits ExpressRoute
- Front Door
- Comptes d’intégration
- Key Vault
- Services Kubernetes
- Équilibreurs de charge
- Logic Apps
- Media Services
- Interfaces réseau
- Network Security Group
- Passerelles VPN P2S
- Power BI Embedded
- Adresses IP publiques
- Coffres Recovery Services (Site Recovery)
- Services Recherche
- Bus de services
- Bases de données SQL
- Instances managées SQL
- Serveurs SQL
- Tâches Stream Analytics
- Profils Traffic Manager
- Réseaux virtuels
- Passerelles de réseau virtuel
- Passerelles VPN
mode Diagnostics Azure ou mode spécifique aux ressources
Les services suivants utilisent le mode diagnostics Azure ou le mode spécifique aux ressources pour leurs journaux de ressources en fonction de leur configuration. Lorsqu’ils utilisent un mode spécifique aux ressources, ils n’envoient pas de données à la table AzureDiagnostics. Pour plus d’informations sur cette configuration, consultez les journaux des ressources Azure.
- services Gestion des API
- Azure Cosmos DB
- Fabriques de données (V2)
- IoT Hub
- Coffres Recovery Services (sauvegarde)
- Pare-feux
Catégories
- Ressources Azure
- Sécurité
- Network (Réseau)
Solutions
- LogManagement
Types de ressource
- Application Gateways
- Profils CDN
- Azure Cosmos DB
- Rubriques Event Grid
- Event Hubs
- Pare-feux
- Key Vaults
- Services Kubernetes
- Coffres Recovery Services
- Bus de services
- Serveurs flexibles Azure Database pour MySQL
- serveurs flexibles Azure Database pour PostgreSQL
- Media Services
- Analysis Services
- Comptes Batch
- Cognitive Services
- Espaces de noms de partenaire Event Grid
- Rubriques de partenaire Event Grid
- Rubriques système Event Grid
- Kubernetes avec Azure Arc
- Clusters provisionnés Azure Arc
- IoT Hub
- Logic Apps
- Services Gestion des API
- Compte Automation
- Fabriques de données
- Data Lake Storage Gen 1
- Data Lake Analytics
- Power BI Embedded
- Instances managées SQL
- Serveurs SQL
- Bases de données SQL
- serveurs Azure Database pour MySQL
- Serveurs de base de données Azure pour PostgreSQL
- serveurs Azure Database pour PostgreSQL V2
- Serveurs Azure Database for MariaDB
- Services de provisionnement des appareils
- Circuits ExpressRoute
- Front Door
- Interfaces réseau
- Network Security Group
- Adresses IP publiques
- Profils Traffic Manager
- Passerelles de réseau virtuel
- Passerelles de réseau privé virtuel
- Réseaux virtuels
- Services Recherche
- Tâches Stream Analytics
Colonnes
| Colonne | Type | Description |
|---|---|---|
| action_id_s | Chaîne | |
| action_name_s | Chaîne | |
| action_s | Chaîne | |
| ActivityId_g | Guid | |
| AdditionalFields | ||
| AdHocOrScheduledJob_s | Chaîne | |
| application_name_s | Chaîne | |
| audit_schema_version_d | Double | |
| avg_cpu_percent_s | Chaîne | |
| avg_mean_time_s | Chaîne | |
| backendHostname_s | Chaîne | |
| Caller_s | Chaîne | |
| callerId_s | Chaîne | |
| CallerIPAddress | Chaîne | |
| calls_s | Chaîne | |
| Category | Chaîne | |
| client_ip_s | Chaîne | |
| clientInfo_s | Chaîne | |
| clientIP_s | Chaîne | |
| clientIp_s | Chaîne | |
| clientIpAddress_s | Chaîne | |
| clientPort_d | Double | |
| code_s | Chaîne | |
| collectionName_s | Chaîne | |
| conditions_destinationIP_s | Chaîne | |
| conditions_destinationPortRange_s | Chaîne | |
| conditions_None_s | Chaîne | |
| conditions_protocols_s | Chaîne | |
| conditions_sourceIP_s | Chaîne | |
| conditions_sourcePortRange_s | Chaîne | |
| CorrelationId | Chaîne | |
| count_executions_d | Double | |
| cpu_time_d | Double | |
| database_name_s | Chaîne | |
| database_principal_name_s | Chaîne | |
| DatabaseName_s | Chaîne | |
| db_id_s | Chaîne | |
| direction_s | Chaîne | |
| dop_d | Double | |
| duration_d | Double | |
| duration_milliseconds_d | Double | |
| DurationMs | BigInt | |
| ElasticPoolName_s | Chaîne | |
| endTime_t | Date/Heure | |
| Environment_s | Chaîne | |
| error_code_s | Chaîne | |
| error_message_s | Chaîne | |
| errorLevel_s | Chaîne | |
| event_class_s | Chaîne | |
| event_s | Chaîne | |
| event_subclass_s | Chaîne | |
| event_time_t | Date/Heure | |
| EventName_s | Chaîne | |
| execution_type_d | Double | |
| executionInfo_endTime_t | Date/Heure | |
| executionInfo_exitCode_d | Double | |
| executionInfo_startTime_t | Date/Heure | |
| host_s | Chaîne | |
| httpMethod_s | Chaîne | |
| httpStatus_d | Double | |
| httpStatusCode_d | Double | |
| httpStatusCode_s | Chaîne | |
| httpVersion_s | Chaîne | |
| id_s | Chaîne | |
| identity_claim_appid_g | Guid | |
| identity_claim_ipaddr_s | Chaîne | |
| instanceId_s | Chaîne | |
| interval_end_time_d | Double | |
| interval_start_time_d | Double | |
| ip_s | Chaîne | |
| is_column_permission_s | Chaîne | |
| isAccessPolicyMatch_b | Bool | |
| JobDurationInSecs_s | Chaîne | |
| JobFailureCode_s | Chaîne | |
| JobId_g | Guid | |
| jobId_s | Chaîne | |
| JobOperation_s | Chaîne | |
| JobOperationSubType_s | Chaîne | |
| JobStartDateTime_s | Chaîne | |
| JobStatus_s | Chaîne | |
| JobUniqueId_g | Guid | |
| Niveau | Chaîne | |
| log_bytes_used_d | Double | |
| logical_io_reads_d | Double | |
| logical_io_writes_d | Double | |
| LogicalServerName_s | Chaîne | |
| macAddress_s | Chaîne | |
| matchedConnections_d | Double | |
| max_cpu_time_d | Double | |
| max_dop_d | Double | |
| max_duration_d | Double | |
| max_log_bytes_used_d | Double | |
| max_logical_io_reads_d | Double | |
| max_logical_io_writes_d | Double | |
| max_num_physical_io_reads_d | Double | |
| max_physical_io_reads_d | Double | |
| max_query_max_used_memory_d | Double | |
| max_rowcount_d | Double | |
| max_time_s | Chaîne | |
| mean_time_s | Chaîne | |
| Message | Chaîne | |
| min_time_s | Chaîne | |
| msg_s | Chaîne | |
| num_physical_io_reads_d | Double | |
| object_id_d | Double | |
| object_name_s | Chaîne | |
| NomOpération | Chaîne | |
| OperationVersion | Chaîne | |
| partitionKey_s | Chaîne | |
| physical_io_reads_d | Double | |
| plan_id_d | Double | |
| policy_s | Chaîne | |
| policyMode_s | Chaîne | |
| primaryIPv4Address_s | Chaîne | |
| priority_d | Double | |
| properties_enabledForDeployment_b | Bool | |
| properties_enabledForDiskEncryption_b | Bool | |
| properties_enabledForTemplateDeployment_b | Bool | |
| properties_s | Chaîne | |
| properties_sku_Family_s | Chaîne | |
| properties_sku_Name_s | Chaîne | |
| properties_tenantId_g | Guid | |
| query_hash_s | Chaîne | |
| query_id_d | Double | |
| query_max_used_memory_d | Double | |
| query_plan_hash_s | Chaîne | |
| query_time_d | Double | |
| querytext_s | Chaîne | |
| receivedBytes_d | Double | |
| Région_s | Chaîne | |
| requestCharge_s | Chaîne | |
| requestQuery_s | Chaîne | |
| requestResourceId_s | Chaîne | |
| requestResourceType_s | Chaîne | |
| requestUri_s | Chaîne | |
| reserved_storage_mb_s | Chaîne | |
| Ressource | Chaîne | |
| resource_actionName_s | Chaîne | |
| resource_location_s | Chaîne | |
| resource_originRunId_s | Chaîne | |
| resource_resourceGroupName_s | Chaîne | |
| resource_runId_s | Chaîne | |
| resource_subscriptionId_g | Guid | |
| resource_triggerName_s | Chaîne | |
| resource_workflowId_g | Guid | |
| resource_workflowName_s | Chaîne | |
| ResourceGroup | Chaîne | |
| _ResourceId | Chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| ResourceProvider | Chaîne | |
| ResourceProvider | Chaîne | |
| ResourceType | Chaîne | |
| ResourceType | Chaîne | |
| response_rows_d | Double | |
| resultCode_s | Chaîne | |
| ResultDescription | Chaîne | |
| ResultDescription | Chaîne | |
| resultDescription_ChildJobs_s | Chaîne | |
| resultDescription_ErrorJobs_s | Chaîne | |
| resultMessage_s | Chaîne | |
| ResultSignature | Chaîne | |
| ResultType | Chaîne | |
| ResultType | Chaîne | |
| rootCauseAnalysis_s | Chaîne | |
| routingRuleName_s | Chaîne | |
| rowcount_d | Double | |
| ruleName_s | Chaîne | |
| RunbookName_s | Chaîne | |
| RunOn_s | Chaîne | |
| schema_name_s | Chaîne | |
| sentBytes_d | Double | |
| sequence_group_id_g | Guid | |
| sequence_number_d | Double | |
| server_principal_sid_s | Chaîne | |
| session_id_d | Double |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour