Adatok összesítése a Log Analytics-munkaterületen összefoglaló szabályokkal (előzetes verzió)

Az összegzési szabály lehetővé teszi a naplóadatok rendszeres gyakoriságú összesítését, és az összesített eredményeket a naplóelemzési munkaterület egy egyéni naplótáblájába küldi. Összegzési szabályok használatával optimalizálhatja az adatokat a következőkre:

• Elemzések és jelentések, különösen nagy adathalmazok és időtartományok felett, a biztonsági és incidenselemzéshez, a havi vagy éves üzleti jelentésekhez stb. Egy nagy adatkészlet összetett lekérdezései gyakran időtúllépést eredményeznek. Egyszerűbb és hatékonyabb a megtisztított és összesített összesített adatok elemzése és jelentése.

• Költségmegtakarítás részletes naplókon, amelyeket akár csak egy olcsó alapszintű naplótáblában is megőrizhet, és összegzett adatokat küldhet elemzéshez és jelentésekhez egy Analytics-táblába.

• A biztonság és az adatok védelme az összesített megosztható adatok adatvédelmi adatainak eltávolításával vagy elrejtésével, valamint a nyers adatokkal rendelkező táblákhoz való hozzáférés korlátozásával.

Ez a cikk az összefoglaló szabályok működését, valamint az összefoglaló szabályok definiálását és megtekintését ismerteti, valamint példákat tartalmaz az összefoglaló szabályok használatára és előnyeire.

Az alábbi videó áttekintést nyújt az összefoglaló szabályok néhány előnyéről:

Az összefoglaló szabályok működése

Az összefoglaló szabályok közvetlenül a Log Analytics-munkaterületen hajtják végre a kötegelt feldolgozást. Az összegző szabály egy KQL-lekérdezés alapján összesíti a tárolóméret alapján definiált adattömböket, és az összesített eredményeket egy egyéni táblába, a Log Analytics-munkaterületen található Elemzési naplótervvel újra betölti.

Bármilyen táblából összesíthet adatokat, függetlenül attól, hogy a tábla rendelkezik-e elemzési vagy alapszintű adatcsomaggal. Az Azure Monitor a megadott lekérdezés alapján hozza létre a céltábla sémáját. Ha a céltábla már létezik, az Azure Monitor hozzáadja a lekérdezési eredmények támogatásához szükséges oszlopokat. Az összes céltábla tartalmaz egy szabványos mezőkészletet is, amely összegző szabályadatokat tartalmaz, többek között a következőket:

• _RuleName: Az összesített naplóbejegyzést létrehozó összefoglaló szabály.
• _RuleLastModifiedTime: A szabály utolsó módosításának dátuma.
• _BinSize: Az összesítési időköz.
• _BinStartTime Az összesítés kezdési időpontja.

Legfeljebb 30 aktív szabályt konfigurálhat úgy, hogy több táblából összesítse az adatokat, és az összesített adatokat külön céltáblákba vagy ugyanabba a táblába küldje.

Egy adatexportálási szabály definiálásával exportálhatja az összesített adatokat egy egyéni naplótáblából egy tárfiókba vagy az Event Hubsba további integráció céljából.

Példa: ContainerLogsV2-adatok összegzése

Tárolók figyelése esetén nagy mennyiségű részletes naplót kell befoglalni a ContainerLogsV2 táblába.

Ezt a lekérdezést használhatja az összefoglaló szabályban az összes egyedi naplóbejegyzés 60 percen belüli összesítésére, így megőrizheti az elemzéshez és a felesleges adatok elvetéséhez hasznos adatokat:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

A táblázat nyers adatai a ContainerLogsV2 következők:

Az összefoglaló szabály által a céltáblának küldött összesített adatok:

Ahelyett, hogy több száz hasonló bejegyzést naplóz egy órán belül, a céltábla az egyes egyedi bejegyzések számát jeleníti meg a KQL-lekérdezésben meghatározottak szerint. Állítsa be az alapszintű adatcsomagot a táblában a ContainerLogsV2 nyers adatok olcsó megőrzéséhez, és használja az összesített adatokat a céltáblában az elemzési igényekhez.

A szükséges engedélyek

Művelet	A szükséges engedélyek
Összefoglaló szabály létrehozása vagy frissítése	Microsoft.Operationalinsights/workspaces/summarylogs/writea Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Céltábla létrehozása vagy frissítése	Microsoft.OperationalInsights/workspaces/tables/writea Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Lekérdezés engedélyezése a munkaterületen	Microsoft.OperationalInsights/workspaces/query/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
A munkaterület összes naplójának lekérdezése	Microsoft.OperationalInsights/workspaces/query/*/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók a táblában	Microsoft.OperationalInsights/workspaces/query/<table>/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók a táblában (táblaművelet)	Microsoft.OperationalInsights/workspaces/tables/query/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Ügyfél által felügyelt tárfiókban titkosított lekérdezések használata	Microsoft.Storage/storageAccounts/* a tárfiókra vonatkozó engedélyeket, a tárfiók közreműködője által biztosított beépített szerepkörnek megfelelően, például

Korlátozások

Kategória	Korlát
Aktív szabályok maximális száma egy munkaterületen	30
Találatok maximális száma tárolónként	500,000
A maximális eredményhalmaz kötete	100 MB
Lekérdezési időtúllépés a tárolók feldolgozásához	10 perc

• Az összefoglaló szabályok jelenleg csak a nyilvános felhőben érhetők el.

• Az összefoglaló szabály feldolgozza a bejövő adatokat, és nem konfigurálható előzményidőtartományon.

• Ha a raktárhely végrehajtási újrapróbálkozásai elfogynak, a rendszer kihagyja a tárolót, és nem hajtható végre újra.

• A Log Analytics-munkaterület lekérdezése egy másik bérlőben a Lighthouse használatával nem támogatott.

• A KQL-korlátok a forrástábla táblázattervétől függnek.

  • Elemzés: Az összes KQL-parancsot támogatja, kivéve:

    • Erőforrásközi lekérdezések, a workspaces(), app()és resource() kifejezések, valamint a szolgáltatásközi lekérdezések használatával, az és ARG() a ADX() kifejezések használatával.
    • Az adatsémát átalakító beépülő modulok, beleértve a zsák kicsomagolását, a keskeny és a kimutatást is.

  • Alapszintű: Egyetlen tábla összes KQL-parancsát támogatja. A keresési operátorral legfeljebb öt Analytics-táblát csatlakoztathat.

  • Függvények: A felhasználó által definiált függvények nem támogatottak. A Microsoft által biztosított rendszerfüggvények támogatottak.

Díjszabási modell

Az összegzési szabályok nem járnak többletköltséggel. A lekérdezésért és az eredmények céltáblába való betöltéséért csak annak a forrástáblának a táblázatterve alapján kell fizetnie, amelyen a lekérdezést futtatja:

Forrástábla-terv	Lekérdezés költsége	Összegzési eredmények betöltési költsége
Elemzés	Nincs költség	Analitika betöltve GB
Alapszintű és kiegészítő	Beolvasott GB	Analitika betöltve GB

Például egy óránkénti szabály költségszámítása, amely 100 rekordot ad vissza binonként:

Forrástábla-terv	Havi árszámítás
Elemzés	Betöltési ár x rekordméret x rekordok száma x 24 óra x 30 nap
Alapszintű és kiegészítő	Beolvasott GB-ár x beolvasott méret + Betöltési ár x rekordméret x rekordok száma x 24 óra x 30 nap

További információkért tekintse meg az Azure Monitor díjszabását.

Összefoglaló szabály létrehozása vagy frissítése

Mielőtt létrehoz egy szabályt, kísérletezzen a lekérdezéssel a Log Analyticsben. Ellenőrizze, hogy a lekérdezés nem éri-e el vagy nem éri-e el a lekérdezési korlátot. Ellenőrizze, hogy a lekérdezés létrehozza-e a kívánt sémát és a várt eredményeket. Ha a lekérdezés közel van a lekérdezési korlátokhoz, érdemes lehet kisebbet binSize használni a kevesebb adat tárolónkénti feldolgozásához. A lekérdezést úgy is módosíthatja, hogy kevesebb rekordot adjon vissza, vagy távolítsa el a nagyobb kötettel rendelkező mezőket.

Feljegyzés

Az összefoglaló szabályok a költség- és eredményfelhasználás szempontjából a legkedvezőbbek, ha jelentősen csökkennek. Az eredmények mennyisége például 0,01% vagy kisebb, mint a forrás.

Amikor frissít egy lekérdezést, és eltávolítja a kimeneti mezőket az eredményhalmazból, az Azure Monitor nem távolítja el automatikusan az oszlopokat a céltáblából. Manuálisan kell törölnie az oszlopokat a táblából .

API

Összefoglaló szabály létrehozásához vagy frissítéséhez hajtsa létre ezt az PUT API-hívást:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Azure Resource Manager-sablon

Ezzel a sablonnal összefoglaló szabályt hozhat létre vagy frissíthet. Az Azure Resource Manager-sablonok használatáról és üzembe helyezéséről további információt az Azure Resource Manager-sablonokban talál.

Sablonfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2023-01-01-preview",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Paraméterfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description."
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Ez a táblázat az összefoglaló szabály paramétereit ismerteti:

Paraméter	Érvényes értékek	Leírás
ruleType	User vagy System	Megadja a szabály típusát. - User: Ön által definiált szabályok. - System: Az Azure-szolgáltatások által felügyelt előre definiált szabályok.
description	Sztring	A szabályt és annak függvényét ismerteti. Ez a paraméter akkor hasznos, ha több szabályt használ, és segíthet a szabálykezelésben.
binSize	20, 30, 60, 120, 180360, 720, vagy 1440 (perc)	Meghatározza az összesítési időközt és a visszatekintési időtartományt. Ha például be van állítva "binSize": 120, akkor előfordulhat, hogy a következőhöz tartozó bejegyzéseket 02:00 to 04:00 kap: és 04:00 to 06:00.
query	Kusto lekérdezésnyelv (KQL) lekérdezés	Meghatározza a szabályban végrehajtandó lekérdezést. Nem kell időtartományt megadnia, mert a binSize paraméter határozza meg az összesítési időközt – például 02:00 to 03:00 ha "binSize": 60. Ha időszűrőt ad hozzá a lekérdezéshez, a lekérdezésben használt idő a szűrő és a tárolóméret metszete.
destinationTable	tablename_CL	A célként megadott egyéni naplótábla nevét adja meg. A névértéknek az utótagot _CLkell tartalmaznia. Az Azure Monitor a szabályban beállított lekérdezés alapján létrehozza a táblát a munkaterületen, ha még nem létezik. Ha a tábla már létezik a munkaterületen, az Azure Monitor hozzáadja a lekérdezésben bevezetett új oszlopokat. Ha az összefoglaló eredmények fenntartott oszlopnevet tartalmaznak – például TimeGenerated, _IsBillable, _ResourceId, TenantIdvagy Type – az Azure Monitor hozzáfűzi az _Original előtagot az eredeti mezőkhöz az eredeti értékek megőrzése érdekében.
binDelay (nem kötelező)	Egész szám (perc)	Beállít egy várakozási időt a tárolók végrehajtása előtt, amely általában akkor hasznos, ha késői adatokon hajtják végre, más néven betöltési késéssel, és lehetővé teszi a legtöbb adat érkezését. Az alapértelmezett késleltetés három és fél perctől az binSize érték 10%-ig tart. Ha tudja, hogy a lekérdezésben szereplő adatok általában késéssel kerülnek be, állítsa be a binDelay paramétert az ismert vagy nagyobb késleltetési értékkel, legfeljebb 1440 percig. További információ: Az összesítés időzítésének konfigurálása. Bizonyos esetekben az Azure Monitor kismértékben megkezdheti a tárolók végrehajtását a készlet késleltetése után a szolgáltatás megbízhatóságának és a lekérdezés sikerességének biztosítása érdekében.
binStartTime (nem kötelező)	Datetime in %Y-%n-%eT%H:%M %Z formátum	Megadja a kezdeti tárolóhely-végrehajtás dátumát és időpontját. Az érték a szabály létrehozási dátumával kezdődhet, mínusz az binSize érték, vagy később, egész óra alatt. Ha például a datetime 2023-12-03T12:13Z binSize értéke 1440, akkor a legkorábbi érvényes binStartTime érték 2023-12-02T13:00Z, és az összesítés a 02T13:00 és 03T13:00 közötti naplózott adatokat tartalmazza. Ebben a forgatókönyvben a szabályok elkezdik a 03T13:00 és az alapértelmezett vagy megadott késleltetés összesítését. A binStartTime paraméter napi összefoglaló forgatókönyvekben hasznos. Tegyük fel, hogy az UTC-8 időzónában van, és napi szabályt hoz létre a következő időpontban 2023-12-03T12:13Z: . Azt szeretné, hogy a szabály befejeződjön, mielőtt 8:00-kor (00:00 UTC) kezdené a napot. Állítsa be a paramétert binStartTime a következőre 2023-12-02T22:00Z: . Az első összesítés tartalmazza a helyi idő szerint 02T:06:00 és 03T:06:00 között naplózott összes adatot, és a szabály naponta egyszerre fut. További információ: Az összesítés időzítésének konfigurálása. A szabályok frissítésekor a következőkre van lehetősége: - Használja a meglévő binStartTime értéket, vagy távolítsa el a paramétert binStartTime , amely esetben a végrehajtás a kezdeti definíció alapján folytatódik. – Frissítse a szabályt egy új binStartTime értékkel egy új datetime érték beállításához.
timeSelector (nem kötelező)	TimeGenerated	Meghatározza az Azure Monitor által az adatok összesítéséhez használt időbélyegmezőt. Ha például be van állítva"binSize": 120, akkor előfordulhat, hogy olyan bejegyzéseket kap, amely TimeGenerated között és 04:00között 02:00 érték szerepel.

Az összesítés időzítésének konfigurálása

Alapértelmezés szerint az összefoglaló szabály az első összesítést röviddel a következő egész óra után hozza létre.

A rövid késleltetésű Azure Monitor fiókokat ad hozzá a betöltési késéshez – vagy az adatok monitorozott rendszerben való létrehozása és az Azure Monitorban való elemzéshez való elérhetővé válása közötti idő között. Alapértelmezés szerint ez a késleltetés három és fél perc és az érték 10%-a között van az binSize egyes adattömbek összesítése előtt. A legtöbb esetben ez a késés biztosítja, hogy az Azure Monitor az egyes tárolóidőszakokon belül naplózott összes adatot összesíti.

Példa:

• 14:44-kor létrehoz egy 30 perces gyűjtőméretű összefoglaló szabályt.

  A szabály nem sokkal 15:00 után hozza létre az első összesítést – például 15:04-kor – a 14:30 és 15:00 között naplózott adatokhoz.

• Egy 720 perces (12 órás) gyűjtőméretű összefoglaló szabályt 14:44-kor hozhat létre.

  A szabály az első összesítést 16:12–72 perccel (a 720 dobozméret 10%-ával) hozza létre 13:00 után – a 03:00 és 15:00 között naplózott adatok esetében.

binStartTime A paraméterekkel binDelay módosíthatja az első összesítés időzítését, és az Azure Monitor által az egyes összesítések előtt hozzáadott késést.

A következő szakaszok példákat mutatnak be az alapértelmezett összesítés időzítésére és a fejlettebb aggregációs időzítési lehetőségekre.

Alapértelmezett összesítési időzítés használata

Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, az Azure Monitor pedig négy perces alapértelmezett késleltetést ad hozzá.

binSize (perc)	Kezdeti szabály futtatása	Első összesítés	Második összesítés
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
120	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Választható összesítési időzítési paraméterek beállítása

Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, és a szabály az alábbi speciális konfigurációs beállításokat tartalmazza:

• binStartTime: 2023-06-08 07:00
• binDelay: 8 perc

binSize (perc)	Kezdeti szabály futtatása	Első összesítés	Második összesítés
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
120	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Összefoglaló szabályok megtekintése

Ezzel az GET API-hívással megtekintheti egy adott összefoglaló szabály konfigurációját:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

Ezzel az GET API-hívással megtekintheti a konfigurációt a Log Analytics-munkaterület összes összefoglaló szabályának konfigurálásához:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Összegzési szabály leállítása és újraindítása

Egy szabályt egy ideig leállíthat – például ha ellenőrizni szeretné, hogy az adatok egy táblába vannak-e betöltve, és nem szeretné befolyásolni az összegzett táblázatot és jelentéseket. A szabály újraindításakor az Azure Monitor a következő egész órától vagy a megadott binStartTime (nem kötelező) paraméter alapján kezdi meg az adatok feldolgozását.

Egy szabály leállításához használja ezt az POST API-hívást:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

A szabály újraindításához használja ezt az POST API-hívást:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Összegző szabály törlése

A Log Analytics-munkaterületen legfeljebb 30 aktív összefoglaló szabályt használhat. Ha új szabályt szeretne létrehozni, de már 30 aktív szabálya van, le kell állítania vagy törölnie kell egy aktív összefoglaló szabályt.

Szabály törléséhez használja ezt az DELETE API-hívást:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Összefoglaló szabályok figyelése

Az összefoglaló szabályok monitorozásához engedélyezze az Összefoglaló naplók kategóriát a Log Analytics-munkaterület diagnosztikai beállításai között. Az Azure Monitor összefoglaló szabályvégrehajtási adatokat küld a munkaterület LASummaryLogs táblájának, beleértve az összefoglaló szabály futtatási, sikeres és meghiúsult adatait.

Javasoljuk, hogy állítson be naplóriasztási szabályokat, hogy értesítést kapjon a tárolóhibákról, vagy ha a tárolók végrehajtása időkorláthoz közeledik, ahogyan az alább látható. A hiba okától függően csökkentheti a tároló méretét, hogy az egyes végrehajtások kevesebb adatot dolgozzanak fel, vagy módosíthatja a lekérdezést, hogy kevesebb rekordot vagy mezőt adjon vissza nagyobb kötettel.

Ez a lekérdezés sikertelen futtatásokat ad vissza:

LASummaryLogs | where Status == "Failed"

Ez a lekérdezés olyan bináris futtatásokat ad vissza, ahol az QueryDurationMs érték nagyobb, mint 0,9 x 600 000 ezredmásodperc:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Az adatok teljességének ellenőrzése

Az összefoglaló szabályok méretezésre vannak tervezve, és újrapróbálkozási mechanizmust tartalmaznak például a lekérdezési korlátokhoz kapcsolódó átmeneti szolgáltatások vagy lekérdezési hibák leküzdésére. Az újrapróbálkozási mechanizmus 10 kísérletet tesz arra, hogy nyolc órán belül összesítsen egy sikertelen tárolót, és ha kimerült, kihagy egy tárolót. A szabály nyolc egymást követő bin újrapróbálkozás után van beállítva isActive: false és várakoztatva. Ha engedélyezi a figyelési összefoglaló szabályokat, az Azure Monitor naplóz egy eseményt a LASummaryLogs munkaterület táblájában.

Sikertelen tárolófuttatás nem futtatható újra, de a sikertelen futtatások megtekintéséhez használja a következő lekérdezést:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Ez a lekérdezés az eredményeket idődiagramként jeleníti meg:

A szabály szervizelési lehetőségeiről és a proaktív riasztásokról lásd a Figyelési összefoglaló szabályok szakaszt.

Összegző szabálylekérdezések titkosítása ügyfél által felügyelt kulcsok használatával

A KQL-lekérdezések bizalmas információkat tartalmazhatnak a megjegyzésekben vagy a lekérdezés szintaxisában. Az összefoglaló szabálylekérdezések titkosításához csatoljon egy tárfiókot a Log Analytics-munkaterülethez, és használjon ügyfél által felügyelt kulcsokat.

Megfontolandó szempontok a titkosított lekérdezések használatakor:

• A tárfiók lekérdezések titkosításához való csatolása nem szakítja meg a meglévő szabályokat.
• Az Azure Monitor alapértelmezés szerint a Log Analytics-tárolóban tárolja az összefoglaló szabály lekérdezéseket. Ha meglévő összefoglaló szabályokkal rendelkezik, mielőtt egy tárfiókot a Log Analytics-munkaterülethez csatol, frissítse az összefoglaló szabályokat úgy, hogy a lekérdezések a tárfiókba mentsék a meglévő lekérdezéseket.
• A tárfiókba mentett lekérdezések a CustomerConfigurationStoreTable táblában találhatók. Ezek a lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
• Ugyanazt a tárfiókot használhatja az összefoglaló szabály lekérdezéseihez, a Log Analyticsben mentett lekérdezésekhez és a naplóriasztásokhoz.

Összefoglaló szabályok hibaelhárítása

Ez a szakasz tippeket nyújt az összefoglaló szabályok hibaelhárításához.

Az összefoglaló szabály céltáblája véletlenül törölve lett

Ha törli a céltáblát, amíg az összefoglaló szabály aktív, a szabály fel lesz függesztve, és az Azure Monitor egy eseményt küld a LASummaryLogs táblának egy üzenettel, amely jelzi, hogy a szabály fel lett függesztve.

Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredmények helyreállítására van szüksége, kövesse az összefoglaló szabályok létrehozása vagy frissítése szakasz lépéseit a tábla újbóli létrehozásához. A rendszer visszaállítja a céltáblát, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.

Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredményekre van szüksége, kövesse a Létrehozás vagy frissítés összegzési szabályok szakasz lépéseit a céltábla újbóli létrehozásához és az összes adat visszaállításához, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.

A lekérdezés olyan operátorokat használ, amelyek új oszlopokat hoznak létre a céltáblában

A céltábla sémája összegzési szabály létrehozásakor vagy frissítésekor van definiálva. Ha az összefoglaló szabály lekérdezése olyan operátorokat tartalmaz, amelyek engedélyezik a kimeneti séma bejövő adatokon alapuló bővítését – például ha a lekérdezés a arg_max(expression, *) függvényt használja –, az Azure Monitor nem ad hozzá új oszlopokat a céltáblához az összefoglaló szabály létrehozása vagy frissítése után, és a rendszer elveti az ezeket az oszlopokat igénylő kimeneti adatokat. Ha új mezőket szeretne hozzáadni a céltáblához, frissítse az összefoglaló szabályt, vagy adjon hozzá manuálisan egy oszlopot a táblához.

Az eltávolított oszlopokban lévő adatok a tábla adatmegőrzési beállításai alapján maradnak a munkaterületen

Amikor eltávolítja a lekérdezés oszlopait, az oszlopok és az adatok a célhelyen maradnak, és a táblán vagy munkaterületen meghatározott megőrzési idő alapján maradnak. Ha nem kell eltávolítania a céltáblában, törölje az oszlopokat a táblázatsémából. Ha ezután azonos nevű oszlopokat ad hozzá, minden olyan adat, amely nem régebbi, mint a megőrzési időszak, újra megjelenik.

Kapcsolódó tartalom

• További információ az Azure Monitor-naplók adatcsomagjairól.
• Útmutató a KQL mód Log Analyticsben való használatáról.
• A KQL teljes referenciadokumentációjának elérése.