Adatok összesítése a Log Analytics-munkaterületen összefoglaló szabályokkal (előzetes verzió)
Cikk
Az összegzési szabály lehetővé teszi a naplóadatok rendszeres gyakoriságú összesítését, és az összesített eredményeket a naplóelemzési munkaterület egy egyéni naplótáblájába küldi. Összegzési szabályok használatával optimalizálhatja az adatokat a következőkre:
Elemzések és jelentések, különösen nagy adathalmazok és időtartományok felett, a biztonsági és incidenselemzéshez, a havi vagy éves üzleti jelentésekhez stb. Egy nagy adatkészlet összetett lekérdezései gyakran időtúllépést eredményeznek. Egyszerűbb és hatékonyabb a megtisztított és összesített összesített adatok elemzése és jelentése.
Költségmegtakarítás részletes naplókon, amelyeket akár csak egy olcsó alapszintű naplótáblában is megőrizhet, és összegzett adatokat küldhet elemzéshez és jelentésekhez egy Analytics-táblába.
A biztonság és az adatok védelme az összesített megosztható adatok adatvédelmi adatainak eltávolításával vagy elrejtésével, valamint a nyers adatokkal rendelkező táblákhoz való hozzáférés korlátozásával.
Ez a cikk az összefoglaló szabályok működését, valamint az összefoglaló szabályok definiálását és megtekintését ismerteti, valamint példákat tartalmaz az összefoglaló szabályok használatára és előnyeire.
Az alábbi videó áttekintést nyújt az összefoglaló szabályok néhány előnyéről:
Az összefoglaló szabályok működése
Az összefoglaló szabályok közvetlenül a Log Analytics-munkaterületen hajtják végre a kötegelt feldolgozást. Az összefoglaló szabály egy KQL-lekérdezés alapján összesíti a tárolóméret alapján definiált adattömböket, és újra betölti az összesített eredményeket egy egyéni táblába egy Elemzési naplócsomaggal a Log Analytics-munkaterületen.
Bármilyen táblából összesíthet adatokat, függetlenül attól, hogy a tábla rendelkezik-e elemzési vagy alapszintű adatcsomaggal. Az Azure Monitor a megadott lekérdezés alapján hozza létre a céltábla sémáját. Ha a céltábla már létezik, az Azure Monitor hozzáfűzi a lekérdezés eredményeinek támogatásához szükséges oszlopokat. Az összes céltábla tartalmaz egy szabványos mezőkészletet is, amely összegző szabályadatokat tartalmaz, többek között a következőket:
_RuleName: Az összesített naplóbejegyzést létrehozó összefoglaló szabály.
_RuleLastModifiedTime: A szabály utolsó módosításának dátuma.
_BinSize: Az összesítési időköz.
_BinStartTime: Az összesítés kezdési időpontja.
Legfeljebb 30 aktív szabályt konfigurálhat úgy, hogy több táblából összesítse az adatokat, és az összesített adatokat külön céltáblákba vagy ugyanabba a táblába küldje.
Egy adatexportálási szabály definiálásával exportálhatja az összesített adatokat egy egyéni naplótáblából egy tárfiókba vagy az Event Hubsba további integráció céljából.
Példa: ContainerLogsV2-adatok összegzése
Tárolók figyelése esetén nagy mennyiségű részletes naplót kell befoglalni a ContainerLogsV2 táblába.
Ezt a lekérdezést használhatja az összefoglaló szabályban az összes egyedi naplóbejegyzés 60 percen belüli összesítésére, így megőrizheti az elemzéshez és a felesleges adatok elvetéséhez hasznos adatokat:
A táblázat nyers adatai a ContainerLogsV2 következők:
Az összefoglaló szabály által a céltáblának küldött összesített adatok:
Ahelyett, hogy több száz hasonló bejegyzést naplóz egy órán belül, a céltábla az egyes egyedi bejegyzések számát jeleníti meg a KQL-lekérdezésben meghatározottak szerint. Állítsa be az alapszintű adatcsomagot a táblában a ContainerLogsV2 nyers adatok olcsó megőrzéséhez, és használja az összesített adatokat a céltáblában az elemzési igényekhez.
A szükséges engedélyek
Művelet
A szükséges engedélyek
Összefoglaló szabály létrehozása vagy frissítése
Microsoft.Operationalinsights/workspaces/summarylogs/writea Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Céltábla létrehozása vagy frissítése
Microsoft.OperationalInsights/workspaces/tables/writea Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Lekérdezési művelet engedélyezése a munkaterületen
Microsoft.OperationalInsights/workspaces/query/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
A munkaterület összes táblája lekérdezése
Microsoft.OperationalInsights/workspaces/query/*/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók egy táblában
Microsoft.OperationalInsights/workspaces/query/<table>/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók egy táblában (táblaművelet)
Microsoft.OperationalInsights/workspaces/tables/query/reada Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Ügyfél által felügyelt tárfiókban titkosított lekérdezések használata
Microsoft.Storage/storageAccounts/* a tárfiókra vonatkozó engedélyeket, a tárfiók közreműködője által biztosított beépített szerepkörnek megfelelően, például
Implementálási szempontok
A munkaterület aktív szabályainak maximális száma 30.
Az összefoglaló szabályok jelenleg csak a nyilvános felhőben érhetők el.
Az összefoglaló szabály feldolgozza a bejövő adatokat, és nem konfigurálható előzményidőtartományon.
Ha a raktárhely végrehajtási újrapróbálkozásai elfogynak, a rendszer kihagyja a tárolót, és nem hajtható végre újra.
A Log Analytics-munkaterület lekérdezése egy másik bérlőben a Lighthouse használatával nem támogatott.
Díjszabási modell
Az összegzési szabályok nem járnak többletköltséggel. A lekérdezésért és az eredmények céltáblába való betöltéséért csak annak a forrástáblának a táblázatterve alapján kell fizetnie, amelyen a lekérdezést futtatja:
Forrástábla-terv
Lekérdezés költsége
Összegzési eredmények betöltési költsége
Elemzés
Nincs költség
Elemzési naplók betöltése
Alapszintű és kiegészítő
Adatvizsgálat
Elemzési naplók betöltése
Például egy óránkénti szabály költségszámítása, amely 100 rekordot ad vissza binonként:
Forrástábla-terv
Havi árszámítás
Elemzés
Betöltési ár x rekordmennyiség x rekordok száma x 24 óra x 30 nap.
Alapszintű és kiegészítő
Adatvizsgálati ár x beolvasott kötet + Betöltési ár x rekordmennyiség x rekordok száma x 24 óra x 30 nap. A folyamatosan futó szabály esetében a rendszer minden bejövő adatot beolvas a forrástáblába.
Alapszintű: Egyetlen tábla összes KQL-operátorát támogatja. A keresési operátorral legfeljebb öt Analytics-táblát csatlakoztathat.
Függvények: A felhasználó által definiált függvények nem támogatottak. A Microsoft által biztosított rendszerfüggvények támogatottak.
Az összefoglaló szabályok a leghasznosabbak a költség és a lekérdezési élmény szempontjából, ha az eredmények száma vagy mennyisége jelentősen csökken. Például a forrásnál kisebb, 0,01%-os vagy kisebb eredménykötetet céloz meg. Mielőtt létrehoz egy szabályt, kísérletezzen a Log Analyticsben, és ellenőrizze, hogy a lekérdezés nem éri-e el vagy nem éri-e el a lekérdezés API-korlátait. Ellenőrizze, hogy a lekérdezés létrehozza-e a várt eredményeket és sémát. Ha a lekérdezés közel van a lekérdezés korlátaihoz, fontolja meg kisebb "tárolóméret" használatát a tárolónkénti kevesebb adat feldolgozásához. A lekérdezést úgy is módosíthatja, hogy kevesebb rekordot vagy nagyobb kötetű mezőt adjon vissza.
Amikor frissít egy lekérdezést, és kevesebb mező szerepel az összefoglaló eredmények között, az Azure Monitor nem távolítja el automatikusan az oszlopokat a céltáblából, és manuálisan kell törölnie az oszlopokat a táblából .
Összefoglaló szabály létrehozásához vagy frissítéséhez hajtsa létre ezt az PUT API-hívást:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
Ezzel a sablonnal összefoglaló szabályt hozhat létre vagy frissíthet. Az Azure Resource Manager-sablonok használatáról és üzembe helyezéséről további információt az Azure Resource Manager-sablonokban talál.
Sablonfájl
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "String",
"metadata": {
"description": "The workspace name where summary rule is deployed."
}
},
"summaryRuleName": {
"type": "String",
"metadata": {
"description": "The summary rule name."
}
},
"description": {
"type": "String",
"metadata": {
"description": "A description of the rule."
}
},
"location": {
"defaultValue": "[resourceGroup().location]",
"type": "String",
"metadata": {
"description": "The Location of the workspace summary rule is deployed."
}
},
"ruleType": {
"defaultValue": "User",
"allowedValues": [
"User"
],
"type": "String",
"metadata": {
"description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
}
},
"query": {
"type": "String",
"metadata": {
"description": "The query used in summary rules."
}
},
"binSize": {
"defaultValue": 60,
"allowedValues": [
20,
30,
60,
120,
180,
360,
720,
1440
],
"type": "Int",
"metadata": {
"description": "The execution interval in minutes, and the lookback time range."
}
},
"destinationTable": {
"type": "String",
"metadata": {
"description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
}
}
// ----- optional -----
// "binDelay": {
// "type": "Int",
// "metadata": {
// "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
// }
// },
// "timeSelector": {
// "defaultValue": "TimeGenerated",
// "allowedValues": [
// "TimeGenerated"
// ],
// "type": "String",
// "metadata": {
// "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
// }
// },
// "binStartTime": {
// "type": "String",
// "metadata": {
// "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
// }
// }
},
"variables": {},
"resources": [
{
"type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
"apiVersion": "2023-01-01-preview",
//"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
"name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
"properties": {
"ruleType": "[parameters('ruleType')]",
"description": "[parameters('description')]",
"ruleDefinition": {
"query": "[parameters('query')]",
"binSize": "[parameters('binSize')]",
"destinationTable": "[parameters('destinationTable')]"
// ----- optional -----
//"binDelay": "[parameters('binDelay')]",
//"timeSelector": "[parameters('timeSelector')]",
//"binStartTime": "[parameters('binStartTime')]"
}
}
}
]
}
Ez a táblázat az összefoglaló szabály paramétereit ismerteti:
Paraméter
Érvényes értékek
Leírás
ruleType
User vagy System
Megadja a szabály típusát. - User: Ön által definiált szabályok. - System: Az Azure-szolgáltatások által felügyelt előre definiált szabályok.
description
Sztring
A szabályt és annak függvényét ismerteti. Ez a paraméter akkor hasznos, ha több szabályt használ, és segíthet a szabálykezelésben.
binSize
20, 30, 60, 120, 180360, 720, vagy 1440 (perc)
Meghatározza az összesítési időközt és a visszatekintési időtartományt. Ha például be van állítva "binSize": 120, akkor előfordulhat, hogy a következőhöz tartozó bejegyzéseket 02:00 to 04:00 kap: és 04:00 to 06:00.
Meghatározza a szabályban végrehajtandó lekérdezést. Nem kell időtartományt megadnia, mert a binSize paraméter határozza meg az összesítési időközt – például 02:00 to 03:00 ha "binSize": 60. Ha időszűrőt ad hozzá a lekérdezéshez, a lekérdezésben használt idő a szűrő és a tárolóméret metszete.
destinationTable
tablename_CL
A célként megadott egyéni naplótábla nevét adja meg. A névértéknek az utótagot _CLkell tartalmaznia. Az Azure Monitor a szabályban beállított lekérdezés alapján létrehozza a táblát a munkaterületen, ha még nem létezik. Ha a tábla már létezik a munkaterületen, az Azure Monitor hozzáadja a lekérdezésben bevezetett új oszlopokat.
Ha az összefoglaló eredmények fenntartott oszlopnevet tartalmaznak – például TimeGenerated, _IsBillable, _ResourceId, TenantIdvagy Type – az Azure Monitor hozzáfűzi az _Original előtagot az eredeti mezőkhöz az eredeti értékek megőrzése érdekében.
binDelay (nem kötelező)
Egész szám (perc)
Beállít egy várakozási időt a tárolók végrehajtása előtt, amely általában akkor hasznos, ha késői adatokon hajtják végre, más néven betöltési késéssel, és lehetővé teszi a legtöbb adat érkezését. Az alapértelmezett késleltetés három és fél perctől az binSize érték 10%-ig tart.
Ha tudja, hogy a lekérdezésben szereplő adatok általában késéssel kerülnek be, állítsa be a binDelay paramétert az ismert vagy nagyobb késleltetési értékkel, legfeljebb 1440 percig. További információ: Az összesítés időzítésének konfigurálása. Bizonyos esetekben az Azure Monitor kismértékben megkezdheti a tárolók végrehajtását a készlet késleltetése után a szolgáltatás megbízhatóságának és a lekérdezés sikerességének biztosítása érdekében.
binStartTime (nem kötelező)
Datetime in %Y-%n-%eT%H:%M %Z formátum
Megadja a kezdeti tárolóhely-végrehajtás dátumát és időpontját. Az érték a szabály létrehozási dátumával kezdődhet, mínusz az binSize érték, vagy később, egész óra alatt. Ha például a datetime 2023-12-03T12:13ZbinSize értéke 1440, akkor a legkorábbi érvényes binStartTime érték 2023-12-02T13:00Z, és az összesítés a 02T13:00 és 03T13:00 közötti naplózott adatokat tartalmazza. Ebben a forgatókönyvben a szabályok elkezdik a 03T13:00 és az alapértelmezett vagy megadott késleltetés összesítését.
A binStartTime paraméter napi összefoglaló forgatókönyvekben hasznos. Tegyük fel, hogy az UTC-8 időzónában van, és napi szabályt hoz létre a következő időpontban 2023-12-03T12:13Z: . Azt szeretné, hogy a szabály befejeződjön, mielőtt 8:00-kor (00:00 UTC) kezdené a napot. Állítsa be a paramétert binStartTime a következőre 2023-12-02T22:00Z: . Az első összesítés tartalmazza a helyi idő szerint 02T:06:00 és 03T:06:00 között naplózott összes adatot, és a szabály naponta egyszerre fut. További információ: Az összesítés időzítésének konfigurálása.
A szabályok frissítésekor a következőkre van lehetősége: - Használja a meglévő binStartTime értéket, vagy távolítsa el a paramétert binStartTime , amely esetben a végrehajtás a kezdeti definíció alapján folytatódik. – Frissítse a szabályt egy új binStartTime értékkel egy új datetime érték beállításához.
timeSelector (nem kötelező)
TimeGenerated
Meghatározza az Azure Monitor által az adatok összesítéséhez használt időbélyegmezőt. Ha például be van állítva"binSize": 120, akkor előfordulhat, hogy olyan bejegyzéseket kap, amely TimeGenerated között és 04:00között 02:00 érték szerepel.
Az összesítés időzítésének konfigurálása
Alapértelmezés szerint az összefoglaló szabály az első összesítést röviddel a következő egész óra után hozza létre.
A rövid késleltetésű Azure Monitor fiókokat ad hozzá a betöltési késéshez – vagy az adatok monitorozott rendszerben való létrehozása és az Azure Monitorban való elemzéshez való elérhetővé válása közötti idő között. Alapértelmezés szerint ez a késleltetés három és fél perc és a "bin size" érték 10%-a között van az egyes tárolók összesítése előtt. A legtöbb esetben ez a késés biztosítja, hogy az Azure Monitor az egyes tárolóidőszakokon belül naplózott összes adatot összesíti.
Példa:
14:44-kor létrehoz egy 30 perces gyűjtőméretű összefoglaló szabályt.
A szabály nem sokkal 15:00 után hozza létre az első összesítést – például 15:04-kor – a 14:30 és 15:00 között naplózott adatokhoz.
Egy 720 perces (12 órás) gyűjtőméretű összefoglaló szabályt 14:44-kor hozhat létre.
A szabály az első összesítést 16:12–72 perccel (a 720 dobozméret 10%-ával) hozza létre 13:00 után – a 03:00 és 15:00 között naplózott adatok esetében.
binStartTime A paraméterekkel binDelay módosíthatja az első összesítés időzítését, és az Azure Monitor által az egyes összesítések előtt hozzáadott késést.
A következő szakaszok példákat mutatnak be az alapértelmezett összesítés időzítésére és a fejlettebb aggregációs időzítési lehetőségekre.
Alapértelmezett összesítési időzítés használata
Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, az Azure Monitor pedig négy perces alapértelmezett késleltetést ad hozzá.
Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, és a szabály az alábbi speciális konfigurációs beállításokat tartalmazza:
binStartTime: 2023-06-08 07:00
binDelay: 8 perc
binSize (perc)
Kezdeti szabály futtatása
Első összesítés
Második összesítés
1440
2023-06-09 07:08
2023-06-08 07:00 - 2023-06-09 07:00
2023-06-09 07:00 - 2023-06-10 07:00
720
2023-06-08 19:08
2023-06-08 07:00 - 2023-06-08 19:00
2023-06-08 19:00 - 2023-06-09 07:00
360
2023-06-08 13:08
2023-06-08 07:00 - 2023-06-08 13:00
2023-06-08 13:00 - 2023-06-08 19:00
180
2023-06-08 10:08
2023-06-08 07:00 - 2023-06-08 10:00
2023-06-08 10:00 - 2023-06-08 13:00
120
2023-06-08 09:08
2023-06-08 07:00 - 2023-06-08 09:00
2023-06-08 09:00 - 2023-06-08 11:00
60
2023-06-08 08:08
2023-06-08 07:00 - 2023-06-08 08:00
2023-06-08 08:00 - 2023-06-08 09:00
30
2023-06-08 07:38
2023-06-08 07:00 - 2023-06-08 07:30
2023-06-08 07:30 - 2023-06-08 08:00
20
2023-06-08 07:28
2023-06-08 07:00 - 2023-06-08 07:20
2023-06-08 07:20 - 2023-06-08 07:40
Összefoglaló szabályok megtekintése
Ezzel az GET API-hívással megtekintheti egy adott összefoglaló szabály konfigurációját:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Ezzel az GET API-hívással megtekintheti a konfigurációt a Log Analytics-munkaterület összes összefoglaló szabályának konfigurálásához:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Összegzési szabály leállítása és újraindítása
Egy szabályt egy ideig leállíthat – például ha ellenőrizni szeretné, hogy az adatok egy táblába vannak-e betöltve, és nem szeretné befolyásolni az összegzett táblázatot és jelentéseket. A szabály újraindításakor az Azure Monitor a következő egész órától vagy a megadott binStartTime (nem kötelező) paraméter alapján kezdi meg az adatok feldolgozását.
Egy szabály leállításához használja ezt az POST API-hívást:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
A szabály újraindításához használja ezt az POST API-hívást:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Összegző szabály törlése
A Log Analytics-munkaterületen legfeljebb 30 aktív összefoglaló szabályt használhat. Ha új szabályt szeretne létrehozni, de már 30 aktív szabálya van, le kell állítania vagy törölnie kell egy aktív összefoglaló szabályt.
Szabály törléséhez használja ezt az DELETE API-hívást:
Az összefoglaló szabályok monitorozásához engedélyezze az Összefoglaló naplók kategóriát a Log Analytics-munkaterület diagnosztikai beállításai között. Az Azure Monitor összefoglaló szabályvégrehajtási adatokat küld a munkaterület LASummaryLogs táblájának, beleértve az összefoglaló szabály futtatási, sikeres és meghiúsult adatait.
Javasoljuk, hogy állítson be naplóriasztási szabályokat, hogy értesítést kapjon a tárolóhibákról, vagy ha a tárolók végrehajtása időkorláthoz közeledik, ahogyan az alább látható. A hiba okától függően csökkentheti a tároló méretét, hogy az egyes végrehajtások kevesebb adatot dolgozzanak fel, vagy módosíthatja a lekérdezést, hogy kevesebb rekordot vagy mezőt adjon vissza nagyobb kötettel.
Ez a lekérdezés sikertelen futtatásokat ad vissza:
LASummaryLogs | where Status == "Failed"
Ez a lekérdezés olyan bináris futtatásokat ad vissza, ahol az QueryDurationMs érték nagyobb, mint 0,9 x 600 000 ezredmásodperc:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Az adatok teljességének ellenőrzése
Az összefoglaló szabályok méretezésre vannak tervezve, és újrapróbálkozási mechanizmust tartalmaznak például a lekérdezési korlátokhoz kapcsolódó átmeneti szolgáltatások vagy lekérdezési hibák leküzdésére. Az újrapróbálkozási mechanizmus 10 kísérletet tesz arra, hogy nyolc órán belül összesítsen egy sikertelen tárolót, és ha kimerült, kihagy egy tárolót. A szabály nyolc egymást követő bin újrapróbálkozás után van beállítva isActive: false és várakoztatva. Ha engedélyezi a figyelési összefoglaló szabályokat, az Azure Monitor naplóz egy eseményt a LASummaryLogs munkaterület táblájában.
Sikertelen tárolófuttatás nem futtatható újra, de a sikertelen futtatások megtekintéséhez használja a következő lekérdezést:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
Ez a lekérdezés az eredményeket idődiagramként jeleníti meg:
Megfontolandó szempontok a titkosított lekérdezések használatakor:
A tárfiók lekérdezések titkosításához való csatolása nem szakítja meg a meglévő szabályokat.
Az Azure Monitor alapértelmezés szerint a Log Analytics-tárolóban tárolja az összefoglaló szabály lekérdezéseket. Ha meglévő összefoglaló szabályokkal rendelkezik, mielőtt egy tárfiókot a Log Analytics-munkaterülethez csatol, frissítse az összefoglaló szabályokat úgy, hogy a lekérdezések a tárfiókba mentsék a meglévő lekérdezéseket.
A tárfiókba mentett lekérdezések a CustomerConfigurationStoreTable táblában találhatók. Ezek a lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
Ez a szakasz tippeket nyújt az összefoglaló szabályok hibaelhárításához.
Az összefoglaló szabály céltáblája véletlenül törölve lett
Ha törli a céltáblát, amíg az összefoglaló szabály aktív, a szabály fel lesz függesztve, és az Azure Monitor egy eseményt küld a LASummaryLogs táblának egy üzenettel, amely jelzi, hogy a szabály fel lett függesztve.
Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredmények helyreállítására van szüksége, kövesse az összefoglaló szabályok létrehozása vagy frissítése szakasz lépéseit a tábla újbóli létrehozásához. A rendszer visszaállítja a céltáblát, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.
Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredményekre van szüksége, kövesse a Létrehozás vagy frissítés összegzési szabályok szakasz lépéseit a céltábla újbóli létrehozásához és az összes adat visszaállításához, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.
A lekérdezés olyan operátorokat használ, amelyek új oszlopokat hoznak létre a céltáblában
A céltábla sémája összegzési szabály létrehozásakor vagy frissítésekor van definiálva. Ha az összefoglaló szabály lekérdezése olyan operátorokat tartalmaz, amelyek engedélyezik a kimeneti séma bejövő adatokon alapuló bővítését – például ha a lekérdezés a arg_max(expression, *) függvényt használja –, az Azure Monitor nem ad hozzá új oszlopokat a céltáblához az összefoglaló szabály létrehozása vagy frissítése után, és a rendszer elveti az ezeket az oszlopokat igénylő kimeneti adatokat. Ha új mezőket szeretne hozzáadni a céltáblához, frissítse az összefoglaló szabályt, vagy adjon hozzá manuálisan egy oszlopot a táblához.
Az eltávolított oszlopokban lévő adatok a tábla adatmegőrzési beállításai alapján maradnak a munkaterületen
Napló lekérdezéseket írhat, hogy betekintést nyerjen vállalkozásába, informatikai műveleteibe és teljesítményébe. A Kusto lekérdezésnyelv (KQL) használatával kinyerheti a naplóadatokat az Azure Monitor Log Analyticsben.