Adatok összesítése a Log Analytics-munkaterületen összefoglaló szabályok használatával

Az összegzési szabály lehetővé teszi a naplóadatok rendszeres gyakoriságú összesítését, és az összesített eredményeket a naplóelemzési munkaterület egy egyéni naplótáblájába küldi. Összegzési szabályok használatával optimalizálhatja az adatokat a következőkre:

Elemzések és jelentések, különösen nagy adathalmazok és időtartományok felett, a biztonsági és incidenselemzéshez, a havi vagy éves üzleti jelentésekhez stb. Egy nagy adatkészlet összetett lekérdezései gyakran időtúllépést eredményeznek. Egyszerűbb és hatékonyabb a megtisztított és összesített adatok elemzése és jelentése.
Költségmegtakarítás a bőbeszédű naplók tárolásán, amelyeket a szükséges időtartamra egy olcsó alaptáblában tárolhat, és az összegzett adatokat egy elemzőtáblába küldhet elemzéshez és jelentésekhez.
A biztonság és az adatok védelme az összesített megosztható adatok adatvédelmi adatainak eltávolításával vagy elrejtésével, valamint a nyers adatokkal rendelkező táblákhoz való hozzáférés korlátozásával.

Ez a cikk az összefoglaló szabályok működését, valamint az összefoglaló szabályok definiálását és megtekintését ismerteti, valamint példákat tartalmaz az összefoglaló szabályok használatára és előnyeire.

Az alábbi videó áttekintést nyújt az összefoglaló szabályok néhány előnyéről:

Ugorjon bele egy lépésről lépésre követhető példába ezzel az összefoglaló szabályokat bemutató útmutatóval.

Az összefoglaló szabályok működése

Az összefoglaló szabályok közvetlenül a Log Analytics-munkaterületen hajtják végre a kötegelt feldolgozást. Az összefoglaló szabály egy KQL-lekérdezés alapján összesíti a tárolóméret alapján definiált adattömböket, és újra betölti az összesített eredményeket egy egyéni táblába egy Elemzési naplócsomaggal a Log Analytics-munkaterületen.

Bármilyen táblából összesíthet adatokat, függetlenül attól, hogy a tábla rendelkezik-e elemzési vagy alapszintű adatcsomaggal. Az Azure Monitor a megadott lekérdezés alapján hozza létre a céltábla sémáját. Ha a céltábla már létezik, az Azure Monitor hozzáfűzi a lekérdezés eredményeinek támogatásához szükséges oszlopokat. Az összes céltábla tartalmaz egy szabványos mezőkészletet is, amely összegző szabályadatokat tartalmaz, többek között a következőket:

_RuleName: Az összesített naplóbejegyzést létrehozó összefoglaló szabály.
_RuleLastModifiedTime: A szabály utolsó módosításának dátuma.
_BinSize: Az összesítési időköz.
_BinStartTime: Az összesítés kezdési időpontja.

Legfeljebb 100 aktív szabályt konfigurálhat úgy, hogy több táblából összesítse az adatokat, és az összesített adatokat külön céltáblákba vagy ugyanabba a táblába küldje.

Egy adatexportálási szabály definiálásával exportálhatja az összesített adatokat egy egyéni naplótáblából egy tárfiókba vagy az Event Hubsba további integráció céljából.

Példa: ContainerLogsV2-adatok összegzése

Tárolók figyelése esetén nagy mennyiségű részletes naplót dolgozol fel a ContainerLogsV2 táblában.

Ezt a lekérdezést használhatja az összefoglaló szabályban az összes egyedi naplóbejegyzés 60 percen belüli összesítésére, így megőrizheti az elemzéshez és a felesleges adatok elvetéséhez hasznos adatokat:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Íme a nyers adatok a ContainerLogsV2 táblázatban:

Az összefoglaló szabály által a céltáblának küldött összesített adatok:

Ahelyett, hogy több száz hasonló bejegyzést naplóz egy órán belül, a céltábla az egyes egyedi bejegyzések számát jeleníti meg a KQL-lekérdezésben meghatározottak szerint. Állítsa be az alapszintű adatcsomagot a táblában a ContainerLogsV2 nyers adatok olcsó megőrzéséhez, és használja az összesített adatokat a céltáblában az elemzési igényekhez.

A szükséges engedélyek

Művelet	A szükséges engedélyek
Összefoglaló szabály létrehozása vagy frissítése	`Microsoft.Operationalinsights/workspaces/summarylogs/write`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Céltábla létrehozása vagy frissítése	`Microsoft.OperationalInsights/workspaces/tables/write`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-közreműködő beépített szerepkörének megfelelően, például
Lekérdezési művelet engedélyezése a munkaterületen	`Microsoft.OperationalInsights/workspaces/query/read`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
A munkaterület összes táblája lekérdezése	`Microsoft.OperationalInsights/workspaces/query/*/read`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók egy táblában	`Microsoft.OperationalInsights/workspaces/query/<table>/read`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Lekérdezési naplók egy táblában (táblaművelet)	`Microsoft.OperationalInsights/workspaces/tables/query/read`a Log Analytics-munkaterületre vonatkozó engedélyek, a Log Analytics-olvasó beépített szerepkörének megfelelően, például
Ügyfél által felügyelt tárfiókban titkosított lekérdezések használata	`Microsoft.Storage/storageAccounts/*` a tárfiókra vonatkozó engedélyeket, a tárfiók közreműködője által biztosított beépített szerepkörnek megfelelően, például

Implementálási szempontok

A munkaterület aktív szabályainak maximális száma 100.
Az összefoglaló szabályok jelenleg csak a nyilvános felhőben érhetők el.
Az összefoglaló szabály feldolgozza a bejövő adatokat, és nem konfigurálható előzményidőtartományon.
Ha a tárolók végrehajtási újrapróbálkozásai elfogynak, a binkihagyásra kerül, és nem hajtható végre újra.
A Microsoft Lighthouse keretében nem támogatott egy másik bérlő lekérdezésével történő összefoglaló szabály létrehozása.
Nem támogatott munkaterület-átalakítás hozzáadása az Összefoglaló szabályok céltáblához.
** A union * és isfuzzy=true használata a Summary szabályok lekérdezésben nem támogatott.

Díjszabási modell

Az összegzési szabályok nem járnak többletköltséggel. A lekérdezésért és az eredmények céltáblába való betöltéséért csak annak a forrástáblának a táblázatterve alapján kell fizetnie, amelyen a lekérdezést futtatja:

Forrástábla-terv	Lekérdezés költsége	Összegző eredmények betöltési költsége
Analitika	Nincs költség	Elemzési naplók betöltése
Alapszintű és kiegészítő	Adatvizsgálat	Elemzési naplók betöltése

Például egy óránkénti szabály költségszámítása, amely 100 rekordot ad vissza binonként:

Forrástábla-terv	Havi árszámítás
Analitika	Betöltési ár x rekordmennyiség x rekordok száma x 24 óra x 30 nap.
Alapszintű és kiegészítő	Adatvizsgálati ár x beolvasott kötet + Betöltési ár x rekordmennyiség x rekordok száma x 24 óra x 30 nap. A folyamatosan futó szabály esetében a rendszer minden bejövő adatot beolvas a forrástáblába.

További információkért tekintse meg az Azure Monitor díjszabását.

Összefoglaló szabály létrehozása vagy frissítése

A lekérdezés összefoglaló szabályában használható operátorok a lekérdezés forrástáblájának tervétől függenek.

Elemzés: Az összes KQL-operátort és függvényt támogatja, kivéve a következőket:
- Erőforrásközi lekérdezések, amelyek a workspaces(), app(), és resource() kifejezéseket, valamint a szolgáltatásközi lekérdezéseket használják, amelyek az és ADX() a ARG() kifejezéseket használják.
- Az adatsémát átalakító beépülő modulok, beleértve a kicsomagolást, a szűkítést és a pivotálást is.
Alapszintű: Egyetlen tábla összes KQL-operátorát támogatja. A keresési operátorral legfeljebb öt Analytics-táblát csatlakoztathat.
Függvények: A felhasználó által definiált függvények nem támogatottak. A Microsoft által biztosított rendszerfunkciók támogatottak.

Az összefoglaló szabályok akkor a leghasznosabbak a költség és a lekérdezési élmény szempontjából, ha a szabályban szereplő lekérdezés operátort tartalmaz summarize , és az eredmények száma vagy mennyisége jelentősen csökken. Például az, hogy a cél az eredmények mennyisége a forrás volumenének 0,01%-a vagy kevesebb legyen. Mielőtt létrehoz egy szabályt, kísérletezzen a Log Analyticsben, és ellenőrizze a következőket:

Ellenőrizze, hogy a lekérdezés létrehozza-e a várt eredményeket és sémát.
A lekérdezés nem éri el és nem is közelíti meg a lekérdezési API korlátait. Ha a lekérdezés közel van a lekérdezés korlátaihoz, fontolja meg kisebb "tárolóméret" használatát a tárolónkénti kevesebb adat feldolgozásához. A lekérdezést úgy is módosíthatja, hogy kevesebb rekordot vagy nagyobb kötetű mezőt adjon vissza.
Az eredmények rekordmérete kisebb, mint 1 MB.

Megjegyzés:

Ne használjon időszűrőt összegzési szabály lekérdezésében, mert a lekérdezés már a tárolóhely mérete által meghatározott időtartományon keresztül működik. Ha időszűrőt ad hozzá, az össze lesz adva a doboz méretével, így csak az egymást átfedő időszak lesz használatban.

Amikor frissít egy lekérdezést, és kevesebb mező szerepel az összefoglaló eredmények között, az Azure Monitor nem távolítja el automatikusan az oszlopokat a céltáblából, és manuálisan kell törölnie az oszlopokat a táblából .

API
Azure Resource Manager-sablon

Összefoglaló szabály létrehozásához vagy frissítéséhez hajtsa létre ezt az PUT API-hívást:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Ezzel a sablonnal összefoglaló szabályt hozhat létre vagy frissíthet. Az Azure Resource Manager-sablonok használatáról és üzembe helyezéséről további információt az Azure Resource Manager-sablonokban talál.

Sablonfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "displayName": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The summary rule display name when provided."
    //   }
    // },
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2025-07-01",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Paraméterfájl

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description"
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Ez a táblázat az összefoglaló szabály paramétereit ismerteti:

Paraméter	Érvényes értékek	Leírás
`ruleType`	`User` vagy `System`	Megadja a szabály típusát. - `User`: Ön által definiált szabályok. - `System`: Az Azure-szolgáltatások által felügyelt előre definiált szabályok.
`description`	Sztring	A szabályt és annak függvényét ismerteti. Ez a paraméter akkor hasznos, ha több szabályt használ, és segíthet a szabálykezelésben.
`binSize`	`20`, `30`, `60`, `120`, `180360`, `720`, vagy `1440` (perc)	Meghatározza az összesítési időközt és a visszatekintési időtartományt. Ha például be van állítva `"binSize": 120`, akkor előfordulhat, hogy bejegyzéseket kap `02:00 to 04:00` és `04:00 to 06:00`.
`query`	Kusto lekérdezésnyelv (KQL) lekérdezés	Meghatározza a szabályban végrehajtandó lekérdezést. Nem kell időtartományt megadnia, mert a `binSize` paraméter határozza meg az összesítési időközt – például `02:00 to 03:00` ha `"binSize": 60`. Ha időszűrőt ad hozzá a lekérdezéshez, a lekérdezésben használt időtartomány a szűrő és az idősáv méret metszeteként alakul ki.
`destinationTable`	`tablename_CL`	A célként megadott egyéni naplótábla nevét adja meg. A névértéknek az utótagot `_CL`kell tartalmaznia. Az Azure Monitor a szabályban beállított lekérdezés alapján létrehozza a táblát a munkaterületen, ha még nem létezik. Ha a tábla már létezik a munkaterületen, az Azure Monitor hozzáadja a lekérdezésben bevezetett új oszlopokat. Ha az összefoglaló eredmények fenntartott oszlopnevet tartalmaznak – például `TimeGenerated`, `_IsBillable`, `_ResourceId`, `TenantId`vagy `Type` – az Azure Monitor hozzáfűzi az `_Original` előtagot az eredeti mezőkhöz az eredeti értékek megőrzése érdekében.
`binDelay` (nem kötelező)	Egész szám (perc)	Beállít egy várakozási időt az adatok befogadása előtti végrehajtásra, amely általában akkor hasznos, ha a későn érkező adatok kezelése történik, más néven bevitel késleltetése, és lehetővé teszi, hogy a legtöbb adat megérkezzen. Az alapértelmezett késleltetés három és fél perctől az `binSize` érték 10%-ig tart. Ha tudja, hogy a lekérdezésben szereplő adatok általában késéssel kerülnek be, állítsa be a `binDelay` paramétert az ismert vagy nagyobb késleltetési értékkel, legfeljebb 1440 percig. További információ: Az összesítés időzítésének konfigurálása. Bizonyos esetekben az Azure Monitor kissé késleltetve indíthatja el a bin végrehajtását a kezdeti késleltetés után a szolgáltatás megbízhatóságának és a lekérdezés sikerességének biztosítása érdekében.
`binStartTime` (nem kötelező)	Időpont in `%Y-%n-%eT%H:%M %Z` formátum	Meghatározza a bináris végrehajtás kezdeti dátumát és időpontját. Az érték kezdődhet a szabály létrehozási időpontjával, mínusz az `binSize` érték, vagy később, és csak teljes órákra. Ha például a datetime `2023-12-03T12:13ZbinSize` értéke 1440, akkor a legkorábbi érvényes `binStartTime` érték `2023-12-02T13:00Z`, és az összesítés a 02T13:00 és 03T13:00 közötti naplózott adatokat tartalmazza. Ebben a forgatókönyvben a szabályok elkezdik a 03T13:00 és az alapértelmezett vagy megadott késleltetés összesítését. A `binStartTime` paraméter napi összefoglaló forgatókönyvekben hasznos. Tegyük fel, hogy az UTC-8 időzónában tartózkodik, és napi szabályt hoz létre `2023-12-03T12:13Z`. Azt szeretné, hogy a szabály befejeződjön, mielőtt 8:00-kor (00:00 UTC) kezdené a napot. Állítsa be a paramétert `binStartTime` a következőre `2023-12-02T22:00Z`: . Az első összesítés tartalmazza a helyi idő szerint 02T:06:00 és 03T:06:00 között naplózott összes adatot, és a szabály naponta egyszerre fut. További információ: Az összesítés időzítésének konfigurálása. A szabályok frissítésekor a következőkre van lehetősége: - Használja a meglévő `binStartTime` értéket, vagy távolítsa el a paramétert `binStartTime` , amely esetben a végrehajtás a kezdeti definíció alapján folytatódik. – Frissítse a szabályt egy új `binStartTime` értékkel egy új datetime érték beállításához.
`displayName` (nem kötelező)	Sztring	Megadja a szabály megjelenítendő nevét az Azure Portalon.
`timeSelector` (nem kötelező)	`TimeGenerated`	Meghatározza az Azure Monitor által az adatok összesítéséhez használt időbélyegmezőt. Ha például be van állítva `"binSize": 120`, akkor előfordulhat, hogy olyan bejegyzéseket kap, amelyek `TimeGenerated` és `02:00` közötti `04:00` érték van.

Az összesítés időzítésének konfigurálása

Alapértelmezés szerint az összefoglaló szabály az első összesítést röviddel a következő egész óra után hozza létre.

Az Azure Monitor késleltetése rövid, és a betöltési késéshez tartozik, ami a monitorozott rendszerben az adatok létrehozása és az Azure Monitorban történő elemzéshez való elérhetőségük közötti időt jelenti. Alapértelmezés szerint ez a késleltetés három és fél perc és a "bin size" érték 10%-a között van az egyes tárolók összesítése előtt. A legtöbb esetben ez a késés biztosítja, hogy az Azure Monitor az összes adatot, amelyet az egyes bin időszakokon belül naplóztak, összesíti.

Példa:

14:44-kor létrehoz egy 30 perces gyűjtőméretű összefoglaló szabályt. Az első összesítés 15:04-kor jön létre, ami a következő egész óra és 4 perc késleltetés.
14:44-kor létrehoz egy 720 perces gyűjtőméretű összefoglaló szabályt. Az első összesítés 16:12-kor jön létre, amely a következő egész óra plusz 72 perc (a 720 dobozméret 10%) késleltetése.

binStartTime és binDelay paraméterek használatával módosíthatja az első összesítés időzítését, valamint az egyes összesítések előtt az Azure Monitor által hozzáadott késést.

A következő szakaszok példákat mutatnak be az alapértelmezett összesítés időzítésére és a fejlettebb aggregációs időzítési lehetőségekre.

Alapértelmezett összesítési időzítés használata

Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, az Azure Monitor pedig négy perces alapértelmezett késleltetést ad hozzá.

időegység (perc)	Kezdeti szabály végrehajtása	Első összesítés	Második összesítés
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
Százhúsz	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Választható összesítési időzítési paraméterek beállítása

Ebben a példában az összefoglaló szabály 2023.06.07-én 14:44-kor jön létre, és a szabály az alábbi speciális konfigurációs beállításokat tartalmazza:

binStartTime: 2023.06.08 07:00
binDelay: 8 perc

időegység (perc)	Kezdeti szabály végrehajtása	Első összesítés	Második összesítés
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
Százhúsz	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Összefoglaló szabályok megtekintése

Ezzel az GET API-hívással megtekintheti egy adott összefoglaló szabály konfigurációját:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2025-07-01
Authorization: {credential}

Ezzel az GET API-hívással megtekintheti a konfigurációt a Log Analytics-munkaterület összes összefoglaló szabályának konfigurálásához:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2025-07-01
Authorization: {credential}

Összegzési szabály leállítása és újraindítása

Egy szabályt egy ideig leállíthat – például ha ellenőrizni szeretné, hogy az adatok egy táblába vannak-e betöltve, és nem szeretné befolyásolni az összegzett táblázatot és jelentéseket. A szabály újraindításakor az Azure Monitor a következő egész órától vagy a megadott binStartTime (nem kötelező) paraméter alapján kezdi meg az adatok feldolgozását.

Egy szabály leállításához használja ezt az POST API-hívást:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2025-07-01
Authorization: {credential}

A szabály újraindításához használja ezt az POST API-hívást:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2025-07-01
Authorization: {credential}

Összegző szabály törlése

A Log Analytics-munkaterületen legfeljebb 30 aktív összefoglaló szabályt használhat. Ha új szabályt szeretne létrehozni, de már 30 aktív szabálya van, le kell állítania vagy törölnie kell egy aktív összefoglaló szabályt.

Szabály törléséhez használja ezt az DELETE API-hívást:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2025-07-01
Authorization: {credential}

Szabályok összefoglalójának figyelése

Az összefoglaló szabályok monitorozásához engedélyezze az Összefoglaló naplók kategóriát a Log Analytics-munkaterület diagnosztikai beállításai között. Az Azure Monitor összefoglaló szabályvégrehajtási adatokat küld a munkaterület LASummaryLogs táblájának, beleértve az összefoglaló szabály futtatási, sikeres és meghiúsult adatait.

Javasoljuk, hogy állítson be naplóriasztási szabályokat, hogy értesítést kapjon a tárolóhibákról, vagy ha a tároló végrehajtása időkorláthoz közeledik, ahogyan az alább látható. A hiba okától függően csökkentheti a tároló méretét, hogy az egyes végrehajtások kevesebb adatot dolgozzanak fel, vagy módosíthatja a lekérdezést, hogy kevesebb rekordot vagy mezőt adjon vissza nagyobb kötettel.

Ez a lekérdezés sikertelen futtatásokat ad vissza:

LASummaryLogs | where Status == "Failed"

Ez a lekérdezés olyan bináris futtatásokat ad vissza, ahol az QueryDurationMs érték nagyobb, mint 0,9 x 600 000 ezredmásodperc:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Az adatok teljességének ellenőrzése

Az összefoglaló szabályok méretezésre vannak tervezve, és újrapróbálkozási mechanizmust tartalmaznak például a lekérdezési korlátokhoz kapcsolódó átmeneti szolgáltatások vagy lekérdezési hibák leküzdésére. Az újrapróbálkozási mechanizmus 10 kísérletet tesz arra, hogy nyolc órán belül összesítsen egy sikertelen tárolót, és ha kimerült, kihagy egy tárolót. A szabály be van állítva isActive: false, és nyolc egymást követő bin újrapróbálkozás után várakoztatják. Ha engedélyezi a figyelési összefoglaló szabályokat, az Azure Monitor naplóz egy eseményt a LASummaryLogs munkaterület táblájában.

A sikertelen bináris futtatás nem futtatható újra, de a sikertelen futtatások megtekintéséhez használja a következő lekérdezést:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Ez a lekérdezés az eredményeket idődiagramként jeleníti meg:

A szabály szervizelési lehetőségeiről és a proaktív riasztásokról lásd a Figyelési összefoglaló szabályok szakaszt.

Összegző szabálylekérdezések titkosítása ügyfél által felügyelt kulcsok használatával

A KQL-lekérdezések bizalmas információkat tartalmazhatnak a megjegyzésekben vagy a lekérdezés szintaxisában. Az összefoglaló szabálylekérdezések titkosításához csatoljon egy tárfiókot a Log Analytics-munkaterülethez, és használjon ügyfél által felügyelt kulcsokat.

Megfontolandó szempontok a titkosított lekérdezések használatakor:

A tárfiók lekérdezések titkosításához való csatolása nem szakítja meg a meglévő szabályokat.
Az Azure Monitor alapértelmezés szerint a Log Analytics-tárolóban tárolja az összefoglaló szabály lekérdezéseket. Ha meglévő összefoglaló szabályokkal rendelkezik, mielőtt egy tárfiókot a Log Analytics-munkaterülethez csatol, frissítse az összefoglaló szabályokat úgy, hogy a lekérdezések a tárfiókba mentsék a meglévő lekérdezéseket.
A tárfiókba mentett lekérdezések a CustomerConfigurationStoreTable táblában találhatók. Ezek a lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
Ugyanazt a tárfiókot használhatja az összefoglaló szabály lekérdezéseihez, a Log Analyticsben mentett lekérdezésekhez és a naplóriasztásokhoz.

Hibaelhárítási összefoglaló szabályok

Ez a szakasz tippeket nyújt az összefoglaló szabályok hibaelhárításához.

Az összefoglaló szabály céltáblája véletlenül törölve lett

Ha törli a céltáblát, amíg az összefoglaló szabály aktív, a szabály fel lesz függesztve, és az Azure Monitor egy eseményt küld a LASummaryLogs táblának egy üzenettel, amely jelzi, hogy a szabály fel lett függesztve.

Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredmények helyreállítására van szüksége, kövesse az összefoglaló szabályok létrehozása vagy frissítése szakasz lépéseit a tábla újbóli létrehozásához. A rendszer visszaállítja a céltáblát, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.

Ha nincs szüksége az összefoglaló eredményekre a céltáblában, törölje a szabályt és a táblát. Ha az összefoglaló eredményekre van szüksége, kövesse a Létrehozás vagy frissítés összegzési szabályok szakasz lépéseit a céltábla újbóli létrehozásához és az összes adat visszaállításához, beleértve a törlés előtt betöltött adatokat is, a tábla adatmegőrzési szabályzatától függően.

A lekérdezés olyan operátorokat használ, amelyek új oszlopokat hoznak létre a céltáblában

A céltábla sémája összegzési szabály létrehozásakor vagy frissítésekor van definiálva. Ha az összefoglaló szabály lekérdezése olyan operátorokat tartalmaz, amelyek engedélyezik a kimeneti séma bejövő adatokon alapuló bővítését – például ha a lekérdezés a arg_max(expression, *) függvényt használja –, az Azure Monitor nem ad hozzá új oszlopokat a céltáblához az összefoglaló szabály létrehozása vagy frissítése után, és a rendszer elveti az ezeket az oszlopokat igénylő kimeneti adatokat. Ha új mezőket szeretne hozzáadni a céltáblához, frissítse az összefoglaló szabályt, vagy adjon hozzá manuálisan egy oszlopot a táblához.

Az eltávolított oszlopokban lévő adatok a tábla adatmegőrzési beállításai alapján maradnak a munkaterületen

Amikor eltávolít egy mezőt a lekérdezésből, az oszlopok és az adatok a célhelyen maradnak a táblában vagy munkaterületen meghatározott megőrzési idő alapján. Ha nem kell eltávolítania a céltáblában, törölje az oszlopokat a táblázatsémából. Ha ezután azonos nevű oszlopokat ad hozzá, minden olyan adat, amely nem régebbi, mint a megőrzési időszak, újra megjelenik.

További információ az Azure Monitor-naplók adatcsomagjairól.
Útmutató a Log Analytics használatáról.
A KQL teljes referenciadokumentációjának elérése.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-12-04