Naplók lekérdezése virtuálisgép-elemzésekből
Figyelemfelhívás
Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
A virtuálisgép-elemzések összegyűjtik a teljesítmény- és kapcsolatmetrikákat, a számítógép- és folyamatleltár-adatokat, valamint az állapotinformációkat, és továbbítják azokat az Azure Monitor Log Analytics-munkaterületére. Ezek az adatok lekérdezéshez érhetők el az Azure Monitorban. Ezeket az adatokat olyan forgatókönyvekre alkalmazhatja, amelyek magukban foglalják a migrálás tervezését, a kapacitáselemzést, a felderítést és az igény szerinti teljesítmény hibaelhárítását.
Rekordok leképezése
Fontos
Ha a virtuális gép virtuálisgép-elemzéseket használ az Azure Monitor-ügynökkel, akkor a táblák létrehozásához engedélyezni kell a folyamatokat és függőségeket.
Minden egyes egyedi számítógéphez és folyamathoz óránként egy rekord jön létre a folyamat vagy számítógép indításakor vagy a virtuálisgép-elemzésekhez hozzáadva létrehozott rekordokon kívül. A VMComputer tábla mezői és értékei a ServiceMap Azure Resource Manager API Machine-erőforrás mezőire képeznek le. A VMProcess tábla mezői és értékei a ServiceMap Azure Resource Manager API Folyamat erőforrás mezőire képeznek le. A _ResourceId mező megegyezik a megfelelő Resource Manager-erőforrás névmezőjével.
A belsőleg létrehozott tulajdonságok egyedi folyamatok és számítógépek azonosítására használhatók:
- Számítógép: A _ResourceId használatával egyedileg azonosíthat egy számítógépet egy Log Analytics-munkaterületen belül.
- Folyamat: A _ResourceId használatával egyedileg azonosíthat egy folyamatot egy Log Analytics-munkaterületen belül.
Mivel egy adott folyamathoz és számítógéphez több rekord is létezhet egy megadott időtartományban, a lekérdezések több rekordot is visszaadhatnak ugyanahhoz a számítógéphez vagy folyamathoz. Ha csak a legutóbbi rekordot szeretné belefoglalni, adja hozzá | summarize arg_max(TimeGenerated, *) by ResourceId
a lekérdezéshez.
Csatlakozás ions és portok
A Csatlakozás ion Metrics funkció két új táblát vezet be az Azure Monitor naplóiban : virtuális gép Csatlakozás ion és VMBoundPort. Ezek a táblák információt nyújtanak a gépek (bejövő és kimenő) kapcsolatairól, valamint a rajtuk megnyitott/aktív kiszolgálóportokról. Csatlakozás ionMetrics api-kon keresztül is elérhetők, amelyek lehetővé teszik egy adott metrika beszerzését egy időablakban. A figyelési szoftvercsatornán való elfogadásból eredő TCP-kapcsolatok bejövőek, míg az adott IP-címhez és porthoz való csatlakozással létrehozott kapcsolatok kimenőek. A kapcsolat irányát az Irány tulajdonság jelöli, amely bejövő vagy kimenő értékre állítható be.
Az ezekben a táblákban lévő rekordok a függőségi ügynök által jelentett adatokból jönnek létre. Minden rekord egy megfigyelést jelöl egy 1 perces időintervallumban. A TimeGenerated tulajdonság az időintervallum kezdetét jelzi. Minden rekord információt tartalmaz a megfelelő entitás, azaz kapcsolat vagy port azonosításához, valamint az adott entitáshoz társított metrikák azonosításához. Jelenleg csak az IPv4-en keresztüli TCP-t használó hálózati tevékenységek lesznek jelentettek.
Gyakori mezők és konvenciók
A következő mezők és konvenciók mind a virtuális gépre Csatlakozás ionra, mind a VMBoundPortra vonatkoznak:
- Számítógép: Jelentéskészítő gép teljes tartományneve
- AgentId: Az Azure Monitor-ügynököt vagy a Log Analytics-ügynököt futtató gépek egyedi azonosítója
- Gép: A ServiceMap által közzétett gép Azure Resource Manager-erőforrásának neve. Az m-{GUID} űrlapból áll, ahol a GUID ugyanaz, mint az AgentId.
- Folyamat: A ServiceMap által közzétett folyamat Azure Resource Manager-erőforrásának neve. Ez a p-{hex sztring} űrlapból van. A folyamat egy gép hatókörén belül egyedi, és a gépek között egyedi folyamatazonosító létrehozásához egyesíti a Gép és a Folyamat mezőket.
- ProcessName: A jelentéskészítési folyamat végrehajtható neve.
- Minden IP-cím IPv4-beli, canonical formátumú sztring, például 13.107.3.160
A költségek és az összetettség kezelése érdekében a kapcsolati rekordok nem jelölik az egyes fizikai hálózati kapcsolatokat. A rendszer több fizikai hálózati kapcsolatot egy logikai kapcsolatba csoportosít, amely aztán megjelenik a megfelelő táblában. Ez azt jelenti, hogy a VM Csatlakozás ion tábla rekordjai logikai csoportosítást jelentenek, nem pedig a megfigyelt egyéni fizikai kapcsolatokat. Egy adott egyperces intervallumban az alábbi attribútumok azonos értékével rendelkező fizikai hálózati kapcsolat egyetlen logikai rekordba lesz összesítve a virtuális gépen Csatlakozás ion.
Tulajdonság | Leírás |
---|---|
Irány | A kapcsolat iránya, az érték bejövő vagy kimenő |
Gép | A számítógép teljes tartományneve |
Feldolgozás | Folyamat vagy folyamatcsoportok identitása, a kapcsolat kezdeményezése/elfogadása |
SourceIp | A forrás IP-címe |
DestinationIp | A cél IP-címe |
DestinationPort | A cél portszáma |
Protokoll | A kapcsolathoz használt protokoll. Az értékek tcp. |
A csoportosítás hatásának figyelembevétele érdekében a rekord alábbi tulajdonságaiban a csoportosított fizikai kapcsolatok számával kapcsolatos információkat adja meg:
Tulajdonság | Leírás |
---|---|
LinksEstablished | A jelentéskészítési időkeret során létrehozott fizikai hálózati kapcsolatok száma |
LinksTerminated | A jelentéskészítési idő alatt megszakadt fizikai hálózati kapcsolatok száma |
LinksFailed | Azon fizikai hálózati kapcsolatok száma, amelyek a jelentéskészítési időkeret során meghiúsultak. Ez az információ jelenleg csak kimenő kapcsolatok esetén érhető el. |
LinksLive | A jelentéskészítési időkeret végén megnyitott fizikai hálózati kapcsolatok száma |
Mérőszámok
A kapcsolatszám-metrikák mellett az adott logikai kapcsolaton vagy hálózati porton küldött és fogadott adatok mennyiségére vonatkozó információk a rekord alábbi tulajdonságaiban is megtalálhatók:
Tulajdonság | Leírás |
---|---|
BytesSent | A jelentéskészítési időablakban elküldött bájtok teljes száma |
BytesReceived | A jelentéskészítési időablakban fogadott bájtok teljes száma |
Válaszok | A jelentéskészítési időablakban megfigyelt válaszok száma. |
ResponseTimeMax | A jelentéskészítési idő alatt megfigyelt legnagyobb válaszidő (ezredmásodperc). Ha nincs érték, a tulajdonság üres. |
ResponseTimeMin | A legkisebb válaszidő (ezredmásodperc) a jelentéskészítési idő alatt. Ha nincs érték, a tulajdonság üres. |
ResponseTimeSum | A jelentéskészítési időszak során megfigyelt összes válaszidő (ezredmásodperc) összege. Ha nincs érték, a tulajdonság üres. |
A harmadik jelentett adattípus a válaszidő – mennyi időt tölt a hívó a távoli végpont által feldolgozandó és megválaszolandó kapcsolaton keresztül küldött kérések várakozásával. A jelentett válaszidő az alapul szolgáló alkalmazásprotokoll valós válaszidejének becslése. Heurisztikus számítással történik, amely a fizikai hálózati kapcsolat forrás- és célvége közötti adatáramlás megfigyelése alapján történik. Elméletileg ez a különbség a kérés utolsó bájtjának a feladótól való távozása és a válasz utolsó bájtjának visszaérkezésekor. Ez a két időbélyeg egy adott fizikai kapcsolatra vonatkozó kérés- és válaszesemények definiálására szolgál. A kettő közötti különbség egyetlen kérés válaszidejének felel meg.
Ennek a funkciónak az első kiadásában az algoritmus egy olyan közelítés, amely az adott hálózati kapcsolathoz használt alkalmazásprotokolltól függően eltérő sikerrel működhet. A jelenlegi megközelítés például jól működik a kérés-válaszalapú protokollok, például a HTTP(S) esetében, de nem működik egyirányú vagy üzenetsor-alapú protokollokkal.
Az alábbiakban néhány fontos szempontot érdemes figyelembe venni:
- Ha egy folyamat ugyanahhoz az IP-címhez, de több hálózati adapterhez tartozó kapcsolatokat fogad el, a rendszer minden egyes adapterhez külön rekordot fog jelenteni.
- A helyettesítő IP-címmel rendelkező rekordok nem tartalmaznak tevékenységet. Ezek tartalmazzák azt a tényt, hogy a gépen lévő port nyitva áll a bejövő forgalom számára.
- A részletesség és az adatmennyiség csökkentése érdekében a helyettesítő IP-címmel rendelkező rekordok nem lesznek megadva, ha egy adott IP-címmel rendelkező egyező rekord (ugyanahhoz a folyamathoz, porthoz és protokollhoz). Ha egy helyettesítő IP-rekordot kihagy, a megadott IP-címmel rendelkező IsWildcardBind rekordtulajdonság "True" értékre lesz állítva, amely azt jelzi, hogy a port a jelentéskészítő gép minden felületén elérhető.
- A csak egy adott felületen kötött portokon az IsWildcardBind értéke False.
Elnevezés és besorolás
A kényelem érdekében a kapcsolat távoli végének IP-címe szerepel a RemoteIp tulajdonságban. Bejövő kapcsolatok esetén a RemoteIp ugyanaz, mint a SourceIp, míg a kimenő kapcsolatok esetében ugyanaz, mint a DestinationIp. A RemoteDnsCanonicalNames tulajdonság a számítógép által a RemoteIp számára jelentett DNS-kánonneveknek felel meg. A RemoteDnsQuestions tulajdonság a számítógép által a RemoteIp-hez jelentett DNS-kérdéseket jelöli. A RemoveClassification tulajdonság jövőbeli használatra van fenntartva.
Földrajzi hely
A virtuális gép Csatlakozás ion az egyes kapcsolatrekordok távoli végének földrajzi helyadatait is tartalmazza a rekord alábbi tulajdonságaiban:
Tulajdonság | Leírás |
---|---|
RemoteCountry | A RemoteIp-t üzemeltető ország/régió neve. Például Egyesült Államok |
RemoteLatitude | A földrajzi földrajzi szélesség. Például: 47,68 |
RemoteLongitude | A földrajzi hely hosszúsága. Például: -122.12 |
Rosszindulatú IP-cím
A virtuális gép minden RemoteIp-tulajdonsága Csatlakozás ion-tábla olyan IP-címekkel van ellenőrizve, amely ismert kártékony tevékenységgel rendelkezik. Ha a RemoteIp rosszindulatúként van azonosítva, a következő tulajdonságok lesznek feltöltve (üresek, ha az IP-cím nem minősül rosszindulatúnak) a rekord alábbi tulajdonságaiban:
Tulajdonság | Leírás |
---|---|
MaliciousIp | A RemoteIp-cím |
IndicatorThreadType | Az észlelt fenyegetésjelző a következő értékek egyike: Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist. |
Leírás | A megfigyelt fenyegetés leírása. |
TLPLevel | A Traffic Light Protocol (TLP) szint az egyik definiált érték, fehér, zöld, sárga, piros. |
Megbízhatóság | Az értékek 0 és 100 között vannak. |
Súlyosság | Az értékek 0 – 5, ahol az 5 a legsúlyosabb, a 0 pedig egyáltalán nem súlyos. Az alapértelmezett érték 3. |
FirstReportedDateTime | Az első alkalommal, amikor a szolgáltató jelentette a mutatót. |
LastReportedDateTime | Amikor az Interflow utoljára látta a mutatót. |
IsActive | Azt jelzi, hogy a jelzők true vagy False értékkel vannak inaktiválva. |
ReportReferenceLink | Egy adott megfigyelhetővel kapcsolatos jelentésekre mutató hivatkozások. Ha hamis riasztást szeretne jelenteni, vagy további részleteket szeretne kapni a rosszindulatú IP-címről, nyisson meg egy támogatási esetet, és adja meg ezt a hivatkozást. |
További információ | Adott esetben további információkat nyújt a megfigyelt fenyegetésről. |
Portok
A bejövő forgalmat aktívan elfogadó vagy a forgalmat esetleg elfogadó, de a jelentéskészítési idő alatt inaktív portok a VMBoundPort táblába vannak írva.
A VMBoundPort minden rekordját a következő mezők azonosítják:
Tulajdonság | Leírás |
---|---|
Feldolgozás | Annak a folyamatnak (vagy folyamatcsoportoknak) az identitása, amelyhez a port társítva van. |
Ip | Port IP-címe (lehet helyettesítő IP-cím, 0.0.0.0) |
Kikötő | A port száma |
Protokoll | A protokoll. Például tcp vagy udp (jelenleg csak a TCP támogatott). |
A port identitása a fenti öt mezőből származik, és a PortId tulajdonság tárolja. Ez a tulajdonság egy adott port rekordjainak gyors megkeresésére használható.
Mérőszámok
A portrekordok közé tartoznak a hozzájuk társított kapcsolatokat képviselő metrikák. Jelenleg a következő metrikák jelennek meg (az egyes metrikák részleteit az előző szakaszban ismertetjük):
- BytesSent és BytesReceived
- LinksEstablished, LinksTerminated, LinksLive
- ResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSum
Az alábbiakban néhány fontos szempontot érdemes figyelembe venni:
- Ha egy folyamat ugyanahhoz az IP-címhez, de több hálózati adapterhez tartozó kapcsolatokat fogad el, a rendszer minden egyes adapterhez külön rekordot fog jelenteni.
- A helyettesítő IP-címmel rendelkező rekordok nem tartalmaznak tevékenységet. Ezek tartalmazzák azt a tényt, hogy a gépen lévő port nyitva áll a bejövő forgalom számára.
- A részletesség és az adatmennyiség csökkentése érdekében a helyettesítő IP-címmel rendelkező rekordok nem lesznek megadva, ha egy adott IP-címmel rendelkező egyező rekord (ugyanahhoz a folyamathoz, porthoz és protokollhoz). Ha egy helyettesítő IP-rekordot kihagy, a megadott IP-címmel rendelkező rekord IsWildcardBind tulajdonsága True (Igaz) értékre lesz állítva. Ez azt jelzi, hogy a port a jelentéskészítő gép minden felületén elérhető.
- A csak egy adott felületen kötött portokon az IsWildcardBind értéke False.
VMComputer rekordok
A VMComputer típusú rekordok leltáradatokat tartalmaznak a függőségi ügynökkel rendelkező kiszolgálókhoz. Ezek a rekordok az alábbi táblázatban található tulajdonságokat tartalmaznak:
Tulajdonság | Leírás |
---|---|
TenantId | A munkaterület egyedi azonosítója |
SourceSystem | Insights |
TimeGenerated | Rekord időbélyege (UTC) |
Számítógép | A számítógép teljes tartományneve |
AgentId | Az Azure Monitor-ügynököt vagy a Log Analytics-ügynököt futtató gép egyedi azonosítója |
Gép | A ServiceMap által közzétett gép Azure Resource Manager-erőforrásának neve. Ez az m-{GUID} űrlap, ahol a GUID ugyanaz, mint az AgentId. |
Megjelenített név | Megjelenített név |
FullDisplayName | Teljes megjelenítendő név |
HostName | A tartománynév nélküli gép neve |
BootTime | A gép rendszerindítási ideje (UTC) |
Időzóna | A normalizált időzóna |
VirtualizationState | virtuális, hipervizor, fizikai |
Ipv4Addresses | IPv4-címek tömbje |
Ipv4SubnetMasks | IPv4-alhálózati maszkok tömbje (az Ipv4Addresses sorrendben). |
Ipv4DefaultGateways | IPv4-átjárók tömbje |
Ipv6Addresses | IPv6-címek tömbje |
MacAddresses | MAC-címek tömbje |
DnsNames | A géphez társított DNS-nevek tömbje. |
DependencyAgentVersion | A számítógépen futó függőségi ügynök verziója. |
OperatingSystemFamily | Linux, Windows |
OperatingSystemFullName | Az operációs rendszer teljes neve |
PhysicalMemoryMB | A fizikai memória megabájtban |
Cpu | A processzorok száma |
CpuSpeed | A processzor sebessége MHz-ben |
VirtualMachineType | hyperv, vmware, xen |
VirtualMachineNativeId | A hipervizor által hozzárendelt virtuálisgép-azonosító |
VirtualMachineNativeName | A virtuális gép neve |
VirtualMachineHypervisorId | A virtuális gépet üzemeltető hipervizor egyedi azonosítója |
HypervisorType | hyperv |
HypervisorId | A hipervizor egyedi azonosítója |
HostingProvider | Azure |
_ResourceId | Egy Azure-erőforrás egyedi azonosítója |
AzureSubscriptionId | Az előfizetést azonosító globálisan egyedi azonosító |
AzureResourceGroup | Annak az Azure-erőforráscsoportnak a neve, amelynek a gép tagja. |
AzureResourceName | Az Azure-erőforrás neve |
AzureLocation | Az Azure-erőforrás helye |
AzureUpdateDomain | Az Azure update tartomány neve |
AzureFaultDomain | Az Azure-hibatartomány neve |
AzureVmId | Az Azure-beli virtuális gép egyedi azonosítója |
AzureSize | Az Azure-beli virtuális gép mérete |
AzureImagePublisher | Az Azure-beli virtuálisgép-közzétevő neve |
AzureImageOffering | Az Azure-beli virtuálisgép-ajánlat típusa |
AzureImageSku | Az Azure-beli virtuálisgép-rendszerkép termékváltozata |
AzureImageVersion | Az Azure-beli virtuálisgép-rendszerkép verziója |
AzureCloudServiceName | Az Azure Cloud Service neve |
AzureCloudServiceDeployment | A Cloud Service üzembehelyezési azonosítója |
AzureCloudServiceRoleName | Cloud Service-szerepkör neve |
AzureCloudServiceRoleType | Felhőszolgáltatás szerepkörtípusa: feldolgozó vagy web |
AzureCloudServiceInstanceId | Cloud Service-szerepkörpéldány azonosítója |
AzureVmScaleSetName | A virtuálisgép-méretezési csoport neve |
AzureVmScaleSetDeployment | Virtuálisgép-méretezési csoport üzembehelyezési azonosítója |
AzureVmScaleSetResourceId | A virtuálisgép-méretezési csoport erőforrásának egyedi azonosítója. |
AzureVmScaleSetInstanceId | A virtuálisgép-méretezési csoport egyedi azonosítója |
AzureServiceFabricClusterId | Az Azure Service Fabric-fürt egyedi azonosítója |
AzureServiceFabricClusterName | Az Azure Service Fabric-fürt neve |
VMProcess rekordok
A VMProcess típusú rekordok készletadatokkal rendelkeznek a TCP-hez csatlakoztatott folyamatokhoz a függőségi ügynökkel rendelkező kiszolgálókon. Ezek a rekordok az alábbi táblázatban található tulajdonságokat tartalmaznak:
Tulajdonság | Leírás |
---|---|
TenantId | A munkaterület egyedi azonosítója |
SourceSystem | Insights |
TimeGenerated | Rekord időbélyege (UTC) |
Számítógép | A számítógép teljes tartományneve |
AgentId | Az Azure Monitor-ügynököt vagy a Log Analytics-ügynököt futtató gép egyedi azonosítója |
Gép | A ServiceMap által közzétett gép Azure Resource Manager-erőforrásának neve. Ez az m-{GUID} űrlap, ahol a GUID ugyanaz, mint az AgentId. |
Feldolgozás | A szolgáltatástérkép-folyamat egyedi azonosítója. Ez p-{GUID} formában van meg. |
Végrehajtható név | A végrehajtható folyamat neve |
Megjelenített név | Folyamatmegjelenítés neve |
Szerepkör | Folyamatszerepkör: webkiszolgáló, appServer, databaseServer, ldapServer, smbServer |
Csoport | Folyamatcsoport neve. Az ugyanabban a csoportban lévő folyamatok logikailag kapcsolódnak, például ugyanahhoz a termékhez vagy rendszerösszetevőhöz. |
StartTime | A folyamatkészlet kezdési ideje |
FirstPid | A folyamatkészlet első PID-je |
Leírás | A folyamat leírása |
Cégnév | A vállalat neve |
Belső név | A belső név |
ProductName | A termék neve |
ProductVersion | A termék verziója |
FileVersion | A fájl verziója |
Végrehajthatópath | A végrehajtható fájl elérési útja |
Commandline | A parancssor |
WorkingDirectory | A munkakönyvtár |
Szolgáltatások | Olyan szolgáltatások tömbje, amelyek alatt a folyamat végrehajtása folyamatban van |
UserName | Az a fiók, amely alatt a folyamat fut |
UserDomain | Az a tartomány, amely alatt a folyamat fut |
_ResourceId | A munkaterületen belüli folyamat egyedi azonosítója |
Mintatérkép-lekérdezések
Az összes ismert gép listázása
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId
Mikor volt a virtuális gép utoljára újraindulva
let Today = now(); VMComputer | extend DaysSinceBoot = Today - BootTime | summarize by Computer, DaysSinceBoot, BootTime | sort by BootTime asc
Az Azure-beli virtuális gépek összefoglalása kép, hely és termékváltozat szerint
VMComputer | where AzureLocation != "" | summarize by Computer, AzureImageOffering, AzureLocation, AzureImageSku
Az összes felügyelt számítógép fizikai memóriakapacitásának listázása
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project PhysicalMemoryMB, Computer
Számítógépnév, DNS, IP-cím és operációs rendszer listázása
VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project Computer, OperatingSystemFullName, DnsNames, Ipv4Addresses
Az "sql" paranccsal rendelkező összes folyamat megkeresése a parancssorban
VMProcess | where CommandLine contains_cs "sql" | summarize arg_max(TimeGenerated, *) by _ResourceId
Gép megkeresése (legutóbbi rekord) erőforrásnév alapján
search in (VMComputer) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by _ResourceId
Gép megkeresése (legutóbbi rekord) IP-cím alapján
search in (VMComputer) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by _ResourceId
Az összes ismert folyamat listázása egy adott gépen
VMProcess | where Machine == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by _ResourceId
Az SQL Servert futtató összes számítógép listázása
VMComputer | where AzureResourceName in ((search in (VMProcess) "*sql*" | distinct Machine)) | distinct Computer
A curl összes egyedi termékverziójának listázása az adatközpontban
VMProcess | where ExecutableName == "curl" | distinct ProductVersion
CentOS rendszerű számítógépek számítógépcsoportjának létrehozása
VMComputer | where OperatingSystemFullName contains_cs "CentOS" | distinct Computer
Elküldött és fogadott bájtok trendjei
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart
Mely Azure-beli virtuális gépek továbbítják a legtöbb bájtot
VMConnection | join kind=fullouter(VMComputer) on $left.Computer == $right.Computer | summarize count(BytesSent) by Computer, AzureVMSize | sort by count_BytesSent desc
Kapcsolatállapot-trendek
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart
Csatlakozás ion-hibák trendje
VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart
Kötött portok
VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName
Nyitott portok száma a gépek között
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc
Folyamatok pontszáma a munkaterületen a megnyitott portok számával
VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc
Az egyes portok összesített viselkedése
Ez a lekérdezés ezután a portok tevékenység szerinti pontozására használható, például a legtöbb bejövő/kimenő forgalommal rendelkező portok, a legtöbb kapcsolattal rendelkező portok
//
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName
Gépcsoport kimenő kapcsolatainak összegzése
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(VMComputer
| summarize ips=makeset(todynamic(Ipv4Addresses)) by MonitoredMachine=AzureResourceName
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
Teljesítményrekordok
A Elemzések Metrics típusú rekordok teljesítményadatai a virtuális gép vendég operációs rendszeréből származnak. Ezeket a rekordokat 60 másodperces időközönként gyűjtjük össze, és a tulajdonságok az alábbi táblázatban találhatók:
Tulajdonság | Leírás |
---|---|
TenantId | A munkaterület egyedi azonosítója |
SourceSystem | Insights |
TimeGenerated | Az érték gyűjtésének időpontja (UTC) |
Számítógép | A számítógép teljes tartományneve |
Eredet | vm.azm.ms |
Névtér | A teljesítményszámláló kategóriája |
Név | A teljesítményszámláló neve |
Val | Összegyűjtött érték |
Címkék | Kapcsolódó részletek a rekordról. A különböző rekordtípusokkal használt címkéket az alábbi táblázatban találja. |
AgentId | Egyedi azonosító minden számítógép ügynökéhez |
Típus | Elemzések Metrics |
ResourceId | A virtuális gép erőforrás-azonosítója |
A Elemzések Metrics táblába jelenleg gyűjtött teljesítményszámlálók az alábbi táblázatban találhatók:
Névtér | Név | Leírás | Unit (Egység) | Címkék |
---|---|---|---|---|
Számítógép | Szívverés | Számítógép szívverése | ||
Memory (Memória) | Rendelkezésre állóMB | Memória rendelkezésre álló bájtok | Megabájt | memorySizeMB – Teljes memóriaméret |
Network (Hálózat) | WriteBytesPerSecond | Hálózati írási bájtok másodpercenként | BytesPerSecond | NetworkDeviceId – Az eszköz azonosítója bájtok – Elküldött bájtok összesen |
Network (Hálózat) | ReadBytesPerSecond | Hálózati olvasási bájtok másodpercenként | BytesPerSecond | networkDeviceId – Az eszköz azonosítója bájtok – Fogadott bájtok összesen |
Adatfeldolgozó | KihasználtságPercentage | Processzorhasználat százalékos aránya | Százalék | totalCpus – Teljes CPU-k |
Logikai lemez | WritesPerSecond | Logikai lemez írása másodpercenként | CountPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | WriteLatencyMs | Logikai lemez írási késése ezredmásodperc | Ezredmásodperc | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | WriteBytesPerSecond | Logikai lemez írási bájtja másodpercenként | BytesPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | TransfersPerSecond | Logikai lemezátvitel másodpercenként | CountPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | TransferLatencyMs | Logikai lemezátvitel késése ezredmásodperc | Ezredmásodperc | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | ReadsPerSecond | Logikai lemez olvasása másodpercenként | CountPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | ReadLatencyMs | Logikai lemez olvasási késése ezredmásodperc | Ezredmásodperc | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | ReadBytesPerSecond | Logikai lemez olvasási bájtja másodpercenként | BytesPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | FreeSpacePercentage | Logikai lemez szabad terület százalékos aránya | Százalék | mountId – Az eszköz csatlakoztatási azonosítója |
Logikai lemez | FreeSpaceMB | Logikai lemez szabad terület bájtja | Megabájt | mountId – Az eszköz csatlakoztatási azonosítója diskSizeMB – Teljes lemezméret |
Logikai lemez | BytesPerSecond | Logikai lemez másodpercenkénti bájtja | BytesPerSecond | mountId – Az eszköz csatlakoztatási azonosítója |
Következő lépések
Ha még nem tud naplólekérdezéseket írni az Azure Monitorban, tekintse át , hogyan használhatja a Log Analytics szolgáltatást az Azure Portalon naplólekérdezések írására.
További információ a keresési lekérdezések írásáról.