Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan audit kueri log menyediakan telemetri tentang kueri log yang dijalankan di Azure Monitor. Ini mencakup informasi seperti kapan kueri dijalankan, siapa yang menjalankannya, alat apa yang digunakan, teks kueri, dan statistik performa yang menjelaskan eksekusi kueri.
Mengonfigurasi pengawasan kueri
Di ruang kerja Log Analytics, audit kueri diaktifkan dengan pengaturan diagnostik. Ini memungkinkan Anda untuk mengirim data audit ke ruang kerja saat ini atau ruang kerja lainnya dalam langganan Anda, ke Azure Event Hubs untuk dikirim ke luar Azure, atau ke Azure Storage sebagai pengarsipan.
portal Azure
Akses pengaturan diagnostik untuk ruang kerja Log Analytics di portal Azure di salah satu lokasi berikut:
Dari menu Azure Monitor, pilih Pengaturan diagnostik, lalu cari dan pilih ruang kerja.
Dari menu Ruang kerja Log Analytics, pilih ruang kerja, lalu pilih Pengaturan diagnostik.
Templat Resource Manager
Anda bisa mendapatkan contoh templat Resource Manager dari Pengaturan diagnostik untuk ruang kerja Log Analytics.
Data audit
Catatan audit dibuat setiap kali kueri dijalankan. Jika Anda mengirim data ke ruang kerja Log Analytics, data tersebut disimpan dalam tabel yang disebut LAQueryLogs. Tabel berikut menjelaskan properti di setiap rekaman data audit.
| Bidang | Deskripsi |
|---|---|
| TimeGenerated | Waktu UTC saat kueri dikirimkan. |
| CorrelationId | ID unik untuk mengidentifikasi kueri. Dapat digunakan dalam skenario pemecahan masalah saat menghubungi Microsoft untuk mendapatkan bantuan. |
| AADObjectId | ID Microsoft Entra dari akun pengguna yang memulai kueri. |
| AADTenantId | ID penyewa akun pengguna yang memulai kueri. |
| AADEmail | Email penyewa akun pengguna yang memulai kueri. |
| AADClientId | ID dan nama teridentifikasi dari aplikasi yang digunakan untuk menjalankan kueri. |
| RequestClientApp | Nama aplikasi yang ditetapkan digunakan untuk memulai kueri. Untuk informasi selengkapnya, lihat aplikasi klien permintaan. |
| QueryTimeRangeStart | Mulai dari rentang waktu yang dipilih untuk kueri. Ini mungkin tidak terisi dalam beberapa skenario tertentu, seperti ketika kueri dimulai dari Log Analytics, dan rentang waktu ditetapkan di dalam kueri daripada menggunakan pemilih waktu. |
| Akhir Rentang Waktu Permintaan | Akhir rentang waktu yang dipilih untuk kueri. Ini mungkin tidak terisi dalam beberapa skenario tertentu, seperti ketika kueri dimulai dari Log Analytics, dan rentang waktu ditetapkan di dalam kueri daripada menggunakan pemilih waktu. |
| Kueri Teks | Teks kueri yang sudah dijalankan. |
| RequestTarget | URL API digunakan untuk mengirimkan kueri. |
| RequestContext | Daftar sumber daya yang diminta untuk dijalankan oleh kueri. Berisi hingga tiga array string: ruang kerja, aplikasi, dan sumber daya. Kueri bertarget grup sumber daya atau langganan akan ditampilkan sebagai sumber daya. Termasuk target yang disiratkan dari RequestTarget. ID sumber daya untuk setiap sumber daya akan disertakan jika dapat diselesaikan. Ini mungkin tidak dapat diselesaikan jika kesalahan dikembalikan saat mengakses sumber daya. Dalam hal ini, teks spesifik dari kueri akan digunakan. Jika kueri menggunakan nama ambigu, seperti nama ruang kerja yang ada di beberapa langganan, nama ambigu ini akan digunakan. |
| RequestContextFilters | Kumpulan filter yang ditentukan sebagai bagian dari pemanggilan kueri. Menyertakan hingga tiga array string yang mungkin: - ResourceTypes - jenis sumber daya untuk membatasi cakupan kueri - Ruang kerja - daftar ruang kerja untuk membatasi kueri - WorkspaceRegions - daftar wilayah ruang kerja untuk membatasi kueri |
| ResponseCode | Kode respons HTTP dikembalikan saat kueri dikirimkan. |
| ResponseDurationMs | Waktu untuk respons dikembalikan. |
| JumlahBarisRespons | Jumlah total baris yang dikembalikan oleh kueri. |
| StatsCPUTimeMs | Total waktu komputasi yang digunakan untuk komputasi, penguraian, dan pengambilan data. Hanya diisi jika kueri kembali dengan kode status 200. |
| Data Statistika Diproses (KB) | Jumlah data yang diakses untuk memproses kueri. Dipengaruhi oleh ukuran tabel target, rentang waktu yang digunakan, filter yang diterapkan, dan jumlah kolom yang direferensikan. Hanya diisi jika kueri kembali dengan kode status 200. |
| MulaiPemrosesanDataStatistik | Waktu data tertua yang diakses untuk memproses kueri. Dipengaruhi oleh rentang waktu eksplisit kueri dan filter yang diterapkan. Ini mungkin lebih besar dari rentang waktu eksplisit karena pemartisian data. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatistikDataDiprosesAkhir | Waktu data terbaru yang diakses untuk memproses kueri. Dipengaruhi oleh rentang waktu eksplisit kueri dan filter yang diterapkan. Ini mungkin lebih besar dari rentang waktu eksplisit karena pemartisian data. Hanya diisi jika kueri kembali dengan kode status 200. |
| Jumlah Ruang Kerja Statistik | Jumlah ruang kerja yang diakses oleh kueri. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatistikWilayahJumlah | Jumlah wilayah yang diakses oleh kueri. Hanya diisi jika kueri kembali dengan kode status 200. |
Minta Aplikasi Klien
| RequestClientApp | Deskripsi |
|---|---|
| AAPBI | Mencatat integrasi Analytics dengan Power BI. |
| AppAnalytics | Pengalaman Analitik Log di portal Azure (seperti tab Log). |
| AppInsightsPortalExtension | Buku Kerja atau Wawasan Aplikasi. |
| ASC_Portal | Microsoft Defender untuk Cloud. |
| ASI_Portal | Penjaga. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Konektor Log Azure Monitor. |
| csharpsdk | API Kueri Log Analitik. |
| Draf-Monitor | Pembuatan pemberitahuan pencarian log di portal Azure. |
| Grafana | Konektor Grafana. |
| IbizaExtension | Pengalaman Analitik Log di portal Azure. |
| infraInsights/kontainer | Wawasan kontainer. |
| infraInsights/vm | Wawasan VM. |
| LogAnalyticsExtension | Dasbor Azure. |
| LogAnalyticsPSClient | API Kueri Log Analitik. |
| OmsAnalyticsPBI | Integrasi Analitik Log dengan Power BI. |
| PowerBIConnector | Integrasi Analitik Log dengan Power BI. |
| Sentinel-Penyelidikan-Pertanyaan | Penjaga. |
| Sentinel-DataCollectionAggregator | Penjaga. |
| Sentinel-analyticsManagement-customerQuery | Penjaga. |
| Tidak dikenal | API Kueri Log Analitik. |
| Manajemen Pembaruan | Manajemen Pembaruan. |
| M365D_AdvancedHunting | Perburuan tingkat lanjut di Microsoft Defender |
Pertimbangan
- Sistem mencatat kueri hanya saat Anda menjalankannya dalam konteks pengguna. Ini tidak mencatat kueri layanan-ke-layanan apa pun dalam Azure. Pengecualian ini mencakup dua set kueri utama: perhitungan penagihan dan eksekusi pemberitahuan otomatis. Untuk pemberitahuan, sistem tidak mencatat kueri pemberitahuan yang dipicu sesuai jadwal. Eksekusi awal pemberitahuan di layar pembuatan pemberitahuan berjalan dalam konteks pengguna dan tersedia untuk tujuan audit.
- Statistik performa tidak tersedia untuk kueri yang berasal dari proksi Azure Data Explorer. Semua data lain untuk kueri-kueri ini masih terisi.
- Sistem mendukung petunjuk h pada string yang mengaburkan literal string (sebelumnya tidak).
- Untuk kueri yang menyertakan data dari beberapa ruang kerja, sistem mengambil kueri hanya di ruang kerja yang dapat Anda akses.
Biaya
Tidak ada biaya untuk Ekstensi Diagnostik Azure, tetapi Anda mungkin dikenakan biaya untuk data yang diserap. Periksa Harga Azure Monitor untuk tujuan tempat Anda mengumpulkan data.
Langkah berikutnya
- Pelajari selengkapnya tentang pengaturan diagnostik.
- Pelajari selengkapnya tentang mengoptimalkan kueri log.