Controllare le query nei log di Monitoraggio di Azure
I log di controllo delle query di log forniscono dati di telemetria sulle query di log eseguite in Monitoraggio di Azure. Sono incluse informazioni quali quando è stata eseguita una query, chi lo ha eseguito, quale strumento è stato usato, il testo della query e le statistiche sulle prestazioni che descrivono l'esecuzione della query.
Configurare il controllo delle query
Il controllo delle query è abilitato con un'impostazione di diagnostica nell'area di lavoro Log Analytics. In questo modo è possibile inviare dati di controllo all'area di lavoro corrente o a qualsiasi altra area di lavoro nella sottoscrizione, a Hub eventi di Azure di inviare all'esterno di Azure o a Archiviazione di Azure per l'archiviazione.
Azure portal
Accedere all'impostazione di diagnostica per un'area di lavoro Log Analytics nella portale di Azure in una delle posizioni seguenti:
Scegliere Impostazioni di diagnostica dal menu Monitoraggio di Azure e quindi individuare e selezionare l'area di lavoro.
Dal menu Aree di lavoro Log Analytics selezionare l'area di lavoro e quindi selezionare Impostazioni di diagnostica.
Modello di Resource Manager
È possibile ottenere un modello di Resource Manager di esempio dall'impostazione di diagnostica per l'area di lavoro Log Analytics.
Dati di controllo
Viene creato un record di controllo ogni volta che viene eseguita una query. Se si inviano i dati a un'area di lavoro Log Analytics, i dati vengono archiviati in una tabella denominata LAQueryLogs. Nella tabella seguente vengono descritte le proprietà in ogni record dei dati di controllo.
Campo | Descrizione |
---|---|
TimeGenerated | Ora UTC in cui è stata inviata la query. |
CorrelationId | ID univoco per identificare la query. Può essere usato negli scenari di risoluzione dei problemi quando si contatta Microsoft per assistenza. |
AADObjectId | ID Microsoft Entra dell'account utente che ha avviato la query. |
AADTenantId | ID del tenant dell'account utente che ha avviato la query. |
AADEmail | Indirizzo di posta elettronica del tenant dell'account utente che ha avviato la query. |
AADClientId | ID e nome risolto dell'applicazione usata per avviare la query. |
RequestClientApp | Nome risolto dell'applicazione usata per avviare la query. Per altre informazioni, vedere Richiedere l'app client. |
QueryTimeRangeStart | Inizio dell'intervallo di tempo selezionato per la query. Questo potrebbe non essere popolato in determinati scenari, ad esempio quando la query viene avviata da Log Analytics e l'intervallo di tempo viene specificato all'interno della query anziché nella selezione ora. |
QueryTimeRangeEnd | Fine dell'intervallo di tempo selezionato per la query. Questo potrebbe non essere popolato in determinati scenari, ad esempio quando la query viene avviata da Log Analytics e l'intervallo di tempo viene specificato all'interno della query anziché nella selezione ora. |
QueryText | Testo della query eseguita. |
RequestTarget | L'URL dell'API è stato usato per inviare la query. |
Requestcontext | Elenco di risorse su cui è stata richiesta l'esecuzione della query. Contiene fino a tre matrici di stringhe: aree di lavoro, applicazioni e risorse. Le query di destinazione della sottoscrizione o del gruppo di risorse verranno visualizzate come risorse. Include la destinazione implicita da RequestTarget. L'ID risorsa per ogni risorsa verrà incluso se può essere risolto. Potrebbe non essere possibile risolvere se viene restituito un errore durante l'accesso alla risorsa. In questo caso, verrà usato il testo specifico della query. Se la query usa un nome ambiguo, ad esempio un nome di area di lavoro esistente in più sottoscrizioni, verrà usato questo nome ambiguo. |
RequestContextFilters | Set di filtri specificati come parte della chiamata alla query. Include fino a tre possibili matrici di stringhe: - ResourceTypes - Tipo di risorsa per limitare l'ambito della query - Aree di lavoro - Elenco di aree di lavoro per limitare la query a - WorkspaceRegions - Elenco di aree di lavoro per limitare la query |
ResponseCode | Codice di risposta HTTP restituito quando la query è stata inviata. |
ResponseDurationMs | Tempo di restituzione della risposta. |
ResponseRowCount | Numero totale di righe restituite dalla query. |
StatsCPUTimeMs | Tempo di calcolo totale usato per il calcolo, l'analisi e il recupero dei dati. Popolato solo se la query restituisce con codice di stato 200. |
StatsDataProcessedKB | Quantità di dati a cui è stato eseguito l'accesso per elaborare la query. Influenzato dalle dimensioni della tabella di destinazione, dall'intervallo di tempo usato, dai filtri applicati e dal numero di colonne a cui si fa riferimento. Popolato solo se la query restituisce con codice di stato 200. |
StatsDataProcessedStart | Ora dei dati meno recenti a cui è stato eseguito l'accesso per elaborare la query. Influenzato dall'intervallo di tempo esplicito della query e dai filtri applicati. Questo potrebbe essere maggiore dell'intervallo di tempo esplicito dovuto al partizionamento dei dati. Popolato solo se la query restituisce con codice di stato 200. |
StatsDataProcessedEnd | Ora dei dati più recenti a cui è stato eseguito l'accesso per elaborare la query. Influenzato dall'intervallo di tempo esplicito della query e dai filtri applicati. Questo potrebbe essere maggiore dell'intervallo di tempo esplicito dovuto al partizionamento dei dati. Popolato solo se la query restituisce con codice di stato 200. |
StatsWorkspaceCount | Numero di aree di lavoro a cui si accede dalla query. Popolato solo se la query restituisce con codice di stato 200. |
StatsRegionCount | Numero di aree a cui si accede dalla query. Popolato solo se la query restituisce con codice di stato 200. |
Richiedere l'app client
RequestClientApp | Descrizione |
---|---|
AAPBI | Integrazione di Log Analytics con Power BI. |
AppAnalytics | Esperienze di Log Analytics nel portale di Azure. |
AppInsightsPortalExtension | Cartelle di lavoro o Application Insights. |
ASC_Portal | Microsoft Defender per il cloud. |
ASI_Portal | Sentinel. |
AzureAutomation | Automazione di Azure. |
AzureMonitorLogs Connessione or | Log di Monitoraggio di Azure Connessione or. |
csharpsdk | API query di Log Analytics. |
Draft-Monitor | Creazione di avvisi di ricerca log nel portale di Azure. |
Grafana | Connettore Grafana. |
IbizaExtension | Esperienze di Log Analytics nel portale di Azure. |
infraInsights/container | Informazioni dettagliate sui contenitori. |
infraInsights/vm | Informazioni dettagliate sulle macchine virtuali. |
LogAnalyticsExtension | Dashboard di Azure. |
LogAnalyticsPSClient | API query di Log Analytics. |
OmsAnalyticsPBI | Integrazione di Log Analytics con Power BI. |
PowerBI Connessione or | Integrazione di Log Analytics con Power BI. |
Sentinel-Investigation-Queries | Sentinel. |
Sentinel-DataCollectionAggregator | Sentinel. |
Sentinel-analyticsManagement-customerQuery | Sentinel. |
Sconosciuto | API query di Log Analytics. |
UpdateManagement | Gestione aggiornamenti. |
Considerazioni
- Le query vengono registrate solo quando vengono eseguite in un contesto utente. Non verrà registrato alcun servizio all'interno di Azure. I due set principali di query che questa esclusione include sono i calcoli di fatturazione e le esecuzioni automatizzate degli avvisi. Nel caso degli avvisi, solo la query di avviso pianificata non verrà registrata; l'esecuzione iniziale dell'avviso nella schermata di creazione dell'avviso viene eseguita in un contesto utente e sarà disponibile a scopo di controllo.
- Le statistiche sulle prestazioni non sono disponibili per le query provenienti dal proxy Esplora dati di Azure. Tutti gli altri dati per queste query verranno comunque popolati.
- L'hint h sulle stringhe che offusca i valori letterali stringa non avrà alcun effetto sui log di controllo della query. Le query verranno acquisite esattamente come inviate senza offuscare la stringa. È necessario assicurarsi che solo gli utenti con diritti di conformità per visualizzare questi dati siano in grado di farlo usando le varie modalità di controllo degli accessi in base al ruolo di Kubernetes o controllo degli accessi in base al ruolo di Azure disponibili nelle aree di lavoro Log Analytics.
- Per le query che includono dati da più aree di lavoro, la query verrà acquisita solo in tali aree di lavoro a cui l'utente ha accesso.
Costi
Non sono previsti costi per l'estensione diagnostica di Azure, ma è possibile che vengano addebitati addebiti per i dati inseriti. Controllare i prezzi di Monitoraggio di Azure in base alla destinazione in cui si intende raccogliere i dati.
Passaggi successivi
- Altre informazioni sulle impostazioni di diagnostica.
- Altre informazioni sull'ottimizzazione delle query di log.