Controllare le query nei log di Monitoraggio di Azure
I log di controllo delle query di log forniscono dati di telemetria sulle query di log eseguite in Monitoraggio di Azure. Include informazioni come il momento in cui è stata eseguita una query, chi l'ha eseguita, quale strumento è stato usato, il testo della query e le statistiche sulle prestazioni che descrivono l'esecuzione della query.
Configurare il controllo delle query
Il controllo delle query è abilitato con un'impostazione di diagnostica nell'area di lavoro Log Analytics. In questo modo, è possibile inviare dati di controllo all'area di lavoro corrente o a qualsiasi altra area di lavoro nella sottoscrizione, a Hub eventi di Azure per inviarli all'esterno di Azure o ad Archiviazione di Azure per l'archiviazione.
Azure portal
Accedere all'impostazione di diagnostica per un'area di lavoro Log Analytics nel portale di Azure in una delle posizioni seguenti:
Dal menu Monitoraggio di Azure, selezionare Impostazioni di diagnostica e quindi individuare e selezionare l'area di lavoro.
Nel menu Aree di lavoro di Log Analytics, selezionare l'area di lavoro e quindi selezionare Impostazioni di diagnostica.
Modello di Resource Manager
È possibile ottenere un modello di Resource Manager di esempio da Impostazione di diagnostica per l'area di lavoro Log Analytics.
Dati di controllo
Viene creato un record di controllo ogni volta che viene eseguita una query. Se si inviano i dati a un'area di lavoro Log Analytics, i dati vengono archiviati in una tabella denominata LAQueryLogs. Nella tabella seguente vengono descritte le proprietà in ogni record dei dati di controllo.
| Campo | Descrizione |
|---|---|
| TimeGenerated | Ora UTC in cui è stata inviata la query. |
| CorrelationId | ID univoco per l'identificare la query. Può essere usato negli scenari di risoluzione dei problemi quando si contatta Microsoft per assistenza. |
| AADObjectId | ID Microsoft Entra dell'account utente che ha avviato la query. |
| AADTenantId | ID del tenant dell'account utente che ha avviato la query. |
| AADEmail | E-mail del tenant dell'account utente che ha avviato la query. |
| AADClientId | ID e nome risolto dell'applicazione usata per avviare la query. |
| RequestClientApp | Nome risolto dell'applicazione usata per avviare la query. Per altre informazioni, vedere app client di richiesta. |
| QueryTimeRangeStart | Inizio dell'intervallo di tempo selezionato per la query. Potrebbe non essere popolato in determinati scenari, ad esempio quando la query viene avviata da Log Analytics e l'intervallo di tempo viene specificato all'interno della query anziché nella selezione dell'ora. |
| QueryTimeRangeEnd | Fine dell'intervallo di tempo selezionato per la query. Potrebbe non essere popolato in determinati scenari, ad esempio quando la query viene avviata da Log Analytics e l'intervallo di tempo viene specificato all'interno della query anziché nella selezione dell'ora. |
| QueryText | Testo della query eseguita. |
| RequestTarget | URL dell'API usato per inviare la query. |
| RequestContext | Elenco di risorse su cui è stata richiesta l'esecuzione della query. Contiene fino a tre matrici di stringhe: aree di lavoro, applicazioni e risorse. Le query di destinazione della sottoscrizione o del gruppo di risorse verranno visualizzate come risorse. Include la destinazione implicita da RequestTarget. L'ID risorsa per ogni risorsa verrà incluso se può essere risolto. La risoluzione potrebbe non essere possibile se viene restituito un errore durante l'accesso alla risorsa. In questo caso, verrà usato il testo specifico della query. Se la query usa un nome ambiguo, ad esempio un nome di area di lavoro esistente in più sottoscrizioni, verrà usato questo nome ambiguo. |
| RequestContextFilters | Set di filtri specificati come parte della chiamata della query. Include fino a tre matrici di stringhe possibili: - ResourceTypes: tipo di risorsa per limitare l'ambito della query - Aree di lavoro: elenco di aree di lavoro a cui limitare la query - WorkspaceRegions: elenco di aree dell'area di lavoro a cui limitare la query |
| ResponseCode | Codice di risposta HTTP restituito quando la query è stata inviata. |
| ResponseDurationMs | Tempo per la restituzione della risposta. |
| ResponseRowCount | Numero totale di righe restituite dalla query. |
| StatsCPUTimeMs | Tempo di calcolo totale usato per il calcolo, l'analisi e il recupero dei dati. Popolato solo in caso della restituzione della query con codice di stato 200. |
| StatsDataProcessedKB | Quantità di dati a cui è stato eseguito l'accesso per elaborare la query. È influenzato dalle dimensioni della tabella di destinazione, dall'intervallo di tempo usato, dai filtri applicati e dal numero di colonne a cui viene fatto riferimento. Popolato solo in caso della restituzione della query con codice di stato 200. |
| StatsDataProcessedStart | Ora di accesso ai dati meno recenti per l'elaborazione della query. È influenzato dall'intervallo di tempo esplicito della query e dai filtri applicati. Potrebbe essere maggiore dell'intervallo di tempo esplicito dovuto al partizionamento dei dati. Popolato solo in caso della restituzione della query con codice di stato 200. |
| StatsDataProcessedEnd | Ora di accesso ai dati più recenti per l'elaborazione della query. È influenzato dall'intervallo di tempo esplicito della query e dai filtri applicati. Potrebbe essere maggiore dell'intervallo di tempo esplicito dovuto al partizionamento dei dati. Popolato solo in caso della restituzione della query con codice di stato 200. |
| StatsWorkspaceCount | Numero di aree di lavoro a cui ha avuto l'accesso la query. Popolato solo in caso della restituzione della query con codice di stato 200. |
| StatsRegionCount | Numero di aree a cui ha avuto l'accesso la query. Popolato solo in caso della restituzione della query con codice di stato 200. |
App client di richiesta
| RequestClientApp | Descrizione |
|---|---|
| AAPBI | Integrazione di Log Analytics con Power BI. |
| AppAnalytics | Esperienze di Log Analytics nel portale di Azure. |
| AppInsightsPortalExtension | Workbooks o Application Insights. |
| ASC_Portal | Microsoft Defender per il cloud. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Automazione di Azure. |
| AzureMonitorLogsConnector | Azure Monitor Logs Connector. |
| csharpsdk | API query di Log Analytics. |
| Draft-Monitor | Creazione dell'avviso di ricerca log nel portale di Azure. |
| Grafana | Connettore Grafana. |
| IbizaExtension | Esperienze di Log Analytics nel portale di Azure. |
| infraInsights/container | Container Insights. |
| infraInsights/vm | VM Insights. |
| LogAnalyticsExtension | Dashboard di Azure. |
| LogAnalyticsPSClient | API query di Log Analytics. |
| OmsAnalyticsPBI | Integrazione di Log Analytics con Power BI. |
| PowerBIConnector | Integrazione di Log Analytics con Power BI. |
| Sentinel-Investigation-Queries | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Sconosciuto | API query di Log Analytics. |
| UpdateManagement | Gestione aggiornamenti. |
Considerazioni
- Le query vengono registrate solo quando vengono eseguite in un contesto utente. Non verrà registrato alcun Service-to-Service all'interno di Azure. I due set principali di query che include questa esclusione sono i calcoli di fatturazione e le esecuzioni automatizzate degli avvisi. Nel caso degli avvisi, solo la query di avviso pianificata non verrà registrata; l'esecuzione iniziale dell'avviso nella schermata di creazione dell'avviso viene eseguita in un contesto utente e sarà disponibile a scopo di controllo.
- Le statistiche sulle prestazioni non sono disponibili per le query provenienti dal proxy di Esplora dati di Azure. Tutti gli altri dati per queste query verranno comunque popolati.
- L'hint h sulle stringhe che offusca i valori letterali stringa non avrà effetto sui log di controllo delle query. Le query verranno acquisite esattamente come inviate senza l'offuscamento della stringa. È necessario assicurarsi che solo gli utenti con diritti di conformità per visualizzare questi dati possano eseguire questa operazione usando le varie modalità di controllo degli accessi in base al ruolo (RBAC) di Kubernetes o Azure disponibili nelle aree di lavoro Log Analytics.
- Per le query che includono dati provenienti da più aree di lavoro, la query verrà acquisita solo in tali aree di lavoro a cui ha accesso l'utente.
Costi
Non sono previsti costi per l'estensione Diagnostica di Azure, ma è possibile che vengano addebitati costi per i dati inseriti. Controllare i prezzi di Monitoraggio di Azure in base alla destinazione in cui si intende raccogliere i dati.
Passaggi successivi
- Altre informazioni sulle impostazioni di diagnostica.
- Altre informazioni sull'ottimizzazione delle query di log.