Zelfstudie: Bewakingsgegevens opnemen en opvragen in Azure Data Explorer

In deze zelfstudie leert u hoe u zonder code te schrijven gegevens uit diagnostische logboeken en activiteitenlogboeken in een Azure Data Explorer-cluster kunt opnemen. Met deze eenvoudige methode voor gegevensopname kunt u snel beginnen met het uitvoeren van query's voor Azure Data Explorer om gegevens te analyseren.

In deze zelfstudie leert u het volgende:

• Maak tabellen en toewijzing van opname in een Azure Data Explorer-database.
• Maak de opgenomen gegevens op met behulp van updatebeleid.
• Maak een Event Hub en verbind deze met Azure Data Explorer.
• Gegevens streamen naar een Event Hub vanuit diagnostische metrische gegevens en logboeken enactiviteitenlogboeken van Azure Monitor.
• Vraag de opgenomen gegevens op met behulp van Azure Data Explorer.

Notitie

Maak alle resources in dezelfde Azure-locatie of -regio.

Vereisten

• Een Azure-abonnement. Maak een gratis Azure-account.
• Een Azure Data Explorer-cluster en -database. Maak een cluster en database. In deze zelfstudie is TestDatabase de databasenaam.

Azure Monitor-gegevensprovider: diagnostische metrische gegevens en logboeken en activiteitenlogboeken

Bekijk en begrijp de gegevens van de diagnostische metrische gegevens en logboeken en activiteitenlogboeken van Azure Monitor hieronder. U maakt een opnamepijplijn op basis van deze gegevensschema's. Houd er rekening mee dat elke gebeurtenis in een logboek een matrix met records heeft. Deze matrix met records wordt verderop in de zelfstudie gesplitst.

Voorbeelden van diagnostische metrische gegevens en logboeken en activiteitenlogboeken

Diagnostische metrische gegevens en logboeken en activiteitenlogboeken van Azure worden verzonden door een Azure-service en bieden gegevens over de werking van die service.

Diagnostische metrische gegevens

Voorbeeld van diagnostische metrische gegevens

Diagnostische metrische gegevens worden geaggregeerd met een tijdsinterval van 1 minuut. Hieronder volgt een voorbeeld van een Azure Data Explorer schema voor metrische gebeurtenissen voor de duur van de query:

{
    "records": [
    {
        "count": 14,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-20T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    },
    {
        "count": 12,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-21T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    }
    ]
}

Diagnostische logboeken

Voorbeeld van diagnostische logboeken

Hieronder volgt een voorbeeld van een logboek voor diagnostische gegevensopname van Azure Data Explorer:

{
    "time": "2019-08-26T13:22:36.8804326Z",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
    "operationName": "MICROSOFT.KUSTO/CLUSTERS/INGEST/ACTION",
    "operationVersion": "1.0",
    "category": "FailedIngestion",
    "resultType": "Failed",
    "correlationId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
    "properties": {
        "OperationId": "00000000-0000-0000-0000-000000000000",
        "Database": "Kusto",
        "Table": "Table_13_20_prod",
        "FailedOn": "2019-08-26T13:22:36.8804326Z",
        "IngestionSourceId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
        "Details":
        {
            "error":
            {
                "code": "BadRequest_DatabaseNotExist",
                "message": "Request is invalid and cannot be executed.",
                "@type": "Kusto.Data.Exceptions.DatabaseNotFoundException",
                "@message": "Database 'Kusto' was not found.",
                "@context":
                {
                    "timestamp": "2019-08-26T13:22:36.7179157Z",
                    "serviceAlias": "<cluster-name>",
                    "machineName": "KEngine000001",
                    "processName": "Kusto.WinSvc.Svc",
                    "processId": 5336,
                    "threadId": 6528,
                    "appDomainName": "Kusto.WinSvc.Svc.exe",
                    "clientRequestd": "DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8",
                    "activityId": "f13e7718-1153-4e65-bf82-8583d712976f",
                    "subActivityId": "2cdad9d0-737b-4c69-ac9a-22cf9af0c41b",
                    "activityType": "DN.AdminCommand.DataIngestPullCommand",
                    "parentActivityId": "2f65e533-a364-44dd-8d45-d97460fb5795",
                    "activityStack": "(Activity stack: CRID=DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8 ARID=f13e7718-1153-4e65-bf82-8583d712976f > DN.Admin.Client.ExecuteControlCommand/5b764b32-6017-44a2-89e7-860eda515d40 > P.WCF.Service.ExecuteControlCommandInternal..IAdminClientServiceCommunicationContract/c2ef9344-069d-44c4-88b1-a3570697ec77 > DN.FE.ExecuteControlCommand/2f65e533-a364-44dd-8d45-d97460fb5795 > DN.AdminCommand.DataIngestPullCommand/2cdad9d0-737b-4c69-ac9a-22cf9af0c41b)"
                },
                "@permanent": true
            }
        },
        "ErrorCode": "BadRequest_DatabaseNotExist",
        "FailureStatus": "Permanent",
        "RootActivityId": "00000000-0000-0000-0000-000000000000",
        "OriginatesFromUpdatePolicy": false,
        "ShouldRetry": false,
        "IngestionSourcePath": "https://c0skstrldkereneus01.blob.core.windows.net/aam-20190826-temp-e5c334ee145d4b43a3a2d3a96fbac1df/3216_test_3_columns_invalid_8f57f0d161ed4a8c903c6d1073005732_59951f9ca5d143b6bdefe52fa381a8ca.zip"
    }
}

Activiteitenlogboeken

Voorbeeld van activiteitenlogboeken

Azure-activiteitenlogboeken zijn logboeken op abonnementsniveau die inzicht bieden in de bewerkingen die worden uitgevoerd op resources in uw abonnement. Hieronder volgt een voorbeeld van een activiteitslogboekgebeurtenis voor het controleren van de toegang:

{
    "records": [
    {
        "time": "2018-12-26T16:23:06.1090193Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Start",
        "resultSignature": "Started.",
        "durationMs": 0,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            ...
        }
    },
    {
        "time": "2018-12-26T16:23:06.3040244Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Success",
        "resultSignature": "Succeeded.OK",
        "durationMs": 194,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            "statusCode": "OK",
            "serviceRequestId": "87acdebc-945f-4c0c-b931-03050e085626"
        }
    }]
}

Een opnamepijplijn instellen in Azure Data Explorer

Het instellen van een Azure Data Explorer-pijplijn omvat verschillende stappen, zoals het maken van een tabel en gegevensopname. U kunt de gegevens ook bewerken, toewijzen en bijwerken.

Verbinding maken met de webinterface van Azure Data Explorer

Selecteer Query in uw Azure Data Explorer TestDatabase-database om de webinterface van Azure Data Explorer te openen.

De doeltabellen maken

De structuur van de Azure Monitor-logboeken is niet in tabelvorm. U bewerkt de gegevens en vouwt elke gebeurtenis uit naar een of meer records. De onbewerkte gegevens worden opgenomen in een tussenliggende tabel met de naam ActivityLogsRawRecords voor activiteitenlogboeken en DiagnosticRawRecords voor diagnostische metrische gegevens en logboeken. Dat is het moment waarop de gegevens worden bewerkt en uitgebreid. Met behulp van een updatebeleid worden de uitgebreide gegevens vervolgens opgenomen in de tabel ActivityLogs voor activiteitenlogboeken , DiagnosticMetrics voor diagnostische metrische gegevens en DiagnosticLogs voor diagnostische logboeken. Dit betekent dat u twee afzonderlijke tabellen moet maken voor het opnemen van activiteitenlogboeken en drie afzonderlijke tabellen voor het opnemen van diagnostische metrische gegevens en logboeken.

Gebruik de webinterface van Azure Data Explorer om de doeltabellen te maken in de Azure Data Explorer-database.

Diagnostische metrische gegevens

Tabellen maken voor de diagnostische metrische gegevens

1. Maak in de TestDatabase-database een tabel met de naam DiagnosticMetrics om de records voor diagnostische metrische gegevens op te slaan. Gebruik de volgende .create table beheeropdracht:

   .create table DiagnosticMetrics (Timestamp:datetime, ResourceId:string, MetricName:string, Count:int, Total:double, Minimum:double, Maximum:double, Average:double, TimeGrain:string)
   

2. Selecteer Uitvoeren om de tabel te maken.

   

3. Maak de tussenliggende gegevenstabel met de naam DiagnosticRawRecords in de TestDatabase-database voor gegevensmanipulatie met behulp van de volgende query. Selecteer Uitvoeren om de tabel te maken.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Bewaarbeleid voor nul instellen voor de tussenliggende tabel:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Diagnostische logboeken

Tabellen maken voor de diagnostische logboeken

1. Maak in de TestDatabase-database een tabel met de naam DiagnosticLogs om de diagnostische logboekrecords op te slaan. Gebruik de volgende .create table beheeropdracht:

   .create table DiagnosticLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Result:string, OperationId:string, Database:string, Table:string, IngestionSourceId:string, IngestionSourcePath:string, RootActivityId:string, ErrorCode:string, FailureStatus:string, Details:string)
   

2. Selecteer Uitvoeren om de tabel te maken.

3. Maak de tussenliggende gegevenstabel met de naam DiagnosticRawRecords in de TestDatabase-database voor gegevensmanipulatie met behulp van de volgende query. Selecteer Uitvoeren om de tabel te maken.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Bewaarbeleid voor nul instellen voor de tussenliggende tabel:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Activiteitenlogboeken

Tabellen maken voor de activiteitenlogboeken

1. Maak een tabel met de naam ActivityLogs in de TestDatabase-database om activiteitenlogboekrecords te ontvangen. Voer de volgende Azure Data Explorer-query uit om de tabel te maken:

   .create table ActivityLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Category:string, ResultType:string, ResultSignature:string, DurationMs:int, IdentityAuthorization:dynamic, IdentityClaims:dynamic, Location:string, Level:string)
   

2. Maak de tussenliggende gegevenstabel met de naam ActivityLogsRawRecords in de TestDatabase-database voor het manipuleren van gegevens:

   .create table ActivityLogsRawRecords (Records:dynamic)
   

3. Bewaarbeleid voor nul instellen voor de tussenliggende tabel:

   .alter-merge table ActivityLogsRawRecords policy retention softdelete = 0d
   

Tabeltoewijzingen maken

Omdat de tabelindeling json is, is gegevenstoewijzing vereist. Met de json-toewijzingen wordt elk json-pad toegewezen aan de naam van een tabelkolom. JSON-paden die speciale tekens bevatten, moeten worden ge escaped als ['Eigenschapsnaam']. Zie JSONPath-syntaxis voor meer informatie.

Diagnostische metrische gegevens/diagnostische logboeken

Diagnostische metrische gegevens en logboeken toewijzen aan de tabel

Gebruik de volgende query om de diagnostische metrische gegevens en logboekgegevens toe te wijzen aan de tabel:

.create table DiagnosticRawRecords ingestion json mapping 'DiagnosticRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Activiteitenlogboeken

Activiteitenlogboeken toewijzen aan de tabel

Gebruik de volgende query om de gegevens van het activiteitenlogboek toe te wijzen aan de tabel:

.create table ActivityLogsRawRecords ingestion json mapping 'ActivityLogsRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Het updatebeleid voor metrische gegevens en logboekgegevens maken

Diagnostische metrische gegevens

Beleid voor gegevensupdates maken voor diagnostische metrische gegevens

1. Maak een functie waarmee de verzameling diagnostische metrische records wordt uitgebreid, zodat elke waarde in de verzameling een afzonderlijke rij ontvangt. Gebruik de mv-expand operator:

   .create function DiagnosticMetricsExpand() {
      DiagnosticRawRecords
      | mv-expand events = Records
      | where isnotempty(events.metricName)
      | project
          Timestamp = todatetime(events['time']),
          ResourceId = tostring(events.resourceId),
          MetricName = tostring(events.metricName),
          Count = toint(events['count']),
          Total = todouble(events.total),
          Minimum = todouble(events.minimum),
          Maximum = todouble(events.maximum),
          Average = todouble(events.average),
          TimeGrain = tostring(events.timeGrain)
   }
   

2. Voeg het updatebeleid toe aan de doeltabel. Met dit beleid wordt de query automatisch uitgevoerd op alle nieuw opgenomen gegevens in de tussenliggende gegevenstabel DiagnosticRawRecords en worden de resultaten opgenomen in de tabel DiagnosticMetrics :

   .alter table DiagnosticMetrics policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticMetricsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Diagnostische logboeken

Beleid voor gegevensupdates maken voor diagnostische logboeken

1. Maak een functie waarmee de verzameling diagnostische logboekrecords wordt uitgebreid, zodat elke waarde in de verzameling een afzonderlijke rij ontvangt. U schakelt opnamelogboeken in op een Azure Data Explorer-cluster en gebruikt het schema voor opnamelogboeken. U maakt één tabel voor geslaagde en voor mislukte opname, terwijl sommige velden leeg zijn voor geslaagde opname (bijvoorbeeld ErrorCode). Gebruik de mv-expand operator:

   .create function DiagnosticLogsExpand() {
       DiagnosticRawRecords
       | mv-expand events = Records
       | where isnotempty(events.operationName)
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Result = tostring(events.resultType),
           OperationId = tostring(events.properties.OperationId),
           Database = tostring(events.properties.Database),
           Table = tostring(events.properties.Table),
           IngestionSourceId = tostring(events.properties.IngestionSourceId),
           IngestionSourcePath = tostring(events.properties.IngestionSourcePath),
           RootActivityId = tostring(events.properties.RootActivityId),
           ErrorCode = tostring(events.properties.ErrorCode),
           FailureStatus = tostring(events.properties.FailureStatus),
           Details = tostring(events.properties.Details)
   }
   

2. Voeg het updatebeleid toe aan de doeltabel. Met dit beleid wordt de query automatisch uitgevoerd op alle nieuw opgenomen gegevens in de tussenliggende gegevenstabel DiagnosticRawRecords en worden de resultaten opgenomen in de tabel DiagnosticLogs :

   .alter table DiagnosticLogs policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticLogsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Activiteitenlogboeken

Beleid voor gegevensupdates maken voor activiteitenlogboeken

1. Maak een functie waarmee de verzameling activiteitenlogboekrecords wordt uitgebreid, zodat elke waarde in de verzameling een afzonderlijke rij ontvangt. Gebruik de mv-expand operator:

   .create function ActivityLogRecordsExpand() {
       ActivityLogsRawRecords
       | mv-expand events = Records
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Category = tostring(events.category),
           ResultType = tostring(events.resultType),
           ResultSignature = tostring(events.resultSignature),
           DurationMs = toint(events.durationMs),
           IdentityAuthorization = events.identity.authorization,
           IdentityClaims = events.identity.claims,
           Location = tostring(events.location),
           Level = tostring(events.level)
   }
   

2. Voeg het updatebeleid toe aan de doeltabel. Met dit beleid wordt de query automatisch uitgevoerd op alle nieuw opgenomen gegevens in de tussenliggende gegevenstabel ActivityLogsRawRecords en worden de resultaten opgenomen in de tabel ActivityLogs :

   .alter table ActivityLogs policy update @'[{"Source": "ActivityLogsRawRecords", "Query": "ActivityLogRecordsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Een Azure Event Hubs-naamruimte maken

Met diagnostische instellingen van Azure kunt u metrische gegevens en logboeken exporteren naar een opslagaccount of naar een Event Hub. In deze zelfstudie routeren we de metrische gegevens en logboeken via een Event Hub. In de volgende stappen maakt u een Event Hub-naamruimte en een Event Hub voor de diagnostische metrische gegevens en logboeken. Azure Monitor maakt de event hub insights-operational-logs voor de activiteitenlogboeken.

1. Maak een event hub met behulp van een Azure Resource Manager-sjabloon in de Microsoft Azure-portal. Klik met de rechtermuisknop op Implementeren in Azure en selecteer In nieuw venster openen om de rest van de stappen in dit artikel te volgen. Klik op de knop Implementeren in Azure om de Azure-portal te openen.

   

2. Maak een Event Hubs-naamruimte en een Event Hub voor de diagnostische logboeken. Meer informatie over het maken van een Event Hubs-naamruimte.

3. Vul in het formulier de volgende gegevens in. Gebruik de standaardwaarden voor alle instellingen die niet worden vermeld in de volgende tabel.

   Instelling	Voorgestelde waarde	Beschrijving
   Abonnement	Uw abonnement	Selecteer het Azure-abonnement dat u wilt gebruiken voor de Event Hub.
   Resourcegroep	test-resource-group	Een nieuwe resourcegroep maken.
   Locatie	Selecteer de regio die het beste voldoet aan uw behoeften.	Maak de Event Hub-naamruimte op dezelfde locatie als andere resources.
   Naam van naamruimte	AzureMonitoringData	Kies een unieke naam waarmee de naamruimte kan worden geïdentificeerd.
   Naam van Event Hub	Diagnostische gegevens	De Event Hub bevindt zich onder de naamruimte, wat een unieke bereikcontainer biedt.
   Naam van consumentengroep	adxpipeline	Maak een naam voor een consumentengroep. Met consumentengroepen kunnen meerdere gebruikstoepassingen elk een afzonderlijke weergave van de gebeurtenisstroom hebben.

Metrische gegevens en logboeken van Azure Monitor verbinden met uw Event Hub

Nu moet u uw diagnostische metrische gegevens en logboeken en uw activiteitenlogboeken verbinden met de Event Hub.

Diagnostische metrische gegevens/diagnostische logboeken

Diagnostische metrische gegevens en logboeken verbinden met uw Event Hub

Selecteer een resource van waaruit u metrische gegevens wilt exporteren. Verschillende resourcetypen ondersteunen het exporteren van diagnostische gegevens, waaronder event hubs-naamruimte, Azure Key Vault, Azure IoT Hub en Azure Data Explorer-clusters. In deze zelfstudie gebruiken we een Azure Data Explorer-cluster als resource en bekijken we de metrische gegevens over queryprestaties en logboeken met opnameresultaten.

1. Selecteer uw Kusto-cluster in de Azure-portal.

2. Selecteer Diagnostische instellingen en selecteer vervolgens de link Diagnostische gegevens inschakelen.

   

3. Het deelvenster Diagnostische instellingen wordt geopend. Voer de volgende stappen uit:

   1. Geef de gegevens uit uw diagnostische logboeken de naam ADXExportedData.

   2. Schakel onder LOGBOEK de selectievakjes SucceededIngestion en FailedIngestion in.

   3. Schakel onder METRISCHE gegevens het selectievakje Queryprestaties in.

   4. Schakel het selectievakje Streamen naar een event hub in.

   5. Selecteer Configureren.

      

4. Configureer in het deelvenster Een event hub selecteren hoe gegevens uit diagnostisch logboeken moeten worden geëxporteerd naar de event hub die u hebt gemaakt:

   1. Selecteer in de lijst Naamruimte van de Event Hub selecteren de optie AzureMonitoringData.
   2. Selecteer diagnostische gegevens in de lijst Naam van event hub selecteren.
   3. Selecteer in de lijst Naam van het Event Hub-beleid selecteren de optie RootManagerSharedAccessKey.
   4. Selecteer OK.

5. Selecteer Opslaan.

Activiteitenlogboeken

Activiteitenlogboeken verbinden met uw event hub

1. Selecteer Activiteitenlogboek in het linkermenu van de Microsoft Azure-portal.

2. Het venster Activiteitenlogboek wordt geopend. Selecteer Diagnostische instellingen.

   

3. Het venster Diagnostische instellingen wordt geopend. Selecteer + Diagnostische instelling toevoegen.

   

4. Er wordt een nieuw venster met diagnostische instellingen geopend.

   

   Voer de volgende stappen uit:

   1. Voer een naam in het veld Naam van diagnostische instelling in.
   2. Selecteer aan de linkerkant van de selectievakjes de platformlogboeken die u van een abonnement wilt verzamelen.
   3. Schakel het selectievakje Streamen naar een event hub in.
   4. Selecteer uw abonnement.
   5. Selecteer AzureMonitoringData in de lijst Event Hub-naamruimte.
   6. Selecteer desgewenst de naam van uw Event Hub.
   7. Selecteer in de lijst Naam van Event Hub-beleid de standaardnaam van het Event Hub-beleid.
   8. Selecteer Opslaan in de linkerbovenhoek van het venster. Er wordt een Event Hub met de naam insights-operational-logs gemaakt (tenzij u hierboven een Event Hub-naam hebt geselecteerd).

Zie hoe gegevens naar uw event hubs gaan

1. Wacht een paar minuten totdat de verbinding is gedefinieerd en het exporteren van het activiteitenlogboek naar de event hub is voltooid. Ga naar uw Event Hubs-naamruimte om de Event Hubs te bekijken die u hebt gemaakt.

   

2. Zie hoe gegevens naar uw event hub gaan:

   

Een event hub verbinden met Azure Data Explorer

Nu moet u de gegevensverbindingen maken voor uw diagnostische metrische gegevens en logboeken en activiteitenlogboeken.

De gegevensverbinding maken voor diagnostische metrische gegevens en logboeken en activiteitenlogboeken

1. In het Azure Data Explorer-cluster met de naam kustodocs selecteert u Databases in het menu links.

2. In het venster Databases selecteert u uw TestDatabase-database.

3. Selecteer Gegevensopname in het menu links.

4. Selecteer in het venster Gegevensopnamede optie + Gegevensverbinding toevoegen.

5. Voer in het venster Gegevensverbinding de volgende informatie in:

   

Diagnostische metrische gegevens/diagnostische logboeken

1. Gebruik de volgende instellingen in het venster Gegevensverbinding:

   Gegevensbron:

   Instelling	Voorgestelde waarde	Beschrijving van veld
   Naam van gegevensverbinding	DiagnosticsLogsConnection	De naam van de verbinding die u wilt maken in Azure Data Explorer.
   Event Hub-naamruimte	AzureMonitoringData	De naam die u eerder hebt gekozen om de naamruimte te identificeren.
   Event Hub	Diagnostische gegevens	De Event Hub die u hebt gemaakt.
   Consumentengroep	adxpipeline	De consumentengroep die u hebt gedefinieerd in de gemaakte Event Hub.

   Doeltabel:

   Er zijn twee opties voor de routering: statische en dynamische. Voor deze zelfstudie gebruikt u statische routering (standaardinstelling), waarbij u de tabelnaam, gegevensindeling en toewijzing opgeeft. Laat Mijn gegevens omvatten routeringsgegevens uitgeschakeld.

   Instelling	Voorgestelde waarde	Beschrijving van veld
   Tabel	DiagnosticRawRecords	De tabel die u hebt gemaakt in de TestDatabase-database.
   Gegevensindeling	JSON	De indeling die in de tabel wordt gebruikt.
   Toewijzen van kolommen	DiagnosticRawRecordsMapping	De toewijzing die u hebt gemaakt in de TestDatabase-database , waarmee binnenkomende JSON-gegevens worden toegewezen aan de kolomnamen en gegevenstypen van de tabel DiagnosticRawRecords .

2. Selecteer Maken.

Activiteitenlogboeken

1. Gebruik de volgende instellingen in het venster Gegevensverbinding:

   Gegevensbron:

   Instelling	Voorgestelde waarde	Beschrijving van veld
   Naam van gegevensverbinding	ActivityLogsConnection	De naam van de verbinding die u wilt maken in Azure Data Explorer.
   Event Hub-naamruimte	AzureMonitoringData	De naam die u eerder hebt gekozen om de naamruimte te identificeren.
   Event Hub	insights-operational-logs	De Event Hub die u hebt gemaakt.
   Consumentengroep	$Default	De standaard consumentengroep. Zo nodig kunt u een andere consumentengroep maken.

   Doeltabel:

   Er zijn twee opties voor de routering: statische en dynamische. Voor deze zelfstudie gebruikt u statische routering (standaardinstelling), waarbij u de tabelnaam, gegevensindeling en toewijzing opgeeft. Laat Mijn gegevens omvatten routeringsgegevens uitgeschakeld.

   Instelling	Voorgestelde waarde	Beschrijving van veld
   Tabel	ActivityLogsRawRecords	De tabel die u hebt gemaakt in de TestDatabase-database.
   Gegevensindeling	JSON	De indeling die in de tabel wordt gebruikt.
   Toewijzen van kolommen	ActivityLogsRawRecordsMapping	De toewijzing die u hebt gemaakt in de TestDatabase-database, waarmee binnenkomende JSON-gegevens worden toegewezen aan de kolomnamen en gegevenstypen van de tabel ActivityLogsRawRecords.

2. Selecteer Maken.

Query uitvoeren op de nieuwe tabellen

U hebt nu een pijplijn met een gegevensstroom. Opname via het cluster duurt standaard 5 minuten. Laat de gegevensstroom daarom een paar minuten zijn gang gaan voordat u een query gaat uitvoeren.

Diagnostische metrische gegevens

Een query uitvoeren op de tabel met metrische gegevens voor diagnostische gegevens

De volgende query analyseert queryduurgegevens uit diagnostische metrische records in Azure Data Explorer:

DiagnosticMetrics
| where Timestamp > ago(15m) and MetricName == 'QueryDuration'
| summarize avg(Average)

Queryresultaten:

avg_Average
00:06.156

Diagnostische logboeken

Query's uitvoeren op de tabel met diagnostische logboeken

Deze pijplijn produceert opname via een Event Hub. U bekijkt de resultaten van deze opname. Met de volgende query wordt geanalyseerd hoeveel opname in een minuut is opgebouwd, inclusief een voorbeeld van Database, Table en IngestionSourcePath voor elk interval:

DiagnosticLogs
| where Timestamp > ago(15m) and OperationName has 'INGEST'
| summarize count(), take_any(Database, Table, IngestionSourcePath) by bin(Timestamp, 1m)

Queryresultaten:

Tellen_	any_Database	any_Table	any_IngestionSourcePath
00:06.156	TestDatabase	DiagnosticRawRecords	https://rtmkstrldkereneus00.blob.core.windows.net/20190827-readyforaggregation/1133_TestDatabase_DiagnosticRawRecords_6cf02098c0c74410bd8017c2d458b45d.json.zip

Activiteitenlogboeken

Een query uitvoeren op de tabel met activiteitenlogboeken

De volgende query analyseert gegevens uit records van activiteitenlogboeken in Azure Data Explorer:

ActivityLogs
| where OperationName == 'MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/LISTKEYS/ACTION'
| where ResultType == 'Success'
| summarize avg(DurationMs)

Queryresultaten:

avg(DurationMs)
768.333

Gerelateerde inhoud

• Query's schrijven voor Azure Data Explorer.
• Opnamebewerkingen van Azure Data Explorer bewaken met behulp van diagnostische logboeken
• Metrische gegevens gebruiken om clusterstatus te bewaken