Inspekcja zapytań w dziennikach usługi Azure Monitor
Dzienniki inspekcji zapytań dzienników zapewniają dane telemetryczne dotyczące zapytań dzienników uruchamianych w usłudze Azure Monitor. Obejmuje to informacje, takie jak czas uruchomienia zapytania, osoba, która ją uruchomiła, jakie narzędzie zostało użyte, tekst zapytania i statystyki wydajności opisujące wykonywanie zapytania.
Konfigurowanie inspekcji zapytań
Inspekcja zapytań jest włączona z ustawieniem diagnostycznym w obszarze roboczym usługi Log Analytics. Dzięki temu można wysyłać dane inspekcji do bieżącego obszaru roboczego lub dowolnego innego obszaru roboczego w ramach subskrypcji, do usługi Azure Event Hubs do wysyłania poza platformę Azure lub do usługi Azure Storage na potrzeby archiwizacji.
Azure Portal
Uzyskaj dostęp do ustawienia diagnostycznego obszaru roboczego usługi Log Analytics w witrynie Azure Portal w jednej z następujących lokalizacji:
Z menu usługi Azure Monitor wybierz pozycję Ustawienia diagnostyczne, a następnie znajdź i wybierz obszar roboczy.
Z menu obszarów roboczych usługi Log Analytics wybierz obszar roboczy, a następnie wybierz pozycję Ustawienia diagnostyczne.
Szablon usługi Resource Manager
Przykładowy szablon usługi Resource Manager można uzyskać z ustawienia diagnostycznego dla obszaru roboczego usługi Log Analytics.
Dane inspekcji
Rekord inspekcji jest tworzony za każdym razem, gdy zapytanie jest uruchamiane. Jeśli dane są wysyłane do obszaru roboczego usługi Log Analytics, są one przechowywane w tabeli o nazwie LAQueryLogs. W poniższej tabeli opisano właściwości w każdym rekordzie danych inspekcji.
| Pole | opis |
|---|---|
| TimeGenerated | Czas UTC, kiedy zapytanie zostało przesłane. |
| CorrelationId | Unikatowy identyfikator identyfikujące zapytanie. Może być używany w scenariuszach rozwiązywania problemów podczas kontaktowania się z firmą Microsoft w celu uzyskania pomocy. |
| AADObjectId | Microsoft Entra ID konta użytkownika, które uruchomiło zapytanie. |
| Identyfikator AADTenantId | Identyfikator dzierżawy konta użytkownika, które uruchomiło zapytanie. |
| AADEmail | Adres e-mail dzierżawy konta użytkownika, który uruchomił zapytanie. |
| AADClientId | Identyfikator i rozpoznana nazwa aplikacji użytej do uruchomienia zapytania. |
| RequestClientApp | Rozpoznana nazwa aplikacji używanej do uruchamiania zapytania. Aby uzyskać więcej informacji, zobacz żądanie aplikacji klienckiej. |
| QueryTimeRangeStart | Początek zakresu czasu wybranego dla zapytania. Może to nie zostać wypełnione w niektórych scenariuszach, takich jak uruchomienie zapytania z usługi Log Analytics, a zakres czasu jest określony wewnątrz zapytania, a nie selektora czasu. |
| QueryTimeRangeEnd | Koniec zakresu czasu wybranego dla zapytania. Może to nie zostać wypełnione w niektórych scenariuszach, takich jak uruchomienie zapytania z usługi Log Analytics, a zakres czasu jest określony wewnątrz zapytania, a nie selektora czasu. |
| Tekst zapytania | Tekst uruchomionego zapytania. |
| RequestTarget | Adres URL interfejsu API został użyty do przesłania zapytania. |
| RequestContext | Lista zasobów, względem których zażądano uruchomienia zapytania. Zawiera maksymalnie trzy tablice ciągów: obszary robocze, aplikacje i zasoby. Zapytania dotyczące subskrypcji lub grupy zasobów będą wyświetlane jako zasoby. Zawiera element docelowy dorozumiany przez element RequestTarget. Identyfikator zasobu dla każdego zasobu zostanie uwzględniony, jeśli będzie można go rozpoznać. Rozwiązanie problemu może nie być możliwe, jeśli podczas uzyskiwania dostępu do zasobu zostanie zwrócony błąd. W takim przypadku zostanie użyty określony tekst z zapytania. Jeśli zapytanie używa niejednoznacznej nazwy, takiej jak nazwa obszaru roboczego istniejącego w wielu subskrypcjach, ta niejednoznaczna nazwa zostanie użyta. |
| RequestContextFilters | Zestaw filtrów określonych jako część wywołania zapytania. Obejmuje maksymalnie trzy możliwe tablice ciągów: - ResourceTypes — typ zasobu, aby ograniczyć zakres zapytania - Obszary robocze — lista obszarów roboczych, do których ma być ograniczona kwerenda - WorkspaceRegions — lista regionów obszaru roboczego w celu ograniczenia zapytania |
| Kod odpowiedzi | Kod odpowiedzi HTTP zwrócony po przesłaniu zapytania. |
| ResponseDurationMs | Czas na zwrócenie odpowiedzi. |
| ResponseRowCount | Łączna liczba wierszy zwracanych przez zapytanie. |
| StatsCPUTimeMs | Łączny czas obliczeniowy używany do przetwarzania, analizowania i pobierania danych. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
| StatsDataProcessedKB | Ilość danych, do których uzyskiwano dostęp do przetwarzania zapytania. Pod wpływem rozmiaru tabeli docelowej, używanego przedziału czasu, zastosowanych filtrów i liczby przywoływanych kolumn. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
| StatsDataProcessedStart | Czas najstarszych danych, do których uzyskiwano dostęp do przetwarzania zapytania. Na wpływ zastosowano jawny przedział czasu i filtry zapytania. Może to być większe niż jawny przedział czasu z powodu partycjonowania danych. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
| StatsDataProcessedEnd | Czas najnowszych danych, do których uzyskiwano dostęp do przetwarzania zapytania. Na wpływ zastosowano jawny przedział czasu i filtry zapytania. Może to być większe niż jawny przedział czasu z powodu partycjonowania danych. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
| StatsWorkspaceCount | Liczba obszarów roboczych, do których uzyskuje dostęp zapytanie. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
| StatsRegionCount | Liczba regionów, do których uzyskuje dostęp zapytanie. Wypełniane tylko wtedy, gdy zapytanie zwraca kod stanu 200. |
Żądanie aplikacji klienckiej
| RequestClientApp | opis |
|---|---|
| AAPBI | Integracja usługi Log Analytics z usługą Power BI. |
| AppAnalytics | Środowiska usługi Log Analytics w witrynie Azure Portal. |
| AppInsightsPortalExtension | Skoroszyty lub usługa Application Insights. |
| ASC_Portal | Microsoft Defender dla Chmury. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Łącznik dzienników usługi Azure Monitor. |
| csharpsdk | Interfejs API zapytań usługi Log Analytics. |
| Monitor wersji roboczej | Tworzenie alertu przeszukiwania dzienników w witrynie Azure Portal. |
| Grafana | Łącznik Grafana. |
| IbizaExtension | Środowiska usługi Log Analytics w witrynie Azure Portal. |
| infraInsights/container | Szczegółowe informacje o kontenerze. |
| infraInsights/vm | Szczegółowe informacje o maszynie wirtualnej. |
| LogAnalyticsExtension | Pulpit nawigacyjny platformy Azure. |
| LogAnalyticsPSClient | Interfejs API zapytań usługi Log Analytics. |
| OmsAnalyticsPBI | Integracja usługi Log Analytics z usługą Power BI. |
| PowerBIConnector | Integracja usługi Log Analytics z usługą Power BI. |
| Sentinel-Investigation-Queries | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Nieznane | Interfejs API zapytań usługi Log Analytics. |
| UpdateManagement | Zarządzanie aktualizacjami. |
Kwestie wymagające rozważenia
- Zapytania są rejestrowane tylko podczas wykonywania w kontekście użytkownika. Żadne usługi między usługami na platformie Azure nie zostaną zarejestrowane. Dwa podstawowe zestawy zapytań, które obejmuje to wykluczenie, to obliczenia rozliczeniowe i automatyczne wykonywanie alertów. W przypadku alertów tylko zaplanowane zapytanie alertu nie zostanie zarejestrowane; początkowe wykonanie alertu na ekranie tworzenia alertu jest wykonywane w kontekście użytkownika i będzie dostępne do celów inspekcji.
- Statystyki wydajności nie są dostępne dla zapytań pochodzących z serwera proxy usługi Azure Data Explorer. Wszystkie inne dane dla tych zapytań będą nadal wypełniane.
- Wskazówka h dla ciągów, które zaciemnia literały ciągu, nie będą miały wpływu na dzienniki inspekcji zapytań. Zapytania zostaną przechwycone dokładnie tak, jak przesłane bez zaciemniania ciągu. Należy się upewnić, że tylko użytkownicy, którzy mają uprawnienia do zgodności, aby zobaczyć te dane, mogą to zrobić przy użyciu różnych trybów kontroli dostępu opartej na rolach platformy Kubernetes lub RBAC platformy Azure dostępnych w obszarach roboczych usługi Log Analytics.
- W przypadku zapytań zawierających dane z wielu obszarów roboczych zapytanie zostanie przechwycone tylko w tych obszarach roboczych, do których użytkownik ma dostęp.
Koszty
Rozszerzenie diagnostyki platformy Azure nie wiąże się z żadnymi kosztami, ale mogą zostać naliczone opłaty za pozyskane dane. Sprawdź cennik usługi Azure Monitor dla miejsca docelowego, w którym zbierasz dane.
Następne kroki
- Dowiedz się więcej o ustawieniach diagnostycznych.
- Dowiedz się więcej na temat optymalizowania zapytań dziennika.