Agregowanie danych w obszarze roboczym usługi Log Analytics przy użyciu reguł podsumowania (wersja zapoznawcza)

Reguła podsumowania umożliwia agregowanie danych dziennika w regularnym tempie i wysyłanie zagregowanych wyników do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics. Użyj reguł podsumowania, aby zoptymalizować dane pod kątem:

• Analiza i raporty, szczególnie w przypadku dużych zestawów danych i zakresów czasu, zgodnie z wymaganiami analizy zabezpieczeń i zdarzeń, raportów biznesowych z miesiąca do miesiąca lub rocznego itd. Złożone zapytania dotyczące dużego zestawu danych często przekracza limit czasu. Łatwiejsze i bardziej wydajne analizowanie i raportowanie oczyszczonych i zagregowanych danych podsumowanych.

• Oszczędności kosztów w pełnych dziennikach, które można zachować tak długo, jak tylko potrzebujesz w taniej podstawowej tabeli dzienników, i wysyłać podsumowane dane do tabeli Analizy na potrzeby analiz i raportów.

• Bezpieczeństwo i prywatność danych przez usunięcie lub zaciemnianie szczegółów prywatności w podsumowanych danych z możliwością udostępniania i ograniczenie dostępu do tabel z nieprzetworzonymi danymi.

W tym artykule opisano sposób działania reguł podsumowania oraz sposób definiowania i wyświetlania reguł podsumowania oraz przedstawiono kilka przykładów użycia i korzyści związanych z regułami podsumowania.

Oto film wideo, który zawiera omówienie niektórych zalet reguł podsumowania:

Jak działają reguły podsumowania

Reguły podsumowania wykonują przetwarzanie wsadowe bezpośrednio w obszarze roboczym usługi Log Analytics. Reguła podsumowania agreguje fragmenty danych zdefiniowanych według rozmiaru pojemnika na podstawie zapytania KQL i ponownie pobiera podsumowane wyniki do tabeli niestandardowej z planem dziennika usługi Analytics w obszarze roboczym usługi Log Analytics.

Dane z dowolnej tabeli można agregować niezależnie od tego, czy tabela ma plan danych Analizy, czy Podstawowa. Usługa Azure Monitor tworzy schemat tabeli docelowej na podstawie zdefiniowanego zapytania. Jeśli tabela docelowa już istnieje, usługa Azure Monitor dodaje wszystkie kolumny wymagane do obsługi wyników zapytania. Wszystkie tabele docelowe zawierają również zestaw standardowych pól z informacjami o regułach podsumowania, w tym:

• _RuleName: reguła podsumowania, która wygenerowała zagregowany wpis dziennika.
• _RuleLastModifiedTime: kiedy reguła została ostatnio zmodyfikowana.
• _BinSize: interwał agregacji.
• _BinStartTime Godzina rozpoczęcia agregacji.

Można skonfigurować maksymalnie 30 aktywnych reguł, aby agregować dane z wielu tabel i wysyłać zagregowane dane do oddzielnych tabel docelowych lub tej samej tabeli.

Możesz wyeksportować podsumowane dane z niestandardowej tabeli dzienników do konta magazynu lub usługi Event Hubs w celu uzyskania dalszych integracji, definiując regułę eksportu danych.

Przykład: podsumowanie danych ContainerLogsV2

Jeśli monitorujesz kontenery, pozyskujesz dużą ilość pełnych dzienników w ContainerLogsV2 tabeli.

Możesz użyć tego zapytania w regule podsumowania, aby zagregować wszystkie unikatowe wpisy dziennika w ciągu 60 minut, zachowując dane, które są przydatne do analizy i porzucania danych, których nie potrzebujesz:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Oto nieprzetworzone dane w ContainerLogsV2 tabeli:

Oto zagregowane dane wysyłane przez regułę podsumowania do tabeli docelowej:

Zamiast rejestrować setki podobnych wpisów w ciągu godziny, tabela docelowa pokazuje liczbę każdego unikatowego wpisu, zgodnie z definicją w zapytaniu KQL. Ustaw podstawowy plan danych w ContainerLogsV2 tabeli na potrzeby taniego przechowywania danych pierwotnych i użyj podsumowanych danych w tabeli docelowej.

Wymagane uprawnienia

Akcja	Wymagane uprawnienia
Tworzenie lub aktualizowanie reguły podsumowania	Microsoft.Operationalinsights/workspaces/summarylogs/write uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Współautor usługi Log Analytics, na przykład
Tworzenie lub aktualizowanie tabeli docelowej	Microsoft.OperationalInsights/workspaces/tables/write uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Współautor usługi Log Analytics, na przykład
Włączanie zapytania w obszarze roboczym	Microsoft.OperationalInsights/workspaces/query/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład
Wykonywanie zapytań dotyczących wszystkich dzienników w obszarze roboczym	Microsoft.OperationalInsights/workspaces/query/*/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład
Wykonywanie zapytań dotyczących dzienników w tabeli	Microsoft.OperationalInsights/workspaces/query/<table>/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład
Wykonywanie zapytań dotyczących dzienników w tabeli (akcja tabeli)	Microsoft.OperationalInsights/workspaces/tables/query/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład
Używanie zapytań zaszyfrowanych na koncie magazynu zarządzanego przez klienta	Microsoft.Storage/storageAccounts/*uprawnienia do konta magazynu, zgodnie z wbudowaną rolą Współautor konta magazynu, na przykład

Ograniczenia

Kategoria	Limit
Maksymalna liczba aktywnych reguł w obszarze roboczym	30
Maksymalna liczba wyników na pojemnik	500,000
Maksymalny wolumin zestawu wyników	100 MB
Limit czasu zapytania na potrzeby przetwarzania pojemnika	10 min

• Reguły podsumowania są obecnie dostępne tylko w chmurze publicznej.

• Reguła podsumowania przetwarza dane przychodzące i nie można jej skonfigurować w historycznym zakresie czasu.

• Po wyczerpaniu ponownych prób wykonania pojemnika zostanie pominięty i nie można go ponownie wykonać.

• Wykonywanie zapytań dotyczących obszaru roboczego usługi Log Analytics w innej dzierżawie przy użyciu usługi Lighthouse nie jest obsługiwane.

• Limity KQL zależą od planu tabeli źródłowej.

  • Analiza: obsługuje wszystkie polecenia KQL, z wyjątkiem:

    • Zapytania między zasobami, używając workspaces()wyrażeń , app()i oraz resource() zapytań między usługami, używając wyrażeń ADX() i ARG() .
    • Wtyczki, które przekształcają schemat danych, w tym rozpakowywanie torby, wąskie i przestawne.

  • Podstawowa: obsługuje wszystkie polecenia KQL w jednej tabeli. Możesz dołączyć maksymalnie pięć tabel analizy przy użyciu operatora wyszukiwania .

  • Funkcje: funkcje zdefiniowane przez użytkownika nie są obsługiwane. Obsługiwane są funkcje systemowe udostępniane przez firmę Microsoft.

Model cen

Nie ma dodatkowych kosztów dla reguł podsumowania. Płacisz tylko za zapytanie i pozyskiwanie wyników do tabeli docelowej na podstawie planu tabeli źródłowej, na podstawie której uruchamiasz zapytanie:

Plan tabeli źródłowej	Koszty zapytań	Podsumowanie powoduje koszt pozyskiwania danych
Analiza	Brak opłat	Analityka pozyskana GB
Podstawowa i pomocnicza	Zeskanowane GB	Analityka pozyskana GB

Na przykład obliczenie kosztów dla reguły godzinowej zwracającej 100 rekordów na pojemnik jest następujące:

Plan tabeli źródłowej	Obliczanie ceny miesięcznej
Analiza	Cena pozyskiwania x rozmiar rekordu x liczba rekordów x 24 godziny x 30 dni
Podstawowa i pomocnicza	Zeskanowana cena GB x zeskanowany rozmiar + cena pozyskiwania x rozmiar rekordu x liczba rekordów x 24 godziny x 30 dni

Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Tworzenie lub aktualizowanie reguły podsumowania

Przed utworzeniem reguły poeksperymentuj z zapytaniem w usłudze Log Analytics. Sprawdź, czy zapytanie nie osiąga ani nie zbliża się do limitu zapytania. Sprawdź, czy zapytanie generuje zamierzony schemat i oczekiwane wyniki. Jeśli zapytanie znajduje się blisko limitów zapytań, rozważ użycie mniejszej binSize ilości danych na pojemnik. Możesz również zmodyfikować zapytanie, aby zwrócić mniej rekordów lub usunąć pola z większą liczbą woluminów.

Uwaga

Reguły podsumowania są najbardziej korzystne w okresie kosztów i zużycia wyników, gdy znacznie się zmniejszy. Na przykład wolumin wyników wynosi 0,01% lub mniej niż źródło.

Podczas aktualizowania zapytania i usuwania pól wyjściowych z zestawu wyników usługa Azure Monitor nie usuwa automatycznie kolumn z tabeli docelowej. Musisz ręcznie usunąć kolumny z tabeli .

API

Aby utworzyć lub zaktualizować regułę podsumowania, wykonaj następujące PUT wywołanie interfejsu API:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Szablon usługi Azure Resource Manager

Użyj tego szablonu, aby utworzyć lub zaktualizować regułę podsumowania. Aby uzyskać więcej informacji na temat używania i wdrażania szablonów usługi Azure Resource Manager, zobacz Szablony usługi Azure Resource Manager.

Plik szablonu

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2023-01-01-preview",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Plik parametrów

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description."
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

W tej tabeli opisano parametry reguły podsumowania:

Parametr	Prawidłowe wartości	opis
ruleType	User lub System	Określa typ reguły. - User: Zdefiniowane reguły. - System: wstępnie zdefiniowane reguły zarządzane przez usługi platformy Azure.
description	String	Opisuje regułę i jej funkcję. Ten parametr jest przydatny, gdy masz kilka reguł i może pomóc w zarządzaniu regułami.
binSize	20, 30, , 60, 180720120360lub 1440 (minuty)	Definiuje interwał agregacji i zakres czasu wyszukiwania. Jeśli na przykład ustawisz wartość "binSize": 120, możesz pobrać wpisy dla 02:00 to 04:00 i 04:00 to 06:00.
query	zapytanie język zapytań Kusto (KQL)	Definiuje zapytanie do wykonania w regule. Nie musisz określać zakresu czasu, ponieważ binSize parametr określa interwał agregacji — na przykład 02:00 to 03:00 jeśli "binSize": 60. Jeśli dodasz filtr czasu w zapytaniu, wściekłość czasowa używana w zapytaniu jest przecięciem między filtrem a rozmiarem pojemnika.
destinationTable	tablename_CL	Określa nazwę docelowej niestandardowej tabeli dziennika. Wartość nazwy musi mieć sufiks _CL. Usługa Azure Monitor tworzy tabelę w obszarze roboczym, jeśli jeszcze nie istnieje, na podstawie zapytania ustawionego w regule. Jeśli tabela już istnieje w obszarze roboczym, usługa Azure Monitor dodaje wszelkie nowe kolumny wprowadzone w zapytaniu. Jeśli wyniki podsumowania zawierają zarezerwowaną nazwę kolumny — taką jak TimeGenerated, , _ResourceId_IsBillable, TenantIdlub Type — usługa Azure Monitor dołącza _Original prefiks do oryginalnych pól w celu zachowania oryginalnych wartości.
binDelay (opcjonalny)	Liczba całkowita (minuty)	Ustawia czas oczekiwania przed wykonaniem pojemnika, zwykle przydatny podczas wykonywania na danych przychodzących z opóźnieniem, nazywanym również opóźnieniem pozyskiwania, i umożliwia uzyskanie większości danych. Domyślne opóźnienie wynosi od trzech do pół minut do 10% binSize wartości. Jeśli wiesz, że zapytanie dotyczące danych jest zwykle pozyskiwane z opóźnieniem, ustaw binDelay parametr ze znaną wartością opóźnienia lub większą, maksymalnie 1440 minut. Aby uzyskać więcej informacji, zobacz Konfigurowanie chronometrażu agregacji. W niektórych przypadkach usługa Azure Monitor może nieco rozpocząć wykonywanie pojemnika po opóźnieniu zestawu pojemników w celu zapewnienia niezawodności usługi i powodzenia zapytań.
binStartTime (opcjonalny)	Data/godzina w %Y-%n-%eT%H:%M %Z format	Określa datę i godzinę początkowego wykonania pojemnika. Wartość może zaczynać się od daty i godziny utworzenia reguły pomniejszonej o binSize wartość lub później i w ciągu całych godzin. Jeśli na przykład data/godzina wynosi 2023-12-03T12:13Z binSize 1440, najwcześniejsza prawidłowa binStartTime wartość to 2023-12-02T13:00Z, a agregacja obejmuje dane rejestrowane między 02T13:00 a 03T13:00. W tym scenariuszu reguły zaczynają agregować wartość 03T13:00 oraz domyślne lub określone opóźnienie. Parametr binStartTime jest przydatny w scenariuszach podsumowania dziennego. Załóżmy, że jesteś w strefie czasowej UTC-8 i tworzysz regułę dzienną o godzinie 2023-12-03T12:13Z. Chcesz, aby reguła została ukończona przed rozpoczęciem dnia o 8:00 (00:00 UTC). binStartTime Ustaw parametr na 2023-12-02T22:00Z. Pierwsza agregacja obejmuje wszystkie zarejestrowane dane z zakresu od 02T:06:00 do 03T:06:00 czasu lokalnego, a reguła jest uruchamiana w tym samym czasie codziennie. Aby uzyskać więcej informacji, zobacz Konfigurowanie chronometrażu agregacji. Podczas aktualizowania reguł można wykonać następujące czynności: — Użyj istniejącej binStartTime wartości lub usuń binStartTime parametr , w którym przypadku wykonywanie będzie kontynuowane na podstawie początkowej definicji. — Zaktualizuj regułę przy użyciu nowej binStartTime wartości, aby ustawić nową wartość daty/godziny.
timeSelector (opcjonalny)	TimeGenerated	Definiuje pole znacznika czasu używane przez usługę Azure Monitor do agregowania danych. Jeśli na przykład ustawisz "binSize": 120wartość , możesz pobrać wpisy z wartością TimeGenerated między 02:00 i 04:00.

Konfigurowanie chronometrażu agregacji

Domyślnie reguła podsumowania tworzy pierwszą agregację wkrótce po następnej pełnej godzinie.

Krótkie opóźnienie usługi Azure Monitor dodaje konta na potrzeby opóźnienia pozyskiwania — lub czas między utworzeniem danych w monitorowanym systemie a czasem, w jaki staną się dostępne do analizy w usłudze Azure Monitor. Domyślnie to opóźnienie wynosi od trzech do pół minut do 10% binSize wartości przed agregowaniem każdego fragmentu danych. W większości przypadków to opóźnienie gwarantuje, że usługa Azure Monitor agreguje wszystkie zarejestrowane dane w każdym przedziale czasu.

Na przykład:

• Utworzysz regułę podsumowania o rozmiarze pojemnika o rozmiarze 30 minut o godzinie 14:44.

  Reguła tworzy pierwszą agregację krótko po 15:00 — na przykład o godzinie 15:04 — dla danych zarejestrowanych między 14:30 a 15:00.

• Utworzysz regułę podsumowania o rozmiarze pojemnika o rozmiarze 720 minut (12 godzin) o godzinie 14:44.

  Reguła tworzy pierwszą agregację o wartości 16:12– 72 minut (10% rozmiaru pojemnika 720) po 13:00 — w przypadku danych zarejestrowanych między 03:00 a 15:00.

binStartTime Użyj parametrów ibinDelay, aby zmienić czas pierwszej agregacji i opóźnienie, które usługa Azure Monitor dodaje przed każdą agregacją.

W następnych sekcjach przedstawiono przykłady domyślnego chronometrażu agregacji i bardziej zaawansowanych opcji chronometrażu agregacji.

Użyj domyślnego chronometrażu agregacji

W tym przykładzie reguła podsumowania jest tworzona pod adresem 2023-06-07 o godzinie 14:44, a usługa Azure Monitor dodaje domyślne opóźnienie 4 minut.

binSize (minuty)	Uruchamianie początkowej reguły	Pierwsza agregacja	Druga agregacja
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
120	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Ustawianie opcjonalnych parametrów chronometrażu agregacji

W tym przykładzie reguła podsumowania jest tworzona pod adresem 2023-06-07 o godzinie 14:44, a reguła zawiera następujące zaawansowane ustawienia konfiguracji:

• binStartTime: 2023-06-08 07:00
• binDelay: 8 minut

binSize (minuty)	Uruchamianie początkowej reguły	Pierwsza agregacja	Druga agregacja
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
120	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Wyświetlanie reguł podsumowania

Użyj tego GET wywołania interfejsu API, aby wyświetlić konfigurację określonej reguły podsumowania:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

Użyj tego GET wywołania interfejsu API, aby wyświetlić konfigurację, aby wyświetlić konfigurację wszystkich reguł podsumowania w obszarze roboczym usługi Log Analytics:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Zatrzymywanie i ponowne uruchamianie reguły podsumowania

Regułę można zatrzymać przez pewien okres — na przykład jeśli chcesz sprawdzić, czy dane są pozyskiwane do tabeli i nie chcesz wpływać na podsumowaną tabelę i raporty. Po ponownym uruchomieniu reguły usługa Azure Monitor rozpoczyna przetwarzanie danych z następnej godziny lub na podstawie zdefiniowanego binStartTime (opcjonalnego) parametru.

Aby zatrzymać regułę, użyj tego POST wywołania interfejsu API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

Aby ponownie uruchomić regułę, użyj tego POST wywołania interfejsu API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Usuwanie reguły podsumowania

W obszarze roboczym usługi Log Analytics może być maksymalnie 30 aktywnych reguł podsumowania. Jeśli chcesz utworzyć nową regułę, ale masz już 30 aktywnych reguł, musisz zatrzymać lub usunąć aktywną regułę podsumowania.

Aby usunąć regułę, użyj tego DELETE wywołania interfejsu API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Monitorowanie reguł podsumowania

Aby monitorować reguły podsumowania, włącz kategorię Dzienniki podsumowania w ustawieniach diagnostycznych obszaru roboczego usługi Log Analytics. Usługa Azure Monitor wysyła szczegóły wykonywania reguły podsumowania, w tym informacje dotyczące uruchamiania reguły podsumowania, powodzenia i niepowodzenia do tabeli LASummaryLogs w obszarze roboczym.

Zalecamy skonfigurowanie reguł alertów dziennika w celu otrzymywania powiadomień o błędach pojemnika lub zbliża się limit czasu wykonywania pojemnika, jak pokazano poniżej. W zależności od przyczyny niepowodzenia można zmniejszyć rozmiar pojemnika, aby przetworzyć mniej danych w każdym wykonaniu, lub zmodyfikować zapytanie, aby zwrócić mniej rekordów lub pól o większym woluminie.

To zapytanie zwraca nieudane uruchomienia:

LASummaryLogs | where Status == "Failed"

To zapytanie zwraca bin uruchamiane, QueryDurationMs gdzie wartość jest większa niż 0,9 x 600 000 milisekund:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Weryfikowanie kompletności danych

Reguły podsumowania są przeznaczone do skalowania i obejmują mechanizm ponawiania prób w celu przezwyciężenia przejściowych błędów usługi lub zapytań związanych z limitami zapytań, na przykład. Mechanizm ponawiania próby wykonuje 10 prób zagregowania pojemnika, który zakończył się niepowodzeniem w ciągu ośmiu godzin, i pomija pojemnik, jeśli zostanie wyczerpany. Reguła jest ustawiona na isActive: false i wstrzymana po ośmiu kolejnych ponownych próbach pojemnika. Jeśli włączysz reguły podsumowania monitorowania, usługa Azure Monitor rejestruje zdarzenie w LASummaryLogs tabeli w obszarze roboczym.

Nie można ponownie uruchomić nieudanego uruchomienia pojemnika, ale możesz użyć następującego zapytania, aby wyświetlić przebiegi, które zakończyły się niepowodzeniem:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

To zapytanie renderuje wyniki jako schemat czasu:

Zobacz sekcję Monitorowanie reguł podsumowania, aby uzyskać opcje korygowania reguł i proaktywne alerty.

Szyfrowanie zapytań reguł podsumowania przy użyciu kluczy zarządzanych przez klienta

Zapytanie KQL może zawierać poufne informacje w komentarzach lub składni zapytania. Aby zaszyfrować zapytania dotyczące reguł podsumowania, połącz konto magazynu z obszarem roboczym usługi Log Analytics i użyj kluczy zarządzanych przez klienta.

Zagadnienia dotyczące pracy z zaszyfrowanymi zapytaniami:

• Łączenie konta magazynu w celu szyfrowania zapytań nie przerywa istniejących reguł.
• Domyślnie usługa Azure Monitor przechowuje zapytania dotyczące reguł podsumowania w magazynie usługi Log Analytics. Jeśli masz istniejące reguły podsumowania przed połączeniem konta magazynu z obszarem roboczym usługi Log Analytics, zaktualizuj reguły podsumowania, aby zapytania zapisywały istniejące zapytania na koncie magazynu.
• Zapytania zapisywane na koncie magazynu znajdują się w CustomerConfigurationStoreTable tabeli. Te zapytania są traktowane jako artefakty usługi, a ich format może ulec zmianie.
• Możesz użyć tego samego konta magazynu na potrzeby zapytań dotyczących reguł podsumowania, zapisanych zapytań w usłudze Log Analytics i alertów dzienników.

Rozwiązywanie problemów z regułami podsumowania

Ta sekcja zawiera porady dotyczące rozwiązywania problemów z regułami podsumowania.

Tabela docelowa reguły podsumowania przypadkowo usunięta

Jeśli usuniesz tabelę docelową, gdy reguła podsumowania jest aktywna, reguła zostanie zawieszona, a usługa Azure Monitor wyśle zdarzenie do LASummaryLogs tabeli z komunikatem wskazującym, że reguła została zawieszona.

Jeśli nie potrzebujesz wyników podsumowania w tabeli docelowej, usuń regułę i tabelę. Jeśli chcesz odzyskać wyniki podsumowania, wykonaj kroki opisane w sekcji Tworzenie lub aktualizowanie reguł podsumowania, aby ponownie utworzyć tabelę. Tabela docelowa zostanie przywrócona, w tym dane pozyskane przed usunięciem, w zależności od zasad przechowywania w tabeli.

Jeśli nie potrzebujesz wyników podsumowania w tabeli docelowej, usuń regułę i tabelę. Jeśli potrzebujesz wyników podsumowania, wykonaj kroki opisane w sekcji Tworzenie lub aktualizowanie reguł podsumowania, aby ponownie utworzyć tabelę docelową i przywrócić wszystkie dane, w tym dane pozyskane przed usunięciem, w zależności od zasad przechowywania w tabeli.

Zapytanie używa operatorów tworzących nowe kolumny w tabeli docelowej

Schemat tabeli docelowej jest definiowany podczas tworzenia lub aktualizowania reguły podsumowania. Jeśli zapytanie w regule podsumowania zawiera operatory, które umożliwiają rozszerzanie schematu wyjściowego na podstawie danych przychodzących — na przykład jeśli zapytanie używa arg_max(expression, *) funkcji — usługa Azure Monitor nie dodaje nowych kolumn do tabeli docelowej po utworzeniu lub zaktualizowaniu reguły podsumowania, a dane wyjściowe, które wymagają tych kolumn, zostaną usunięte. Aby dodać nowe pola do tabeli docelowej, zaktualizuj regułę podsumowania lub ręcznie dodaj kolumnę do tabeli.

Dane w usuniętych kolumnach pozostają w obszarze roboczym na podstawie ustawień przechowywania tabeli

Po usunięciu kolumn w zapytaniu kolumny i dane pozostają w miejscu docelowym i na podstawie okresu przechowywania zdefiniowanego w tabeli lub obszarze roboczym. Jeśli nie potrzebujesz usuniętej tabeli docelowej, usuń kolumny ze schematu tabeli. Jeśli następnie dodasz kolumny o tej samej nazwie, wszystkie dane, które nie są starsze, że okres przechowywania pojawi się ponownie.

Powiązana zawartość

• Dowiedz się więcej o planach danych dzienników usługi Azure Monitor.
• Zapoznaj się z samouczkiem dotyczącym korzystania z trybu KQL w usłudze Log Analytics.
• Uzyskaj dostęp do pełnej dokumentacji referencyjnej dla języka KQL.