Samouczek: Pozyskiwanie danych monitorowania i wykonywanie zapytań względem tych danych w usłudze Azure Data Explorer

W tym samouczku nauczymy Cię, jak pozyskiwać dane z dzienników diagnostycznych i dzienników aktywności do klastra usługi Azure Data Explorer bez pisania kodu. Ta prosta metoda pozyskiwania pozwala na szybkie rozpoczęcie tworzenia zapytań w usłudze Azure Data Explorer na potrzeby analizy danych.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie tabel i mapowania pozyskiwania w bazie danych usługi Azure Data Explorer.
• Formatowanie pozyskanych danych za pomocą zasad aktualizacji.
• Utwórz centrum zdarzeń i połącz go z usługą Azure Data Explorer.
• Przesyłanie strumieniowe danych do centrum zdarzeń z metryk diagnostycznych i dzienników aktywności usługi Azure Monitor.
• Tworzenie zapytań dotyczących pozyskiwanych danych za pomocą usługi Azure Data Explorer.

Uwaga

Tworzenie wszystkich zasobów w tej samej lokalizacji lub regionie platformy Azure.

Wymagania wstępne

• Subskrypcja platformy Azure. Utwórz bezpłatne konto platformy Azure.
• Baza danych i klaster usługi Azure Data Explorer. Utwórz klaster i bazę danych. Nazwa bazy danych używanej w tym samouczku to TestDatabase.

Dostawca danych usługi Azure Monitor: metryki diagnostyczne i dzienniki i dzienniki aktywności

Wyświetl i zapoznaj się z danymi dostarczonymi przez metryki diagnostyczne usługi Azure Monitor oraz dzienniki i dzienniki aktywności poniżej. Utworzysz potok pozyskiwania na podstawie tych schematów danych. Należy pamiętać, że każde zdarzenie w dzienniku ma tablicę rekordów. Ta tablica rekordów zostanie podzielona w dalszej części samouczka.

Przykłady metryk diagnostycznych i dzienników aktywności oraz dzienników aktywności

Metryki diagnostyczne platformy Azure i dzienniki aktywności są emitowane przez usługę platformy Azure i dostarczają dane dotyczące działania tej usługi.

Metryki diagnostyczne

Przykład metryk diagnostycznych

Metryki diagnostyczne są agregowane z ziarnem czasu 1 minuty. Poniżej przedstawiono przykład schematu zdarzeń metryk platformy Azure Data Explorer czasu trwania zapytania:

{
    "records": [
    {
        "count": 14,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-20T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    },
    {
        "count": 12,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-21T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    }
    ]
}

Dzienniki diagnostyczne

Przykład dzienników diagnostycznych

Poniżej przedstawiono przykład dziennika pozyskiwania danych diagnostycznych usługi Azure Data Explorer:

{
    "time": "2019-08-26T13:22:36.8804326Z",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
    "operationName": "MICROSOFT.KUSTO/CLUSTERS/INGEST/ACTION",
    "operationVersion": "1.0",
    "category": "FailedIngestion",
    "resultType": "Failed",
    "correlationId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
    "properties": {
        "OperationId": "00000000-0000-0000-0000-000000000000",
        "Database": "Kusto",
        "Table": "Table_13_20_prod",
        "FailedOn": "2019-08-26T13:22:36.8804326Z",
        "IngestionSourceId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
        "Details":
        {
            "error":
            {
                "code": "BadRequest_DatabaseNotExist",
                "message": "Request is invalid and cannot be executed.",
                "@type": "Kusto.Data.Exceptions.DatabaseNotFoundException",
                "@message": "Database 'Kusto' was not found.",
                "@context":
                {
                    "timestamp": "2019-08-26T13:22:36.7179157Z",
                    "serviceAlias": "<cluster-name>",
                    "machineName": "KEngine000001",
                    "processName": "Kusto.WinSvc.Svc",
                    "processId": 5336,
                    "threadId": 6528,
                    "appDomainName": "Kusto.WinSvc.Svc.exe",
                    "clientRequestd": "DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8",
                    "activityId": "f13e7718-1153-4e65-bf82-8583d712976f",
                    "subActivityId": "2cdad9d0-737b-4c69-ac9a-22cf9af0c41b",
                    "activityType": "DN.AdminCommand.DataIngestPullCommand",
                    "parentActivityId": "2f65e533-a364-44dd-8d45-d97460fb5795",
                    "activityStack": "(Activity stack: CRID=DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8 ARID=f13e7718-1153-4e65-bf82-8583d712976f > DN.Admin.Client.ExecuteControlCommand/5b764b32-6017-44a2-89e7-860eda515d40 > P.WCF.Service.ExecuteControlCommandInternal..IAdminClientServiceCommunicationContract/c2ef9344-069d-44c4-88b1-a3570697ec77 > DN.FE.ExecuteControlCommand/2f65e533-a364-44dd-8d45-d97460fb5795 > DN.AdminCommand.DataIngestPullCommand/2cdad9d0-737b-4c69-ac9a-22cf9af0c41b)"
                },
                "@permanent": true
            }
        },
        "ErrorCode": "BadRequest_DatabaseNotExist",
        "FailureStatus": "Permanent",
        "RootActivityId": "00000000-0000-0000-0000-000000000000",
        "OriginatesFromUpdatePolicy": false,
        "ShouldRetry": false,
        "IngestionSourcePath": "https://c0skstrldkereneus01.blob.core.windows.net/aam-20190826-temp-e5c334ee145d4b43a3a2d3a96fbac1df/3216_test_3_columns_invalid_8f57f0d161ed4a8c903c6d1073005732_59951f9ca5d143b6bdefe52fa381a8ca.zip"
    }
}

Dzienniki aktywności

Przykład dzienników aktywności

Dzienniki aktywności platformy Azure to dzienniki na poziomie subskrypcji, które zapewniają wgląd w operacje wykonywane na zasobach w subskrypcji. Poniżej przedstawiono przykład zdarzenia dziennika aktywności na potrzeby sprawdzania dostępu:

{
    "records": [
    {
        "time": "2018-12-26T16:23:06.1090193Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Start",
        "resultSignature": "Started.",
        "durationMs": 0,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            ...
        }
    },
    {
        "time": "2018-12-26T16:23:06.3040244Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Success",
        "resultSignature": "Succeeded.OK",
        "durationMs": 194,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            "statusCode": "OK",
            "serviceRequestId": "87acdebc-945f-4c0c-b931-03050e085626"
        }
    }]
}

Konfigurowanie potoku pozyskiwania w usłudze Azure Data Explorer

Konfigurowanie potoku w usłudze Azure Data Explorer obejmuje kilka kroków, takich jak tworzenie tabeli i pozyskiwanie danych. Można również modyfikować, mapować i aktualizować dane.

Nawiązywanie połączenia z internetowym interfejsem użytkownika usługi Azure Data Explorer

W bazie danych usługi Azure Data Explorer TestDatabase wybierz pozycję Zapytanie, aby otworzyć internetowy interfejs użytkownika usługi Azure Data Explorer.

Tworzenie tabel docelowych

Struktura dzienników usługi Azure Monitor nie jest tabelaryczna. Będziesz manipulować danymi i rozszerzać każde zdarzenie do co najmniej jednego rekordu. Dane pierwotne zostaną pozyskane do tabeli pośredniej o nazwie ActivityLogsRawRecords dla dzienników aktywności i diagnosticRawRecords dla metryk diagnostycznych i dzienników. W tym momencie dane będą modyfikowane i rozwijane. Przy użyciu zasad aktualizacji rozwinięte dane zostaną następnie pozyskane do tabeli ActivityLogs dla dzienników aktywności, diagnostyki metryk diagnostycznych i dzienników diagnostycznych dla dzienników diagnostycznych. Oznacza to, że należy utworzyć dwie oddzielne tabele na potrzeby pozyskiwania dzienników aktywności i trzech oddzielnych tabel na potrzeby pozyskiwania metryk diagnostycznych i dzienników.

Użyj internetowego interfejsu użytkownika usługi Azure Data Explorer, aby utworzyć tabele docelowe w bazie danych usługi Azure Data Explorer.

Metryki diagnostyczne

Tworzenie tabel dla metryk diagnostycznych

1. W bazie danych TestDatabase utwórz tabelę o nazwie DiagnosticMetrics , aby przechowywać rekordy metryk diagnostycznych. Użyj następującego .create table polecenia zarządzania:

   .create table DiagnosticMetrics (Timestamp:datetime, ResourceId:string, MetricName:string, Count:int, Total:double, Minimum:double, Maximum:double, Average:double, TimeGrain:string)
   

2. Wybierz pozycję Uruchom, aby utworzyć tabelę.

   

3. Utwórz tabelę danych pośrednich o nazwie DiagnosticRawRecords w bazie danych TestDatabase na potrzeby manipulowania danymi przy użyciu następującego zapytania. Wybierz pozycję Uruchom, aby utworzyć tabelę.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Ustaw zasady przechowywania zerowego dla tabeli pośredniej:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Dzienniki diagnostyczne

Tworzenie tabel dla dzienników diagnostycznych

1. W bazie danych TestDatabase utwórz tabelę o nazwie DiagnosticLogs , aby przechowywać rekordy dziennika diagnostycznego. Użyj następującego .create table polecenia zarządzania:

   .create table DiagnosticLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Result:string, OperationId:string, Database:string, Table:string, IngestionSourceId:string, IngestionSourcePath:string, RootActivityId:string, ErrorCode:string, FailureStatus:string, Details:string)
   

2. Wybierz pozycję Uruchom, aby utworzyć tabelę.

3. Utwórz tabelę danych pośrednich o nazwie DiagnosticRawRecords w bazie danych TestDatabase na potrzeby manipulowania danymi przy użyciu następującego zapytania. Wybierz pozycję Uruchom, aby utworzyć tabelę.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Ustaw zasady przechowywania zerowego dla tabeli pośredniej:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Dzienniki aktywności

Tworzenie tabel dla dzienników aktywności

1. Utwórz tabelę o nazwie ActivityLogs w bazie danych TestDatabase w celu odbierania rekordów dziennika aktywności. Uruchom następujące zapytanie usługi Azure Data Explorer w celu utworzenia tabeli:

   .create table ActivityLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Category:string, ResultType:string, ResultSignature:string, DurationMs:int, IdentityAuthorization:dynamic, IdentityClaims:dynamic, Location:string, Level:string)
   

2. Utwórz tabelę danych pośrednich o nazwie ActivityLogsRawRecords w bazie danych TestDatabase na potrzeby modyfikowania danych:

   .create table ActivityLogsRawRecords (Records:dynamic)
   

3. Ustaw zasady przechowywania zerowego dla tabeli pośredniej:

   .alter-merge table ActivityLogsRawRecords policy retention softdelete = 0d
   

Tworzenie mapowań tabel

Format danych to json, dlatego wymagane jest mapowanie danych. Mapowanie json mapuje każdą ścieżkę JSON na nazwę kolumny tabeli. Ścieżki JSON, które zawierają znaki specjalne, powinny być ucieczki jako ['Nazwa właściwości']. Aby uzyskać więcej informacji, zobacz składnia JSONPath.

Metryki diagnostyczne / dzienniki diagnostyczne

Mapuj metryki diagnostyczne i dzienniki na tabelę

Aby zamapować metryki diagnostyczne i dane dziennika do tabeli, użyj następującego zapytania:

.create table DiagnosticRawRecords ingestion json mapping 'DiagnosticRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Dzienniki aktywności

Mapuj dzienniki aktywności na tabelę

Aby zamapować dane dziennika aktywności na tabelę, użyj następującego zapytania:

.create table ActivityLogsRawRecords ingestion json mapping 'ActivityLogsRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Tworzenie zasad aktualizacji dla danych metryk i dzienników

Metryki diagnostyczne

Tworzenie zasad aktualizacji danych dla metryk diagnostycznych

1. Utwórz funkcję , która rozszerza kolekcję rekordów metryk diagnostycznych, aby każda wartość w kolekcji odbierała oddzielny wiersz. mv-expand Użyj operatora:

   .create function DiagnosticMetricsExpand() {
      DiagnosticRawRecords
      | mv-expand events = Records
      | where isnotempty(events.metricName)
      | project
          Timestamp = todatetime(events['time']),
          ResourceId = tostring(events.resourceId),
          MetricName = tostring(events.metricName),
          Count = toint(events['count']),
          Total = todouble(events.total),
          Minimum = todouble(events.minimum),
          Maximum = todouble(events.maximum),
          Average = todouble(events.average),
          TimeGrain = tostring(events.timeGrain)
   }
   

2. Dodaj zasady aktualizacji do tabeli docelowej. Te zasady będą automatycznie uruchamiać zapytanie na wszystkich nowo pozyskanych danych w tabeli danych pośrednich DiagnosticRawRecords i pozyskiwać wyniki do tabeli DiagnosticMetrics :

   .alter table DiagnosticMetrics policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticMetricsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Dzienniki diagnostyczne

Tworzenie zasad aktualizacji danych dla dzienników diagnostycznych

1. Utwórz funkcję , która rozszerza kolekcję rekordów dzienników diagnostycznych, aby każda wartość w kolekcji odbierała oddzielny wiersz. Dzienniki pozyskiwania włączysz w klastrze usługi Azure Data Explorer i użyjesz schematu dzienników pozyskiwania. Utworzysz jedną tabelę dla pomyślnego i nieudanego pozyskiwania, podczas gdy niektóre pola będą puste w przypadku pomyślnego pozyskiwania (na przykład ErrorCode). mv-expand Użyj operatora:

   .create function DiagnosticLogsExpand() {
       DiagnosticRawRecords
       | mv-expand events = Records
       | where isnotempty(events.operationName)
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Result = tostring(events.resultType),
           OperationId = tostring(events.properties.OperationId),
           Database = tostring(events.properties.Database),
           Table = tostring(events.properties.Table),
           IngestionSourceId = tostring(events.properties.IngestionSourceId),
           IngestionSourcePath = tostring(events.properties.IngestionSourcePath),
           RootActivityId = tostring(events.properties.RootActivityId),
           ErrorCode = tostring(events.properties.ErrorCode),
           FailureStatus = tostring(events.properties.FailureStatus),
           Details = tostring(events.properties.Details)
   }
   

2. Dodaj zasady aktualizacji do tabeli docelowej. Te zasady będą automatycznie uruchamiać zapytanie dotyczące wszystkich nowo pozyskanych danych w tabeli danych pośrednich DiagnosticRawRecords i pozyskiwać wyniki do tabeli DiagnosticLogs :

   .alter table DiagnosticLogs policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticLogsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Dzienniki aktywności

Tworzenie zasad aktualizacji danych dla dzienników aktywności

1. Utwórz funkcję , która rozszerza kolekcję rekordów dziennika aktywności, aby każda wartość w kolekcji otrzymywała oddzielny wiersz. mv-expand Użyj operatora :

   .create function ActivityLogRecordsExpand() {
       ActivityLogsRawRecords
       | mv-expand events = Records
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Category = tostring(events.category),
           ResultType = tostring(events.resultType),
           ResultSignature = tostring(events.resultSignature),
           DurationMs = toint(events.durationMs),
           IdentityAuthorization = events.identity.authorization,
           IdentityClaims = events.identity.claims,
           Location = tostring(events.location),
           Level = tostring(events.level)
   }
   

2. Dodaj zasady aktualizacji do tabeli docelowej. Te zasady będą automatycznie uruchamiać zapytanie dotyczące wszystkich nowo pozyskanych danych w tabeli danych pośrednich ActivityLogsRawRecords i pozyskiwać wyniki do tabeli ActivityLogs :

   .alter table ActivityLogs policy update @'[{"Source": "ActivityLogsRawRecords", "Query": "ActivityLogRecordsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Tworzenie przestrzeni nazw usługi Azure Event Hubs

Ustawienia diagnostyczne platformy Azure umożliwiają eksportowanie metryk i dzienników na konto magazynu lub do centrum zdarzeń. W tym samouczku będziemy kierować metryki i dzienniki za pośrednictwem centrum zdarzeń. W poniższych krokach utworzysz przestrzeń nazw centrum zdarzeń i centrum zdarzeń dla metryk diagnostycznych i dzienników. Usługa Azure Monitor utworzy centrum zdarzeń insights-operational-logs na potrzeby dzienników aktywności.

1. Utwórz centrum zdarzeń przy użyciu szablonu usługi Azure Resource Manager w witrynie Azure Portal. Aby wykonać pozostałe kroki w tym artykule, kliknij prawym przyciskiem myszy przycisk Wdróż na platformie Azure i wybierz pozycję Otwórz w nowym oknie. Przycisk Wdróż na platformie Azure powoduje przejście do witryny Azure Portal.

   

2. Utwórz przestrzeń nazw usługi Event Hubs i centrum zdarzeń dla dzienników diagnostycznych. Dowiedz się, jak utworzyć przestrzeń nazw usługi Event Hubs.

3. Wypełnij formularz, używając poniższych informacji. W przypadku wszystkich ustawień, które nie są wymienione w poniższej tabeli, użyj wartości domyślnych.

   Ustawienie	Sugerowana wartość	Opis
   Subskrypcja	Twoja subskrypcja	Wybierz subskrypcję platformy Azure, która ma być używana dla centrum zdarzeń.
   Grupa zasobów	test-grupa zasobów	Tworzenie nowej grupy zasobów
   Lokalizacja	Wybierz region, który najlepiej odpowiada Twoim potrzebom.	Utwórz przestrzeń nazw centrum zdarzeń w tej samej lokalizacji co inne zasoby.
   Nazwa przestrzeni nazw	AzureMonitoringData	Wybierz unikatową nazwę, która identyfikuje Twoją przestrzeń nazw.
   Nazwa centrum zdarzeń	DiagnosticData	Centrum zdarzeń znajduje się w przestrzeni nazw, która zapewnia unikatowy kontener określania zakresu.
   Nazwa grupy konsumentów	adxpipeline	Utwórz nazwę grupy użytkowników. Dzięki grupom konsumentów każda z wielu aplikacji korzystających z danych może mieć osobny widok strumienia zdarzeń.

Łączenie metryk i dzienników usługi Azure Monitor z centrum zdarzeń

Teraz musisz połączyć metryki diagnostyczne i dzienniki oraz dzienniki aktywności z centrum zdarzeń.

Metryki diagnostyczne / dzienniki diagnostyczne

Łączenie metryk diagnostycznych i dzienników z centrum zdarzeń

Wybierz zasób, z którego chcesz eksportować metryki. Kilka typów zasobów obsługuje eksportowanie danych diagnostycznych, w tym przestrzeni nazw centrów zdarzeń, usługi Azure Key Vault, Azure IoT Hub i klastrów usługi Azure Data Explorer. W tym samouczku jako zasób użyjemy klastra usługi Azure Data Explorer. Przejrzymy metryki wydajności zapytań i dzienniki wyników pozyskiwania.

1. Wybierz klaster usługi Kusto w witrynie Azure Portal.

2. Wybierz pozycję Ustawienia diagnostyczne, a następnie wybierz link Włącz diagnostykę.

   

3. Zostanie otwarte okienko Ustawienia diagnostyczne. Wykonaj następujące czynności:

   1. Nadaj danym z dziennika diagnostycznego nazwę ADXExportedData.

   2. W obszarze DZIENNIK zaznacz pola wyboru SucceededIngestion i FailedIngestion .

   3. W obszarze METRYKA zaznacz pole wyboru Wydajność zapytań .

   4. Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.

   5. Wybierz pozycję Konfiguruj.

      

4. W okienku Wybieranie centrum zdarzeń skonfiguruj sposób eksportowania danych z dzienników diagnostycznych do utworzonego centrum zdarzeń:

   1. Z listy Wybierz przestrzeń nazw centrum zdarzeń wybierz pozycję AzureMonitoringData.
   2. Na liście Wybierz nazwę centrum zdarzeń wybierz pozycję DiagnosticData.
   3. Z listy Wybierz nazwę zasad centrum zdarzeń wybierz pozycję RootManagerSharedAccessKey.
   4. Wybierz przycisk OK.

5. Wybierz pozycję Zapisz.

Dzienniki aktywności

Łączenie dzienników aktywności z centrum zdarzeń

1. W menu po lewej stronie w witrynie Azure Portal wybierz pozycję Dziennik aktywności.

2. Zostanie otwarte okno Dziennik aktywności. Wybierz pozycję Ustawienia diagnostyczne.

   

3. Zostanie otwarte okno Ustawienia diagnostyczne. Wybierz pozycję + Dodaj ustawienie diagnostyczne.

   

4. Zostanie otwarte nowe okno ustawienia diagnostycznego .

   

   Wykonaj następujące czynności:

   1. Wprowadź nazwę w polu Nazwa ustawienia diagnostycznego .
   2. Po lewej stronie pól wyboru zaznacz dzienniki platformy, które chcesz zebrać z subskrypcji.
   3. Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.
   4. Wybierz subskrypcję.
   5. Na liście Przestrzeń nazw centrum zdarzeń wybierz pozycję AzureMonitoringData.
   6. Opcjonalnie wybierz nazwę centrum zdarzeń.
   7. Na liście Nazwa zasad centrum zdarzeń wybierz domyślną nazwę zasad centrum zdarzeń.
   8. W lewym górnym rogu okna wybierz pozycję Zapisz. Zostanie utworzone centrum zdarzeń o nazwie insights-operational-logs (chyba że wybrano nazwę centrum zdarzeń powyżej).

Wyświetlanie danych przepływających do centrum zdarzeń

1. Poczekaj kilka minut, aż połączenie zostanie zdefiniowane i zakończy się eksport dziennika aktywności do centrum zdarzeń. Przejdź do przestrzeni nazw usługi Event Hubs, aby wyświetlić utworzone centra zdarzeń.

   

2. Zapoznaj się z danymi przepływającymi do centrum zdarzeń:

   

Łączenie centrum zdarzeń z usługą Azure Data Explorer

Teraz musisz utworzyć połączenia danych dla metryk diagnostycznych oraz dzienników i dzienników aktywności.

Tworzenie połączenia danych dla metryk diagnostycznych i dzienników oraz dzienników aktywności

1. W klastrze usługi Azure Data Explorer o nazwie kustodocs wybierz pozycję Bazy danych w menu po lewej stronie.

2. W oknie Bazy danych wybierz nazwę bazy danych TestDatabase.

3. W menu po lewej stronie wybierz pozycję Pozyskiwanie danych.

4. W oknie Pozyskiwanie danych wybierz pozycję + Dodaj połączenie danych.

5. W oknie Połączenie danych wprowadź następujące informacje:

   

Metryki diagnostyczne / dzienniki diagnostyczne

1. Użyj następujących ustawień w oknie Połączenie danych:

   Źródło danych:

   Ustawienie	Sugerowana wartość	Opis pola
   Nazwa połączenia danych	DiagnosticsLogsConnection	Nazwa połączenia, które chcesz utworzyć w usłudze Azure Data Explorer.
   Przestrzeń nazw centrum zdarzeń	AzureMonitoringData	Wybrana wcześniej nazwa, która identyfikuje Twoją przestrzeń nazw.
   Centrum zdarzeń	DiagnosticData	Utworzone przez Ciebie centrum zdarzeń.
   Grupa odbiorców	adxpipeline	Grupa konsumentów zdefiniowana w utworzonym przez Ciebie centrum zdarzeń.

   Tabela docelowa:

   Dostępne są dwie opcje routingu: statyczny i dynamiczny. W tym samouczku będziesz używać routingu statycznego (opcja domyślna), w którym określisz nazwę tabeli, format danych i mapowanie. Pozostaw pole Moje dane zawierają informacje o routingu niezaznaczone.

   Ustawienie	Sugerowana wartość	Opis pola
   Tabela	DiagnosticRawRecords	Tabela utworzona w bazie danych TestDatabase.
   Format danych	JSON	Format używany w tabeli.
   Mapowanie kolumn	DiagnosticRawRecordsMapping	Mapowanie utworzone w bazie danych TestDatabase , które mapuje przychodzące dane JSON na nazwy kolumn i typy danych tabeli DiagnosticRawRecords .

2. Wybierz przycisk Utwórz.

Dzienniki aktywności

1. Użyj następujących ustawień w oknie Połączenie danych:

   Źródło danych:

   Ustawienie	Sugerowana wartość	Opis pola
   Nazwa połączenia danych	ActivityLogsConnection	Nazwa połączenia, które chcesz utworzyć w usłudze Azure Data Explorer.
   Przestrzeń nazw centrum zdarzeń	AzureMonitoringData	Wybrana wcześniej nazwa, która identyfikuje Twoją przestrzeń nazw.
   Centrum zdarzeń	insights-operational-logs	Utworzone przez Ciebie centrum zdarzeń.
   Grupa odbiorców	$Default	Domyślna grupa użytkowników. W razie potrzeby możesz utworzyć inną grupę użytkowników.

   Tabela docelowa:

   Dostępne są dwie opcje routingu: statyczny i dynamiczny. W tym samouczku będziesz używać routingu statycznego (opcja domyślna), w którym określisz nazwę tabeli, format danych i mapowanie. Pozostaw pole Moje dane zawierają informacje o routingu niezaznaczone.

   Ustawienie	Sugerowana wartość	Opis pola
   Tabela	ActivityLogsRawRecords	Tabela utworzona w bazie danych TestDatabase.
   Format danych	JSON	Format używany w tabeli.
   Mapowanie kolumn	ActivityLogsRawRecordsMapping	Mapowanie utworzone w bazie danych TestDatabase, które mapuje przychodzące dane JSON na nazwy kolumn i typy danych tabeli ActivityLogsRawRecords.

2. Wybierz przycisk Utwórz.

Tworzenie zapytań dotyczących nowych tabel

Masz teraz potok z przepływającymi danymi. Pozyskiwanie za pośrednictwem klastra trwa domyślnie 5 minut, co pozwala na przepływ danych przez kilka minut przed rozpoczęciem tworzenia zapytania.

Metryki diagnostyczne

Wykonywanie zapytań względem tabeli metryk diagnostycznych

Następujące zapytanie analizuje dane czasu trwania zapytania z rekordów metryk diagnostycznych w usłudze Azure Data Explorer:

DiagnosticMetrics
| where Timestamp > ago(15m) and MetricName == 'QueryDuration'
| summarize avg(Average)

Wyniki zapytania:

avg_Average
00:06,156

Dzienniki diagnostyczne

Wykonywanie zapytań względem tabeli dzienników diagnostycznych

Ten potok generuje pozyskiwanie za pośrednictwem centrum zdarzeń. Przejrzyj wyniki tych pozyskiwania. Następujące zapytanie analizuje liczbę pozyskiwania naliczonych w ciągu minuty, w tym próbkę i DatabaseTableIngestionSourcePath dla każdego interwału:

DiagnosticLogs
| where Timestamp > ago(15m) and OperationName has 'INGEST'
| summarize count(), take_any(Database, Table, IngestionSourcePath) by bin(Timestamp, 1m)

Wyniki zapytania:

Liczba_	any_Database	any_Table	any_IngestionSourcePath
00:06,156	TestDatabase	DiagnosticRawRecords	https://rtmkstrldkereneus00.blob.core.windows.net/20190827-readyforaggregation/1133_TestDatabase_DiagnosticRawRecords_6cf02098c0c74410bd8017c2d458b45d.json.zip

Dzienniki aktywności

Wykonywanie zapytań względem tabeli dzienników aktywności

Następujące zapytanie analizuje dane z rekordów dziennika aktywności w usłudze Azure Data Explorer:

ActivityLogs
| where OperationName == 'MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/LISTKEYS/ACTION'
| where ResultType == 'Success'
| summarize avg(DurationMs)

Wyniki zapytania:

avg(DurationMs)
768,333

Zawartość pokrewna

• Pisanie zapytań dotyczących Data Explorer platformy Azure.
• Monitorowanie operacji pozyskiwania usługi Azure Data Explorer przy użyciu dzienników diagnostycznych
• Monitorowanie kondycji klastra przy użyciu metryk