Crie uma consulta de registo em vários espaços de trabalho e aplicativos no Azure Monitor

Os Registos do Monitor Azure suportam consultas em vários espaços de trabalho do Log Analytics e aplicações Informações aplicações no mesmo grupo de recursos, outro grupo de recursos ou outra subscrição. Isto fornece-lhe uma visão ampla do sistema dos seus dados.

Se você gere subscrições em outros inquilinos Azure Ative Directory (Azure AD) através do Farol Azure, você pode incluir espaços de trabalho Log Analytics criados nesses inquilinos clientes em suas consultas.

Existem dois métodos para consultar dados que são armazenados em múltiplos espaços de trabalho e apps:

  1. Explicitamente especificando o espaço de trabalho e os detalhes da aplicação. Esta técnica é detalhada neste artigo.
  2. Implicitamente usando consultas de contexto de recursos. Quando consultar no contexto de um recurso específico, grupo de recursos ou uma subscrição, os dados relevantes serão recolhidos de todos os espaços de trabalho que contenham dados para estes recursos. A aplicação Informações dados que sejam armazenados em apps, não serão recolhidos.

Importante

Se estiver a utilizar um recurso de Informações de aplicação baseado no espaço de trabalho, a telemetria é armazenada num espaço de trabalho do Log Analytics com todos os outros dados de registo. Utilize a expressão espaço de trabalho para escrever uma consulta que inclua aplicações em vários espaços de trabalho. Para múltiplas aplicações no mesmo espaço de trabalho, você não precisa de uma consulta de espaço de trabalho transversal.

Limites de consulta de recursos cruzados

  • O número de recursos Informações aplicação e espaços de trabalho do Log Analytics que pode incluir numa única consulta está limitado a 100.
  • A consulta de recursos cruzados não é suportada no View Designer. Pode autorizar uma consulta no Log Analytics e fixá-la no painel Azure para visualizar uma consulta de registo ou incluir em Livros de Trabalho.
  • As consultas de recursos cruzados nos alertas de registo só são suportadas na atual API de Regras Desconsecção. Se estiver a utilizar o legado Log Analytics Alerts API, terá de mudar para a API atual.

Consulta através de espaços de trabalho log Analytics e de Informações de aplicação

Para consultar outro espaço de trabalho na sua consulta, utilize o identificador de espaço de trabalho e, para uma aplicação da Aplicação Informações, utilize o identificador de aplicações.

Identificar recursos do espaço de trabalho

Os exemplos a seguir demonstram consultas através dos espaços de trabalho do Log Analytics para devolver contagem sumária de registos da tabela Update num espaço de trabalho chamado contosoretail-it.

Identificar um espaço de trabalho pode ser realizado de várias formas:

  • Nome de recurso - é um nome legível pelo homem do espaço de trabalho, às vezes referido como nome de componente.

    Importante

    Como os nomes de apps e espaço de trabalho não são únicos, este identificador pode ser ambíguo. Recomenda-se que a referência seja por nome qualificado, ID do espaço de trabalho ou ID de recursos Azure.

    workspace("contosoretail-it").Update | count

  • Nome qualificado - é o "nome completo" do espaço de trabalho, composto pelo nome de assinatura, grupo de recursos e nome componente neste formato: nome de subscriçãoName/grupo de recursos/componenteName.

    workspace('contoso/contosoretail/contosoretail-it').Update | count

    Nota

    Como os nomes de subscrição do Azure não são únicos, este identificador pode ser ambíguo.

  • Workspace ID - Um ID de espaço de trabalho é o identificador único, imutável, atribuído a cada espaço de trabalho representado como um identificador globalmente único (GUID).

    workspace("b459b4u5-912x-46d5-9cb1-p43069212nb4").Update | count

  • Azure Resource ID – a identidade única definida pelo Azure do espaço de trabalho. Utiliza o ID de recurso quando o nome do recurso é ambíguo. Para espaços de trabalho, o formato é: /subscrições/subscriçãoD/grupos de recursos/resourceGroup/providers/microsoft. OperacionalInsights/workspaces/componentName.

    Por exemplo:

    workspace("/subscriptions/e427519-5645-8x4e-1v67-3b84b59a1985/resourcegroups/ContosoAzureHQ/providers/Microsoft.OperationalInsights/workspaces/contosoretail-it").Update | count
    

Identificar uma aplicação

Os exemplos seguintes devolvem uma contagem resumida de pedidos feitos contra uma aplicação chamada fabrikamapp em Informações de aplicação.

Identificar uma aplicação na Aplicação Informações pode ser realizada com a expressão da aplicação (Identifier). O argumento do Identificador especifica a aplicação utilizando uma das seguintes:

  • Nome de recurso - é um nome legível humano da aplicação, por vezes referido como o nome do componente.

    app("fabrikamapp")

    Nota

    Identificar uma aplicação pelo nome pressupõe singularidade em todas as subscrições acessíveis. Se tiver várias aplicações com o nome especificado, a consulta falha devido à ambiguidade. Neste caso, deve usar um dos outros identificadores.

  • Nome qualificado - é o "nome completo" da app, composta pelo nome de subscrição, grupo de recursos e nome do componente neste formato: nome de subscriçãoName/grupo de recursos/componenteName.

    app("AI-Prototype/Fabrikam/fabrikamapp").requests | count

    Nota

    Como os nomes de subscrição do Azure não são únicos, este identificador pode ser ambíguo.

  • ID - a aplicação GUID da aplicação.

    app("b459b4f6-912x-46d5-9cb1-b43069212ab4").requests | count

  • Azure Resource ID - a identidade única definida pelo Azure da aplicação. Utiliza o ID de recurso quando o nome do recurso é ambíguo. O formato é: /subscrições/subscriçãoD/grupos de recursos/grupos de recursos/fornecedores/microsoft. OperacionalInsights/componentes/componenteName.

    Por exemplo:

    app("/subscriptions/b459b4f6-912x-46d5-9cb1-b43069212ab4/resourcegroups/Fabrikam/providers/microsoft.insights/components/fabrikamapp").requests | count
    

Realização de uma consulta através de múltiplos recursos

Pode consultar vários recursos de qualquer uma das suas instâncias de recursos, estes podem ser espaços de trabalho e aplicações combinadas.

Exemplo para consulta em dois espaços de trabalho:

union Update, workspace("contosoretail-it").Update, workspace("b459b4u5-912x-46d5-9cb1-p43069212nb4").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Utilização de consulta de recursos cruzados para múltiplos recursos

Ao utilizar consultas de recursos cruzados para correlacionar dados de vários espaços de trabalho do Log Analytics e recursos de Informações aplicação, a consulta pode tornar-se complexa e difícil de manter. Deve aproveitar as funções nas consultas de registo do Azure Monitor para separar a lógica de consulta da deteção dos recursos de consulta, o que simplifica a estrutura de consulta. O exemplo a seguir demonstra como pode monitorizar vários recursos de aplicação Informações e visualizar a contagem de pedidos falhados pelo nome da aplicação.

Crie uma consulta como a seguinte que faz referência ao âmbito de aplicação Informações recursos. O withsource= SourceApp comando adiciona uma coluna que designa o nome de aplicação que enviou o registo. Guarde a consulta em função das aplicações de pseudónimoS.

// crossResource function that scopes my Application Insights resources
union withsource= SourceApp
app('Contoso-app1').requests, 
app('Contoso-app2').requests,
app('Contoso-app3').requests,
app('Contoso-app4').requests,
app('Contoso-app5').requests

Pode agora utilizar esta função numa consulta de recursos cruzados como as seguintes. A função alias applicationsScoping devolve a união da tabela de pedidos de todas as candidaturas definidas. A consulta então filtra para pedidos falhados e visualiza as tendências por aplicação. O operador de parse é opcional neste exemplo. Extrai o nome da aplicação da propriedade SourceApp .

applicationsScoping 
| where timestamp > ago(12h)
| where success == 'False'
| parse SourceApp with * '(' applicationName ')' * 
| summarize count() by applicationName, bin(timestamp, 1h) 
| render timechart

Nota

Este método não pode ser usado com alertas de registo porque a validação de acesso dos recursos da regra de alerta, incluindo espaços de trabalho e aplicações, é realizada no momento de criação de alerta. A adição de novos recursos à função após a criação de alerta não é suportada. Se preferir utilizar a função para a deteção de recursos em alertas de registo, tem de editar a regra de alerta no portal ou com um modelo de Resource Manager para atualizar os recursos do âmbito. Em alternativa, pode incluir a lista de recursos na consulta de alerta de registo.

Timechart

Passos seguintes