Agregar dados em um espaço de trabalho do Log Analytics usando regras de resumo (Visualização)

2025-03-06

Uma regra de resumo permite agregar dados de registo numa cadência regular e enviar os resultados agregados para uma tabela de registo personalizada na área de trabalho do Log Analytics. Use regras de resumo para otimizar seus dados para:

Análise e relatórios, especialmente em grandes conjuntos de dados e intervalos de tempo, conforme necessário para análise de segurança e incidentes, relatórios de negócios mês a mês ou anuais e assim por diante. Consultas complexas em um grande conjunto de dados geralmente expiram. É mais fácil e eficiente analisar e gerar relatórios sobre dados resumidos limpos e agregados .
Economia de custos em logs detalhados, que se podem reter por um período tão curto ou longo quanto necessitar em uma tabela de log básica barata e enviar dados resumidos para uma tabela de Analytics para análise e relatórios.
Segurança e privacidade de dados, removendo ou ofuscando detalhes de privacidade em dados compartilháveis resumidos e limitando o acesso a tabelas com dados brutos.

Este artigo descreve como as regras de resumo funcionam e como definir e exibir regras de resumo, além de fornecer alguns exemplos do uso e dos benefícios das regras de resumo.

Aqui está um vídeo que fornece uma visão geral de alguns dos benefícios das regras resumidas:

Vá para um exemplo passo a passo com este tutorial de regras resumidas.

Como funcionam as regras de resumo

As regras de resumo executam o processamento em lote diretamente no espaço de trabalho do Log Analytics. A regra de resumo agrega blocos de dados, definidos pelo tamanho do compartimento, com base em uma consulta KQL, e reingere os resultados resumidos em uma tabela personalizada com um plano de log do Google Analytics no espaço de trabalho do Log Analytics.

Você pode agregar dados de qualquer tabela, independentemente se a tabela tem um plano de dados Analytics ou Básico. O Azure Monitor cria o esquema da tabela de destino com base na consulta que você definir. Se a tabela de destino já existir, o Azure Monitor acrescentará todas as colunas necessárias para dar suporte aos resultados da consulta. Todas as tabelas de destino também incluem um conjunto de campos padrão com informações de regras resumidas, incluindo:

_RuleName: A regra de resumo que gerou a entrada de log agregada.
_RuleLastModifiedTime: Quando a regra foi modificada pela última vez.
_BinSize: O intervalo de agregação.
_BinStartTime: A hora de início da agregação.

Você pode configurar até 30 regras ativas para agregar dados de várias tabelas e enviar os dados agregados para tabelas de destino separadas ou para a mesma tabela.

Você pode exportar dados resumidos de uma tabela de log personalizada para uma conta de armazenamento ou Hubs de Eventos para integrações adicionais definindo uma regra de exportação de dados.

Exemplo: resumir dados ContainerLogsV2

Se estiveres a monitorizar contêineres, ingerirás um grande volume de logs detalhados na tabela ContainerLogsV2.

Você pode usar essa consulta em sua regra de resumo para agregar todas as entradas de log exclusivas em 60 minutos, mantendo os dados úteis para análise e descartando dados de que não precisa:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Aqui estão os dados brutos na ContainerLogsV2 tabela:

Aqui estão os dados agregados que a regra de resumo envia para a tabela de destino:

Em vez de registrar centenas de entradas semelhantes em uma hora, a tabela de destino mostra a contagem de cada entrada exclusiva, conforme definido na consulta KQL. Defina o plano de dados Básico na tabela para a retenção barata dos dados brutos e use os dados resumidos na tabela de destino para responder às suas necessidades de análise.

Permissões necessárias

Ação	Permissões necessárias
Criar ou atualizar regra de resumo	`Microsoft.Operationalinsights/workspaces/summarylogs/write`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna de Colaborador do Log Analytics, por exemplo
Criar ou atualizar tabela de destino	`Microsoft.OperationalInsights/workspaces/tables/write`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna de Colaborador do Log Analytics, por exemplo
Habilitar operação de consulta no espaço de trabalho	`Microsoft.OperationalInsights/workspaces/query/read`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna Log Analytics Reader, por exemplo
Consultar todas as tabelas no espaço de trabalho	`Microsoft.OperationalInsights/workspaces/query/*/read`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna Log Analytics Reader, por exemplo
Consultar registos numa tabela	`Microsoft.OperationalInsights/workspaces/query/<table>/read`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna Log Analytics Reader, por exemplo
Logs de consulta numa tabela (ação na tabela)	`Microsoft.OperationalInsights/workspaces/tables/query/read`permissões para o espaço de trabalho do Log Analytics, conforme fornecido pela função interna Log Analytics Reader, por exemplo
Usar consultas criptografadas em uma conta de armazenamento gerenciada pelo cliente	`Microsoft.Storage/storageAccounts/*` permissões para a conta de armazenamento, conforme fornecido pela função interna Colaborador da Conta de Armazenamento, por exemplo

Considerações de implementação

O número máximo de regras ativas em um espaço de trabalho é 30.
Atualmente, as regras de resumo só estão disponíveis na nuvem pública.
A regra de resumo processa dados de entrada e não pode ser configurada em um intervalo de tempo histórico.
Quando as novas tentativas de execução do bin se esgotam, o compartimento é ignorado e não pode ser executado novamente.
Não há suporte para a criação de uma regra de resumo com consulta em outro locatário no Lighthouse.
Não é suportada a adição de transformação de espaço de trabalho à tabela de destino das regras de resumo.

Modelo de preços

Não há custo extra para as regras do Resumo. Você paga apenas pela consulta e pela ingestão de resultados na tabela de destino, com base no plano de tabela da tabela de origem na qual você executa a consulta:

Plano da tabela fonte	Custo da consulta	Custo de ingestão dos resultados resumidos
Analítica	Sem custos	Ingestão de logs do Google Analytics
Básico e Auxiliar	Análise de dados	Ingestão de logs do Google Analytics

Por exemplo, o cálculo de custo para uma regra horária que retorna 100 registros por compartimento é:

Plano da tabela fonte	Cálculo mensal do preço
Analítica	Preço de ingestão x volume recorde x número de registros x 24 horas x 30 dias.
Básico e Auxiliar	Preço de varredura de dados x volume digitalizado + Preço de ingestão x volume de registro x número de registros x 24 horas x 30 dias. Para uma regra em execução contínua, todos os dados recebidos na tabela de origem são analisados.

Para obter mais informações, consulte Preços do Azure Monitor.

Criar ou atualizar uma regra de resumo

Os operadores que você pode usar na regra de resumo da sua consulta dependem do plano da tabela de origem na consulta.

Analytics: Suporta todos os operadores e funções do KQL, exceto para:
- Consultas entre recursos, que usam as workspaces(), app() e as resource() expressões, e consultas entre serviços, que usam as ADX() e ARG() expressões.
- Plugins que remodelam o esquema de dados, incluindo bag unpack, narrow e pivot.
Básico: Suporta todos os operadores KQL numa só tabela. Você pode unir até cinco tabelas do Analytics usando o operador de pesquisa.
Funções: As funções definidas pelo utilizador não são suportadas. As funções do sistema fornecidas pela Microsoft são suportadas.

As regras de resumo são mais benéficas em termos de custo e experiências de consulta quando a contagem ou o volume de resultados são reduzidos significativamente. Por exemplo, visando um volume de resultados de 0,01% ou menos do que a fonte. Antes de criar uma regra, experimente a consulta no Log Analytics e verifique o seguinte:

Verifique se a consulta produz os resultados esperados e o esquema pretendidos.
A consulta não atinge nem se aproxima dos limites da API de consulta.
O tamanho de um registo nos resultados é inferior a 1MB.

Se a consulta estiver próxima dos limites de consulta, considere usar um tamanho de bloco menor para processar menos dados por compartimento. Você também pode modificar a consulta para retornar menos registros ou campos com maior volume.

Quando você atualiza uma consulta e há menos campos nos resultados resumidos, o Azure Monitor não remove automaticamente as colunas da tabela de destino e você precisa excluir colunas da tabela manualmente.

API
Modelo Azure Resource Manager

Para criar ou atualizar uma regra de resumo, faça esta PUT chamada de API:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Use este modelo para criar ou atualizar uma regra de resumo. Para obter mais informações sobre como usar e implantar modelos do Azure Resource Manager, consulte Modelos do Azure Resource Manager.

Arquivo de modelo

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "displayName": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The summary rule display name when provided."
    //   }
    // },
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2023-01-01-preview",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description"
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Esta tabela descreve os parâmetros da regra de resumo:

Parâmetro	Valores válidos	Descrição
`ruleType`	`User` ou `System`	Especifica o tipo de regra. - `User`: Regras que você define. - `System`: regras predefinidas gerenciadas pelos serviços do Azure.
`description`	Cadeia	Descreve a regra e sua função. Esse parâmetro é útil quando você tem várias regras e pode ajudar com o gerenciamento de regras.
`binSize`	`20`, `30`, , `60`, `120`, `180360`, `720`, ou `1440` (minutos)	Define o intervalo de agregação e o intervalo de tempo de retrospetiva. Por exemplo, se você definir `"binSize": 120`, poderá obter entradas para `02:00 to 04:00` e `04:00 to 06:00`.
`query`	Consulta KQL (Kusto Query Language)	Define a consulta a ser executada na regra. Não é necessário especificar um intervalo de tempo porque o `binSize` parâmetro determina o intervalo de agregação - por exemplo, `02:00 to 03:00` se `"binSize": 60`. Se adicionar um filtro de tempo na consulta, o intervalo de tempo usado na consulta será a interseção entre o filtro e o tamanho do compartimento.
`destinationTable`	`tablename_CL`	Especifica o nome da tabela de log personalizada de destino. O valor do nome deve ter o sufixo `_CL`. O Azure Monitor cria a tabela no espaço de trabalho, se ainda não existir, com base na consulta definida na regra. Se a tabela já existir no espaço de trabalho, o Azure Monitor adicionará quaisquer novas colunas introduzidas na consulta. Se os resultados do resumo incluírem um nome de coluna reservado - como , , , `TimeGenerated`, ou `_IsBillable` - o Azure Monitor acrescentará o prefixo `_ResourceId` aos campos originais para preservar seus valores `TenantId`originais. `Type_Original`
`binDelay` (opcional)	Inteiro (minutos)	Define um tempo de espera antes da execução do bin, normalmente útil quando executado em dados que chegam atrasados, também conhecido como latência de ingestão, e permite que a maioria dos dados chegue. O atraso padrão é de três minutos e meio a 10% do `binSize` valor. Se souber que os dados consultados são normalmente ingeridos com atraso, defina o `binDelay` parâmetro com o valor de atraso conhecido ou superior, até 1440 minutos. Para obter mais informações, consulte Configurar o tempo de agregação. Em alguns casos, o Azure Monitor pode começar a execução do lote ligeiramente após o atraso definido para o lote, para garantir a confiabilidade do serviço e o êxito da consulta.
`binStartTime` (opcional)	Data/hora em `%Y-%n-%eT%H:%M %Z` Formato	Especifica a data e a hora para a execução inicial do compartimento. O valor pode começar na data e hora de criação da regra subtraindo o valor `binSize`, ou mais tarde, em horas inteiras. Por exemplo, se a data e hora for `2023-12-03T12:13Z` e `binSize` for 1.440, o valor válido `binStartTime` mais recente será `2023-12-02T13:00Z`, e a agregação incluirá dados registados entre 02T13:00 e 03T13:00. Nesse cenário, as regras começam a agregar um 03T13:00 mais o atraso padrão ou especificado. O `binStartTime` parâmetro é útil em cenários de resumo diário. Suponha que você esteja no fuso horário UTC-8 e crie uma regra diária em `2023-12-03T12:13Z`. Você quer que a regra seja concluída antes de começar o dia às 8:00 (00:00 UTC). Defina o `binStartTime` parâmetro como `2023-12-02T22:00Z`. A primeira agregação inclui todos os dados registrados entre 02T:06:00 e 03T:06:00 hora local, e a regra é executada ao mesmo tempo diariamente. Para obter mais informações, consulte Configurar o tempo de agregação. Ao atualizar regras, você pode: - Use o valor existente `binStartTime` ou remova o `binStartTime` parâmetro, caso em que a execução continua com base na definição inicial. - Atualize a regra com um valor `binStartTime` novo para definir um novo valor de data e hora.
`displayName` (opcional)	Cadeia	Especifica o nome para exibição da regra em experiências de portal do Azure.
`timeSelector` (opcional)	`TimeGenerated`	Define o campo de carimbo de data/hora que o Azure Monitor utiliza para agregar dados. Por exemplo, se você definir `"binSize": 120`, poderá obter entradas com um `TimeGenerated` valor entre `02:00` e `04:00`.

Configurar o tempo de agregação

Por padrão, a regra de resumo cria a primeira agregação logo após a próxima hora inteira.

O curto atraso do Azure Monitor leva em consideração a latência de ingestão - ou o tempo entre a criação dos dados no sistema monitorado e o momento em que ficam disponíveis para análise no Azure Monitor. Por padrão, esse atraso é entre três minutos e meio a 10% do valor de 'tamanho do compartimento' antes de agregar cada compartimento. Na maioria dos casos, este atraso garante que o Azure Monitor agregue todos os dados registados em cada período de tempo.

Por exemplo:

Você cria uma regra de síntese com um intervalo de 30 minutos às 14:44.

A regra cria a primeira agregação pouco depois das 15:00 - por exemplo, às 15:04 - para os dados registados entre as 14:30 e as 15:00.
Você cria uma regra de resumo com um tamanho de compartimento de 720 minutos (12 horas) às 14:44.

A regra cria a primeira agregação às 16:12 - 72 minutos (10% do tamanho do compartimento de 720) após as 13:00 - para dados registrados entre 03:00 e 15:00.

Use os binStartTime parâmetros e binDelay para alterar o tempo da primeira agregação e o atraso que o Azure Monitor adiciona antes de cada agregação.

As próximas seções fornecem exemplos do tempo de agregação padrão e das opções de tempo de agregação mais avançadas.

Usar o tempo de agregação padrão

Neste exemplo, a regra de resumo é criada em 2023-06-07 às 14:44 e o Azure Monitor adiciona um atraso padrão de quatro minutos.

binSize (minutos)	Execução da regra inicial	Primeira agregação	Segunda agregação
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
cento e vinte	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Definir parâmetros opcionais de tempo de agregação

Neste exemplo, a regra de resumo é criada em 2023-06-07 às 14:44, e a regra inclui estas definições de configuração avançadas:

binStartTime: 2023-06-08 07:00
binDelay: 8 minutos

binSize (minutos)	Execução da regra inicial	Primeira agregação	Segunda agregação
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
cento e vinte	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Ver regras de resumo

Use esta GET chamada de API para exibir a configuração de uma regra de resumo específica:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

Use esta GET chamada de API para exibir a configuração de todas as regras de resumo em seu espaço de trabalho do Log Analytics:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Parar e reiniciar uma regra de resumo

Você pode interromper uma regra por um período de tempo - por exemplo, se quiser verificar se os dados foram ingeridos em uma tabela e não quiser afetar a tabela resumida e os relatórios. Quando você reinicia a regra, o Azure Monitor começa a processar dados a partir da próxima hora inteira ou com base no parâmetro definido binStartTime (opcional).

Para interromper uma regra, use esta POST chamada de API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

Para reiniciar a regra, use esta POST chamada de API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Excluir uma regra de resumo

Você pode ter até 30 regras de resumo ativas em seu espaço de trabalho do Log Analytics. Se você quiser criar uma nova regra, mas já tiver 30 regras ativas, deverá interromper ou excluir uma regra de resumo ativa.

Para excluir uma regra, use esta DELETE chamada de API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Monitorizar regras de resumo

Para monitorar regras de resumo, habilite a categoria Logs de resumo nas configurações de diagnóstico do espaço de trabalho do Log Analytics. O Azure Monitor envia detalhes da execução de regras resumidas, incluindo informações de Início, Êxito e Falha, para a tabela LASummaryLogs no seu espaço de trabalho.

Recomendamos que você configure regras de alerta de log para receber notificações de falhas de bin ou quando a execução de bin estiver se aproximando do tempo limite, conforme mostrado abaixo. Dependendo do motivo da falha, você pode reduzir o tamanho do compartimento para processar menos dados em cada execução ou modificar a consulta para retornar menos registros ou campos com maior volume.

Esta consulta retorna execuções com falha:

LASummaryLogs | where Status == "Failed"

Esta consulta retorna execuções de bin em que o valor QueryDurationMs é maior que 0,9 vezes 600.000 milissegundos:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Verificar a integridade dos dados

As regras de resumo são projetadas para escala e incluem um mecanismo de repetição para superar falhas transitórias de serviço ou consulta, por exemplo, relacionadas a limites de consultas. O mecanismo de repetição faz 10 tentativas para agrupar um compartimento com falha dentro de oito horas e ignora um compartimento caso esteja esgotado. A regra é definida isActive: false e suspensa após oito tentativas consecutivas. Se ativar regras de resumo do monitor, Azure Monitor registará um evento na LASummaryLogs tabela em seu espaço de trabalho.

Não é possível executar novamente uma execução de bin com falha, mas você pode usar a seguinte consulta para exibir execuções com falha:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Esta consulta apresenta os resultados como um gráfico temporal:

Consulte a seção Resumo das regras de monitorização para obter opções de correção de regras e alertas proativos.

Criptografar consultas de regras de resumo usando chaves gerenciadas pelo cliente

Uma consulta KQL pode conter informações confidenciais em comentários ou na sintaxe da consulta. Para criptografar consultas de regras de resumo, vincule uma conta de armazenamento ao seu espaço de trabalho do Log Analytics e use chaves gerenciadas pelo cliente.

Considerações ao trabalhar com consultas criptografadas:

Vincular uma conta de armazenamento para criptografar suas consultas não interrompe as regras existentes.
Por padrão, o Azure Monitor armazena consultas de regras de resumo no armazenamento do Log Analytics. Se você tiver regras de resumo existentes antes de vincular uma conta de armazenamento ao seu espaço de trabalho do Log Analytics, atualize suas regras de resumo para que as consultas salvem as consultas existentes na conta de armazenamento.
As consultas salvas em uma conta de armazenamento estão localizadas na CustomerConfigurationStoreTable tabela. Essas consultas são consideradas artefatos de serviço e seu formato pode mudar.
Você pode usar a mesma conta de armazenamento para consultas de regras de resumo, consultas salvas no Log Analytics e alertas de log.

Solucionar problemas das regras de resumo

Esta seção fornece dicas para solucionar problemas de regras de resumo.

Tabela de destino da regra de resumo excluída acidentalmente

Se você excluir a tabela de destino enquanto a regra de resumo estiver ativa, a regra será suspensa e o Azure Monitor enviará um evento para a LASummaryLogs tabela com uma mensagem indicando que a regra foi suspensa.

Se você não precisar dos resultados de resumo na tabela de destino, exclua a regra e a tabela. Se você precisar recuperar resultados de resumo, siga as etapas na seção Criar ou atualizar regras de resumo para recriar a tabela. A tabela de destino é restaurada, incluindo os dados ingeridos antes da exclusão, dependendo da política de retenção na tabela.

Se você não precisar dos resultados de resumo na tabela de destino, exclua a regra e a tabela. Se precisar obter os resultados resumidos, siga as etapas na seção Criar ou atualizar regras de resumo para recriar a tabela de destino e restaurar todos os dados, incluindo aqueles ingeridos antes da exclusão, dependendo da política de retenção da tabela.

A consulta usa operadores que criam novas colunas na tabela de destino

O esquema da tabela de destino é definido quando você cria ou atualiza uma regra de resumo. Se a consulta na regra de resumo incluir operadores que permitem a expansão do esquema de saída com base em dados de entrada - por exemplo, se a consulta usar a arg_max(expression, *) função - o Azure Monitor não adicionará novas colunas à tabela de destino depois de criar ou atualizar a regra de resumo e os dados de saída que exigem essas colunas serão descartados. Para adicionar os novos campos à tabela de destino, atualize a regra de resumo ou adicione uma coluna à tabela manualmente.

Os dados nas colunas removidas permanecem no espaço de trabalho com base nas configurações de retenção da tabela

Quando se remove um campo na consulta, as colunas e os dados permanecem no destino com base no período de retenção definido para a tabela ou espaço de trabalho. Se não precisar das colunas removidas na tabela de destino, exclua as colunas do esquema da tabela. Se você adicionar colunas com o mesmo nome, todos os dados que não forem mais antigos que o período de retenção aparecerão novamente.

Saiba mais sobre os planos de dados do Azure Monitor Logs.
Percorra um tutorial sobre como usar o modo KQL no Log Analytics.
Aceda à documentação de referência completa do KQL.