Аналитика рабочей области Log Analytics

  • Статья

Log Analytics Workspace Insights обеспечивает всесторонний мониторинг ваших рабочих областей с помощью единого представления об использовании, производительности, работоспособности, агентах, запросах и журналах изменений вашей рабочей области. В этой статье показано, как подключить и использовать рабочую область Log Analytics Аналитика.

Требуемые разрешения

  • Вам нужны Microsoft.OperationalInsights/workspaces/read разрешения на рабочую область Log Analytics, аналитические сведения о которой вы хотите просмотреть, как указано встроенной ролью Log Analytics Reader, например.
  • Для выполнения дополнительных запросов на использование необходимы */read разрешения, как указано встроенной ролью Log Analytics Reader, например.

Обзор рабочих областей Log Analytics

При доступе к рабочей области Log Analytics Аналитика через Аналитика Azure Monitor отображается масштабируемая перспектива. Здесь можно:

  • Узнайте, как распространяются рабочие области по всему миру.
  • Просмотрите их хранение.
  • См. сведения о закодированных цветом ограничениях и лицензиях.
  • Выберите рабочую область, чтобы просмотреть ее аналитические сведения.

Screenshot that shows a Log Analytics Workspace Insights list of workspaces.

Чтобы запустить Аналитика рабочей области Log Analytics, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Выберите "Монитор" в левой области в портал Azure. В разделе Аналитика Концентратор выберите Аналитика рабочей области Log Analytics.

Просмотр аналитических сведений для рабочей области Log Analytics

Вы можете использовать аналитические сведения в контексте конкретной рабочей области для отображения расширенных данных и аналитики производительности рабочей области, использования, работоспособности, агентов, запросов и изменений.

Screenshot that shows the Log Analytics Workspace Insights overview.

Чтобы открыть аналитику рабочей области Log Analytics:

  1. Откройте рабочую область Log Analytics Аналитика из Azure Monitor (как описано ранее).

  2. Выберите рабочую область для детализации.

Или выполните следующие действия:

  1. В портал Azure выберите "Рабочие области Log Analytics".

  2. Выберите рабочую область Log Analytics.

  3. В разделе "Мониторинг" выберите Аналитика в меню рабочей области.

Данные упорядочивается на вкладках. Диапазон времени по умолчанию по умолчанию составляет 24 часа и применяется ко всем вкладкам. В некоторых диаграммах и таблицах используется другой диапазон времени, указанный в их заголовках.

Вкладка «Обзор»

На вкладке "Обзор" можно увидеть следующее:

  • Основная статистика и параметры:

    • Ежемесячный объем приема рабочей области.
    • Сколько компьютеров отправило пульс. То есть компьютеры, подключенные к этой рабочей области, в выбранном диапазоне времени.
    • Компьютеры, которые не отправляли пульса за последний час в выбранном диапазоне времени.
    • Набор периодов хранения данных.
    • Набор ежедневных заголовок и количество данных, которые уже были приемлены в последний день.

  • Первые пять таблиц: диаграммы, которые анализируют пять наиболее приемных таблиц за последний месяц:

    • Объем данных, которые будут приема в каждую таблицу.
    • Ежедневное прием к каждому из них для визуального отображения пиков или спадов.
    • Аномалии приема: список определенных пиков и спадов в приеме к этим таблицам.

Вкладка "Использование"

На этой вкладке отображается панель мониторинга.

Панель мониторинга использования

На этой вкладке представлена информация об использовании рабочей области. В подзадаче панели мониторинга отображаются данные приема, отображаемые в таблицах. По умолчанию используется пять наиболее приемных таблиц в выбранном диапазоне времени. Эти же таблицы отображаются на странице обзора . Используйте раскрывающийся список таблиц рабочей области для выбора отображаемых таблиц.

Screenshot that shows the workspace Usage tab.

  • Основная сетка: таблицы группируются по решениям со сведениями о каждой таблице:

    • Сколько данных было приемлено к нему во время выбранного диапазона времени.
    • Процент этой таблицы берется из всего тома приема во время выбранного диапазона времени: эта информация помогает определить таблицы, влияющие на прием. На следующем снимке экрана вы можете увидеть AzureDiagnostics и ContainerLog отстать от двух третей (64%) данных, которые будут приемированы в эту рабочую область.
    • Последнее обновление статистики использования для каждой таблицы: обычно ожидается, что статистика использования обновляется почасово. Обновление статистики использования — это повторяющаяся внутренняя операция службы. Задержка при обновлении данных отмечается только таким образом, чтобы вы знали правильно интерпретировать данные. Нет никаких действий, которые вы должны предпринять.
    • Выставление счетов: указывает, какие таблицы выставляются и которые являются бесплатными.

  • Сведения о таблице: в нижней части страницы можно просмотреть подробные сведения о таблице, выбранной в главной сетке:

    • Объем приема: объем данных, полученных в таблицу из каждого ресурса, и способ его распространения с течением времени. Ресурсы, которые получают более 30% от общего объема, отправляемого в эту таблицу, помечены знаком предупреждения.

    • Задержка приема: сколько времени приема, проанализировано на 50-й, 90-й или 95-й процентиль запросов, отправленных в эту таблицу. Верхняя диаграмма в этой области показывает общее время приема запросов на выбранный процентиль от конца до конца. Он охватывает время, когда событие не было выполнено до приема в рабочую область.

      На приведенной ниже диаграмме показано отдельное время задержки агента, которое требуется агенту для отправки журнала в рабочую область. На диаграмме также показана задержка конвейера, которая занимает службу для обработки данных и отправки ее в рабочую область. Screenshot that shows the workspace Usage tab Ingestion Latency subtab.

Дополнительные запросы использования

Подзадач "Дополнительные запросы " предоставляет запросы, которые выполняются во всех таблицах рабочей области (вместо того, чтобы полагаться на метаданные использования, которые обновляются почасово). Так как запросы гораздо более обширны и менее эффективны, они не выполняются автоматически. Они могут показать интересные сведения о том, какие ресурсы отправляют большинство журналов в рабочую область и, возможно, влияют на выставление счетов.

Screenshot that shows the workspace Usage tab Additional Queries subtab.

Один из таких запросов — это то, что ресурсы Azure отправляют большинство журналов в эту рабочую область (в начале 50). В демонстрационной рабочей области видно, что три кластера Kubernetes отправляют гораздо больше данных, чем все остальные ресурсы. Один кластер загружает рабочую область чаще всего.

Screenshot that shows the workspace Usage tab Additional Queries subtab with the results of an additional query.

Вкладка "Работоспособность"

На этой вкладке показано состояние работоспособности рабочей области, когда оно было получено в последний раз, а также операционные ошибки и предупреждения , полученные из _LogOperation таблицы. Дополнительные сведения о перечисленных проблемах и шагах по устранению рисков см. в статье "Мониторинг работоспособности рабочей области Log Analytics" в Azure Monitor.

Screenshot that shows the workspace Health tab.

ВкладкаАгенты

Эта вкладка содержит сведения об агентах, отправляющих журналы в эту рабочую область. Screenshot that shows the workspace Agents tab.

  • Ошибки и предупреждения операции: эти ошибки и предупреждения связаны специально с агентами. Они группируются по заголовку ошибки или предупреждения, чтобы получить более четкое представление о различных проблемах, которые могут возникнуть. Их можно развернуть, чтобы показать точное время и ресурсы, к которым они относятся. Вы можете выбрать "Выполнить запрос в журналах", чтобы запросить _LogOperation таблицу с помощью интерфейса "Журналы", чтобы просмотреть необработанные данные и проанализировать его дальше.
  • Агенты рабочей области: эти агенты — это агенты, отправляющие журналы в рабочую область в течение выбранного диапазона времени. Вы можете увидеть типы и состояние работоспособности агентов. Агенты, помеченные как "Работоспособные" , не обязательно работают хорошо. Это обозначение указывает только на то, что они послали пульс в течение последнего часа. Более подробное состояние работоспособности описано в сетке.
  • Действие агентов: в этой сетке отображаются сведения обо всех агентах или работоспособных или неработоспособных агентах. Здесь слишком здорово указывает, что агент послал пульс в течение последнего часа. Чтобы лучше понять его состояние, просмотрите тенденцию, показанную в сетке. В нем показано, сколько пульсов этот агент отправляется с течением времени. Истинное состояние работоспособности можно определить только в том случае, если вы знаете, как работает отслеживаемый ресурс. Например, если компьютер намеренно завершает работу в определенное время, вы можете ожидать, что пульс агента будет отображаться периодически в шаблоне сопоставления.

Вкладка "Аудит запросов"

Аудит запросов создает журналы о выполнении запросов в рабочей области. Если этот параметр включен, эти данные полезны для понимания и повышения производительности, эффективности и загрузки запросов. Чтобы включить аудит запросов в рабочей области или получить дополнительные сведения об этом, см. статью Аудит запросов в журналах Azure Monitor.

Производительность

На этой вкладке отображается следующее:

  • Длительность запроса: длительность 95-й процентиль и 50-й процентиль (медиана) в мс с течением времени.
  • Число возвращаемых строк: 95-й процентиль и 50-й процентиль (медиана) количества строк со временем.
  • Объем обработанных данных: 95-й процентиль, 50-й процентиль и общий объем обработанных данных во всех запросах со временем.
  • Кодответа: распределение кодов ответов ко всем запросам в выбранном диапазоне времени.

Screenshot that shows the Query Audit tab Performance subtab.]

Медленные и неэффективные запросы

В подразделе "Медленные и неэффективные запросы" показаны две сетки , которые помогут вам определить медленные и неэффективные запросы, которые может потребоваться переосмыслить. Эти запросы не должны использоваться в панелях мониторинга или оповещениях, так как они будут создавать ненужные хронические нагрузки в рабочей области.

  • Большинство ресурсоемких запросов: 10 наиболее требовательных к ЦП запросов, а также объем обработанных данных (КБ), диапазон времени и текст каждого запроса.
  • Самые медленные запросы: 10 медленных запросов, а также диапазон времени и текст каждого запроса.

Screenshot that shows the Query Audit tab Slow & Inefficient Queries subtab.

Запросы пользователей

В подзадаче "Пользователи" отображаются действия пользователя для этой рабочей области:

  • Запросы пользователя: сколько запросов каждый пользователь выполнял в выбранном диапазоне времени.
  • Регулируемые пользователи: пользователи, выполняющие запросы, которые были регулированием из-за чрезмерного запроса рабочей области.

Вкладка "Изменить журнал"

На этой вкладке показаны изменения конфигурации, внесенные в рабочую область за последние 90 дней независимо от выбранного диапазона времени. В нем также показано, кто внесли изменения. Он предназначен для отслеживания изменений важных параметров рабочей области, таких как ограничение данных или лицензия рабочей области.

Screenshot that shows the workspace Change Log tab.

Следующие шаги

Сведения о сценариях, которые книги предназначены для поддержки и создания новых и настройки существующих отчетов, см. в статье "Создание интерактивных отчетов с помощью книг Azure Monitor".