Förstå hur etablering integreras med Azure Monitor-loggar
Etablering integreras med Azure Monitor-loggar och Log Analytics. Med Azure-övervakning kan du göra saker som att skapa arbetsböcker, även kallade instrumentpaneler, lagra etableringsloggar i över 30 dagar och skapa anpassade frågor och aviseringar. I den här artikeln beskrivs hur etableringsloggar integreras med Azure Monitor-loggar. Mer information om hur etableringsloggar fungerar i allmänhet finns i etableringsloggar.
Aktivera etableringsloggar
Du bör redan känna till Azure-övervakning och Log Analytics. Om inte, hoppa över för att lära dig om dem och kom sedan tillbaka för att lära dig mer om programetableringsloggar. Mer information om Azure-övervakning finns i Översikt över Azure Monitor. Mer information om Azure Monitor-loggar och Log Analytics finns i Översikt över loggfrågor i Azure Monitor.
När du har konfigurerat Azure-övervakning kan du aktivera loggar för programetablering. Alternativet finns på sidan Diagnostikinställningar .
Kommentar
Om du nyligen har etablerat en arbetsyta kan det ta lite tid innan du kan skicka loggar till den. Om du får ett felmeddelande om att prenumerationen inte har registrerats för att använda microsoft.insights kan du gå tillbaka efter några minuter.
Förstå data
Den underliggande dataström som Etablering skickar loggvisningsprogram är nästan identisk. Azure Monitor-loggar får nästan samma ström som Azure-portalens användargränssnitt och Azure API. Det finns bara några skillnader i loggfälten enligt beskrivningen i följande tabell. Mer information om dessa fält finns i Lista provisioningObjectSummary.
| Azure Monitor-loggar | Användargränssnittet i Azure-portalen | Azure API |
|---|---|---|
| errorDescription | orsak | resultDescription |
| status | resultType | resultType |
| activityDateTime | TimeGenerated | TimeGenerated |
Azure Monitor-arbetsböcker
Azure Monitor-arbetsböcker ger en flexibel arbetsyta för dataanalys. De tillhandahåller också för att skapa omfattande visuella rapporter i Azure-portalen. Mer information finns i Översikt över Azure Monitor-arbetsböcker.
Programetablering levereras med en uppsättning fördefinierade arbetsböcker. Du hittar dem på sidan Arbetsböcker. Om du vill visa data kontrollerar du att alla filter (timeRange, jobID, appName) är ifyllda. Bekräfta även att appen har etablerats, annars finns det inga data i loggarna.
Anpassade frågor
Du kan skapa anpassade frågor och visa data på Azure-instrumentpaneler. Mer information finns i Skapa och dela instrumentpaneler med Log Analytics-data. Se också till att kolla in Översikt över loggfrågor i Azure Monitor.
Här följer några exempel för att komma igång med programetablering.
Fråga loggarna efter en användare baserat på deras ID i källsystemet:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"
Summera antal per ErrorCode:
AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature
Sammanfatta antalet händelser per dag efter åtgärd:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
Ta 100 händelser och projektnyckelegenskaper:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Hämta grupper med överhoppade medlemmar på grund av problem med att lösa referenser.
AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId, JobId
| take 100
Sammanfatta åtgärder per program.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5
Identifiera toppar i specifika åtgärder.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart
Anpassade aviseringar
Med Azure Monitor kan du konfigurera anpassade aviseringar så att du kan få aviseringar om viktiga händelser som rör etablering. Du kanske till exempel vill få en avisering om toppar i fel. Eller kanske toppar i inaktiverar eller tar bort. Ett annat exempel på var du kanske vill bli avisering är bristen på etablering, vilket indikerar att något är fel.
Mer information om aviseringar finns i Azure Monitor-loggaviseringar.
Avisering när det finns en topp i fel. Ersätt jobID med jobID för ditt program.
Det kan finnas ett problem som gjorde att etableringstjänsten slutade köras. Använd följande avisering för att identifiera när det inte finns några etableringshändelser under ett visst tidsintervall.
Avisering när det finns en topp i inaktiverar eller tar bort.
Bidrag från communityn
Vi har en öppen källkod och community-baserad metod för programetableringsfrågor och instrumentpaneler. Skapa en fråga, avisering eller arbetsbok som du tror är användbar för andra och publicera den sedan på GitHub-lagringsplatsen AzureMonitorCommunity. Skjut oss ett e-postmeddelande med en länk. Vi granskar och publicerar frågor och instrumentpaneler till tjänsten så att andra också kan dra nytta av det. Kontakta oss på provisioningfeedback@microsoft.com.