Självstudie: Mata in och köra frågor mot övervakningsdata i Azure Data Explorer

I den här självstudien lär du dig att mata in data från diagnostikloggar och aktivitetsloggar till ett Azure Data Explorer-kluster utan att skriva kod. Med den här enkla inmatningsmetoden kan du snabbt börja köra frågor mot Azure Data Explorer för dataanalys.

I den här självstudien får du lära dig att:

• Skapa tabeller och inmatningsmappning i en Azure Data Explorer-databas.
• Formatera inmatade data med hjälp av en uppdateringsprincip.
• Skapa en händelsehubb och anslut den till Azure Data Explorer.
• Strömma data till en händelsehubb från Diagnostikmått och loggar för Azure Monitor och aktivitetsloggar.
• Köra frågor mot inmatade data med hjälp av Azure Data Explorer.

Anteckning

Skapa alla resurser på samma Azure-plats eller region.

Förutsättningar

• En Azure-prenumeration. Skapa ett kostnadsfritt Azure-konto.
• Ett Azure Data Explorer-kluster och en databas. Skapa ett kluster och en databas. I den här självstudien är databasnamnet TestDatabase.

Azure Monitor-dataprovider: diagnostikmått, loggar och aktivitetsloggar

Visa och förstå de data som tillhandahålls av diagnostikmått och loggar och aktivitetsloggar i Azure Monitor nedan. Du skapar en inmatningspipeline baserat på dessa datascheman. Observera att varje händelse i en logg har en matris med poster. Den här matrisen med poster delas senare i självstudien.

Exempel på diagnostikmått, loggar och aktivitetsloggar

Azures diagnostikmått, loggar och aktivitetsloggar genereras av en Azure-tjänst och tillhandahåller data om hur tjänsten fungerar.

Diagnostikmått

Exempel på diagnostikmått

Diagnostikmått aggregeras med ett tidsintervall på 1 minut. Följande är ett exempel på ett Azure-Data Explorer måtthändelseschema för frågevaraktighet:

{
    "records": [
    {
        "count": 14,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-20T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    },
    {
        "count": 12,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-21T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    }
    ]
}

Diagnostikloggar

Exempel på diagnostikloggar

Följande är ett exempel på en Azure Data Explorer diagnostikinmatningslogg:

{
    "time": "2019-08-26T13:22:36.8804326Z",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
    "operationName": "MICROSOFT.KUSTO/CLUSTERS/INGEST/ACTION",
    "operationVersion": "1.0",
    "category": "FailedIngestion",
    "resultType": "Failed",
    "correlationId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
    "properties": {
        "OperationId": "00000000-0000-0000-0000-000000000000",
        "Database": "Kusto",
        "Table": "Table_13_20_prod",
        "FailedOn": "2019-08-26T13:22:36.8804326Z",
        "IngestionSourceId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
        "Details":
        {
            "error":
            {
                "code": "BadRequest_DatabaseNotExist",
                "message": "Request is invalid and cannot be executed.",
                "@type": "Kusto.Data.Exceptions.DatabaseNotFoundException",
                "@message": "Database 'Kusto' was not found.",
                "@context":
                {
                    "timestamp": "2019-08-26T13:22:36.7179157Z",
                    "serviceAlias": "<cluster-name>",
                    "machineName": "KEngine000001",
                    "processName": "Kusto.WinSvc.Svc",
                    "processId": 5336,
                    "threadId": 6528,
                    "appDomainName": "Kusto.WinSvc.Svc.exe",
                    "clientRequestd": "DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8",
                    "activityId": "f13e7718-1153-4e65-bf82-8583d712976f",
                    "subActivityId": "2cdad9d0-737b-4c69-ac9a-22cf9af0c41b",
                    "activityType": "DN.AdminCommand.DataIngestPullCommand",
                    "parentActivityId": "2f65e533-a364-44dd-8d45-d97460fb5795",
                    "activityStack": "(Activity stack: CRID=DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8 ARID=f13e7718-1153-4e65-bf82-8583d712976f > DN.Admin.Client.ExecuteControlCommand/5b764b32-6017-44a2-89e7-860eda515d40 > P.WCF.Service.ExecuteControlCommandInternal..IAdminClientServiceCommunicationContract/c2ef9344-069d-44c4-88b1-a3570697ec77 > DN.FE.ExecuteControlCommand/2f65e533-a364-44dd-8d45-d97460fb5795 > DN.AdminCommand.DataIngestPullCommand/2cdad9d0-737b-4c69-ac9a-22cf9af0c41b)"
                },
                "@permanent": true
            }
        },
        "ErrorCode": "BadRequest_DatabaseNotExist",
        "FailureStatus": "Permanent",
        "RootActivityId": "00000000-0000-0000-0000-000000000000",
        "OriginatesFromUpdatePolicy": false,
        "ShouldRetry": false,
        "IngestionSourcePath": "https://c0skstrldkereneus01.blob.core.windows.net/aam-20190826-temp-e5c334ee145d4b43a3a2d3a96fbac1df/3216_test_3_columns_invalid_8f57f0d161ed4a8c903c6d1073005732_59951f9ca5d143b6bdefe52fa381a8ca.zip"
    }
}

Aktivitetsloggar

Exempel på aktivitetsloggar

Azure-aktivitetsloggar är loggar på prenumerationsnivå som ger insikter om de åtgärder som utförs på resurser i din prenumeration. Följande är ett exempel på en aktivitetslogghändelse för att kontrollera åtkomsten:

{
    "records": [
    {
        "time": "2018-12-26T16:23:06.1090193Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Start",
        "resultSignature": "Started.",
        "durationMs": 0,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            ...
        }
    },
    {
        "time": "2018-12-26T16:23:06.3040244Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Success",
        "resultSignature": "Succeeded.OK",
        "durationMs": 194,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            "statusCode": "OK",
            "serviceRequestId": "87acdebc-945f-4c0c-b931-03050e085626"
        }
    }]
}

Konfigurera en inmatningspipeline i Azure Data Explorer

Konfiguration av en Azure Data Explorer-pipeline omfattar flera steg, däribland tabellskapande och datainmatning. Du kan även ändra, mappa och uppdatera data.

Ansluta till Azure Data Explorer-webbgränssnittet

I din Azure Data Explorer TestDatabase-databas väljer du Fråga för att öppna webbgränssnittet för Azure Data Explorer.

Skapa måltabellerna

Strukturen för Azure Monitor-loggarna är inte tabell. Du ändrar data och expanderar varje händelse till en eller flera poster. Rådata matas in i en mellanliggande tabell med namnet ActivityLogsRawRecords för aktivitetsloggar och DiagnosticRawRecords för diagnostikmått och loggar. Då ändras och expanderas data. Med hjälp av en uppdateringsprincip matas de expanderade data in i tabellen ActivityLogs för aktivitetsloggar, DiagnosticMetrics för diagnostikmått och Diagnostikloggar för diagnostikloggar. Det innebär att du måste skapa två separata tabeller för att mata in aktivitetsloggar och tre separata tabeller för att mata in diagnostikmått och loggar.

Använd azure Data Explorer-webbgränssnittet för att skapa måltabellerna i Azure Data Explorer-databasen.

Diagnostikmått

Skapa tabeller för diagnostikmåtten

1. I databasen TestDatabase skapar du en tabell med namnet DiagnosticMetrics för att lagra diagnostikmåttposterna. Använd följande .create table hanteringskommando:

   .create table DiagnosticMetrics (Timestamp:datetime, ResourceId:string, MetricName:string, Count:int, Total:double, Minimum:double, Maximum:double, Average:double, TimeGrain:string)
   

2. Välj Kör för att skapa tabellen.

   

3. Skapa den mellanliggande datatabellen med namnet DiagnosticRawRecords i TestDatabase-databasen för datamanipulering med hjälp av följande fråga. Välj Kör för att skapa tabellen.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Ange noll kvarhållningsprincip för den mellanliggande tabellen:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Diagnostikloggar

Skapa tabeller för diagnostikloggarna

1. I databasen TestDatabase skapar du en tabell med namnet DiagnosticLogs för att lagra diagnostikloggposterna. Använd följande .create table hanteringskommando:

   .create table DiagnosticLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Result:string, OperationId:string, Database:string, Table:string, IngestionSourceId:string, IngestionSourcePath:string, RootActivityId:string, ErrorCode:string, FailureStatus:string, Details:string)
   

2. Välj Kör för att skapa tabellen.

3. Skapa den mellanliggande datatabellen med namnet DiagnosticRawRecords i TestDatabase-databasen för datamanipulering med hjälp av följande fråga. Välj Kör för att skapa tabellen.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Ange noll kvarhållningsprincip för den mellanliggande tabellen:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Aktivitetsloggar

Skapa tabeller för aktivitetsloggarna

1. Skapa en tabell med namnet ActivityLogs i TestDatabase-databasen för att ta emot aktivitetsloggposter. Skapa tabellen genom att köra följande Azure Data Explorer-fråga:

   .create table ActivityLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Category:string, ResultType:string, ResultSignature:string, DurationMs:int, IdentityAuthorization:dynamic, IdentityClaims:dynamic, Location:string, Level:string)
   

2. Skapa den mellanliggande datatabellen med namnet ActivityLogsRawRecords i databasen TestDatabase för datamanipulering:

   .create table ActivityLogsRawRecords (Records:dynamic)
   

3. Ange noll kvarhållningsprincip för den mellanliggande tabellen:

   .alter-merge table ActivityLogsRawRecords policy retention softdelete = 0d
   

Skapa tabellmappningar

Eftersom dataformatet är json krävs datamappning. json-mappningen matchar varje json-sökväg till ett kolumnnamn i tabellen. JSON-sökvägar som innehåller specialtecken bör vara undantagna som ['Egenskapsnamn']. Mer information finns i JSONPath-syntax.

Diagnostikmått/Diagnostikloggar

Mappa diagnostikmått och loggar till tabellen

Om du vill mappa diagnostikmåttet och loggdata till tabellen använder du följande fråga:

.create table DiagnosticRawRecords ingestion json mapping 'DiagnosticRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Aktivitetsloggar

Mappa aktivitetsloggar till tabellen

Om du vill mappa aktivitetsloggdata till tabellen använder du följande fråga:

.create table ActivityLogsRawRecords ingestion json mapping 'ActivityLogsRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Skapa uppdateringsprincipen för mått- och loggdata

Diagnostikmått

Skapa en princip för datauppdatering för diagnostikmått

1. Skapa en funktion som expanderar samlingen av diagnostikmåttposter så att varje värde i samlingen får en separat rad. Använd operatorn mv-expand :

   .create function DiagnosticMetricsExpand() {
      DiagnosticRawRecords
      | mv-expand events = Records
      | where isnotempty(events.metricName)
      | project
          Timestamp = todatetime(events['time']),
          ResourceId = tostring(events.resourceId),
          MetricName = tostring(events.metricName),
          Count = toint(events['count']),
          Total = todouble(events.total),
          Minimum = todouble(events.minimum),
          Maximum = todouble(events.maximum),
          Average = todouble(events.average),
          TimeGrain = tostring(events.timeGrain)
   }
   

2. Lägg till uppdateringsprincipen i måltabellen. Den här principen kör automatiskt frågan på nyligen inmatade data i den mellanliggande datatabellen DiagnosticRawRecords och matar in resultatet i tabellen DiagnosticMetrics :

   .alter table DiagnosticMetrics policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticMetricsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Diagnostikloggar

Skapa en princip för datauppdatering för diagnostikloggar

1. Skapa en funktion som expanderar samlingen av diagnostikloggposter så att varje värde i samlingen får en separat rad. Du aktiverar inmatningsloggar i ett Azure Data Explorer-kluster och använder inmatningsloggschema. Du skapar en tabell för lyckades och för misslyckad inmatning, medan vissa av fälten är tomma för lyckad inmatning (till exempel ErrorCode). Använd operatorn mv-expand :

   .create function DiagnosticLogsExpand() {
       DiagnosticRawRecords
       | mv-expand events = Records
       | where isnotempty(events.operationName)
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Result = tostring(events.resultType),
           OperationId = tostring(events.properties.OperationId),
           Database = tostring(events.properties.Database),
           Table = tostring(events.properties.Table),
           IngestionSourceId = tostring(events.properties.IngestionSourceId),
           IngestionSourcePath = tostring(events.properties.IngestionSourcePath),
           RootActivityId = tostring(events.properties.RootActivityId),
           ErrorCode = tostring(events.properties.ErrorCode),
           FailureStatus = tostring(events.properties.FailureStatus),
           Details = tostring(events.properties.Details)
   }
   

2. Lägg till uppdateringsprincipen i måltabellen. Den här principen kör automatiskt frågan på nyligen inmatade data i den mellanliggande datatabellen DiagnosticRawRecords och matar in dess resultat i tabellen DiagnosticLogs :

   .alter table DiagnosticLogs policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticLogsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Aktivitetsloggar

Skapa datauppdateringsprincip för aktivitetsloggar

1. Skapa en funktion som expanderar samlingen med aktivitetsloggposter så att varje värde i samlingen får en separat rad. Använd operatorn mv-expand :

   .create function ActivityLogRecordsExpand() {
       ActivityLogsRawRecords
       | mv-expand events = Records
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Category = tostring(events.category),
           ResultType = tostring(events.resultType),
           ResultSignature = tostring(events.resultSignature),
           DurationMs = toint(events.durationMs),
           IdentityAuthorization = events.identity.authorization,
           IdentityClaims = events.identity.claims,
           Location = tostring(events.location),
           Level = tostring(events.level)
   }
   

2. Lägg till uppdateringsprincipen i måltabellen. Den här principen kör automatiskt frågan på nyligen inmatade data i den mellanliggande datatabellen ActivityLogsRawRecords och matar in resultatet i tabellen ActivityLogs :

   .alter table ActivityLogs policy update @'[{"Source": "ActivityLogsRawRecords", "Query": "ActivityLogRecordsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Skapa en Event Hubs-namnrymd

Med Diagnostikinställningar i Azure kan du exportera mått och loggar till ett lagringskonto eller till en händelsehubb. I den här självstudien dirigerar vi måtten och loggarna via en händelsehubb. Du skapar ett namnområde för händelsehubben och en händelsehubb för diagnostikmåtten och loggarna i följande steg. Azure Monitor skapar händelsehubben insights-operational-logs för aktivitetsloggarna.

1. Skapa en händelsehubb med hjälp av en Azure Resource Manager-mall i Azure-portalen. Följ resten av stegen i den här artikeln genom att högerklicka på knappen Distribuera till Azure och sedan välja Öppna i nytt fönster. Knappen Distribuera till Azure tar dig till Azure-portalen.

   

2. Skapa en event hubs-namnrymd och en händelsehubb för diagnostikloggarna. Lär dig hur du skapar ett event hubs-namnområde.

3. Fyll i formuläret med följande information. För alla inställningar som inte visas i följande tabell använder du standardvärdena.

   Inställning	Föreslaget värde	Beskrivning
   Prenumeration	Din prenumeration	Välj den Azure-prenumeration som ska användas för händelsehubben.
   Resursgrupp	test-resource-group	Skapa en ny resursgrupp.
   Plats	Välj den region som bäst uppfyller dina behov.	Skapa händelsehubbens namnområde på samma plats som andra resurser.
   Namn på namnområde	AzureMonitoringData	Välj ett unikt namn som identifierar namnområdet.
   Namn på händelsehubb	DiagnosticData	Händelsehubben finns under namnområdet, som tillhandahåller en unik omfångscontainer.
   Konsumentgruppens namn	adxpipeline	Skapa ett konsumentgruppsnamn. Konsumentgrupper gör att flera konsumerande program kan ha en separat vy över händelseströmmen.

Ansluta Azure Monitor-mått och loggar till din händelsehubb

Nu måste du ansluta dina diagnostikmått och loggar och dina aktivitetsloggar till händelsehubben.

Diagnostikmått/Diagnostikloggar

Ansluta diagnostikmått och loggar till din händelsehubb

Välj en resurs som du vill exportera mått från. Flera resurstyper stöder export av diagnostikdata, inklusive event hubs-namnrymd, Azure Key Vault, Azure IoT Hub och Azure Data Explorer-kluster. I den här självstudien använder vi ett Azure Data Explorer-kluster som resurs. Vi granskar frågeprestandamått och resultatloggar för datainmatning.

1. Välj ditt Kusto-kluster i Azure-portalen.

2. Välj diagnostikinställningar och välj sedan länken Slå på diagnostik.

   

3. Fönstret Diagnostikinställningar öppnas. Utför följande steg:

   1. Ge dina diagnostikloggdata namnet ADXExportedData.

   2. Under LOGG markerar du kryssrutorna SucceededIngestion och FailedIngestion .

   3. Under MÅTT markerar du kryssrutan Frågeprestanda .

   4. Markera kryssrutan Strömma till en händelsehubb.

   5. Välj Konfigurera.

      

4. I fönstret Välj händelsehubb konfigurerar du hur data ska exporteras från diagnostikloggar till den händelsehubb som du skapade:

   1. I listan Select event hub namespace (Välj namnrymd för händelsehubb) väljer du AzureMonitoringData.
   2. I listan Välj namn på händelsehubb väljer du DiagnostikData.
   3. I listan Select event hub policy name (Välj namn på händelsehubbsprincip) väljer du RootManagerSharedAccessKey.
   4. Välj OK.

5. Välj Spara.

Aktivitetsloggar

Ansluta aktivitetsloggar till händelsehubben

1. På den vänstra menyn i Azure-portalen väljer du Aktivitetslogg.

2. Fönstret Aktivitetslogg öppnas. Välj Diagnostikinställningar.

   

3. Fönstret Diagnostikinställningar. Väj + Lägg till diagnostikinställning.

   

4. Ett nytt fönster för diagnostikinställning öppnas.

   

   Gör följande:

   1. Ange ett namn i fältet Namn på diagnostikinställning .
   2. Till vänster i kryssrutorna väljer du de plattformsloggar som du vill samla in från en prenumeration.
   3. Markera kryssrutan Strömma till en händelsehubb.
   4. Välj din prenumeration.
   5. I listan Namnområde för händelsehubb väljer du AzureMonitoringData.
   6. Du kan också välja namnet på händelsehubben.
   7. I listan Namn på händelsehubbprincip väljer du standardnamnet för händelsehubbens princip.
   8. I fönstrets övre vänstra hörn väljer du Spara. En händelsehubb med namnet insights-operational-logs skapas (såvida du inte har valt ett händelsehubbnamn ovan).

Se data som flödar till dina händelsehubbar

1. Vänta några minuter tills anslutningen har definierats och exporten av aktivitetslogg till händelsehubben är klar. Gå till event hubs-namnrymden för att se de händelsehubbar som du skapade.

   

2. Se data som flödar till din händelsehubb:

   

Ansluta en händelsehubb till Azure Data Explorer

Nu måste du skapa dataanslutningarna för dina diagnostikmått och loggar och aktivitetsloggar.

Skapa dataanslutningen för diagnostikmått och loggar och aktivitetsloggar

1. I det Azure Data Explorer-kluster som heter kustodocs väljer du Databaser på den vänstra menyn.

2. I fönstret Databaser väljer du databasen TestDatabase.

3. I den vänstra menyn väljer du Datainmatning.

4. I fönstret Datainmatning väljer du + Lägg till dataanslutning.

5. I fönstret Dataanslutning anger du följande information:

   

Diagnostikmått/Diagnostikloggar

1. Använd följande inställningar i fönstret Dataanslutning:

   Datakälla:

   Inställning	Föreslaget värde	Fältbeskrivning
   Namn på dataanslutning	DiagnosticsLogsConnection	Namnet på anslutningen som du vill skapa i Azure Data Explorer.
   Namnområde för händelsehubb	AzureMonitoringData	Namnet som du valde tidigare, som identifierar ditt namnområde.
   Händelsehubb	DiagnosticData	Händelsehubben som du skapade.
   Konsumentgrupp	adxpipeline	Konsumentgruppen som definierades i hubben som du skapade.

   Måltabell:

   Det finns två alternativ för routning: statisk och dynamisk. För den här självstudien använder du statisk routning (standardinställning), där du anger tabellnamn, dataformat och mappning. Låt My data includes routing info (Mina data innehåller routningsinformation) vara avmarkerad.

   Inställning	Föreslaget värde	Fältbeskrivning
   Tabell	DiagnosticRawRecords	Den tabell som du skapade i databasen TestDatabase.
   Dataformat	JSON	Det format som används i tabellen.
   Kolumnmappning	DiagnosticRawRecordsMapping	Mappningen som du skapade i databasen TestDatabase , som mappar inkommande JSON-data till kolumnnamnen och datatyperna i tabellen DiagnosticRawRecords .

2. Välj Skapa.

Aktivitetsloggar

1. Använd följande inställningar i fönstret Dataanslutning:

   Datakälla:

   Inställning	Föreslaget värde	Fältbeskrivning
   Namn på dataanslutning	ActivityLogsConnection	Namnet på anslutningen som du vill skapa i Azure Data Explorer.
   Namnområde för händelsehubb	AzureMonitoringData	Namnet som du valde tidigare, som identifierar ditt namnområde.
   Händelsehubb	insights-operational-logs	Händelsehubben som du skapade.
   Konsumentgrupp	$Default	Den förinställda konsumentgruppen. Om det behövs kan du skapa en annan konsumentgrupp.

   Måltabell:

   Det finns två alternativ för routning: statisk och dynamisk. För den här självstudien använder du statisk routning (standardinställning), där du anger tabellnamn, dataformat och mappning. Låt My data includes routing info (Mina data innehåller routningsinformation) vara avmarkerad.

   Inställning	Föreslaget värde	Fältbeskrivning
   Tabell	ActivityLogsRawRecords	Den tabell som du skapade i databasen TestDatabase.
   Dataformat	JSON	Det format som används i tabellen.
   Kolumnmappning	ActivityLogsRawRecordsMapping	Den mappning som du skapade i databasen TestDatabase, som mappar inkommande JSON-data till kolumnnamnen och datatyperna i tabellen ActivityLogsRawRecords.

2. Välj Skapa.

Köra frågor mot de nya tabellerna

Du har nu en pipeline med dataflöde. Inmatning via klustret tar 5 minuter som standard, så låt data flöda i några minuter innan du börjar köra frågor.

Diagnostikmått

Fråga diagnostikmåtttabellen

Följande fråga analyserar frågevaraktighetsdata från diagnostikmåttposter i Azure Data Explorer:

DiagnosticMetrics
| where Timestamp > ago(15m) and MetricName == 'QueryDuration'
| summarize avg(Average)

Frågeresultat:

avg_Average
00:06.156

Diagnostikloggar

Fråga tabellen med diagnostikloggar

Den här pipelinen genererar inmatningar via en händelsehubb. Du granskar resultatet av dessa inmatningar. Följande fråga analyserar hur många inmatningar som ackumulerats under en minut, inklusive ett exempel på Database, Table och IngestionSourcePath för varje intervall:

DiagnosticLogs
| where Timestamp > ago(15m) and OperationName has 'INGEST'
| summarize count(), take_any(Database, Table, IngestionSourcePath) by bin(Timestamp, 1m)

Frågeresultat:

Räkna_	any_Database	any_Table	any_IngestionSourcePath
00:06.156	TestDatabase	DiagnosticRawRecords	https://rtmkstrldkereneus00.blob.core.windows.net/20190827-readyforaggregation/1133_TestDatabase_DiagnosticRawRecords_6cf02098c0c74410bd8017c2d458b45d.json.zip

Aktivitetsloggar

Köra frågor mot tabellen med aktivitetsloggar

Följande fråga analyserar data från aktivitetsloggposter i Azure Data Explorer:

ActivityLogs
| where OperationName == 'MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/LISTKEYS/ACTION'
| where ResultType == 'Success'
| summarize avg(DurationMs)

Frågeresultat:

avg(DurationMs)
768.333

Relaterat innehåll

• Skriva frågor för Azure Data Explorer.
• Övervaka Azure Data Explorer inmatningsåtgärder med hjälp av diagnostikloggar
• Använda mått för att övervaka hälsotillstånd hos kluster