Övning – Dirigera resursloggar till Log Analytics och visa sedan loggdata

  • 8 minuter

I den här övningen skapar du en Log Analytics-arbetsyta, skapar en diagnostikinställning som dirigerar loggar till den arbetsytan och sedan använder en fråga för att visa aktivitet i ditt lagringskonto.

Skapa en Log Analytics-arbetsyta

  1. I Azure-portalen söker du efter och väljer Log Analytics-arbetsytor.

  2. Välj + Skapa och ange sedan värden för följande alternativ:

    • Välj Concierge-prenumeration i listrutan prenumeration.

    • För Resursgrupp väljer du resursgruppen [Sandbox-resursgrupp].

    • Ange ett namn för den nya Log Analytics-arbetsytan, som DefaultLAWorkspace. Det här namnet måste vara unikt per resursgrupp.

    • Välj en tillgänglig region.

  3. Välj Granska + skapa för att granska inställningarna och välj sedan Skapa för att skapa arbetsytan.

Skapa en diagnostikinställning

  1. På Menyn i Azure-portalen väljer du Lagringskonton.

  2. På sidan Lagringskonton väljer du namnet på det lagringskonto som du skapade i föregående övning.

  3. I Övervakning, välj Diagnostikinställningar.

  4. I fönstret Diagnostikinställningar väljer du blob och sedan + Lägg till diagnostikinställning.

  5. Ange ett namn för inställningen i rutan Namn på diagnostikinställning.

  6. I avsnittet Kategorier markerar du kryssrutan för StorageRead. I avsnittet Målinformation markerar du kryssrutan bredvid Skicka till Log Analytics-arbetsytan.

  7. I listrutan Log Analytics-arbetsyta väljer du den Log Analytics-arbetsyta som du skapade i föregående avsnitt.

  8. Välj Spara.

Ladda ned en blob för att generera aktivitet

  1. Gå tillbaka till ditt lagringskonto. I avsnittet Datalagring väljer du Containrar.

  2. I panelen Containrar väljer du den container som du skapade i den senaste övningen.

  3. Välj en blob som du har lagt till, välj ...och välj Ladda ned.

Visa loggad aktivitet med hjälp av en Log Analytics-fråga

  1. Gå tillbaka till ditt lagringskonto. I avsnittet Övervakning väljer du Loggar.

    Fönstret Frågor visas. Det här fönstret innehåller flera frågor som du kan köra. Du kan också anpassa någon av dessa frågor genom att hovra över frågan och sedan välja den Inläsning till redigeraren som visas för frågan. I den här övningen skapar vi en fråga från grunden.

  2. Stäng fönstret Frågor genom att välja X i hörnet av fönstret.

    Frågeredigeraren visas.

  3. Lägg till följande fråga i frågeredigeraren.

    StorageBlobLogs
| where TimeGenerated > ago(1h) and OperationName  == "GetBlob"
| project TimeGenerated, AuthenticationType, RequesterObjectId, OperationName, Uri

    Den här frågan visar läsåtgärder som inträffade under den senaste timmen och innehåller olika fält, till exempel hur begäran var autentisering, namnet på åtgärden och resursens URI. En läsåtgärd bör visas för nedladdningsåtgärden som du precis utförde.

  4. Markera Kör.