练习 - 将资源日志路由到 Log Analytics,然后查看日志数据
在本练习中,你将创建 Log Analytics 工作区,创建一个诊断设置,用于将日志路由到该工作区,然后使用查询在存储帐户中显示活动。
创建 Log Analytics 工作区
在 Azure 门户中,搜索并选择 Log Analytics 工作区。
选择 “+ 创建”,然后提供以下选项的值:
在“订阅”下拉列表中,选择“礼宾订阅”。
对于 资源组,请选择
“[沙盒资源组] ”资源组。为新的 Log Analytics 工作区提供名称,如 DefaultLAWorkspace。 对于每个资源组,该名称必须是唯一的。
选择可用区域。
选择 “查看 + 创建 ”以查看设置,然后选择“ 创建 ”以创建工作区。
创建诊断设置
在 Azure 门户菜单中,选择“存储帐户”。
在 “存储帐户 ”页上,选择在上一练习中创建的存储帐户的名称。
在菜单窗格中的 “监视”下,选择“ 诊断设置”。
在 “诊断设置 ”窗格中,选择 Blob,然后选择“ + 添加诊断设置”。
在 “诊断设置名称 ”框中,提供设置的名称。
请在 “类别” 部分中, 选中 StorageRead 的框。 在 “目标详细信息 ”部分中,选中 “发送到 Log Analytics 工作区”旁边的框。
在 Log Analytics 工作区 下拉列表中,选择在上一部分中创建的 Log Analytics 工作区。
选择“保存”。
下载 Blob 以生成活动
回到您的存储帐户。 在“数据存储”部分中,选择“容器”。
在 “容器 ”面板中,选择在上一个练习中创建的容器。
选择已添加的 Blob,选择 ...,然后选择“ 下载”。
使用 Log Analytics 查询查看已记录的活动
回到您的存储帐户。 在菜单窗格中的 “监视”下,选择“ 日志”。
此时会显示 “查询中心 ”窗口。 此窗口提供了多个可以运行的查询。 还可以通过将鼠标悬停在其中的任何一个查询上,然后选择该查询显示的相应“加载到编辑器”来自定义该查询。 在本练习中,我们将从头开始创建查询。
关闭“查询”窗口,选择窗口角上的 X。
此时会显示查询编辑器。
在“查询”菜单的右上角,选择下拉列表中的 KQL 模式 。
在查询编辑器中,添加以下查询。
StorageBlobLogs | where OperationName == "GetBlobServiceProperties" and Category == "StorageRead" | project TimeGenerated, AuthenticationType, OperationName, Category, Uri此查询显示在本练习期间发生的读取操作。 它包括各种字段,例如请求的身份验证方式、操作的名称、操作的类别以及资源的 URI。 应会显示一个结果表示你刚刚执行的操作。
选择 运行。