练习 - 将资源日志路由到 Log Analytics,然后查看日志数据
在本练习中,你将创建一个 Log Analytics 工作区,创建一个诊断设置,用于将日志路由到该工作区,然后使用查询显示存储帐户中的活动。
创建 Log Analytics 工作区
在 Azure 门户中,搜索并选择“Log Analytics 工作区”。
选择“+ 创建”,然后为以下选项提供值:
在“订阅”下拉列表中,选择“Concierge 订阅”。
对于“资源组”,请选择
[沙盒资源组] 资源组。为新的 Log Analytics 工作区提供名称,如 DefaultLAWorkspace。 对于每个资源组,该名称必须是唯一的。
选择可用区域。
选择“查看 + 创建”以查看设置,然后选择“创建”以创建工作区。
创建诊断设置
在 Azure 门户菜单中,选择“存储帐户”。
在“存储帐户”页面上,选择在上一个练习中创建的存储帐户的名称。
在“监视”部分中,选择“诊断设置”。
在“诊断设置”窗格中,选择“Blob”,然后选择“+ 添加诊断设置”。
在“诊断设置名称”框中,提供设置的名称。
在“类别”部分中,选中 StorageRead 框。 在“目标详细信息”部分中,选中“发送到 Log Analytics 工作区”旁边的框。
在“Log Analytics 工作区”下拉列表中,选择上一部分中创建的 Log Analytics 工作区。
选择“保存”。
下载 Blob 以生成活动
返回存储帐户。 在“数据存储”部分中,选择“容器”。
在“容器”面板中,选择在前面的练习中创建的容器。
选择添加的 blob,选择 ...,然后选择“下载”。
使用 Log Analytics 查询查看记录的活动
返回存储帐户。 在“监视”部分中,选择“日志”。
此时会显示“查询”窗口。 此窗口提供了多个可以运行的查询。 还可以通过将鼠标悬停在其中的任何一个查询上,然后选择该查询显示的“加载到编辑器”来自定义该查询。 在本练习中,我们将从头开始创建查询。
通过选择“查询”窗口一角的“X”关闭窗口。
查询编辑器随即显示。
在查询编辑器中,添加以下查询。
StorageBlobLogs | where TimeGenerated > ago(1h) and OperationName == "GetBlob" | project TimeGenerated, AuthenticationType, RequesterObjectId, OperationName, Uri此查询显示过去一小时内发生的读取操作,并包括各种字段,例如请求的身份验证方式、操作的名称和资源 URI。 应该会针对刚刚执行的下载操作显示读取操作。
选择运行。