Agregace dat v pracovním prostoru služby Log Analytics pomocí souhrnných pravidel (Preview)

Souhrnné pravidlo umožňuje v pravidelných intervalech agregovat data protokolu a odesílat agregované výsledky do vlastní protokolovací tabulky v pracovním prostoru služby Log Analytics. K optimalizaci dat použijte souhrnná pravidla pro:

• Analýzy a sestavy, zejména nad velkými datovými sadami a časovými rozsahy, podle potřeby pro analýzu zabezpečení a incidentů, měsíčních nebo ročních obchodních sestav atd. Složité dotazy na velkou sadu dat často vyprší. Je jednodušší a efektivnější analyzovat a hlásit vyčištěná a agregovaná souhrnná data.

• Úspora nákladů na podrobné protokoly, které si můžete zachovat po dobu co nejméně, pokud potřebujete v levné tabulce základního protokolu, a odesílat souhrnná data do tabulky Analytics pro analýzy a sestavy.

• Zabezpečení a ochrana osobních údajů v datech odebráním nebo obfuzením podrobností o ochraně osobních údajů v souhrnných sdíletelných datech a omezením přístupu k tabulkám s nezpracovanými daty

Tento článek popisuje, jak fungují souhrnná pravidla a jak definovat a zobrazit souhrnná pravidla, a uvádí několik příkladů použití a výhod souhrnných pravidel.

Tady je video, které poskytuje přehled některých výhod souhrnných pravidel:

Jak fungují souhrnná pravidla

Souhrnná pravidla provádějí dávkové zpracování přímo v pracovním prostoru služby Log Analytics. Souhrnné pravidlo agreguje bloky dat definované velikostí přihrádky na základě dotazu KQL a znovu ingestuje souhrnné výsledky do vlastní tabulky s plánem protokolu Analytics v pracovním prostoru služby Log Analytics.

Data z libovolné tabulky můžete agregovat bez ohledu na to, jestli tabulka obsahuje datový plán Analytics nebo Basic. Azure Monitor vytvoří schéma cílové tabulky na základě vámi definovaného dotazu. Pokud už cílová tabulka existuje, Azure Monitor připojí všechny sloupce potřebné k podpoře výsledků dotazu. Všechny cílové tabulky také obsahují sadu standardních polí se souhrnnými informacemi o pravidlech, mezi které patří:

• _RuleName: Souhrnné pravidlo, které vygenerovalo agregovanou položku protokolu.
• _RuleLastModifiedTime: Kdy bylo pravidlo naposledy změněno.
• _BinSize: Interval agregace.
• _BinStartTime: Počáteční čas agregace.

Můžete nakonfigurovat až 30 aktivních pravidel pro agregaci dat z více tabulek a odeslání agregovaných dat do samostatných cílových tabulek nebo stejné tabulky.

Souhrnná data z vlastní tabulky protokolů můžete exportovat do účtu úložiště nebo služby Event Hubs pro další integraci definováním pravidla exportu dat.

Příklad: Shrnutí dat ContainerLogsV2

Pokud monitorujete kontejnery, ingestujete do tabulky velký objem podrobných protokolů ContainerLogsV2 .

Tento dotaz můžete v souhrnném pravidle použít k agregaci všech jedinečných položek protokolu do 60 minut, přičemž data, která jsou užitečná pro analýzu a vyřazení dat, která nepotřebujete:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Tady jsou nezpracovaná data v ContainerLogsV2 tabulce:

Tady jsou agregovaná data, která souhrnné pravidlo odesílá do cílové tabulky:

Místo protokolování stovek podobných položek během hodiny zobrazuje cílová tabulka počet jednotlivých jedinečných položek definovaných v dotazu KQL. Nastavte základní datový plán v ContainerLogsV2 tabulce pro levné uchovávání nezpracovaných dat a použijte souhrnná data v cílové tabulce pro potřeby analýzy.

Požadována oprávnění

Akce	Požadována oprávnění
Vytvoření nebo aktualizace souhrnného pravidla	Microsoft.Operationalinsights/workspaces/summarylogs/write oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje předdefinovaná role přispěvatele Log Analytics, například
Vytvoření nebo aktualizace cílové tabulky	Microsoft.OperationalInsights/workspaces/tables/write oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje předdefinovaná role přispěvatele Log Analytics, například
Povolení operace dotazu v pracovním prostoru	Microsoft.OperationalInsights/workspaces/query/read oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje integrovaná role Čtenář Log Analytics, například
Dotazování na všechny tabulky v pracovním prostoru	Microsoft.OperationalInsights/workspaces/query/*/read oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje integrovaná role Čtenář Log Analytics, například
Dotazování protokolů v tabulce	Microsoft.OperationalInsights/workspaces/query/<table>/read oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje integrovaná role Čtenář Log Analytics, například
Dotazování protokolů v tabulce (akce tabulky)	Microsoft.OperationalInsights/workspaces/tables/query/read oprávnění k pracovnímu prostoru služby Log Analytics, jak poskytuje integrovaná role Čtenář Log Analytics, například
Použití dotazů šifrovaných v účtu úložiště spravovaném zákazníkem	Microsoft.Storage/storageAccounts/* oprávnění k účtu úložiště, jak poskytuje předdefinovaná role Přispěvatel účtu úložiště, například

Na co myslet při implementaci

• Maximální počet aktivních pravidel v pracovním prostoru je 30.
• Souhrnná pravidla jsou aktuálně k dispozici pouze ve veřejném cloudu.
• Souhrnné pravidlo zpracovává příchozí data a nedá se nakonfigurovat v historickém časovém rozsahu.
• Při vyčerpání opakovaných pokusů o spuštění přihrádky se interval přeskočí a nejde ho znovu spustit.
• Dotazování pracovního prostoru služby Log Analytics v jiném tenantovi pomocí Lighthouse se nepodporuje.

Cenový model

Pro souhrnná pravidla nejsou žádné další náklady. Platíte pouze za dotaz a příjem výsledků do cílové tabulky na základě plánu tabulky zdrojové tabulky, na které dotaz spustíte:

Plán zdrojové tabulky	Náklady na dotaz	Souhrnné výsledky příjmu dat
Analýzy	Žádné náklady	Příjem analytických protokolů
Základní a pomocné	Prohledávání dat	Příjem analytických protokolů

Výpočet nákladů pro hodinové pravidlo, které vrací 100 záznamů na interval, je například:

Plán zdrojové tabulky	Výpočet měsíční ceny
Analýzy	Cena příjmu dat x objem záznamů x počet záznamů x 24 hodin x 30 dní.
Základní a pomocné	Cena skenování dat x skenovaný objem + cena příjmu x záznam objem x počet záznamů x 24 hodin x 30 dní. Pro nepřetržitě spuštěné pravidlo se kontrolují všechna příchozí data do zdrojové tabulky.

Další informace najdete v tématu o cenách služby Azure Monitor.

Vytvoření nebo aktualizace souhrnného pravidla

Operátory, které můžete použít v souhrnném pravidle, závisí na plánu zdrojové tabulky v dotazu.

• Analýza: Podporuje všechny operátory a funkce KQL s výjimkou:
  • Dotazy mezi prostředky, které používají workspaces()dotazy , app()a resource() výrazy a dotazy mezi službami, které používají ADX() výrazy a ARG() výrazy.
  • Moduly plug-in, které mění tvar schématu dat, včetně rozbalení tašky, úzkého a pivotu
• Základní: Podporuje všechny operátory KQL v jedné tabulce. Pomocí operátoru vyhledávání můžete spojit až pět tabulek Analytics.
• Funkce: Uživatelem definované funkce se nepodporují. Podporují se systémové funkce poskytované Microsoftem.

Souhrnná pravidla jsou nejužitevější z hlediska nákladů a dotazování, když se výrazně sníží počet výsledků nebo objem výsledků. Například zaměření na objem výsledků 0,01 % nebo méně než zdroj. Než vytvoříte pravidlo, experimentujte s dotazem v Log Analytics a ověřte, že dotaz nedosahuje limitů rozhraní API pro dotazy nebo se k němu blíží. Zkontrolujte, jestli dotaz generuje očekávané výsledky a schéma. Pokud se dotaz blíží limitům dotazů, zvažte použití menší velikosti přihrádky ke zpracování méně dat na interval. Dotaz můžete také upravit tak, aby vracel méně záznamů nebo polí s větším objemem.

Když aktualizujete dotaz a v souhrnných výsledcích je méně polí, Azure Monitor automaticky neodebere sloupce z cílové tabulky a potřebujete sloupce z tabulky odstranit ručně.

Rozhraní API

Pokud chcete vytvořit nebo aktualizovat souhrnné pravidlo, proveďte toto PUT volání rozhraní API:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Šablona Azure Resource Manageru

Pomocí této šablony můžete vytvořit nebo aktualizovat souhrnné pravidlo. Další informace o použití a nasazení šablon Azure Resource Manageru najdete v tématu Šablony Azure Resource Manageru.

Soubor šablony

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2023-01-01-preview",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

Soubor parametrů

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description."
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Tato tabulka popisuje parametry souhrnného pravidla:

Parametr	Platné hodnoty	Popis
ruleType	User nebo System	Určuje typ pravidla. - User: Pravidla, která definujete. - System: Předdefinovaná pravidla spravovaná službami Azure.
description	String	Popisuje pravidlo a jeho funkci. Tento parametr je užitečný, pokud máte několik pravidel a pomůže vám se správou pravidel.
binSize	20, 30, , 60, 120, 180, 360, , 720nebo 1440 (minuty)	Definuje interval agregace a časový rozsah zpětného vyhledávání. Pokud například nastavíte "binSize": 120, můžete získat položky pro 02:00 to 04:00 a 04:00 to 06:00.
query	Dotaz dotazovací jazyk Kusto (KQL)	Definuje dotaz, který se má spustit v pravidle. Nemusíte zadávat časový rozsah, protože binSize parametr určuje interval agregace , 02:00 to 03:00 například pokud "binSize": 60. Pokud do dotazu přidáte časový filtr, je časové omezení použité v dotazu průsečíkem mezi filtrem a velikostí přihrádky.
destinationTable	tablename_CL	Určuje název cílové vlastní tabulky protokolu. Hodnota názvu musí mít příponu _CL. Azure Monitor vytvoří tabulku v pracovním prostoru, pokud ještě neexistuje, na základě dotazu, který jste v pravidle nastavili. Pokud už tabulka v pracovním prostoru existuje, Azure Monitor přidá do dotazu všechny nové sloupce. Pokud souhrnné výsledky obsahují vyhrazený název sloupce, například TimeGenerated, _IsBillable, _ResourceId, TenantIdnebo Type – Azure Monitor připojí _Original předponu k původním polím, aby se zachovaly původní hodnoty.
binDelay (volitelné)	Celé číslo (minuty)	Nastaví dobu čekání před spuštěním přihrádky, což je obvykle užitečné při provádění na pozdních příchozích datech, označované také jako latence příjmu dat a umožňuje doručení většiny dat. Výchozí zpoždění je od tří a půl minuty do 10 % binSize hodnoty. Pokud víte, že data, která dotazujete, se obvykle ingestují se zpožděním, nastavte binDelay parametr se známou hodnotou zpoždění nebo vyšší až 1440 minut. Další informace najdete v tématu Konfigurace časování agregace. V některých případech může Azure Monitor zahájit spouštění přihrádek mírně po nastaveném zpoždění přihrádky, aby se zajistila spolehlivost služby a úspěch dotazů.
binStartTime (volitelné)	Datetime in %Y-%n-%eT%H:%M %Z formát	Určuje datum a čas počátečního spuštění přihrádky. Hodnota může začínat vytvořením pravidla datetime minus binSize hodnotu nebo později a v celých hodinách. Pokud je 2023-12-03T12:13Z například datetime a binSize je 1 440, je nejstarší platná binStartTime hodnota 2023-12-02T13:00Za agregace zahrnuje data zaprotokolovaná mezi 02T13:00 a 03T13:00. V tomto scénáři pravidla začínají agregovat hodnotu 03T13:00 a výchozí nebo zadanou prodlevu. Parametr binStartTime je užitečný ve scénářích denního souhrnu. Předpokládejme, že jste v časovém pásmu UTC-8 a vytvoříte denní pravidlo na 2023-12-03T12:13Zadrese . Chcete, aby se pravidlo dokončilo před zahájením dne v 8:00 (00:00 UTC). Nastavte parametr na binStartTime 2023-12-02T22:00Z. První agregace zahrnuje všechna data zaprotokolovaná mezi 02T:06:00 a 03T:06:00 místního času a pravidlo se spouští ve stejnou denní dobu. Další informace najdete v tématu Konfigurace časování agregace. Při aktualizaci pravidel můžete: - Použijte existující binStartTime hodnotu nebo odeberte binStartTime parametr, v takovém případě provádění pokračuje na základě počáteční definice. – Aktualizujte pravidlo novou binStartTime hodnotou, aby se nastavil nová hodnota data a času.
timeSelector (volitelné)	TimeGenerated	Definuje pole časového razítka, které Azure Monitor používá k agregaci dat. Pokud například nastavíte "binSize": 120, můžete získat položky s TimeGenerated hodnotou mezi 02:00 a 04:00.

Konfigurace časování agregace

Ve výchozím nastavení vytvoří souhrnné pravidlo první agregaci krátce po následující celé hodině.

Krátká prodleva Azure Monitoru přidává účty pro latenci příjmu dat nebo dobu mezi vytvořením dat v monitorovaném systému a časem, kdy je k dispozici pro analýzu ve službě Azure Monitor. Ve výchozím nastavení je toto zpoždění mezi třemi a půl minutou až 10 % hodnoty "velikost přihrádky" před agregací jednotlivých intervalů. Ve většině případů toto zpoždění zajišťuje, že Azure Monitor agreguje všechna data zaprotokolovaná během každého intervalu.

Příklad:

• Vytvoříte souhrnné pravidlo s velikostí intervalu 30 minut v 14:44.

  Pravidlo vytvoří první agregaci krátce po 15:00 – například v 15:04 – pro data zaprotokolovaná mezi 14:30 a 15:00.

• Vytvoříte souhrnné pravidlo s velikostí intervalu 720 minut (12 hodin) v 14:44.

  Pravidlo vytvoří první agregaci v rozmezí 16:12 až 72 minut (10 % z velikosti intervalu 720) po 13:00 – pro data zaprotokolovaná mezi 03:00 a 15:00.

binStartTime Pomocí parametrů binDelay můžete změnit časování první agregace a zpoždění, které Azure Monitor přidá před každou agregaci.

V dalších částech najdete příklady výchozího časování agregace a pokročilejších možností časování agregace.

Použít výchozí časování agregace

V tomto příkladu se souhrnné pravidlo vytvoří v 7. 6. 2023 v 14:44 a Azure Monitor přidá výchozí zpoždění čtyř minut.

binSize (minuty)	Počáteční spuštění pravidla	První agregace	Druhá agregace
1440	2023-06-07 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	2023-06-07 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	2023-06-07 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	2023-06-07 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
120	2023-06-07 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	2023-06-07 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	2023-06-07 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	2023-06-07 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Nastavení volitelných parametrů časování agregace

V tomto příkladu se souhrnné pravidlo vytvoří v 7. 6. 2023 v 14:44 a pravidlo obsahuje tato upřesňující nastavení konfigurace:

• binStartTime: 2023-06-08 07:00
• binDelay: 8 minut

binSize (minuty)	Počáteční spuštění pravidla	První agregace	Druhá agregace
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
120	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Zobrazit souhrnná pravidla

Pomocí tohoto GET volání rozhraní API můžete zobrazit konfiguraci konkrétního souhrnného pravidla:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

GET Toto volání rozhraní API slouží k zobrazení konfigurace pro zobrazení konfigurace všech souhrnných pravidel v pracovním prostoru služby Log Analytics:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Zastavení a restartování souhrnného pravidla

Pravidlo můžete zastavit po určitou dobu – například pokud chcete ověřit, že se data ingestují do tabulky a nechcete mít vliv na souhrnnou tabulku a sestavy. Když pravidlo restartujete, Azure Monitor začne zpracovávat data od příští hodiny nebo na základě definovaného binStartTime (volitelného) parametru.

K zastavení pravidla použijte toto POST volání rozhraní API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

K restartování pravidla použijte toto POST volání rozhraní API:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Odstranění souhrnného pravidla

V pracovním prostoru služby Log Analytics můžete mít až 30 aktivních souhrnných pravidel. Pokud chcete vytvořit nové pravidlo, ale už máte 30 aktivních pravidel, musíte aktivní pravidlo zastavit nebo odstranit.

K odstranění pravidla použijte toto DELETE volání rozhraní API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Monitorování souhrnných pravidel

Pokud chcete monitorovat souhrnná pravidla, povolte kategorii Souhrnné protokoly v nastavení diagnostiky pracovního prostoru služby Log Analytics. Azure Monitor odesílá podrobnosti o spuštění souhrnného pravidla, včetně informací o spuštění, úspěšném a neúspěšném spuštění souhrnného pravidla, do tabulky LASummaryLogs ve vašem pracovním prostoru.

Doporučujeme nastavit pravidla upozornění protokolu tak, aby dostávala oznámení o selhání přihrádek nebo když se blíží vypršení časového limitu při spuštění přihrádky, jak je znázorněno níže. V závislosti na důvodu selhání můžete zmenšit velikost přihrádky tak, aby zpracovávala méně dat při každém spuštění, nebo upravit dotaz tak, aby vracel méně záznamů nebo polí s větším objemem.

Tento dotaz vrátí neúspěšná spuštění:

LASummaryLogs | where Status == "Failed"

Tento dotaz vrátí intervaly, ve kterých QueryDurationMs je hodnota větší než 0,9 x 600 000 milisekund:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Ověření úplnosti dat

Souhrnná pravidla jsou navržená pro škálování a zahrnují mechanismus opakování pro překonání přechodných služeb nebo selhání dotazů souvisejících s limity dotazů, například. Mechanismus opakování provede 10 pokusů o agregaci neúspěšného intervalu během osmi hodin a při vyčerpání přeskočí interval. Pravidlo se nastaví na isActive: false a zadrží se po osmi po sobě jdoucích opakováních přihrádek. Pokud povolíte pravidla souhrnu monitorování, Azure Monitor zaznamená událost v LASummaryLogs tabulce ve vašem pracovním prostoru.

Neúspěšné spuštění přihrádky nejde spustit znovu, ale k zobrazení neúspěšných spuštění můžete použít následující dotaz:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Tento dotaz vykreslí výsledky jako časový diagram:

V části Pravidla souhrnu monitorování najdete možnosti nápravy pravidel a proaktivní upozornění.

Šifrování dotazů na souhrnné pravidlo pomocí klíčů spravovaných zákazníkem

Dotaz KQL může obsahovat citlivé informace v komentářích nebo v syntaxi dotazu. Pokud chcete šifrovat dotazy na souhrnné pravidlo, propojte účet úložiště s pracovním prostorem služby Log Analytics a použijte klíče spravované zákazníkem.

Důležité informace při práci s šifrovanými dotazy:

• Propojením účtu úložiště za účelem šifrování dotazů nedojde k přerušení stávajících pravidel.
• Azure Monitor ve výchozím nastavení ukládá dotazy na souhrnné pravidlo v úložišti Log Analytics. Pokud máte existující souhrnná pravidla před propojením účtu úložiště s pracovním prostorem služby Log Analytics, aktualizujte souhrnná pravidla tak, aby dotazy ukládaly existující dotazy do účtu úložiště.
• Dotazy, které uložíte do účtu úložiště, se nacházejí v CustomerConfigurationStoreTable tabulce. Tyto dotazy se považují za artefakty služby a jejich formát se může změnit.
• Stejný účet úložiště můžete použít pro dotazy na souhrnné pravidlo, uložené dotazy v Log Analytics a upozornění protokolu.

Řešení potíží se souhrnnými pravidly

Tato část obsahuje tipy pro řešení potíží se souhrnnými pravidly.

Cílová tabulka souhrnného pravidla se omylem odstranila.

Pokud odstraníte cílovou tabulku, zatímco je souhrnné pravidlo aktivní, pravidlo se pozastaví a Azure Monitor odešle do LASummaryLogs tabulky událost se zprávou, že pravidlo bylo pozastaveno.

Pokud nepotřebujete souhrnné výsledky v cílové tabulce, odstraňte pravidlo a tabulku. Pokud potřebujete obnovit souhrnné výsledky, znovu vytvořte tabulku podle kroků v části Vytvoření nebo aktualizace souhrnných pravidel. Cílová tabulka se obnoví, včetně přijatých dat před odstraněním v závislosti na zásadách uchovávání informací v tabulce.

Pokud nepotřebujete souhrnné výsledky v cílové tabulce, odstraňte pravidlo a tabulku. Pokud potřebujete souhrnné výsledky, podle kroků v části Vytvořit nebo aktualizovat souhrnná pravidla znovu vytvořte cílovou tabulku a obnovte všechna data včetně přijatých dat před odstraněním v závislosti na zásadách uchovávání informací v tabulce.

Dotaz používá operátory, které vytvářejí nové sloupce v cílové tabulce.

Schéma cílové tabulky je definováno při vytváření nebo aktualizaci souhrnného pravidla. Pokud dotaz v pravidle souhrnu obsahuje operátory, které umožňují rozšíření výstupního schématu na základě příchozích dat – například pokud dotaz používá arg_max(expression, *) funkci – Azure Monitor po vytvoření nebo aktualizaci souhrnného pravidla nepřidá do cílové tabulky nové sloupce a výstupní data, která vyžadují tyto sloupce, se zahodí. Pokud chcete do cílové tabulky přidat nová pole, aktualizujte souhrnné pravidlo nebo přidejte sloupec do tabulky ručně.

Data v odebraných sloupcích zůstanou v pracovním prostoru na základě nastavení uchovávání informací v tabulce.

Když odeberete pole v dotazu, sloupce a data zůstanou v cíli a na základě doby uchovávání definované v tabulce nebo pracovním prostoru. Pokud nepotřebujete odebrání v cílové tabulce, odstraňte sloupce ze schématu tabulky. Pokud pak přidáte sloupce se stejným názvem, všechna data, která nejsou starší, se znovu zobrazí doba uchovávání.

Související obsah

• Přečtěte si další informace o datových plánech protokolů služby Azure Monitor.
• Projděte si kurz použití režimu KQL v Log Analytics.
• Získejte přístup k úplné referenční dokumentaci pro KQL.