Aggregieren von Daten in einem Log Analytics-Arbeitsbereich mit Hilfe von Zusammenfassungsregeln (Preview)
Mit einer Zusammenfassungsregel können Sie Protokolldaten in regelmäßigen Abständen aggregieren und die aggregierten Ergebnisse an eine benutzerdefinierte Protokolltabelle in Ihrem Log Analytics-Arbeitsbereich senden. Verwenden Sie Zusammenfassungsregeln, um Ihre Daten für Folgendes zu optimieren:
Analyse und Berichte, insbesondere über große Datensätze und Zeiträume, wie sie für Sicherheits- und Incident-Analysen, monatliche oder jährliche Geschäftsberichte usw. benötigt werden. Komplexe Abfragen auf ein großes Dataset führen häufig zu Zeitüberschreitungen. Es ist einfacher und effizienter, bereinigte und aggregierte zusammengefasste Daten zu analysieren und darüber zu berichten.
Kosteneinsparungen bei ausführlichen Protokollen, die Sie so lange oder so wenig wie nötig in einer günstigen Basic-Protokolltabelle aufbewahren und zusammengefasste Daten für Analysen und Berichte an eine Analysetabelle senden können.
Sicherheit und Datenschutz durch Entfernen oder Verschleiern von Datenschutzdetails in zusammengefassten, gemeinsam nutzbaren Daten und Einschränkung des Zugriffs auf Tabellen mit Rohdaten.
In diesem Artikel wird beschrieben, wie Zusammenfassungsregeln funktionieren und wie Sie Zusammenfassungsregeln definieren und anzeigen können. Außerdem finden Sie einige Beispiele für die Verwendung und die Vorteile von Zusammenfassungsregeln.
Dieses Video zeigt einen Überblick über einige Vorteile von Zusammenfassungsregeln:
Funktionsweise von Zusammenfassungsregeln
Zusammenfassungsregeln führen Batchverarbeitung direkt in Ihrem Log Analytics-Arbeitsbereich durch. In der Zusammenfassungsregel werden Datenblöcke aggregiert, die anhand einer KQL-Abfrage definiert sind, und die zusammengefassten Ergebnisse in einer benutzerdefinierten Tabelle mit einem Analyseprotokollplan in Ihrem Log Analytics-Arbeitsbereich erfasst.
Sie können Daten aus einer beliebigen Tabelle aggregieren, unabhängig davon, ob die Tabelle über einen Analyse- oder Basisdatentarif verfügt. Azure Monitor erstellt das Zieltabellenschema basierend auf der von Ihnen definierten Abfrage. Wenn die Zieltabelle bereits vorhanden ist, fügt Azure Monitor alle Spalten an, die für die Abfrageergebnisse erforderlich sind. Alle Zieltabellen enthalten auch eine Reihe von Standardfeldern mit Informationen zu Zusammenfassungsregeln, einschließlich:
_RuleName
: Die Zusammenfassungsregel, die den aggregierten Protokolleintrag generiert hat._RuleLastModifiedTime
: Der Zeitpunkt der letzten Änderung der Regel._BinSize
: Das Aggregationsintervall._BinStartTime
: Die Startzeit der Aggregation.
Sie können bis zu 30 aktive Regeln konfigurieren, um Daten aus mehreren Tabellen zu aggregieren und die aggregierten Daten an separate Zieltabellen oder dieselbe Tabelle zu senden.
Sie können zusammengefasste Daten aus einer benutzerdefinierten Protokolltabelle in ein Speicherkonto oder Event Hubs exportieren, um weitere Integrationen zu ermöglichen, indem Sie eine Datenexportregel definieren.
Beispiel: Zusammenfassen von ContainerLogsV2-Daten
Wenn Sie Container überwachen, erfassen Sie eine große Menge ausführlicher Protokolle in der Tabelle ContainerLogsV2
.
Sie könnten diese Abfrage in Ihrer Zusammenfassungsregel verwenden, um alle eindeutigen Protokolleinträge innerhalb von 60 Minuten zu aggregieren, wobei Sie die Daten behalten, die für die Analyse nützlich sind, und die Daten weglassen, die Sie nicht benötigen:
ContainerLogV2 | summarize Count = count() by Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)
Dies sind die Rohdaten in der Tabelle ContainerLogsV2
:
Hier sind die aggregierten Daten, die die Zusammenfassungsregel an die Zieltabelle sendet:
Anstatt Hunderte ähnlicher Einträge innerhalb einer Stunde zu protokollieren, zeigt die Zieltabelle die Anzahl der einzelnen eindeutigen Einträge an, wie in der KQL-Abfrage definiert. Legen Sie den Basisdatentarif für die Tabelle ContainerLogsV2
für die günstige Aufbewahrung der Rohdaten fest, und verwenden Sie die zusammengefassten Daten in der Zieltabelle für Ihre Analyseanforderungen.
Erforderliche Berechtigungen
Aktion | Erforderliche Berechtigungen |
---|---|
Erstellen oder Aktualisieren der Zusammenfassungsregel | Microsoft.Operationalinsights/workspaces/summarylogs/write -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden |
Erstellen oder Aktualisieren der Zieltabelle | Microsoft.OperationalInsights/workspaces/tables/write -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden |
Aktivieren des Abfragevorgangs im Arbeitsbereich | Microsoft.OperationalInsights/workspaces/query/read -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden |
Abfragen aller Tabellen im Arbeitsbereich | Microsoft.OperationalInsights/workspaces/query/*/read -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden |
Abfrageprotokolle in einer Tabelle | Microsoft.OperationalInsights/workspaces/query/<table>/read -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden |
Abfrageprotokolle in einer Tabelle (Tabellenaktion) | Microsoft.OperationalInsights/workspaces/tables/query/read -Berechtigungen für den Log Analytics-Arbeitsbereich, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden |
Verwenden von Abfragen, die in einem kundenseitig verwalteten Speicherkonto verschlüsselt sind | Microsoft.Storage/storageAccounts/* -Berechtigungen für das Speicherkonto, wie von der integrierten Rolle Speicherkontomitwirkende bereitgestellt, z. B. |
Überlegungen zur Implementierung
- Die maximale Anzahl aktiver Regeln in einem Arbeitsbereich beträgt 30.
- Zusammenfassungsregeln sind derzeit nur in der öffentlichen Cloud verfügbar.
- Die Zusammenfassungsregel verarbeitet eingehende Daten und kann nicht für einen historischen Zeitraum konfiguriert werden.
- Wenn die Wiederholungsversuche für die Intervallausführung aufgebraucht sind, wird die Intervallausführung übersprungen und kann nicht erneut ausgeführt werden.
- Die Abfrage eines Log Analytics-Arbeitsbereichs in einem anderen Mandanten mit Lighthouse wird nicht unterstützt.
Preismodell
Für Zusammenfassungsregeln entstehen keine zusätzlichen Kosten. Sie zahlen nur für die Abfrage und die Erfassung von Ergebnissen in der Zieltabelle, basierend auf dem Tabellenplan der Quelltabelle, auf der Sie die Abfrage ausführen:
Quelltabellentarif | Abfragekosten | Kosten für die Erfassung der Sammelergebnisse |
---|---|---|
Analyse | Kostenlos | Erfassung von Analyseprotokollen |
Basic- und Hilfspläne | Datenscan | Erfassung von Analyseprotokollen |
Beispielsweise wäre die Kostenberechnung für eine stündlich ausgeführte Regel, die pro Intervall 100 Datensätze zurückgibt, wie folgt:
Quelltabellentarif | Monatliche Preisberechnung |
---|---|
Analyse | Preis für die Erfassung x Datensatzvolumen x Anzahl der Erfassungen x 24 Stunden x 30 Tage. |
Basic- und Hilfspläne | Preis für Datenscan x gescanntes Volumen + Preis für die Erfassung x Datensatzvolumen x Anzahl von Datensätzen x 24 Stunden x 30 Tage Bei einer kontinuierlich laufenden Regel werden alle eingehenden Daten in der Quelltabelle gescannt. |
Weitere Informationen finden Sie unter Azure Monitor-Preise.
Erstellen oder Aktualisieren einer Zusammenfassungsregel
Die Operatoren, die Sie in der Zusammenfassungsregel verwenden können, hängen vom Plan der Quelltabelle in der Abfrage ab.
- Analyse: Unterstützt alle KQL-Operatoren und -Funktionen, mit Ausnahme von:
- Ressourcenübergreifende Abfragen, die die Ausdrücke
workspaces()
,app()
undresource()
verwenden, sowie dienstübergreifende Abfragen die die AusdrückeADX()
undARG()
verwenden. - Plug-Ins, die das Datenschema neu gestalten, einschließlich bag unpack, narrowund pivot.
- Ressourcenübergreifende Abfragen, die die Ausdrücke
- Basic: Unterstützt alle KQL-Operatoren in einer einzelnen Tabelle. Sie können bis zu fünf Analysetabellen mithilfe des Operators Lookup verknüpfen.
- Funktionen: Benutzerdefinierte Funktionen werden nicht unterstützt. Systemfunktionen, die von Microsoft bereitgestellt werden, werden unterstützt.
Zusammenfassungsregeln sind in Bezug auf Kosten und Abfrageerfahrungen am vorteilhaftesten, wenn Ergebnisse zählen oder das Volumen erheblich reduziert wird. Zum Beispiel, wenn Sie Ergebnisse mit einem Volumen von 0,01 % oder weniger als die Quelle anstreben. Bevor Sie eine Regel erstellen, führen Sie eine experimentelle Abfrage in Log Analytics durch und stellen Sie sicher, dass die Abfrage die Abfrage-API-Grenzen nicht erreicht oder sich diesen nähert. Überprüfen Sie, ob die Abfrage die beabsichtigten erwarteten Ergebnisse und das beabsichtigte Schema liefert. Wenn die Abfrage nahe an den Abfragelimits liegt, sollten Sie eine kleinere „Bin-Größe“ verwenden, um weniger Daten pro Bin zu verarbeiten. Sie können die Abfrage auch so ändern, dass weniger Datensätze oder Felder mit höherem Volumen zurückgegeben werden.
Wenn Sie eine Abfrage aktualisieren und die Zusammenfassungsergebnisse weniger Felder enthalten, entfernt Azure Monitor die Spalten nicht automatisch aus der Zieltabelle, sondern Sie müssen Spalten manuell aus der Tabelle löschen.
Um eine Zusammenfassungsregel zu erstellen oder zu aktualisieren, führen Sie diesen PUT
API-Aufruf aus:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
In dieser Tabelle werden die Parameter der Zusammenfassungsregel beschrieben:
Parameter | Gültige Werte | Beschreibung |
---|---|---|
ruleType |
User oder System |
Gibt den Typ der Regel an. - User : Regeln, die Sie definieren. - System : Vordefinierte Regeln, die von Azure-Diensten verwaltet werden. |
description |
String | Beschreibt die Regel und ihre Funktion. Dieser Parameter ist hilfreich, wenn Sie über mehrere Regeln verfügen und bei der Regelverwaltung helfen können. |
binSize |
20 , 30 , 60 , 120 , 180 , 360 , 720 oder 1440 (Minuten) |
Definiert das Aggregationsintervall und den Nachschlagezeitbereich. Wenn Sie z. B. "binSize": 120 festlegen, erhalten Sie möglicherweise Einträge für 02:00 to 04:00 und 04:00 to 06:00 . |
query |
Kusto Query Language (KQL)-Abfrage | Definiert die Abfrage, die in der Regel ausgeführt werden soll. Sie müssen keinen Zeitraum angeben, da der Parameter binSize das Aggregationsintervall bestimmt, z. B. 02:00 to 03:00 wenn "binSize": 60 . Wenn Sie in der Abfrage einen Zeitfilter hinzufügen, ist der in der Abfrage verwendete Zeitraum die Schnittmenge zwischen dem Filter und der Containergröße. |
destinationTable |
tablename_CL |
Gibt den Namen der benutzerdefinierten Zielprotokolltabelle an. Der Namenswert muss das Suffix _CL aufweisen. Azure Monitor erstellt die Tabelle im Arbeitsbereich, sofern sie noch nicht vorhanden ist, basierend auf der Abfrage, die Sie in der Regel festgelegt haben. Wenn die Tabelle bereits im Arbeitsbereich vorhanden ist, fügt Azure Monitor alle neuen Spalten hinzu, die in der Abfrage eingeführt wurden. Wenn die Zusammenfassungsergebnisse einen reservierten Spaltennamen enthalten, z. B. TimeGenerated , _IsBillable , _ResourceId , TenantId oder Type , fügt Azure Monitor das Präfix _Original an die ursprünglichen Felder an, um ihre ursprünglichen Werte beizubehalten. |
binDelay (optional) |
Integer (Minuten) | Damit wird eine Zeit festgelegt, auch als Erfassungslatenz bezeichnet, die vor der Intervallausführung gewartet werden soll. Dies ist in der Regel bei verspätet eingehenden Daten nützlich und ermöglicht, dass möglichst viele Daten eintreffen. Die Standardverzögerung liegt zwischen dreieinhalb Minuten und 10 % des Werts binSize . Wenn Sie wissen, dass die von Ihnen abgefragten Daten in der Regel mit Verzögerung erfasst werden, legen Sie den Parameter binDelay auf den bekannten Verzögerungswert oder höher fest – bis zu 1.440 Minuten. Weitere Informationen finden Sie unter Konfigurieren des Aggregatortimings.In einigen Fällen kann Azure Monitor die Intervallausführung geringfügig nach der Verschiebung des Intervalls starten, um die Zuverlässigkeit und den Erfolg der Abfrage sicherzustellen. |
binStartTime (optional) |
Datetime in%Y-%n-%eT%H:%M %Z -Format |
Gibt das Datum und die Uhrzeit der ersten Intervallausführung an. Der Wert kann mit der Erstellungsdatum der Regel beginnen, abzüglich des Werts binSize oder später und in ganzen Stunden. Wenn beispielsweise „datetime“ 2023-12-03T12:13Z und binSize 1.440 ist, lautet der früheste gültige binStartTime -Wert 2023-12-02T13:00Z , und die Aggregation enthält Daten, die zwischen 02T13:00 und 03T13:00 protokolliert werden. In diesem Szenario beginnen die Regeln mit der Aggregation eines 03T13:00 plus der Standard- oder angegebenen Verzögerung. Der Parameter binStartTime ist in täglich ausgeführten Zusammenfassungsszenarien nützlich. Angenommen, Sie befinden sich in der Zeitzone UTC-8 und erstellen eine tägliche Regel um 2023-12-03T12:13Z . Sie möchten, dass die Regel abgeschlossen werden soll, bevor Sie Ihren Tag um 8:00 Uhr (00:00 UTC) beginnen. Setzen Sie den binStartTime -Parameter auf 2023-12-02T22:00Z . Die erste Aggregation umfasst alle Daten, die zwischen 02T:06:00 und 03T:06:00 Ortszeit aufgezeichnet wurden, und die Regel läuft täglich zur gleichen Zeit. Weitere Informationen finden Sie unter Konfigurieren des Aggregatortimings.Wenn Sie Regeln aktualisieren, können Sie eine der folgenden Aktionen ausführen: – Verwenden Sie den vorhandenen Wert binStartTime oder entfernen Sie den Parameter binStartTime . In diesem Fall wird die Ausführung auf der Grundlage der ursprünglichen Definition fortgesetzt.– Aktualisieren Sie die Regel mit einem neuen binStartTime -Wert, um einen neuen Datetime-Wert festzulegen. |
timeSelector (optional) |
TimeGenerated |
Definiert das Zeitstempelfeld, das Azure Monitor zum Aggregieren von Daten verwendet. Wenn Sie beispielsweise "binSize": 120 festlegen, können Sie Einträge mit einem TimeGenerated -Wert zwischen 02:00 und 04:00 erhalten. |
Konfigurieren des Aggregationszeitpunkts
Standardmäßig erstellt die Zusammenfassungsregel die erste Aggregation kurz nach der nächsten vollen Stunde.
Die kurze Verzögerung, die Azure Monitor hinzufügt, berücksichtigt die Erfassungslatenz – oder die Zeit zwischen dem Zeitpunkt, an dem die Daten im überwachten System erstellt werden, und dem Zeitpunkt, an dem sie für die Analyse in Azure Monitor verfügbar sind. Standardmäßig liegt diese Verzögerung zwischen dreieinhalb Minuten und 10 % des Werts „Bin-Größe“, bevor die einzelnen Bins zusammengefasst werden. In den meisten Fällen stellt diese Verzögerung sicher, dass Azure Monitor alle innerhalb jedes Intervallzeitraums protokollierten Daten aggregiert.
Zum Beispiel:
Sie erstellen eine Zusammenfassungsregel mit einer Containergröße von 30 Minuten bei 14:44.
Die Regel erstellt die erste Aggregation kurz nach 15:00 Uhr – z. B. um 15:04 Uhr – für Daten, die zwischen 14:30 Uhr und 15:00 Uhr protokolliert wurden.
Sie erstellen eine Zusammenfassungsregel mit einer Länge von 720 Minuten (12 Stunden) um 14:44 Uhr.
Die Regel erstellt die erste Aggregation bei 16:12 Uhr – 72 Minuten (10 % der Größe von 720 Intervallen) nach 13:00 Uhr – für Daten, die zwischen 03:00 Uhr und 15:00 Uhr protokolliert werden.
Verwenden Sie die Parameter binStartTime
und binDelay
, um die Anzeigedauer der ersten Aggregation und die Verzögerung, die Azure Monitor vor jeder Aggregation hinzufügt, zu ändern.
Die nächsten Abschnitte enthalten Beispiele für die Standardaggregationszeit und die erweiterten Aggregationsanzeigeoptionen.
Verwenden der standardmäßigen Aggregationszeit
In diesem Beispiel wird die Zusammenfassungsregel am 07.06.2023 um 14:44 Uhr (2023-06-07 14:44) erstellt, und Azure Monitor fügt eine Standardverzögerung von vier Minuten hinzu.
binSize (Minuten) | Anfängliche Regelausführung | Erste Aggregation | Zweite Aggregation |
---|---|---|---|
1440 | 2023-06-07 15:04 | 2023-06-06 15:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-08 15:00 |
720 | 2023-06-07 15:04 | 2023-06-07 03:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-08 03:00 |
360 | 2023-06-07 15:04 | 2023-06-07 09:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 21:00 |
180 | 2023-06-07 15:04 | 2023-06-07 12:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 18:00 |
120 | 2023-06-07 15:04 | 2023-06-07 13:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 17:00 |
60 | 2023-06-07 15:04 | 2023-06-07 14:00–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 16:00 |
30 | 2023-06-07 15:04 | 2023-06-07 14:30–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 15:30 |
20 | 2023-06-07 15:04 | 2023-06-07 14:40–2023-06-07 15:00 | 2023-06-07 15:00–2023-06-07 15:20 |
Festlegen optionaler Aggregationszeitparameter
In diesem Beispiel wird die Zusammenfassungsregel am 07.06.2023 um 14:44 Uhr (2023-06-07 14:44) erstellt, und die Regel enthält diese erweiterten Konfigurationseinstellungen:
binStartTime
: 2023-06-08 07:00binDelay
: 8 Minuten
binSize (Minuten) | Anfängliche Regelausführung | Erste Aggregation | Zweite Aggregation |
---|---|---|---|
1440 | 2023-06-09 07:08 | 2023-06-08 07:00–2023-06-09 07:00 | 2023-06-09 07:00–2023-06-10 07:00 |
720 | 2023-06-08 19:08 | 2023-06-08 07:00–2023-06-08 19:00 | 2023-06-08 19:00–2023-06-09 07:00 |
360 | 2023-06-08 13:08 | 2023-06-08 07:00–2023-06-08 13:00 | 2023-06-08 13:00–2023-06-08 19:00 |
180 | 2023-06-08 10:08 | 2023-06-08 07:00–2023-06-08 10:00 | 2023-06-08 10:00–2023-06-08 13:00 |
120 | 2023-06-08 09:08 | 2023-06-08 07:00–2023-06-08 09:00 | 2023-06-08 09:00–2023-06-08 11:00 |
60 | 2023-06-08 08:08 | 2023-06-08 07:00–2023-06-08 08:00 | 2023-06-08 08:00–2023-06-08 09:00 |
30 | 2023-06-08 07:38 | 2023-06-08 07:00–2023-06-08 07:30 | 2023-06-08 07:30–2023-06-08 08:00 |
20 | 2023-06-08 07:28 | 2023-06-08 07:00–2023-06-08 07:20 | 2023-06-08 07:20–2023-06-08 07:40 |
Zusammenfassungsregeln anzeigen
Verwenden Sie diesen GET
API-Aufruf, um die Konfiguration für eine bestimmte Zusammenfassungsregel anzuzeigen:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Verwenden Sie diesen GET
API-Aufruf, um die Konfiguration aller Zusammenfassungsregeln in Ihrem Log Analytics-Arbeitsbereich anzuzeigen:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Beenden und erneutes Starten einer Zusammenfassungsregel
Sie können eine Regel für einen bestimmten Zeitraum anhalten – zum Beispiel, wenn Sie überprüfen möchten, ob Daten in eine Tabelle aufgenommen wurden und Sie die zusammengefasste Tabelle und die Berichte nicht beeinträchtigen möchten. Wenn Sie die Regel neu starten, beginnt Azure Monitor mit der Verarbeitung von Daten ab der nächsten vollen Stunde oder basierend auf dem definierten (optionalen) Parameter binStartTime
.
Verwenden Sie diesen POST
API-Aufruf, um eine Regel zu beenden:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
Verwenden Sie diesen POST
API-Aufruf, um die Regel neu zu starten:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Löschen einer Zusammenfassungsregel
In Ihrem Log Analytics-Arbeitsbereich können bis zu 30 aktive Zusammenfassungsregeln vorhanden sein. Wenn Sie eine neue Regel erstellen möchten, aber bereits über 30 aktive Regeln verfügen, müssen Sie eine aktive Zusammenfassungsregel beenden oder löschen.
Verwenden Sie diesen DELETE
API-Aufruf, um eine Regel zu löschen:
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
Überwachen von Zusammenfassungsregeln
Um Zusammenfassungsregeln zu überwachen, aktivieren Sie die Kategorie Zusammenfassungsprotokolle in den Diagnoseeinstellungen Ihres Log Analytics-Arbeitsbereichs. Azure Monitor sendet Ausführungsdetails zu Zusammenfassungsregeln, einschließlich der Informationen „Ausführung der Zusammenfassungsregel gestartet“, „erfolgreich“ und „fehlgeschlagen“ an die Tabelle LASummaryLogs in Ihrem Arbeitsbereich.
Sie sollten, Protokollwarnungsregeln einrichten, um Benachrichtigungen über Intervallfehler zu erhalten, oder wenn die Intervallausführung kurz vor dem Timeout steht, wie unten gezeigt. Je nach Fehlergrund können Sie entweder die Größe des Intervalls reduzieren, um weniger Daten für jede Ausführung zu verarbeiten, oder die Abfrage so ändern, dass weniger Datensätze oder Felder mit höherem Volume zurückgegeben werden.
Diese Abfrage gibt fehlgeschlagene Ausführungen zurück:
LASummaryLogs | where Status == "Failed"
Diese Abfrage gibt Intervallausführungen zurück, bei der der Wert QueryDurationMs
größer als 0,9 x 600.000 Millisekunden ist:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Überprüfen der Vollständigkeit der Daten
Zusammenfassungsregeln sind für die Skalierung konzipiert und enthalten einen Wiederholungsmechanismus, um beispielsweise vorübergehende Dienst- oder Abfragefehler im Zusammenhang mit Abfragegrenzwerten zu überwinden. Der Wiederholungsmechanismus macht 10 Versuche, ein fehlgeschlagenes Intervall innerhalb von acht Stunden zu aggregieren, und überspringt ein Intervall, wenn er ausgelastet ist. Die Regel wird auf isActive: false
gesetzt und nach acht aufeinanderfolgenden Intervall-Wiederholungsversuchen pausiert. Wenn Sie Zusammenfassungsregeln überwachen aktivieren, protokolliert Azure Monitor ein Ereignis in der Tabelle LASummaryLogs
in Ihrem Arbeitsbereich.
Sie können einen fehlgeschlagenen Intervallvorgang nicht erneut ausführen, aber Sie können die folgende Abfrage verwenden, um fehlgeschlagene Ausführungen anzuzeigen:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
Diese Abfrage rendert die Ergebnisse als Zeitdiagramm:
Informationen zu Regelkorrekturoptionen und proaktiven Warnungen finden Sie im Abschnitt Zusammenfassungsregeln überwachen.
Verschlüsseln von Zusammenfassungsregelabfragen mithilfe von kundenseitig verwalteten Schlüsseln
Eine KQL-Abfrage kann in Kommentaren oder in der Abfragesyntax vertrauliche Informationen enthalten. Um Zusammenfassungsregelabfragen zu verschlüsseln, verknüpfen Sie ein Speicherkonto mit Ihrem Log Analytics-Arbeitsbereich, und verwenden Sie kundenseitig verwaltete Schlüssel.
Überlegungen beim Arbeiten mit verschlüsselten Abfragen:
- Das Verknüpfen eines Speicherkontos zum Verschlüsseln Ihrer Abfragen unterbricht vorhandene Regeln nicht.
- Standardmäßig speichert Azure Monitor Zusammenfassungsregelabfragen im Log Analytics-Speicher. Wenn Sie bereits über Zusammenfassungsregeln verfügen, bevor Sie ein Speicherkonto mit Ihrem Log Analytics-Arbeitsbereich verknüpfen, aktualisieren Sie Ihre Zusammenfassungsregeln, sodass die Abfragen die vorhandenen Abfragen im Speicherkonto speichern.
- Abfragen, die Sie in einem Speicherkonto speichern, befinden sich in der Tabelle
CustomerConfigurationStoreTable
. Diese Abfragen gelten als Dienstartefakte, und ihr Format kann sich ändern. - Sie können dasselbe Speicherkonto für Zusammenfassungsregelabfragen, gespeicherte Abfragen in Log Analytics und Protokollbenachrichtigungen verwenden.
Problembehandlung für Zusammenfassungsregeln
Dieser Abschnitt enthält Tipps für die Problembehandlung von Zusammenfassungsregeln.
Die Zieltabelle für Zusammenfassungsregeln wurde versehentlich gelöscht
Wenn Sie die Zieltabelle löschen, während die Zusammenfassungsregel aktiv ist, wird die Regel angehalten, und Azure Monitor sendet ein Ereignis an die Tabelle LASummaryLogs
mit einer Meldung, die angibt, dass die Regel angehalten wurde.
Wenn Sie die Zusammenfassungsergebnisse nicht in der Zieltabelle benötigen, löschen Sie die Regel und die Tabelle. Wenn Sie Zusammenfassungsergebnisse wiederherstellen müssen, führen Sie die Schritte im Abschnitt „Erstellen oder Aktualisieren von Zusammenfassungsregeln“ aus, um die Tabelle neu zu erstellen. Die Zieltabelle wird abhängig von der Aufbewahrungsrichtlinie in der Tabelle wiederhergestellt, einschließlich der vor dem Löschen aufgenommenen Daten.
Wenn Sie die Zusammenfassungsergebnisse nicht in der Zieltabelle benötigen, löschen Sie die Regel und die Tabelle. Wenn Sie die Zusammenfassungsergebnisse benötigen, führen Sie die Schritte im Abschnitt Erstellen oder Aktualisieren von Zusammenfassungsregeln aus, um die Zieltabelle abhängig von der Aufbewahrungsrichtlinie in der Tabelle neu zu erstellen und alle Daten wiederherzustellen, einschließlich der vor dem Löschen erfassten Daten.
Die Abfrage verwendet Operatoren, die neue Spalten in der Zieltabelle erstellen
Das Schema der Zieltabelle wird definiert, wenn Sie eine Zusammenfassungsregel erstellen oder aktualisieren. Wenn die Abfrage in der Zusammenfassungsregel Operatoren enthält, die eine Erweiterung des Ausgabeschemas auf der Grundlage der eingehenden Daten ermöglichen – wenn die Abfrage z. B. die Funktion arg_max(expression, *)
verwendet – fügt Azure Monitor der Zieltabelle keine neuen Spalten hinzu, nachdem Sie die Zusammenfassungsregel erstellt oder aktualisiert haben, und die Ausgabedaten, die diese Spalten erfordern, werden gelöscht. Um die neuen Felder zur Zieltabelle hinzuzufügen, aktualisieren Sie die Zusammenfassungsregel oder fügen Sie manuell eine Spalte zu Ihrer Tabelle hinzu.
Daten in entfernten Spalten verbleiben basierend auf den Aufbewahrungseinstellungen der Tabelle im Arbeitsbereich.
Wenn Sie ein Feld aus der Abfrage entfernen, verbleiben die Spalten und Daten basieren auf dem in der Tabelle oder dem Arbeitsbereich definierten Aufbewahrungszeitraum im Ziel. Wenn Sie die entfernte Zieltabelle nicht benötigen, löschen Sie die Spalten aus dem Tabellenschema. Wenn Sie dann Spalten mit demselben Namen hinzufügen, werden alle Daten, die nicht älter als der Aufbewahrungszeitraum sind, erneut angezeigt.
Zugehöriger Inhalt
- Weitere Informationen zu Azure Monitor-Protokoll-Datentarifen.
- Exemplarische Vorgehensweise für ein Tutorial zur Verwendung des KQL-Modus in Log Analytics
- Greifen Sie auf die vollständige Referenzdokumentation für KQL zu.