Agregue datos en un área de trabajo de Log Analytics mediante reglas de resumen (versión preliminar)
Una regla de resumen permite agregar datos de registro a una cadencia regular y enviar los resultados agregados a una tabla de registro personalizada en el área de trabajo de Log Analytics. Use reglas de resumen para optimizar los datos para:
Análisis e informes, especialmente sobre grandes conjuntos de datos y intervalos de tiempo, según sea necesario para el análisis de seguridad e incidentes, informes empresariales mensuales o anuales, etc. Las consultas complejas en un conjunto de datos de gran tamaño suelen agotar el tiempo de espera. Es más fácil y eficaz analizar e informar sobre los datos resumidos limpios y agregados.
Ahorro de costos en registros detallados, que puede conservar durante tan poco o siempre que necesite en una tabla de registro básica barata y enviar datos resumidos a una tabla de Análisis para análisis e informes.
Seguridad y privacidad de datos mediante la eliminación o ofuscación de los detalles de privacidad en los datos que se pueden compartir resumidos y limitando el acceso a las tablas con datos sin procesar.
En este artículo se describe cómo funcionan las reglas de resumen y cómo definir y ver las reglas de resumen, y se proporcionan algunos ejemplos del uso y las ventajas de las reglas de resumen.
Este es un vídeo que proporciona información general sobre algunas de las ventajas de las reglas de resumen:
Funcionamiento de las reglas de resumen
Las reglas de resumen realizan el procesamiento por lotes directamente en el área de trabajo de Log Analytics. La regla de resumen agrega fragmentos de datos, definidos por tamaño de rango, en función de una consulta KQL y vuelve a analizar los resultados resumidos en una tabla personalizada con un Plan de registro de Analytics en el área de trabajo de Log Analytics.
Puede agregar datos de cualquier tabla, independientemente de si la tabla tiene un Plan de datos de Análisis o Básico. Azure Monitor crea el esquema de tabla de destino en función de la consulta que defina. Si la tabla de destino ya existe, Azure Monitor anexa las columnas necesarias para admitir los resultados de la consulta. Todas las tablas de destino también incluyen un conjunto de campos estándar con información de regla de resumen, entre las que se incluyen:
_RuleName
: regla de resumen que generó la entrada de registro agregada._RuleLastModifiedTime
: cuando se modificó por última vez la regla._BinSize
: intervalo de agregación._BinStartTime
: hora de inicio de la agregación.
Puede configurar hasta 30 reglas activas para agregar datos de varias tablas y enviar los datos agregados a tablas de destino independientes o a la misma tabla.
Puede exportar datos resumidos de una tabla de registro personalizada a una cuenta de almacenamiento o Event Hubs para realizar más integraciones mediante la definición de una regla de exportación de datos.
Ejemplo: Resumir datos ContainerLogsV2
Si va a supervisar contenedores, ingiere un gran volumen de registros detallados en la tabla ContainerLogsV2
.
Puede usar esta consulta en la regla de resumen para agregar todas las entradas de registro únicas en un plazo de 60 minutos, manteniendo los datos útiles para el análisis y la eliminación de datos que no necesita:
ContainerLogV2 | summarize Count = count() by Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)
Estos son los datos sin procesar de la tabla ContainerLogsV2
:
Estos son los datos agregados que envía la regla de resumen a la tabla de destino:
En lugar de registrar cientos de entradas similares en un plazo de una hora, la tabla de destino muestra el recuento de cada entrada única, tal como se define en la consulta KQL. Establezca el Plan de datos básico en la ContainerLogsV2
tabla para la retención barata de los datos sin procesar y use los datos resumidos en la tabla de destino para sus necesidades de análisis.
Permisos necesarios
Acción | Permisos requeridos |
---|---|
Crear o actualizar regla de resumen | Los permisos Microsoft.Operationalinsights/workspaces/summarylogs/write del área de trabajo de Log Analytics, según lo proporcionado por el rol integrado de colaborador de Log Analytics, por ejemplo |
Crear o actualizar la tabla de destino | Los permisos Microsoft.OperationalInsights/workspaces/tables/write del área de trabajo de Log Analytics, según lo proporcionado por el rol integrado de colaborador de Log Analytics, por ejemplo |
Habilitación de la operación de consulta en el área de trabajo | Los permisos Microsoft.OperationalInsights/workspaces/query/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
Consulta de todas las tablas del área de trabajo | Los permisos Microsoft.OperationalInsights/workspaces/query/*/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
Consulta de registros en una tabla | Los permisos Microsoft.OperationalInsights/workspaces/query/<table>/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
Consulta de registros en una tabla (acción de tabla) | Los permisos Microsoft.OperationalInsights/workspaces/tables/query/read del área de trabajo de Log Analytics, como los que proporciona el rol integrado de lector de Log Analytics, por ejemplo |
Uso de consultas cifradas en una cuenta de almacenamiento administrada por el cliente | Microsoft.Storage/storageAccounts/* permisos para la cuenta de almacenamiento, tal como lo proporciona el Rol integrado Colaborador de la cuenta de almacenamiento, por ejemplo |
Consideraciones sobre la implementación
- El número máximo de reglas activas en un área de trabajo es 30.
- Actualmente, las reglas de resumen solo están disponibles en la nube pública.
- La regla de resumen procesa los datos entrantes y no se puede configurar en un intervalo de tiempo histórico.
- Cuando se agotan los reintentos de ejecución de bin, se omite el bin y no se puede volver a ejecutar.
- No se admite la consulta de un área de trabajo de Log Analytics en otro inquilino mediante Lighthouse.
Modelo de precios
No hay ningún costo adicional para las reglas de resumen. Solo paga por la consulta y la ingesta de resultados en la tabla de destino, en función del plan de tabla de la tabla de origen en la que se ejecuta la consulta:
Plan de tabla de origen | Costo de consulta | Coste de ingesta de resultados de resumen |
---|---|---|
Análisis | Sin costo | Ingesta de registros de Analytics |
Básicas y auxiliares | Detección de datos | Ingesta de registros de Analytics |
Por ejemplo, el cálculo de costos de una regla por hora que devuelve 100 registros por rango es:
Plan de tabla de origen | Cálculo del precio mensual |
---|---|
Análisis | Precio de ingesta x volumen de registro x número de registros x 24 horas x 30 días. |
Básicas y auxiliares | Precio de detección de datos x volumen escaneado + Precio de ingesta x volumen de registro x número de registros x 24 horas x 30 días. Para la regla de ejecución continua, se examinan todos los datos entrantes a la tabla de origen. |
Para obtener más información, consulte Precios de Azure Monitor.
Crear o actualizar una regla de resumen
Los operadores que puede usar en la regla de resumen de la consulta dependen del plan de la tabla de origen de la consulta.
- Analytics: admite todos los operadores y funciones de KQL, excepto para:
- consultas entre recursos, que usan las expresiones
workspaces()
,app()
,resource()
y consultas entre servicios, que usan las expresionesADX()
yARG()
. - Complementos que vuelven a dar forma al esquema de datos, incluidos desempaquetar paquetes, estrechar y pivotar.
- consultas entre recursos, que usan las expresiones
- Básico: admite todos los operadores de KQL en una sola tabla. Puede unir hasta cinco tablas de Analytics mediante el operador de búsqueda.
- Functions: no se admiten funciones definidas por el usuario. Se admiten las funciones del sistema proporcionadas por Microsoft.
Las reglas de resumen son más beneficiosas en términos de costos y experiencias de consulta cuando el recuento de resultados o el volumen se reducen de manera significativa. Por ejemplo, se apunta a obtener un volumen de resultados de 0,01 % o menor que el origen. Antes de crear una regla, experimente la consulta en Log Analytics y compruebe que la consulta no alcance ni esté cerca de los límites de la API de consulta. Compruebe que la consulta genera el esquema previsto y los resultados y esquema esperados. Si la consulta está cerca de los límites de consulta, considere la posibilidad de usar un "tamaño de rango" menor para procesar menos datos por rango. También puede modificar la consulta para devolver menos registros o campos con un volumen superior.
Al actualizar una consulta y hay menos campos en los resultados de resumen, Azure Monitor no quita automáticamente las columnas de la tabla de destino y debe eliminar columnas de la tabla manualmente.
Para crear o actualizar una regla de resumen, realice esta llamada API de PUT
:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
En esta tabla se describen los parámetros de la regla de resumen:
Parámetro | Valores válidos | Descripción |
---|---|---|
ruleType |
User o System |
Especifica el tipo de regla. - User : reglas que defina. - System : reglas predefinidas administradas por los servicios de Azure. |
description |
Cadena | Describe la regla y su función. Este parámetro es útil cuando tiene varias reglas y puede ayudar con la administración de reglas. |
binSize |
20 , 30 , 60 , 120 , 180 , 360 , 720 , o 1440 (minutos) |
Define el intervalo de agregación y el intervalo de tiempo de búsqueda. Por ejemplo, si establece "binSize": 120 , puede obtener entradas para 02:00 to 04:00 y 04:00 to 06:00 . |
query |
Consulta del lenguaje de consulta Kusto (KQL) | Define la consulta que se va a ejecutar en la regla. No es necesario especificar un intervalo de tiempo porque el parámetro binSize determina el intervalo de agregación; por ejemplo, si 02:00 to 03:00 es "binSize": 60 . Si agrega un filtro de tiempo en la consulta, el tiempo que se usa en la consulta es la intersección entre el filtro y el tamaño del rango. |
destinationTable |
tablename_CL |
Especifica el nombre de la tabla de registro personalizada de destino. El valor de nombre debe tener el sufijo _CL . Azure Monitor crea la tabla en el área de trabajo, si aún no existe, en función de la consulta establecida en la regla. Si la tabla ya existe en el área de trabajo, Azure Monitor agrega las nuevas columnas introducidas en la consulta. Si los resultados de resumen incluyen un nombre de columna reservado, como TimeGenerated , _IsBillable , _ResourceId , TenantId , o Type - Azure Monitor anexa el prefijo _Original a los campos originales para conservar sus valores originales. |
binDelay (opcional) |
Entero (minutos) | Establece un tiempo de espera antes de la ejecución de la ubicación, normalmente útil cuando se ejecuta en datos de llegada tardía, también conocidos como latencia de ingesta, y permite que la mayoría de los datos lleguen. El retraso predeterminado es de tres y medio minutos al 10 % del valor binSize . Si sabe que los datos que consulta normalmente se ingieren con retraso, establezca el parámetro binDelay con el valor de retraso conocido o superior, hasta 1440 minutos. Para obtener más información, consulte Configurar la temporización de agregación.En algunos casos, Azure Monitor puede comenzar la ejecución de la rango ligeramente después del retardo de rango establecido para garantizar la fiabilidad del servicio y el éxito de la consulta. |
binStartTime (opcional) |
Datetime en Formato de %Y-%n-%eT%H:%M %Z |
Especifica la fecha y hora de la ejecución inicial del rango. El valor puede comenzar en la fecha y hora de creación de la regla menos el valor de binSize , o posterior y en horas enteras. Por ejemplo, si la fecha y hora es 2023-12-03T12:13Z y binSize es 1440, el valor de binStartTime válido más antiguo es 2023-12-02T13:00Z , y la agregación incluye datos registrados entre 02T13:00 y 03T13:00. En este escenario, las reglas comienzan a agregar una 03T13:00 más el retraso predeterminado o especificado. El parámetro binStartTime es útil en escenarios de resumen diarios. Supongamos que se encuentra en la zona horaria UTC-8 y crea una regla diaria en 2023-12-03T12:13Z . Quiere que la regla se complete antes de comenzar el día a las 8:00 (00:00 UTC). Establezca el parámetro binStartTime en 2023-12-02T22:00Z . La primera agregación incluye todos los datos registrados entre 02T:06:00 y 03T:06:00 local y la regla se ejecuta al mismo tiempo diariamente. Para obtener más información, consulte Configurar la temporización de agregación.Al actualizar las reglas, puede: - Use el valor binStartTime existente o quite el parámetro binStartTime , en cuyo caso la ejecución continúa en función de la definición inicial.- Actualice la regla con un nuevo valor de binStartTime para establecer un nuevo valor datetime. |
timeSelector (opcional) |
TimeGenerated |
Define el campo de marca de tiempo que usa Azure Monitor para agregar datos. Por ejemplo, si establece "binSize": 120 , puede obtener entradas con un valor de TimeGenerated entre 02:00 y 04:00 . |
Configuración del tiempo de agregación
De manera predeterminada, la regla de resumen crea la primera agregación poco después de la próxima hora completa.
El breve retraso que Azure Monitor agrega cuentas para la latencia de ingesta, o el tiempo entre el momento en que se crean los datos en el sistema supervisado y el tiempo que está disponible para el análisis en Azure Monitor. De manera predeterminada, este retraso está entre tres y medio minutos y el 10 % del valor "tamaño de rango" antes de agregar cada rango. En la mayoría de los casos, este retraso garantiza que Azure Monitor agregue todos los datos registrados dentro de cada período de rango.
Por ejemplo:
Cree una regla de resumen con un tamaño de rango de 30 minutos a las 14:44.
La regla crea la primera agregación poco después de las 15:00 (por ejemplo, a las 15:04) para los datos registrados entre las 14:30 y las 15:00.
Cree una regla de resumen con un tamaño de rango de 720 minutos (12 horas) a las 14:44.
La regla crea la primera agregación a las 16:12 a 72 minutos (10 % del tamaño de 720 contenedores) después de 13:00, para los datos registrados entre 03:00 y 15:00.
Use los parámetros binStartTime
y binDelay
para cambiar el tiempo de la primera agregación y el retraso que Azure Monitor agrega antes de cada agregación.
En las secciones siguientes se proporcionan ejemplos de los intervalos de agregación predeterminados y las opciones de tiempo de agregación más avanzadas.
Uso del tiempo de agregación predeterminado
En este ejemplo, la regla de resumen se crea en el 2023-06-07 a las 14:44 y Azure Monitor agrega un retraso predeterminado de cuatro minutos.
binSize (minutos) | Ejecución de regla inicial | Primera agregación | Segunda agregación |
---|---|---|---|
1440 | 2023-06-07 15:04 | 2023-06-06 15:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 15:00 |
720 | 2023-06-07 15:04 | 2023-06-07 03:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 03:00 |
360 | 2023-06-07 15:04 | 2023-06-07 09:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 21:00 |
180 | 2023-06-07 15:04 | 2023-06-07 12:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 18:00 |
120 | 2023-06-07 15:04 | 2023-06-07 13:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 17:00 |
60 | 2023-06-07 15:04 | 2023-06-07 14:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 16:00 |
30 | 2023-06-07 15:04 | 2023-06-07 14:30 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:30 |
20 | 2023-06-07 15:04 | 2023-06-07 14:40 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:20 |
Establecimiento de parámetros de tiempo de agregación opcionales
En este ejemplo, la regla de resumen se crea en el 2023-06-07 a las 14:44 y la regla incluye estas opciones de configuración avanzadas:
binStartTime
: 2023-06-08 07:00binDelay
: 8 minutos
binSize (minutos) | Ejecución de regla inicial | Primera agregación | Segunda agregación |
---|---|---|---|
1440 | 2023-06-09 07:08 | 2023-06-08 07:00 - 2023-06-09 07:00 | 2023-06-09 07:00 - 2023-06-10 07:00 |
720 | 2023-06-08 19:08 | 2023-06-08 07:00 - 2023-06-08 19:00 | 2023-06-08 19:00 - 2023-06-09 07:00 |
360 | 2023-06-08 13:08 | 2023-06-08 07:00 - 2023-06-08 13:00 | 2023-06-08 13:00 - 2023-06-08 19:00 |
180 | 2023-06-08 10:08 | 2023-06-08 07:00 - 2023-06-08 10:00 | 2023-06-08 10:00 - 2023-06-08 13:00 |
120 | 2023-06-08 09:08 | 2023-06-08 07:00 - 2023-06-08 09:00 | 2023-06-08 09:00 - 2023-06-08 11:00 |
60 | 2023-06-08 08:08 | 2023-06-08 07:00 - 2023-06-08 08:00 | 2023-06-08 08:00 - 2023-06-08 09:00 |
30 | 2023-06-08 07:38 | 2023-06-08 07:00 - 2023-06-08 07:30 | 2023-06-08 07:30 - 2023-06-08 08:00 |
20 | 2023-06-08 07:28 | 2023-06-08 07:00 - 2023-06-08 07:20 | 2023-06-08 07:20 - 2023-06-08 07:40 |
Ver reglas de resumen
Use esta llamada API de GET
para ver la configuración de una regla de resumen específica:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Use esta llamada API de GET
para ver la configuración para ver la configuración de todas las reglas de resumen en el área de trabajo de Log Analytics:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Detener y reiniciar una regla de resumen
Puede detener una regla durante un período de tiempo; por ejemplo, si desea comprobar que los datos se ingieren en una tabla y no desea afectar a la tabla y los informes resumidos. Al reiniciar la regla, Azure Monitor comienza a procesar datos desde la próxima hora completa o en función del parámetro definido binStartTime
(opcional).
Para detener una regla, use esta llamada API de POST
:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
Para reiniciar la regla, use esta llamada API de POST
:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Eliminación de una regla de resumen
Puede tener hasta 30 reglas de resumen activas en el área de trabajo de Log Analytics. Si desea crear una nueva regla, pero ya tiene 30 reglas activas, debe detener o eliminar una regla de resumen activa.
Para eliminar una regla, use esta llamada API de DELETE
:
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
Supervisión de reglas de resumen
Para supervisar las reglas de resumen, habilite la categoría Registros de resumen en la configuración de diagnóstico del área de trabajo de Log Analytics. Azure Monitor envía detalles de ejecución de reglas de resumen, incluida la ejecución de reglas de resumen, la información correcta y con errores, a la tablaLASummaryLogs del área de trabajo.
Se recomienda configurar reglas de alertas de registro para recibir notificaciones de errores de rango o cuando la ejecución del rango se acerca al tiempo de espera, como se muestra a continuación. Según el motivo del error, puede reducir el tamaño de la papelera para procesar menos datos en cada ejecución o modificar la consulta para devolver menos registros o campos con un volumen superior.
Esta consulta devuelve ejecuciones con errores:
LASummaryLogs | where Status == "Failed"
Esta consulta devuelve el rango que se ejecuta donde el valor de QueryDurationMs
es mayor que 0,9 x 600 000 milisegundos:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Comprobación de la integridad de los datos
Las reglas de resumen están diseñadas para la escala e incluyen un mecanismo de reintento para superar los errores transitorios de servicio o consulta relacionados con los límites de consulta, por ejemplo. El mecanismo de reintento realiza 10 intentos de agregar un contenedor con error en un rango de ocho horas y omite un contenedor, si se agota. La regla se establece en isActive: false
y se mantiene en espera después de ocho reintentos consecutivos. Si habilita reglas de resumen de supervisión, Azure Monitor registra un evento en la tabla LASummaryLogs
del área de trabajo.
No se puede volver a ejecutar un contenedor con errores, pero puede usar la siguiente consulta para ver las ejecuciones con errores:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
Esta consulta representa los resultados como un gráfico de tiempo:
Consulte la sección Reglas de resumen de monitor para ver las opciones de corrección de reglas y las alertas proactivas.
Cifrado de consultas de reglas de resumen mediante claves administradas por el cliente
Una consulta KQL puede contener información confidencial en los comentarios o en la sintaxis de la consulta. Para cifrar las consultas de reglas de resumen, vincule una cuenta de almacenamiento al área de trabajo de Log Analytics y use claves administradas por el cliente.
Consideraciones al trabajar con consultas cifradas:
- La vinculación de una cuenta de almacenamiento para cifrar las consultas no interrumpe las reglas existentes.
- De manera predeterminada, Azure Monitor almacena consultas de reglas de resumen en el almacenamiento de Log Analytics. Si tiene reglas de resumen existentes antes de vincular una cuenta de almacenamiento al área de trabajo de Log Analytics, actualice las reglas de resumen para que las consultas guarden las consultas existentes en la cuenta de almacenamiento.
- Las consultas que guarde en una cuenta de almacenamiento se encuentran en la tabla
CustomerConfigurationStoreTable
. Estas consultas se consideran artefactos de servicio y su formato puede cambiar. - Puede usar la misma cuenta de almacenamiento para las consultas de reglas de resumen, las Consultas guardadas en Log Analytics, y las alertas de registro.
Solución de problemas de reglas de resumen
En esta sección se proporcionan sugerencias para solucionar problemas de reglas de resumen.
Tabla de destino de regla de resumen eliminada accidentalmente
Si elimina la tabla de destino mientras la regla de resumen está activa, la regla se suspende y Azure Monitor envía un evento a la tabla LASummaryLogs
con un mensaje que indica que se suspendió la regla.
Si no necesita los resultados de resumen en la tabla de destino, elimine la regla y la tabla. Si necesita recuperar los resultados de resumen, siga los pasos descritos en la sección Crear o actualizar reglas de resumen para volver a crear la tabla. La tabla de destino se restaura, incluidos los datos ingeridos antes de la eliminación, en función de la directiva de retención de la tabla.
Si no necesita los resultados de resumen en la tabla de destino, elimine la regla y la tabla. Si necesita los resultados de resumen, siga los pasos descritos en la sección Crear o actualizar reglas de resumen para volver a crear la tabla de destino y restaurar todos los datos, incluidos los datos ingeridos antes de la eliminación, en función de la directiva de retención de la tabla.
La consulta usa operadores que crean nuevas columnas en la tabla de destino
El esquema de la tabla de destino se define al crear o actualizar una regla de resumen. Si la consulta de la regla de resumen incluye operadores que permiten la expansión del esquema de salida en función de los datos entrantes, por ejemplo, si la consulta usa la función arg_max(expression, *)
: Azure Monitor no agrega nuevas columnas a la tabla de destino después de crear o actualizar la regla de resumen y se quitarán los datos de salida que requieren estas columnas. Para agregar los nuevos campos a la tabla de destino, actualizar la regla de resumen o agregar manualmente una columna a la tabla.
Los datos de las columnas eliminadas permanecen en el área de trabajo en función de la configuración de retención de la tabla.
Al quitar un campo de la consulta, las columnas y los datos permanecen en el destino y en función del período de retención definidos en la tabla o el área de trabajo. Si no necesita las columnas quitadas en la tabla de destino, elimine las columnas del esquema de tabla. Si, a continuación, agrega columnas con el mismo nombre, los datos que no sean más antiguos que el período de retención volverán a aparecer.
Contenido relacionado
- Obtenga más información sobre Planes de datos de registros de Azure Monitor.
- Consulte un tutorial sobre el uso del modo KQL en Log Analytics.
- Acceda a la documentación de referencia completa de KQL.