Aggregare i dati in un'area di lavoro Log Analytics usando le regole di riepilogo (anteprima)

Una regola di riepilogo consente di aggregare i dati di log a cadenza normale e inviare i risultati aggregati a una tabella di log personalizzata nell'area di lavoro Log Analytics. Usare le regole di riepilogo per ottimizzare i dati per:

• Analisi e report, in particolare in set di dati di grandi dimensioni e intervalli di tempo, in base alle esigenze di analisi della sicurezza e degli eventi imprevisti, ai report aziendali mensili o annuali e così via. Spesso si verificano timeout delle query complesse su set di dati di grandi dimensioni. È più semplice ed efficiente analizzare e creare report su dati riepilogati puliti e aggregati.

• Risparmio sui costi nei log dettagliati, che è possibile conservare per il minimo o fino a quando è necessario in una tabella di log Basic economica e inviare dati riepilogati a una tabella di Analisi per l'analisi e i report.

• Sicurezza e privacy dei dati rimuovendo od offuscando i dettagli sulla privacy in dati riepilogati condivisibili e limitando l'accesso alle tabelle con dati non elaborati.

Questo articolo descrive il funzionamento delle regole di riepilogo e come definirle e visualizzarle, oltre a illustrare alcuni esempi dell'uso e dei vantaggi delle regole di riepilogo.

Ecco un video che offre una panoramica di alcuni vantaggi delle regole di riepilogo:

Funzionamento delle regole di riepilogo

Le regole di riepilogo eseguono l'elaborazione batch direttamente nell'area di lavoro Log Analytics. La regola di riepilogo aggrega blocchi di dati, definiti dalle dimensioni del bin, in base a una query KQL e inserisce nuovamente i risultati riepilogati in una tabella personalizzata con un piano di log di Analytics nell'area di lavoro Log Analytics.

È possibile aggregare i dati da qualsiasi tabella, indipendentemente dal fatto che la tabella abbia un piano dati Analytics o Basic. Monitoraggio di Azure crea lo schema della tabella di destinazione in base alla query definita. Se la tabella di destinazione esiste già, Monitoraggio di Azure aggiunge tutte le colonne necessarie per supportare i risultati della query. Tutte le tabelle di destinazione includono anche un set di campi standard con informazioni sulla regola di riepilogo, tra cui:

• _RuleName: regola di riepilogo che ha generato la voce di log aggregata.
• _RuleLastModifiedTime: data dell'ultima modifica della regola.
• _BinSize: intervallo di aggregazione.
• _BinStartTime: ora di inizio dell'aggregazione.

È possibile configurare fino a 30 regole attive per aggregare i dati da più tabelle e inviare i dati aggregati a tabelle di destinazione separate o alla stessa tabella.

È possibile esportare i dati riepilogati da una tabella di log personalizzata in un account di archiviazione o in Hub eventi per altre integrazioni definendo una regola di esportazione dei dati.

Esempio: Riepilogare i dati ContainerLogsV2

Se si esegue il monitoraggio dei contenitori, si inserisce un volume elevato di log dettagliati nella tabella ContainerLogsV2.

È possibile usare questa query nella regola di riepilogo per aggregare tutte le voci di log univoco entro 60 minuti, mantenendo i dati utili per l'analisi e l'eliminazione dei dati non necessari:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Di seguito sono riportati i dati non elaborati nella tabella ContainerLogsV2:

Di seguito sono riportati i dati aggregati inviati dalla regola di riepilogo alla tabella di destinazione:

Anziché registrare centinaia di voci simili entro un'ora, la tabella di destinazione mostra il conteggio di ogni voce univoca, come definito nella query KQL. Impostare il piano dati Basic nella tabella ContainerLogsV2 per una conservazione economica dei dati non elaborati e usare i dati riepilogati nella tabella di destinazione per le esigenze di analisi.

Autorizzazioni obbligatorie

Azione	Autorizzazioni obbligatorie
Creare o aggiornare una regola di riepilogo	Le autorizzazioni Microsoft.Operationalinsights/workspaces/summarylogs/write per l'area di lavoro Log Analytics fornite dal ruolo integrato di Collaboratore Log Analytics, ad esempio
Creare o aggiornare la tabella di destinazione	Le autorizzazioni Microsoft.OperationalInsights/workspaces/tables/write per l'area di lavoro Log Analytics fornite dal ruolo integrato di Collaboratore Log Analytics, ad esempio
Abilitare l'operazione di query nell'area di lavoro	Autorizzazioni Microsoft.OperationalInsights/workspaces/query/read per le aree di lavoro Log Analytics fornite dal ruolo predefinito di Lettore di Log Analytics, ad esempio
Eseguire query su tutte le tabelle nell'area di lavoro	Autorizzazioni Microsoft.OperationalInsights/workspaces/query/*/read per le aree di lavoro Log Analytics fornite dal ruolo predefinito di Lettore di Log Analytics, ad esempio
Eseguire query sui log in una tabella	Autorizzazioni Microsoft.OperationalInsights/workspaces/query/<table>/read per le aree di lavoro Log Analytics fornite dal ruolo predefinito di Lettore di Log Analytics, ad esempio
Eseguire query sui log in una tabella (azione tabella)	Autorizzazioni Microsoft.OperationalInsights/workspaces/tables/query/read per le aree di lavoro Log Analytics fornite dal ruolo predefinito di Lettore di Log Analytics, ad esempio
Usare query crittografate in un account di archiviazione gestito dal cliente	Autorizzazioni Microsoft.Storage/storageAccounts/* per l'account di archiviazione fornite dal ruolo predefinito di Collaboratore account di archiviazione, ad esempio

Restrizioni e limitazioni

• Il numero massimo di regole attive in un'area di lavoro è 30.
• Le regole di riepilogo sono attualmente disponibili solo nel cloud pubblico.
• La regola di riepilogo elabora i dati in ingresso e non può essere configurata in un intervallo di tempo cronologico.
• Quando i tentativi di esecuzione del bin vengono esauriti, il contenitore viene ignorato e non può essere eseguito di nuovo.
• L'esecuzione di query su un'area di lavoro Log Analytics in un altro tenant tramite Lighthouse non è supportata.

Modello di determinazione prezzi

Non è previsto alcun costo aggiuntivo per le regole di riepilogo. Si paga solo per la query e l'inserimento dei risultati nella tabella di destinazione, in base al piano di tabella della tabella di origine su cui viene eseguita la query:

Piano tabella di origine	Costo delle query	Costo di inserimento dei risultati del riepilogo
Analisi	Nessun costo	Inserimento dei log di Analisi
Basic e ausiliario	Analisi dei dati	Inserimento dei log di Analisi

Ad esempio, il calcolo dei costi per una regola oraria che restituisce 100 record per bin è:

Piano tabella di origine	Calcolo dei prezzi mensili
Analisi	Prezzo di inserimento x volume record x numero di record x 24 ore x 30 giorni.
Basic e ausiliario	Prezzo analisi dati x volume analizzato + Prezzo di inserimento x volume record x numero di record x 24 ore x 30 giorni. Per l'esecuzione continua della regola, vengono analizzati tutti i dati in ingresso nella tabella di origine.

Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Creare o aggiornare una regola di riepilogo

I comandi di query che possono essere usati dipendono dal piano della tabella di origine usata nella query.

• Analisi: supporta tutti i comandi KQL, ad eccezione di:
  • Query tra risorse, usando le espressioni workspaces(), app() e resource() e query tra servizi, usando le espressioni ADX() e ARG().
  • Plug-in che modificano lo schema dei dati, tra cui bag unpack, narrow e pivot.
• Basic: supporta tutti i comandi KQL in una singola tabella. È possibile unire fino a cinque tabelle di Analytics usando l'operatore lookup.
• Funzioni: le funzioni definite dall'utente non sono supportate. Le funzioni di sistema fornite da Microsoft sono supportate.

Le regole di riepilogo sono particolarmente utili in termini di costi ed esperienze di query quando il numero di risultati o il volume vengono ridotti significativamente. Ad esempio, mirando al volume dei risultati 0,01% o inferiore all'origine. Prima di creare una regola, eseguire una query dell'esperimento in Log Analytics e verificare che la query non raggiunga o raggiunga i limiti dell'API di query. Verificare che la query produa i risultati e lo schema previsti previsti. Se la query è vicina ai limiti delle query, è consigliabile usare una "dimensione bin" più piccola per elaborare meno dati per bin. È anche possibile modificare la query per restituire meno record o campi con un volume superiore.

Quando si aggiorna una query e sono presenti meno campi nei risultati di riepilogo, Monitoraggio di Azure non rimuove automaticamente le colonne dalla tabella di destinazione ed è necessario eliminare manualmente le colonne dalla tabella .

API

Per creare o aggiornare una regola di riepilogo, effettuare questa chiamata API PUT:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Modello di Azure Resource Manager

Usare questo modello per creare o aggiornare una regola di riepilogo. Per altre informazioni sull'uso e la distribuzione dei modelli di Azure Resource Manager, vedere Modelli di Azure Resource Manager.

File del modello

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "type": "String",
      "metadata": {
        "description": "The workspace name where summary rule is deployed."
      }
    },
    "summaryRuleName": {
      "type": "String",
      "metadata": {
        "description": "The summary rule name."
      }
    },
    "description": {
      "type": "String",
      "metadata": {
        "description": "A description of the rule."
      }
    },
    "location": {
      "defaultValue": "[resourceGroup().location]",
      "type": "String",
      "metadata": {
        "description": "The Location of the workspace summary rule is deployed."
      }
    },
    "ruleType": {
      "defaultValue": "User",
      "allowedValues": [
        "User"
      ],
      "type": "String",
      "metadata": {
        "description": "The summary rule type (User,System). Should be 'User' for and rule with query that you define."
      }
    },
    "query": {
      "type": "String",
      "metadata": {
      "description": "The query used in summary rules."
      }
    },
    "binSize": {
      "defaultValue": 60,
      "allowedValues": [
        20,
        30,
        60,
        120,
        180,
        360,
        720,
        1440
      ],
      "type": "Int",
      "metadata": {
        "description": "The execution interval in minutes, and the lookback time range."
      }
    },
    "destinationTable": {
      "type": "String",
      "metadata": {
        "description": "The name of the custom log table that the summary results are sent to. Name must end with '_CL'."
      }
    }
    // ----- optional -----
    // "binDelay": {
    //   "type": "Int",
    //   "metadata": {
    //     "description": "Optional - The minimum wait time in minutes before bin execution. For example, value of '10' cause bin (01:00-02:00) to be executed after 02:10."
    //   }
    // },
    // "timeSelector": {
    //   "defaultValue": "TimeGenerated",
    //   "allowedValues": [
    //     "TimeGenerated"
    //   ],
    //   "type": "String",  
    //   "metadata": {
    //     "description": "Optional - The time field to be used by the summary rule. Must be 'TimeGenerated'."
    //   }
    // },
    // "binStartTime": {
    //   "type": "String",
    //   "metadata": {
    //     "description": "Optional - The Time of initial bin. Can start at current time minus binSize, or future, and in whole hours. For example: '2024-01-01T08:00'."
    //   }
    // }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/summaryLogs",
      "apiVersion": "2023-01-01-preview",
      //"name": "[format('{0}/{1}', parameters('workspaceName'), parameters('summaryRuleName'))]",
      "name": "[concat(parameters('workspaceName'), '/', parameters('summaryRuleName'))]",
      "properties": {
        "ruleType": "[parameters('ruleType')]",
        "description": "[parameters('description')]",
        "ruleDefinition": {
          "query": "[parameters('query')]",
          "binSize": "[parameters('binSize')]",
          "destinationTable": "[parameters('destinationTable')]"
          // ----- optional -----
          //"binDelay": "[parameters('binDelay')]",
          //"timeSelector": "[parameters('timeSelector')]",
          //"binStartTime": "[parameters('binStartTime')]"
        }
      }
    }
  ]
}

File di parametri

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaceName": {
      "value": "myworkspace"
    },
    "summaryRuleName": {
      "value": "myrulename"
    },
    "description": {
      "value": "My rule description."
    },
    "location": {
      "value": "eastus" //Log Analytics workspace region
    },
    "ruleType": {
      "value": "User"
    },
    "query": {
      "value": "StorageBlobLogs | summarize Count = count(), DurationMs98 = percentile(DurationMs, 90) by StatusCode, CallerIpAddress, OperationName"
    },
    "binSize": {
      "value": 20
    },
    "destinationTable": {
      "value": "MySummaryLogs_CL"
    }
  }
}

Questa tabella descrive i parametri della regola di riepilogo:

Parametro	Valori validi	Descrizione
ruleType	User oppure System	Specifica il tipo di regola. - User: regole definite dall'utente. - System: regole predefinite gestite dai servizi di Azure.
description	String	Descrive la regola e la relativa funzione. Questo parametro è utile quando si dispone di diverse regole e può essere utile per la gestione delle regole.
binSize	20, 30, 60, 120, 180, 360, 720 o 1440 (minuti)	Definisce l'intervallo di aggregazione e l'intervallo di tempo di lookback. Ad esempio, se si imposta "binSize": 120, è possibile ottenere voci per 02:00 to 04:00 e 04:00 to 06:00.
query	Query KQL (Linguaggio di query Kusto)	Definisce la query da eseguire nella regola. Non è necessario specificare un intervallo di tempo perché il parametro binSize determina l'intervallo di aggregazione, ad esempio 02:00 to 03:00 per "binSize": 60. Se si aggiunge un filtro temporale nella query, l'intervallo di tempo usato nella query è l'intersezione tra il filtro e la dimensione del contenitore.
destinationTable	tablename_CL	Specifica il nome della tabella di log personalizzata di destinazione. Il valore del nome deve avere il suffisso _CL. Monitoraggio di Azure crea la tabella nell'area di lavoro, se non esiste già, in base alla query impostata nella regola. Se la tabella esiste già nell'area di lavoro, Monitoraggio di Azure aggiunge eventuali nuove colonne introdotte nella query. Se i risultati di riepilogo includono un nome di colonna riservato, ad esempio TimeGenerated, _IsBillable, _ResourceId, TenantId o Type, Monitoraggio di Azure aggiunge il prefisso _Original ai campi originali per mantenere i valori originali.
binDelay (facoltativo)	Intero (minuti)	Imposta un tempo di attesa prima dell'esecuzione del bin, in genere utile quando vengono eseguiti in caso di dati in arrivo in ritardo, noti anche come latenza di inserimento e consente la maggior parte dei dati per l'arrivo. Il ritardo predefinito è compreso tra tre minuti e mezzo e il 10% del valore binSize. Se si sa che i dati di cui si esegue la query vengono in genere inseriti con ritardo, impostare il binDelay parametro con il valore di ritardo noto o superiore, fino a 1440 minuti. Per altre informazioni, vedere Configurare l'intervallo di aggregazione. In alcuni casi, Monitoraggio di Azure potrebbe iniziare l'esecuzione del bin leggermente dopo il ritardo del bin impostato per garantire l'affidabilità del servizio e l'esito positivo delle query.
binStartTime (facoltativo)	Data/ora in formato %Y-%n-%eT%H:%M %Z	Specifica la data e l'ora per l'esecuzione iniziale del bin. Il valore può iniziare in corrispondenza della data/ora di creazione della regola meno il valore binSize o successivamente e in ore intere. Ad esempio, se datetime è 2023-12-03T12:13Z e binSize è 1.440, il valore binStartTime valido meno recente è 2023-12-02T13:00Z e l'aggregazione include i dati registrati tra 02T13:00 e 03T13:00. In questo scenario, le regole iniziano ad aggregare un valore 03T13:00 più il ritardo predefinito o specificato. Il parametro binStartTime è utile negli scenari di riepilogo giornalieri. Si supponga di trovarsi nel fuso orario UTC-8 e di creare una regola giornaliera alle 2023-12-03T12:13Z. Si vuole completare la regola prima di iniziare il giorno alle 8:00 (00:00 UTC). Impostare il parametro binStartTime su 2023-12-02T22:00Z. La prima aggregazione include tutti i dati registrati tra 02T:06:00 e 03T:06:00 ora locale e la regola viene eseguita contemporaneamente ogni giorno. Per altre informazioni, vedere Configurare l'intervallo di aggregazione. Quando si aggiornano le regole, è possibile: - Usare il valore binStartTime esistente o rimuovere il parametro binStartTime, nel qual caso l'esecuzione continua in base alla definizione iniziale. - Aggiornare la regola con un nuovo valore binStartTime per impostare un nuovo valore datetime.
timeSelector (facoltativo)	TimeGenerated	Definisce il campo timestamp usato da Monitoraggio di Azure per aggregare i dati. Ad esempio, se si imposta "binSize": 120, è possibile ottenere voci con un valore di TimeGenerated tra 02:00 e 04:00.

Configurare l'intervallo di aggregazione

Per impostazione predefinita, la regola di riepilogo crea la prima aggregazione poco dopo l'intera ora successiva.

Il breve ritardo di Monitoraggio di Azure aggiunge gli account per la latenza di inserimento o il tempo tra il momento in cui i dati vengono creati nel sistema monitorato e il tempo in cui diventa disponibile per l'analisi in Monitoraggio di Azure. Per impostazione predefinita, questo ritardo è compreso tra tre e mezzo minuti e il 10% del valore "bin size" prima di aggregare ogni bin. Nella maggior parte dei casi, questo ritardo garantisce che Monitoraggio di Azure aggreghi tutti i dati registrati in ogni periodo di bin.

Ad esempio:

• Si crea una regola di riepilogo con dimensioni del contenitore di 30 minuti alle 14:44.

  La regola crea la prima aggregazione poco dopo le 15:00, ad esempio alle 15:04, per i dati registrati tra le 14:30 e le 15:00.

• Si crea una regola di riepilogo con dimensioni del contenitore di 720 minuti (12 ore) alle 14:44.

  La regola crea la prima aggregazione alle 16:12 - 72 minuti (10% delle dimensioni del contenitore 720) dopo le 13:00 per i dati registrati tra le 03:00 e le 15:00.

Usare i parametri binStartTime e binDelay per modificare la tempistica della prima aggregazione e il ritardo aggiunto da Monitoraggio di Azure prima di ogni aggregazione.

Le sezioni successive forniscono esempi dei tempi di aggregazione predefiniti e delle opzioni di intervallo di aggregazione più avanzate.

Usare la tempistica di aggregazione predefinita

In questo esempio, la regola di riepilogo viene creata il giorno 2023-06-07 alle 14:44 e Monitoraggio di Azure aggiunge un ritardo predefinito di quattro minuti.

binSize (minuti)	Esecuzione della regola iniziale	Prima aggregazione	Seconda aggregazione
1440	07/06/2023 15:04	2023-06-06 15:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 15:00
720	07/06/2023 15:04	2023-06-07 03:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-08 03:00
360	07/06/2023 15:04	2023-06-07 09:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 21:00
180	07/06/2023 15:04	2023-06-07 12:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 18:00
120	07/06/2023 15:04	2023-06-07 13:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 17:00
60	07/06/2023 15:04	2023-06-07 14:00 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 16:00
30	07/06/2023 15:04	2023-06-07 14:30 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:30
20	07/06/2023 15:04	2023-06-07 14:40 - 2023-06-07 15:00	2023-06-07 15:00 - 2023-06-07 15:20

Impostare parametri di intervallo di aggregazione facoltativi

In questo esempio la regola di riepilogo viene creata il 2023-06-07 alle 14:44 e include queste impostazioni di configurazione avanzate:

• binStartTime: 2023-06-08 07:00
• binDelay: 8 minuti

binSize (minuti)	Esecuzione della regola iniziale	Prima aggregazione	Seconda aggregazione
1440	2023-06-09 07:08	2023-06-08 07:00 - 2023-06-09 07:00	2023-06-09 07:00 - 2023-06-10 07:00
720	2023-06-08 19:08	2023-06-08 07:00 - 2023-06-08 19:00	2023-06-08 19:00 - 2023-06-09 07:00
360	2023-06-08 13:08	2023-06-08 07:00 - 2023-06-08 13:00	2023-06-08 13:00 - 2023-06-08 19:00
180	2023-06-08 10:08	2023-06-08 07:00 - 2023-06-08 10:00	2023-06-08 10:00 - 2023-06-08 13:00
120	2023-06-08 09:08	2023-06-08 07:00 - 2023-06-08 09:00	2023-06-08 09:00 - 2023-06-08 11:00
60	2023-06-08 08:08	2023-06-08 07:00 - 2023-06-08 08:00	2023-06-08 08:00 - 2023-06-08 09:00
30	2023-06-08 07:38	2023-06-08 07:00 - 2023-06-08 07:30	2023-06-08 07:30 - 2023-06-08 08:00
20	2023-06-08 07:28	2023-06-08 07:00 - 2023-06-08 07:20	2023-06-08 07:20 - 2023-06-08 07:40

Visualizzare le regole di riepilogo

Usare questa chiamata API GET per visualizzare la configurazione per una regola di riepilogo specifica:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

Usare questa chiamata API GET per visualizzare la configurazione di tutte le regole di riepilogo nell'area di lavoro Log Analytics:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Arrestare e riavviare una regola di riepilogo

È possibile arrestare una regola per un periodo di tempo, ad esempio se si desidera verificare che i dati vengano inseriti in una tabella e non si vuole influire sulla tabella riepilogata e sui report. Quando si riavvia la regola, Monitoraggio di Azure avvia l'elaborazione dei dati dall'intera ora successiva o in base al parametro binStartTime (facoltativo).

Per arrestare una regola, usare questa chiamata API POST:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

Per riavviare la regola, usare questa chiamata API POST:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Eliminare una regola di riepilogo

È possibile avere fino a 30 regole di riepilogo attive nell'area di lavoro Log Analytics. Se si vuole creare una nuova regola, ma sono già presenti 30 regole attive, è necessario arrestare o eliminare una regola di riepilogo attiva.

Per eliminare una regola, usare questa chiamata API DELETE:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Monitorare le regole di riepilogo

Per monitorare le regole di riepilogo, abilitare la categoria Log di riepilogo nelle impostazioni di diagnostica dell'area di lavoro Log Analytics. Monitoraggio di Azure invia i dettagli di esecuzione delle regole di riepilogo, tra cui l'esecuzione della regola di riepilogo Start, Succeeded e Failed information, alla tabella LASummaryLogs nell'area di lavoro.

È consigliabile configurare le regole di avviso del log per ricevere la notifica degli errori del bin o quando l'esecuzione del bin sta per raggiungere il timeout, come illustrato di seguito. A seconda del motivo dell'errore, è possibile ridurre le dimensioni del contenitore per elaborare meno dati per ogni esecuzione oppure modificare la query per restituire meno record o campi con un volume superiore.

Questa query restituisce esecuzioni non riuscite:

LASummaryLogs | where Status == "Failed"

Questa query restituisce le esecuzioni bin in cui il valore QueryDurationMs è maggiore di 0,9 x 600.000 millisecondi:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Verificare la completezza dei dati

Le regole di riepilogo sono progettate per la scalabilità e includono un meccanismo di ripetizione dei tentativi per superare gli errori di query temporanei correlati ai limiti delle query, ad esempio. Il meccanismo di ripetizione dei tentativi esegue 10 tentativi di aggregare un contenitore non riuscito entro otto ore e ignora un contenitore, se esaurito. La regola viene impostata su isActive: false e messa in attesa dopo otto tentativi consecutivi. Se si abilita Monitora regole di riepilogo, Monitoraggio di Azure registra un evento nella tabella LASummaryLogs nell'area di lavoro.

Non è possibile rieseguire un'esecuzione del bin non riuscita, ma è possibile usare la query seguente per visualizzare le esecuzioni non riuscite:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Questa query esegue il rendering dei risultati come grafico temporale:

Vedere la sezione Regole di riepilogo di monitoraggio per le opzioni di correzione delle regole e avvisi proattivi.

Crittografare le query delle regole di riepilogo usando chiavi gestite dal cliente

Una query KQL può contenere informazioni riservate nei commenti o nella sintassi della query. Per crittografare le query sulle regole di riepilogo, collegare un account di archiviazione all'area di lavoro Log Analytics e usare chiavi gestite dal cliente.

Considerazioni sull'uso delle query crittografate:

• Il collegamento di un account di archiviazione per crittografare le query non interrompe le regole esistenti.
• Per impostazione predefinita, Monitoraggio di Azure archivia le query delle regole di riepilogo nell'archiviazione di Log Analytics. Se sono presenti regole di riepilogo esistenti prima di collegare un account di archiviazione all'area di lavoro Log Analytics, aggiornare le regole di riepilogo in modo che le query salvino le query esistenti nell'account di archiviazione.
• Le query salvate in un account di archiviazione si trovano nella tabella CustomerConfigurationStoreTable. Queste query sono considerate artefatti del servizio e il relativo formato potrebbe cambiare.
• È possibile usare lo stesso account di archiviazione per le query delle regole di riepilogo, le query salvate in Log Analytics e gli avvisi del log.

Risolvere i problemi relativi alle regole di riepilogo

In questa sezione vengono forniti suggerimenti per la risoluzione dei problemi relativi alle regole di riepilogo.

Tabella di destinazione delle regole di riepilogo eliminata accidentalmente

Se si elimina la tabella di destinazione mentre la regola di riepilogo è attiva, la regola viene sospesa e Monitoraggio di Azure invia un evento alla tabella LASummaryLogs con un messaggio che indica che la regola è stata sospesa.

Se non sono necessari i risultati di riepilogo nella tabella di destinazione, eliminare la regola e la tabella. Se è necessario recuperare i risultati di riepilogo, seguire la procedura descritta nella sezione Creare o aggiornare le regole di riepilogo per ricreare la tabella. La tabella di destinazione viene ripristinata, inclusi i dati inseriti prima dell'eliminazione, a seconda dei criteri di conservazione nella tabella.

Se non sono necessari i risultati di riepilogo nella tabella di destinazione, eliminare la regola e la tabella. Se sono necessari i risultati di riepilogo, seguire la procedura descritta nella sezione Creare o aggiornare le regole di riepilogo per ricreare la tabella di destinazione e ripristinare tutti i dati, inclusi i dati inseriti prima dell'eliminazione, a seconda dei criteri di conservazione nella tabella.

La query usa operatori che creano nuove colonne nella tabella di destinazione

Lo schema della tabella di destinazione viene definito quando si crea o si aggiorna una regola di riepilogo. Se la query nella regola di riepilogo include operatori che consentono l'espansione dello schema di output in base ai dati in ingresso, ad esempio se la query usa la funzione arg_max(expression, *), Monitoraggio di Azure non aggiunge nuove colonne alla tabella di destinazione dopo aver creato o aggiornato la regola di riepilogo e i dati di output che richiedono queste colonne verranno eliminati. Per aggiungere i nuovi campi alla tabella di destinazione, aggiornare la regola di riepilogo o aggiungere una colonna alla tabella manualmente.

I dati nelle colonne rimosse rimangono nell'area di lavoro, in base alle impostazioni di conservazione della tabella

Quando si rimuove un campo nella query, le colonne e i dati rimangono nella destinazione e in base al periodo di conservazione definito nella tabella o nell'area di lavoro. Se non si desidera effettuare la rimozione nella tabella di destinazione, eliminare le colonne dallo schema della tabella. Se si aggiungono colonne con lo stesso nome, tutti i dati non precedenti al periodo di conservazione verranno visualizzati di nuovo.

Contenuto correlato

• Altre informazioni sui piani dati dei log di Monitoraggio di Azure.
• Vedere un'esercitazione sull'uso della modalità KQL in Log Analytics.
• Accedere alla documentazione di riferimento completa per KQL.