Query's controleren in Azure Monitor-logboeken
Auditlogboeken voor logboekquery's bieden telemetrie over logboekquery's die worden uitgevoerd in Azure Monitor. Dit omvat informatie zoals wanneer een query is uitgevoerd, wie deze heeft uitgevoerd, welk hulpprogramma is gebruikt, de querytekst en prestatiestatistieken die de uitvoering van de query beschrijven.
Querycontrole configureren
Querycontrole is ingeschakeld met een diagnostische instelling in de Log Analytics-werkruimte. Hiermee kunt u controlegegevens verzenden naar de huidige werkruimte of een andere werkruimte in uw abonnement, naar Azure Event Hubs om buiten Azure te verzenden of naar Azure Storage voor archivering.
Azure Portal
Open de diagnostische instelling voor een Log Analytics-werkruimte in Azure Portal op een van de volgende locaties:
Selecteer diagnostische instellingen in het menu van Azure Monitor en zoek en selecteer vervolgens de werkruimte.
Selecteer in het menu Log Analytics-werkruimten de werkruimte en selecteer vervolgens Diagnostische instellingen.
Resource Manager-sjabloon
U kunt een voorbeeld van een Resource Manager-sjabloon ophalen uit de diagnostische instelling voor de Log Analytics-werkruimte.
Controlegegevens
Telkens wanneer een query wordt uitgevoerd, wordt er een controlerecord gemaakt. Als u de gegevens naar een Log Analytics-werkruimte verzendt, worden deze opgeslagen in een tabel met de naam LAQueryLogs. In de volgende tabel worden de eigenschappen in elke record van de controlegegevens beschreven.
| Veld | Beschrijving |
|---|---|
| TimeGenerated | UTC-tijd waarop de query is verzonden. |
| CorrelationId | Unieke id om de query te identificeren. Kan worden gebruikt in scenario's voor probleemoplossing wanneer u contact op neemt met Microsoft voor hulp. |
| AADObjectId | Microsoft Entra-id van het gebruikersaccount waarmee de query is gestart. |
| AADTenantId | Id van de tenant van het gebruikersaccount waarmee de query is gestart. |
| AADEmail | E-mail van de tenant van het gebruikersaccount waarmee de query is gestart. |
| AADClientId | Id en opgeloste naam van de toepassing die wordt gebruikt om de query te starten. |
| RequestClientApp | Opgeloste naam van de toepassing die wordt gebruikt om de query te starten. Zie client-app aanvragen voor meer informatie. |
| QueryTimeRangeStart | Begin van het tijdsbereik dat is geselecteerd voor de query. Dit kan niet worden ingevuld in bepaalde scenario's, zoals wanneer de query wordt gestart vanuit Log Analytics en het tijdsbereik wordt opgegeven in de query in plaats van de tijdkiezer. |
| QueryTimeRangeEnd | Einde van het tijdsbereik dat is geselecteerd voor de query. Dit kan niet worden ingevuld in bepaalde scenario's, zoals wanneer de query wordt gestart vanuit Log Analytics en het tijdsbereik wordt opgegeven in de query in plaats van de tijdkiezer. |
| QueryTekst | Tekst van de query die is uitgevoerd. |
| RequestTarget | API-URL is gebruikt om de query te verzenden. |
| RequestContext | Lijst met resources waarop de query is aangevraagd om te worden uitgevoerd. Bevat maximaal drie tekenreeksmatrices: werkruimten, toepassingen en resources. Abonnements- of resourcegroepquery's worden weergegeven als resources. Bevat het doel dat wordt geïmpliceerd door RequestTarget. De resource-id voor elke resource wordt opgenomen als deze kan worden omgezet. Het kan mogelijk niet worden opgelost als er een fout wordt geretourneerd bij het openen van de resource. In dit geval wordt de specifieke tekst uit de query gebruikt. Als de query een dubbelzinnige naam gebruikt, zoals een werkruimtenaam die in meerdere abonnementen bestaat, wordt deze dubbelzinnige naam gebruikt. |
| RequestContextFilters | Set filters die zijn opgegeven als onderdeel van de aanroep van de query. Bevat maximaal drie mogelijke tekenreeksmatrices: - ResourceTypes - type resource om het bereik van de query te beperken - Werkruimten - lijst met werkruimten om de query te beperken tot - WorkspaceRegions - lijst met werkruimteregio's om de query te beperken |
| ResponseCode | HTTP-antwoordcode die wordt geretourneerd toen de query werd verzonden. |
| ResponseDurationMs | Het tijdstip waarop het antwoord moet worden geretourneerd. |
| ResponseRowCount | Het totale aantal rijen dat door de query wordt geretourneerd. |
| StatsCPUTimeMs | Totale rekentijd die wordt gebruikt voor computing, parseren en ophalen van gegevens. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
| StatsDataProcessedKB | De hoeveelheid gegevens die is geopend om de query te verwerken. Beïnvloed door de grootte van de doeltabel, de gebruikte tijdsduur, de toegepaste filters en het aantal kolommen waarnaar wordt verwezen. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
| StatsDataProcessedStart | Tijd van oudste gegevens die zijn geopend om de query te verwerken. Beïnvloed door de expliciete tijdsduur en filters van de query. Dit kan groter zijn dan de expliciete tijdsduur vanwege gegevenspartitionering. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
| StatsDataProcessedEnd | Tijd van de nieuwste gegevens die zijn geopend om de query te verwerken. Beïnvloed door de expliciete tijdsduur en filters van de query. Dit kan groter zijn dan de expliciete tijdsduur vanwege gegevenspartitionering. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
| StatsWorkspaceCount | Het aantal werkruimten dat door de query wordt geopend. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
| StatsRegionCount | Het aantal regio's dat wordt geopend door de query. Alleen ingevuld als de query wordt geretourneerd met statuscode 200. |
Client-app aanvragen
| RequestClientApp | Beschrijving |
|---|---|
| AAPBI | Log Analytics-integratie met Power BI. |
| AppAnalytics | Ervaringen van Log Analytics in Azure Portal. |
| AppInsightsPortalExtension | Werkmappen of Application Insights. |
| ASC_Portal | Microsoft Defender voor Cloud. |
| ASI_Portal | Wacht. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Azure Monitor-logboekconnector. |
| csharpsdk | Log Analytics-query-API. |
| Conceptmonitor | Waarschuwing voor zoeken in logboeken in Azure Portal. |
| Grafana | Grafana-connector. |
| IbizaExtension | Ervaringen van Log Analytics in Azure Portal. |
| infraInsights/container | Containerinzichten. |
| infraInsights/vm | VM-inzichten. |
| LogAnalyticsExtension | Azure-dashboard. |
| LogAnalyticsPSClient | Log Analytics-query-API. |
| OmsAnalyticsPBI | Log Analytics-integratie met Power BI. |
| PowerBIConnector | Log Analytics-integratie met Power BI. |
| Sentinel-Investigation-Query's | Wacht. |
| Sentinel-DataCollectionAggregator | Wacht. |
| Sentinel-analyticsManagement-customerQuery | Wacht. |
| Onbekend | Log Analytics-query-API. |
| UpdateManagement | Updatebeheer. |
Overwegingen
- Query's worden alleen geregistreerd wanneer ze worden uitgevoerd in een gebruikerscontext. Er wordt geen service-naar-service in Azure geregistreerd. De twee primaire sets query's die deze uitsluiting omvat, zijn factureringsberekeningen en geautomatiseerde waarschuwingsuitvoeringen. In het geval van waarschuwingen wordt alleen de geplande waarschuwingsquery zelf geregistreerd; de eerste uitvoering van de waarschuwing in het scherm voor het maken van waarschuwingen wordt uitgevoerd in een gebruikerscontext en is beschikbaar voor controledoeleinden.
- Prestatiestatistieken zijn niet beschikbaar voor query's die afkomstig zijn van de Azure Data Explorer-proxy. Alle andere gegevens voor deze query's worden nog steeds ingevuld.
- De h-hint voor tekenreeksen die letterlijke tekenreeksen verdoezelt , hebben geen effect op de auditlogboeken van query's. De query's worden exact vastgelegd zoals verzonden zonder dat de tekenreeks wordt verborgen. U moet ervoor zorgen dat alleen gebruikers met nalevingsrechten deze gegevens kunnen zien met behulp van de verschillende Kubernetes RBAC- of Azure RBAC-modi die beschikbaar zijn in Log Analytics-werkruimten.
- Voor query's die gegevens uit meerdere werkruimten bevatten, wordt de query alleen vastgelegd in die werkruimten waartoe de gebruiker toegang heeft.
Kosten
Er zijn geen kosten voor de diagnostische Azure-extensie, maar er worden mogelijk kosten in rekening gebracht voor de opgenomen gegevens. Controleer de prijzen van Azure Monitor voor het doel waar u gegevens verzamelt.
Volgende stappen
- Meer informatie over diagnostische instellingen.
- Meer informatie over het optimaliseren van logboekquery's.