Gegevens aggregeren in een Log Analytics-werkruimte met behulp van samenvattingsregels (preview)
Met een samenvattingsregel kunt u logboekgegevens met een normale frequentie aggregeren en de samengevoegde resultaten verzenden naar een aangepaste logboektabel in uw Log Analytics-werkruimte. Gebruik samenvattingsregels om uw gegevens te optimaliseren voor:
Analyse en rapporten, met name over grote gegevenssets en tijdsbereiken, zoals vereist voor beveiligings- en incidentanalyse, maand-over-maand- of jaarverslagen, enzovoort. Er treedt vaak een time-out op voor complexe query's voor een grote gegevensset. Het is eenvoudiger en efficiënter om opgeschoonde en geaggregeerde samengevatte gegevens te analyseren en te rapporteren.
Kostenbesparingen voor uitgebreide logboeken, die u kunt bewaren voor zo weinig of zolang u nodig hebt in een goedkope Basic-logboektabel en samengevatte gegevens naar een Analytics-tabel verzenden voor analyse en rapporten.
Beveiliging en gegevensprivacy door privacygegevens te verwijderen of te verbergen in samengevatte deelbare gegevens en het beperken van de toegang tot tabellen met onbewerkte gegevens.
In dit artikel wordt beschreven hoe samenvattingsregels werken en hoe u samenvattingsregels definieert en weergeeft, en geeft u enkele voorbeelden van het gebruik en de voordelen van samenvattingsregels.
Hier volgt een video met een overzicht van enkele voordelen van overzichtsregels:
Hoe samenvattingsregels werken
Samenvattingsregels voeren batchverwerking rechtstreeks uit in uw Log Analytics-werkruimte. Met de samenvattingsregel worden segmenten van gegevens samengevoegd, gedefinieerd op basis van de grootte van de bin, op basis van een KQL-query en worden de samengevatte resultaten opnieuw opgenomen in een aangepaste tabel met een analyselogboekplan in uw Log Analytics-werkruimte.
U kunt gegevens uit elke tabel aggregeren, ongeacht of de tabel een analyse- of basisgegevensabonnement heeft. Azure Monitor maakt het doeltabelschema op basis van de query die u definieert. Als de doeltabel al bestaat, voegt Azure Monitor kolommen toe die nodig zijn om de queryresultaten te ondersteunen. Alle doeltabellen bevatten ook een set standaardvelden met overzichtsregelinformatie, waaronder:
_RuleName
: De samenvattingsregel waarmee de samengevoegde logboekvermelding is gegenereerd._RuleLastModifiedTime
: Toen de regel voor het laatst is gewijzigd._BinSize
: het aggregatie-interval._BinStartTime
: de begintijd van de aggregatie.
U kunt maximaal 30 actieve regels configureren voor het aggregeren van gegevens uit meerdere tabellen en het verzenden van de geaggregeerde gegevens om doeltabellen of dezelfde tabel te scheiden.
U kunt samengevatte gegevens uit een aangepaste logboektabel exporteren naar een opslagaccount of Event Hubs voor verdere integraties door een regel voor gegevensexport te definiëren.
Voorbeeld: ContainerLogsV2-gegevens samenvatten
Als u containers bewaakt, neemt u een groot aantal uitgebreide logboeken op in de ContainerLogsV2
tabel.
U kunt deze query in uw samenvattingsregel gebruiken om alle unieke logboekvermeldingen binnen 60 minuten samen te voegen, zodat de gegevens die nuttig zijn voor analyse en het verwijderen van gegevens die u niet nodig hebt, behouden blijven:
ContainerLogV2 | summarize Count = count() by Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)
Dit zijn de onbewerkte gegevens in de ContainerLogsV2
tabel:
Dit zijn de geaggregeerde gegevens die door de samenvattingsregel naar de doeltabel worden verzonden:
In plaats van honderden vergelijkbare vermeldingen binnen een uur te registreren, wordt in de doeltabel het aantal unieke vermeldingen weergegeven, zoals gedefinieerd in de KQL-query. Stel het basisgegevensplan in de ContainerLogsV2
tabel in voor goedkope retentie van de onbewerkte gegevens en gebruik de samengevatte gegevens in de doeltabel voor uw analysebehoeften.
Vereiste machtigingen
Actie | Vereiste machtigingen |
---|---|
Samenvattingsregel maken of bijwerken | Microsoft.Operationalinsights/workspaces/summarylogs/write machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender |
Doeltabel maken of bijwerken | Microsoft.OperationalInsights/workspaces/tables/write machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender |
Querybewerking inschakelen in werkruimte | Microsoft.OperationalInsights/workspaces/query/read machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol log analytics-lezer, bijvoorbeeld |
Query's uitvoeren op alle tabellen in de werkruimte | Microsoft.OperationalInsights/workspaces/query/*/read machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol log analytics-lezer, bijvoorbeeld |
Query's uitvoeren op logboeken in een tabel | Microsoft.OperationalInsights/workspaces/query/<table>/read machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol log analytics-lezer, bijvoorbeeld |
Querylogboeken in een tabel (tabelactie) | Microsoft.OperationalInsights/workspaces/tables/query/read machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol log analytics-lezer, bijvoorbeeld |
Query's gebruiken die zijn versleuteld in een door de klant beheerd opslagaccount | Microsoft.Storage/storageAccounts/* machtigingen voor het opslagaccount, zoals geleverd door de ingebouwde rol Inzender voor opslagaccounts, bijvoorbeeld |
Beperkingen en limieten
- Het maximum aantal actieve regels in een werkruimte is 30.
- Samenvattingsregels zijn momenteel alleen beschikbaar in de openbare cloud.
- De samenvattingsregel verwerkt binnenkomende gegevens en kan niet worden geconfigureerd voor een historisch tijdsbereik.
- Wanneer nieuwe pogingen voor bin-uitvoering zijn uitgeput, wordt de bin overgeslagen en kan deze niet opnieuw worden uitgevoerd.
- Het uitvoeren van query's op een Log Analytics-werkruimte in een andere tenant met lighthouse wordt niet ondersteund.
Prijsmodel
Er zijn geen extra kosten voor samenvattingsregels. U betaalt alleen voor de query en de opname van resultaten naar de doeltabel, op basis van het tabelplan van de brontabel waarop u de query uitvoert:
Brontabelplan | Querykosten | Samenvattingsresultaten opnamekosten |
---|---|---|
Analyse | Geen kosten | Opname van Analytics-logboeken |
Basis en hulp | Gegevensscan | Opname van Analytics-logboeken |
De kostenberekening voor een regel per uur die bijvoorbeeld 100 records per bin retourneert, is:
Brontabelplan | Maandelijkse prijsberekening |
---|---|
Analyse | Opnameprijs x recordvolume x aantal records x 24 uur x 30 dagen. |
Basis en hulp | Prijs van gegevensscan x gescand volume + Opnameprijs x recordvolume x aantal records x 24 uur x 30 dagen. Voor continu uitgevoerde regel worden alle binnenkomende gegevens naar de brontabel gescand. |
Zie prijzen voor Azure Monitor voor meer informatie.
Een samenvattingsregel maken of bijwerken
De queryopdrachten die kunnen worden gebruikt, zijn afhankelijk van het plan van de brontabel die in de query wordt gebruikt.
- Analyse: ondersteunt alle KQL-opdrachten, met uitzondering van:
- Query's voor meerdere resources, met behulp van de
workspaces()
,app()
enresource()
expressies en query's voor meerdere services, met behulp van deADX()
enARG()
expressies. - Invoegtoepassingen die het gegevensschema opnieuw vormgeven, waaronder het uitpakken, smal en draaien van de tas.
- Query's voor meerdere resources, met behulp van de
- Basic: ondersteunt alle KQL-opdrachten in één tabel. U kunt maximaal vijf Analytics-tabellen samenvoegen met behulp van de opzoekoperator .
- Functies: door de gebruiker gedefinieerde functies worden niet ondersteund. Systeemfuncties van Microsoft worden ondersteund.
Samenvattingsregels zijn het nuttigst in termen van kosten en query-ervaringen wanneer het aantal resultaten of het volume aanzienlijk wordt verminderd. Bijvoorbeeld het doel van het resultatenvolume 0,01% of minder dan de bron. Voordat u een regel maakt, experimenteer u een query in Log Analytics en controleert u of de query de limieten van de query-API niet bereikt of bijna bereikt. Controleer of de query de beoogde verwachte resultaten en het schema produceert. Als de query dicht bij de querylimieten ligt, kunt u overwegen om een kleinere bin-grootte te gebruiken om minder gegevens per bin te verwerken. U kunt de query ook wijzigen om minder records of velden met een hoger volume te retourneren.
Wanneer u een query bijwerkt en er minder velden in samenvattingsresultaten staan, worden de kolommen niet automatisch uit de doeltabel verwijderd en moet u kolommen handmatig uit de tabel verwijderen.
Als u een samenvattingsregel wilt maken of bijwerken, voert u deze PUT
API-aanroep uit:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
In deze tabel worden de parameters van de samenvattingsregel beschreven:
Parameter | Geldige waarden | Beschrijving |
---|---|---|
ruleType |
User of System |
Hiermee geeft u het type regel. - User : Regels die u definieert. - System : Vooraf gedefinieerde regels die worden beheerd door Azure-services. |
description |
String | Beschrijft de regel en de bijbehorende functie. Deze parameter is handig wanneer u meerdere regels hebt en u kunt helpen bij regelbeheer. |
binSize |
20 , , 30 , 120 60 , , 180 , , 360 of 1440 720 (minuten) |
Hiermee definieert u het aggregatie-interval en het tijdsbereik voor lookback. Als u bijvoorbeeld instelt "binSize": 120 , krijgt u mogelijk vermeldingen voor 02:00 to 04:00 en 04:00 to 06:00 . |
query |
Kusto-querytaal (KQL)-query | Definieert de query die moet worden uitgevoerd in de regel. U hoeft geen tijdsbereik op te geven omdat de binSize parameter het aggregatie-interval bepaalt, bijvoorbeeld als 02:00 to 03:00 "binSize": 60 . Als u een tijdfilter in de query toevoegt, is de tijd die in de query wordt gebruikt het snijpunt tussen het filter en de grootte van de bin. |
destinationTable |
tablename_CL |
Hiermee geeft u de naam van de aangepaste doellogboektabel. De naamwaarde moet het achtervoegsel _CL hebben. Azure Monitor maakt de tabel in de werkruimte, als deze nog niet bestaat, op basis van de query die u in de regel hebt ingesteld. Als de tabel al bestaat in de werkruimte, worden in Azure Monitor nieuwe kolommen toegevoegd die in de query zijn geïntroduceerd. Als de samenvattingsresultaten een gereserveerde kolomnaam bevatten, zoals , , , of Type TenantId - voegt Azure Monitor het _Original voorvoegsel toe aan de oorspronkelijke velden om de oorspronkelijke waarden te behouden. _ResourceId _IsBillable TimeGenerated |
binDelay (optioneel) |
Geheel getal (minuten) | Hiermee stelt u een tijd in die moet worden gewacht voordat bin wordt uitgevoerd, meestal handig wanneer deze wordt uitgevoerd op gegevens die te laat binnenkomen, ook wel opnamelatentie genoemd, en de meeste gegevens kunnen binnenkomen. De standaardvertraging is van drie en een half minuten tot 10% van de binSize waarde. Als u weet dat de gegevens die u opvraagt doorgaans met vertraging worden opgenomen, stelt u de binDelay parameter in met de bekende vertragingswaarde of hoger, tot 1440 minuten. Zie De tijdsinstellingen voor aggregatie configureren voor meer informatie.In sommige gevallen kan Azure Monitor de bin-uitvoering iets na de ingestelde bin-vertraging starten om de betrouwbaarheid van de service en het uitvoeren van query's te garanderen. |
binStartTime (optioneel) |
Datum/tijd in%Y-%n-%eT%H:%M %Z formatteren |
Hiermee geeft u de datum en tijd voor de eerste bin-uitvoering. De waarde kan beginnen bij het maken van de regeldatum, minus de binSize waarde, of later en in hele uren. Als de datum/binSize tijd bijvoorbeeld 1440 is2023-12-03T12:13Z , is 2023-12-02T13:00Z de vroegste geldige binStartTime waarde en bevat de aggregatie gegevens die zijn vastgelegd tussen 02T13:00 en 03T13:00. In dit scenario beginnen de regels met het samenvoegen van een 03T13:00 plus de standaard- of opgegeven vertraging. De binStartTime parameter is handig in dagelijkse overzichtsscenario's. Stel dat u zich in de tijdzone UTC-8 bevindt en u een dagelijkse regel maakt op 2023-12-03T12:13Z . U wilt dat de regel wordt voltooid voordat u de dag begint om 8:00 (00:00 UTC). Stel de binStartTime parameter in op 2023-12-02T22:00Z . De eerste aggregatie bevat alle gegevens die zijn vastgelegd tussen 02T:06:00 en 03T:06:00 lokale tijd en de regel wordt dagelijks uitgevoerd. Zie De tijdsinstellingen voor aggregatie configureren voor meer informatie.Wanneer u regels bijwerkt, kunt u het volgende doen: - Gebruik de bestaande binStartTime waarde of verwijder de binStartTime parameter. In dat geval wordt de uitvoering voortgezet op basis van de eerste definitie.- Werk de regel bij met een nieuwe binStartTime waarde om een nieuwe datum/tijd-waarde in te stellen. |
timeSelector (optioneel) |
TimeGenerated |
Definieert het tijdstempelveld dat Azure Monitor gebruikt om gegevens samen te voegen. Als u bijvoorbeeld instelt "binSize": 120 , krijgt u mogelijk vermeldingen met een TimeGenerated waarde tussen 02:00 en 04:00 . |
De tijdsinstellingen voor aggregatie configureren
De samenvattingsregel maakt standaard de eerste aggregatie kort na het volgende hele uur.
Met de korte vertraging voegt Azure Monitor accounts toe voor opnamelatentie, of de tijd tussen het moment waarop de gegevens worden gemaakt in het bewaakte systeem en de tijd die beschikbaar is voor analyse in Azure Monitor. Deze vertraging is standaard tussen drie en een half minuten tot 10% van de waarde van de bin-grootte voordat elke bin wordt samengevoegd. In de meeste gevallen zorgt deze vertraging ervoor dat in Azure Monitor alle gegevens worden geaggregeerd die binnen elke bin-periode zijn geregistreerd.
Voorbeeld:
U maakt een samenvattingsregel met een bingrootte van 30 minuten om 14:44 uur.
De regel maakt de eerste aggregatie kort na 15:00 - bijvoorbeeld om 15:04 - voor gegevens die tussen 14:30 en 15:00 zijn vastgelegd.
U maakt een samenvattingsregel met een bingrootte van 720 minuten (12 uur) om 14:44.
De regel maakt de eerste aggregatie om 16:12 - 72 minuten (10% van de grootte van 720 bin) na 13:00 - voor gegevens die zijn geregistreerd tussen 03:00 en 15:00 uur.
Gebruik de binStartTime
en binDelay
parameters om de timing van de eerste aggregatie te wijzigen en de vertraging die Azure Monitor toevoegt voor elke aggregatie.
De volgende secties bevatten voorbeelden van de standaardinstelling voor aggregatie en de meer geavanceerde opties voor aggregatietijdsinstellingen.
Standaardinstelling voor aggregatie gebruiken
In dit voorbeeld wordt de samenvattingsregel gemaakt op 2023-06-07 om 14:44 en voegt Azure Monitor een standaardvertraging van vier minuten toe.
binSize (minuten) | Eerste regeluitvoering | Eerste aggregatie | Tweede aggregatie |
---|---|---|---|
1440 | 2023-06-07 15:04 | 2023-06-06 15:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 15:00 |
720 | 2023-06-07 15:04 | 2023-06-07 03:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 03:00 |
360 | 2023-06-07 15:04 | 2023-06-07 09:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 21:00 |
180 | 2023-06-07 15:04 | 2023-06-07 12:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 18:00 |
120 | 2023-06-07 15:04 | 2023-06-07 13:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 17:00 |
60 | 2023-06-07 15:04 | 2023-06-07 14:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 16:00 |
30 | 2023-06-07 15:04 | 2023-06-07 14:30 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:30 |
20 | 2023-06-07 15:04 | 2023-06-07 14:40 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:20 |
Optionele parameters voor aggregatietijd instellen
In dit voorbeeld wordt de samenvattingsregel gemaakt op 2023-06-07 om 14:44 en bevat de regel deze geavanceerde configuratie-instellingen:
binStartTime
: 2023-06-08 07:00binDelay
: 8 minuten
binSize (minuten) | Eerste regeluitvoering | Eerste aggregatie | Tweede aggregatie |
---|---|---|---|
1440 | 2023-06-09 07:08 | 2023-06-08 07:00 - 2023-06-09 07:00 | 2023-06-09 07:00 - 2023-06-10 07:00 |
720 | 2023-06-08 19:08 | 2023-06-08 07:00 - 2023-06-08 19:00 | 2023-06-08 19:00 - 2023-06-09 07:00 |
360 | 2023-06-08 13:08 | 2023-06-08 07:00 - 2023-06-08 13:00 | 2023-06-08 13:00 - 2023-06-08 19:00 |
180 | 2023-06-08 10:08 | 2023-06-08 07:00 - 2023-06-08 10:00 | 2023-06-08 10:00 - 2023-06-08 13:00 |
120 | 2023-06-08 09:08 | 2023-06-08 07:00 - 2023-06-08 09:00 | 2023-06-08 09:00 - 2023-06-08 11:00 |
60 | 2023-06-08 08:08 | 2023-06-08 07:00 - 2023-06-08 08:00 | 2023-06-08 08:00 - 2023-06-08 09:00 |
30 | 2023-06-08 07:38 | 2023-06-08 07:00 - 2023-06-08 07:30 | 2023-06-08 07:30 - 2023-06-08 08:00 |
20 | 2023-06-08 07:28 | 2023-06-08 07:00 - 2023-06-08 07:20 | 2023-06-08 07:20 - 2023-06-08 07:40 |
Samenvattingsregels weergeven
Gebruik deze GET
API-aanroep om de configuratie voor een specifieke samenvattingsregel weer te geven:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Gebruik deze GET
API-aanroep om de configuratie weer te geven om de configuratie van alle samenvattingsregels in uw Log Analytics-werkruimte weer te geven:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Een samenvattingsregel stoppen en opnieuw starten
U kunt een regel gedurende een bepaalde periode stoppen, bijvoorbeeld als u wilt controleren of gegevens worden opgenomen in een tabel en u geen invloed wilt hebben op de samengevatte tabel en rapporten. Wanneer u de regel opnieuw start, begint Azure Monitor met het verwerken van gegevens vanaf het volgende hele uur of op basis van de gedefinieerde binStartTime
(optionele) parameter.
Als u een regel wilt stoppen, gebruikt u deze POST
API-aanroep:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
Als u de regel opnieuw wilt starten, gebruikt u deze POST
API-aanroep:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Een samenvattingsregel verwijderen
U kunt maximaal 30 actieve samenvattingsregels hebben in uw Log Analytics-werkruimte. Als u een nieuwe regel wilt maken, maar u al 30 actieve regels hebt, moet u een actieve samenvattingsregel stoppen of verwijderen.
Als u een regel wilt verwijderen, gebruikt u deze DELETE
API-aanroep:
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
Samenvattingsregels bewaken
Als u samenvattingsregels wilt bewaken, schakelt u de categorie Samenvattingslogboeken in in de diagnostische instellingen van uw Log Analytics-werkruimte. Azure Monitor verzendt details over de uitvoering van samenvattingsregels, waaronder de uitvoeringsgegevens van de samenvattingsregel Start, Geslaagd en Mislukt, naar de laSummaryLogs-tabel in uw werkruimte.
U wordt aangeraden logboekwaarschuwingsregels in te stellen voor het ontvangen van meldingen over bin-fouten of wanneer de uitvoering van bin bijna een time-out heeft, zoals hieronder wordt weergegeven. Afhankelijk van de reden van de fout kunt u de bin-grootte verkleinen om minder gegevens voor elke uitvoering te verwerken of de query wijzigen om minder records of velden met een hoger volume te retourneren.
Deze query retourneert mislukte uitvoeringen:
LASummaryLogs | where Status == "Failed"
Deze query retourneert bin-uitvoeringen waarbij de QueryDurationMs
waarde groter is dan 0,9 x 600.000 milliseconden:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Volledigheid van gegevens controleren
Samenvattingsregels zijn ontworpen voor schaal en bevatten een mechanisme voor opnieuw proberen om tijdelijke service- of queryfouten met betrekking tot querylimieten te verhelpen, bijvoorbeeld. Het mechanisme voor opnieuw proberen maakt 10 pogingen om een mislukte bin binnen acht uur samen te voegen en slaat een bin over, indien uitgeput. De regel is ingesteld op en wordt in bewaring gezet isActive: false
na acht opeenvolgende nieuwe pogingen van de bin. Als u samenvattingsregels voor bewaking inschakelt, registreert Azure Monitor een gebeurtenis in de LASummaryLogs
tabel in uw werkruimte.
U kunt een mislukte bin-uitvoering niet opnieuw uitvoeren, maar u kunt de volgende query gebruiken om mislukte uitvoeringen weer te geven:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
Met deze query worden de resultaten weergegeven als een tijddiagram:
Zie de sectie Samenvattingsregels bewaken voor opties voor regelherstel en proactieve waarschuwingen.
Samenvattingsregelquery's versleutelen met behulp van door de klant beheerde sleutels
Een KQL-query kan gevoelige informatie bevatten in opmerkingen of in de querysyntaxis. Als u samenvattingsregelquery's wilt versleutelen, koppelt u een opslagaccount aan uw Log Analytics-werkruimte en gebruikt u door de klant beheerde sleutels.
Overwegingen bij het werken met versleutelde query's:
- Als u een opslagaccount koppelt om uw query's te versleutelen, worden bestaande regels niet onderbroken.
- In Azure Monitor worden standaard samenvattingsregelquery's opgeslagen in Log Analytics-opslag. Als u bestaande samenvattingsregels hebt voordat u een opslagaccount koppelt aan uw Log Analytics-werkruimte, werkt u de overzichtsregels bij zodat de query's de bestaande query's in het opslagaccount opslaan.
- Query's die u in een opslagaccount opslaat, bevinden zich in de
CustomerConfigurationStoreTable
tabel. Deze query's worden beschouwd als serviceartefacten en hun indeling kan veranderen. - U kunt hetzelfde opslagaccount gebruiken voor samenvattingsregelquery's, opgeslagen query's in Log Analytics en logboekwaarschuwingen.
Problemen met samenvattingsregels oplossen
Deze sectie bevat tips voor het oplossen van overzichtsregels.
Doeltabel samenvattingsregel per ongeluk verwijderd
Als u de doeltabel verwijdert terwijl de samenvattingsregel actief is, wordt de regel onderbroken en verzendt Azure Monitor een gebeurtenis naar de LASummaryLogs
tabel met een bericht dat aangeeft dat de regel is onderbroken.
Als u de samenvattingsresultaten niet nodig hebt in de doeltabel, verwijdert u de regel en tabel. Als u samenvattingsresultaten wilt herstellen, volgt u de stappen in de sectie Samenvattingsregels maken of bijwerken om de tabel opnieuw te maken. De doeltabel wordt hersteld, inclusief de gegevens die vóór de verwijdering zijn opgenomen, afhankelijk van het bewaarbeleid in de tabel.
Als u de samenvattingsresultaten niet nodig hebt in de doeltabel, verwijdert u de regel en tabel. Als u de samenvattingsresultaten nodig hebt, volgt u de stappen in de sectie Samenvattingsregels maken of bijwerken om de doeltabel opnieuw te maken en alle gegevens te herstellen, inclusief de gegevens die zijn opgenomen vóór de verwijdering, afhankelijk van het bewaarbeleid in de tabel.
Query maakt gebruik van operators die nieuwe kolommen maken in de doeltabel
Het doeltabelschema wordt gedefinieerd wanneer u een samenvattingsregel maakt of bijwerkt. Als de query in de samenvattingsregel operators bevat die uitbreiding van het uitvoerschema toestaan op basis van binnenkomende gegevens, bijvoorbeeld als de query de arg_max(expression, *)
functie gebruikt, voegt Azure Monitor geen nieuwe kolommen toe aan de doeltabel nadat u de samenvattingsregel hebt gemaakt of bijgewerkt en worden de uitvoergegevens die deze kolommen vereisen, verwijderd. Als u de nieuwe velden wilt toevoegen aan de doeltabel, werkt u de samenvattingsregel bij of voegt u handmatig een kolom toe aan de tabel.
Gegevens in verwijderde kolommen blijven in de werkruimte op basis van de bewaarinstellingen van de tabel
Wanneer u een veld in de query verwijdert, blijven de kolommen en gegevens in het doel en op basis van de bewaarperiode die is gedefinieerd in de tabel of werkruimte. Als u de verwijderde tabel niet nodig hebt, verwijdert u de kolommen uit het tabelschema. Als u vervolgens kolommen met dezelfde naam toevoegt, worden alle gegevens die niet ouder zijn dan de bewaarperiode, opnieuw weergegeven.
Gerelateerde inhoud
- Meer informatie over Azure Monitor-logboekgegevensplannen.
- Doorloop een zelfstudie over het gebruik van de KQL-modus in Log Analytics.
- Raadpleeg de volledige referentiedocumentatie voor KQL.