Agregowanie danych w obszarze roboczym usługi Log Analytics przy użyciu reguł podsumowania (wersja zapoznawcza)
Reguła podsumowania umożliwia agregowanie danych dziennika w regularnym tempie i wysyłanie zagregowanych wyników do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics. Użyj reguł podsumowania, aby zoptymalizować dane pod kątem:
Analiza i raporty, szczególnie w przypadku dużych zestawów danych i zakresów czasu, zgodnie z wymaganiami analizy zabezpieczeń i zdarzeń, raportów biznesowych z miesiąca do miesiąca lub rocznego itd. Złożone zapytania dotyczące dużego zestawu danych często przekracza limit czasu. Łatwiejsze i bardziej wydajne analizowanie i raportowanie oczyszczonych i zagregowanych danych podsumowanych.
Oszczędności kosztów w pełnych dziennikach, które można zachować tak długo, jak tylko potrzebujesz w taniej podstawowej tabeli dzienników, i wysyłać podsumowane dane do tabeli Analizy na potrzeby analiz i raportów.
Bezpieczeństwo i prywatność danych przez usunięcie lub zaciemnianie szczegółów prywatności w podsumowanych danych z możliwością udostępniania i ograniczenie dostępu do tabel z nieprzetworzonymi danymi.
W tym artykule opisano sposób działania reguł podsumowania oraz sposób definiowania i wyświetlania reguł podsumowania oraz przedstawiono kilka przykładów użycia i korzyści związanych z regułami podsumowania.
Oto film wideo, który zawiera omówienie niektórych zalet reguł podsumowania:
Jak działają reguły podsumowania
Reguły podsumowania wykonują przetwarzanie wsadowe bezpośrednio w obszarze roboczym usługi Log Analytics. Reguła podsumowania agreguje fragmenty danych zdefiniowane według rozmiaru pojemnika na podstawie zapytania KQL i ponownie pobiera podsumowane wyniki do tabeli niestandardowej z planem dziennika usługi Analytics w obszarze roboczym usługi Log Analytics.
Dane z dowolnej tabeli można agregować niezależnie od tego, czy tabela ma plan danych Analizy, czy Podstawowa. Usługa Azure Monitor tworzy schemat tabeli docelowej na podstawie zdefiniowanego zapytania. Jeśli tabela docelowa już istnieje, usługa Azure Monitor dołącza wszystkie kolumny wymagane do obsługi wyników zapytania. Wszystkie tabele docelowe zawierają również zestaw standardowych pól z informacjami o regułach podsumowania, w tym:
_RuleName
: reguła podsumowania, która wygenerowała zagregowany wpis dziennika._RuleLastModifiedTime
: kiedy reguła została ostatnio zmodyfikowana._BinSize
: interwał agregacji._BinStartTime
: godzina rozpoczęcia agregacji.
Można skonfigurować maksymalnie 30 aktywnych reguł, aby agregować dane z wielu tabel i wysyłać zagregowane dane do oddzielnych tabel docelowych lub tej samej tabeli.
Możesz wyeksportować podsumowane dane z niestandardowej tabeli dzienników do konta magazynu lub usługi Event Hubs w celu uzyskania dalszych integracji, definiując regułę eksportu danych.
Przykład: podsumowanie danych ContainerLogsV2
Jeśli monitorujesz kontenery, pozyskujesz dużą ilość pełnych dzienników w ContainerLogsV2
tabeli.
Możesz użyć tego zapytania w regule podsumowania, aby zagregować wszystkie unikatowe wpisy dziennika w ciągu 60 minut, zachowując dane, które są przydatne do analizy i porzucania danych, których nie potrzebujesz:
ContainerLogV2 | summarize Count = count() by Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)
Oto nieprzetworzone dane w ContainerLogsV2
tabeli:
Oto zagregowane dane wysyłane przez regułę podsumowania do tabeli docelowej:
Zamiast rejestrować setki podobnych wpisów w ciągu godziny, tabela docelowa pokazuje liczbę każdego unikatowego wpisu, zgodnie z definicją w zapytaniu KQL. Ustaw podstawowy plan danych w ContainerLogsV2
tabeli na potrzeby taniego przechowywania danych pierwotnych i użyj podsumowanych danych w tabeli docelowej.
Wymagane uprawnienia
Akcja | Wymagane uprawnienia |
---|---|
Tworzenie lub aktualizowanie reguły podsumowania | Microsoft.Operationalinsights/workspaces/summarylogs/write uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Współautor usługi Log Analytics, na przykład |
Tworzenie lub aktualizowanie tabeli docelowej | Microsoft.OperationalInsights/workspaces/tables/write uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Współautor usługi Log Analytics, na przykład |
Włączanie operacji zapytania w obszarze roboczym | Microsoft.OperationalInsights/workspaces/query/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład |
Wykonywanie zapytań względem wszystkich tabel w obszarze roboczym | Microsoft.OperationalInsights/workspaces/query/*/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład |
Wykonywanie zapytań dotyczących dzienników w tabeli | Microsoft.OperationalInsights/workspaces/query/<table>/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład |
Wykonywanie zapytań dotyczących dzienników w tabeli (akcja tabeli) | Microsoft.OperationalInsights/workspaces/tables/query/read uprawnienia do obszaru roboczego usługi Log Analytics udostępnione przez wbudowaną rolę Czytelnik usługi Log Analytics, na przykład |
Używanie zapytań zaszyfrowanych na koncie magazynu zarządzanego przez klienta | Microsoft.Storage/storageAccounts/* uprawnienia do konta magazynu, zgodnie z wbudowaną rolą Współautor konta magazynu, na przykład |
Uwagi dotyczące implementacji
- Maksymalna liczba aktywnych reguł w obszarze roboczym wynosi 30.
- Reguły podsumowania są obecnie dostępne tylko w chmurze publicznej.
- Reguła podsumowania przetwarza dane przychodzące i nie można jej skonfigurować w historycznym zakresie czasu.
- Po wyczerpaniu ponownych prób wykonania pojemnika zostanie pominięty i nie można go ponownie wykonać.
- Wykonywanie zapytań dotyczących obszaru roboczego usługi Log Analytics w innej dzierżawie przy użyciu usługi Lighthouse nie jest obsługiwane.
Model cen
Nie ma dodatkowych kosztów dla reguł podsumowania. Płacisz tylko za zapytanie i pozyskiwanie wyników do tabeli docelowej na podstawie planu tabeli źródłowej, na podstawie której uruchamiasz zapytanie:
Plan tabeli źródłowej | Koszty zapytań | Podsumowanie powoduje koszt pozyskiwania danych |
---|---|---|
Analiza | Brak opłat | Pozyskiwanie dzienników analizy |
Podstawowa i pomocnicza | Skanowanie danych | Pozyskiwanie dzienników analizy |
Na przykład obliczenie kosztów dla reguły godzinowej zwracającej 100 rekordów na pojemnik jest następujące:
Plan tabeli źródłowej | Obliczanie ceny miesięcznej |
---|---|
Analiza | Cena pozyskiwania x wolumin rekordu x liczba rekordów x 24 godziny x 30 dni. |
Podstawowa i pomocnicza | Cena skanowania danych x zeskanowany wolumin + cena pozyskiwania x wolumin rekordu x liczba rekordów x 24 godziny x 30 dni. W przypadku reguły ciągłego uruchamiania wszystkie przychodzące dane do tabeli źródłowej są skanowane. |
Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.
Tworzenie lub aktualizowanie reguły podsumowania
Operatory, których można użyć w regule podsumowania, zależą od planu tabeli źródłowej w zapytaniu.
- Analiza: obsługuje wszystkie operatory i funkcje języka KQL, z wyjątkiem:
- Zapytania między zasobami, które używają
workspaces()
wyrażeń ,app()
iresource()
zapytań między usługami, które używająADX()
wyrażeń iARG()
. - Wtyczki, które przekształcają schemat danych, w tym rozpakowywanie torby, wąskie i przestawne.
- Zapytania między zasobami, które używają
- Podstawowa: obsługuje wszystkie operatory KQL w jednej tabeli. Możesz dołączyć maksymalnie pięć tabel analizy przy użyciu operatora wyszukiwania .
- Funkcje: funkcje zdefiniowane przez użytkownika nie są obsługiwane. Obsługiwane są funkcje systemowe udostępniane przez firmę Microsoft.
Reguły podsumowania są najbardziej korzystne w okresie kosztów i zapytań, gdy liczba wyników lub wolumin są znacznie zmniejszone. Na przykład celem uzyskania woluminu wyników 0,01% lub mniejszego niż źródło. Przed utworzeniem reguły przeeksperymentuj zapytanie w usłudze Log Analytics i sprawdź, czy zapytanie nie osiąga ani nie zbliża się do limitów interfejsu API zapytań. Sprawdź, czy zapytanie generuje oczekiwane wyniki i schemat. Jeśli zapytanie jest zbliżone do limitów zapytań, rozważ użycie mniejszego "rozmiaru pojemnika", aby przetworzyć mniej danych na pojemnik. Możesz również zmodyfikować zapytanie tak, aby zwracało mniej rekordów lub pól z większą liczbą woluminów.
Podczas aktualizowania zapytania i w wynikach podsumowania jest mniej pól, usługa Azure Monitor nie usuwa automatycznie kolumn z tabeli docelowej i musisz ręcznie usunąć kolumny z tabeli .
Aby utworzyć lub zaktualizować regułę podsumowania, wykonaj następujące PUT
wywołanie interfejsu API:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
{
"properties": {
"ruleType": "User",
"description": "My test rule",
"ruleDefinition": {
"query": "StorageBlobLogs | summarize count() by AccountName",
"binSize": 30,
"destinationTable": "MySummaryLogs_CL"
}
}
}
W tej tabeli opisano parametry reguły podsumowania:
Parametr | Prawidłowe wartości | opis |
---|---|---|
ruleType |
User lub System |
Określa typ reguły. - User : Zdefiniowane reguły. - System : wstępnie zdefiniowane reguły zarządzane przez usługi platformy Azure. |
description |
String | Opisuje regułę i jej funkcję. Ten parametr jest przydatny, gdy masz kilka reguł i może pomóc w zarządzaniu regułami. |
binSize |
20 , 30 , , 60 , 180 720 120 360 lub 1440 (minuty) |
Definiuje interwał agregacji i zakres czasu wyszukiwania. Jeśli na przykład ustawisz wartość "binSize": 120 , możesz pobrać wpisy dla 02:00 to 04:00 i 04:00 to 06:00 . |
query |
zapytanie język zapytań Kusto (KQL) | Definiuje zapytanie do wykonania w regule. Nie musisz określać zakresu czasu, ponieważ binSize parametr określa interwał agregacji — na przykład 02:00 to 03:00 jeśli "binSize": 60 . Jeśli dodasz filtr czasu w zapytaniu, wściekłość czasowa używana w zapytaniu jest przecięciem między filtrem a rozmiarem pojemnika. |
destinationTable |
tablename_CL |
Określa nazwę docelowej niestandardowej tabeli dziennika. Wartość nazwy musi mieć sufiks _CL . Usługa Azure Monitor tworzy tabelę w obszarze roboczym, jeśli jeszcze nie istnieje, na podstawie zapytania ustawionego w regule. Jeśli tabela już istnieje w obszarze roboczym, usługa Azure Monitor dodaje wszelkie nowe kolumny wprowadzone w zapytaniu. Jeśli wyniki podsumowania zawierają zarezerwowaną nazwę kolumny — taką jak TimeGenerated , , _ResourceId _IsBillable , TenantId lub Type — usługa Azure Monitor dołącza _Original prefiks do oryginalnych pól w celu zachowania oryginalnych wartości. |
binDelay (opcjonalny) |
Liczba całkowita (minuty) | Ustawia czas oczekiwania przed wykonaniem pojemnika, zwykle przydatny podczas wykonywania na danych przychodzących z opóźnieniem, nazywanym również opóźnieniem pozyskiwania, i umożliwia uzyskanie większości danych. Domyślne opóźnienie wynosi od trzech do pół minut do 10% binSize wartości. Jeśli wiesz, że zapytanie dotyczące danych jest zwykle pozyskiwane z opóźnieniem, ustaw binDelay parametr ze znaną wartością opóźnienia lub większą, maksymalnie 1440 minut. Aby uzyskać więcej informacji, zobacz Konfigurowanie chronometrażu agregacji.W niektórych przypadkach usługa Azure Monitor może nieco rozpocząć wykonywanie pojemnika po opóźnieniu zestawu pojemników w celu zapewnienia niezawodności usługi i powodzenia zapytań. |
binStartTime (opcjonalny) |
Data/godzina w%Y-%n-%eT%H:%M %Z format |
Określa datę i godzinę początkowego wykonania pojemnika. Wartość może zaczynać się od daty i godziny utworzenia reguły pomniejszonej o binSize wartość lub później i w ciągu całych godzin. Jeśli na przykład data/godzina wynosi 2023-12-03T12:13Z binSize 1440, najwcześniejsza prawidłowa binStartTime wartość to 2023-12-02T13:00Z , a agregacja obejmuje dane rejestrowane między 02T13:00 a 03T13:00. W tym scenariuszu reguły zaczynają agregować wartość 03T13:00 oraz domyślne lub określone opóźnienie. Parametr binStartTime jest przydatny w scenariuszach podsumowania dziennego. Załóżmy, że jesteś w strefie czasowej UTC-8 i tworzysz regułę dzienną o godzinie 2023-12-03T12:13Z . Chcesz, aby reguła została ukończona przed rozpoczęciem dnia o 8:00 (00:00 UTC). binStartTime Ustaw parametr na 2023-12-02T22:00Z . Pierwsza agregacja obejmuje wszystkie zarejestrowane dane z zakresu od 02T:06:00 do 03T:06:00 czasu lokalnego, a reguła jest uruchamiana w tym samym czasie codziennie. Aby uzyskać więcej informacji, zobacz Konfigurowanie chronometrażu agregacji.Podczas aktualizowania reguł można wykonać następujące czynności: — Użyj istniejącej binStartTime wartości lub usuń binStartTime parametr , w którym przypadku wykonywanie będzie kontynuowane na podstawie początkowej definicji.— Zaktualizuj regułę przy użyciu nowej binStartTime wartości, aby ustawić nową wartość daty/godziny. |
timeSelector (opcjonalny) |
TimeGenerated |
Definiuje pole znacznika czasu używane przez usługę Azure Monitor do agregowania danych. Jeśli na przykład ustawisz "binSize": 120 wartość , możesz pobrać wpisy z wartością TimeGenerated między 02:00 i 04:00 . |
Konfigurowanie chronometrażu agregacji
Domyślnie reguła podsumowania tworzy pierwszą agregację wkrótce po następnej pełnej godzinie.
Krótkie opóźnienie usługi Azure Monitor dodaje konta na potrzeby opóźnienia pozyskiwania — lub czas między utworzeniem danych w monitorowanym systemie a czasem, w jaki staną się dostępne do analizy w usłudze Azure Monitor. Domyślnie to opóźnienie wynosi od trzech do pół minut do 10% wartości "rozmiaru pojemnika" przed agregowaniem każdego pojemnika. W większości przypadków to opóźnienie gwarantuje, że usługa Azure Monitor agreguje wszystkie zarejestrowane dane w każdym przedziale czasu.
Na przykład:
Utworzysz regułę podsumowania o rozmiarze pojemnika o rozmiarze 30 minut o godzinie 14:44.
Reguła tworzy pierwszą agregację krótko po 15:00 — na przykład o godzinie 15:04 — dla danych zarejestrowanych między 14:30 a 15:00.
Utworzysz regułę podsumowania o rozmiarze pojemnika o rozmiarze 720 minut (12 godzin) o godzinie 14:44.
Reguła tworzy pierwszą agregację o wartości 16:12– 72 minut (10% rozmiaru pojemnika 720) po 13:00 — w przypadku danych zarejestrowanych między 03:00 a 15:00.
binStartTime
Użyj parametrów ibinDelay
, aby zmienić czas pierwszej agregacji i opóźnienie, które usługa Azure Monitor dodaje przed każdą agregacją.
W następnych sekcjach przedstawiono przykłady domyślnego chronometrażu agregacji i bardziej zaawansowanych opcji chronometrażu agregacji.
Użyj domyślnego chronometrażu agregacji
W tym przykładzie reguła podsumowania jest tworzona pod adresem 2023-06-07 o godzinie 14:44, a usługa Azure Monitor dodaje domyślne opóźnienie 4 minut.
binSize (minuty) | Uruchamianie początkowej reguły | Pierwsza agregacja | Druga agregacja |
---|---|---|---|
1440 | 2023-06-07 15:04 | 2023-06-06 15:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 15:00 |
720 | 2023-06-07 15:04 | 2023-06-07 03:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-08 03:00 |
360 | 2023-06-07 15:04 | 2023-06-07 09:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 21:00 |
180 | 2023-06-07 15:04 | 2023-06-07 12:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 18:00 |
120 | 2023-06-07 15:04 | 2023-06-07 13:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 17:00 |
60 | 2023-06-07 15:04 | 2023-06-07 14:00 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 16:00 |
30 | 2023-06-07 15:04 | 2023-06-07 14:30 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:30 |
20 | 2023-06-07 15:04 | 2023-06-07 14:40 - 2023-06-07 15:00 | 2023-06-07 15:00 - 2023-06-07 15:20 |
Ustawianie opcjonalnych parametrów chronometrażu agregacji
W tym przykładzie reguła podsumowania jest tworzona pod adresem 2023-06-07 o godzinie 14:44, a reguła zawiera następujące zaawansowane ustawienia konfiguracji:
binStartTime
: 2023-06-08 07:00binDelay
: 8 minut
binSize (minuty) | Uruchamianie początkowej reguły | Pierwsza agregacja | Druga agregacja |
---|---|---|---|
1440 | 2023-06-09 07:08 | 2023-06-08 07:00 - 2023-06-09 07:00 | 2023-06-09 07:00 - 2023-06-10 07:00 |
720 | 2023-06-08 19:08 | 2023-06-08 07:00 - 2023-06-08 19:00 | 2023-06-08 19:00 - 2023-06-09 07:00 |
360 | 2023-06-08 13:08 | 2023-06-08 07:00 - 2023-06-08 13:00 | 2023-06-08 13:00 - 2023-06-08 19:00 |
180 | 2023-06-08 10:08 | 2023-06-08 07:00 - 2023-06-08 10:00 | 2023-06-08 10:00 - 2023-06-08 13:00 |
120 | 2023-06-08 09:08 | 2023-06-08 07:00 - 2023-06-08 09:00 | 2023-06-08 09:00 - 2023-06-08 11:00 |
60 | 2023-06-08 08:08 | 2023-06-08 07:00 - 2023-06-08 08:00 | 2023-06-08 08:00 - 2023-06-08 09:00 |
30 | 2023-06-08 07:38 | 2023-06-08 07:00 - 2023-06-08 07:30 | 2023-06-08 07:30 - 2023-06-08 08:00 |
20 | 2023-06-08 07:28 | 2023-06-08 07:00 - 2023-06-08 07:20 | 2023-06-08 07:20 - 2023-06-08 07:40 |
Wyświetlanie reguł podsumowania
Użyj tego GET
wywołania interfejsu API, aby wyświetlić konfigurację określonej reguły podsumowania:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}
Użyj tego GET
wywołania interfejsu API, aby wyświetlić konfigurację, aby wyświetlić konfigurację wszystkich reguł podsumowania w obszarze roboczym usługi Log Analytics:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}
Zatrzymywanie i ponowne uruchamianie reguły podsumowania
Regułę można zatrzymać przez pewien okres — na przykład jeśli chcesz sprawdzić, czy dane są pozyskiwane do tabeli i nie chcesz wpływać na podsumowaną tabelę i raporty. Po ponownym uruchomieniu reguły usługa Azure Monitor rozpoczyna przetwarzanie danych z następnej godziny lub na podstawie zdefiniowanego binStartTime
(opcjonalnego) parametru.
Aby zatrzymać regułę, użyj tego POST
wywołania interfejsu API:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}
Aby ponownie uruchomić regułę, użyj tego POST
wywołania interfejsu API:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}
Usuwanie reguły podsumowania
W obszarze roboczym usługi Log Analytics może być maksymalnie 30 aktywnych reguł podsumowania. Jeśli chcesz utworzyć nową regułę, ale masz już 30 aktywnych reguł, musisz zatrzymać lub usunąć aktywną regułę podsumowania.
Aby usunąć regułę, użyj tego DELETE
wywołania interfejsu API:
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}
Monitorowanie reguł podsumowania
Aby monitorować reguły podsumowania, włącz kategorię Dzienniki podsumowania w ustawieniach diagnostycznych obszaru roboczego usługi Log Analytics. Usługa Azure Monitor wysyła szczegóły wykonywania reguły podsumowania, w tym informacje dotyczące uruchamiania reguły podsumowania, powodzenia i niepowodzenia do tabeli LASummaryLogs w obszarze roboczym.
Zalecamy skonfigurowanie reguł alertów dziennika w celu otrzymywania powiadomień o błędach pojemnika lub zbliża się limit czasu wykonywania pojemnika, jak pokazano poniżej. W zależności od przyczyny niepowodzenia można zmniejszyć rozmiar pojemnika, aby przetworzyć mniej danych w każdym wykonaniu, lub zmodyfikować zapytanie, aby zwrócić mniej rekordów lub pól o większym woluminie.
To zapytanie zwraca nieudane uruchomienia:
LASummaryLogs | where Status == "Failed"
To zapytanie zwraca bin uruchamiane, QueryDurationMs
gdzie wartość jest większa niż 0,9 x 600 000 milisekund:
LASummaryLogs | where QueryDurationMs > 0.9 * 600000
Weryfikowanie kompletności danych
Reguły podsumowania są przeznaczone do skalowania i obejmują mechanizm ponawiania prób w celu przezwyciężenia przejściowych błędów usługi lub zapytań związanych z limitami zapytań, na przykład. Mechanizm ponawiania próby wykonuje 10 prób zagregowania pojemnika, który zakończył się niepowodzeniem w ciągu ośmiu godzin, i pomija pojemnik, jeśli zostanie wyczerpany. Reguła jest ustawiona na isActive: false
i wstrzymana po ośmiu kolejnych ponownych próbach pojemnika. Jeśli włączysz reguły podsumowania monitorowania, usługa Azure Monitor rejestruje zdarzenie w LASummaryLogs
tabeli w obszarze roboczym.
Nie można ponownie uruchomić nieudanego uruchomienia pojemnika, ale możesz użyć następującego zapytania, aby wyświetlić przebiegi, które zakończyły się niepowodzeniem:
let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart
To zapytanie renderuje wyniki jako schemat czasu:
Zobacz sekcję Monitorowanie reguł podsumowania, aby uzyskać opcje korygowania reguł i proaktywne alerty.
Szyfrowanie zapytań reguł podsumowania przy użyciu kluczy zarządzanych przez klienta
Zapytanie KQL może zawierać poufne informacje w komentarzach lub składni zapytania. Aby zaszyfrować zapytania dotyczące reguł podsumowania, połącz konto magazynu z obszarem roboczym usługi Log Analytics i użyj kluczy zarządzanych przez klienta.
Zagadnienia dotyczące pracy z zaszyfrowanymi zapytaniami:
- Łączenie konta magazynu w celu szyfrowania zapytań nie przerywa istniejących reguł.
- Domyślnie usługa Azure Monitor przechowuje zapytania dotyczące reguł podsumowania w magazynie usługi Log Analytics. Jeśli masz istniejące reguły podsumowania przed połączeniem konta magazynu z obszarem roboczym usługi Log Analytics, zaktualizuj reguły podsumowania, aby zapytania zapisywały istniejące zapytania na koncie magazynu.
- Zapytania zapisywane na koncie magazynu znajdują się w
CustomerConfigurationStoreTable
tabeli. Te zapytania są traktowane jako artefakty usługi, a ich format może ulec zmianie. - Możesz użyć tego samego konta magazynu na potrzeby zapytań dotyczących reguł podsumowania, zapisanych zapytań w usłudze Log Analytics i alertów dzienników.
Rozwiązywanie problemów z regułami podsumowania
Ta sekcja zawiera porady dotyczące rozwiązywania problemów z regułami podsumowania.
Tabela docelowa reguły podsumowania przypadkowo usunięta
Jeśli usuniesz tabelę docelową, gdy reguła podsumowania jest aktywna, reguła zostanie zawieszona, a usługa Azure Monitor wyśle zdarzenie do LASummaryLogs
tabeli z komunikatem wskazującym, że reguła została zawieszona.
Jeśli nie potrzebujesz wyników podsumowania w tabeli docelowej, usuń regułę i tabelę. Jeśli chcesz odzyskać wyniki podsumowania, wykonaj kroki opisane w sekcji Tworzenie lub aktualizowanie reguł podsumowania, aby ponownie utworzyć tabelę. Tabela docelowa zostanie przywrócona, w tym dane pozyskane przed usunięciem, w zależności od zasad przechowywania w tabeli.
Jeśli nie potrzebujesz wyników podsumowania w tabeli docelowej, usuń regułę i tabelę. Jeśli potrzebujesz wyników podsumowania, wykonaj kroki opisane w sekcji Tworzenie lub aktualizowanie reguł podsumowania, aby ponownie utworzyć tabelę docelową i przywrócić wszystkie dane, w tym dane pozyskane przed usunięciem, w zależności od zasad przechowywania w tabeli.
Zapytanie używa operatorów tworzących nowe kolumny w tabeli docelowej
Schemat tabeli docelowej jest definiowany podczas tworzenia lub aktualizowania reguły podsumowania. Jeśli zapytanie w regule podsumowania zawiera operatory, które umożliwiają rozszerzanie schematu wyjściowego na podstawie danych przychodzących — na przykład jeśli zapytanie używa arg_max(expression, *)
funkcji — usługa Azure Monitor nie dodaje nowych kolumn do tabeli docelowej po utworzeniu lub zaktualizowaniu reguły podsumowania, a dane wyjściowe, które wymagają tych kolumn, zostaną usunięte. Aby dodać nowe pola do tabeli docelowej, zaktualizuj regułę podsumowania lub ręcznie dodaj kolumnę do tabeli.
Dane w usuniętych kolumnach pozostają w obszarze roboczym na podstawie ustawień przechowywania tabeli
Po usunięciu pola w zapytaniu kolumny i dane pozostają w miejscu docelowym i na podstawie okresu przechowywania zdefiniowanego w tabeli lub obszarze roboczym. Jeśli nie potrzebujesz usuniętej tabeli docelowej, usuń kolumny ze schematu tabeli. Jeśli następnie dodasz kolumny o tej samej nazwie, wszystkie dane, które nie są starsze, że okres przechowywania pojawi się ponownie.
Powiązana zawartość
- Dowiedz się więcej o planach danych dzienników usługi Azure Monitor.
- Zapoznaj się z samouczkiem dotyczącym korzystania z trybu KQL w usłudze Log Analytics.
- Uzyskaj dostęp do pełnej dokumentacji referencyjnej dla języka KQL.