Granska frågor i Azure Monitor-loggar
Loggfrågegranskningsloggar tillhandahåller telemetri om loggfrågor som körs i Azure Monitor. Detta inkluderar information som när en fråga kördes, vem som körde den, vilket verktyg som användes, frågetexten och prestandastatistik som beskriver frågans körning.
Konfigurera frågegranskning
Frågegranskning är aktiverat med en diagnostikinställning på Log Analytics-arbetsytan. På så sätt kan du skicka granskningsdata till den aktuella arbetsytan eller någon annan arbetsyta i din prenumeration, till Azure Event Hubs för att skicka utanför Azure eller till Azure Storage för arkivering.
Azure Portal
Få åtkomst till diagnostikinställningen för en Log Analytics-arbetsyta i Azure Portal på någon av följande platser:
På Azure Monitor-menyn väljer du Diagnostikinställningar och letar sedan upp och väljer arbetsytan.
På menyn Log Analytics-arbetsytor väljer du arbetsytan och väljer sedan Diagnostikinställningar.
Resource Manager-mall
Du kan hämta ett exempel på en Resource Manager-mall från diagnostikinställningen för Log Analytics-arbetsytan.
Granska data
En granskningspost skapas varje gång en fråga körs. Om du skickar data till en Log Analytics-arbetsyta lagras de i en tabell med namnet LAQueryLogs. I följande tabell beskrivs egenskaperna i varje post för granskningsdata.
| Fält | beskrivning |
|---|---|
| TimeGenerated | UTC-tid när frågan skickades. |
| CorrelationId | Unikt ID för att identifiera frågan. Kan användas i felsökningsscenarier när du kontaktar Microsoft för att få hjälp. |
| AADObjectId | Microsoft Entra-ID för användarkontot som startade frågan. |
| AADTenantId | ID för klientorganisationen för användarkontot som startade frågan. |
| AADE-post | E-post för klientorganisationen för användarkontot som startade frågan. |
| AADClientId | ID och löst namn på det program som används för att starta frågan. |
| RequestClientApp | Löst namn på det program som används för att starta frågan. Mer information finns i begära klientapp.. |
| QueryTimeRangeStart | Start av det tidsintervall som valts för frågan. Detta kanske inte fylls i i vissa scenarier, till exempel när frågan startas från Log Analytics, och tidsintervall anges i frågan i stället för tidsväljaren. |
| QueryTimeRangeEnd | Slutet av det tidsintervall som valts för frågan. Detta kanske inte fylls i i vissa scenarier, till exempel när frågan startas från Log Analytics, och tidsintervall anges i frågan i stället för tidsväljaren. |
| QueryText | Text för frågan som kördes. |
| RequestTarget | API-URL användes för att skicka frågan. |
| RequestContext | Lista över resurser som frågan begärdes att köras mot. Innehåller upp till tre strängmatriser: arbetsytor, program och resurser. Prenumerations- eller resursgruppsinriktade frågor visas som resurser. Innehåller målet som requestTarget antyder. Resurs-ID:t för varje resurs inkluderas om det kan lösas. Det kanske inte går att lösa om ett fel returneras vid åtkomst till resursen. I det här fallet används den specifika texten från frågan. Om frågan använder ett tvetydigt namn, till exempel ett arbetsytenamn som finns i flera prenumerationer, används det här tvetydiga namnet. |
| RequestContextFilters | Uppsättning filter som anges som en del av frågeanropet. Innehåller upp till tre möjliga strängmatriser: – ResourceTypes – resurstyp för att begränsa frågans omfattning – Arbetsytor – lista över arbetsytor som begränsar frågan till – WorkspaceRegions – lista över arbetsyteregioner för att begränsa frågan |
| ResponseCode | HTTP-svarskoden returnerades när frågan skickades. |
| ResponseDurationMs | Tid för svaret att returneras. |
| ResponseRowCount | Totalt antal rader som returneras av frågan. |
| StatsCPUTimeMs | Total beräkningstid som används för databehandling, parsning och datahämtning. Fylls endast i om frågan returneras med statuskod 200. |
| StatsDataProcessedKB | Mängden data som användes för att bearbeta frågan. Påverkas av måltabellens storlek, det tidsintervall som används, vilka filter som används och antalet kolumner som refereras till. Fylls endast i om frågan returneras med statuskod 200. |
| StatsDataProcessedStart | Tid för äldsta data som användes för att bearbeta frågan. Påverkas av frågans explicita tidsintervall och filter som tillämpas. Detta kan vara större än det explicita tidsintervallet på grund av datapartitionering. Fylls endast i om frågan returneras med statuskod 200. |
| StatsDataProcessedEnd | Tid för de senaste data som användes för att bearbeta frågan. Påverkas av frågans explicita tidsintervall och filter som tillämpas. Detta kan vara större än det explicita tidsintervallet på grund av datapartitionering. Fylls endast i om frågan returneras med statuskod 200. |
| StatsWorkspaceCount | Antal arbetsytor som används av frågan. Fylls endast i om frågan returneras med statuskod 200. |
| StatsRegionCount | Antal regioner som nås av frågan. Fylls endast i om frågan returneras med statuskod 200. |
Begära klientapp
| RequestClientApp | beskrivning |
|---|---|
| AAPBI | Log Analytics-integrering med Power BI. |
| AppAnalytics | Erfarenheter av Log Analytics i Azure Portal. |
| AppInsightsPortalExtension | Arbetsböcker eller Application Insights. |
| ASC_Portal | Microsoft Defender for Cloud. |
| ASI_Portal | Vaktpost. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Azure Monitor Logs Connector. |
| csharpsdk | Log Analytics Query API. |
| Utkastövervakare | Skapa loggsökningsaviseringar i Azure Portal. |
| Grafana | Grafana-anslutningsapp. |
| IbizaExtension | Erfarenheter av Log Analytics i Azure Portal. |
| infraInsights/container | Containerinsikter. |
| infraInsights/vm | VM-insikter. |
| LogAnalyticsExtension | Azure-instrumentpanel. |
| LogAnalyticsPSClient | Log Analytics Query API. |
| OmsAnalyticsPBI | Log Analytics-integrering med Power BI. |
| PowerBIConnector | Log Analytics-integrering med Power BI. |
| Sentinel-Investigation-Queries | Vaktpost. |
| Sentinel-DataCollectionAggregator | Vaktpost. |
| Sentinel-analyticsManagement-customerQuery | Vaktpost. |
| Okänt | Log Analytics Query API. |
| UpdateManagement | Uppdateringshantering. |
Att tänka på
- Frågor loggas endast när de körs i en användarkontext. Ingen tjänst-till-tjänst i Azure loggas. De två primära uppsättningarna med frågor som det här undantaget omfattar är faktureringsberäkningar och automatiserade aviseringskörningar. När det gäller aviseringar loggas inte bara den schemalagda aviseringsfrågan. den första körningen av aviseringen på skärmen för att skapa aviseringar körs i en användarkontext och kommer att vara tillgänglig i granskningssyfte.
- Prestandastatistik är inte tillgängligt för frågor som kommer från Azure Data Explorer-proxyn. Alla andra data för dessa frågor fylls fortfarande i.
- H-tipset om strängar som döljer strängliteraler påverkar inte frågegranskningsloggarna. Frågorna registreras exakt som de skickas utan att strängen fördunklars. Du bör se till att endast användare som har efterlevnadsbehörighet för att se dessa data kan göra det med hjälp av de olika Kubernetes RBAC- eller Azure RBAC-lägena som är tillgängliga på Log Analytics-arbetsytor.
- För frågor som innehåller data från flera arbetsytor samlas frågan bara in på de arbetsytor som användaren har åtkomst till.
Kostnader
Det kostar ingenting för Azure Diagnostic Extension, men du kan debiteras för data som matas in. Kontrollera prissättningen för Azure Monitor för målet där du samlar in data.
Nästa steg
- Läs mer om diagnostikinställningar.
- Läs mer om hur du optimerar loggfrågor.