Övning – Dirigera resursloggar till Log Analytics och visa sedan loggdata

  • 8 minuter

I den här övningen skapar du en Log Analytics-arbetsyta, skapar en diagnostikinställning som dirigerar loggar till den arbetsytan och sedan använder en fråga för att visa aktivitet i ditt lagringskonto.

Skapa en Log Analytics-arbetsyta

  1. I Azure-portalen söker du efter och väljer Log Analytics-arbetsytor.

  2. Välj + Skapaoch ange sedan värden för följande alternativ:

    • Välj Concierge-prenumeration från prenumerationslistrutan.

    • För resursgruppväljer du [Sandbox-resursgrupp] resursgrupp.

    • Ange ett namn för den nya Log Analytics-arbetsytan, till exempel DefaultLAWorkspace. Det här namnet måste vara unikt per resursgrupp.

    • Välj en tillgänglig Region.

  3. Välj Granska + skapa för att granska inställningarna och välj sedan Skapa för att skapa arbetsytan.

Skapa en diagnostikinställning

  1. På menyn i Azure-portalen väljer du Lagringskonton.

  2. På sidan Lagringskonton väljer du namnet på det lagringskonto som du skapade i föregående övning.

  3. I avsnittet Övervakning väljer du Diagnostikinställningar.

  4. I fönstret Diagnostikinställningar väljer du bloboch väljer sedan + Lägg till diagnostikinställning.

  5. I rutan Diagnostikinställningens namn, ange ett namn för inställningen.

  6. I avsnittet Kategorier markerar du kryssrutan för StorageRead. I avsnittet Målinformation markerar du kryssrutan bredvid Skicka till Log Analytics-arbetsytan.

  7. I listrutan Log Analytics-arbetsyta väljer du den Log Analytics-arbetsyta som du skapade i föregående avsnitt.

  8. Välj Spara.

Ladda ned en blob för att generera aktivitet

  1. Gå tillbaka till ditt lagringskonto. I avsnittet Data Storage väljer du Containers.

  2. I panelen Containers väljer du den container som du skapade i den senaste övningen.

  3. Välj en blob som du har lagt till, välj ...och välj Ladda ned.

Visa loggad aktivitet med hjälp av en Log Analytics-fråga

  1. Gå tillbaka till ditt lagringskonto. I avsnittet Övervakning väljer du Loggar.

    Fönstret Frågor visas. Det här fönstret innehåller flera frågor som du kan köra. Du kan också anpassa några av dessa frågor genom att föra muspekaren över frågan och sedan välja Läs in till redigeraren som visas för frågan. I den här övningen skapar vi en fråga från grunden.

  2. Stäng fönstret Frågor genom att välja X i hörnet av fönstret.

    Frågeredigeraren visas.

  3. Lägg till följande fråga i frågeredigeraren.

    StorageBlobLogs
| where TimeGenerated > ago(1h) and OperationName  == "GetBlob"
| project TimeGenerated, AuthenticationType, RequesterObjectId, OperationName, Uri

    Den här frågan visar läsåtgärder som inträffade under den senaste timmen och innehåller olika fält, till exempel hur begäran var autentisering, namnet på åtgärden och resursens URI. En läsåtgärd bör visas för nedladdningsåtgärden som du precis utförde.

  4. Välj Kör.