Bagikan melalui

Agregat data di ruang kerja Analitik Log dengan menggunakan aturan ringkasan (Pratinjau)

  • Artikel

Aturan ringkasan memungkinkan Anda mengagregasi data log secara berkala dan mengirim hasil agregat ke tabel log kustom di ruang kerja Analitik Log Anda. Gunakan aturan ringkasan untuk mengoptimalkan data Anda untuk:

  • Analisis dan laporan, terutama melalui himpunan data dan rentang waktu besar, sebagaimana diperlukan untuk analisis keamanan dan insiden, laporan bisnis bulan ke bulan atau tahunan, dan sebagainya. Kueri kompleks pada himpunan data besar sering kehabisan waktu. Lebih mudah dan lebih efisien untuk menganalisis dan melaporkan data ringkasan yang dibersihkan dan dikumpulkan.

  • Penghematan biaya pada log verbose, yang dapat Anda pertahankan sesedikit atau selama yang Anda butuhkan dalam tabel log Dasar yang murah, dan mengirim data ringkasan ke tabel Analitik untuk analisis dan laporan.

  • Privasi keamanan dan data dengan menghapus atau mengaburkan detail privasi dalam data yang dapat dibagikan yang dirangkum dan membatasi akses ke tabel dengan data mentah.

Artikel ini menjelaskan cara kerja aturan ringkasan dan cara menentukan dan melihat aturan ringkasan, dan menyediakan beberapa contoh penggunaan dan manfaat aturan ringkasan.

Berikut adalah video yang memberikan gambaran umum tentang beberapa manfaat aturan ringkasan:

Cara kerja aturan ringkasan

Aturan ringkasan melakukan pemrosesan batch langsung di ruang kerja Analitik Log Anda. Aturan ringkasan menggabungkan potongan data, yang ditentukan oleh ukuran bin, berdasarkan kueri KQL, dan menyerap kembali hasil yang dirangkum ke dalam tabel kustom dengan rencana log Analitik di ruang kerja Analitik Log Anda.

Diagram yang memperlihatkan bagaimana data diserap ke ruang kerja Analitik Log dan dikumpulkan dan diserap kembali ke ruang kerja dengan menggunakan aturan ringkasan.

Anda dapat menggabungkan data dari tabel apa pun, terlepas dari apakah tabel memiliki paket data Analytics atau Basic. Azure Monitor membuat skema tabel tujuan berdasarkan kueri yang Anda tentukan. Jika tabel tujuan sudah ada, Azure Monitor menambahkan kolom apa pun yang diperlukan untuk mendukung hasil kueri. Semua tabel tujuan juga menyertakan sekumpulan bidang standar dengan informasi aturan ringkasan, termasuk:

  • _RuleName: Aturan ringkasan yang menghasilkan entri log agregat.
  • _RuleLastModifiedTime: Ketika aturan terakhir diubah.
  • _BinSize: Interval agregasi.
  • _BinStartTime: Waktu mulai agregasi.

Anda dapat mengonfigurasi hingga 30 aturan aktif untuk mengagregasi data dari beberapa tabel dan mengirim data agregat ke tabel tujuan terpisah atau tabel yang sama.

Anda dapat mengekspor data ringkasan dari tabel log kustom ke akun penyimpanan atau Azure Event Hubs untuk integrasi lebih lanjut dengan menentukan aturan ekspor data.

Contoh: Meringkas data ContainerLogsV2

Jika Anda memantau kontainer, Anda menyerap sejumlah besar log verbose ke ContainerLogsV2 dalam tabel.

Anda mungkin menggunakan kueri ini dalam aturan ringkasan Anda untuk menggabungkan semua entri log unik dalam waktu 60 menit, menyimpan data yang berguna untuk analisis dan menghilangkan data yang tidak Anda perlukan:

ContainerLogV2 | summarize Count = count() by  Computer, ContainerName, PodName, PodNamespace, LogSource, LogLevel, Message = tostring(LogMessage.Message)

Berikut adalah data mentah dalam ContainerLogsV2 tabel:

Cuplikan layar yang memperlihatkan data log mentah dalam tabel ContainerLogsV2.

Berikut adalah data agregat yang dikirim aturan ringkasan ke tabel tujuan:

Cuplikan layar yang menggabungkan data yang dikirim aturan ringkasan ke tabel tujuan.

Alih-alih mencatat ratusan entri serupa dalam satu jam, tabel tujuan memperlihatkan jumlah setiap entri unik, seperti yang didefinisikan dalam kueri KQL. Atur paket data Dasar pada ContainerLogsV2 tabel untuk retensi data mentah yang murah, dan gunakan data ringkasan dalam tabel tujuan untuk kebutuhan analisis Anda.

Izin yang diperlukan

Perbuatan Izin yang diperlukan
Membuat atau memperbarui aturan ringkasan Microsoft.Operationalinsights/workspaces/summarylogs/write izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Kontributor Analitik Log, misalnya
Membuat atau memperbarui tabel tujuan Microsoft.OperationalInsights/workspaces/tables/write izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Kontributor Analitik Log, misalnya
Mengaktifkan operasi kueri di ruang kerja Microsoft.OperationalInsights/workspaces/query/read izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Pembaca Analitik Log, misalnya
Mengkueri semua tabel di ruang kerja Microsoft.OperationalInsights/workspaces/query/*/read izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Pembaca Analitik Log, misalnya
Log kueri dalam tabel Microsoft.OperationalInsights/workspaces/query/<table>/read izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Pembaca Analitik Log, misalnya
Log kueri dalam tabel (tindakan tabel) Microsoft.OperationalInsights/workspaces/tables/query/read izin ke ruang kerja Analitik Log, seperti yang disediakan oleh peran bawaan Pembaca Analitik Log, misalnya
Menggunakan kueri yang dienkripsi di akun penyimpanan yang dikelola pelanggan Microsoft.Storage/storageAccounts/*izin ke akun penyimpanan, sebagaimana disediakan oleh peran bawaan Kontributor Akun Penyimpanan, misalnya

Pertimbangan implementasi

  • Jumlah maksimum aturan aktif di ruang kerja adalah 30.
  • Aturan ringkasan saat ini hanya tersedia di cloud publik.
  • Aturan ringkasan memproses data masuk dan tidak dapat dikonfigurasi pada rentang waktu historis.
  • Ketika percobaan ulang eksekusi bin habis, bin dilewati dan tidak dapat dijalankan kembali.
  • Mengkueri ruang kerja Analitik Log di penyewa lain dengan menggunakan Lighthouse tidak didukung.

Rencana harga

Tidak ada biaya tambahan untuk aturan Ringkasan. Anda hanya membayar kueri dan penyerapan hasil ke tabel tujuan, berdasarkan rencana tabel tabel sumber tempat Anda menjalankan kueri:

Paket tabel sumber Biaya kueri Ringkasan menghasilkan biaya penyerapan
Analitik Tanpa biaya Penyerapan log Analitik
Dasar dan Tambahan Pemindaian data Penyerapan log Analitik

Misalnya, perhitungan biaya untuk aturan per jam yang mengembalikan 100 rekaman per bin adalah:

Paket tabel sumber Perhitungan harga bulanan
Analitik Harga penyerapan x volume rekaman x jumlah rekaman x 24 jam x 30 hari.
Dasar dan Tambahan Harga pemindaian data x volume yang dipindai + Harga penyerapan x volume rekaman x jumlah rekaman x 24 jam x 30 hari. Untuk aturan yang terus berjalan, semua data masuk ke tabel sumber dipindai.

Untuk informasi selengkapnya, lihat Harga Azure Monitor.

Membuat atau memperbarui aturan ringkasan

Operator yang bisa Anda gunakan dalam aturan ringkasan kueri Anda bergantung pada rencana tabel sumber dalam kueri.

  • Analitik: Mendukung semua operator dan fungsi KQL, kecuali untuk:
    • Kueri lintas sumber daya, yang menggunakan workspaces()ekspresi , , app()dan resource() , dan kueri lintas layanan, yang menggunakan ADX() ekspresi dan ARG() .
    • Plugin yang membentuk ulang skema data, termasuk bongkar tas, sempit, dan pivot.
  • Dasar: Mendukung semua operator KQL pada satu tabel. Anda dapat menggabungkan hingga lima tabel Analytics menggunakan operator pencarian .
  • Fungsi: Fungsi yang ditentukan pengguna tidak didukung. Fungsi sistem yang disediakan oleh Microsoft didukung.

Aturan ringkasan paling bermanfaat dalam hal biaya dan pengalaman kueri ketika jumlah hasil atau volume berkurang secara signifikan. Misalnya, bertujuan untuk volume hasil 0,01% atau kurang dari sumber. Sebelum Anda membuat aturan, kueri eksperimen di Analitik Log, dan verifikasi bahwa kueri tidak mencapai atau mendekati batas API kueri. Periksa apakah kueri menghasilkan hasil dan skema yang diharapkan. Jika kueri mendekati batas kueri, pertimbangkan untuk menggunakan 'ukuran bin' yang lebih kecil untuk memproses lebih sedikit data per bin. Anda juga bisa mengubah kueri untuk mengembalikan lebih sedikit rekaman atau bidang dengan volume yang lebih tinggi.

Saat Anda memperbarui kueri dan ada lebih sedikit bidang dalam hasil ringkasan, Azure Monitor tidak secara otomatis menghapus kolom dari tabel tujuan, dan Anda perlu menghapus kolom dari tabel Anda secara manual.

Untuk membuat atau memperbarui aturan ringkasan, lakukan panggilan API ini PUT :

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

{
  "properties": {
      "ruleType": "User",
      "description": "My test rule",
      "ruleDefinition": {
          "query": "StorageBlobLogs | summarize count() by AccountName",
          "binSize": 30,
          "destinationTable": "MySummaryLogs_CL"
      }
  }
}

Tabel ini menjelaskan parameter aturan ringkasan:

Parameter Nilai yang valid Deskripsi
ruleType User atau System Menentukan jenis aturan.
- User: Aturan yang Anda tentukan.
- System: Aturan yang telah ditentukan sebelumnya yang dikelola oleh layanan Azure.
description String Menjelaskan aturan dan fungsinya. Parameter ini berguna ketika Anda memiliki beberapa aturan dan dapat membantu manajemen aturan.
binSize 20, , 6030, 120, 180, 360, 720, atau 1440 (menit) Menentukan interval agregasi dan rentang waktu lookback. Misalnya, jika Anda mengatur "binSize": 120, Anda mungkin mendapatkan entri untuk 02:00 to 04:00 dan 04:00 to 06:00.
query kueri Bahasa Kueri Kusto (KQL) Menentukan kueri yang akan dijalankan dalam aturan. Anda tidak perlu menentukan rentang waktu karena binSize parameter menentukan interval agregasi - misalnya, 02:00 to 03:00 jika "binSize": 60. Jika Anda menambahkan filter waktu dalam kueri, kemarahan waktu yang digunakan dalam kueri adalah persimpangan antara filter dan ukuran bin.
destinationTable tablename_CL Menentukan nama tabel log kustom tujuan. Nilai nama harus memiliki akhiran _CL. Azure Monitor membuat tabel di ruang kerja, jika belum ada, berdasarkan kueri yang Anda tetapkan dalam aturan. Jika tabel sudah ada di ruang kerja, Azure Monitor menambahkan kolom baru yang diperkenalkan dalam kueri.

Jika hasil ringkasan menyertakan nama kolom yang dipesan - seperti TimeGenerated, , _IsBillable, _ResourceIdTenantId, atau Type - Azure Monitor menambahkan _Original awalan ke bidang asli untuk mempertahankan nilai aslinya.
binDelay (opsional) Bilangan bulat (menit) Mengatur waktu untuk menunggu sebelum eksekusi bin, biasanya berguna saat dijalankan pada data yang terlambat tiba, juga dikenal sebagai latensi penyerapan, dan memungkinkan sebagian besar data tiba. Penundaan default adalah dari tiga setengah menit hingga 10% dari binSize nilai.

Jika Anda tahu bahwa data yang Anda kueri biasanya diserap dengan penundaan, atur binDelay parameter dengan nilai penundaan yang diketahui atau lebih besar, hingga 1440 menit. Untuk informasi selengkapnya, lihat Mengonfigurasi waktu agregasi.
Dalam beberapa kasus, Azure Monitor mungkin memulai eksekusi bin sedikit setelah penundaan bin yang ditetapkan untuk memastikan keandalan layanan dan keberhasilan kueri.
binStartTime (opsional) Tanggalwaktu dalam
format %Y-%n-%eT%H:%M %Z		 Menentukan tanggal dan waktu untuk eksekusi bin awal. Nilai dapat dimulai pada tanggalwaktu pembuatan aturan dikurangi binSize nilai, atau yang lebih baru dan dalam satu jam penuh. Misalnya, jika tanggalwaktu adalah dan binSize adalah 2023-12-03T12:13Z 1.440, nilai paling awal yang valid binStartTime adalah 2023-12-02T13:00Z, dan agregasi mencakup data yang dicatat antara 02T13:00 dan 03T13:00. Dalam skenario ini, aturan mulai menggabungkan 03T13:00 ditambah penundaan default atau yang ditentukan.

Parameter binStartTime ini berguna dalam skenario ringkasan harian. Misalkan Anda berada di zona waktu UTC-8 dan Anda membuat aturan harian di 2023-12-03T12:13Z. Anda ingin aturan selesai sebelum memulai hari Anda pada pukul 08.00 (00.00 UTC). Set binStartTime parameter ke 2023-12-02T22:00Z. Agregasi pertama mencakup semua data yang dicatat antara pukul 02T:06:00 dan 03T:06:00 waktu setempat, dan aturan berjalan pada saat yang sama setiap hari. Untuk informasi selengkapnya, lihat Mengonfigurasi waktu agregasi.

Saat memperbarui aturan, Anda dapat:
- Gunakan nilai yang ada binStartTime atau hapus binStartTime parameter, dalam hal ini eksekusi berlanjut berdasarkan definisi awal.
- Perbarui aturan dengan nilai baru binStartTime untuk menetapkan nilai tanggalwaktu baru.
timeSelector (opsional) TimeGenerated Menentukan bidang tanda waktu yang digunakan Azure Monitor untuk mengagregasi data. Misalnya, jika Anda mengatur "binSize": 120, Anda mungkin mendapatkan entri dengan TimeGenerated nilai antara 02:00 dan 04:00.

Mengonfigurasi waktu agregasi

Secara default, aturan ringkasan membuat agregasi pertama tak lama setelah satu jam penuh berikutnya.

Penundaan singkat Azure Monitor menambahkan akun untuk latensi penyerapan - atau waktu antara saat data dibuat dalam sistem yang dipantau dan waktu tersedia untuk analisis di Azure Monitor. Secara default, penundaan ini antara tiga setengah menit hingga 10% dari nilai 'ukuran bin' sebelum menggabungkan setiap bin. Dalam kebanyakan kasus, penundaan ini memastikan bahwa Azure Monitor menggabungkan semua data yang dicatat dalam setiap periode bin.

Contohnya:

  • Anda membuat aturan ringkasan dengan ukuran bin 30 menit pada pukul 14.44.

    Aturan membuat agregasi pertama tak lama setelah pukul 15.00 - misalnya, pukul 15.04 - untuk data yang dicatat antara pukul 14.30 dan 15.00.

  • Anda membuat aturan ringkasan dengan ukuran bin 720 menit (12 jam) pada pukul 14.44.

    Aturan ini membuat agregasi pertama pada pukul 16:12 - 72 menit (10% dari ukuran bin 720) setelah pukul 13:00 - untuk data yang dicatat antara pukul 03:00 dan 15:00.

binStartTime Gunakan parameter dan binDelay untuk mengubah waktu agregasi pertama dan penundaan yang ditambahkan Azure Monitor sebelum setiap agregasi.

Bagian berikutnya menyediakan contoh waktu agregasi default dan opsi waktu agregasi yang lebih canggih.

Gunakan waktu agregasi default

Dalam contoh ini, aturan ringkasan dibuat pada 2023-06-07 pada pukul 14:44, dan Azure Monitor menambahkan penundaan default empat menit.

binSize (menit) Eksekusi aturan awal Agregasi pertama Agregasi kedua
1440 2023-06-07 15:04 2023-06-06 15:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-08 15:00
720 2023-06-07 15:04 2023-06-07 03:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-08 03:00
360 2023-06-07 15:04 2023-06-07 09:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 21:00
180 2023-06-07 15:04 2023-06-07 12:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 18:00
120 2023-06-07 15:04 2023-06-07 13:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 17:00
60 2023-06-07 15:04 2023-06-07 14:00 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 16:00
30 2023-06-07 15:04 2023-06-07 14:30 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 15:30
20 2023-06-07 15:04 2023-06-07 14:40 - 2023-06-07 15:00 2023-06-07 15:00 - 2023-06-07 15:20

Mengatur parameter waktu agregasi opsional

Dalam contoh ini, aturan ringkasan dibuat pada 2023-06-07 pada pukul 14:44, dan aturan mencakup pengaturan konfigurasi tingkat lanjut ini:

  • binStartTime: 2023-06-08 07:00
  • binDelay: 8 menit
binSize (menit) Eksekusi aturan awal Agregasi pertama Agregasi kedua
1440 2023-06-09 07:08 2023-06-08 07:00 - 2023-06-09 07:00 2023-06-09 07:00 - 2023-06-10 07:00
720 2023-06-08 19:08 2023-06-08 07:00 - 2023-06-08 19:00 2023-06-08 19:00 - 2023-06-09 07:00
360 2023-06-08 13:08 2023-06-08 07:00 - 2023-06-08 13:00 2023-06-08 13:00 - 2023-06-08 19:00
180 2023-06-08 10:08 2023-06-08 07:00 - 2023-06-08 10:00 2023-06-08 10:00 - 2023-06-08 13:00
120 2023-06-08 09:08 2023-06-08 07:00 - 2023-06-08 09:00 2023-06-08 09:00 - 2023-06-08 11:00
60 2023-06-08 08:08 2023-06-08 07:00 - 2023-06-08 08:00 2023-06-08 08:00 - 2023-06-08 09:00
30 2023-06-08 07:38 2023-06-08 07:00 - 2023-06-08 07:30 2023-06-08 07:30 - 2023-06-08 08:00
20 2023-06-08 07:28 2023-06-08 07:00 - 2023-06-08 07:20 2023-06-08 07:20 - 2023-06-08 07:40

Menampilkan aturan ringkasan

Gunakan panggilan API ini GET untuk melihat konfigurasi untuk aturan ringkasan tertentu:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName1}?api-version=2023-01-01-preview
Authorization: {credential}

Gunakan panggilan API ini GET untuk melihat konfigurasi untuk melihat konfigurasi semua aturan ringkasan di ruang kerja Analitik Log Anda:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs?api-version=2023-01-01-preview
Authorization: {credential}

Menghentikan dan memulai ulang aturan ringkasan

Anda dapat menghentikan aturan untuk jangka waktu tertentu - misalnya, jika Anda ingin memverifikasi bahwa data diserap ke tabel dan Anda tidak ingin memengaruhi tabel dan laporan yang dirangkum. Saat Anda memulai ulang aturan, Azure Monitor mulai memproses data dari seluruh jam berikutnya atau berdasarkan parameter yang ditentukan binStartTime (opsional).

Untuk menghentikan aturan, gunakan panggilan API ini POST :

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/stop?api-version=2023-01-01-preview
Authorization: {credential}

Untuk memulai ulang aturan, gunakan panggilan API ini POST :

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}/start?api-version=2023-01-01-preview
Authorization: {credential}

Menghapus aturan ringkasan

Anda dapat memiliki hingga 30 aturan ringkasan aktif di ruang kerja Analitik Log Anda. Jika Anda ingin membuat aturan baru, tetapi Anda sudah memiliki 30 aturan aktif, Anda harus menghentikan atau menghapus aturan ringkasan aktif.

Untuk menghapus aturan, gunakan panggilan API ini DELETE :

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourcegroup}/providers/Microsoft.OperationalInsights/workspaces/{workspace}/summarylogs/{ruleName}?api-version=2023-01-01-preview
Authorization: {credential}

Memantau aturan ringkasan

Untuk memantau aturan ringkasan, aktifkan kategori Log Ringkasan di pengaturan diagnostik ruang kerja Analitik Log Anda. Azure Monitor mengirimkan detail eksekusi aturan ringkasan, termasuk aturan ringkasan yang menjalankan informasi Mulai, Berhasil, dan Gagal, ke tabel LASummaryLogs di ruang kerja Anda.

Kami menyarankan Agar Anda menyiapkan aturan pemberitahuan log untuk menerima pemberitahuan kegagalan bin, atau ketika eksekusi bin mendekati waktu habis, seperti yang ditunjukkan di bawah ini. Bergantung pada alasan kegagalan, Anda dapat mengurangi ukuran bin untuk memproses lebih sedikit data pada setiap eksekusi, atau mengubah kueri untuk mengembalikan lebih sedikit rekaman atau bidang dengan volume yang lebih tinggi.

Kueri ini mengembalikan eksekusi yang gagal:

LASummaryLogs | where Status == "Failed"

Kueri ini mengembalikan bin berjalan di mana QueryDurationMs nilainya lebih besar dari 0,9 x 600.000 milidetik:

LASummaryLogs | where QueryDurationMs > 0.9 * 600000

Memverifikasi kelengkapan data

Aturan ringkasan dirancang untuk skala, dan menyertakan mekanisme coba lagi untuk mengatasi kegagalan layanan sementara atau kueri yang terkait dengan batas kueri, misalnya. Mekanisme coba lagi membuat 10 upaya untuk mengagregasi bin yang gagal dalam waktu delapan jam, dan melewati keramaian, jika kelelahan. Aturan diatur ke isActive: false dan ditangguhkan setelah delapan percobaan ulang keranjang berturut-turut. Jika Anda mengaktifkan aturan ringkasan pemantauan, Azure Monitor mencatat peristiwa dalam LASummaryLogs tabel di ruang kerja Anda.

Anda tidak dapat menjalankan ulang eksekusi bin yang gagal, tetapi Anda bisa menggunakan kueri berikut untuk menampilkan eksekusi yang gagal:

let startTime = datetime("2024-02-16");
let endtTime = datetime("2024-03-03");
let ruleName = "myRuleName";
let stepSize = 20m; // The stepSize value is equal to the bin size defined in the rule
LASummaryLogs
| where RuleName == ruleName
| where Status == 'Succeeded'
| make-series dcount(BinStartTime) default=0 on BinStartTime from startTime to endtTime step stepSize
| render timechart

Kueri ini merender hasil sebagai bagan waktu:

Cuplikan layar yang memperlihatkan grafik yang membuat bagan hasil kueri untuk bin yang gagal dalam aturan ringkasan.

Lihat bagian Pantau aturan ringkasan untuk opsi remediasi aturan dan pemberitahuan proaktif.

Mengenkripsi kueri aturan ringkasan dengan menggunakan kunci yang dikelola pelanggan

Kueri KQL dapat berisi informasi sensitif dalam komentar atau dalam sintaks kueri. Untuk mengenkripsi kueri aturan ringkasan, tautkan akun penyimpanan ke ruang kerja Analitik Log Anda dan gunakan kunci yang dikelola pelanggan.

Pertimbangan saat Anda bekerja dengan kueri terenkripsi:

  • Menautkan akun penyimpanan untuk mengenkripsi kueri Anda tidak mengganggu aturan yang ada.
  • Secara default, Azure Monitor menyimpan kueri aturan ringkasan di penyimpanan Analitik Log. Jika Anda memiliki aturan ringkasan yang sudah ada sebelum menautkan akun penyimpanan ke ruang kerja Analitik Log, perbarui aturan ringkasan Anda sehingga kueri untuk menyimpan kueri yang ada di akun penyimpanan.
  • Kueri yang Anda simpan di akun penyimpanan terletak di CustomerConfigurationStoreTable tabel. Kueri ini dianggap artefak layanan dan formatnya mungkin berubah.
  • Anda dapat menggunakan akun penyimpanan yang sama untuk kueri aturan ringkasan, kueri yang disimpan di Analitik Log, dan pemberitahuan log.

Memecahkan masalah aturan ringkasan

Bagian ini menyediakan tips untuk memecahkan masalah aturan ringkasan.

Tabel tujuan aturan ringkasan dihapus secara tidak sengaja

Jika Anda menghapus tabel tujuan saat aturan ringkasan aktif, aturan akan ditangguhkan dan Azure Monitor mengirim peristiwa ke LASummaryLogs tabel dengan pesan yang menunjukkan bahwa aturan ditangguhkan.

Jika Anda tidak memerlukan hasil ringkasan dalam tabel tujuan, hapus aturan dan tabel. Jika Anda perlu memulihkan hasil ringkasan, ikuti langkah-langkah di bagian Membuat atau memperbarui aturan ringkasan untuk membuat ulang tabel. Tabel tujuan dipulihkan, termasuk data yang diserap sebelum penghapusan, tergantung pada kebijakan penyimpanan dalam tabel.

Jika Anda tidak memerlukan hasil ringkasan dalam tabel tujuan, hapus aturan dan tabel. Jika Anda memerlukan hasil ringkasan, ikuti langkah-langkah di bagian Membuat atau memperbarui aturan ringkasan untuk membuat ulang tabel tujuan dan memulihkan semua data, termasuk data yang diserap sebelum penghapusan, tergantung pada kebijakan penyimpanan dalam tabel.

Kueri menggunakan operator yang membuat kolom baru di tabel tujuan

Skema tabel tujuan ditentukan saat Anda membuat atau memperbarui aturan ringkasan. Jika kueri dalam aturan ringkasan menyertakan operator yang memungkinkan ekspansi skema output berdasarkan data masuk - misalnya, jika kueri menggunakan arg_max(expression, *) fungsi - Azure Monitor tidak menambahkan kolom baru ke tabel tujuan setelah Anda membuat atau memperbarui aturan ringkasan, dan data output yang memerlukan kolom ini akan dihilangkan. Untuk menambahkan bidang baru ke tabel tujuan, perbarui aturan ringkasan atau tambahkan kolom ke tabel Anda secara manual.

Data dalam kolom yang dihapus tetap berada di ruang kerja berdasarkan pengaturan retensi tabel

Saat Anda menghapus bidang dalam kueri, kolom dan data tetap berada di tujuan dan berdasarkan periode retensi yang ditentukan pada tabel atau ruang kerja. Jika Anda tidak memerlukan penghapusan dalam tabel tujuan, hapus kolom dari skema tabel. Jika Anda kemudian menambahkan kolom dengan nama yang sama, data apa pun yang tidak lebih lama sehingga periode retensi muncul lagi.

Konten terkait