Tutorial: Erfassen und Abfragen von Überwachungsdaten in Azure Data Explorer

In diesem Tutorial wird beschrieben, wie Sie Daten aus Diagnose- und Aktivitätsprotokolldaten in einem Azure Data Explorer-Cluster erfassen, ohne jeglichen Code schreiben zu müssen. Mit dieser einfachen Erfassungsmethode können Sie schnell damit beginnen, Azure Data Explorer zu Datenanalysezwecken abzufragen.

In diesem Tutorial lernen Sie Folgendes:

• Erstellen von Tabellen und einer Erfassungszuordnung in einer Azure Data Explorer-Datenbank
• Formatieren der erfassten Daten mit einer Updaterichtlinie
• Erstellen eines Event Hub und Herstellen einer Verbindung mit Azure Data Explorer
• Streamen von Daten an einen Event Hub aus Azure Monitor-Diagnosemetriken und -protokollen und Aktivitätsprotokollen.
• Abfragen der erfassten Daten mit Azure Data Explorer

Hinweis

Erstellen aller Ressourcen an demselben Azure-Standort bzw. in derselben Region.

Voraussetzungen

• Ein Azure-Abonnement. Erstellen Sie ein kostenloses Azure-Konto.
• Ein Azure Data Explorer-Cluster und eine Datenbank Erstellen eines Clusters und einer Datenbank In diesem Tutorial lautet der Datenbankname TestDatabase.

Azure Monitor-Datenanbieter: Diagnosemetriken und -protokolle und Aktivitätsprotokolle

Unten können Sie die Daten anzeigen, die von den Diagnosemetriken und -protokollen und Aktivitätsprotokollen von Azure Monitor bereitgestellt werden, und sich damit vertraut machen. Basierend auf diesen Datenschemas erstellen Sie eine Erfassungspipeline. Beachten Sie, dass jedes Ereignis in einem Protokoll ein Array von Datensätzen enthält. Dieses Array von Datensätzen wird später im Tutorial aufgeteilt.

Beispiele für Diagnosemetriken und -protokolle und Aktivitätsprotokolle

Azure-Diagnosemetriken und -protokolle und Aktivitätsprotokolle werden von einem Azure-Dienst ausgegeben und liefern Daten zum Betrieb dieses Diensts.

Diagnosemetriken

Beispiel für Diagnosemetriken

Diagnosemetriken werden mit einem Aggregationsintervall von einer Minute aggregiert. Hier sehen ein Beispiel für ein Azure Data Explorer-Metrikereignisschema zur Abfragedauer:

{
    "records": [
    {
        "count": 14,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-20T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    },
    {
        "count": 12,
        "total": 0,
        "minimum": 0,
        "maximum": 0,
        "average": 0,
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
        "time": "2018-12-21T17:00:00.0000000Z",
        "metricName": "QueryDuration",
        "timeGrain": "PT1M"
    }
    ]
}

Diagnoseprotokolle

Beispiel für Diagnoseprotokolle

Hier sehen Sie ein Beispiel für ein Protokoll der Erfassung von Diagnosedaten von Azure Data Explorer:

{
    "time": "2019-08-26T13:22:36.8804326Z",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KUSTO/CLUSTERS/<cluster-name>",
    "operationName": "MICROSOFT.KUSTO/CLUSTERS/INGEST/ACTION",
    "operationVersion": "1.0",
    "category": "FailedIngestion",
    "resultType": "Failed",
    "correlationId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
    "properties": {
        "OperationId": "00000000-0000-0000-0000-000000000000",
        "Database": "Kusto",
        "Table": "Table_13_20_prod",
        "FailedOn": "2019-08-26T13:22:36.8804326Z",
        "IngestionSourceId": "d59882f1-ad64-4fc4-b2ef-d663b6cc1cc5",
        "Details":
        {
            "error":
            {
                "code": "BadRequest_DatabaseNotExist",
                "message": "Request is invalid and cannot be executed.",
                "@type": "Kusto.Data.Exceptions.DatabaseNotFoundException",
                "@message": "Database 'Kusto' was not found.",
                "@context":
                {
                    "timestamp": "2019-08-26T13:22:36.7179157Z",
                    "serviceAlias": "<cluster-name>",
                    "machineName": "KEngine000001",
                    "processName": "Kusto.WinSvc.Svc",
                    "processId": 5336,
                    "threadId": 6528,
                    "appDomainName": "Kusto.WinSvc.Svc.exe",
                    "clientRequestd": "DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8",
                    "activityId": "f13e7718-1153-4e65-bf82-8583d712976f",
                    "subActivityId": "2cdad9d0-737b-4c69-ac9a-22cf9af0c41b",
                    "activityType": "DN.AdminCommand.DataIngestPullCommand",
                    "parentActivityId": "2f65e533-a364-44dd-8d45-d97460fb5795",
                    "activityStack": "(Activity stack: CRID=DM.IngestionExecutor;a70ddfdc-b471-4fc7-beac-bb0f6e569fe8 ARID=f13e7718-1153-4e65-bf82-8583d712976f > DN.Admin.Client.ExecuteControlCommand/5b764b32-6017-44a2-89e7-860eda515d40 > P.WCF.Service.ExecuteControlCommandInternal..IAdminClientServiceCommunicationContract/c2ef9344-069d-44c4-88b1-a3570697ec77 > DN.FE.ExecuteControlCommand/2f65e533-a364-44dd-8d45-d97460fb5795 > DN.AdminCommand.DataIngestPullCommand/2cdad9d0-737b-4c69-ac9a-22cf9af0c41b)"
                },
                "@permanent": true
            }
        },
        "ErrorCode": "BadRequest_DatabaseNotExist",
        "FailureStatus": "Permanent",
        "RootActivityId": "00000000-0000-0000-0000-000000000000",
        "OriginatesFromUpdatePolicy": false,
        "ShouldRetry": false,
        "IngestionSourcePath": "https://c0skstrldkereneus01.blob.core.windows.net/aam-20190826-temp-e5c334ee145d4b43a3a2d3a96fbac1df/3216_test_3_columns_invalid_8f57f0d161ed4a8c903c6d1073005732_59951f9ca5d143b6bdefe52fa381a8ca.zip"
    }
}

Aktivitätsprotokolle

Beispiel für Aktivitätsprotokolle

Azure-Aktivitätsprotokolle sind Protokolle auf Abonnementebene, die einen Einblick in die Vorgänge geben, die mit Ressourcen in Ihrem Abonnement ausgeführt werden. Hier sehen Sie ein Beispiel für ein Aktivitätsprotokollereignis zur Überprüfung des Zugriffs:

{
    "records": [
    {
        "time": "2018-12-26T16:23:06.1090193Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Start",
        "resultSignature": "Started.",
        "durationMs": 0,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            ...
        }
    },
    {
        "time": "2018-12-26T16:23:06.3040244Z",
        "resourceId": "/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.WEB/SITES/CLNB5F73B70-DCA2-47C2-BB24-77B1A2CAAB4D/PROVIDERS/MICROSOFT.AUTHORIZATION",
        "operationName": "MICROSOFT.AUTHORIZATION/CHECKACCESS/ACTION",
        "category": "Action",
        "resultType": "Success",
        "resultSignature": "Succeeded.OK",
        "durationMs": 194,
        "callerIpAddress": "13.66.225.188",
        "correlationId": "0de9f4bc-4adc-4209-a774-1b4f4ae573ed",
        "identity": {
            "authorization": {
                ...
            },
            "claims": {
                ...
            }
        },
        "level": "Information",
        "location": "global",
        "properties": {
            "statusCode": "OK",
            "serviceRequestId": "87acdebc-945f-4c0c-b931-03050e085626"
        }
    }]
}

Einrichten einer Erfassungspipeline in Azure Data Explorer

Das Einrichten einer Azure Data Explorer-Pipeline umfasst mehrere Schritte, z. B. die Tabellenerstellung und Datenerfassung. Sie können die Daten auch ändern, zuordnen und aktualisieren.

Herstellen einer Verbindung mit der Azure Data Explorer-Webbenutzeroberfläche

Wählen Sie in der Azure Data Explorer-Datenbank TestDatabase die Option Abfrage aus, um die Azure Data Explorer-Webbenutzeroberfläche zu öffnen.

Erstellen der Zieltabellen

Die Struktur der Azure Monitor-Protokolle ist nicht tabellarisch. Sie bearbeiten die Daten und erweitern jedes Ereignis auf einen oder mehrere Datensätze. Die Rohdaten werden in eine Zwischentabelle namens ActivityLogsRawRecords für Aktivitätsprotokolle und DiagnosticRawRecords für Diagnosemetriken und -protokolle aufgenommen. Die Daten werden nun bearbeitet und erweitert. Mithilfe einer Updaterichtlinie werden die erweiterten Daten dann in die Tabelle ActivityLogs für Aktivitätsprotokolle, DiagnosticMetrics für Diagnosemetriken und DiagnosticLogs für Diagnoseprotokolle aufgenommen. Das bedeutet, dass Sie zwei separate Tabellen für das Erfassen von Aktivitätsprotokollen und drei separate Tabellen für das Erfassen von Diagnosemetriken und -protokollen erstellen müssen.

Verwenden Sie die Azure Data Explorer-Webbenutzeroberfläche, um die Zieltabellen in der Azure Data Explorer-Datenbank zu erstellen.

Diagnosemetriken

Erstellen von Tabellen für die Diagnosemetriken

1. Erstellen Sie in der Datenbank TestDatabase eine Tabelle mit dem Namen DiagnosticMetrics, um die Diagnosemetrik-Datensätze zu speichern. Verwenden Sie den folgenden .create table Verwaltungsbefehl:

   .create table DiagnosticMetrics (Timestamp:datetime, ResourceId:string, MetricName:string, Count:int, Total:double, Minimum:double, Maximum:double, Average:double, TimeGrain:string)
   

2. Wählen Sie Ausführen, um die Tabelle zu erstellen.

   

3. Erstellen Sie die Zwischendatentabelle DiagnosticRawRecords in der TestDatabase-Datenbank für die Datenbearbeitung mit der folgenden Abfrage. Wählen Sie Ausführen, um die Tabelle zu erstellen.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Legen Sie für die Zwischentabelle die NULL-Beibehaltungsrichtlinie fest:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Diagnoseprotokolle

Erstellen von Tabellen für die Diagnoseprotokolle

1. Erstellen Sie in der Datenbank TestDatabase eine Tabelle mit dem Namen DiagnosticLogs, um die Diagnoseprotokoll-Datensätze zu speichern. Verwenden Sie den folgenden .create table Verwaltungsbefehl:

   .create table DiagnosticLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Result:string, OperationId:string, Database:string, Table:string, IngestionSourceId:string, IngestionSourcePath:string, RootActivityId:string, ErrorCode:string, FailureStatus:string, Details:string)
   

2. Wählen Sie Ausführen, um die Tabelle zu erstellen.

3. Erstellen Sie die Zwischendatentabelle DiagnosticRawRecords in der TestDatabase-Datenbank für die Datenbearbeitung mit der folgenden Abfrage. Wählen Sie Ausführen, um die Tabelle zu erstellen.

   .create table DiagnosticRawRecords (Records:dynamic)
   

4. Legen Sie für die Zwischentabelle die NULL-Beibehaltungsrichtlinie fest:

   .alter-merge table DiagnosticRawRecords policy retention softdelete = 0d
   

Aktivitätsprotokolle

Erstellen von Tabellen für die Aktivitätsprotokolle

1. Erstellen Sie eine Tabelle mit dem Namen ActivityLogs in der Datenbank TestDatabase, um Aktivitätsprotokoll-Datensätze zu erhalten. Führen Sie zum Erstellen der Tabelle die folgende Azure Data Explorer-Abfrage aus:

   .create table ActivityLogs (Timestamp:datetime, ResourceId:string, OperationName:string, Category:string, ResultType:string, ResultSignature:string, DurationMs:int, IdentityAuthorization:dynamic, IdentityClaims:dynamic, Location:string, Level:string)
   

2. Erstellen Sie die Zwischentabelle mit dem Namen ActivityLogsRawRecords für Daten in der Datenbank TestDatabase, um die Bearbeitung der Daten zu ermöglichen:

   .create table ActivityLogsRawRecords (Records:dynamic)
   

3. Legen Sie für die Zwischentabelle die NULL-Beibehaltungsrichtlinie fest:

   .alter-merge table ActivityLogsRawRecords policy retention softdelete = 0d
   

Erstellen von Tabellenzuordnungen

Da das Datenformat json lautet, ist eine Datenzuordnung erforderlich. Mit der json-Zuordnung wird jeder JSON-Pfad einem Tabellenspaltennamen zugeordnet. JSON-Pfade, die Sonderzeichen enthalten, müssen wie folgt mit Escapezeichen versehen werden: ['Eigenschaftenname']. Weitere Informationen finden Sie unter JSONPath-Syntax.

Diagnosemetriken/Diagnoseprotokolle

Zuordnen von Diagnosemetriken und -protokollen zur Tabelle

Verwenden Sie die folgende Abfrage, um die Daten der Diagnosemetrik- und -protokolldaten der Tabelle zuzuordnen:

.create table DiagnosticRawRecords ingestion json mapping 'DiagnosticRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Aktivitätsprotokolle

Zuordnen von Aktivitätsprotokollen zur Tabelle

Verwenden Sie die folgende Abfrage, um die Daten der Aktivitätsprotokolle der Tabelle zuzuordnen:

.create table ActivityLogsRawRecords ingestion json mapping 'ActivityLogsRawRecordsMapping' '[{"column":"Records","Properties":{"path":"$.records"}}]'

Erstellen der Updaterichtlinie für Metrik- und Protokolldaten

Diagnosemetriken

Erstellen einer Datenaktualisierungsrichtlinie für Diagnosemetriken

1. Erstellen Sie eine Funktion, mit der die Sammlung an Diagnosemetrikdatensätzen so erweitert wird, dass jeder Wert der Sammlung in einer separaten Zeile angeordnet wird. Verwenden Sie den Operator mv-expand:

   .create function DiagnosticMetricsExpand() {
      DiagnosticRawRecords
      | mv-expand events = Records
      | where isnotempty(events.metricName)
      | project
          Timestamp = todatetime(events['time']),
          ResourceId = tostring(events.resourceId),
          MetricName = tostring(events.metricName),
          Count = toint(events['count']),
          Total = todouble(events.total),
          Minimum = todouble(events.minimum),
          Maximum = todouble(events.maximum),
          Average = todouble(events.average),
          TimeGrain = tostring(events.timeGrain)
   }
   

2. Fügen Sie die Updaterichtlinie der Zieltabelle hinzu. Mit dieser Richtlinie wird die Abfrage automatisch für alle neu erfassten Daten in der Zwischentabelle DiagnosticRawRecords ausgeführt, und die Ergebnisse werden in der Tabelle DiagnosticMetrics erfasst:

   .alter table DiagnosticMetrics policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticMetricsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Diagnoseprotokolle

Erstellen einer Datenaktualisierungsrichtlinie für Diagnoseprotokolle

1. Erstellen Sie eine Funktion, mit der die Sammlung an Diagnoseprotokolldatensätzen so erweitert wird, dass jeder Wert der Sammlung in einer separaten Zeile angeordnet wird. Sie aktivieren Datenerfassungsprotokolle in einem Azure Data Explorer-Cluster und verwenden das Erfassungsprotokollschema. Sie erstellen eine Tabelle für erfolgreiche und für fehlgeschlagene Datenerfassung. Für die erfolgreiche Erfassung bleiben einige der Felder leer (z. B. ErrorCode). Verwenden Sie den Operator mv-expand:

   .create function DiagnosticLogsExpand() {
       DiagnosticRawRecords
       | mv-expand events = Records
       | where isnotempty(events.operationName)
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Result = tostring(events.resultType),
           OperationId = tostring(events.properties.OperationId),
           Database = tostring(events.properties.Database),
           Table = tostring(events.properties.Table),
           IngestionSourceId = tostring(events.properties.IngestionSourceId),
           IngestionSourcePath = tostring(events.properties.IngestionSourcePath),
           RootActivityId = tostring(events.properties.RootActivityId),
           ErrorCode = tostring(events.properties.ErrorCode),
           FailureStatus = tostring(events.properties.FailureStatus),
           Details = tostring(events.properties.Details)
   }
   

2. Fügen Sie die Updaterichtlinie der Zieltabelle hinzu. Mit dieser Richtlinie wird die Abfrage automatisch für alle neu erfassten Daten in der Zwischentabelle DiagnosticRawRecords ausgeführt, und die Ergebnisse werden in der Tabelle DiagnosticLogs erfasst:

   .alter table DiagnosticLogs policy update @'[{"Source": "DiagnosticRawRecords", "Query": "DiagnosticLogsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Aktivitätsprotokolle

Erstellen einer Datenaktualisierungsrichtlinie für Aktivitätsprotokolle

1. Erstellen Sie eine Funktion, mit der die Sammlung an Aktivitätsprotokolldatensätzen so erweitert wird, dass jeder Wert der Sammlung in einer separaten Zeile angeordnet wird. Verwenden Sie den Operator mv-expand:

   .create function ActivityLogRecordsExpand() {
       ActivityLogsRawRecords
       | mv-expand events = Records
       | project
           Timestamp = todatetime(events['time']),
           ResourceId = tostring(events.resourceId),
           OperationName = tostring(events.operationName),
           Category = tostring(events.category),
           ResultType = tostring(events.resultType),
           ResultSignature = tostring(events.resultSignature),
           DurationMs = toint(events.durationMs),
           IdentityAuthorization = events.identity.authorization,
           IdentityClaims = events.identity.claims,
           Location = tostring(events.location),
           Level = tostring(events.level)
   }
   

2. Fügen Sie die Updaterichtlinie der Zieltabelle hinzu. Mit dieser Richtlinie wird die Abfrage automatisch für alle neu erfassten Daten in der Zwischentabelle ActivityLogsRawRecords ausgeführt, und die Ergebnisse werden in der Tabelle ActivityLogs erfasst:

   .alter table ActivityLogs policy update @'[{"Source": "ActivityLogsRawRecords", "Query": "ActivityLogRecordsExpand()", "IsEnabled": "True", "IsTransactional": true}]'
   

Erstellen eines Azure Event Hubs-Namespace

Mit Azure-Diagnoseeinstellungen können Metriken und Protokolle in ein Speicherkonto oder einen Event Hub exportiert werden. In diesem Tutorial leiten wir die Metriken und Protokolle über einen Event Hub weiter. Sie erstellen mit den folgenden Schritten einen Event Hubs-Namespace und einen Event Hub für die Diagnosemetriken und -protokolle. Azure Monitor erstellt den Event Hub insights-operational-logs für die Aktivitätsprotokolle.

1. Erstellen Sie einen Event Hub, indem Sie im Azure-Portal eine Azure Resource Manager-Vorlage verwenden. Klicken Sie zum Ausführen der restlichen Schritte dieses Artikels mit der rechten Maustaste auf die Schaltfläche In Azure bereitstellen, und wählen Sie die Option In neuem Fenster öffnen. Mit der Schaltfläche In Azure bereitstellen gelangen Sie zum Azure-Portal.

   

2. Erstellen Sie einen Event Hubs-Namespace und einen Event Hub für die Diagnoseprotokolle. Weitere Informationen finden Sie unter Schnellstart: Erstellen eines Event Hubs mithilfe des Azure-Portals.

3. Füllen Sie das Formular mit den folgenden Informationen aus. Verwenden Sie für alle Einstellungen, die nicht in der folgenden Tabelle aufgeführt sind, die jeweiligen Standardwerte.

   Einstellung	Empfohlener Wert	Beschreibung
   Abonnement	Ihr Abonnement	Wählen Sie das Azure-Abonnement aus, das Sie für Ihren Event Hub verwenden möchten.
   Ressourcengruppe	test-resource-group	Erstellen Sie eine neue Ressourcengruppe.
   Location	Wählen Sie die Region aus, die Ihre Anforderungen am besten erfüllt.	Erstellen Sie den Event Hub-Namespace an demselben Standort wie die anderen Ressourcen.
   Namespacename	AzureMonitoringData	Wählen Sie einen eindeutigen Namen, der Ihren Namespace identifiziert.
   Event Hub-Name	DiagnosticData	Der Event Hub befindet sich unter dem Namespace, der einen eindeutigen Bereichscontainer bereitstellt.
   Name der Consumergruppe	adxpipeline	Erstellen Sie einen Consumergruppennamen. Durch Consumergruppen können mehrere verarbeitende Anwendungen jeweils über eine separate Ansicht des Ereignisdatenstroms verfügen.

Verbinden von Azure Monitor-Metriken und -Protokollen mit Ihrem Event Hub

Jetzt müssen Sie für Ihre Diagnosemetriken und -protokolle und Aktivitätsprotokolle eine Verbindung mit dem Event Hub herstellen.

Diagnosemetriken/Diagnoseprotokolle

Verbinden von Diagnosemetriken und Protokollen mit Ihrem Event Hub

Wählen Sie eine Ressource aus, für die Metriken exportiert werden sollen. Mehrere Ressourcentypen unterstützen Diagnosedaten, z. B. Event Hubs-Namespace, Azure Key Vault, Azure IoT Hub und Azure Data Explorer-Cluster. In diesem Tutorial verwenden wir einen Azure Data Explorer-Cluster als Ressource. Wir überprüfen die Protokolle für Abfrageleistungsmetriken und Erfassungsergebnisse.

1. Wählen Sie im Azure-Portal Ihren Kusto-Cluster aus.

2. Wählen Sie Diagnoseeinstellungen und dann den Link Diagnose aktivieren.

   

3. Der Bereich Diagnoseeinstellungen wird geöffnet. Führen Sie die folgenden Schritte aus:

   1. Geben Sie den Diagnoseprotokolldaten den Namen ADXExportedData.

   2. Aktivieren Sie unter LOG die Kontrollkästchen SucceededIngestion und FailedIngestion.

   3. Aktivieren Sie unter METRIC das Kontrollkästchen Abfrageleistung.

   4. Aktivieren Sie das Kontrollkästchen An einen Event Hub streamen.

   5. Wählen Sie Konfigurierenaus.

      

4. Konfigurieren Sie im Bereich Event Hub auswählen, wie Daten aus Diagnoseprotokollen auf den von Ihnen erstellten Event Hub exportiert werden sollen:

   1. Wählen Sie in der Liste Event Hub-Namespace auswählen die Option AzureMonitoringData.
   2. Wählen Sie in der Liste Event Hub-Name auswählen die Option DiagnosticData.
   3. Wählen Sie in der Liste Event Hub-Richtlinienname auswählen die Option RootManagerSharedAccessKey.
   4. Klicken Sie auf OK.

5. Wählen Sie Speichern aus.

Aktivitätsprotokolle

Verbinden von Aktivitätsprotokollen mit Ihrem Event Hub

1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option Aktivitätsprotokoll.

2. Das Fenster Aktivitätsprotokoll wird geöffnet. Wählen Sie Diagnoseeinstellungen aus.

   

3. Das Fenster Diagnoseeinstellungen wird geöffnet. Wählen Sie +Diagnoseeinstellung hinzufügen aus.

   

4. Ein neues Fenster Diagnoseeinstellungen wird geöffnet.

   

   Führen Sie die folgenden Schritte aus:

   1. Geben Sie im Feld Name der Diagnoseeinstellung einen Namen ein.
   2. Wählen Sie auf der linken Seite der Kontrollkästchen die Plattformprotokolle aus, die Sie von einem Abonnement erfassen möchten.
   3. Aktivieren Sie das Kontrollkästchen An einen Event Hub streamen.
   4. Wählen Sie Ihr Abonnement aus.
   5. Wählen Sie in der Liste Event Hub-Namespace die Option AzureMonitoringData aus.
   6. Wählen Sie optional den Event Hub-Namen aus.
   7. Wählen Sie in der Liste Event Hub-Richtlinienname den Event Hub-Standardrichtliniennamen aus.
   8. Wählen Sie oben links im Fenster die Option Speichern. Ein Event Hub mit dem Namen insights-operational-logs wird erstellt (es sei denn, Sie haben oben einen Event Hub-Namen ausgewählt).

Verfolgen des Datenflusses zu Ihren Event Hubs

1. Warten Sie einige Minuten, bis die Verbindung definiert und der Export des Aktivitätsprotokolls auf den Event Hub abgeschlossen wurde. Navigieren Sie zu Ihrem Event Hubs-Namespace, um die von Ihnen erstellten Event Hubs anzuzeigen.

   

2. Verfolgen Sie den Datenfluss zu Ihrem Event Hub:

   

Herstellen einer Verbindung für einen Event Hub mit Azure Data Explorer

Nun müssen Sie die Datenverbindungen für Ihre Diagnosemetriken und -protokolle und Aktivitätsprotokolle herstellen.

Erstellen der Datenverbindung für Diagnosemetriken und -protokolle und Aktivitätsprotokolle

1. Wählen Sie in Ihrem Azure Data Explorer-Cluster mit dem Namen kustodocs im Menü auf der linken Seite die Option Datenbanken.

2. Wählen Sie im Fenster Datenbanken Ihre Datenbank TestDatabase aus.

3. Wählen Sie im Menü auf der linken Seite die Option Datenerfassung.

4. Wählen Sie im Fenster Datenerfassung die Option + Datenverbindung hinzufügen aus.

5. Geben Sie im Fenster Datenverbindung die folgenden Informationen ein:

   

Diagnosemetriken/Diagnoseprotokolle

1. Verwenden Sie im Fenster Datenverbindung die folgenden Einstellungen:

   Datenquelle:

   Einstellung	Empfohlener Wert	Feldbeschreibung
   Name der Datenverbindung	DiagnosticsLogsConnection	Der Name der Verbindung, die Sie im Azure-Daten-Explorer erstellen möchten.
   Event Hub-Namespace	AzureMonitoringData	Der von Ihnen zuvor ausgewählte Name, der Ihren Namespace identifiziert.
   Event Hub	DiagnosticData	Der von Ihnen erstellte Event Hub.
   Consumergruppe	adxpipeline	Die Consumergruppe, die in dem von Ihnen erstellten Event Hub definiert ist.

   Zieltabelle:

   Es stehen zwei Routingoptionen zur Verfügung: statisch und dynamisch. In diesem Tutorial verwenden Sie statisches Routing (Standardeinstellung), für das Sie den Tabellennamen, das Datenformat und die Zuordnung angeben. Lassen Sie das Kontrollkästchen My data includes routing info (Meine Daten enthalten Routinginformationen) deaktiviert.

   Einstellung	Empfohlener Wert	Feldbeschreibung
   Tabelle	DiagnosticRawRecords	Die Tabelle, die Sie in der Datenbank TestDatabase erstellt haben.
   Datenformat	JSON	Das Format, das in der Tabelle verwendet wird.
   Spaltenzuordnung	DiagnosticRawRecordsMapping	Die Zuordnung, die Sie in der Datenbank TestDatabase erstellt haben und mit der eingehende JSON-Daten den Spaltennamen und Datentypen der Tabelle DiagnosticRawRecords zugeordnet werden.

2. Wählen Sie Erstellen aus.

Aktivitätsprotokolle

1. Verwenden Sie im Fenster Datenverbindung die folgenden Einstellungen:

   Datenquelle:

   Einstellung	Empfohlener Wert	Feldbeschreibung
   Name der Datenverbindung	ActivityLogsConnection	Der Name der Verbindung, die Sie im Azure-Daten-Explorer erstellen möchten.
   Event Hub-Namespace	AzureMonitoringData	Der von Ihnen zuvor ausgewählte Name, der Ihren Namespace identifiziert.
   Event Hub	insights-operational-logs	Der von Ihnen erstellte Event Hub.
   Consumergruppe	$Default	Die Standardconsumergruppe. Bei Bedarf können Sie auch eine andere Consumergruppe erstellen.

   Zieltabelle:

   Es stehen zwei Routingoptionen zur Verfügung: statisch und dynamisch. In diesem Tutorial verwenden Sie statisches Routing (Standardeinstellung), für das der Tabellenname, das Datenformat und die Zuordnung angegeben werden müssen. Lassen Sie das Kontrollkästchen My data includes routing info (Meine Daten enthalten Routinginformationen) deaktiviert.

   Einstellung	Empfohlener Wert	Feldbeschreibung
   Tabelle	ActivityLogsRawRecords	Die Tabelle, die Sie in der Datenbank TestDatabase erstellt haben.
   Datenformat	JSON	Das Format, das in der Tabelle verwendet wird.
   Spaltenzuordnung	ActivityLogsRawRecordsMapping	Die Zuordnung, die Sie in der Datenbank TestDatabase erstellt haben und mit der eingehende JSON-Daten den Spaltennamen und Datentypen der Tabelle ActivityLogsRawRecords zugeordnet werden.

2. Wählen Sie Erstellen aus.

Abfragen der neuen Tabellen

Sie verfügen nun über eine Pipeline, durch die Daten fließen. Da die Erfassung über den Cluster standardmäßig fünf Minuten dauert, sollten Sie den Datenfluss einige Minuten lang zulassen, bevor Sie mit dem Abfragen beginnen.

Diagnosemetriken

Abfragen der Tabelle für Diagnosemetriken

Mit der folgenden Abfrage werden Daten zur Abfragedauer aus den Datensätzen von Diagnosemetrikdaten in Azure Data Explorer analysiert:

DiagnosticMetrics
| where Timestamp > ago(15m) and MetricName == 'QueryDuration'
| summarize avg(Average)

Abfrageergebnisse:

avg_Average
00:06.156

Diagnoseprotokolle

Abfragen der Tabelle für Diagnoseprotokolle

Diese Pipeline erzeugt Datenerfassungen über einen Event Hub. Sie überprüfen die Ergebnisse dieser Datenerfassungen. Mit der folgenden Abfrage wird analysiert, wie viele Erfassungen in einer Minute gesammelt werden, einschließlich einer Stichprobe von Database, Table und IngestionSourcePath für jedes Intervall:

DiagnosticLogs
| where Timestamp > ago(15m) and OperationName has 'INGEST'
| summarize count(), take_any(Database, Table, IngestionSourcePath) by bin(Timestamp, 1m)

Abfrageergebnisse:

count_	any_Database	any_Table	any_IngestionSourcePath
00:06.156	TestDatabase	DiagnosticRawRecords	https://rtmkstrldkereneus00.blob.core.windows.net/20190827-readyforaggregation/1133_TestDatabase_DiagnosticRawRecords_6cf02098c0c74410bd8017c2d458b45d.json.zip

Aktivitätsprotokolle

Abfragen der Tabelle für Aktivitätsprotokolle

Mit der folgenden Abfrage werden die Daten aus den Datensätzen von Aktivitätsprotokollen in Azure Data Explorer analysiert:

ActivityLogs
| where OperationName == 'MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/LISTKEYS/ACTION'
| where ResultType == 'Success'
| summarize avg(DurationMs)

Abfrageergebnisse:

avg(DurationMs)
768.333

Verwandte Inhalte

• Schreiben von Abfragen für Azure Data Explorer.
• Überwachen von Azure Data Explorer-Erfassungsvorgängen mithilfe von Diagnoseprotokollen
• Verwenden von Metriken zum Überwachen der Clusterintegrität