Übung – Weiterleiten von Ressourcenprotokollen an Log Analytics und anschließendes Anzeigen von Protokolldaten

  • 8 Minuten

In dieser Übung erstellen Sie einen Log Analytics-Arbeitsbereich, anschließend eine Diagnoseeinstellung, die Protokolle an diesen Arbeitsbereich weiterleitet, und verwenden dann eine Abfrage zum Anzeigen von Aktivitäten in Ihrem Speicherkonto.

Erstellen eines Log Analytics-Arbeitsbereichs

  1. Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche, und wählen Sie diese Option aus.

  2. Wählen Sie + Erstellen aus, und geben Sie Werte für die folgenden Optionen an:

    • Wählen Sie in der Dropdownliste Abonnement das Concierge-Abonnement aus.

    • Wählen Sie für Ressourcengruppe die Ressourcengruppe [Sandboxressourcengruppe] aus.

    • Geben Sie einen Namen für den neuen Log Analytics-Arbeitsbereich ein, z.B. DefaultLAWorkspace. Dieser Name muss innerhalb einer Ressourcengruppe eindeutig sein.

    • Wählen Sie eine verfügbare Region aus.

  3. Wählen Sie Überprüfen + erstellen aus, um die Einstellungen zu überprüfen, und wählen Sie dann Erstellen aus, um den Arbeitsbereich zu erstellen.

Erstellen einer Diagnoseeinstellung

  1. Wählen Sie im Menü „Azure-Portal“ Speicherkonten aus.

  2. Wählen Sie auf der Seite Speicherkonten den Namen des Speicherkontos aus, das Sie in der vorherigen Übung erstellt haben.

  3. Wählen Sie im Abschnitt Überwachung die Option Diagnoseeinstellungen aus.

  4. Wählen Sie im Bereich Diagnoseeinstellungen die Option blob und dann + Diagnoseeinstellung hinzufügen aus.

  5. Geben Sie im Feld Name der Diagnoseeinstellung einen Namen für die Einstellung an.

  6. Aktivieren Sie im Abschnitt Kategorien das Kontrollkästchen für StorageRead. Aktivieren Sie im Abschnitt Zieldetails das Kontrollkästchen neben An Log Analytics-Arbeitsbereich senden.

  7. Wählen Sie in der Dropdownliste Log Analytics-Arbeitsbereich den Log Analytics-Arbeitsbereich aus, den Sie im vorherigen Abschnitt erstellt haben.

  8. Wählen Sie Speichern.

Herunterladen eines Blobs zum Generieren von Aktivitäten

  1. Wechseln Sie zu Ihrem Speicherkonto zurück. Wählen Sie im Abschnitt Datenspeicher die Option Container aus.

  2. Wählen Sie im Panel Container den Container aus, den Sie in der letzten Übung erstellt haben.

  3. Wählen Sie ein hinzugefügtes Blob aus, wählen Sie ... und anschließend Herunterladen aus.

Anzeigen von protokollierten Aktivitäten mithilfe einer Log Analytics-Abfrage

  1. Wechseln Sie zu Ihrem Speicherkonto zurück. Wählen Sie im Abschnitt Überwachung die Option Protokolle aus.

    Daraufhin wird das Fenster Abfragen angezeigt. Dieses Fenster enthält mehrere Abfragen, die Sie ausführen können. Sie können jede dieser Abfragen auch anpassen, indem Sie darauf zeigen und dann das für die Abfrage angezeigte In Editor laden auswählen. Bei dieser Übung erstellen Sie eine Abfrage von Grund auf.

  2. Schließen Sie das Fenster Abfragen, indem Sie in der Fensterecke das X auswählen.

    Daraufhin wird der Abfrage-Editor angezeigt.

  3. Fügen Sie im Abfrage-Editor die folgende Abfrage hinzu.

    StorageBlobLogs
| where TimeGenerated > ago(1h) and OperationName  == "GetBlob"
| project TimeGenerated, AuthenticationType, RequesterObjectId, OperationName, Uri

    Diese Abfrage zeigt Lesevorgänge, die in der letzten Stunde durchgeführt wurden, und sie enthält verschiedene Felder wie die Authentifizierung der Anforderung, den Namen des Vorgangs und den URI der Ressource. Ein Lesevorgang sollte für den Downloadvorgang angezeigt werden, den Sie gerade durchgeführt haben.

  4. Ausführen auswählen.