Cómo consultar registros de Azure Monitor para VMHow to query logs from Azure Monitor for VMs

Azure Monitor para VM recopila métricas de rendimiento y conexión, datos de inventario de proceso y equipo, e información sobre el estado, y reenvía estos datos al área de trabajo de Log Analytics en Azure Monitor.Azure Monitor for VMs collects performance and connection metrics, computer and process inventory data, and health state information and forwards it to the Log Analytics workspace in Azure Monitor. Estos datos están disponibles para consulta en Azure Monitor.This data is available for query in Azure Monitor. Estos datos se pueden aplicar a escenarios que incluyen la planeación de la migración, el análisis de la capacidad, la detección y la solución de problemas de rendimiento a petición.You can apply this data to scenarios that include migration planning, capacity analysis, discovery, and on-demand performance troubleshooting.

Registros de asignaciónMap records

Se genera un registro por hora para cada equipo y proceso únicos, además de los registros generados cuando un proceso o equipo se inicia o se integra en la característica de asignación de Azure Monitor para VM.One record is generated per hour for each unique computer and process, in addition to the records that are generated when a process or computer starts or is on-boarded to Azure Monitor for VMs Map feature. Estos registros tienen las propiedades de las tablas siguientes.These records have the properties in the following tables. Los campos y valores de los eventos ServiceMapComputer_CL se asignan a los campos del recurso Equipo en la API ServiceMap de Azure Resource Manager.The fields and values in the ServiceMapComputer_CL events map to fields of the Machine resource in the ServiceMap Azure Resource Manager API. Los campos y valores de los eventos ServiceMapProcess_CL se asignan a los campos del recurso Proceso en la API ServiceMap de Azure Resource Manager.The fields and values in the ServiceMapProcess_CL events map to the fields of the Process resource in the ServiceMap Azure Resource Manager API. El campo ResourceName_s coincide con el campo de nombre del recurso correspondiente de Resource Manager.The ResourceName_s field matches the name field in the corresponding Resource Manager resource.

Hay propiedades generadas internamente que puede usar para identificar los equipos y procesos únicos:There are internally generated properties you can use to identify unique processes and computers:

  • Equipo: Use ResourceId o ResourceName_s para identificar de forma exclusiva un equipo dentro de un área de trabajo de Log Analytics.Computer: Use ResourceId or ResourceName_s to uniquely identify a computer within a Log Analytics workspace.
  • Proceso: Use ResourceId para identificar de forma exclusiva un proceso dentro de un área de trabajo de Log Analytics.Process: Use ResourceId to uniquely identify a process within a Log Analytics workspace. ResourceName_s es único dentro del contexto de la máquina en la que se está ejecutando el proceso (MachineResourceName_s)ResourceName_s is unique within the context of the machine on which the process is running (MachineResourceName_s)

Puesto que pueden existir varios registros para un proceso y equipo especificados en un intervalo de tiempo concreto, las consultas pueden devolver más de un registro para el mismo proceso o equipo.Because multiple records can exist for a specified process and computer in a specified time range, queries can return more than one record for the same computer or process. Para incluir solo el registro más reciente, agregue | summarize arg_max(TimeGenerated, *) by ResourceId a la consulta.To include only the most recent record, add | summarize arg_max(TimeGenerated, *) by ResourceId to the query.

Conexiones y puertosConnections and ports

La característica de métricas de conexión presenta dos nuevas tablas en los registros de Azure Monitor: VMConnection y VMBoundPort.The Connection Metrics feature introduces two new tables in Azure Monitor logs - VMConnection and VMBoundPort. Estas tablas proporcionan información acerca de las conexiones para una máquina (entrantes y salientes), así como los puertos del servidor que están abiertos o activos en estas.These tables provide information about the connections for a machine (inbound and outbound), as well as the server ports that are open/active on them. Las métricas de conexión también se exponen a través de API que proporcionan los medios para obtener una métrica específica durante un período de tiempo.ConnectionMetrics are also exposed via APIs that provide the means to obtain a specific metric during a time window. Las conexiones TCP resultantes de aceptar en un socket de escucha son de entrada, mientras que las creadas al conectarse a un puerto y una IP concretos son de salida.TCP connections resulting from accepting on a listening socket are inbound, while those created by connecting to a given IP and port are outbound. La dirección de una conexión se representa mediante la propiedad Direction, que se puede definir como inbound u outbound.The direction of a connection is represented by the Direction property, which can be set to either inbound or outbound.

Los registros de estas tablas se generan a partir de los datos que notifica Dependency Agent.Records in these tables are generated from data reported by the Dependency Agent. Cada registro representa una observación en un intervalo de tiempo de un minuto.Every record represents an observation over a 1-minute time interval. La propiedad TimeGenerated indica el inicio del intervalo de tiempo.The TimeGenerated property indicates the start of the time interval. Cada registro contiene información para identificar la entidad correspondiente; es decir, conexión o puerto, así como las métricas asociadas con esa entidad.Each record contains information to identify the respective entity, that is, connection or port, as well as metrics associated with that entity. Actualmente, solo se notifica la actividad de red que tiene lugar mediante TCP a través de IPv4.Currently, only network activity that occurs using TCP over IPv4 is reported.

Campos y convenciones comunesCommon fields and conventions

Los campos y las convenciones siguientes se aplican a VMConnection y VMBoundPort:The following fields and conventions apply to both VMConnection and VMBoundPort:

  • Equipo: nombre de dominio completo de la máquina que genera el informe.Computer: Fully-qualified domain name of reporting machine
  • AgentId: identificador único de una máquina con el agente de Log Analytics.AgentId: The unique identifier for a machine with the Log Analytics agent
  • Máquina: nombre del recurso de Azure Resource Manager para la máquina expuesta por ServiceMap.Machine: Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. Tiene el formato m-{GUID} , donde GUID coincide con el GUID de AgentId.It is of the form m-{GUID}, where GUID is the same GUID as AgentId
  • Proceso: nombre del recurso de Azure Resource Manager para el proceso expuesto por ServiceMap.Process: Name of the Azure Resource Manager resource for the process exposed by ServiceMap. Tiene el formato p-{cadena hexadecimal} .It is of the form p-{hex string}. El proceso es único dentro de un ámbito de la máquina y, para generar un identificador de proceso único entre máquinas, combina los valores de los campos Máquina y Proceso.Process is unique within a machine scope and to generate a unique process ID across machines, combine Machine and Process fields.
  • ProcessName: nombre del archivo ejecutable del proceso de informes.ProcessName: Executable name of the reporting process.
  • Todas las direcciones IP son cadenas en formato canónico IPv4, como 13.107.3.160.All IP addresses are strings in IPv4 canonical format, for example 13.107.3.160

Para administrar el costo y la complejidad, los registros de conexión no representan conexiones de red físicas individuales.To manage cost and complexity, connection records do not represent individual physical network connections. Varias conexiones de red físicas se agrupan en una conexión lógica, que, a continuación, se refleja en la tabla correspondiente.Multiple physical network connections are grouped into a logical connection, which is then reflected in the respective table. Lo que significa que los registros de la tabla VMConnection representan una agrupación lógica, y no las conexiones físicas individuales que se observan.Meaning, records in VMConnection table represent a logical grouping and not the individual physical connections that are being observed. Las conexiones de red físicas que comparten el mismo valor para los siguientes atributos durante un intervalo determinado de un minuto se agregan en un registro lógico único en VMConnection.Physical network connection sharing the same value for the following attributes during a given one-minute interval, are aggregated into a single logical record in VMConnection.

PropiedadProperty DescripciónDescription
DirecciónDirection Dirección de la conexión; el valor es inbound u outboundDirection of the connection, value is inbound or outbound
MáquinaMachine FQDN del equipoThe computer FQDN
ProcesoProcess Identidad de proceso o grupos de procesos; iniciar/aceptar la conexiónIdentity of process or groups of processes, initiating/accepting the connection
SourceIpSourceIp Dirección IP de origenIP address of the source
DestinationIpDestinationIp Dirección IP de destino.IP address of the destination
DestinationPortDestinationPort Número de puerto de destinoPort number of the destination
ProtocoloProtocol Protocolo utilizado para la conexión.Protocol used for the connection. Los valores son tcp.Values is tcp.

Para tener en cuenta el impacto de la agrupación, se proporciona información sobre el número de conexiones físicas agrupadas en las siguientes propiedades del registro:To account for the impact of grouping, information about the number of grouped physical connections is provided in the following properties of the record:

PropiedadProperty DescripciónDescription
LinksEstablishedLinksEstablished Número de conexiones de red físicas que se han establecido durante el período de tiempo de generación de informesThe number of physical network connections that have been established during the reporting time window
LinksTerminatedLinksTerminated Número de conexiones de red físicas que han finalizado durante el período de tiempo de generación de informesThe number of physical network connections that have been terminated during the reporting time window
LinksFailedLinksFailed Número de conexiones de red físicas que han generado errores durante el período de tiempo de generación de informesThe number of physical network connections that have failed during the reporting time window. Actualmente, esta información está disponible solo para las conexiones salientes.This information is currently available only for outbound connections.
LinksLiveLinksLive Número de conexiones de red físicas que estaban abiertas al final del período de tiempo de generación de informesThe number of physical network connections that were open at the end of the reporting time window

MétricasMetrics

Además de las métricas de recuento de conexión, también se incluye información sobre el volumen de datos enviado y recibido en una conexión lógica o puerto de red concreto en las siguientes propiedades del registro:In addition to connection count metrics, information about the volume of data sent and received on a given logical connection or network port are also included in the following properties of the record:

PropiedadProperty DescripciónDescription
BytesSentBytesSent Número total de bytes enviados durante el período de tiempo de generación de informesTotal number of bytes that have been sent during the reporting time window
BytesReceivedBytesReceived Número total de bytes recibidos durante el período de tiempo de generación de informesTotal number of bytes that have been received during the reporting time window
RespuestasResponses Número de respuestas observado durante el período de tiempo de generación de informes.The number of responses observed during the reporting time window.
ResponseTimeMaxResponseTimeMax Mayor tiempo de respuesta (milisegundos) observado durante el período de tiempo de generación de informes.The largest response time (milliseconds) observed during the reporting time window. Si no hay ningún valor, la propiedad está en blanco.If no value, the property is blank.
ResponseTimeMinResponseTimeMin Menor tiempo de respuesta (milisegundos) observado durante el período de tiempo de generación de informes.The smallest response time (milliseconds) observed during the reporting time window. Si no hay ningún valor, la propiedad está en blanco.If no value, the property is blank.
ResponseTimeMinResponseTimeSum Suma de todos los tiempos de respuesta (milisegundos) observados durante el período de tiempo de generación de informes.The sum of all response times (milliseconds) observed during the reporting time window. Si no hay ningún valor, la propiedad está en blanco.If no value, the property is blank.

El tercer tipo de datos que se va a notificar es el tiempo de respuesta: ¿cuánto tiempo pasa el autor de la llamada esperando que una solicitud enviada a través de una conexión se procese y reciba respuesta del punto de conexión remoto?The third type of data being reported is response time - how long does a caller spend waiting for a request sent over a connection to be processed and responded to by the remote endpoint. El tiempo de respuesta notificado es una estimación del tiempo de respuesta real del protocolo de aplicación subyacente.The response time reported is an estimation of the true response time of the underlying application protocol. Se calcula utilizando la heurística basada en la observación del flujo de datos entre el origen y destino de una conexión de red física.It is computed using heuristics based on the observation of the flow of data between the source and destination end of a physical network connection. Conceptualmente, es la diferencia entre el momento en que el último byte de una solicitud sale del remitente y el momento en que llega el último byte de la respuesta.Conceptually, it is the difference between the time the last byte of a request leaves the sender, and the time when the last byte of the response arrives back to it. Estas dos marcas de tiempo se utilizan para delinear los eventos de solicitud y respuesta de una conexión física concreta.These two timestamps are used to delineate request and response events on a given physical connection. La diferencia entre ellas representa el tiempo de respuesta de una única solicitud.The difference between them represents the response time of a single request.

En esta primera versión de esta característica, el algoritmo es una aproximación que puede funcionar con cierto grado de éxito según el protocolo de aplicación real usado para una conexión de red concreta.In this first release of this feature, our algorithm is an approximation that may work with varying degree of success depending on the actual application protocol used for a given network connection. Por ejemplo, el enfoque actual funciona bien para los protocolos basados en solicitud-respuesta, como HTTP(S), pero no funciona con protocolos unidireccionales ni basados en la cola de mensajes.For example, the current approach works well for request-response based protocols such as HTTP(S), but does not work with one-way or message queue-based protocols.

A continuación se incluyen puntos importantes que debe tener en cuenta:Here are some important points to consider:

  1. Si un proceso acepta conexiones en la misma dirección IP, pero a través de varias interfaces de red, se notificará un registro independiente para cada interfaz.If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  2. Los registros con IP comodín no contendrán ninguna actividad.Records with wildcard IP will contain no activity. Se incluyen para representar el hecho de que un puerto del equipo está abierto al tráfico de entrada.They are included to represent the fact that a port on the machine is open to inbound traffic.
  3. Para reducir el nivel de detalle y el volumen de datos, los registros con dirección IP de carácter comodín se omitirán cuando haya un registro coincidente (para el mismo proceso, puerto y protocolo) con una dirección IP específica.To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. Cuando un registro de dirección IP comodín se omite, la propiedad del registro IsWildcardBind con la dirección IP específica se definirá como "True" para indicar que el puerto se expone a través de cada interfaz de la máquina de generación de informes.When a wildcard IP record is omitted, the IsWildcardBind record property with the specific IP address, will be set to "True" to indicate that the port is exposed over every interface of the reporting machine.
  4. Los puertos que están enlazados solo en una interfaz específica tienen IsWildcardBind definido como False.Ports that are bound only on a specific interface have IsWildcardBind set to False.

Nomenclatura y clasificaciónNaming and Classification

Para mayor comodidad, la dirección IP del extremo remoto de una conexión se incluye en la propiedad RemoteIp.For convenience, the IP address of the remote end of a connection is included in the RemoteIp property. Para las conexiones entrantes, RemoteIp coincide con SourceIp, mientras que, para las conexiones salientes, coincide con DestinationIp.For inbound connections, RemoteIp is the same as SourceIp, while for outbound connections, it is the same as DestinationIp. La propiedad RemoteDnsCanonicalNames representa los nombres canónicos DNS que notifica la máquina para RemoteIp.The RemoteDnsCanonicalNames property represents the DNS canonical names reported by the machine for RemoteIp. Las propiedades RemoteDnsQuestions y RemoteClassification están reservadas para uso futuro.The RemoteDnsQuestions and RemoteClassification properties are reserved for future use.

GeolocalizaciónGeolocation

VMConnection también incluye información de ubicación geográfica para el extremo remoto de cada registro de conexión en las siguientes propiedades del registro:VMConnection also includes geolocation information for the remote end of each connection record in the following properties of the record:

PropiedadProperty DescripciónDescription
RemoteCountryRemoteCountry Nombre del país o región que hospeda la dirección IP de RemoteIp.The name of the country/region hosting RemoteIp. Por ejemplo: Estados UnidosFor example, United States
RemoteLatitudeRemoteLatitude Latitud de geolocalización.The geolocation latitude. Por ejemplo, 47.68For example, 47.68
RemoteLongitudeRemoteLongitude Longitud de geolocalización.The geolocation longitude. Por ejemplo, -122.12For example, -122.12

Direcciones IP malintencionadasMalicious IP

Todas las propiedades de RemoteIp de la tabla VMConnection se comparan con un conjunto de direcciones IP con actividad malintencionada conocida.Every RemoteIp property in VMConnection table is checked against a set of IPs with known malicious activity. Si el valor de RemoteIp se identifica como malintencionado, las propiedades siguientes se completarán (si la IP no se considera malintencionada, están vacías) en las siguientes propiedades del registro:If the RemoteIp is identified as malicious the following properties will be populated (they are empty, when the IP is not considered malicious) in the following properties of the record:

PropiedadProperty DescripciónDescription
MaliciousIPMaliciousIp Dirección RemoteIpThe RemoteIp address
IndicatorThreadTypeIndicatorThreadType El indicador de amenazas detectado es uno de los siguientes valores: Botnet, C2, CryptoMining, Darknet, DDos , MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.Threat indicator detected is one of the following values, Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.
DescripciónDescription Descripción de la amenaza observada.Description of the observed threat.
TLPLevelTLPLevel Nivel de protocolo de semáforo (TLP) es uno de los valores definidos: blanco, verde, ámbar, rojo.Traffic Light Protocol (TLP) Level is one of the defined values, White, Green, Amber, Red.
ConfianzaConfidence Los valores válidos se encuentran entre 0 y 100.Values are 0 – 100.
severitySeverity Los valores se encuentran entre 0 y 5, donde 5 es el más grave y 0 no es grave en absoluto.Values are 0 – 5, where 5 is the most severe and 0 is not severe at all. El valor predeterminado es 3.Default value is 3.
FirstReportedDateTimeFirstReportedDateTime La primera vez que el proveedor informó sobre el indicador.The first time the provider reported the indicator.
LastReportedDateTimeLastReportedDateTime La última vez que Interflow ha visto el indicador.The last time the indicator was seen by Interflow.
IsActiveIsActive Indica que los indicadores se desactivan con el valor True o False.Indicates indicators are deactivated with True or False value.
ReportReferenceLinkReportReferenceLink Vincula a informes relacionados con un objeto observable especificado.Links to reports related to a given observable.
AdditionalInformationAdditionalInformation Proporciona información adicional, si procede, sobre la amenaza observada.Provides additional information, if applicable, about the observed threat.

PuertosPorts

En una máquina, los puertos que aceptan activamente el tráfico entrante o que pueden aceptar tráfico potencialmente, pero que están inactivas durante el período de tiempo de informes, se escriben en la tabla VMBoundPort.Ports on a machine that actively accept incoming traffic or could potentially accept traffic, but are idle during the reporting time window, are written to the VMBoundPort table.

Todos los registros de VMBoundPort se identifican mediante los campos siguientes:Every record in VMBoundPort is identified by the following fields:

PropiedadProperty DescripciónDescription
ProcesoProcess Identidad del proceso (o grupos de procesos) a la que está asociado el puerto.Identity of process (or groups of processes) with which the port is associated with.
IpIp Dirección IP del puerto (puede ser la dirección IP comodín, 0.0.0.0).Port IP address (can be wildcard IP, 0.0.0.0)
PortPort Número del puerto.The Port number
ProtocoloProtocol Protocolo.The protocol. Ejemplo, tcp o udp (solo se admite tcp actualmente).Example, tcp or udp (only tcp is currently supported).

Identidad de la que se deriva un puerto de los cinco campos anteriores. Se almacena en la propiedad PortId.The identity a port is derived from the above five fields and is stored in the PortId property. Esta propiedad se puede usar para buscar rápidamente los registros de un puerto específico a través del tiempo.This property can be used to quickly find records for a specific port across time.

MétricasMetrics

Los registros de puerto incluyen métricas que representen las conexiones asociadas.Port records include metrics representing the connections associated with them. Actualmente, se notifican las métricas siguientes (los detalles de cada métrica se describen en la sección anterior):Currently, the following metrics are reported (the details for each metric are described in the previous section):

  • BytesSent y BytesReceivedBytesSent and BytesReceived
  • LinksEstablished, LinksTerminated y LinksLiveLinksEstablished, LinksTerminated, LinksLive
  • ResposeTime, ResponseTimeMin, ResponseTimeMax y ResponseTimeSumResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSum

A continuación se incluyen puntos importantes que debe tener en cuenta:Here are some important points to consider:

  • Si un proceso acepta conexiones en la misma dirección IP, pero a través de varias interfaces de red, se notificará un registro independiente para cada interfaz.If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  • Los registros con IP comodín no contendrán ninguna actividad.Records with wildcard IP will contain no activity. Se incluyen para representar el hecho de que un puerto del equipo está abierto al tráfico de entrada.They are included to represent the fact that a port on the machine is open to inbound traffic.
  • Para reducir el nivel de detalle y el volumen de datos, los registros con dirección IP de carácter comodín se omitirán cuando haya un registro coincidente (para el mismo proceso, puerto y protocolo) con una dirección IP específica.To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. Si un registro de dirección IP comodín se omite, la propiedad IsWildcardBind del registro con la dirección IP específica se establecerá en True.When a wildcard IP record is omitted, the IsWildcardBind property for the record with the specific IP address, will be set to True. Esto indica que el puerto se expone a través de todas las interfaces de la máquina del informe.This indicates the port is exposed over every interface of the reporting machine.
  • Los puertos que están enlazados solo en una interfaz específica tienen IsWildcardBind definido como False.Ports that are bound only on a specific interface have IsWildcardBind set to False.

Registros de VMComputerVMComputer records

Los registros con un tipo de VMComputer tienen datos de inventario para servidores con Dependency Agent.Records with a type of VMComputer have inventory data for servers with the Dependency agent. Estos registros tienen las propiedades de la tabla siguiente:These records have the properties in the following table:

PropiedadProperty DescripciónDescription
TenantIdTenantId Identificador único del área de trabajoThe unique identifier for the workspace
SourceSystemSourceSystem InsightsInsights
TimeGeneratedTimeGenerated Marca de tiempo del registro (UTC)Timestamp of the record (UTC)
ComputerComputer FQDN del equipoThe computer FQDN
AgentIdAgentId Identificador único del agente de Log AnalyticsThe unique ID of the Log Analytics agent
MáquinaMachine nombre del recurso de Azure Resource Manager para la máquina expuesta por ServiceMap.Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. Tiene el formato m-{GUID} , donde GUID coincide con el GUID de AgentId.It is of the form m-{GUID}, where GUID is the same GUID as AgentId.
DisplayNameDisplayName Nombre para mostrarDisplay name
FullDisplayNameFullDisplayName Nombre para mostrar del planFull display name
HostNameHostName Nombre de la máquina sin el nombre de dominioThe name of machine without domain name
BootTimeBootTime Hora de arranque de la máquina (UTC)The machine boot time (UTC)
TimeZoneTimeZone La zona horaria normalizadaThe normalized time zone
VirtualizationStateVirtualizationState virtual, hypervisor, physicalvirtual, hypervisor, physical
Ipv4AddressesIpv4Addresses Matriz de direcciones IPv4Array of IPv4 addresses
Ipv4SubnetMasksIpv4SubnetMasks Matriz de máscaras de subred IPv4 (en el mismo orden que Ipv4Addresses)Array of IPv4 subnet masks (in the same order as Ipv4Addresses).
Ipv4DefaultGatewaysIpv4DefaultGateways Matriz de puertas de enlace IPv4Array of IPv4 gateways
Ipv6AddressesIpv6Addresses Matriz de direcciones IPv6Array of IPv6 addresses
MacAddressesMacAddresses Matriz de direcciones MACArray of MAC addresses
DnsNamesDnsNames Matriz de nombres DNS asociados a la máquinaArray of DNS names associated with the machine.
DependencyAgentVersionDependencyAgentVersion Versión del agente de Dependency Agent que se ejecuta en la máquinaThe version of the Dependency agent running on the machine.
OperatingSystemFamilyOperatingSystemFamily Linux, WindowsLinux, Windows
OperatingSystemFullNameOperatingSystemFullName Nombre completo del sistema operativoThe full name of the operating system
PhysicalMemoryMBPhysicalMemoryMB Memoria física en MBThe physical memory in megabytes
CpusCpus Número de procesadoresThe number of processors
CpuSpeedCpuSpeed Velocidad de la CPU en MHzThe CPU speed in MHz
VirtualMachineTypeVirtualMachineType hyperv, vmware, xenhyperv, vmware, xen
VirtualMachineNativeIdVirtualMachineNativeId Identificador de máquina virtual asignado por su hipervisorThe VM ID as assigned by its hypervisor
VirtualMachineNativeNameVirtualMachineNativeName Nombre de la máquina virtualThe name of the VM
VirtualMachineHypervisorIdVirtualMachineHypervisorId Identificador único del hipervisor que hospeda la máquina virtualThe unique identifier of the hypervisor hosting the VM
HypervisorTypeHypervisorType hypervhyperv
HypervisorIdHypervisorId Identificador único del hipervisorThe unique ID of the hypervisor
HostingProviderHostingProvider azureazure
_ResourceId_ResourceId Identificador único de un recurso de AzureThe unique identifier for an Azure resource
AzureSubscriptionIdAzureSubscriptionId Identificador único global que identifica la suscripciónA globally unique identifier that identifies your subscription
AzureResourceGroupAzureResourceGroup Nombre del grupo de recursos de Azure del que es miembro la máquinaThe name of the Azure resource group the machine is a member of.
AzureResourceNameAzureResourceName Nombre del recurso de AzureThe name of the Azure resource
AzureLocationAzureLocation Ubicación del grupo de recursos de AzureThe location of the Azure resource
AzureUpdateDomainAzureUpdateDomain Nombre del dominio de actualización de AzureThe name of the Azure update domain
AzureFaultDomainAzureFaultDomain Nombre del dominio de error de AzureThe name of the Azure fault domain
AzureVmIdAzureVmId Identificador único de la máquina virtual de AzureThe unique identifier of the Azure virtual machine
AzureSizeAzureSize Tamaño de la máquina virtual de AzureThe size of the Azure VM
AzureImagePublisherAzureImagePublisher Nombre del publicador de máquinas virtuales de AzureThe name of the Azure VM publisher
AzureImageOfferingAzureImageOffering Nombre del tipo de oferta de máquina virtual de AzureThe name of the Azure VM offer type
AzureImageSkuAzureImageSku SKU de la imagen de máquina virtual de AzureThe SKU of the Azure VM image
AzureImageVersionAzureImageVersion Versión de la imagen de máquina virtual de AzureThe version of the Azure VM image
AzureCloudServiceNameAzureCloudServiceName Nombre del servicio en la nube de AzureThe name of the Azure cloud service
AzureCloudServiceDeploymentAzureCloudServiceDeployment Identificador de implementación del servicio en la nubeDeployment ID for the Cloud Service
AzureCloudServiceRoleNameAzureCloudServiceRoleName Nombre del rol del servicio en la nubeCloud Service role name
AzureCloudServiceRoleTypeAzureCloudServiceRoleType Tipo de rol del servicio en la nube: worker o webCloud Service role type: worker or web
AzureCloudServiceInstanceIdAzureCloudServiceInstanceId Identificador de instancia del rol del servicio en la nubeCloud Service role instance ID
AzureVmScaleSetNameAzureVmScaleSetName Nombre de conjunto de escalado de máquinas virtualesThe name of the virtual machine scale set
AzureVmScaleSetDeploymentAzureVmScaleSetDeployment Identificador de la implementación del conjunto de escalado de máquinas virtualesVirtual machine scale set deployment ID
AzureVmScaleSetResourceIdAzureVmScaleSetResourceId Identificador único del recurso del conjunto de escalado de máquinas virtualesThe unique identifier of the virtual machine scale set resource.
AzureVmScaleSetInstanceIdAzureVmScaleSetInstanceId Identificador único del conjunto de escalado de máquinas virtualesThe unique identifier of the virtual machine scale set
AzureServiceFabricClusterIdAzureServiceFabricClusterId Identificador único del clúster de Azure Service FabricThe unique identifer of the Azure Service Fabric cluster
AzureServiceFabricClusterNameAzureServiceFabricClusterName Nombre del clúster de Azure Service FabricThe name of the Azure Service Fabric cluster

Registro de VMProcessVMProcess records

Los registros con un tipo VMProcess tienen datos de inventario para procesos conectados mediante TCP en servidores con Dependency Agent.Records with a type of VMProcess have inventory data for TCP-connected processes on servers with the Dependency agent. Estos registros tienen las propiedades de la tabla siguiente:These records have the properties in the following table:

PropiedadProperty DescripciónDescription
TenantIdTenantId Identificador único del área de trabajoThe unique identifier for the workspace
SourceSystemSourceSystem InsightsInsights
TimeGeneratedTimeGenerated Marca de tiempo del registro (UTC)Timestamp of the record (UTC)
ComputerComputer FQDN del equipoThe computer FQDN
AgentIdAgentId Identificador único del agente de Log AnalyticsThe unique ID of the Log Analytics agent
MáquinaMachine nombre del recurso de Azure Resource Manager para la máquina expuesta por ServiceMap.Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. Tiene el formato m-{GUID} , donde GUID coincide con el GUID de AgentId.It is of the form m-{GUID}, where GUID is the same GUID as AgentId.
ProcesoProcess Identificador único del proceso de Service Map.The unique identifier of the Service Map process. Tiene el formato p-{GUID} .It is in the form of p-{GUID}.
ExecutableNameExecutableName Nombre del archivo ejecutable del procesoThe name of the process executable
DisplayNameDisplayName Nombre para mostrar del procesoProcess display name
RoleRole Rol de proceso: webserver, appServer, databaseServer, ldapServer, smbServerProcess role: webserver, appServer, databaseServer, ldapServer, smbServer
GrupoGroup Nombre del grupo de procesosProcess group name. Los procesos del mismo grupo están relacionados de manera lógica; por ejemplo, parte del mismo producto o componente del sistema.Processes in the same group are logically related, e.g., part of the same product or system component.
StartTimeStartTime Hora de inicio del grupo de procesosThe process pool start time
FirstPidFirstPid Primer PID del grupo de procesosThe first PID in the process pool
DescripciónDescription Descripción del procesoThe process description
CompanyNameCompanyName Nombre de la compañíaThe name of the company
InternalNameInternalName Nombre internoThe internal name
ProductNameProductName Nombre del productoThe name of the product
ProductVersionProductVersion Versión del productoThe version of the product
FileVersionFileVersion Versión del archivoThe version of the file
ExecutablePath _sExecutablePath Ruta de acceso del archivo ejecutableThe path of the executable
CommandLineCommandLine Línea de comandosThe command line
WorkingDirectoryWorkingDirectory Directorio de trabajoThe working directory
ServiciosServices Matriz de servicios en la que se ejecuta el procesoAn array of services under which the process is executing
UserNameUserName Cuenta en la que se está ejecutando el procesoThe account under which the process is executing
UserDomainUserDomain Dominio en el que se está ejecutando el procesoThe domain under which the process is executing
_ResourceId_ResourceId Identificador único de un proceso en el área de trabajoThe unique identifier for a process within the workspace

Consultas de mapa de ejemploSample map queries

Enumerar todas las máquinas conocidasList all known machines

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId

Cuando se reinicie la VM por última vezWhen was the VM last rebooted

let Today = now(); VMComputer | extend DaysSinceBoot = Today - BootTime | summarize by Computer, DaysSinceBoot, BootTime | sort by BootTime asc

Resumen de las VM de Azure por imagen, ubicación y SKUSummary of Azure VMs by image, location, and SKU

VMComputer | where AzureLocation != "" | summarize by Computer, AzureImageOffering, AzureLocation, AzureImageSku

Enumeración de la capacidad de memoria física de todos los equipos administradosList the physical memory capacity of all managed computers

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project PhysicalMemoryMB, Computer

Enumeración del nombre de equipo, DNS, IP y SOList computer name, DNS, IP, and OS

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project Computer, OperatingSystemFullName, DnsNames, Ipv4Addresses

Buscar todos los procesos con "sql" en la línea de comandosFind all processes with "sql" in the command line

VMProcess | where CommandLine contains_cs "sql" | summarize arg_max(TimeGenerated, *) by _ResourceId

Buscar una máquina (registro más reciente) por el nombre de recursoFind a machine (most recent record) by resource name

search in (VMComputer) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by _ResourceId

Buscar un equipo (registro más reciente) por dirección IPFind a machine (most recent record) by IP address

search in (VMComputer) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by _ResourceId

Enumerar todos los procesos conocidos en un equipo determinadoList all known processes on a specified machine

VMProcess | where Machine == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by _ResourceId

Enumerar todos los equipos que ejecutan SQL ServerList all computers running SQL Server

VMComputer | where AzureResourceName in ((search in (VMProcess) "*sql*" | distinct Machine)) | distinct Computer

Enumerar todas las versiones de producto únicas de curl en mi centro de datosList all unique product versions of curl in my datacenter

VMProcess | where ExecutableName == "curl" | distinct ProductVersion

Crear un grupo de equipos de todos los equipos con CentOSCreate a computer group of all computers running CentOS

VMComputer | where OperatingSystemFullName contains_cs "CentOS" | distinct Computer
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart

VM de Azure que transmiten más bytesWhich Azure VMs are transmitting the most bytes

VMConnection | join kind=fullouter(VMComputer) on $left.Computer == $right.Computer | summarize count(BytesSent) by Computer, AzureVMSize | sort by count_BytesSent desc
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart

Tendencia de errores de conexiónConnection failures trend

VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart

Puertos enlazadosBound Ports

VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName

Número de puertos abiertos en las máquinasNumber of open ports across machines

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc

Puntuación de procesos en el área de trabajo por el número de puertos que tienen abiertosScore processes in your workspace by the number of ports they have open

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc

Comportamiento agregado de cada puertoAggregate behavior for each port

A continuación, esta consulta se puede usar para puntuar los puertos por actividad (por ejemplo, puertos con más tráfico entrante y saliente o puertos con más conexiones).This query can then be used to score ports by activity, e.g., ports with most inbound/outbound traffic, ports with most connections

// 
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName

Resumir las conexiones salientes desde un grupo de máquinasSummarize the outbound connections from a group of machines

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(VMComputer
| summarize ips=makeset(todynamic(Ipv4Addresses)) by MonitoredMachine=AzureResourceName
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

Registros de rendimientoPerformance records

Los registros con un tipo de InsightsMetrics tienen datos de rendimiento del sistema operativo invitado de la máquina virtual.Records with a type of InsightsMetrics have performance data from the guest operating system of the virtual machine. Estos registros tienen las propiedades de la tabla siguiente:These records have the properties in the following table:

PropiedadProperty DescripciónDescription
TenantIdTenantId Identificador único del área de trabajoUnique identifier for the workspace
SourceSystemSourceSystem InsightsInsights
TimeGeneratedTimeGenerated Hora en que se recopiló el valor (UTC)Time the value was collected (UTC)
ComputerComputer FQDN del equipoThe computer FQDN
OrigenOrigin vm.azm.msvm.azm.ms
Espacio de nombresNamespace Categoría del contador de rendimientoCategory of the performance counter
NombreName Nombre del contador de rendimiento.Name of the performance counter
ValVal Valor recopiladoCollected value
EtiquetasTags Detalles relacionados sobre el registro.Related details about the record. Vea la tabla siguiente para consultar las etiquetas utilizadas con diferentes tipos de registros.See the table below for tags used with different record types.
AgentIdAgentId Identificador único de cada agente del equipoUnique identifier for each computer's agent
TipoType InsightsMetricsInsightsMetrics
ResourceIdResourceId Identificador de recurso de la máquina virtualResource ID of the virtual machine

Los contadores de rendimiento recopilados actualmente en la tabla InsightsMetrics se enumeran en la tabla siguiente:The performance counters currently collected into the InsightsMetrics table are listed in the following table:

Espacio de nombresNamespace NombreName DescripciónDescription UnidadUnit EtiquetasTags
ComputerComputer LatidoHeartbeat Latido de equipoComputer Heartbeat
MemoriaMemory AvailableMBAvailableMB Bytes disponibles en la memoriaMemory Available Bytes MegabytesMegabytes memorySizeMB: tamaño total de la memoriamemorySizeMB - Total memory size
RedNetwork WriteBytesPerSecondWriteBytesPerSecond Bytes de escritura de red por segundoNetwork Write Bytes Per Second BytesPerSecondBytesPerSecond NetworkDeviceId: identificador del dispositivoNetworkDeviceId - Id of the device
bytes: total de bytes enviadosbytes - Total sent bytes
RedNetwork ReadBytesPerSecondReadBytesPerSecond Bytes de lectura de red por segundoNetwork Read Bytes Per Second BytesPerSecondBytesPerSecond networkDeviceId: identificador del dispositivonetworkDeviceId - Id of the device
bytes: total de bytes recibidosbytes - Total received bytes
ProcesadorProcessor UtilizationPercentageUtilizationPercentage Porcentaje de uso del procesadorProcessor Utilization Percentage PercentPercent totalCpus: CPU totalestotalCpus - Total CPUs
LogicalDiskLogicalDisk WritesPerSecondWritesPerSecond Escrituras en el disco lógico por segundoLogical Disk Writes Per Second CountPerSecondCountPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk WriteLatencyMsWriteLatencyMs Latencia de escritura en el disco lógico en milisegundosLogical Disk Write Latency Millisecond MilliSecondsMilliSeconds mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk WriteBytesPerSecondWriteBytesPerSecond Bytes de escritura en el disco lógico por segundoLogical Disk Write Bytes Per Second BytesPerSecondBytesPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk TransfersPerSecondTransfersPerSecond Transferencias del disco lógico por segundoLogical Disk Transfers Per Second CountPerSecondCountPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk TransferLatencyMsTransferLatencyMs Latencia de transferencia del disco lógico en milisegundosLogical Disk Transfer Latency Millisecond MilliSecondsMilliSeconds mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk ReadsPerSecondReadsPerSecond Lecturas del disco lógico por segundoLogical Disk Reads Per Second CountPerSecondCountPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk ReadLatencyMsReadLatencyMs Latencia de lectura del disco lógico en milisegundosLogical Disk Read Latency Millisecond MilliSecondsMilliSeconds mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk ReadBytesPerSecondReadBytesPerSecond Bytes de lectura de disco lógico por segundoLogical Disk Read Bytes Per Second BytesPerSecondBytesPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk FreeSpacePercentageFreeSpacePercentage Porcentaje de espacio disponible en disco lógicoLogical Disk Free Space Percentage PercentPercent mountId: identificador de montaje del dispositivomountId - Mount ID of the device
LogicalDiskLogicalDisk FreeSpaceMBFreeSpaceMB Bytes de espacio disponible en el disco lógicoLogical Disk Free Space Bytes MegabytesMegabytes mountId: identificador de montaje del dispositivomountId - Mount ID of the device
diskSizeMB: tamaño total del discodiskSizeMB - Total disk size
LogicalDiskLogicalDisk BytesPerSecondBytesPerSecond Bytes del disco lógico por segundoLogical Disk Bytes Per Second BytesPerSecondBytesPerSecond mountId: identificador de montaje del dispositivomountId - Mount ID of the device

Pasos siguientesNext steps