Come eseguire query sui log da Monitoraggio di Azure per le macchine virtuali (anteprima)How to query logs from Azure Monitor for VMs (preview)

Monitoraggio di Azure per le macchine virtuali raccoglie le metriche delle prestazioni e della connessione, i dati di inventario del computer e del processo e le informazioni sullo stato di integrità e le invia all'area di lavoro Log Analytics in monitoraggio di Azure.Azure Monitor for VMs collects performance and connection metrics, computer and process inventory data, and health state information and forwards it to the Log Analytics workspace in Azure Monitor. Questi dati sono disponibili per le query in monitoraggio di Azure.This data is available for query in Azure Monitor. Questi dati possono essere applicati a diversi scenari, tra cui la pianificazione della migrazione, l'analisi della capacità, l'individuazione e la risoluzione dei problemi di prestazioni on demand.You can apply this data to scenarios that include migration planning, capacity analysis, discovery, and on-demand performance troubleshooting.

Record della mappaMap records

Ogni ora viene generato un record per ogni computer e processo univoco, in aggiunta ai record generati all'avvio di un processo o computer o quando ne viene eseguito l'onboarding nella funzionalità di mappa di Monitoraggio di Azure per le macchine virtuali.One record is generated per hour for each unique computer and process, in addition to the records that are generated when a process or computer starts or is on-boarded to Azure Monitor for VMs Map feature. I record hanno le proprietà descritte nelle tabelle seguenti.These records have the properties in the following tables. I campi e i valori negli eventi ServiceMapComputer_CL eseguono il mapping ai campi della risorsa del computer nell'API ServiceMap di Azure Resource Manager.The fields and values in the ServiceMapComputer_CL events map to fields of the Machine resource in the ServiceMap Azure Resource Manager API. I campi e i valori negli eventi ServiceMapProcess_CL eseguono il mapping ai campi della risorsa del computer nell'API ServiceMap di Azure Resource Manager.The fields and values in the ServiceMapProcess_CL events map to the fields of the Process resource in the ServiceMap Azure Resource Manager API. Il campo ResourceName_s coincide con il campo del nome nella risorsa di Resource Manager corrispondente.The ResourceName_s field matches the name field in the corresponding Resource Manager resource.

Sono disponibili proprietà generate internamente che è possibile usare per identificare processi e computer univoci:There are internally generated properties you can use to identify unique processes and computers:

  • Computer: usare ResourceId o ResourceName_s per identificare in modo univoco un computer in un'area di lavoro Log Analytics.Computer: Use ResourceId or ResourceName_s to uniquely identify a computer within a Log Analytics workspace.
  • Processo: usare ResourceId per identificare in modo univoco un processo in un'area di lavoro Log Analytics.Process: Use ResourceId to uniquely identify a process within a Log Analytics workspace. Il valore di ResourceName_s è univoco nel contesto del computer in cui viene eseguito il processo (MachineResourceName_s)ResourceName_s is unique within the context of the machine on which the process is running (MachineResourceName_s)

Poiché possono essere presenti vari record per un determinato processo o computer in un intervallo di tempo specificato, le query possono restituire più di un record per lo stesso computer o processo.Because multiple records can exist for a specified process and computer in a specified time range, queries can return more than one record for the same computer or process. Per includere solo il record più recente, aggiungere | summarize arg_max(TimeGenerated, *) by ResourceId alla query.To include only the most recent record, add | summarize arg_max(TimeGenerated, *) by ResourceId to the query.

Connessioni e porteConnections and ports

La funzionalità Metrica di connessione introduce due nuove tabelle nei log di monitoraggio di Azure: VMConnection e VMBoundPort.The Connection Metrics feature introduces two new tables in Azure Monitor logs - VMConnection and VMBoundPort. In queste tabelle vengono fornite informazioni sulle connessioni per un computer (in ingresso e in uscita), nonché sulle porte del server aperte/attive.These tables provide information about the connections for a machine (inbound and outbound), as well as the server ports that are open/active on them. ConnectionMetrics vengono anche esposte tramite le API che forniscono i mezzi per ottenere una metrica specifica durante un intervallo di tempo.ConnectionMetrics are also exposed via APIs that provide the means to obtain a specific metric during a time window. Le connessioni TCP derivanti dall' accettazione su un socket di ascolto sono in ingresso, mentre quelle create tramite la connessione a un determinato IP e a una porta sono in uscita.TCP connections resulting from accepting on a listening socket are inbound, while those created by connecting to a given IP and port are outbound. La direzione di una connessione è rappresentata dalla proprietà Direction, che può essere impostata su inbound o outbound.The direction of a connection is represented by the Direction property, which can be set to either inbound or outbound.

I record in queste tabelle vengono generati dai dati segnalati dal Dependency Agent.Records in these tables are generated from data reported by the Dependency Agent. Ogni record rappresenta un'osservazione in un intervallo di tempo di 1 minuto.Every record represents an observation over a 1-minute time interval. La proprietà TimeGenerated indica l'inizio dell'intervallo di tempo.The TimeGenerated property indicates the start of the time interval. Ogni record contiene informazioni per identificare l'entità corrispondente, ovvero la connessione o la porta, oltre che le metriche associate a tale entità.Each record contains information to identify the respective entity, that is, connection or port, as well as metrics associated with that entity. Attualmente, viene segnalata solo l'attività di rete che si verifica tramite TCP su IPv4.Currently, only network activity that occurs using TCP over IPv4 is reported.

Campi e convenzioni comuniCommon fields and conventions

I campi e le convenzioni seguenti si applicano sia a VMConnection che a VMBoundPort:The following fields and conventions apply to both VMConnection and VMBoundPort:

  • Computer: nome di dominio completo del computer per la creazione di reportComputer: Fully-qualified domain name of reporting machine
  • AgentID: identificatore univoco per un computer con l'agente di Log AnalyticsAgentID: The unique identifier for a machine with the Log Analytics agent
  • Computer: nome della risorsa Azure Resource Manager per il computer esposto da ServiceMap.Machine: Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. Il formato è m-{GUID} , dove GUID è lo stesso GUID di AgentIDIt is of the form m-{GUID}, where GUID is the same GUID as AgentID
  • Process: nome della risorsa Azure Resource Manager per il processo esposto da ServiceMap.Process: Name of the Azure Resource Manager resource for the process exposed by ServiceMap. Il formato è p-{Hex stringa} .It is of the form p-{hex string}. Il processo è univoco all'interno di un ambito del computer e genera un ID di processo univoco tra i computer, combina i campi del computer e del processo.Process is unique within a machine scope and to generate a unique process ID across machines, combine Machine and Process fields.
  • ProcessName: nome eseguibile del processo di creazione di report.ProcessName: Executable name of the reporting process.
  • Tutti gli indirizzi IP sono stringhe nel formato canonico IPv4, ad esempio 13.107.3.160All IP addresses are strings in IPv4 canonical format, for example 13.107.3.160

Per gestire i costi e la complessità, i record di connessione non rappresentano singole connessioni di rete fisiche.To manage cost and complexity, connection records do not represent individual physical network connections. Più connessioni di rete fisiche vengono raggruppate in una connessione logica, che viene quindi riflessa nella rispettiva tabella.Multiple physical network connections are grouped into a logical connection, which is then reflected in the respective table. Ciò significa che i record nella tabella VMConnection rappresentano un raggruppamento logico e non le singole connessioni fisiche osservate.Meaning, records in VMConnection table represent a logical grouping and not the individual physical connections that are being observed. Le connessioni di rete fisiche che condividono lo stesso valore per gli attributi seguenti durante uno specifico intervallo di un minuto vengono aggregate in un singolo record logico in VMConnection.Physical network connection sharing the same value for the following attributes during a given one-minute interval, are aggregated into a single logical record in VMConnection.

ProprietàProperty DescriptionDescription
DirezioneDirection Direzione della connessione. Il valore è inbound o outboundDirection of the connection, value is inbound or outbound
MachineMachine FQDN del computerThe computer FQDN
ProcessoProcess Identità del processo o dei gruppi di processi che avviano/accettano la connessioneIdentity of process or groups of processes, initiating/accepting the connection
SourceIpSourceIp Indirizzo IP dell'origineIP address of the source
DestinationIpDestinationIp Indirizzo IP della destinazioneIP address of the destination
DestinationPortDestinationPort Numero di porta della destinazionePort number of the destination
ProtocolProtocol Protocollo usato per la connessione.Protocol used for the connection. Il valore è tcp.Values is tcp.

Per rendere conto dell'impatto del raggruppamento, nelle proprietà del record seguenti vengono fornite informazioni sul numero di connessioni fisiche raggruppate:To account for the impact of grouping, information about the number of grouped physical connections is provided in the following properties of the record:

ProprietàProperty DescriptionDescription
LinksEstablishedLinksEstablished Numero di connessioni di rete fisiche che sono state stabilite durante l'intervallo di tempo di creazione del reportThe number of physical network connections that have been established during the reporting time window
LinksTerminatedLinksTerminated Numero di connessioni di rete fisiche che sono state terminate durante l'intervallo di tempo di creazione del reportThe number of physical network connections that have been terminated during the reporting time window
LinksFailedLinksFailed Numero di connessioni di rete fisiche che hanno avuto esito negativo durante l'intervallo di tempo di creazione del report.The number of physical network connections that have failed during the reporting time window. Queste informazioni sono attualmente disponibili solo per le connessioni in uscita.This information is currently available only for outbound connections.
LinksLiveLinksLive Numero di connessioni di rete fisiche aperte alla fine dell'intervallo di tempo di creazione del reportThe number of physical network connections that were open at the end of the reporting time window

MetricheMetrics

Oltre alle metriche relative al numero di connessioni, nelle proprietà del record seguenti vengono fornite anche informazioni sul volume dei dati inviati e ricevuti in una determinata connessione logica o porta di rete:In addition to connection count metrics, information about the volume of data sent and received on a given logical connection or network port are also included in the following properties of the record:

ProprietàProperty DescriptionDescription
BytesSentBytesSent Numero totale di byte che sono stati inviati durante l'intervallo di tempo di creazione del reportTotal number of bytes that have been sent during the reporting time window
BytesReceivedBytesReceived Numero totale di byte che sono stati ricevuti durante l'intervallo di tempo di creazione del reportTotal number of bytes that have been received during the reporting time window
RisposteResponses Numero totale di risposte osservate durante l'intervallo di tempo di creazione del report.The number of responses observed during the reporting time window.
ResponseTimeMaxResponseTimeMax Tempo di risposta più lungo (millisecondi) osservato durante l'intervallo di tempo di creazione del report.The largest response time (milliseconds) observed during the reporting time window. In assenza di valore, la proprietà è vuota.If no value, the property is blank.
ResponseTimeMinResponseTimeMin Tempo di risposta più breve (millisecondi) osservato durante l'intervallo di tempo di creazione del report.The smallest response time (milliseconds) observed during the reporting time window. In assenza di valore, la proprietà è vuota.If no value, the property is blank.
ResponseTimeSumResponseTimeSum Somma di tutti i tempi di risposta (millisecondi) osservati durante l'intervallo di tempo di creazione del report.The sum of all response times (milliseconds) observed during the reporting time window. In assenza di valore, la proprietà è vuota.If no value, the property is blank.

Il terzo tipo di dati segnalati è il tempo di risposta, ovvero il tempo di attesa, da parre di un chiamante, affinché una richiesta inviata tramite una connessione venga elaborata dall'endpoint remoto e venga fornita una risposta.The third type of data being reported is response time - how long does a caller spend waiting for a request sent over a connection to be processed and responded to by the remote endpoint. Il tempo di risposta segnalato è una stima del tempo di risposta effettivo del protocollo dell'applicazione sottostante.The response time reported is an estimation of the true response time of the underlying application protocol. Viene calcolato usando l'euristica in base all'osservazione del flusso di dati tra l'origine e la destinazione di una connessione di rete fisica.It is computed using heuristics based on the observation of the flow of data between the source and destination end of a physical network connection. Concettualmente, corrisponde alla differenza tra l'ora in cui l'ultimo byte di una richiesta lascia il mittente e l'ora in cui l'ultimo byte della risposta torna al mittente.Conceptually, it is the difference between the time the last byte of a request leaves the sender, and the time when the last byte of the response arrives back to it. Questi due timestamp vengono usati per delineare gli eventi di richiesta e di risposta in una determinata connessione fisica.These two timestamps are used to delineate request and response events on a given physical connection. La differenza tra di essi rappresenta il tempo di risposta di una singola richiesta.The difference between them represents the response time of a single request.

In questa prima versione di questa funzionalità, l'algoritmo è un'approssimazione che potrebbe funzionare con un diverso livello di precisione a seconda del protocollo dell'applicazione effettivo usato per una connessione di rete specifica.In this first release of this feature, our algorithm is an approximation that may work with varying degree of success depending on the actual application protocol used for a given network connection. L'attuale approccio, ad esempio, funziona bene per protocolli basati su richiesta-risposta, come HTTP(S), ma non con protocolli unidirezionali o protocolli basati sulla coda di messaggi.For example, the current approach works well for request-response based protocols such as HTTP(S), but does not work with one-way or message queue-based protocols.

Ecco alcuni punti importanti da considerare:Here are some important points to consider:

  1. Se un processo accetta le connessioni sullo stesso indirizzo IP ma su più interfacce di rete, verrà segnalato un record distinto per ogni interfaccia.If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  2. I record con IP con caratteri jolly non contengono attività.Records with wildcard IP will contain no activity. Sono inclusi per rappresentare il fatto che una porta nel computer è aperta per il traffico in ingresso.They are included to represent the fact that a port on the machine is open to inbound traffic.
  3. Per ridurre il livello di dettaglio e il volume di dati, i record con IP con caratteri jolly vengono omessi quando è presente un record corrispondente (per processo, porta e protocollo uguali) con un indirizzo IP specifico.To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. Quando un record di IP con caratteri jolly viene omesso, la proprietà IsWildcardBind del record con l'indirizzo IP specifico viene impostata su "True" per indicare che la porta è esposta in ogni interfaccia del computer che esegue la segnalazione.When a wildcard IP record is omitted, the IsWildcardBind record property with the specific IP address, will be set to "True" to indicate that the port is exposed over every interface of the reporting machine.
  4. Le porte associate solo a un'interfaccia specifica hanno IsWildcardBind impostato su false.Ports that are bound only on a specific interface have IsWildcardBind set to False.

Denominazione e classificazioneNaming and Classification

Per praticità, l'indirizzo IP dell'estremità remota di una connessione è incluso nella proprietà RemoteIp.For convenience, the IP address of the remote end of a connection is included in the RemoteIp property. Per le connessioni in ingresso, RemoteIp corrisponde a SourceIp, mentre per le connessioni in uscita corrisponde a DestinationIp.For inbound connections, RemoteIp is the same as SourceIp, while for outbound connections, it is the same as DestinationIp. La proprietà RemoteDnsCanonicalNames rappresenta i nomi canonici DNS segnalati dal computer per RemoteIp.The RemoteDnsCanonicalNames property represents the DNS canonical names reported by the machine for RemoteIp. Le proprietà RemoteDnsQuestions e RemoteClassification sono riservate per l'uso futuro.The RemoteDnsQuestions and RemoteClassification properties are reserved for future use.

GeorilevazioneGeolocation

VMConnection include anche informazioni di georilevazione per l'estremità remota di ogni record di connessione nelle proprietà del record seguenti:VMConnection also includes geolocation information for the remote end of each connection record in the following properties of the record:

ProprietàProperty DescriptionDescription
RemoteCountryRemoteCountry Nome del paese/area geografica che ospita RemoteIp.The name of the country/region hosting RemoteIp. Ad esempio, Stati UnitiFor example, United States
RemoteLatitudeRemoteLatitude Latitudine della georilevazione.The geolocation latitude. Ad esempio, 47.68For example, 47.68
RemoteLongitudeRemoteLongitude Longitudine della georilevazione.The geolocation longitude. Ad esempio, -122.12For example, -122.12

Indirizzi IP dannosiMalicious IP

Ogni proprietà RemoteIp nella tabella VMConnection viene confrontata con un set di indirizzi IP con attività dannosa nota.Every RemoteIp property in VMConnection table is checked against a set of IPs with known malicious activity. Se la proprietà RemoteIp viene identificata come dannosa, le proprietà del record seguenti (vuote quando l'indirizzo IP non è considerato dannoso) vengono popolate:If the RemoteIp is identified as malicious the following properties will be populated (they are empty, when the IP is not considered malicious) in the following properties of the record:

ProprietàProperty DescriptionDescription
MaliciousIpMaliciousIp Indirizzo RemoteIpThe RemoteIp address
IndicatorThreadTypeIndicatorThreadType L'indicatore di minaccia rilevato è uno dei valori seguenti, Botnet, C2, CryptoMining, Darknet, DDos , MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.Threat indicator detected is one of the following values, Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.
DescriptionDescription Descrizione della minaccia osservata.Description of the observed threat.
TLPLevelTLPLevel Il livello del protocollo di segnalazione del traffico è uno dei valori definiti: Bianco, Verde, Ambra, Rosso.Traffic Light Protocol (TLP) Level is one of the defined values, White, Green, Amber, Red.
AttendibilitàConfidence I valori sono 0 - 100.Values are 0 – 100.
SeveritySeverity I valori sono 0-5, dove 5 è il più grave e 0 non è grave.Values are 0 – 5, where 5 is the most severe and 0 is not severe at all. Il valore predefinito è 3.Default value is 3.
FirstReportedDateTimeFirstReportedDateTime La prima volta che il provider ha segnalato l'indicatore.The first time the provider reported the indicator.
LastReportedDateTimeLastReportedDateTime L'ultima volta in cui l'indicatore è stato visualizzato da Interflow.The last time the indicator was seen by Interflow.
IsActiveIsActive Indica che gli indicatori vengono disattivati con il valore True o False.Indicates indicators are deactivated with True or False value.
ReportReferenceLinkReportReferenceLink Offre collegamenti ai report relativi a un oggetto osservabile specificato.Links to reports related to a given observable.
AdditionalInformationAdditionalInformation Offre informazioni aggiuntive, se disponibili, sulla minaccia osservata.Provides additional information, if applicable, about the observed threat.

PortePorts

Le porte in un computer che accettano attivamente il traffico in ingresso o che potenzialmente accettano il traffico, ma sono inattive durante l'intervallo di tempo per la creazione di report, vengono scritte nella tabella VMBoundPort.Ports on a machine that actively accept incoming traffic or could potentially accept traffic, but are idle during the reporting time window, are written to the VMBoundPort table.

Ogni record in VMBoundPort è identificato dai campi seguenti:Every record in VMBoundPort is identified by the following fields:

ProprietàProperty DescriptionDescription
ProcessoProcess Identità del processo o dei gruppi di processi a cui è associata la porta.Identity of process (or groups of processes) with which the port is associated with.
IPIp Indirizzo IP porta (può essere un IP con caratteri jolly, 0.0.0.0)Port IP address (can be wildcard IP, 0.0.0.0)
PortaPort Numero di portaThe Port number
ProtocolProtocol Protocollo.The protocol. Ad esempio TCP o UDP (attualmente è supportato solo TCP ).Example, tcp or udp (only tcp is currently supported).

Identità. una porta deriva dai cinque campi precedenti ed è archiviata nella proprietà ID porta.The identity a port is derived from the above five fields and is stored in the PortId property. Questa proprietà può essere usata per trovare rapidamente i record per una porta specifica nel tempo.This property can be used to quickly find records for a specific port across time.

MetricheMetrics

I record di porta includono le metriche che rappresentano le connessioni associate.Port records include metrics representing the connections associated with them. Attualmente vengono segnalate le metriche seguenti (i dettagli per ogni metrica sono descritti nella sezione precedente):Currently, the following metrics are reported (the details for each metric are described in the previous section):

  • BytesSent e BytesReceivedBytesSent and BytesReceived
  • LinksEstablished, LinksTerminated, LinksLiveLinksEstablished, LinksTerminated, LinksLive
  • ResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSumResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSum

Ecco alcuni punti importanti da considerare:Here are some important points to consider:

  • Se un processo accetta le connessioni sullo stesso indirizzo IP ma su più interfacce di rete, verrà segnalato un record distinto per ogni interfaccia.If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  • I record con IP con caratteri jolly non contengono attività.Records with wildcard IP will contain no activity. Sono inclusi per rappresentare il fatto che una porta nel computer è aperta per il traffico in ingresso.They are included to represent the fact that a port on the machine is open to inbound traffic.
  • Per ridurre il livello di dettaglio e il volume di dati, i record con IP con caratteri jolly vengono omessi quando è presente un record corrispondente (per processo, porta e protocollo uguali) con un indirizzo IP specifico.To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. Quando un record IP con caratteri jolly viene omesso, la proprietà IsWildcardBind per il record con l'indirizzo IP specifico verrà impostata su true.When a wildcard IP record is omitted, the IsWildcardBind property for the record with the specific IP address, will be set to True. Indica che la porta è esposta su ogni interfaccia del computer di report.This indicates the port is exposed over every interface of the reporting machine.
  • Le porte associate solo a un'interfaccia specifica hanno IsWildcardBind impostato su false.Ports that are bound only on a specific interface have IsWildcardBind set to False.

Record ServiceMapComputer_CLServiceMapComputer_CL records

I record di tipo ServiceMapComputer_CL includono dati di inventario per i server con Dependency Agent.Records with a type of ServiceMapComputer_CL have inventory data for servers with the Dependency agent. Questi record includono le proprietà elencate nella tabella seguente:These records have the properties in the following table:

ProprietàProperty DescriptionDescription
TypeType ServiceMapComputer_CLServiceMapComputer_CL
SourceSystemSourceSystem OpsManagerOpsManager
ResourceIdResourceId Identificatore univoco per il computer nell'area di lavoroThe unique identifier for a machine within the workspace
ResourceName_sResourceName_s Identificatore univoco per il computer nell'area di lavoroThe unique identifier for a machine within the workspace
ComputerName_sComputerName_s FQDN del computerThe computer FQDN
Ipv4Addresses_sIpv4Addresses_s Un elenco degli indirizzi IPv4 del serverA list of the server's IPv4 addresses
Ipv6Addresses_sIpv6Addresses_s Un elenco degli indirizzi IPv6 del serverA list of the server's IPv6 addresses
DnsNames_sDnsNames_s Una matrice di nomi DNSAn array of DNS names
OperatingSystemFamily_sOperatingSystemFamily_s Windows o LinuxWindows or Linux
OperatingSystemFullName_sOperatingSystemFullName_s Nome completo del sistema operativoThe full name of the operating system
Bitness_sBitness_s Numero di bit del computer, a 32 bit o a 64 bitThe bitness of the machine (32-bit or 64-bit)
PhysicalMemory_dPhysicalMemory_d Memoria fisica in MBThe physical memory in MB
Cpus_dCpus_d Numero di CPUThe number of CPUs
CPUSpeed_dCpuSpeed_d Velocità della CPU in MHzThe CPU speed in MHz
VirtualizationState_sVirtualizationState_s sconosciuto, fisico, virtuale, hypervisorunknown, physical, virtual, hypervisor
VirtualMachineType_sVirtualMachineType_s hyperv, vmware e così viahyperv, vmware, and so on
VirtualMachineNativeMachineId_gVirtualMachineNativeMachineId_g ID della macchina virtuale assegnato dal relativo hypervisorThe VM ID as assigned by its hypervisor
VirtualMachineName_sVirtualMachineName_s Nome della macchina virtualeThe name of the VM
BootTime_tBootTime_t Tempo di avvioThe boot time

Record con tipo ServiceMapProcess_CLServiceMapProcess_CL Type records

I record di tipo ServiceMapProcess_CL includono dati di inventario per i processi connessi tramite TCP nei server con Dependency Agent.Records with a type of ServiceMapProcess_CL have inventory data for TCP-connected processes on servers with the Dependency agent. Questi record includono le proprietà elencate nella tabella seguente:These records have the properties in the following table:

ProprietàProperty DescriptionDescription
TypeType ServiceMapProcess_CLServiceMapProcess_CL
SourceSystemSourceSystem OpsManagerOpsManager
ResourceIdResourceId Identificatore univoco per il processo nell'area di lavoroThe unique identifier for a process within the workspace
ResourceName_sResourceName_s Identificatore univoco per il processo nel computer in cui è in esecuzioneThe unique identifier for a process within the machine on which it is running
MachineResourceName_sMachineResourceName_s Nome della risorsa del computerThe resource name of the machine
ExecutableName_sExecutableName_s Nome dell'eseguibile del processoThe name of the process executable
StartTime_tStartTime_t Ora di inizio del pool del processoThe process pool start time
FirstPid_dFirstPid_d Primo PID nel pool del processoThe first PID in the process pool
Description_sDescription_s Descrizione del processoThe process description
CompanyName_sCompanyName_s Nome dell'aziendaThe name of the company
InternalName_sInternalName_s Nome internoThe internal name
ProductName_sProductName_s Nome del prodottoThe name of the product
ProductVersion_sProductVersion_s Versione del prodottoThe product version
FileVersion_sFileVersion_s Versione del fileThe file version
CommandLine_sCommandLine_s Riga di comandoThe command line
ExecutablePath_sExecutablePath_s Percorso del file eseguibileThe path to the executable file
WorkingDirectory_sWorkingDirectory_s La directory di lavoroThe working directory
UserNameUserName Account con cui è in esecuzione il processoThe account under which the process is executing
UserDomainUserDomain Dominio in cui è in esecuzione il processoThe domain under which the process is executing

Ricerche di log di esempioSample log searches

Visualizzare tutti i computer notiList all known machines

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId

Data dell'ultimo riavvio della macchina virtualeWhen was the VM last rebooted

let Today = now(); ServiceMapComputer_CL | extend DaysSinceBoot = Today - BootTime_t | summarize by Computer, DaysSinceBoot, BootTime_t | sort by BootTime_t asc

Riepilogo delle macchine virtuali di Azure per immagine, posizione e SKUSummary of Azure VMs by image, location, and SKU

ServiceMapComputer_CL | where AzureLocation_s != "" | summarize by ComputerName_s, AzureImageOffering_s, AzureLocation_s, AzureImageSku_s

Visualizzare la capacità di memoria fisica di tutti i computer gestiti.List the physical memory capacity of all managed computers.

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s

Visualizzare nome del computer, DNS, IP e sistema operativo.List computer name, DNS, IP, and OS.

ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s

Trovare tutti i processi con "sql" nella riga di comandoFind all processes with "sql" in the command line

ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId

Trovare un computer (record più recente) in base al nome di risorsaFind a machine (most recent record) by resource name

search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId

Trovare un computer, ovvero il record più recente, in base all’indirizzo IPFind a machine (most recent record) by IP address

search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId

Elencare tutti i processi noti su un computer specificoList all known processes on a specified machine

ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId

Elencare tutti i computer che eseguono SQL ServerList all computers running SQL Server

ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s

Elencare tutte le versioni di prodotto univoche di curl nel data centerList all unique product versions of curl in my datacenter

ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s

Creare un gruppo di tutti i computer che eseguono CentOSCreate a computer group of all computers running CentOS

ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart

Macchine virtuali di Azure che trasmettono il maggior numero di byteWhich Azure VMs are transmitting the most bytes

VMConnection | join kind=fullouter(ServiceMapComputer_CL) on $left.Computer == $right.ComputerName_s | summarize count(BytesSent) by Computer, AzureVMSize_s | sort by count_BytesSent desc
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart

Tendenza degli errori di connessioneConnection failures trend

VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart

Porte con bindingBound Ports

VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName

Numero di porte aperte tra computerNumber of open ports across machines

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc

Assegnare punteggi ai processi nell'area di lavoro per il numero di porte aperteScore processes in your workspace by the number of ports they have open

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc

Comportamento aggregato per ogni portaAggregate behavior for each port

Questa query può quindi essere usata per assegnare un punteggio alle porte in base alle attività, ad esempio le porte con la maggior parte del traffico in ingresso/uscita, le porte con la maggior parte delle connessioniThis query can then be used to score ports by activity, e.g., ports with most inbound/outbound traffic, ports with most connections

// 
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName

Riepilogare le connessioni in uscita da un gruppo di computerSummarize the outbound connections from a group of machines

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

Passaggi successiviNext steps