Proprietà standard nei log di monitoraggio di AzureStandard properties in Azure Monitor Logs

I dati nei log di monitoraggio di Azure vengono archiviati come set di record in un'area di lavoro log Analytics o in un'applicazione Application Insights, ognuno con un particolare tipo di dati che dispone di un set univoco di proprietà.Data in Azure Monitor Logs is stored as a set of records in either a Log Analytics workspace or Application Insights application, each with a particular data type that has a unique set of properties. Molti tipi di dati hanno proprietà standard comuni a più tipi.Many data types will have standard properties that are common across multiple types. Questo articolo descrive queste proprietà e contiene esempi di come usarle nelle query.This article describes these properties and provides examples of how you can use them in queries.

Nota

Alcune delle proprietà standard non vengono visualizzate nella visualizzazione schema o in IntelliSense in Log Analytics e non vengono visualizzate nei risultati della query a meno che non si specifichi in modo esplicito la proprietà nell'output.Some of the standard propertis will not show in the schema view or intellisense in Log Analytics, and they won't show in query results unless you explicitly specify the property in the output.

TimeGenerated e timestampTimeGenerated and timestamp

Le proprietà TimeGenerated (area di lavoro log Analytics) e timestamp (Application Insights applicazione) contengono la data e l'ora in cui il record è stato creato dall'origine dati.The TimeGenerated (Log Analytics workspace) and timestamp (Application Insights application) properties contain the date and time that the record was created by the data source. Per altri dettagli, vedere tempo di inserimento dei dati del log in monitoraggio di Azure .See Log data ingestion time in Azure Monitor for more details.

TimeGenerated e timestamp forniscono una proprietà comune da usare per il filtro o il riepilogo in base al tempo.TimeGenerated and timestamp provide a common property to use for filtering or summarizing by time. Quando si seleziona un intervallo di tempo per una vista o un dashboard nella portale di Azure, viene usato TimeGenerated o timestamp per filtrare i risultati.When you select a time range for a view or dashboard in the Azure portal, it uses TimeGenerated or timestamp to filter the results.

esempiExamples

La query seguente restituisce il numero di eventi di errore creati per ogni giorno della settimana precedente.The following query returns the number of error events created for each day in the previous week.

Event
| where EventLevelName == "Error" 
| where TimeGenerated between(startofweek(ago(7days))..endofweek(ago(7days))) 
| summarize count() by bin(TimeGenerated, 1day) 
| sort by TimeGenerated asc 

La query seguente restituisce il numero di eccezioni create per ogni giorno della settimana precedente.The following query returns the number of exceptions created for each day in the previous week.

exceptions
| where timestamp between(startofweek(ago(7days))..endofweek(ago(7days))) 
| summarize count() by bin(TimeGenerated, 1day) 
| sort by timestamp asc 

_TimeReceived_TimeReceived

La proprietà _TimeReceived contiene la data e l'ora in cui il record è stato ricevuto dal punto di inserimento del monitoraggio di Azure nel cloud di Azure.The _TimeReceived property contains the date and time that the record was received by the Azure Monitor ingestion point in the Azure cloud. Questa operazione può essere utile per identificare i problemi di latenza tra l'origine dati e il cloud.This can be useful for identifying latency issues between the data source and the cloud. Un esempio potrebbe essere un problema di rete che causa un ritardo con l'invio di dati da un agente.An example would be a networking issue causing a delay with data being sent from an agent. Per altri dettagli, vedere tempo di inserimento dei dati del log in monitoraggio di Azure .See Log data ingestion time in Azure Monitor for more details.

La query seguente restituisce la latenza media per ora per i record di eventi da un agente.The following query gives the average latency by hour for event records from an agent. Sono inclusi il tempo dall'agente al cloud e il tempo totale per la disponibilità del record per le query di log.This includes the time from the agent to the cloud and and the total time for the record to be available for log queries.

Event
| where TimeGenerated > ago(1d) 
| project TimeGenerated, TimeReceived = _TimeReceived, IngestionTime = ingestion_time() 
| extend AgentLatency = toreal(datetime_diff('Millisecond',TimeReceived,TimeGenerated)) / 1000
| extend TotalLatency = toreal(datetime_diff('Millisecond',IngestionTime,TimeGenerated)) / 1000
| summarize avg(AgentLatency), avg(TotalLatency) by bin(TimeGenerated,1hr)

Digitare e itemTypeType and itemType

Il tipo (area di lavoro log Analytics) e le proprietà ItemType (Application Insights applicazione) contengono il nome della tabella da cui il record è stato recuperato, che può anche essere considerato come tipo di record.The Type (Log Analytics workspace) and itemType (Application Insights application) properties hold the name of the table that the record was retrieved from which can also be thought of as the record type. Questa proprietà è utile nelle query che consentono di combinare record da più tabelle, ad esempio quelle che usano l'operatore search, per distinguere tra record di diverso tipo.This property is useful in queries that combine records from multiple table, such as those that use the search operator, to distinguish between records of different types. $table può essere usato al posto di Type in alcune posizioni.$table can be used in place of Type in some places.

esempiExamples

La query seguente restituisce il numero di record in base al tipo raccolti nell'ultima ora.The following query returns the count of records by type collected over the past hour.

search * 
| where TimeGenerated > ago(1h)
| summarize count() by Type

ID elemento __ItemId

Il _proprietà ItemId include un identificatore univoco per il record.The _ItemId property holds a unique identifier for the record.

_ResourceId_ResourceId

La proprietà _ResourceId contiene un identificatore univoco per la risorsa a cui è associato il record.The _ResourceId property holds a unique identifier for the resource that the record is associated with. Si ottiene così una proprietà standard da utilizzare per definire l'ambito della query solo ai record di una determinata risorsa oppure per unire i dati correlati tra più tabelle.This gives you a standard property to use to scope your query to only records from a particular resource, or to join related data across multiple tables.

Per le risorse di Azure, il valore di _ResourceId è l'URL dell'ID risorsa di Azure.For Azure resources, the value of _ResourceId is the Azure resource ID URL. La proprietà è attualmente limitata alle risorse di Azure, ma verrà estesa alle risorse esterne ad Azure, ad esempio i computer locali.The property is currently limited to Azure resources, but it will be extended to resources outside of Azure such as on-premises computers.

Nota

Alcuni tipi di dati dispongono già di campi che contengono l'ID risorsa di Azure o almeno una parte di esso, ad esempio l'ID sottoscrizione.Some data types already have fields that contain Azure resource ID or at least parts of it like subscription ID. Mentre questi campi vengono mantenuti per motivi di compatibilità con le versioni precedenti, è consigliabile usare _ResourceId per eseguire la correlazione incrociata dal momento che sarà più coerente.While these fields are kept for backward compatibility, it is recommended to use the _ResourceId to perform cross correlation since it will be more consistent.

esempiExamples

La query seguente crea un join dei dati delle prestazioni e degli eventi per ogni computer.The following query joins performance and event data for each computer. Mostra tutti gli eventi con ID 101 e un utilizzo del processore del 50%.It shows all events with an ID of 101 and processor utilization over 50%.

Perf 
| where CounterName == "% User Time" and CounterValue  > 50 and _ResourceId != "" 
| join kind=inner (     
    Event 
    | where EventID == 101 
) on _ResourceId

La query seguente crea un join dei record AzureActivity con i record SecurityEvent.The following query joins AzureActivity records with SecurityEvent records. Mostra tutte le operazioni di attività con utenti che hanno effettuato l'accesso a tali macchine.It shows all activity operations with users that were logged in to these machines.

AzureActivity 
| where  
    OperationName in ("Restart Virtual Machine", "Create or Update Virtual Machine", "Delete Virtual Machine")  
    and ActivityStatus == "Succeeded"  
| join kind= leftouter (    
   SecurityEvent 
   | where EventID == 4624  
   | summarize LoggedOnAccounts = makeset(Account) by _ResourceId 
) on _ResourceId  

La query seguente analizza _ResourceId e aggrega i volumi di dati fatturati per ogni sottoscrizione di Azure.The following query parses _ResourceId and aggregates billed data volumes per Azure subscription.

union withsource = tt * 
| where _IsBillable == true 
| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   
| summarize Bytes=sum(_BilledSize) by subscriptionId | sort by Bytes nulls last 

Usare queste query union withsource = tt * solo se necessario, poiché le analisi tra tipi di dati sono costose.Use these union withsource = tt * queries sparingly as scans across data types are expensive to execute.

_IsBillable_IsBillable

La proprietà _IsBillable specifica se i dati inseriti sono fatturabili.The _IsBillable property specifies whether ingested data is billable. I dati con _IsBillable uguali a false vengono raccolti gratuitamente e non fatturati nell'account Azure.Data with _IsBillable equal to false are collected for free and not billed to your Azure account.

esempiExamples

Per ottenere un elenco di computer che inviano i tipi di dati fatturati, usare la query seguente:To get a list of computers sending billed data types, use the following query:

Nota

Usare le query con union withsource = tt * solo se necessario, poiché le analisi tra tipi di dati costituiscono un processo costoso.Use queries with union withsource = tt * sparingly as scans across data types are expensive to execute.

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Questo processo può essere esteso per restituire il conteggio orario dei computer che inviano tipi di dati fatturati:This can be extended to return the count of computers per hour that are sending billed data types:

union withsource = tt * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

_BilledSize_BilledSize

La proprietà _BilledSize specifica la dimensione in byte dei dati che verranno fatturati all'Azure se la proprietà _IsBillable è true.The _BilledSize property specifies the size in bytes of data that will be billed to your Azure account if _IsBillable is true.

esempiExamples

Per vedere le dimensioni degli eventi fatturabili inseriti per computer, usare la proprietà _BilledSize che fornisce la dimensione in byte:To see the size of billable events ingested per computer, use the _BilledSize property which provides the size in bytes:

union withsource = tt * 
| where _IsBillable == true 
| summarize Bytes=sum(_BilledSize) by  Computer | sort by Bytes nulls last 

Per visualizzare le dimensioni degli eventi fatturabili inseriti per ogni sottoscrizione, usare la query seguente:To see the size of billable events ingested per subscription, use the following query:

union withsource=table * 
| where _IsBillable == true 
| parse _ResourceId with "/subscriptions/" SubscriptionId "/" *
| summarize Bytes=sum(_BilledSize) by  SubscriptionId | sort by Bytes nulls last 

Per visualizzare le dimensioni degli eventi fatturabili inseriti per gruppo di risorse, usare la query seguente:To see the size of billable events ingested per resource group, use the following query:

union withsource=table * 
| where _IsBillable == true 
| parse _ResourceId with "/subscriptions/" SubscriptionId "/resourcegroups/" ResourceGroupName "/" *
| summarize Bytes=sum(_BilledSize) by  SubscriptionId, ResourceGroupName | sort by Bytes nulls last 

Per visualizzare il numero di eventi inseriti per computer, usare la query seguente:To see the count of events ingested per computer, use the following query:

union withsource = tt *
| summarize count() by Computer | sort by count_ nulls last

Per visualizzare il numero di eventi fatturabili inseriti per computer, usare la query seguente:To see the count of billable events ingested per computer, use the following query:

union withsource = tt * 
| where _IsBillable == true 
| summarize count() by Computer  | sort by count_ nulls last

Per visualizzare il numero di tipi di dati fatturabili da un computer specifico, usare la query seguente:To see the count of billable data types from a specific computer, use the following query:

union withsource = tt *
| where Computer == "computer name"
| where _IsBillable == true 
| summarize count() by tt | sort by count_ nulls last 

Passaggi successiviNext steps