Guida di riferimento alla ricerca in Log AnalyticsLog Analytics search reference

Nota

Questo articolo descrive le ricerche log con il linguaggio di query legacy di Log Analytics.This article describes log searches using the legacy query language in Log Analytics. Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, è consigliabile vedere le informazioni di riferimento sul nuovo linguaggio.If your workspace has been upgraded to the new Log Analytics query language, then you should refer to the language reference for the new language.

La sezione di riferimento seguente relativa al linguaggio di ricerca descrive le opzioni della sintassi di query generale che è possibile usare quando si ricercano dati e si filtrano espressioni per restringere la ricerca.The following reference section about search language describes the general query syntax options you can use when searching for data and filtering expressions to help narrow your search. Vengono inoltre descritti i comandi che è possibile usare per intervenire sui dati recuperati.It also describes commands that you can use to take action on the data retrieved.

È possibile ottenere informazioni sui campi restituiti nelle ricerche e sui facet che consentono di ottenere maggiori informazioni sulle categorie di dati simili nella sezione Riferimenti al campo Ricerca e ai facet.You can read about the fields returned in searches, and the facets that help you discover more about similar categories of data, in the Search field and facet reference section.

Sintassi di query generaleGeneral query syntax

La sintassi per l'esecuzione di query generale è la seguente:The syntax for general querying is as follows:

filterExpression | command1 | command2 …

L'espressione di filtro (filterExpression) definisce la condizione "where" per la query.The filter expression (filterExpression) defines the "where" condition for the query. I comandi si applicano ai risultati restituiti dalla query.The commands apply to the results returned by the query. Più comandi devono essere separati dal carattere di barra verticale (|).Multiple commands must be separated by the pipe character ( | ).

Esempi di sintassi generaleGeneral syntax examples

Esempi:Examples:

system

Questa query restituisce risultati che contengono la parola system in qualsiasi campo che è stato indicizzato per la ricerca full-text o di termini.This query returns results that contain the word system in any field that has been indexed for full text or terms searching.

Nota

Non tutti i campi sono indicizzati in questo modo, ma in genere lo sono i campi di testuali più comuni, ad esempio nomi e descrizioni.Not all fields are indexed this way, but the most common textual fields (such as descriptions and names) usually are.

system error

Questa query restituisce risultati che contengono le parole system ed error.This query returns results that contain the words system and error.

system error | sort ManagementGroupName, TimeGenerated desc | top 10

Questa query restituisce risultati che contengono le parole system ed error.This query returns results that contain the words system and error. Quindi ordina i risultati in base al campo ManagementGroupName (in ordine crescente) e in base al campo TimeGenerated (in ordine decrescente).It then sorts the results by the ManagementGroupName field (in ascending order), and then by the TimeGenerated field (in descending order). Visualizza solo i primi dieci risultati.It takes only the first 10 results.

Importante

Tutti i nomi dei campi e i valori dei campi di tipo stringa e testo fanno distinzione tra maiuscole e minuscole.All the field names and the values for the string and text fields are case sensitive.

Espressioni filtroFilter expressions

Nelle sottosezioni seguenti vengono illustrate le espressioni di filtro.The following subsections explain the filter expressions.

Valori letterali stringaString literals

Un valore letterale stringa è qualsiasi stringa non riconosciuta dal parser come una parola chiave o come un tipo di dati predefiniti (ad esempio, un numero o una data).A string literal is any string that is not recognized by the parser as a keyword or a predefined data type (for example, a number or date).

Esempi:Examples:

These all are string literals

Questa query cerca i risultati che contengono occorrenze di tutte le cinque parole.This query searches for results that contain occurrences of all five words. Per eseguire una ricerca di stringa complessa, racchiudere il valore letterale di stringa tra virgolette,To perform a complex string search, enclose the string literal in quotation marks. ad esempio:For example:

"Windows Server"

Restituisce solo i risultati con corrispondenze esatte per Windows Server.This only returns results with exact matches for Windows Server.

NumeriNumbers

Il parser supporta la sintassi di numeri interi decimali e a virgola mobile per i campi numerici.The parser supports the decimal integer and floating-point number syntax for numerical fields.

Esempi:Examples:

Type:Perf 0.5
HTTP 500

Date e oreDates and times

Tutti i dati nel sistema presentano una proprietà TimeGenerated che rappresenta la data e ora originali del record.Every piece of data in the system has a TimeGenerated property, which represents the original date and time of the record. Alcuni tipi di dati possono inoltre avere campi di data e ora aggiuntivi, ad esempio LastModified.Some types of data can have additional date and time fields (for example, LastModified).

Il selettore di grafico e ora della sequenza temporale in Log Analytics di Azure mostra una distribuzione dei risultati nel tempo, secondo la query corrente in esecuzione.The timeline Chart/Time selector in Azure Log Analytics shows a distribution of results over time (according to the current query being run). Si basa sul campo TimeGenerated.This is based on the TimeGenerated field. I campi di data e ora hanno un formato di stringa specifico che può essere usato nelle query per limitare la query a un determinato intervallo di tempo.Date and time fields have a specific string format that can be used in queries to restrict the query to a particular timeframe. È inoltre possibile usare la sintassi per fare riferimento a intervalli di tempo relativi (ad esempio, "tra 3 giorni fa e 2 ore fa").You can also use syntax to refer to relative time intervals (for example, "between 3 days ago and 2 hours ago").

Di seguito sono riportati i formati validi di sintassi per le date e le ore:The following are valid forms of syntax for dates and times:

yyyy-mm-ddThh:mm:ss.dddZ
yyyy-mm-ddThh:mm:ss.ddd
yyyy-mm-ddThh:mm:ss
yyyy-mm-ddThh:mm:ss
yyyy-mm-ddThh:mm
yyyy-mm-dd

ad esempio:For example:

TimeGenerated:2013-10-01T12:20

Il comando precedente restituisce solo i record con un valore TimeGenerated corrispondente alle 12:20 del 1° ottobre 2013.The previous command returns only records with a TimeGenerated value of exactly 12:20 on October 1, 2013.

Il parser supporta anche il valore di data e ora mnemonico, NOW.The parser also supports the mnemonic Date/Time value, NOW. È improbabile che vengano restituiti risultati, in quanto i dati non producono risultati attraverso il sistema in modo così rapido.(It is unlikely that this will yield any results, because data doesn’t make it through the system that fast.)

Questi esempi sono blocchi predefiniti da usare per le date relative e assolute.These examples are building blocks to use for relative and absolute dates. Nelle tre sezioni successive verrà illustrato come usare tali blocchi in filtri più avanzati con esempi che usano intervalli di date relative.In the next three subsections, you'll see how to use them in more advanced filters, with examples that use relative date ranges.

Operatori matematici di data/oraDate/Time math

Usare gli operatori matematici di data/ora per eseguire l'offset o arrotondare il valore di data/ora usando semplici calcoli di data/ora.Use the Date/Time math operators to offset or round the Date/Time value, by using simple Date/Time calculations.

Sintassi:Syntax:

datetime/unit
datetime[+|-]count unit
OperatoreOperator DescrizioneDescription
/ La data/ora viene arrotondata all'unità specificata.Rounds Date/Time to the specified unit. Ad esempio, NOW/DAY arrotonda la data/ora corrente a mezzanotte del giorno corrente.For example, NOW/DAY rounds the current Date/Time to midnight of the current day.
+ o -+ or - Esegue l'offset della data/ora in base al numero specificato di unità.Offsets Date/Time by the specified number of units. Ad esempio, NOW+1HOUR esegue l'offset della data/ora corrente di un'ora in avanti.For example, NOW+1HOUR offsets the current Date/Time by one hour ahead. 2013-10-01T12:00-10DAYS esegue l'offset del valore della data indietro di 10 giorni.2013-10-01T12:00-10DAYS offsets the Date value back by 10 days.

È possibile concatenare gli operatori matematici di data/ora.You can chain the Date/Time math operators together. Ad esempio:For example:

NOW+1HOUR-10MONTHS/MINUTE

Nella tabella seguente vengono elencate le unità di data/ora supportate.The following table lists the supported Date/Time units.

Unità di data/oraDate/Time unit DescrizioneDescription
YEAR, YEARSYEAR, YEARS Viene arrotondata all'anno corrente o viene eseguito l'offset in base al numero di anni specificato.Rounds to current year, or offsets by the specified number of years.
MONTH, MONTHSMONTH, MONTHS Viene arrotondata al mese corrente o viene eseguito l'offset in base al numero di mesi specificato.Rounds to current month, or offsets by the specified number of months.
DAY, DAYS, DATEDAY, DAYS, DATE Viene arrotondata al giorno corrente del mese o viene eseguito l'offset in base al numero di giorni specificato.Rounds to current day of the month, or offsets by the specified number of days.
HOUR, HOURSHOUR, HOURS Viene arrotondata all'ora corrente o viene eseguito l'offset in base al numero di ore specificato.Rounds to current hour, or offsets by the specified number of hours.
MINUTE, MINUTESMINUTE, MINUTES Viene arrotondata al minuto corrente o viene eseguito l'offset in base al numero di minuti specificato.Rounds to current minute, or offsets by the specified number of minutes.
SECOND, SECONDSSECOND, SECONDS Viene arrotondata al secondo corrente o viene eseguito l'offset in base al numero di secondi specificato.Rounds to current second, or offsets by the specified number of seconds.
MILLISECOND, MILLISECONDS, MILLI, MILLISMILLISECOND, MILLISECONDS, MILLI, MILLIS Viene arrotondata al millisecondo corrente o viene eseguito l'offset in base al numero di millisecondi specificato.Rounds to current millisecond, or offsets by the specified number of milliseconds.

Facet di campoField facets

Usando i facet di campo è possibile specificare la condizione di ricerca per campi specifici e i relativi valori esatti,By using field facets, you can specify the search condition for specific fields and their exact values. anziché scrivere query di "testo libero" per diversi termini dell'indice.This differs from writing "free text" queries for various terms throughout the index. Questa sintassi è già stata usata in vari esempi nei paragrafi precedenti.You have already seen this technique in several previous examples. Vengono ora forniti esempi più complessi.The following are more complex examples.

SintassiSyntax

field:value
field=value

DescrizioneDescription

Cerca il valore specifico nel campo.Searches the field for the specific value. Il valore può essere un valore letterale stringa, un numero o una data/ora.The value can be a string literal, number, or date and time.

Ad esempio:For example:

TimeGenerated:NOW
ObjectDisplayName:"server01.contoso.com"
SampleValue:0.3

SintassiSyntax

field>valuefield>value

field<valuefield<value

field>=valuefield>=value

field<=valuefield<=value

field!=valuefield!=value

DescrizioneDescription

Fornisce i confronti.Provides comparisons.

ad esempio:For example:

TimeGenerated>NOW+2HOURS

SintassiSyntax

field:[from..to]

DescrizioneDescription

Fornisce il facet di intervallo.Provides range faceting.

Ad esempio:For example:

TimeGenerated:[NOW..NOW+1DAY]
SampleValue:[0..2]

ININ

La parola chiave IN consente di scegliere da un elenco di valori.The IN keyword allows you to select from a list of values. A seconda della sintassi usata, questo può essere un semplice elenco di valori forniti o un elenco di valori di un'aggregazione.Depending on the syntax you use, this can be a simple list of values you provide, or a list of values from an aggregation.

Sintassi 1:Syntax 1:

field IN {value1,value2,value3,...}

Questa sintassi consente di includere tutti i valori in un elenco semplice.This syntax allows you to include all values in a simple list.

Esempi:Examples:

EventID IN {1201,1204,1210}
Computer IN {"srv01.contoso.com","srv02.contoso.com"}

Sintassi 2:Syntax 2:

(Outer query) (Field to use with inner query results) IN {Inner query | measure count() by (Field to send to outer query)} (rest  of outer query)  

Questa sintassi consente di creare un'aggregazione.This syntax allows you to create an aggregation. È possibile popolare l'elenco di valori da tale aggregazione in un'altra ricerca esterna (primaria) che cercherà gli eventi con tali valori.You can then feed the list of values from that aggregation into another outer (primary) search that looks for events with those value. A questo scopo, racchiudere tra parentesi la ricerca interna e inserire i risultati come possibili valori per un campo nella ricerca esterna usando l'operatore IN.You do this by enclosing the inner search in braces, and feeding its results as possible values for a field in the outer search by using the IN operator.

Esempio di query interna: computer attualmente privi di aggiornamenti della sicurezza con la query di aggregazione seguente:Inner query example: computers currently missing security updates with the following aggregation query:

Type:Update Classification="Security Updates"  UpdateState=needed TimeGenerated>NOW-25HOURS | measure count() by Computer

La query finale che trova tutti gli eventi di Windows per i computer attualmente privi di aggiornamenti della sicurezza sarà simile alla seguente:The final query that finds all Windows events for computers currently missing security updates resembles the following:

Type=Event Computer IN {Type:Update Classification="Security Updates"  UpdateState=needed TimeGenerated>NOW-25HOURS | measure count() by Computer}

ContieneContains

La parola chiave Contains consente di filtrare i record con un campo che contiene una stringa specificata.The Contains keyword allows you to filter for records with a field that contains a specified string. Viene fatta distinzione tra maiuscole e minuscole, funziona solo con campi di tipo stringa e non può includere i caratteri escape.This is case sensitive, works only with string fields, and may not include any escape characters.

Sintassi:Syntax:

field:contains("string")

Esempio:Example:

Type:contains("Event")

Restituisce i record con un tipo che contiene la stringa "Event".This returns records with a type that contains the string "Event". Gli esempi includono Event, SecurityEvent e ServiceFabricOperationEvent.Examples include Event, SecurityEvent, and ServiceFabricOperationEvent.

Espressioni regolariRegular expressions

È possibile specificare una condizione di ricerca per un campo con un'espressione regolare usando la parola chiave Regex.You can specify a search condition for a field with a regular expression, by using the Regex keyword. Per una descrizione completa della sintassi che è possibile usare nelle espressioni regolari, vedere Uso di espressioni regolari per filtrare ricerche log in Log Analytics.For a complete description of the syntax you can use in regular expressions, see Using regular expressions to filter log searches in Log Analytics.

Sintassi:Syntax:

field:Regex("Regular Expression")

Esempio:Example:

Computer:Regex("^C.*")

Operatori logiciLogical operators

I linguaggi di query supportano gli operatori logici (AND, OR e NOT) e i relativi alias di tipo C, rispettivamente (&&, || e !).The query languages support the logical operators (AND, OR, and NOT) and their C-style aliases (&&, ||, and !, respectively). È possibile usare le parentesi per raggruppare questi operatori.You can use parentheses to group these operators.

Esempi:Examples:

system OR error
Type:Alert AND NOT(Severity:1 OR ObjectId:"8066bbc0-9ec8-ca83-1edc-6f30d4779bcb8066bbc0-9ec8-ca83-1edc-6f30d4779bcb")

È possibile omettere l'operatore logico per gli argomenti di filtro di primo livello.You can omit the logical operator for the top-level filter arguments. In questo caso, viene usato l'operatore AND.In this case, the AND operator is assumed.

Espressione di filtroFilter expression Equivalente aEquivalent to
system errorsystem error system AND errorsystem AND error
system "Windows Server" OR Severity:1system "Windows Server" OR Severity:1 system AND ("Windows Server" OR Severity:1)system AND ("Windows Server" OR Severity:1)

Utilizzo dei caratteri jollyWildcarding

Il linguaggio di query supporta l'uso del carattere (*) per rappresentare uno o più caratteri per un valore in una query.The query language supports using the ( * ) character to represent one or more characters for a value in a query.

Esempio:Example:

Trovare tutti i computer con "SQL" nel nome, ad esempio "Redmond-SQL".Find all computers with "SQL" in the name, such as "Redmond-SQL".

Type=Event Computer=*SQL*

Nota

I caratteri jolly attualmente non possono essere usati tra virgolette,At this time, wildcards cannot be used within quotations. ad esempio, il messaggio "*This text*" considererà (*) usato come carattere letterale (*).For example, the message "*This text*" considers the (*) used as a literal (*) character.

Comandi:Commands

I comandi si applicano ai risultati restituiti dalla query.The commands apply to the results that are returned by the query. Usare il carattere di barra verticale (|) per applicare un comando ai risultati recuperati.Use the pipe character ( | ) to apply a command to the retrieved results. Più comandi devono essere separati dal carattere di barra verticale (|).Multiple commands must be separated by the pipe character.

Nota

I nomi dei comandi possono essere scritti in lettere maiuscole o minuscole, a differenza dei nomi dei campi e dei dati.Command names can be written in upper case or lower case, unlike the field names and the data.

OrdinaSort

Sintassi:Syntax:

sort field1 asc|desc, field2 asc|desc, …

Ordina i risultati in base a determinati campi.Sorts the results by particular fields. Il prefisso asc/desc per ordinare i risultati in ordine crescente o decrescente sono facoltativi.The asc/desc suffix to sort the results in ascending or descending order is optional. Se viene omesso, viene usato l'ordinamento asc.If it is omitted, the asc sort order is assumed. Per il campo TimeGenerated si presuppone l'ordinamento desc in modo che, per impostazione predefinita, vengano restituiti sempre prima i risultati più recenti.For the TimeGenerated field, desc sort order is assumed, so it returns the most recent results first by default.

Top/LimitTop/Limit

Sintassi:Syntax:

top number


limit number

Limita la risposta ai primi N risultati.Limits the response to the top N results.

Esempio:Example:

Type:Alert errors detected | top 10

Restituisce i primi 10 risultati corrispondenti.Returns the top 10 matching results.

SkipSkip

Sintassi:Syntax:

skip number

Ignora il numero di risultati elencati.Skips the number of results listed.

Esempio:Example:

Type:Alert errors detected | top 10 | skip 200

Restituisce i primi 10 risultati corrispondenti a partire dal risultato 200.Returns top 10 matching results starting at result 200.

SelezionareSelect

Sintassi:Syntax:

select field1, field2, ...

Limita i risultati ai campi selezionati.Limits results to the fields you choose.

Esempio:Example:

Type:Alert errors detected | select Name, Severity

Limita i campi dei risultati restituiti a Name e Severity.Limits the returned results fields to Name and Severity.

MeasureMeasure

Il comando measure viene usato per applicare funzioni statistiche ai risultati della ricerca non elaborati.The measure command is used to apply statistical functions to the raw search results. Questo comando è molto utile per ottenere visualizzazioni di tipo group-by dei dati.This is very useful to get group-by views over the data. Quando si usa il comando measure , la ricerca di Log Analytics visualizza una tabella con risultati aggregati.When you use the measure command, Log Analytics search displays a table with aggregated results.

Sintassi:Syntax:

measure aggregateFunction1([aggregatedField]) [as fieldAlias1] [, aggregateFunction2([aggregatedField2]) [as fieldAlias2] [, ...]] by groupField1 [, groupField2 [, groupField3]]  [interval interval]


measure aggregateFunction1([aggregatedField]) [as fieldAlias1] [, aggregateFunction2([aggregatedField2]) [as fieldAlias2] [, ...]]  interval interval

Aggrega i risultati per groupField e calcola i valori di misura aggregati tramite l'oggetto aggregatedField.Aggregates the results by groupField, and calculates the aggregated measure values by using aggregatedField.

Funzione statistica di measureMeasure statistical function DescrizioneDescription
aggregateFunctionaggregateFunction Nome della funzione di aggregazione (senza distinzione tra maiuscole e minuscole).The name of the aggregate function (case insensitive). Sono supportate le funzioni di aggregazione seguenti: COUNT MAX MIN SUM AVG STDDEV COUNTDISTINCT PERCENTILE## o PCT## (## è un numero compreso tra 1 e 99).The following aggregate functions are supported: COUNT, MAX, MIN, SUM, AVG, STDDEV, COUNTDISTINCT, PERCENTILE##, or PCT## (## is any number between 1 and 99).
aggregatedFieldaggregatedField Campo da aggregare.The field that is being aggregated. Questo campo è facoltativo per la funzione di aggregazione COUNT, ma deve essere un campo numerico esistente per SUM, MAX, MIN, AVG STDDEV, PERCENTILE## oppure PCT## (## è un numero compreso tra 1 e 99).This field is optional for the COUNT aggregate function, but has to be an existing numeric field for SUM, MAX, MIN, AVG, STDDEV, PERCENTILE##, or PCT## (## is any number between 1 and 99). Anche aggregatedField può essere una delle funzioni Extend supportate.The aggregatedField can also be any of the Extend supported functions.
fieldAliasfieldAlias Alias (facoltativo) per il valore aggregato calcolato.The (optional) alias for the calculated aggregated value. Se non viene specificato, il nome del campo sarà AggregatedValue.If not specified, the field name is AggregatedValue.
groupFieldgroupField Nome del campo in base al quale viene raggruppato il set di risultati.The name of the field that the result set is grouped by.
IntervalInterval L'intervallo di tempo nel formato:nnnNAME.The time interval, in the format:nnnNAME. nnn è il numero intero positivo.nnn is the positive integer number. NAME è il nome dell'intervallo.NAME is the interval name. I nomi di intervallo supportati fanno tra maiuscole e minuscole e includono: MILLISECOND[S] SECOND[S] MINUTE[S] HOUR[S] DAY[S] MONTH[S] e YEAR[S].Supported interval names are case sensitive, and include:MILLISECOND[S], SECOND[S], MINUTE[S], HOUR[S], DAY[S], MONTH[S], and YEAR[S].

L'opzione intervallo può essere usata solo nei campi del gruppo data/ora (ad esempio TimeGenerated e TimeCreated.The interval option can only be used in Date/Time group fields (such as TimeGenerated and TimeCreated). Questo non viene applicato dal servizio, ma attualmente un campo senza data/ora passato al back-end causa un errore di runtime.Currently, this is not enforced by the service, but a field without Date/Time that is passed to the back end causes a runtime error. Quando viene implementata la convalida dello schema, l'API del servizio rifiuta le query che usano campi senza data/ora per l'aggregazione di intervalli.When the schema validation is implemented, the service API rejects queries that use fields without Date/Time for interval aggregation. L'implementazione corrente di Measure supporta il raggruppamento di intervalli per qualsiasi funzione di aggregazione.The current Measure implementation supports interval grouping for any aggregate function.

Se la clausola BY viene omessa, ma viene specificato un intervallo (come una seconda sintassi), per impostazione predefinita viene usato il campo TimeGenerated .If the BY clause is omitted, but an interval is specified (as a second syntax), the TimeGenerated field is assumed by default.

Esempi:Examples:

Esempio 1Example 1

Type:Alert | measure count() as Count by ObjectId

Raggruppa gli avvisi per ObjectID e calcola il numero di avvisi per ogni gruppo.Groups the alerts by ObjectID, and calculates the number of alerts for each group. Il valore aggregato viene restituito come campo Count (alias).The aggregated value is returned as the Count field (alias).

Esempio 2Example 2

Type:Alert | measure count() interval 1HOUR

Raggruppa gli avvisi per intervalli di 1 ora tramite il campo TimeGenerated e restituisce il numero di avvisi in ogni intervallo.Groups the alerts by 1-hour intervals by using the TimeGenerated field, and returns the number of alerts in each interval.

Esempio 3Example 3

Type:Alert | measure count() as AlertsPerHour interval 1HOUR

Uguale all'esempio precedente, ma con un alias del campo aggregato (AlertsPerHour).Same as the previous example, but with an aggregated field alias (AlertsPerHour).

Esempio 4Example 4

* <span data-ttu-id="1d7e9-309">| measure count() by TimeCreated interval 5DAYS</span><span class="sxs-lookup"><span data-stu-id="1d7e9-309">| measure count() by TimeCreated interval 5DAYS</span></span>

Raggruppa i risultati per intervalli di 5 giorni tramite il campo TimeCreated e restituisce il numero di risultati in ogni intervallo.Groups the results by 5-day intervals by using the TimeCreated field, and returns the number of results in each interval.

Esempio 5Example 5

Type:Alert | measure max(Severity) by WorkflowName

Raggruppa gli avvisi in base al nome del carico di lavoro e restituisce il valore di gravità massima degli avvisi per ogni flusso di lavoro.Groups the alerts by workload name, and returns the maximum alert severity value for each workflow.

Esempio 6Example 6

Type:Alert | measure min(Severity) by WorkflowName

Uguale all'esempio precedente, ma con la funzione di aggregazione min.Same as the previous example, but with the min aggregated function.

Esempio 7Example 7

Type:Perf | measure avg(CounterValue) by Computer

Raggruppa le prestazioni per computer e calcola la media (avg).Groups Perf by computer, and calculates the average (avg).

Esempio 8Example 8

Type:Perf | measure sum(CounterValue) by Computer

Uguale all'esempio precedente, ma usa sum.Same as the previous example, but uses sum.

Esempio 9Example 9

Type:Perf | measure stddev(CounterValue) by Computer

Uguale all'esempio precedente, ma usa stddev.Same as the previous example, but uses stddev.

Esempio 10Example 10

Type:Perf | measure percentile70(CounterValue) by Computer

Uguale all'esempio precedente, ma usa percentile70.Same as the previous example, but uses percentile70.

Esempio 11Example 11

Type:Perf | measure pct70(CounterValue) by Computer

Uguale all'esempio precedente, ma usa pct70.Same as the previous example, but uses pct70. Notare che PCT## è solo un alias per la funzione PERCENTILE##.Note that PCT## is only an alias for PERCENTILE## function.

Esempio 12Example 12

Type:Perf | measure avg(CounterValue) by Computer, CounterName

Raggruppa le prestazioni prima in base al computer e poi per Nome conteggio, quindi calcola la media (avg).Groups Perf first by Computer and then CounterName, and calculates the average (avg).

Esempio 13Example 13

Type:Alert | measure count() as Count by WorkflowName | sort Count desc | top 5

Ottiene i primi cinque flussi di lavoro con il numero massimo di avvisi.Gets the top five workflows with the maximum number of alerts.

Esempio 14Example 14

* <span data-ttu-id="1d7e9-331">| measure countdistinct(Computer) per tipo</span><span class="sxs-lookup"><span data-stu-id="1d7e9-331">| measure countdistinct(Computer) by Type</span></span>

Conta il numero di computer univoci che creano report per ogni tipo.Counts the number of unique computers reporting for each Type.

Esempio 15Example 15

* <span data-ttu-id="1d7e9-334">| measure countdistinct(Computer) Interval 1HOUR</span><span class="sxs-lookup"><span data-stu-id="1d7e9-334">| measure countdistinct(Computer) Interval 1HOUR</span></span>

Conta il numero di computer univoci che creano report per ogni ora.Counts the number of unique computers reporting for every hour.

Esempio 16Example 16

Type:Perf CounterName=”% Processor Time” InstanceName=”_Total” | measure avg(CounterValue) by Computer Interval 1HOUR

Raggruppa la % tempo processore per computer e restituisce la media per ogni ora.Groups % Processor Time by Computer, and returns the average for every hour.

Esempio 17Example 17

Type:W3CIISLog | measure max(TimeTaken) by csMethod Interval 5MINUTES

Raggruppa W3CIISLog per metodo e restituisce il valore massimo ogni 5 minuti.Groups W3CIISLog by method, and returns the maximum for every 5 minutes.

Esempio 18Example 18

Type:Perf CounterName=”% Processor Time” InstanceName=”_Total”  | measure min(CounterValue) as MIN, avg(CounterValue) as AVG, percentile75(CounterValue) as PCT75, max(CounterValue) as MAX by Computer Interval 1HOUR

Raggruppa la % tempo processore per computer e restituisce il valore minimo, la media, il 75° percentile e il valore massimo per ogni ora.Groups % Processor Time by computer, and returns the minimum, average, 75th percentile, and maximum for every hour.

Esempio 19Example 19

Type:Perf CounterName=”% Processor Time”  | measure min(CounterValue) as MIN, avg(CounterValue) as AVG, percentile75(CounterValue) as PCT75, max(CounterValue) as MAX by Computer, InstanceName Interval 1HOUR

Raggruppa la % tempo processore prima per computer e poi per il nome dell'istanza, quindi restituisce il valore minimo, la media, il 75° percentile e il valore massimo per ogni ora.Groups % Processor Time first by computer and then by Instance name, and returns the minimum, average, 75th percentile, and maximum for every hour.

Esempio 20Example 20

Type= Perf CounterName="Disk Writes/sec" Computer="BaconDC01.BaconLand.com" | measure max(product(CounterValue,60)) as MaxDWPerMin by InstanceName Interval 1HOUR

Calcola il numero massimo di operazioni di scrittura sul disco al minuto per ogni disco del computer in uso.Calculates the maximum of disk writes per minute for every disk on your computer.

WhereWhere

Sintassi:Syntax:

**where** AggregatedValue>20

Può essere usato solo dopo un comando Measure per filtrare ulteriormente i risultati aggregati prodotti dalla funzione di aggregazione Measure.Can only be used after a Measure command to further filter the aggregated results that the Measure aggregation function has produced.

Esempi:Examples:

Type:Perf CounterName:"% Total Run Time" | Measure max(CounterValue) as MAXCPU by Computer

Type:Perf CounterName:"% Total Run Time" | Measure max(CounterValue) by Computer | where (AggregatedValue>50 and AggregatedValue<90)

DedupDedup

Sintassi:Syntax:

Dedup FieldName

Restituisce il primo documento trovato per ogni valore univoco del campo specificato.Returns the first document found for every unique value of the given field.

Esempio:Example:

Type=Event | Dedup EventID | sort TimeGenerated DESC

Questo esempio restituisce un evento (l'ultimo) per ogni EventID.This example returns one event (the latest event) per EventID.

JoinJoin

Unisce i risultati di due query in modo da formare un unico set di risultati.Joins the results of two queries to form a single result set. Supporta più tipi di join descritti nella tabella seguente.Supports multiple join types described in the follow table.

Tipo di joinJoin type DescrizioneDescription
internoinner Consente di restituire solo i record con un valore corrispondente in entrambe le query.Return only records with a matching value in both queries.
esternoouter Consente di restituire tutti i record da entrambe le query.Return all records from both queries.
sinistroleft Consente di restituire tutti i record da query a sinistra e i record corrispondenti da query a destra.Return all records from left query and matching records from right query.
  • I join attualmente non supportano query che includono la parola chiave IN, il comando Measure o il comando Extend se la destinazione è un campo della query a destra.Joins do not currently support queries that include the IN keyword, the Measure command or the Extend command if it targets a field from the right query.
  • Attualmente, è possibile includere solo un singolo campo in un join.You can currently include only a single field in a join.
  • Una singola ricerca non può includere più di un join.A single search may not include more than one join.

SintassiSyntax

<left-query> | JOIN <join-type> <left-query-field-name> (<right-query>) <right-query-field-name>

esempiExamples

Per illustrare i tipi di join diversi, prendere in considerazione l'aggiunta di un tipo di dati raccolti da un log personalizzato denominato MyBackup_CL con heartbeat per ciascun computer.To illustrate the different join types, consider joining a data type collected from a custom log called MyBackup_CL with the heartbeat for each computer. Questi tipi di dati sono caratterizzati dai dati seguenti.These datatypes have the following data.

Type = MyBackup_CL

TimeGeneratedTimeGenerated ComputerComputer LastBackupStatusLastBackupStatus
4/20/2017 01:26:32.137 AM4/20/2017 01:26:32.137 AM srv01.contoso.comsrv01.contoso.com SuccessSuccess
4/20/2017 02:13:12.381 AM4/20/2017 02:13:12.381 AM srv02.contoso.comsrv02.contoso.com SuccessSuccess
4/20/2017 02:13:12.381 AM4/20/2017 02:13:12.381 AM srv03.contoso.comsrv03.contoso.com Esito negativoFailure

Type = Hearbeat (solo un sottoinsieme dei campi visualizzati)Type = Hearbeat (Only a subset of fields shown)

TimeGeneratedTimeGenerated ComputerComputer ComputerIPComputerIP
4/21/2017 12:01:34.482 PM4/21/2017 12:01:34.482 PM srv01.contoso.comsrv01.contoso.com 10.10.100.110.10.100.1
4/21/2017 12:02:21.916 PM4/21/2017 12:02:21.916 PM srv02.contoso.comsrv02.contoso.com 10.10.100.210.10.100.2
4/21/2017 12:01:47.373 PM4/21/2017 12:01:47.373 PM srv04.contoso.comsrv04.contoso.com 10.10.100.410.10.100.4

join internoinner join

Type=MyBackup_CL | join inner Computer (Type=Heartbeat) Computer

Restituisce i record seguenti in cui il campo informatico corrisponde per entrambi i tipi di dati.Returns the following records where the computer field matches for both datatypes.

ComputerComputer TimeGeneratedTimeGenerated LastBackupStatusLastBackupStatus TimeGenerated_joinedTimeGenerated_joined ComputerIP_joinedComputerIP_joined Type_joinedType_joined
srv01.contoso.comsrv01.contoso.com 4/20/2017 01:26:32.137 AM4/20/2017 01:26:32.137 AM SuccessSuccess 4/21/2017 12:01:34.482 PM4/21/2017 12:01:34.482 PM 10.10.100.110.10.100.1 HeartbeatHeartbeat
srv02.contoso.comsrv02.contoso.com 4/20/2017 02:13:12.381 AM4/20/2017 02:13:12.381 AM SuccessSuccess 4/21/2017 12:02:21.916 PM4/21/2017 12:02:21.916 PM 10.10.100.210.10.100.2 HeartbeatHeartbeat

join esternoouter join

Type=MyBackup_CL | join outer Computer (Type=Heartbeat) Computer

Restituisce i record seguenti per entrambi i tipi di dati.Returns the following records for both datatypes.

ComputerComputer TimeGeneratedTimeGenerated LastBackupStatusLastBackupStatus TimeGenerated_joinedTimeGenerated_joined ComputerIP_joinedComputerIP_joined Type_joinedType_joined
srv01.contoso.comsrv01.contoso.com 4/20/2017 01:26:32.137 AM4/20/2017 01:26:32.137 AM SuccessSuccess 4/21/2017 12:01:34.482 PM4/21/2017 12:01:34.482 PM 10.10.100.110.10.100.1 HeartbeatHeartbeat
srv02.contoso.comsrv02.contoso.com 4/20/2017 02:14:12.381 AM4/20/2017 02:14:12.381 AM SuccessSuccess 4/21/2017 12:02:21.916 PM4/21/2017 12:02:21.916 PM 10.10.100.210.10.100.2 HeartbeatHeartbeat
srv03.contoso.comsrv03.contoso.com 4/20/2017 01:33:35.974 AM4/20/2017 01:33:35.974 AM Esito negativoFailure 4/21/2017 12:01:47.373 PM4/21/2017 12:01:47.373 PM
srv04.contoso.comsrv04.contoso.com 4/21/2017 12:01:47.373 PM4/21/2017 12:01:47.373 PM 10.10.100.210.10.100.2 HeartbeatHeartbeat

join sinistroleft join

Type=MyBackup_CL | join left Computer (Type=Heartbeat) Computer

Restituisce i seguenti record da MyBackup_CL con tutti i campi corrispondenti dall'Heartbeat.Returns the following records from MyBackup_CL with any matching fields from Heartbeat.

ComputerComputer TimeGeneratedTimeGenerated LastBackupStatusLastBackupStatus TimeGenerated_joinedTimeGenerated_joined ComputerIP_joinedComputerIP_joined Type_joinedType_joined
srv01.contoso.comsrv01.contoso.com 4/20/2017 01:26:32.137 AM4/20/2017 01:26:32.137 AM SuccessSuccess 4/21/2017 12:01:34.482 PM4/21/2017 12:01:34.482 PM 10.10.100.110.10.100.1 HeartbeatHeartbeat
srv02.contoso.comsrv02.contoso.com 4/20/2017 02:13:12.381 AM4/20/2017 02:13:12.381 AM SuccessSuccess 4/21/2017 12:02:21.916 PM4/21/2017 12:02:21.916 PM 10.10.100.210.10.100.2 HeartbeatHeartbeat
srv03.contoso.comsrv03.contoso.com 4/20/2017 02:13:12.381 AM4/20/2017 02:13:12.381 AM Esito negativoFailure

ExtendExtend

Consente di creare campi di runtime nelle query.Allows you to create run-time fields in queries. Si noti che i campi di runtime non possono essere usati con il comando measure per eseguire l'aggregazione.Note that run-time fields cannot be used with the measure command to perform aggregation.

Esempio 1Example 1

Type=SQLAssessmentRecommendation | Extend product(RecommendationScore, RecommendationWeight) AS RecommendationWeightedScore

Visualizza il punteggio delle raccomandazioni ponderato per le raccomandazioni di SQL Assessment.Shows weighted recommendation score for SQL Assessment recommendations.

Esempio 2Example 2

Type=Perf CounterName="Private Bytes" | EXTEND div(CounterValue,1024) AS KBs | Select CounterValue,Computer,KBs

Visualizza il valore del contatore in KB invece che in byte.Shows counter value in KBs instead of bytes.

Esempio 3Example 3

Type=WireData | EXTEND scale(TotalBytes,0,100) AS ScaledTotalBytes | Select ScaledTotalBytes,TotalBytes | SORT TotalBytes DESC

Ridimensiona il valore TotalBytes di WireData in modo che tutti i risultati siano compresi tra 0 e 100.Scales the value of WireData TotalBytes, such that all results are between 0 and 100.

Esempio 4Example 4

Type=Perf CounterName="% Processor Time" | EXTEND if(map(CounterValue,0,50,0,1),"HIGH","LOW") as UTILIZATION

Contrassegna i valori del contatore prestazioni inferiori al 50% come LOW e gli altri come HIGH.Tags Perf Counter Values less than 50 percent as LOW, and others as HIGH.

Esempio 5Example 5

Type= Perf CounterName="Disk Writes/sec" Computer="BaconDC01.BaconLand.com" | Extend product(CounterValue,60) as DWPerMin| measure max(DWPerMin) by InstanceName Interval 1HOUR

Calcola il numero massimo di operazioni di scrittura sul disco al minuto per ogni disco del computer in uso.Calculates the maximum of disk writes per minute for every disk on your computer.

Funzioni supportateSupported functions

FunzioneFunction DescrizioneDescription Esempi di sintassiSyntax examples
absabs Restituisce il valore assoluto del valore o della funzione specificata.Returns the absolute value of the specified value or function. abs(x)
abs(-5)
acosacos Restituisce l'arcocoseno di un valore o una funzione.Returns arc cosine of a value or a function. acos(x)
eand Restituisce un valore true se e solo se tutti gli operandi restituiscono true.Returns a value of true if and only if all of its operands evaluate to true. and(not(exists(popularity)),exists(price))
asinasin Restituisce l'arcoseno di un valore o una funzione.Returns arc sine of a value or a function. asin(x)
atanatan Restituisce l'arco tangente di un valore o una funzione.Returns arc tangent of a value or a function. atan(x)
atan2atan2 Restituisce l'angolo risultante dalla conversione delle coordinate rettangolari x, y in coordinate polari.Returns the angle resulting from the conversion of the rectangular coordinates x,y to polar coordinates. atan2(x,y)
cbrtcbrt Radice cubica.Cube root. cbrt(x)
ceilceil Arrotonda per eccesso a un numero intero.Rounds up to an integer. ceil(x)
ceil(5.6): restituisce il valore 6ceil(5.6) Returns 6
coscos Restituisce il coseno di un angolo.Returns cosine of an angle. cos(x)
coshcosh Restituisce il coseno iperbolico di un angolo.Returns hyperbolic cosine of an angle. cosh(x)
defdef Abbreviazione di default.Abbreviation for default. Restituisce il valore del campo "field".Returns the value of field "field". Se il campo non esiste, restituisce il valore predefinito specificato e restituisce il primo valore in cui exists()==true.If the field does not exist, returns the default value specified and yields the first value where: exists()==true. def(rating,5).def(rating,5). Questa funzione def() restituisce la classificazione o, se non specificata nel documento, restituisce il valore 5.This def() function returns the rating, or if no rating is specified in the document, returns 5.
def(myfield, 1.0) equivale a: if(exists(myfield),myfield,1.0).def(myfield, 1.0) is equivalent to if(exists(myfield),myfield,1.0).
degdeg Converte i radianti in gradi.Converts radians to degrees. deg(x)
divdiv div(x,y) divide x per y.div(x,y) divides x by y. div(1,y)
div(sum(x,100),max(y,1))
distdist Restituisce la distanza tra due vettori (punti) in uno spazio a n dimensioni.Returns the distance between two vectors, (points) in an n-dimensional space. Accetta la potenza e due o più istanze di ValueSource e calcola le distanze tra i due vettori.Takes in the power, plus two or more, ValueSource instances, and calculates the distances between the two vectors. Ogni ValueSource deve essere un numero.Each ValueSource must be a number. Il numero di istanze di ValueSource passate deve essere pari e il metodo presuppone che la prima metà rappresenti il primo vettore e che la seconda metà rappresenti il secondo vettore.There must be an even number of ValueSource instances passed in, and the method assumes that the first half represent the first vector and the second half represent the second vector. dist(2, x, y, 0, 0) : calcola la distanza euclidea tra (0,0) e (x,y) per ogni documento.dist(2, x, y, 0, 0) Calculates the Euclidean distance between (0,0) and (x,y) for each document.
dist(1, x, y, 0, 0) : calcola la distanza di Manhattan (geometria del taxi) tra (0,0) e (x,y) per ogni documento.dist(1, x, y, 0, 0) Calculates the Manhattan (taxicab) distance between (0,0) and (x,y) for each document.
dist(2,,x,y,z,0,0,0): distanza euclidea tra (0,0,0) e (x,y,z) per ogni documento.dist(2,,x,y,z,0,0,0) Euclidean distance between (0,0,0) and (x,y,z) for each document.
dist(1,x,y,z,e,f,g): distanza di Manhattan tra (x,y,z) e (e,f,g), dove ogni lettera è un nome di campo.dist(1,x,y,z,e,f,g) Manhattan distance between (x,y,z) and (e,f,g), where each letter is a field name.
existsexists Restituisce TRUE se esiste un membro del campo.Returns TRUE if any member of the field exists. exists(author): restituisce TRUE per i documenti con un valore nel campo "author".exists(author) Returns TRUE for any document that has a value in the "author" field.
exists(query(price:5.00)): restituisce TRUE se "price" corrisponde a "5.00".exists(query(price:5.00)) Returns TRUE if "price" matches,"5.00".
expexp Restituisce il numero di Eulero elevato alla potenza x.Returns Euler's number raised to power x. exp(x)
floorfloor Arrotonda per difetto a un numero intero.Rounds down to an integer. floor(x)
floor(5.6): restituisce il valore 5floor(5.6) Returns 5
hypohypo Restituisce sqrt(sum(pow(x,2),pow(y,2))) senza overflow o underflow intermedi.Returns sqrt(sum(pow(x,2),pow(y,2))) without intermediate overflow or underflow. hypo(x,y)
`
ifif Abilita le query funzione condizionali.Enables conditional function queries. In if(test,value1,value2): test è o fa riferimento a un valore o a un'espressione logica che restituisce un valore logico (TRUE o FALSE).In if(test,value1,value2), test is or refers to a logical value or expression that returns a logical value (TRUE or FALSE). value1 è il valore che viene restituito dalla funzione se test restituisce TRUE.value1 is the value returned by the function if test yields TRUE. value2 è il valore che viene restituito dalla funzione se test restituisce FALSE.value2 is the value returned by the function if test yields FALSE. Un'espressione può essere una funzione che restituisce valori booleaniAn expression can be any function which outputs boolean values. o anche una funzione che restituisce valori numerici, nel qual caso il valore 0 verrà interpretato come false, oppure stringhe, nel qual caso una stringa vuota viene interpretata come false.It can also be a function returning numeric values, in which case value 0 is interpreted as false, or returning strings, in which case empty string is interpreted as false. if(termfreq(cat,'electronics'),popularity,42): questa funzione controlla ogni documento per verificare se contiene il termine "electronics" nel campo cat.if(termfreq(cat,'electronics'),popularity,42) This function checks each document to see if it contains the term "electronics" in the cat field. In questo caso, viene restituito il valore del campo popularity.If it does, then the value of the popularity field is returned. In caso contrario, viene restituito il valore 42.Otherwise, the value of 42 is returned.
linearlinear Implementa m*x+c dove m e c sono costanti e x è una funzione arbitraria.Implements m*x+c, where m and c are constants, and x is an arbitrary function. È equivalente a sum(product(m,x),c), ma è un po' più efficiente perché viene implementata come funzione singola.This is equivalent to sum(product(m,x),c), but slightly more efficient as it is implemented as a single function. linear(x,m,c) linear(x,2,4) restituisce 2*x+4linear(x,m,c) linear(x,2,4) returns 2*x+4
lnln Restituisce il log naturale della funzione specificata.Returns the natural log of the specified function. ln(x)
loglog Restituisce il logaritmo in base 10 della funzione specificata.Returns the log base 10 of the specified function. log(x) log(sum(x,100))
mapmap Esegue il mapping dei valori di una funzione di input x compresa tra min e max inclusi alla destinazione specificata.Maps any values of an input function x that fall within min and max, inclusive to the specified target. Gli argomenti min e max devono essere costanti.The arguments min and max must be constants. Gli argomenti target e default possono essere costanti o funzioni.The arguments target and default can be constants or functions. Se il valore di x non è compreso tra min e max, viene restituito il valore di x oppure viene restituito un valore predefinito se viene specificato come quinto argomento.If the value of x does not fall between min and max, then either the value of x is returned, or a default value is returned if specified as a 5th argument. map(x,min,max,target) map(x,0,0,1): sostituisce i valori 0 con 1.map(x,min,max,target) map(x,0,0,1) Changes any values of 0 to 1. Può essere utile per gestire i valori 0 predefiniti.This can be useful in handling default 0 values.
map(x,min,max,target,default) map(x,0,100,1,-1): modifica su 1 qualsiasi valore compreso tra 0 e 100 e tutti gli altri valori diventano -1.map(x,min,max,target,default) map(x,0,100,1,-1) Changes any values between 0 and 100 to 1, and all other values to -1.
map(x,0,100,sum(x,599),docfreq(text,solr)): cambia i valori compresi tra 0 e 100 in x+599 e tutti gli altri valori nella frequenza del termine "solr" nel campo text.map(x,0,100,sum(x,599),docfreq(text,solr)) Changes any values between 0 and 100 to x+599, and all other values to frequency of the term 'solr' in the field text.
maxmax Restituisce il valore numerico massimo di più funzioni o costanti annidate che vengono specificate come argomenti: max(x,y,...).Returns the maximum numeric value of multiple nested functions or constants, which are specified as arguments: max(x,y,...). La funzione max può essere utile anche per ridurre il valore di un'altra funzione o campo fino a una costante specificata.The max function can also be useful for "bottoming out" another function or field at some specified constant. Usare la sintassi field(myfield,max) per selezionare il valore massimo di un singolo campo multivalore.Use the field(myfield,max) syntax for selecting the maximum value of a single multivalued field. max(myfield,myotherfield,0)
Minmin Restituisce il valore numerico minimo di più funzioni o costanti annidate che vengono specificate come argomenti: min(x,y,...).Returns the minimum numeric value of multiple nested functions of constants, which are specified as arguments: min(x,y,...). La funzione min può essere utile anche per fornire un "limite superiore" per una funzione usando una costante.The min function can also be useful for providing an "upper bound" on a function using a constant. Usare la sintassi field(myfield,min) per selezionare il valore minimo di un singolo campo multivalore.Use the field(myfield,min) syntax for selecting the minimum value of a single multivalued field. min(myfield,myotherfield,0)
modmod Calcola il modulo della funzione x per la funzione y.Computes the modulus of the function x by the function y. mod(1,x)
mod(sum(x,100), max(y,1))
msms Restituisce i millisecondi di differenza tra gli argomenti.Returns milliseconds of difference between its arguments. Le date sono relative al periodo temporale Unix o POSIX, mezzanotte, 1 gennaio 1970 UTC.Dates are relative to the Unix or POSIX time epoch, midnight, January 1, 1970 UTC. Gli argomenti possono essere il nome di un TrieDateField indicizzato o l'operatore matematico di data basato su una data costante oppure su NOW.Arguments may be the name of an indexed TrieDateField, or date math based on a constant date or NOW . ms() equivale a ms(NOW), numero di millisecondi dopo il periodo.ms() is equivalent to ms(NOW), number of milliseconds since the epoch. ms(a) restituisce il numero di millisecondi trascorsi dal periodo rappresentato dall'argomento.ms(a) returns the number of milliseconds since the epoch that the argument represents. ms(a,b) restituisce il numero di millisecondi che ci mette b per verificarsi prima di a, ovvero a - b.ms(a,b) returns the number of milliseconds that b occurs before a, which is a - b. ms(NOW/DAY)
ms(2000-01-01T00:00:00Z)
ms(mydatefield)
ms(NOW,mydatefield)
ms(mydatefield,2000-01-01T00:00:00Z)
ms(datefield1,datefield2)
notnot Valore negativo logico della funzione di cui è stato eseguito il wrapping.The logically negated value of the wrapped function. not(exists(author)): TRUE solo quando exists(author) è false.not(exists(author)) TRUE only when exists(author) is false.
oppureor Disgiunzione logica.A logical disjunction. or(value1,value2): TRUE se value1 o value2 è true.or(value1,value2) TRUE if either value1 or value2 is true.
powpow Genera la base specificata per la potenza specificata.Raises the specified base to the specified power. pow(x,y) genera x per la potenza di y.pow(x,y) raises x to the power of y. pow(x,y)
pow(x,log(y))
pow(x,0.5): è lo stesso di sqrt.pow(x,0.5) The same as sqrt.
productproduct Restituisce il prodotto di più valori o funzioni, che vengono specificate in un elenco con valori delimitati da virgole.Returns the product of multiple values or functions, which are specified in a comma-separated list. mul(...) può essere usato anche come alias per questa funzione.mul(...) may also be used as an alias for this function. product(x,y,...)
product(x,2)
product(x,y)
mul(x,y)
reciprecip Esegue una funzione reciproca con recip(x,m,a,b) che implementa a/(m*x+b) dove m, a, b sono costanti e x è una funzione arbitrariamente complessa.Performs a reciprocal function with recip(x,m,a,b) implementing a/(m*x+b), where m, a,and b are constants, and x is any arbitrarily complex function. Quando a e b sono uguali e x>=0, questa funzione ha un valore massimo di 1 che diminuisce quando x aumenta.When a and b are equal, and x>=0, this function has a maximum value of 1 that drops as x increases. Se i valori di a e b aumentano insieme, l'intera funzione viene spostata in una parte meno piatta della curva.Increasing the value of a and b together results in a movement of the entire function to a flatter part of the curve. Queste proprietà possono rendere questa funzione ideale per il boosting dei documenti più recenti quando x è rord(datefield).These properties can make this an ideal function for boosting more recent documents when x is rord(datefield). recip(myfield,m,a,b)
recip(rord(creationDate),1,1000,1000)
radrad Converte i gradi in radianti.Converts degrees to radians. rad(x)
rintrint Arrotonda al numero intero più prossimo.Rounds to the nearest integer. rint(x)
rint(5.6): restituisce il valore 6rint(5.6) Returns 6
sinsin Restituisce il seno di un angolo.Returns sine of an angle. sin(x)
sinhsinh Restituisce il seno iperbolico di un angolo.Returns hyperbolic sine of an angle. sinh(x)
scalascale Ridimensiona i valori della funzione x in modo che siano compresi tra i valori minTarget e maxTarget specificati inclusi.Scales values of the function x, such that they fall between the specified minTarget and maxTarget inclusive. L'implementazione corrente attraversa tutti i valori della funzione per ottenere quello minimo e quello massimo, per poter selezionare la scala corretta.The current implementation traverses all of the function values to obtain the min and max, so it can pick the correct scale. L'implementazione corrente non può distinguere quando i documenti sono stati eliminati o i documenti privi di valori.The current implementation cannot distinguish when documents have been deleted, or documents that have no value. In questi casi, usa i valori 0,0.It uses 0.0 values for these cases. Ciò significa che, se i valori di norma sono maggiori di 0,0, è possibile usare 0,0 come valore minimo da cui eseguire il mapping.This means that if values are normally all greater than 0.0, one can still end up with 0.0 as the min value to map from. In questi casi, una funzione map() appropriata può essere usata come soluzione alternativa per sostituire 0,0 con un valore compreso nell'intervallo reale, come illustrato qui: scale(map(x,0,0,5),1,2)In these cases, an appropriate map() function could be used as a workaround to change 0.0 to a value in the real range, as shown here: scale(map(x,0,0,5),1,2) scale(x,minTarget,maxTarget)
scale(x,1,2): ridimensiona i valori di x in modo che tutti i valori siano compresi tra 1 e 2 inclusi.scale(x,1,2) Scales the values of x, such that all values are between 1 and 2 inclusive.
sqrtsqrt Restituisce la radice quadrata del valore o della funzione specificata.Returns the square root of the specified value or function. sqrt(x)
sqrt(100)
sqrt(sum(x,100))
strdiststrdist Calcola la distanza tra due stringhe.Calculates the distance between two strings. Usa l'interfaccia StringDistance del controllo ortografico di Lucene e supporta tutte le implementazioni disponibili in tale pacchetto,Uses the Lucene spell checker StringDistance interface, and supports all of the implementations available in that package. oltre a consentire alle applicazioni di collegarsi tramite le funzionalità di caricamento delle risorse di Solr.Also allows applications to plug in their own, via Solr's resource loading capabilities. strdist accetta (string1, string2, distance measure).strdist takes (string1, string2, distance measure). I valori possibili per la misura della distanza sono: Possible values for distance measure are:
  • jw: Jaro-Winklerjw: Jaro-Winkler
  • modifcare: Levenstein oppure Modifica distanzaedit: Levenstein or Edit distance
  • ngram: il valore NGramDistance, se specificato, può facoltativamente passare anche la dimensione dell'n-gramma.ngram: The NGramDistance, if specified, can optionally pass in the ngram size too. Il valore predefinito è 2.Default is 2.
  • FQN: nome di classe completo per un'implementazione dell'interfaccia StringDistance.FQN: Fully Qualified class Name for an implementation of the StringDistance interface. Deve avere un costruttore no-arg.Must have a no-arg constructor.
strdist("SOLR",id,edit)
subsub Restituisce x-y da sub(x,y).Returns x-y from sub(x,y). sub(myfield,myfield2)
sub(100,sqrt(myfield))
Sumsum Restituisce la somma di più valori o funzioni, che vengono specificate in un elenco con valori delimitati da virgole.Returns the sum of multiple values or functions, which are specified in a comma-separated list. add(...) può essere usato come alias per questa funzione.add(...) may be used as an alias for this function. sum(x,y,...)
sum(x,1)
sum(x,y)
sum(sqrt(x),log(y),z,0.5)
add(x,y)
termfreqtermfreq Restituisce il numero di volte in cui il termine appare nel campo del documento.Returns the number of times the term appears in the field for that document. termfreq(text,'memory')termfreq(text,'memory')
tantan Restituisce la tangente di un angolo.Returns tangent of an angle. tan(x)
tanhtanh Restituisce la tangente iperbolica di un angolo.Returns hyperbolic tangent of an angle. tanh(x)

Riferimenti al campo Ricerca e ai facetSearch field and facet reference

Quando si usa Ricerca log per trovare i dati, i risultati visualizzano vari campi e facet.When you use Log Search to find data, results display various field and facets. Alcune informazioni potrebbero non essere molto descrittive.Some of the information might not appear very descriptive. Usare le informazioni seguenti per comprendere i risultati.Use the following information to help you understand the results.

CampoField Tipo di ricercaSearch type DescrizioneDescription
TenantIdTenantId TuttiAll Usato per la partizione di dati.Used to partition data.
TimeGeneratedTimeGenerated TuttiAll Usato per gestire la sequenza temporale, selettori orari (in Ricerca e in altre schermate).Used to drive the timeline, timeselectors (in search and in other screens). Rappresenta quando i dati sono stati generati (in genere nell'agente).It represents when the piece of data was generated (typically on the agent). Il tempo viene espresso nel formato ISO ed è sempre UTC.The time is expressed in ISO format, and is always UTC. Nel caso di tipi basati sulla strumentazione esistente, ad esempio gli eventi in un log, si tratta in genere del tempo reale in cui la voce, la riga o il record di log è stato registrato.In the case of types that are based on existing instrumentation (that is, events in a log), this is typically the real time that the log entry/line/record was logged. Per altri tipi generati con Management Pack o nel cloud, ad esempio raccomandazioni o avvisi, rappresenta un valore diverso.For some of the other types that are produced either via management packs or in the cloud (for example, recommendations or alerts), the time represents something different. Si tratta dell'ora in cui sono stati raccolti nuovi dati con uno snapshot di una configurazione di un certo tipo oppure è stata generata una raccomandazione o un avviso.This is the time when this new piece of data with a snapshot of a configuration of some sort was collected, or a recommendation/alert was produced based on it.
EventIDEventID EventoEvent ID evento nel registro eventi di Windows.EventID in the Windows event log.
EventLogEventLog EventoEvent Registro eventi in cui l'evento è stato registrato da Windows.Event log where the event was logged by Windows.
EventLevelNameEventLevelName EventoEvent Critico/avviso/informazioni/esito positivoCritical/warning/information/success
EventLevelEventLevel EventoEvent Valore numerico per critico/avviso/informazioni/esito positivo; usare EventLevelName invece di query più semplici o più leggibiliNumerical value for critical/warning/information/success (use EventLevelName instead for easier/more readable queries).
SourceSystemSourceSystem TuttiAll Provenienza dei dati, in termini di modalità di "collegamento" al servizio,Where the data comes from (in terms of attach mode to the service). ad esempio Microsoft System Center Operations Manager e Archiviazione di AzureExamples include Microsoft System Center Operations Manager and Azure Storage.
ObjectNameObjectName PerfHourlyPerfHourly Nome oggetto delle prestazioni di WindowsWindows performance object name.
InstanceNameInstanceName PerfHourlyPerfHourly Nome dell'istanza del contatore delle prestazioni di WindowsWindows performance counter instance name.
CounteNameCounteName PerfHourlyPerfHourly Nome del contatore delle prestazioni di WindowsWindows performance counter name.
ObjectDisplayNameObjectDisplayName PerfHourly, ConfigurationAlert, ConfigurationObject, ConfigurationObjectPropertyPerfHourly, ConfigurationAlert, ConfigurationObject, ConfigurationObjectProperty Nome visualizzato dell'oggetto di destinazione tramite una regola di raccolta delle prestazioni in Operations ManagerDisplay name of the object targeted by a performance collection rule in Operations Manager. o dell'oggetto individuato da Operational Insights o su cui è stato generato l'avvisoCould also be the display name of the object discovered by Operational Insights, or against which the alert was generated.
RootObjectNameRootObjectName PerfHourly, ConfigurationAlert, ConfigurationObject, ConfigurationObjectPropertyPerfHourly, ConfigurationAlert, ConfigurationObject, ConfigurationObjectProperty Nome visualizzato del padre del padre (in una relazione di hosting doppia) dell'oggetto di destinazione di una regola di raccolta delle prestazioni in Operations ManagerDisplay name of the parent of the parent (in a double hosting relationship) of the object targeted by a performance collection rule in Operations Manager. o dell'oggetto individuato da Operational Insights o su cui è stato generato l'avvisoCould also be the display name of the object discovered by Operational Insights, or against which the alert was generated.
ComputerComputer La maggior parte dei tipiMost types Nome del computer a cui appartengono i datiComputer name that the data belongs to.
DeviceNameDeviceName ProtectionStatusProtectionStatus Nome del computer a cui appartengono i dati (uguale a "Computer")Computer name the data belongs to (same as "Computer").
DetectionIdDetectionId ProtectionStatusProtectionStatus
ThreatStatusRankThreatStatusRank ProtectionStatusProtectionStatus La classificazione dello stato di minaccia è una rappresentazione numerica dello stato di minacciaThreat status rank is a numerical representation of the threat status. e, come per i codici di risposta HTTP, sono stati lasciati spazi tra i numeri (motivo per cui nessuna minaccia è 150, 100 o 0) in modo da poter aggiungere nuovi stati.Similar to HTTP response codes, the ranking has gaps between the numbers (which is why no threats is 150 and not 100 or 0), leaving room to add new states. Per un rollup dello stato di minaccia e dello stato di protezione, lo scopo è visualizzare lo stato peggiore in cui il computer è rimasto durante il periodo di tempo selezionato.For a rollup of threat status and protection status, the intention is to show the worst state that the computer has been in during the selected time period. I numeri vengono usati per classificare i diversi stati, per cui è possibile analizzare il record con il numero più alto.The numbers rank the different states, so you can look for the record with the highest number.
ThreatStatusThreatStatus ProtectionStatusProtectionStatus Descrizione di ThreatStatus, viene eseguito il mapping 1:1 con ThreatStatusRankDescription of ThreatStatus, maps 1:1 with ThreatStatusRank.
TypeofProtectionTypeofProtection ProtectionStatusProtectionStatus Prodotto anti-malware rilevato nel computer: nessuno, strumento di rimozione malware Microsoft, Forefront e così via.Antimalware product that is detected in the computer: none, Microsoft Malware Removal tool, Forefront, and so on.
ScanDateScanDate ProtectionStatusProtectionStatus
SourceHealthServiceIdSourceHealthServiceId ProtectionStatus, RequiredUpdateProtectionStatus, RequiredUpdate ID servizio di integrità per l'agente del computerHealthService ID for this computer's agent.
HealthServiceIdHealthServiceId La maggior parte dei tipiMost types ID servizio di integrità per l'agente del computerHealthService ID for this computer's agent.
ManagementGroupNameManagementGroupName La maggior parte dei tipiMost types Nome del gruppo di gestione per gli agenti di Operations Manager.Management Group Name for Operations Manager-attached agents. In caso contrario, è null o vuoto.Otherwise, it is null/blank.
ObjectTypeObjectType ConfigurationObjectConfigurationObject Tipo (come nel "tipo" o nella classe del Management Pack di Operations Manager) per l'oggetto individuato dalla valutazione della configurazione di Log AnalyticsType (as in Operations Manager management pack's type/class) for this object, discovered by Log Analytics configuration assessment.
UpdateTitleUpdateTitle RequiredUpdateRequiredUpdate Nome dell'aggiornamento trovato non installatoName of the update that was found not installed.
PublishDatePublishDate RequiredUpdateRequiredUpdate Quando è stato pubblicato l'aggiornamento su Microsoft UpdateWhen the update was published on Microsoft Update.
ServerServer RequiredUpdateRequiredUpdate Nome del computer a cui appartengono i dati (uguale a "Computer")Computer name the data belongs to (same as "Computer").
ProdottoProduct RequiredUpdateRequiredUpdate Prodotto a cui si applica l'aggiornamentoProduct that the update applies to.
UpdateClassificationUpdateClassification RequiredUpdateRequiredUpdate Tipo di aggiornamento, ad esempio rollup aggiornamento, Service PackType of update (for example, update rollup or service pack).
KBIDKBID RequiredUpdateRequiredUpdate ID articolo della KB che descrive la procedura consigliata o l'aggiornamentoKB article ID that describes this best practice or update.
WorkflowNameWorkflowName ConfigurationAlertConfigurationAlert Nome della regola o del monitoraggio che ha generato l'avvisoName of the rule or monitor that produced the alert.
SeveritySeverity ConfigurationAlertConfigurationAlert Gravità dell'avvisoSeverity of the alert.
PrioritàPriority ConfigurationAlertConfigurationAlert Priorità dell'avvisoPriority of the alert.
IsMonitorAlertIsMonitorAlert ConfigurationAlertConfigurationAlert Questo avviso viene generato da un monitoraggio (true) o da una regola (false)?Is this alert generated by a monitor (true) or a rule (false)?
AlertParametersAlertParameters ConfigurationAlertConfigurationAlert XML con i parametri dell'avviso di Log AnalyticsXML with the parameters of the Log Analytics alert.
ContextContext ConfigurationAlertConfigurationAlert XML con il contesto dell'avviso di Log AnalyticsXML with the context of the Log Analytics alert.
Carico di lavoroWorkload ConfigurationAlertConfigurationAlert Tecnologia o carico di lavoro a cui fa riferimento l'avvisoTechnology or workload that the alert refers to.
AdvisorWorkloadAdvisorWorkload RaccomandazioneRecommendation Tecnologia o carico di lavoro a cui fa riferimento la raccomandazioneTechnology or workload that the recommendation refers to.
DescrizioneDescription ConfigurationAlertConfigurationAlert Descrizione dell'avviso (breve)Alert description (short).
DaysSinceLastUpdateDaysSinceLastUpdate UpdateAgentUpdateAgent Quanti giorni fa (relativo a 'TimeGenerated' di questo record) questo agente ha installato un aggiornamento da Windows Server Update Service (WSUS)/Microsoft Update?How many days ago (relative to TimeGenerated of this record) did this agent install any update from Windows Server Update Service (WSUS) or Microsoft Update?
DaysSinceLastUpdateBucketDaysSinceLastUpdateBucket UpdateAgentUpdateAgent In base a DaysSinceLastUpdate, una categorizzazione in "bucket orari" del tempo trascorso dall'ultima installazione di aggiornamenti da WSUS/Microsoft Update da parte di un computerBased on DaysSinceLastUpdate, a categorization in time buckets of how long ago a computer last installed any update from WSUS/Microsoft Update.
AutomaticUpdateEnabledAutomaticUpdateEnabled UpdateAgentUpdateAgent Il controllo degli aggiornamenti automatici è abilitato o disabilitato su questo agente?Is automatic update checking enabled or disabled on this agent?
AutomaticUpdateValueAutomaticUpdateValue UpdateAgentUpdateAgent Il controllo degli aggiornamenti automatici è impostato per scaricare automaticamente e installare, solo scaricare o solo controllare?Is automatic update checking set to automatically download and install, only download, or only check?
WindowsUpdateAgentVersionWindowsUpdateAgentVersion UpdateAgentUpdateAgent Numero di versione dell'agente di Microsoft UpdateVersion number of the Microsoft Update agent.
WSUSServerWSUSServer UpdateAgentUpdateAgent A quale server WSUS è destinato questo agente di aggiornamento?Which WSUS server is this update agent targeting?
OSVersionOSVersion UpdateAgentUpdateAgent Versione del sistema operativo su cui è in esecuzione questo agente di aggiornamentoVersion of the operating system this update agent is running on.
NomeName Recommendation, ConfigurationObjectPropertyRecommendation, ConfigurationObjectProperty Nome/titolo della raccomandazione o nome della proprietà di valutazione configurazione di Log AnalyticsName/title of the recommendation, or name of the property from Log Analytics configuration assessment.
ValoreValue ConfigurationObjectPropertyConfigurationObjectProperty Valore di una proprietà di valutazione configurazione di Log AnalyticsValue of a property from Log Analytics configuration assessment.
KBLinkKBLink RaccomandazioneRecommendation URL all'articolo della KB che descrive la procedura consigliata o l'aggiornamentoURL to the KB article that describes this best practice or update.
RecommendationStatusRecommendationStatus RaccomandazioneRecommendation Le raccomandazioni sono tra i pochi tipi i cui record vengono aggiornati, non solo aggiunti all'indice di ricerca.Recommendations are among the few types whose records get updated, not just added to the search index. Questo stato cambia se la raccomandazione è attiva/aperta o se Log Analytics rileva che è stata risolta.This status changes whether the recommendation is active/open, or if Log Analytics detects that it has been resolved.
RenderedDescriptionRenderedDescription EventoEvent Descrizione con rendering (testo riutilizzato con parametri popolati) di un evento di WindowsRendered description (reused text with populated parameters) of a Windows event.
ParameterXmlParameterXml EventoEvent XML con i parametri della sezione relativa ai dati di un evento di Windows, come illustrato nel visualizzatore eventiXML with the parameters in the data section of a Windows Event (as seen in event viewer).
EventDataEventData EventoEvent XML con l'intera sezione relativa ai dati di un evento di Windows, come illustrato nel visualizzatore eventiXML with the whole data section of a Windows Event (as seen in event viewer).
SorgenteSource EventoEvent Origine del registro eventi che ha generato l'eventoEvent log source that generated the event.
EventCategoryEventCategory EventoEvent Categoria dell'evento, direttamente dal registro eventi di WindowsCategory of the event, directly from the Windows event log.
UserNameUserName EventoEvent Nome utente dell'evento di Windows, in genere, NT AUTHORITY\LOCALSYSTEMUser name of the Windows event (typically, NT AUTHORITY\LOCALSYSTEM).
SampleValueSampleValue PerfHourlyPerfHourly Valore medio per l'aggregazione oraria di un contatore delle prestazioniAverage value for the hourly aggregation of a performance counter.
MinMin PerfHourlyPerfHourly Valore minimo nell'intervallo orario di un'aggregazione oraria del contatore delle prestazioniMinimum value in the hourly interval of a performance counter hourly aggregate.
maxMax PerfHourlyPerfHourly Valore massimo nell'intervallo orario di un'aggregazione oraria del contatore delle prestazioniMaximum value in the hourly interval of a performance counter hourly aggregate.
Percentile95Percentile95 PerfHourlyPerfHourly Valore del 95° percentile nell'intervallo orario di un'aggregazione oraria del contatore delle prestazioniThe 95th percentile value for the hourly interval of a performance counter hourly aggregate.
SampleCountSampleCount PerfHourlyPerfHourly Il numero di campioni di contatori delle prestazioni non elaborati usati per produrre questo record di aggregazione orariaHow many raw performance counter samples were used to produce this hourly aggregate record.
ThreatThreat ProtectionStatusProtectionStatus Nome del malware rilevatoName of malware found.
StorageAccountStorageAccount W3CIISLogW3CIISLog Account di archiviazione di Azure da cui è stato letto il logAzure Storage account the log was read from.
AzureDeploymentIDAzureDeploymentID W3CIISLogW3CIISLog ID distribuzione di Azure del servizio cloud a cui appartiene il logAzure deployment ID of the cloud service the log belongs to.
RuoloRole W3CIISLogW3CIISLog Ruolo del servizio cloud di Azure a cui appartiene il logRole of the Azure cloud service the log belongs to.
RoleInstanceRoleInstance W3CIISLogW3CIISLog Istanza del ruolo di Azure a cui appartiene il logRoleInstance of the Azure role that the log belongs to.
sSiteNamesSiteName W3CIISLogW3CIISLog Sito Web IIS a cui appartiene il log (notazione metabase); il campo s-sitename nel log originaleIIS website that the log belongs to (metabase notation); the s-sitename field in the original log.
sComputerNamesComputerName W3CIISLogW3CIISLog Il campo s-computername nel log originaleThe s-computername field in the original log.
sIPsIP W3CIISLogW3CIISLog Indirizzo IP del server a cui è stata indirizzata la richiesta HTTP.Server IP address the HTTP request was addressed to. Il campo s-ip nel log originaleThe s-ip field in the original log.
csMethodcsMethod W3CIISLogW3CIISLog Metodo HTTP (ad esempio, GET/POST) usato dal client nella richiesta HTTPHTTP method (for example, GET/POST) used by the client in the HTTP request. Il metodo cs nel log originaleThe cs-method in the original log.
cIPcIP W3CIISLogW3CIISLog Indirizzo IP del client da cui proviene la richiesta HTTP.Client IP address the HTTP request came from. Il campo c-ip nel log originaleThe c-ip field in the original log.
csUserAgentcsUserAgent W3CIISLogW3CIISLog Agente utente HTTP dichiarato dal client (browser o altro).HTTP User-Agent declared by the client (browser or otherwise). L'agente utente cs nel log originaleThe cs-user-agent in the original log.
scStatusscStatus W3CIISLogW3CIISLog Codice di stato HTTP, ad esempio 200/403/500, restituito dal server al clientHTTP Status code (for example, 200/403/500) returned by the server to the client. Lo stato cs nel log originaleThe cs-status in the original log.
TimeTakenTimeTaken W3CIISLogW3CIISLog Periodo di tempo (in millisecondi) impiegato dalla richiesta per il completamento.How long (in milliseconds) that the request took to complete. Il campo timetaken nel log originaleThe timetaken field in the original log.
csUriStemcsUriStem W3CIISLogW3CIISLog URI relativo (senza indirizzo host, che è '/search') che è stato richiesto.Relative URI (without host address, that is, /search ) that was requested. Il campo cs-uristem nel log originaleThe cs-uristem field in the original log.
csUriQuerycsUriQuery W3CIISLogW3CIISLog Query dell'URI.URI query. Le query dell'URI sono necessarie solo per le pagine dinamiche, ad esempio le pagine ASP, per cui questo campo contiene in genere un trattino per le pagine statiche.URI queries are necessary only for dynamic pages, such as ASP pages, so this field usually contains a hyphen for static pages.
sPortsPort W3CIISLogW3CIISLog Porta del server a cui è stata inviata la richiesta HTTP (e a cui IIS è in ascolto dal momento della selezione)Server port that the HTTP request was sent to (and that IIS listens to, since it picked it up).
csUserNamecsUserName W3CIISLogW3CIISLog Nome dell'utente autenticato, se la richiesta è autenticata e non anonimaAuthenticated user name, if the request is authenticated and not anonymous.
csVersioncsVersion W3CIISLogW3CIISLog Versione del protocollo HTTP usata nella richiesta, ad esempio HTTP/1.1HTTP Protocol version used in the request (for example, HTTP/1.1).
csCookiecsCookie W3CIISLogW3CIISLog Informazioni sui cookieCookie information.
csReferercsReferer W3CIISLogW3CIISLog Ultimo sito visitato dall'utente.Site that the user last visited. Questo sito fornisce un collegamento al sito corrente.This site provided a link to the current site.
csHostcsHost W3CIISLogW3CIISLog Intestazione host richiesta, ad esempio www.mysite.comHost header (for example, www.mysite.com) that was requested.
scSubStatusscSubStatus W3CIISLogW3CIISLog Codice errore dello stato secondario.Substatus error code.
scWin32StatusscWin32Status W3CIISLogW3CIISLog Codice di stato Windows.Windows status code.
csBytescsBytes W3CIISLogW3CIISLog Byte inviati nella richiesta dal client al serverBytes sent in the request from the client to the server.
scBytesscBytes W3CIISLogW3CIISLog Byte restituiti nella risposta dal server al clientBytes returned back in the response from the server to the client.
ConfigChangeTypeConfigChangeType ConfigurationChangeConfigurationChange Tipo di modifica, ad esempio WindowsServices/SoftwareType of change (for example, WindowsServices/Software).
ChangeCategoryChangeCategory ConfigurationChangeConfigurationChange Categoria di modifica (Modificato/Aggiunto/Rimosso)Category of the change (Modified/Added/Removed).
SoftwareTypeSoftwareType ConfigurationChangeConfigurationChange Tipo di software (Aggiornamento/Applicazione)Type of software (Update/Application).
SoftwareNameSoftwareName ConfigurationChangeConfigurationChange Nome del software (applicabile solo alle modifiche del software)Name of the software (only applicable to software changes).
AutorePublisher ConfigurationChangeConfigurationChange Fornitore che pubblica il software (applicabile solo alle modifiche software)Vendor who publishes the software (only applicable to software changes).
SvcChangeTypeSvcChangeType ConfigurationChangeConfigurationChange Tipo di modifica applicata a un servizio Windows (Stato/Tipo avvio/Percorso/Account servizio)Type of change that was applied on a Windows service (State/StartupType/Path/ServiceAccount). Applicabile solo alle modifiche del servizio WindowsThis is only applicable to Windows service changes.
SvcDisplayNameSvcDisplayName ConfigurationChangeConfigurationChange Nome visualizzato del servizio modificatoDisplay name of the service that was changed.
SvcNameSvcName ConfigurationChangeConfigurationChange Nome del servizio modificatoName of the service that was changed.
SvcStateSvcState ConfigurationChangeConfigurationChange Stato nuovo (corrente) del servizioNew (current) state of the service.
SvcPreviousStateSvcPreviousState ConfigurationChangeConfigurationChange Stato precedente noto del servizio (applicabile solo se lo stato del servizio è stato modificato)Previous known state of the service (only applicable if service state changed).
SvcStartupTypeSvcStartupType ConfigurationChangeConfigurationChange Tipo di servizio di avvioService startup type.
SvcPreviousStartupTypeSvcPreviousStartupType ConfigurationChangeConfigurationChange Tipo di avvio del servizio precedente (applicabile solo se il tipo di avvio del servizio è stato modificato)Previous service startup type (only applicable if service startup type changed).
SvcAccountSvcAccount ConfigurationChangeConfigurationChange Account del servizioService account.
SvcPreviousAccountSvcPreviousAccount ConfigurationChangeConfigurationChange Account del servizio precedente (applicabile solo se l'account del servizio è stato modificato)Previous service account (only applicable if service account changed).
SvcPathSvcPath ConfigurationChangeConfigurationChange Percorso dell'eseguibile per il servizio WindowsPath to the executable of the Windows service.
SvcPreviousPathSvcPreviousPath ConfigurationChangeConfigurationChange Percorso precedente dell'eseguibile per il servizio Windows (applicabile solo se è stato modificato)Previous path of the executable for the Windows service (only applicable if it changed).
SvcDescriptionSvcDescription ConfigurationChangeConfigurationChange Descrizione del servizioDescription of the service.
PrecedentePrevious ConfigurationChangeConfigurationChange Stato precedente del software (Installato/Non installato/versione precedente)Previous state of this software (Installed/Not Installed/previous version).
CurrentCurrent ConfigurationChangeConfigurationChange Ultimo stato del software (Installato/Non installato/versione corrente)Latest state of this software (Installed/Not Installed/current version).

Passaggi successiviNext steps

Per altre informazioni sulle ricerche nei log:For additional information about log searches: