Analizzare l'utilizzo dei dati in Log AnalyticsAnalyze data usage in Log Analytics

Log Analytics include informazioni sulla quantità di dati raccolti, sui diversi tipi di dati inviati e sulle origini che li hanno inviati.Log Analytics includes information on the amount of data collected, which sources sent the data, and the different types of data sent. Usare il dashboard Utilizzo di Analisi dei log per esaminare l'utilizzo dei dati.Use the Log Analytics Usage dashboard to review and analyze data usage. Il dashboard mostra la quantità di dati raccolti da ogni soluzione e la quantità di dati inviata dai computer.The dashboard shows how much data is collected by each solution and how much data your computers are sending.

Informazioni sul dashboard UtilizzoUnderstand the Usage dashboard

Il dashboard Utilizzo di Log Analytics visualizza le informazioni seguenti:The Log Analytics usage dashboard displays the following information:

  • Volume datiData volume
    • Volume dati nel tempo (in base all'ambito temporale corrente)Data volume over time (based on your current time scope)
    • Volume dati per soluzioneData volume by solution
    • Dati non associati a un computerData not associated with a computer
  • ComputerComputers
    • Computer che inviano datiComputers sending data
    • Computer senza dati nelle ultime 24 oreComputers with no data in last 24 hours
  • OfferteOfferings
    • Nodi di informazioni dettagliate e analisiInsight and Analytics nodes
    • Nodi di automazione e controlloAutomation and Control nodes
    • Nodi di sicurezzaSecurity nodes
  • PrestazioniPerformance
    • Tempo impiegato per raccogliere e indicizzare i datiTime taken to collect and index data
  • Elenco di queryList of queries

Dashboard Utilizzo e costi stimatiUsage and cost dashboard
))

Per gestire i dati di utilizzoTo work with usage data

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Nel portale di Azure fare clic su Tutti i servizi.In the Azure portal, click All services. Nell'elenco delle risorse digitare Log Analytics.In the list of resources, type Log Analytics. Non appena si inizia a digitare, l'elenco viene filtrato in base all'input.As you begin typing, the list filters based on your input. Selezionare Log Analytics.Select Log Analytics.

    Portale di AzureAzure portal

  3. Nell'elenco di aree di lavoro di Log Analytics selezionare un'area di lavoro.In your list of Log Analytics workspaces, select a workspace.
  4. Selezionare Utilizzo e costi stimati dall'elenco nel riquadro a sinistra.Select Usage and estimated costs from the list in the left pane.
  5. Nel dashboard Utilizzo e costi stimati è possibile modificare l'intervallo di tempo selezionando Ora: Ultime 24 ore e modificando l'intervallo stesso.On the Usage and estimated costs dashboard, you can modify the time range by selecting the Time: Last 24 hours and change the time interval.

    Intervallo di tempotime interval

  6. Visualizzare i pannelli delle categorie di utilizzo che mostrano le aree a cui si è interessati.View the usage category blades that show areas you’re interested in. Scegliere un pannello e quindi fare clic su un elemento per visualizzare altri dettagli in Ricerca log.Choose a blade and then click an item in it to view more details in Log Search.

    KPI di esempio di utilizzo dei datiexample data usage kpi

  7. Nel dashboard Ricerca log esaminare i risultati restituiti dalla ricerca.On the Log Search dashboard, review the results that are returned from the search.

    Ricerca log sull'utilizzo dei dati di esempio

Creare un avviso quando la raccolta dati supera le dimensioni previsteCreate an alert when data collection is higher than expected

Questa sezione descrive come creare un avviso nei casi seguenti:This section describes how to create an alert if:

  • Il volume di dati supera una quantità specificata.Data volume exceeds a specified amount.
  • Si prevede che il volume di dati superi una quantità specificata.Data volume is predicted to exceed a specified amount.

Avvisi di Azure supporta avvisi relativi ai log che usano query di ricerca.Azure Alerts support log alerts that use search queries.

La query seguente restituisce un risultato quando vengono raccolti più di 100 GB di dati nelle ultime 24 ore:The following query has a result when there is more than 100 GB of data collected in the last 24 hours:

union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100

La query seguente usa una semplice formula per prevedere quando verranno inviati più di 100 GB di dati in un giorno:The following query uses a simple formula to predict when more than 100 GB of data will be sent in a day:

union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100

Per generare un avviso su un volume di dati diverso, sostituire il numero 100 nelle query con il numero di GB da segnalare.To alert on a different data volume, change the 100 in the queries to the number of GB you want to alert on.

Per ricevere una notifica quando la raccolta dati supera le dimensioni previste, seguire la procedura descritta in Creare un nuovo avviso del log.Use the steps described in create a new log alert to be notified when data collection is higher than expected.

Quando si crea l'avviso per la prima query e la quantità di dati supera i 100 GB in 24 ore, impostare:When creating the alert for the first query -- when there is more than 100 GB of data in 24 hours, set the:

  • Per Definire la condizione dell'avviso, specificare l'area di lavoro di Log Analytics come destinazione della risorsa.Define alert condition specify your Log Analytics workspace as the resource target.
  • Per Criteri di avviso specificare quanto segue:Alert criteria specify the following:
    • Per Nome segnale selezionare Ricerca log personalizzataSignal Name select Custom log search
    • Query di ricerca su union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100Search query to union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100
    • Logica avvisi è In base a numero di risultati e Condizione è Maggiore di una Soglia pari a 0Alert logic is Based on number of results and Condition is Greater than a Threshold of 0
    • Periodo di tempo di 1440 minuti e Frequenza di avviso ogni 60 minuti, poiché i dati sull'utilizzo vengono aggiornati solo una volta all'ora.Time period of 1440 minutes and Alert frequency to every 60 minutes since the usage data only updates once per hour.
  • Per Definire i dettagli dell'avviso specificare quanto segue:Define alert details specify the following:
    • Nome su Data volume greater than 100 GB in 24 hours (Volume di dati maggiore di 100 GB in 24 ore)Name to Data volume greater than 100 GB in 24 hours
    • Gravità su AvvisoSeverity to Warning

Specificare un gruppo di azioni esistente o crearne uno nuovo, in modo da ricevere una notifica se l'avviso del log corrisponde ai criteri.Specify an existing or create a new Action Group so that when the log alert matches criteria, you are notified.

Quando si crea l'avviso per la seconda query e si prevedono più di 100 GB di dati in 24 ore, impostare:When creating the alert for the second query -- when it is predicted that there will be more than 100 GB of data in 24 hours, set the:

  • Per Definire la condizione dell'avviso, specificare l'area di lavoro di Log Analytics come destinazione della risorsa.Define alert condition specify your Log Analytics workspace as the resource target.
  • Per Criteri di avviso specificare quanto segue:Alert criteria specify the following:
    • Per Nome segnale selezionare Ricerca log personalizzataSignal Name select Custom log search
    • Query di ricerca su union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100Search query to union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100
    • Logica avvisi è In base a numero di risultati e Condizione è Maggiore di una Soglia pari a 0Alert logic is Based on number of results and Condition is Greater than a Threshold of 0
    • Periodo di tempo di 180 minuti e Frequenza di avviso ogni 60 minuti, poiché i dati sull'utilizzo vengono aggiornati solo una volta all'ora.Time period of 180 minutes and Alert frequency to every 60 minutes since the usage data only updates once per hour.
  • Per Definire i dettagli dell'avviso specificare quanto segue:Define alert details specify the following:
    • Nome su Data volume expected to be greater than 100 GB in 24 hours (Volume di dati previsto maggiore di 100 GB in 24 ore)Name to Data volume expected to greater than 100 GB in 24 hours
    • Gravità su AvvisoSeverity to Warning

Specificare un gruppo di azioni esistente o crearne uno nuovo, in modo da ricevere una notifica se l'avviso del log corrisponde ai criteri.Specify an existing or create a new Action Group so that when the log alert matches criteria, you are notified.

Quando si riceve un avviso, seguire la procedura descritta nella sezione seguente per risolvere i problemi che determinano un utilizzo superiore al previsto.When you receive an alert, use the steps in the following section to troubleshoot why usage is higher than expected.

Risoluzione dei problemi che determinano un utilizzo superiore al previstoTroubleshooting why usage is higher than expected

Dashboard Utilizzo consente di identificare il motivo per cui l'utilizzo e, di conseguenza, i costi sono superiori al previsto.The usage dashboard helps you to identify why usage (and therefore cost) is higher than you are expecting.

Un utilizzo più elevato è dovuto a una o entrambe le cause seguenti:Higher usage is caused by one, or both of:

  • Vengono inviati più dati del previsto a Log AnalyticsMore data than expected being sent to Log Analytics
  • Più nodi del previsto inviano dati a Log AnalyticsMore nodes than expected sending data to Log Analytics

Verificare se sono presenti più dati del previstoCheck if there is more data than expected

Sono due le sezioni principali della pagina di utilizzo che permettono di identificare il motivo per cui viene raccolta la maggior parte dei dati.There are two key sections of the usage page that help identify what is causing the most data to be collected.

Il grafico Volume dati nel tempo mostra il volume totale dei dati inviati e i computer che inviano più dati.The Data volume over time chart shows the total volume of data sent and the computers sending the most data. Il grafico in alto mostra se l'utilizzo complessivo dei dati è in aumento, stabile o in diminuzione.The chart at the top allows you to see if your overall data usage is growing, remaining steady or decreasing. L'elenco dei computer mostra i 10 computer che inviano la maggior parte dei dati.The list of computers shows the 10 computers sending the most data.

Il grafico Volume dati per soluzione mostra il volume di dati inviato da ogni soluzione e le soluzioni che inviano la maggior parte dei dati.The Data volume by solution chart shows the volume of data that is sent by each solution and the solutions sending the most data. Il grafico in alto mostra il volume totale dei dati inviati da ogni soluzione nel corso del tempo.The chart at the top shows the total volume of data that is sent by each solution over time. Queste informazioni permettono di determinare se una soluzione sta inviando più o meno dati oppure se la quantità di dati inviata è pressoché invariata.This information allows you to identify whether a solution is sending more data, about the same amount of data, or less data over time. L'elenco delle soluzioni mostra le 10 soluzioni che inviano la maggior parte dei dati.The list of solutions shows the 10 solutions sending the most data.

Questi due grafici mostrano tutti i dati.These two charts show all data. Alcuni dati sono fatturabili, mentre altri sono gratuiti.Some data is billable, and other data is free. Per concentrarsi solo sui dati fatturabili, modificare la query nella pagina di ricerca in modo che includa IsBillable=true.To focus only on data that billable, modify the query on the search page to include IsBillable=true.

grafici del volume dei dati

Si osservi il grafico Volume dati nel tempo.Look at the Data volume over time chart. Per visualizzare le soluzioni e i tipi di dati che inviano la maggior parte dei dati per un computer specifico, fare clic sul nome del computer.To see the solutions and data types that are sending the most data for a specific computer, click on the name of the computer. Fare clic sul nome del primo computer nell'elenco.Click on the name of the first computer in the list.

Nello screenshot seguente il tipo di dati LogManagement / Perf invia la maggior parte dei dati per il computer.In the following screenshot, the Log Management / Perf data type is sending the most data for the computer.

Volume dei dati per un computerdata volume for a computer

Tornare quindi al dashboard Utilizzo e osservare il grafico Volume dati per soluzione.Next, go back to the Usage dashboard and look at the Data volume by solution chart. Per visualizzare i computer che inviano la maggior parte dei dati per una soluzione, fare clic sul nome della soluzione nell'elenco.To see the computers sending the most data for a solution, click on the name of the solution in the list. Fare clic sul nome della prima soluzione nell'elenco.Click on the name of the first solution in the list.

Lo screenshot seguente conferma che il computer mycon è quello che invia la maggior parte dei dati per la soluzione Gestione log.In the following screenshot, it confirms that the mycon computer is sending the most data for the Log Management solution.

Volume dei dati per una soluzionedata volume for a solution

Se necessario, eseguire ulteriori analisi per identificare volumi di grandi dimensioni all'interno di una soluzione o un tipo di dati.If needed, perform additional analysis to identify large volumes within a solution or data type. Le query di esempio includono:Example queries include:

  • Soluzione SicurezzaSecurity solution
    • SecurityEvent | summarize AggregatedValue = count() by EventID
  • Soluzione Gestione logLog Management solution
    • Usage | where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | summarize AggregatedValue = count() by DataType
  • Tipo di dati PerfPerf data type
    • Perf | summarize AggregatedValue = count() by CounterPath
    • Perf | summarize AggregatedValue = count() by CounterName
  • Tipo di dati EventEvent data type
    • Event | summarize AggregatedValue = count() by EventID
    • Event | summarize AggregatedValue = count() by EventLog, EventLevelName
  • Tipo di dati SyslogSyslog data type
    • Syslog | summarize AggregatedValue = count() by Facility, SeverityLevel
    • Syslog | summarize AggregatedValue = count() by ProcessName
  • Tipo di dati AzureDiagnosticsAzureDiagnostics data type
    • AzureDiagnostics | summarize AggregatedValue = count() by ResourceProvider, ResourceId

Per ridurre il volume dei log raccolti, seguire questa procedura:Use the following steps to reduce the volume of logs collected:

Origine del volume di dati elevatoSource of high data volume Come ridurre il volume di datiHow to reduce data volume
Eventi di sicurezzaSecurity events Selezionare gli eventi di sicurezza comuni o minimiSelect common or minimal security events
Modificare i criteri di controllo di sicurezza in modo che vengano raccolti solo gli eventi necessari.Change the security audit policy to collect only needed events. In particolare, esaminare la necessità di raccogliere eventi per:In particular, review the need to collect events for
- controllo piattaforma filtro- audit filtering platform
- controllo Registro di sistema- audit registry
- controllo file system- audit file system
- controllo oggetto kernel- audit kernel object
- controllo manipolazione handle- audit handle manipulation
- controllo archivi rimovibili- audit removable storage
Contatori delle prestazioniPerformance counters Modificare la configurazione del contatore delle prestazioni per:Change performance counter configuration to:
- Ridurre la frequenza di raccolta- Reduce the frequency of collection
- Ridurre il numero di contatori delle prestazioni- Reduce number of performance counters
Log eventiEvent logs Modificare la configurazione del log eventi per:Change event log configuration to:
- Ridurre il numero di log eventi raccolti- Reduce the number of event logs collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioniFor example, do not collect Information level events
syslogSyslog Modificare la configurazione di Syslog per:Change syslog configuration to:
- Ridurre il numero di strutture raccolte- Reduce the number of facilities collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioni e debugFor example, do not collect Info and Debug level events
AzureDiagnosticsAzureDiagnostics Modificare la raccolta dei log delle risorse per:Change resource log collection to:
- Ridurre il numero di risorse che inviano log a Log Analytics- Reduce the number of resources send logs to Log Analytics
- Raccogliere solo i log necessari- Collect only required logs
Dati della soluzione da computer che non richiedono la soluzioneSolution data from computers that don't need the solution Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Verificare se sono presenti più nodi del previstoCheck if there are more nodes than expected

Con il piano tariffario Per nodo (OMS), l'importo addebitato dipende dal numero di nodi e di soluzioni usate.If you are on the per node (OMS) pricing tier, then you are charged based on the number of nodes and solutions you use. È possibile visualizzare il numero di nodi in uso per ogni offerta nella sezione offerte del dashboard di uso.You can see how many nodes of each offer are being used in the offerings section of the usage dashboard.

Dashboard di utilizzousage dashboard

Fare clic su Visualizza tutto... per visualizzare l'elenco completo dei computer che inviano dati per l'offerta selezionata.Click on See all... to view the full list of computers sending data for the selected offer.

Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Passaggi successiviNext steps