Analizzare l'utilizzo dei dati in Log AnalyticsAnalyze data usage in Log Analytics

Log Analytics include informazioni sulla quantità di dati raccolti, sui diversi tipi di dati inviati e sui computer che li hanno inviati.Log Analytics includes information on the amount of data collected, which computers sent the data and the different types of data sent. È possibile usare dashboard Utilizzo in Log Analytics per visualizzare la quantità di dati inviata al servizio Log Analytics.Use the Log Analytics Usage dashboard to see the amount of data sent to the Log Analytics service. Il dashboard mostra la quantità di dati raccolti da ogni soluzione e la quantità di dati inviata dai computer.The dashboard shows how much data is collected by each solution and how much data your computers are sending.

Informazioni sul dashboard UtilizzoUnderstand the Usage dashboard

Il dashboard Utilizzo di Log Analytics visualizza le informazioni seguenti:The Log Analytics usage dashboard displays the following information:

  • Volume datiData volume
    • Volume dati nel tempo (in base all'ambito temporale corrente)Data volume over time (based on your current time scope)
    • Volume dati per soluzioneData volume by solution
    • Dati non associati a un computerData not associated with a computer
  • ComputerComputers
    • Computer che inviano datiComputers sending data
    • Computer senza dati nelle ultime 24 oreComputers with no data in last 24 hours
  • OfferteOfferings
    • Nodi di informazioni dettagliate e analisiInsight and Analytics nodes
    • Nodi di automazione e controlloAutomation and Control nodes
    • Nodi di sicurezzaSecurity nodes
  • PrestazioniPerformance
    • Tempo impiegato per raccogliere e indicizzare i datiTime taken to collect and index data
  • Elenco di queryList of queries

dashboard di utilizzo

Per gestire i dati di utilizzoTo work with usage data

  1. Se questa operazione non è già stata eseguita, accedere al portale di Azure, usando la sottoscrizione di Azure.If you haven't already done so, sign in to the Azure portal using your Azure subscription.
  2. Scegliere Altri servizi dal menu Hub e digitare Log Analytics nell'elenco di risorse.On the Hub menu, click More services and in the list of resources, type Log Analytics. Non appena si inizia a digitare, l'elenco viene filtrato in base all'input.As you begin typing, the list filters based on your input. Fare clic su Log Analytics.Click Log Analytics.
    Hub di AzureAzure hub
  3. Il dashboard Log Analytics visualizza un elenco delle aree di lavoro.The Log Analytics dashboard shows a list of your workspaces. Selezionare un'area di lavoro.Select a workspace.
  4. Nel dashboard dell'area di lavoro fare clic su Utilizzo di Log Analytics.In the workspace dashboard, click Log Analytics usage.
  5. Nel dashboard Utilizzo di Log Analytics fare clic su Ora: Ultime 24 ore per modificare l'intervallo di tempo.On the Log Analytics Usage dashboard, click Time: Last 24 hours to change the time interval.
    Intervallo di tempotime interval
  6. Visualizzare i pannelli delle categorie di utilizzo che mostrano le aree a cui si è interessati.View the usage category blades that show areas you’re interested in. Scegliere un pannello e quindi fare clic su un elemento per visualizzare altri dettagli in Ricerca log.Choose a blade and then click an item in it to view more details in Log Search.
    Pannello dell'utilizzo dei dati di esempioexample data usage blade
  7. Nel dashboard Ricerca log esaminare i risultati restituiti dalla ricerca.On the Log Search dashboard, review the results that are returned from the search.
    Ricerca log sull'utilizzo dei dati di esempio

Creare un avviso quando la raccolta dati supera le dimensioni previsteCreate an alert when data collection is higher than expected

Questa sezione descrive come creare un avviso nei casi seguenti:This section describes how to create an alert if:

  • Il volume di dati supera una quantità specificata.Data volume exceeds a specified amount.
  • Si prevede che il volume di dati superi una quantità specificata.Data volume is predicted to exceed a specified amount.

Log Analytics invia un avviso alle query di ricerca sull'utilizzo.Log Analytics alerts use search queries. La query seguente restituisce un risultato quando vengono raccolti più di 100 GB di dati nelle ultime 24 ore:The following query has a result when there is more than 100 GB of data collected in the last 24 hours:

Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(Quantity,1024)) as DataGB by Type | where DataGB > 100

La query seguente usa una semplice formula per prevedere quando verranno inviati più di 100 GB di dati in un giorno:The following query uses a simple formula to predict when more than 100 GB of data will be sent in a day:

Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(mul(Quantity,8),1024)) as EstimatedGB by Type | where EstimatedGB > 100

Per generare un avviso su un volume di dati diverso, sostituire il numero 100 nelle query con il numero di GB da segnalare.To alert on a different data volume, change the 100 in the queries to the number of GB you want to alert on.

Per ricevere una notifica quando la raccolta dati supera le dimensioni previste, seguire la procedura descritta in Creare una regola di avviso.Use the steps described in create an alert rule to be notified when data collection is higher than expected.

Quando si crea l'avviso per la prima query e la quantità di dati supera i 100 GB in 24 ore, impostare:When creating the alert for the first query -- when there is more than 100 GB of data in 24 hours, set the:

  • Nome su Data volume greater than 100 GB in 24 hours (Volume di dati maggiore di 100 GB in 24 ore)Name to Data volume greater than 100 GB in 24 hours
  • Gravità su AvvisoSeverity to Warning
  • Query di ricerca su Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(Quantity,1024)) as DataGB by Type | where DataGB > 100Search query to Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(Quantity,1024)) as DataGB by Type | where DataGB > 100
  • Intervallo di tempo su 24 oreTime window to 24 Hours.
  • Frequenza di avviso su un'ora, dal momento che i dati di utilizzo vengono aggiornati solo una volta ogni oraAlert frequency to be one hour since the usage data only updates once per hour.
  • Genera l'avviso in base a sul numero di risultatiGenerate alert based on to be number of results
  • Numero di risultati su Maggiore di 0Number of results to be Greater than 0

Seguire la procedura descritta in Aggiungere azioni alle regole di avviso in Log Analytics per configurare un'azione di posta elettronica, webhook o runbook per la regola di avviso.Use the steps described in add actions to alert rules configure an e-mail, webhook, or runbook action for the alert rule.

Quando si crea l'avviso per la seconda query e si prevedono più di 100 GB di dati in 24 ore, impostare:When creating the alert for the second query -- when it is predicted that there will be more than 100 GB of data in 24 hours, set the:

  • Nome su Data volume expected to be greater than 100 GB in 24 hours (Volume di dati previsto maggiore di 100 GB in 24 ore)Name to Data volume expected to greater than 100 GB in 24 hours
  • Gravità su AvvisoSeverity to Warning
  • Query di ricerca su Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(mul(Quantity,8),1024)) as EstimatedGB by Type | where EstimatedGB > 100Search query to Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(mul(Quantity,8),1024)) as EstimatedGB by Type | where EstimatedGB > 100
  • Intervallo di tempo su 3 oreTime window to 3 Hours.
  • Frequenza di avviso su un'ora, dal momento che i dati di utilizzo vengono aggiornati solo una volta ogni oraAlert frequency to be one hour since the usage data only updates once per hour.
  • Genera l'avviso in base a sul numero di risultatiGenerate alert based on to be number of results
  • Numero di risultati su Maggiore di 0Number of results to be Greater than 0

Quando si riceve un avviso, seguire la procedura descritta nella sezione seguente per risolvere i problemi che determinano un utilizzo superiore al previsto.When you receive an alert, use the steps in the following section to troubleshoot why usage is higher than expected.

Risoluzione dei problemi che determinano un utilizzo superiore al previstoTroubleshooting why usage is higher than expected

Dashboard Utilizzo consente di identificare il motivo per cui l'utilizzo e, di conseguenza, i costi sono superiori al previsto.The usage dashboard helps you to identify why usage (and therefore cost) is higher than you are expecting.

Un utilizzo più elevato è dovuto a una o entrambe le cause seguenti:Higher usage is caused by one, or both of:

  • Vengono inviati più dati del previsto a Log AnalyticsMore data than expected being sent to Log Analytics
  • Più nodi del previsto inviano dati a Log AnalyticsMore nodes than expected sending data to Log Analytics

Verificare se sono presenti più dati del previstoCheck if there is more data than expected

Sono due le sezioni principali della pagina di utilizzo che permettono di identificare il motivo per cui viene raccolta la maggior parte dei dati.There are two key sections of the usage page that help identify what is causing the most data to be collected.

Il grafico Volume dati nel tempo mostra il volume totale dei dati inviati e i computer che inviano più dati.The Data volume over time chart shows the total volume of data sent and the computers sending the most data. Il grafico in alto mostra se l'utilizzo complessivo dei dati è in aumento, stabile o in diminuzione.The chart at the top allows you to see if your overall data usage is growing, remaining steady or decreasing. L'elenco dei computer mostra i 10 computer che inviano la maggior parte dei dati.The list of computers shows the 10 computers sending the most data.

Il grafico Volume dati per soluzione mostra il volume di dati inviato da ogni soluzione e le soluzioni che inviano la maggior parte dei dati.The Data volume by solution chart shows the volume of data that is sent by each solution and the solutions sending the most data. Il grafico in alto mostra il volume totale dei dati inviati da ogni soluzione nel corso del tempo.The chart at the top shows the total volume of data that is sent by each solution over time. Queste informazioni permettono di determinare se una soluzione sta inviando più o meno dati oppure se la quantità di dati inviata è pressoché invariata.This information allows you to identify whether a solution is sending more data, about the same amount of data, or less data over time. L'elenco delle soluzioni mostra le 10 soluzioni che inviano la maggior parte dei dati.The list of solutions shows the 10 solutions sending the most data.

Questi due grafici mostrano tutti i dati.These two charts show all data. Alcuni dati sono fatturabili, mentre altri sono gratuiti.Some data is billable, and other data is free. Per concentrarsi solo sui dati fatturabili, modificare la query nella pagina di ricerca in modo che includa IsBillable=true.To focus only on data that billable, modify the query on the search page to include IsBillable=true.

grafici del volume dei dati

Si osservi il grafico Volume dati nel tempo.Look at the Data volume over time chart. Per visualizzare le soluzioni e i tipi di dati che inviano la maggior parte dei dati per un computer specifico, fare clic sul nome del computer.To see the solutions and data types that are sending the most data for a specific computer, click on the name of the computer. Fare clic sul nome del primo computer nell'elenco.Click on the name of the first computer in the list.

Nello screenshot seguente il tipo di dati LogManagement / Perf invia la maggior parte dei dati per il computer.In the following screenshot, the Log Management / Perf data type is sending the most data for the computer.

volume dei dati per un computer

Tornare quindi al dashboard Utilizzo e osservare il grafico Volume dati per soluzione.Next, go back to the Usage dashboard and look at the Data volume by solution chart. Per visualizzare i computer che inviano la maggior parte dei dati per una soluzione, fare clic sul nome della soluzione nell'elenco.To see the computers sending the most data for a solution, click on the name of the solution in the list. Fare clic sul nome della prima soluzione nell'elenco.Click on the name of the first solution in the list.

Lo screenshot seguente conferma che il computer acmetomcat è quello che invia la maggior parte dei dati per la soluzione Gestione log.In the following screenshot, it confirms that the acmetomcat computer is sending the most data for the Log Management solution.

volume dei dati per una soluzione

Se necessario, eseguire ulteriori analisi per identificare volumi di grandi dimensioni all'interno di una soluzione o un tipo di dati.If needed, perform additional analysis to identify large volumes within a solution or data type. Le query di esempio includono:Example queries include:

  • Soluzione SicurezzaSecurity solution
    • Type=SecurityEvent | measure count() by EventID
  • Soluzione Gestione logLog Management solution
    • Type=Usage Solution=LogManagement IsBillable=true | measure count() by DataType
  • Tipo di dati PerfPerf data type
    • Type=Perf | measure count() by CounterPath
    • Type=Perf | measure count() by CounterName
  • Tipo di dati EventEvent data type
    • Type=Event | measure count() by EventID
    • Type=Event | measure count() by EventLog, EventLevelName
  • Tipo di dati SyslogSyslog data type
    • Type=Syslog | measure count() by Facility, SeverityLevel
    • Type=Syslog | measure count() by ProcessName
  • Tipo di dati AzureDiagnosticsAzureDiagnostics data type
    • Type=AzureDiagnostics | measure count() by ResourceProvider, ResourceId

Per ridurre il volume dei log raccolti, seguire questa procedura:Use the following steps to reduce the volume of logs collected:

Origine del volume di dati elevatoSource of high data volume Come ridurre il volume di datiHow to reduce data volume
Eventi di sicurezzaSecurity events Selezionare gli eventi di sicurezza comuni o minimiSelect common or minimal security events
Modificare i criteri di controllo di sicurezza in modo che vengano raccolti solo gli eventi necessari.Change the security audit policy to collect only needed events. In particolare, esaminare la necessità di raccogliere eventi per:In particular, review the need to collect events for
- controllo piattaforma filtro- audit filtering platform
- controllo Registro di sistema- audit registry
- controllo file system- audit file system
- controllo oggetto kernel- audit kernel object
- controllo manipolazione handle- audit handle manipulation
- controllo archivi rimovibili- audit removable storage
Contatori delle prestazioniPerformance counters Modificare la configurazione del contatore delle prestazioni per:Change performance counter configuration to:
- Ridurre la frequenza di raccolta- Reduce the frequency of collection
- Ridurre il numero di contatori delle prestazioni- Reduce number of performance counters
Log eventiEvent logs Modificare la configurazione del log eventi per:Change event log configuration to:
- Ridurre il numero di log eventi raccolti- Reduce the number of event logs collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioniFor example, do not collect Information level events
syslogSyslog Modificare la configurazione di Syslog per:Change syslog configuration to:
- Ridurre il numero di strutture raccolte- Reduce the number of facilities collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioni e debugFor example, do not collect Info and Debug level events
AzureDiagnosticsAzureDiagnostics Modificare la raccolta dei log delle risorse per:Change resource log collection to:
- Ridurre il numero di risorse che inviano log a Log Analytics- Reduce the number of resources send logs to Log Analytics
- Raccogliere solo i log necessari- Collect only required logs
Dati della soluzione da computer che non richiedono la soluzioneSolution data from computers that don't need the solution Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Verificare se sono presenti più nodi del previstoCheck if there are more nodes than expected

Con il piano tariffario Per nodo (OMS), l'importo addebitato dipende dal numero di nodi e di soluzioni usate.If you are on the per node (OMS) pricing tier, then you are charged based on the number of nodes and solutions you use. È possibile visualizzare il numero di nodi in uso per ogni offerta nella sezione offerte del dashboard di uso.You can see how many nodes of each offer are being used in the offerings section of the usage dashboard.

dashboard di utilizzo

Fare clic su Visualizza tutto... per visualizzare l'elenco completo dei computer che inviano dati per l'offerta selezionata.Click on See all... to view the full list of computers sending data for the selected offer.

Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Passaggi successiviNext steps