Analizzare l'utilizzo dei dati in Log AnalyticsAnalyze data usage in Log Analytics

Log Analytics include informazioni sulla quantità di dati raccolti, sui diversi tipi di dati inviati e sui sistemi che li hanno inviati.Log Analytics includes information on the amount of data collected, which systems sent the data and the different types of data sent. È possibile usare dashboard Utilizzo in Log Analytics per visualizzare la quantità di dati inviata al servizio Log Analytics.Use the Log Analytics Usage dashboard to see the amount of data sent to the Log Analytics service. Il dashboard mostra la quantità di dati raccolti da ogni soluzione e la quantità di dati inviata dai computer.The dashboard shows how much data is collected by each solution and how much data your computers are sending.

Informazioni sul dashboard UtilizzoUnderstand the Usage dashboard

Il dashboard Utilizzo di Log Analytics visualizza le informazioni seguenti:The Log Analytics usage dashboard displays the following information:

  • Volume datiData volume
    • Volume dati nel tempo (in base all'ambito temporale corrente)Data volume over time (based on your current time scope)
    • Volume dati per soluzioneData volume by solution
    • Dati non associati a un computerData not associated with a computer
  • ComputerComputers
    • Computer che inviano datiComputers sending data
    • Computer senza dati nelle ultime 24 oreComputers with no data in last 24 hours
  • OfferteOfferings
    • Nodi di informazioni dettagliate e analisiInsight and Analytics nodes
    • Nodi di automazione e controlloAutomation and Control nodes
    • Nodi di sicurezzaSecurity nodes
  • Elenco di queryList of queries

dashboard di utilizzo

Per gestire i dati di utilizzoTo work with usage data

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Nel portale di Azure fare clic su Altri servizi nell'angolo in basso a sinistra.In the Azure portal, click More services found on the lower left-hand corner. Nell'elenco delle risorse digitare Log Analytics.In the list of resources, type Log Analytics. Non appena si inizia a digitare, l'elenco viene filtrato in base all'input.As you begin typing, the list filters based on your input. Selezionare Log Analytics.Select Log Analytics.

    Azure portalAzure portal

  3. Nell'elenco di aree di lavoro di Log Analytics selezionare un'area di lavoro.In your list of Log Analytics workspaces, select a workspace.
  4. Selezionare Utilizzo di Analisi dei log dall'elenco nel riquadro a sinistra.Select Log Analytics usage from the list in the left pane.
  5. Nel dashboard Utilizzo di Log Analytics fare clic su Ora: Ultime 24 ore per modificare l'intervallo di tempo.On the Log Analytics Usage dashboard, click Time: Last 24 hours to change the time interval.

    Intervallo di tempotime interval

  6. Visualizzare i pannelli delle categorie di utilizzo che mostrano le aree a cui si è interessati.View the usage category blades that show areas you’re interested in. Scegliere un pannello e quindi fare clic su un elemento per visualizzare altri dettagli in Ricerca log.Choose a blade and then click an item in it to view more details in Log Search.

    Pannello dell'utilizzo dei dati di esempioexample data usage blade

  7. Nel dashboard Ricerca log esaminare i risultati restituiti dalla ricerca.On the Log Search dashboard, review the results that are returned from the search.

    Ricerca log sull'utilizzo dei dati di esempio

Creare un avviso quando la raccolta dati supera le dimensioni previsteCreate an alert when data collection is higher than expected

Questa sezione descrive come creare un avviso nei casi seguenti:This section describes how to create an alert if:

  • Il volume di dati supera una quantità specificata.Data volume exceeds a specified amount.
  • Si prevede che il volume di dati superi una quantità specificata.Data volume is predicted to exceed a specified amount.

Log Analytics invia un avviso alle query di ricerca sull'utilizzo.Log Analytics alerts use search queries. La query seguente restituisce un risultato quando vengono raccolti più di 100 GB di dati nelle ultime 24 ore:The following query has a result when there is more than 100 GB of data collected in the last 24 hours:

union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100

La query seguente usa una semplice formula per prevedere quando verranno inviati più di 100 GB di dati in un giorno:The following query uses a simple formula to predict when more than 100 GB of data will be sent in a day:

union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100

Per generare un avviso su un volume di dati diverso, sostituire il numero 100 nelle query con il numero di GB da segnalare.To alert on a different data volume, change the 100 in the queries to the number of GB you want to alert on.

Per ricevere una notifica quando la raccolta dati supera le dimensioni previste, seguire la procedura descritta in Creare una regola di avviso.Use the steps described in create an alert rule to be notified when data collection is higher than expected.

Quando si crea l'avviso per la prima query e la quantità di dati supera i 100 GB in 24 ore, impostare:When creating the alert for the first query -- when there is more than 100 GB of data in 24 hours, set the:

  • Nome su Data volume greater than 100 GB in 24 hours (Volume di dati maggiore di 100 GB in 24 ore)Name to Data volume greater than 100 GB in 24 hours
  • Gravità su AvvisoSeverity to Warning
  • Query di ricerca su union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100Search query to union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize DataGB = sum((Quantity / 1024)) by Type | where DataGB > 100
  • Intervallo di tempo su 24 oreTime window to 24 Hours.
  • Frequenza di avviso su un'ora, dal momento che i dati di utilizzo vengono aggiornati solo una volta ogni oraAlert frequency to be one hour since the usage data only updates once per hour.
  • Genera l'avviso in base a sul numero di risultatiGenerate alert based on to be number of results
  • Numero di risultati su Maggiore di 0Number of results to be Greater than 0

Seguire la procedura descritta in Aggiungere azioni alle regole di avviso in Log Analytics per configurare un'azione di posta elettronica, webhook o runbook per la regola di avviso.Use the steps described in add actions to alert rules configure an e-mail, webhook, or runbook action for the alert rule.

Quando si crea l'avviso per la seconda query e si prevedono più di 100 GB di dati in 24 ore, impostare:When creating the alert for the second query -- when it is predicted that there will be more than 100 GB of data in 24 hours, set the:

  • Nome su Data volume expected to be greater than 100 GB in 24 hours (Volume di dati previsto maggiore di 100 GB in 24 ore)Name to Data volume expected to greater than 100 GB in 24 hours
  • Gravità su AvvisoSeverity to Warning
  • Query di ricerca su union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100Search query to union withsource = $table Usage | where QuantityUnit == "MBytes" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | extend Type = $table | summarize EstimatedGB = sum(((Quantity * 8) / 1024)) by Type | where EstimatedGB > 100
  • Intervallo di tempo su 3 oreTime window to 3 Hours.
  • Frequenza di avviso su un'ora, dal momento che i dati di utilizzo vengono aggiornati solo una volta ogni oraAlert frequency to be one hour since the usage data only updates once per hour.
  • Genera l'avviso in base a sul numero di risultatiGenerate alert based on to be number of results
  • Numero di risultati su Maggiore di 0Number of results to be Greater than 0

Quando si riceve un avviso, seguire la procedura descritta nella sezione seguente per risolvere i problemi che determinano un utilizzo superiore al previsto.When you receive an alert, use the steps in the following section to troubleshoot why usage is higher than expected.

Risoluzione dei problemi che determinano un utilizzo superiore al previstoTroubleshooting why usage is higher than expected

Dashboard Utilizzo consente di identificare il motivo per cui l'utilizzo e, di conseguenza, i costi sono superiori al previsto.The usage dashboard helps you to identify why usage (and therefore cost) is higher than you are expecting.

Un utilizzo più elevato è dovuto a una o entrambe le cause seguenti:Higher usage is caused by one, or both of:

  • Vengono inviati più dati del previsto a Log AnalyticsMore data than expected being sent to Log Analytics
  • Più nodi del previsto inviano dati a Log AnalyticsMore nodes than expected sending data to Log Analytics

Verificare se sono presenti più dati del previstoCheck if there is more data than expected

Sono due le sezioni principali della pagina di utilizzo che permettono di identificare il motivo per cui viene raccolta la maggior parte dei dati.There are two key sections of the usage page that help identify what is causing the most data to be collected.

Il grafico Volume dati nel tempo mostra il volume totale dei dati inviati e i computer che inviano più dati.The Data volume over time chart shows the total volume of data sent and the computers sending the most data. Il grafico in alto mostra se l'utilizzo complessivo dei dati è in aumento, stabile o in diminuzione.The chart at the top allows you to see if your overall data usage is growing, remaining steady or decreasing. L'elenco dei computer mostra i 10 computer che inviano la maggior parte dei dati.The list of computers shows the 10 computers sending the most data.

Il grafico Volume dati per soluzione mostra il volume di dati inviato da ogni soluzione e le soluzioni che inviano la maggior parte dei dati.The Data volume by solution chart shows the volume of data that is sent by each solution and the solutions sending the most data. Il grafico in alto mostra il volume totale dei dati inviati da ogni soluzione nel corso del tempo.The chart at the top shows the total volume of data that is sent by each solution over time. Queste informazioni permettono di determinare se una soluzione sta inviando più o meno dati oppure se la quantità di dati inviata è pressoché invariata.This information allows you to identify whether a solution is sending more data, about the same amount of data, or less data over time. L'elenco delle soluzioni mostra le 10 soluzioni che inviano la maggior parte dei dati.The list of solutions shows the 10 solutions sending the most data.

Questi due grafici mostrano tutti i dati.These two charts show all data. Alcuni dati sono fatturabili, mentre altri sono gratuiti.Some data is billable, and other data is free. Per concentrarsi solo sui dati fatturabili, modificare la query nella pagina di ricerca in modo che includa IsBillable=true.To focus only on data that billable, modify the query on the search page to include IsBillable=true.

grafici del volume dei dati

Si osservi il grafico Volume dati nel tempo.Look at the Data volume over time chart. Per visualizzare le soluzioni e i tipi di dati che inviano la maggior parte dei dati per un computer specifico, fare clic sul nome del computer.To see the solutions and data types that are sending the most data for a specific computer, click on the name of the computer. Fare clic sul nome del primo computer nell'elenco.Click on the name of the first computer in the list.

Nello screenshot seguente il tipo di dati LogManagement / Perf invia la maggior parte dei dati per il computer.In the following screenshot, the Log Management / Perf data type is sending the most data for the computer.

Volume dei dati per un computerdata volume for a computer

Tornare quindi al dashboard Utilizzo e osservare il grafico Volume dati per soluzione.Next, go back to the Usage dashboard and look at the Data volume by solution chart. Per visualizzare i computer che inviano la maggior parte dei dati per una soluzione, fare clic sul nome della soluzione nell'elenco.To see the computers sending the most data for a solution, click on the name of the solution in the list. Fare clic sul nome della prima soluzione nell'elenco.Click on the name of the first solution in the list.

Lo screenshot seguente conferma che il computer acmetomcat è quello che invia la maggior parte dei dati per la soluzione Gestione log.In the following screenshot, it confirms that the acmetomcat computer is sending the most data for the Log Management solution.

Volume dei dati per una soluzionedata volume for a solution

Se necessario, eseguire ulteriori analisi per identificare volumi di grandi dimensioni all'interno di una soluzione o un tipo di dati.If needed, perform additional analysis to identify large volumes within a solution or data type. Le query di esempio includono:Example queries include:

  • Soluzione SicurezzaSecurity solution
    • SecurityEvent | summarize AggregatedValue = count() by EventID
  • Soluzione Gestione logLog Management solution
    • Usage | where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | summarize AggregatedValue = count() by DataType
  • Tipo di dati PerfPerf data type
    • Perf | summarize AggregatedValue = count() by CounterPath
    • Perf | summarize AggregatedValue = count() by CounterName
  • Tipo di dati EventEvent data type
    • Event | summarize AggregatedValue = count() by EventID
    • Event | summarize AggregatedValue = count() by EventLog, EventLevelName
  • Tipo di dati SyslogSyslog data type
    • Syslog | summarize AggregatedValue = count() by Facility, SeverityLevel
    • Syslog | summarize AggregatedValue = count() by ProcessName
  • Tipo di dati AzureDiagnosticsAzureDiagnostics data type
    • AzureDiagnostics | summarize AggregatedValue = count() by ResourceProvider, ResourceId

Per ridurre il volume dei log raccolti, seguire questa procedura:Use the following steps to reduce the volume of logs collected:

Origine del volume di dati elevatoSource of high data volume Come ridurre il volume di datiHow to reduce data volume
Eventi di sicurezzaSecurity events Selezionare gli eventi di sicurezza comuni o minimiSelect common or minimal security events
Modificare i criteri di controllo di sicurezza in modo che vengano raccolti solo gli eventi necessari.Change the security audit policy to collect only needed events. In particolare, esaminare la necessità di raccogliere eventi per:In particular, review the need to collect events for
- controllo piattaforma filtro- audit filtering platform
- controllo Registro di sistema- audit registry
- controllo file system- audit file system
- controllo oggetto kernel- audit kernel object
- controllo manipolazione handle- audit handle manipulation
- controllo archivi rimovibili- audit removable storage
Contatori delle prestazioniPerformance counters Modificare la configurazione del contatore delle prestazioni per:Change performance counter configuration to:
- Ridurre la frequenza di raccolta- Reduce the frequency of collection
- Ridurre il numero di contatori delle prestazioni- Reduce number of performance counters
Log eventiEvent logs Modificare la configurazione del log eventi per:Change event log configuration to:
- Ridurre il numero di log eventi raccolti- Reduce the number of event logs collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioniFor example, do not collect Information level events
syslogSyslog Modificare la configurazione di Syslog per:Change syslog configuration to:
- Ridurre il numero di strutture raccolte- Reduce the number of facilities collected
- Raccogliere solo i livelli di eventi richiesti,- Collect only required event levels. ad esempio non raccogliendo gli eventi di livello informazioni e debugFor example, do not collect Info and Debug level events
AzureDiagnosticsAzureDiagnostics Modificare la raccolta dei log delle risorse per:Change resource log collection to:
- Ridurre il numero di risorse che inviano log a Log Analytics- Reduce the number of resources send logs to Log Analytics
- Raccogliere solo i log necessari- Collect only required logs
Dati della soluzione da computer che non richiedono la soluzioneSolution data from computers that don't need the solution Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Verificare se sono presenti più nodi del previstoCheck if there are more nodes than expected

Con il piano tariffario Per nodo (OMS), l'importo addebitato dipende dal numero di nodi e di soluzioni usate.If you are on the per node (OMS) pricing tier, then you are charged based on the number of nodes and solutions you use. È possibile visualizzare il numero di nodi in uso per ogni offerta nella sezione offerte del dashboard di uso.You can see how many nodes of each offer are being used in the offerings section of the usage dashboard.

Dashboard di utilizzousage dashboard

Fare clic su Visualizza tutto... per visualizzare l'elenco completo dei computer che inviano dati per l'offerta selezionata.Click on See all... to view the full list of computers sending data for the selected offer.

Usare il targeting della soluzione per raccogliere dati unicamente dai gruppi di computer necessariUse solution targeting to collect data from only required groups of computers.

Verificare se è presente la latenza dell'inserimentoCheck if there is ingestion latency

Log Analytics comporta una latenza anticipata con l'inserimento dei dati raccolti.With Log Analytics there is an anticipated latency with the ingestion of collected data. Il tempo assoluto tra l'indicizzazione dei dati e il momento in cui risultano disponibili per la ricerca può essere imprevedibile.The absolute time between indexing data and when it is available to search can be unpredictable. In precedenza è stato incluso nel dashboard un grafico sulle prestazioni che mostrava il tempo impiegato per raccogliere e indicizzare i dati. Questo grafico è stato rimosso temporaneamente in seguito all'introduzione del nuovo linguaggio di query.Previously we included a performance chart on the dashboard that showed the time taken to collect and index data, and with the introduction of the new query language, we have temporarily removed this chart. Come soluzione temporanea, fino al rilascio di metriche aggiornate per la latenza dell'inserimento dei dati, è possibile usare la query seguente per ottenere un valore approssimativo della latenza per ogni tipo di dati.As an interim solution until we release updated data ingestion latency metrics, the following query can be used to approximate the latency for each data type.

search *
| where TimeGenerated > ago(8h)
| summarize max(TimeGenerated) by Type
| extend LatencyInMinutes = round((now() - max_TimeGenerated)/1m,2)
| project Type, LatencyInMinutes
| sort by LatencyInMinutes desc

Nota

La query per la latenza di inserimento non mostra la latenza cronologica ed è limitata esclusivamente alla restituzione dei risultati relativi all'ora corrente.The ingestion latency query does not show historical latency and is limited to only returning results for the current time. Il valore per TimeGenerated viene popolato a livello dell'agente per i log degli schemi comuni e viene popolato a livello di endpoint della raccolta per i log personalizzati.The value for TimeGenerated is populated at the agent for Common schema logs and populated at the collection endpoint for Custom logs.

Passaggi successiviNext steps